專利名稱:數(shù)據(jù)包內(nèi)容的分析處理方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)包的分析處理方法及系統(tǒng)����,特別涉及一種數(shù)據(jù)包內(nèi)容的分析處理方法及系統(tǒng)����,屬于通信領(lǐng)域���。
背景技術(shù):
現(xiàn)有的通信網(wǎng)絡(luò)中多采用多層協(xié)議棧體系結(jié)構(gòu)��,例如TCP/IP網(wǎng)絡(luò)中采用的是四層協(xié)議棧體系結(jié)構(gòu)��,自上而下依次為應(yīng)用層���、傳輸層、網(wǎng)絡(luò)層��、以及鏈路層����。因此現(xiàn)有通信網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包也通常為多層協(xié)議封裝格式,即在數(shù)據(jù)包的載荷之外依次封裝各層協(xié)議棧所對(duì)應(yīng)的協(xié)議頭�。例如TCP/IP網(wǎng)絡(luò)中數(shù)據(jù)包的格式如圖1所示,在數(shù)據(jù)包的載荷之外依次封裝應(yīng)用層協(xié)議頭�����、傳輸層協(xié)議(TCP或UDP)頭���、網(wǎng)絡(luò)層協(xié)議(IP)頭��、以及鏈路層協(xié)議頭��。
對(duì)數(shù)據(jù)包的內(nèi)容即各層協(xié)議頭以及載荷進(jìn)行分析處理在各種數(shù)據(jù)包處理設(shè)備中有著廣泛的應(yīng)用和需求�,例如1�、入侵檢測系統(tǒng)(Intrusion Detection System,簡稱標(biāo)識(shí)S)以及入侵抵御系統(tǒng)(Intrusion Prevention System�����,簡稱IPS)是基于內(nèi)容進(jìn)行深度檢測的產(chǎn)品�,通過對(duì)風(fēng)險(xiǎn)(如backdoor、漏洞等)的特征描述的檢測從而確定該風(fēng)險(xiǎn)的存在�,其特征可能在數(shù)據(jù)包的載荷或者各層協(xié)議頭中體現(xiàn),因此需要對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行相應(yīng)的分析處理��;2����、基于應(yīng)用的帶寬管理設(shè)備,其首要的是識(shí)別出細(xì)粒度的應(yīng)用��,隨著網(wǎng)絡(luò)的不斷發(fā)展,基于網(wǎng)絡(luò)的應(yīng)用也不斷的豐富��,如基于傳統(tǒng)TCP/IP的4層協(xié)議的應(yīng)用����;還可能有基于原4層協(xié)議之上的應(yīng)用;各種應(yīng)用還可能封裝于不同的隧道協(xié)議中�;這都需要帶寬管理設(shè)備能夠?qū)?shù)據(jù)包的各層協(xié)議頭進(jìn)行分析處理;3����、反病毒(Anti-Virus)產(chǎn)品,也是一種基于內(nèi)容的深度檢測產(chǎn)品����,是通過對(duì)不同病毒的特征定義從而標(biāo)識(shí)數(shù)據(jù)包的協(xié)議頭或載荷中的病毒的存在,因此需要對(duì)數(shù)據(jù)包的載荷和協(xié)議頭進(jìn)行相應(yīng)的分析處理��。
現(xiàn)有技術(shù)中對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行分析處理時(shí)��,通常是對(duì)單個(gè)數(shù)據(jù)包進(jìn)行識(shí)別和分析處理���,并且通常是根據(jù)固定端口來識(shí)別數(shù)據(jù)包的協(xié)議頭����,該方法的不足之處在于1、針對(duì)單個(gè)數(shù)據(jù)包進(jìn)行分析處理���,而未針對(duì)數(shù)據(jù)流進(jìn)行分析處理,因此分析的精確度不高��,容易誤報(bào)�;2、不具有廣泛適用性�����,對(duì)不同的數(shù)據(jù)包處理設(shè)備需要重新開發(fā)����;3、不能識(shí)別多種復(fù)雜的協(xié)議��,擴(kuò)展性不強(qiáng)���。
發(fā)明內(nèi)容
本發(fā)明的目的是為克服上述現(xiàn)有技術(shù)的缺陷���,提供一種數(shù)據(jù)包內(nèi)容的分析處理方法及系統(tǒng),能夠識(shí)別多種復(fù)雜的協(xié)議��、攻擊和應(yīng)用,有效地提高協(xié)議分析的精確度��,減少誤報(bào)��,提高處理性能��,并且具有廣泛的適用性�。
為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明提供了一種數(shù)據(jù)包內(nèi)容的分析處理方法�����,包括對(duì)接收的數(shù)據(jù)包進(jìn)行預(yù)處理(包括對(duì)數(shù)據(jù)包二層頭的剝離�����、IP數(shù)據(jù)包重組���、以及數(shù)據(jù)包五元組的提取等操作)后�,建立對(duì)數(shù)據(jù)流的跟蹤�����,并進(jìn)行數(shù)據(jù)包的重組和保序����;將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)���,獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí),所述特征標(biāo)識(shí)用于一一對(duì)應(yīng)地唯一標(biāo)識(shí)預(yù)設(shè)的數(shù)據(jù)包特征(如攻擊特征�����、協(xié)議特征���、病毒特征、URL特征等)�����;根據(jù)所述特征標(biāo)識(shí)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作�。
在上述技術(shù)方案中,通過在接收到數(shù)據(jù)包后建立對(duì)數(shù)據(jù)流的跟蹤��,并在后續(xù)針對(duì)數(shù)據(jù)流進(jìn)行內(nèi)容識(shí)別和相應(yīng)的處理����,而非現(xiàn)有技術(shù)中的針對(duì)單個(gè)數(shù)據(jù)包進(jìn)行內(nèi)容識(shí)別及處理,從而有效地提高了協(xié)議分析的精確度�����,減少了誤報(bào)。
同時(shí)����,上述技術(shù)方案中,還通過統(tǒng)一的特征標(biāo)識(shí)來對(duì)應(yīng)不同的數(shù)據(jù)包特征(如攻擊特征�、協(xié)議特征、病毒特征���、URL特征等)����,根據(jù)特征標(biāo)識(shí)對(duì)應(yīng)的特征執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作�����,例如帶寬管理�����、流量統(tǒng)計(jì)等操作����,因此為后續(xù)處理提供了統(tǒng)一的基礎(chǔ)平臺(tái)�����,提高了適用性和擴(kuò)展性���,并且統(tǒng)一的特征標(biāo)識(shí)方式有利于提高系統(tǒng)整體處理性能。
優(yōu)選地�����,上述技術(shù)方案中����,在所述將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)之前還包括建立并維護(hù)數(shù)據(jù)流對(duì)應(yīng)的協(xié)議特征狀態(tài)機(jī)����;在所述獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí)之后還包括當(dāng)所述特征標(biāo)識(shí)包括協(xié)議特征的特征標(biāo)識(shí)時(shí),根據(jù)該協(xié)議特征獲取數(shù)據(jù)流的協(xié)議并調(diào)整協(xié)議特征狀態(tài)機(jī)的狀態(tài)�����,并根據(jù)所述協(xié)議特征狀態(tài)機(jī)的狀態(tài)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作�����。
上述技術(shù)方案通過針對(duì)數(shù)據(jù)流建立并維護(hù)對(duì)應(yīng)的協(xié)議特征狀態(tài)機(jī),并將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)�,獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí),所述特征標(biāo)識(shí)可包括攻擊特征標(biāo)識(shí)�、協(xié)議特征標(biāo)識(shí)、病毒特征標(biāo)識(shí)和/或URL特征標(biāo)識(shí)�,以及其它預(yù)先設(shè)定的特征標(biāo)識(shí),從而將協(xié)議識(shí)別��、攻擊識(shí)別��、內(nèi)容識(shí)別以特征標(biāo)識(shí)的方式統(tǒng)一進(jìn)行識(shí)別���,能夠識(shí)別多種復(fù)雜的協(xié)議��、攻擊和應(yīng)用�����,具有廣泛的應(yīng)用性�����。
同時(shí)��,上述技術(shù)方案通過根據(jù)所識(shí)別的特征推進(jìn)協(xié)議特征狀態(tài)機(jī)的協(xié)議層次和狀態(tài)���,從而能夠更精確和更細(xì)粒度地對(duì)數(shù)據(jù)流的協(xié)議���、攻擊、內(nèi)容等進(jìn)行識(shí)別�����,而非現(xiàn)有技術(shù)中常用的固定端口識(shí)別方式����,因此能夠進(jìn)一步有效地提高協(xié)議分析的精確度�����,減少誤報(bào)��。
優(yōu)選地���,在上述技術(shù)方案中��,當(dāng)所述特征標(biāo)識(shí)包括協(xié)議特征的特征標(biāo)識(shí)時(shí)���,在所述獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí)之后還包括根據(jù)所述特征標(biāo)識(shí)對(duì)數(shù)據(jù)流進(jìn)行協(xié)議解碼��,并將協(xié)議解碼后的數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)����,獲取對(duì)應(yīng)的特征標(biāo)識(shí)��,根據(jù)該特征標(biāo)識(shí)調(diào)整協(xié)議特征狀態(tài)機(jī)的狀態(tài)�����,并執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作����。
在所述將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)之后還可包括將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特定的特征進(jìn)行匹配比對(duì),以及根據(jù)預(yù)先設(shè)定的處理規(guī)則對(duì)匹配比對(duì)的結(jié)果進(jìn)行綜合分析和判斷�。
當(dāng)所述特征標(biāo)識(shí)包括協(xié)議特征對(duì)應(yīng)的特征標(biāo)識(shí)時(shí),所述根據(jù)所述特征標(biāo)識(shí)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作可具體包括根據(jù)所述數(shù)據(jù)流的協(xié)議特征以及網(wǎng)絡(luò)屬性���,查找預(yù)設(shè)的流量分類表�,如果查到對(duì)應(yīng)的表項(xiàng)則更新該表項(xiàng)�,如果未查到對(duì)應(yīng)的表項(xiàng)則建立對(duì)應(yīng)的新的表項(xiàng);和/或根據(jù)所述協(xié)議特征�����,查找預(yù)設(shè)的流量分類表,獲得該數(shù)據(jù)流對(duì)應(yīng)的流分類標(biāo)識(shí)��,并根據(jù)所述流分類標(biāo)識(shí)�����,執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的帶寬限制操作���。
為實(shí)現(xiàn)發(fā)明目的����,本發(fā)明還提供了一種數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)��,包括數(shù)據(jù)包預(yù)處理模塊����,用于對(duì)接收的數(shù)據(jù)包進(jìn)行預(yù)處理;流引擎模塊���,與所述數(shù)據(jù)包預(yù)處理模塊連接,用于建立對(duì)數(shù)據(jù)流的跟蹤以及數(shù)據(jù)包的重組和保序�����;特征庫模塊,用于保存預(yù)先設(shè)定的特征及特征標(biāo)識(shí)���,所述特征標(biāo)識(shí)用于一一對(duì)應(yīng)地唯一標(biāo)識(shí)預(yù)設(shè)的數(shù)據(jù)包特征(如攻擊特征�����、協(xié)議特征���、病毒特征、URL特征等)����;內(nèi)容搜索模塊,與所述特征庫模塊連接����,用于將數(shù)據(jù)流的內(nèi)容與特征庫模塊中保存的特征進(jìn)行匹配比對(duì),獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí)����;深度識(shí)別模塊,與所述內(nèi)容搜索模塊以及流引擎模塊連接�,用于調(diào)用內(nèi)容搜索模塊對(duì)數(shù)據(jù)流的內(nèi)容進(jìn)行搜索獲得對(duì)應(yīng)的特征標(biāo)識(shí)���,以及根據(jù)該特征標(biāo)識(shí)對(duì)應(yīng)的特征執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作。
在上述技術(shù)方案中��,在數(shù)據(jù)包預(yù)處理模塊對(duì)接收到的數(shù)據(jù)包進(jìn)行預(yù)處理后�����,通過流引擎模塊建立對(duì)基于會(huì)話的數(shù)據(jù)流的跟蹤����,以及完成數(shù)據(jù)包的重組和保序操作,從而使得后續(xù)的深度識(shí)別模塊能夠針對(duì)數(shù)據(jù)流進(jìn)行內(nèi)容識(shí)別和處理��,而非現(xiàn)有技術(shù)中常用的針對(duì)單個(gè)數(shù)據(jù)包的內(nèi)容識(shí)別和處理���,因此能夠有效地提高協(xié)議分析的精確度�����,減少誤報(bào)�。
同時(shí)�����,上述技術(shù)方案中還通過預(yù)設(shè)的特征庫中具有統(tǒng)一的特征標(biāo)識(shí)的特征對(duì)數(shù)據(jù)流中的協(xié)議特征���、病毒特征�、攻擊特征及統(tǒng)一資源定位符(UniformResource Location����,簡稱URL)特征進(jìn)行匹配比對(duì),從而能夠識(shí)別多種復(fù)雜的協(xié)議��、攻擊和應(yīng)用����,具有廣泛的應(yīng)用性,并且能夠提高系統(tǒng)的整體處理性能��。
優(yōu)選地����,上述技術(shù)方案中,所述深度識(shí)別模塊可為用于對(duì)流引擎模塊建立跟蹤后的數(shù)據(jù)流建立對(duì)應(yīng)的協(xié)議特征狀態(tài)機(jī)����、并根據(jù)該特征標(biāo)識(shí)對(duì)應(yīng)的協(xié)議特征獲取數(shù)據(jù)流的協(xié)議并調(diào)整協(xié)議特征狀態(tài)機(jī)的狀態(tài)、以及根據(jù)該特征標(biāo)識(shí)對(duì)應(yīng)的特征和協(xié)議特征狀態(tài)機(jī)的狀態(tài)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作的深度識(shí)別模塊�����。
上述技術(shù)方案通過深度識(shí)別模塊建立數(shù)據(jù)流對(duì)應(yīng)的協(xié)議特征狀態(tài)機(jī),并調(diào)用內(nèi)容搜索模塊將數(shù)據(jù)流的內(nèi)容與預(yù)設(shè)的特征庫中的特征進(jìn)行匹配比對(duì)���,根據(jù)獲取的特征調(diào)整協(xié)議特征狀態(tài)機(jī)的狀態(tài)以及按照預(yù)設(shè)的策略執(zhí)行相應(yīng)的操作����,而非現(xiàn)有技術(shù)中的通過固定端口識(shí)別協(xié)議����,從而進(jìn)一步地提高了協(xié)議分析的精確度。
優(yōu)選地�����,上述技術(shù)方案中����,所述特征庫模塊可包括攻擊特征庫模塊,用于保存對(duì)數(shù)據(jù)流中的攻擊進(jìn)行識(shí)別的攻擊特征����;和/或協(xié)議特征庫模塊,用于保存對(duì)數(shù)據(jù)流中的協(xié)議進(jìn)行識(shí)別的協(xié)議特征�;和/或病毒特征庫模塊�,用于保存對(duì)數(shù)據(jù)流中的病毒進(jìn)行識(shí)別的病毒特征���;和/或URL特征庫模塊,用于保存對(duì)數(shù)據(jù)流中的特定URL進(jìn)行識(shí)別的URL特征���。
優(yōu)選地�,上述技術(shù)方案中還可包括協(xié)議預(yù)處理模塊����,與所述深度識(shí)別模塊連接,用于根據(jù)所述特征標(biāo)識(shí)對(duì)應(yīng)的協(xié)議特征���,對(duì)深度識(shí)別模塊處理后的數(shù)據(jù)流進(jìn)行協(xié)議解碼�,并將協(xié)議解碼后的數(shù)據(jù)流重新輸入深度識(shí)別模塊進(jìn)行處理��。
優(yōu)選地�����,上述技術(shù)方案中還可包括精細(xì)檢查模塊���,與所述內(nèi)容搜索模塊以及深度識(shí)別模塊連接���,用于在內(nèi)容搜索模塊對(duì)數(shù)據(jù)流的內(nèi)容進(jìn)行搜索之后�,將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特定的特征進(jìn)行匹配比對(duì)�����,以及根據(jù)預(yù)先設(shè)定的處理規(guī)則對(duì)內(nèi)容搜索模塊搜索的結(jié)果進(jìn)行綜合分析和判斷���,并將結(jié)果輸出給深度識(shí)別模塊�����。
優(yōu)選地�����,上述技術(shù)方案中還可包括策略執(zhí)行模塊��,與所述深度識(shí)別模塊連接����,用于根據(jù)預(yù)先設(shè)定的策略以及深度識(shí)別模塊獲得的數(shù)據(jù)流的特征���,對(duì)數(shù)據(jù)流執(zhí)行對(duì)應(yīng)的處理操作���。
優(yōu)選地���,上述技術(shù)方案中還可包括帶寬管理模塊,與所述策略執(zhí)行模塊連接����,用于所述策略執(zhí)行模塊根據(jù)預(yù)先設(shè)定的策略調(diào)用所述帶寬管理模塊����,所述帶寬管理模塊根據(jù)所述特征標(biāo)識(shí)對(duì)應(yīng)的數(shù)據(jù)流的協(xié)議特征,查找預(yù)設(shè)的流量分類表獲得對(duì)應(yīng)的流分類標(biāo)識(shí)���,并根據(jù)該流分類標(biāo)識(shí)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的帶寬限制操作�����;和/或流量統(tǒng)計(jì)模塊���,與所述策略執(zhí)行模塊連接,用于所述策略執(zhí)行模塊根據(jù)預(yù)先設(shè)定的策略調(diào)用所述流量統(tǒng)計(jì)模塊�,所述流量統(tǒng)計(jì)模塊根據(jù)所述數(shù)據(jù)流的協(xié)議特征以及網(wǎng)絡(luò)屬性,查找預(yù)設(shè)的流量分類表,如果查到對(duì)應(yīng)的表項(xiàng)則更新該表項(xiàng)���,如果未查到對(duì)應(yīng)的表項(xiàng)則建立對(duì)應(yīng)的新的表項(xiàng)�����。
綜上所述�����,本發(fā)明通過對(duì)接收到的數(shù)據(jù)包建立數(shù)據(jù)流的跟蹤�����,并將每個(gè)數(shù)據(jù)流中數(shù)據(jù)包的內(nèi)容與預(yù)設(shè)的特征進(jìn)行匹配比對(duì)��,獲得數(shù)據(jù)流對(duì)應(yīng)的���、用于一一對(duì)應(yīng)地唯一標(biāo)識(shí)預(yù)設(shè)的數(shù)據(jù)包特征的特征標(biāo)識(shí),根據(jù)該特征標(biāo)識(shí)按照預(yù)設(shè)的策略執(zhí)行相應(yīng)的操作����,從而能夠達(dá)到識(shí)別多種復(fù)雜的協(xié)議,有效地提高協(xié)議分析的精確度��,減少誤報(bào),提高處理性能�����,并且具有廣泛的適用性的有益技術(shù)效果��。
圖1為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的原理示意圖�;圖2為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的實(shí)施例一的流程示意圖;圖3為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的實(shí)施例一的步驟2的具體實(shí)施例示意圖�����;圖4為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的實(shí)施例二的流程示意圖�����;圖5為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的特征庫實(shí)現(xiàn)方式示意圖�����;圖6為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的實(shí)施例三的流程示意圖�;圖7為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的實(shí)施例四的流程示意圖�����;圖8為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的實(shí)施例五的流程示意圖;圖9為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的實(shí)施例六的部分流程示意圖����;圖10為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)的實(shí)施例一的結(jié)構(gòu)示意圖;圖11為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)的實(shí)施例二的結(jié)構(gòu)示意圖����;
圖12為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的實(shí)施例三的結(jié)構(gòu)示意圖;圖13為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)的實(shí)施例四的結(jié)構(gòu)示意圖���;圖14為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)的實(shí)施例五的結(jié)構(gòu)示意圖�。
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例���,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述���。
本發(fā)明的基本構(gòu)思為針對(duì)現(xiàn)有技術(shù)中對(duì)單個(gè)數(shù)據(jù)包進(jìn)行協(xié)議識(shí)別和分析處理因而分析的精確度不高、不能識(shí)別多種復(fù)雜的協(xié)議��、并且不具有廣泛適用性等缺陷�����,提供一種數(shù)據(jù)包內(nèi)容的分析處理方法及系統(tǒng)��,通過建立對(duì)數(shù)據(jù)流的跟蹤實(shí)現(xiàn)對(duì)數(shù)據(jù)流的協(xié)議識(shí)別和分析處理,從而提高協(xié)議識(shí)別和分析處理的精確度����;以及通過將協(xié)議特征、攻擊特征�、病毒特征以及URL特征以統(tǒng)一的特征標(biāo)識(shí)來表示,并統(tǒng)一存儲(chǔ)在預(yù)設(shè)的特征庫中����,將數(shù)據(jù)流的內(nèi)容與特征庫中保存的特征進(jìn)行匹配比對(duì),從而大大提高系統(tǒng)的擴(kuò)展性����,使系統(tǒng)具有廣泛的適用性;進(jìn)一步地���,基于上述對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行識(shí)別和分析處理后可以進(jìn)行帶寬管理、流量統(tǒng)計(jì)�、策略執(zhí)行等操作,從而能夠應(yīng)用于需要對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行識(shí)別和分析處理的眾多領(lǐng)域�����,具有廣泛的適應(yīng)性�����,并且能夠提高系統(tǒng)的整體處理性能。再進(jìn)一步地���,通過建立數(shù)據(jù)流的協(xié)議特征狀態(tài)機(jī)來提高協(xié)議識(shí)別和分析處理的精確度�。
基于上述發(fā)明構(gòu)思��,本發(fā)明提供了一種數(shù)據(jù)包內(nèi)容的分析處理方法��,如圖1所示���,首先在步驟01中��,對(duì)接收的數(shù)據(jù)包進(jìn)行預(yù)處理后���,建立對(duì)數(shù)據(jù)流的跟蹤,并進(jìn)行數(shù)據(jù)包的重組和保序�����;然后在步驟02中�,將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì),獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí)����,所述特征標(biāo)識(shí)用于一一對(duì)應(yīng)地唯一標(biāo)識(shí)預(yù)設(shè)的數(shù)據(jù)包特征�����;繼而在步驟03中�����,根據(jù)所述特征標(biāo)識(shí)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作����。
上述數(shù)據(jù)包內(nèi)容的分析處理方法通過在接收到數(shù)據(jù)包后建立對(duì)數(shù)據(jù)流的跟蹤�,并在后續(xù)針對(duì)數(shù)據(jù)流進(jìn)行內(nèi)容識(shí)別和相應(yīng)的處理,而非現(xiàn)有技術(shù)中的針對(duì)單個(gè)數(shù)據(jù)包進(jìn)行內(nèi)容識(shí)別及處理����,從而有效地提高了協(xié)議分析的精確度,減少了誤報(bào)�。同時(shí)還通過統(tǒng)一的特征標(biāo)識(shí)來對(duì)應(yīng)不同的數(shù)據(jù)包特征(如攻擊特征、協(xié)議特征���、病毒特征、URL特征等)��,根據(jù)特征標(biāo)識(shí)對(duì)應(yīng)的特征執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作,例如帶寬管理�、流量統(tǒng)計(jì)等操作,因此為后續(xù)處理提供了統(tǒng)一的基礎(chǔ)平臺(tái)�����,提高了適用性和擴(kuò)展性�����,并且統(tǒng)一的特征標(biāo)識(shí)方式有利于提高系統(tǒng)整體處理性能�����。
如圖2所示的實(shí)施例一的流程示意圖����,首先在步驟1中,對(duì)接收的數(shù)據(jù)包進(jìn)行預(yù)處理后�����,建立對(duì)數(shù)據(jù)流的跟蹤����,并進(jìn)行數(shù)據(jù)包的重組和保序���;然后在步驟2中,建立并維護(hù)數(shù)據(jù)流對(duì)應(yīng)的協(xié)議特征狀態(tài)機(jī)��,并將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)�,獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí);繼而在步驟3中���,根據(jù)所述特征標(biāo)識(shí)對(duì)應(yīng)的數(shù)據(jù)流的協(xié)議特征獲取數(shù)據(jù)流的協(xié)議并調(diào)整協(xié)議特征狀態(tài)機(jī)的狀態(tài)��,根據(jù)所述協(xié)議特征狀態(tài)機(jī)的狀態(tài)以及所述特征標(biāo)識(shí)對(duì)應(yīng)的特征執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作�����。
其中�����,所述步驟2可使用動(dòng)態(tài)更新的特征庫�,該特征庫中保存與固定特征對(duì)應(yīng)的特征標(biāo)識(shí)����,該特征標(biāo)識(shí)可用于標(biāo)識(shí)應(yīng)用協(xié)議特征、攻擊特征、病毒特征或者URL特征���,這樣在步驟2中完成特征匹配比對(duì)后,通過返回命中的特征協(xié)議數(shù)組就能夠獲得對(duì)應(yīng)的數(shù)據(jù)流對(duì)應(yīng)的協(xié)議�����、攻擊���、病毒或URL特征�,并可據(jù)此判斷該數(shù)據(jù)流中是否存在安全風(fēng)險(xiǎn)�。
在本實(shí)施例一中,通過在接收到數(shù)據(jù)包后建立對(duì)數(shù)據(jù)流的跟蹤���,并在后續(xù)針對(duì)數(shù)據(jù)流進(jìn)行內(nèi)容識(shí)別和相應(yīng)的處理��,而非現(xiàn)有技術(shù)中的針對(duì)單個(gè)數(shù)據(jù)包進(jìn)行內(nèi)容識(shí)別及處理��,從而有效地提高了協(xié)議分析的精確度��,減少了誤報(bào)��。同時(shí)�,通過針對(duì)數(shù)據(jù)流建立并維護(hù)對(duì)應(yīng)的協(xié)議特征狀態(tài)機(jī),并將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)�,獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí),所述特征標(biāo)識(shí)可包括攻擊特征標(biāo)識(shí)�、協(xié)議特征標(biāo)識(shí)、病毒特征標(biāo)識(shí)�、URL特征標(biāo)識(shí),以及其它預(yù)先設(shè)定的特征標(biāo)識(shí)���,從而將協(xié)議識(shí)別�、攻擊識(shí)別����、病毒識(shí)別、URL識(shí)別等以特征標(biāo)識(shí)的方式統(tǒng)一進(jìn)行識(shí)別���,能夠識(shí)別多種復(fù)雜的協(xié)議���、攻擊和應(yīng)用,具有廣泛的應(yīng)用性�。進(jìn)而,本實(shí)施例一通過根據(jù)所識(shí)別的特征推進(jìn)協(xié)議特征狀態(tài)機(jī)的協(xié)議層次和狀態(tài)���,從而能夠更精確和更細(xì)粒度地對(duì)數(shù)據(jù)流的協(xié)議�����、攻擊�����、內(nèi)容等進(jìn)行識(shí)別���,而非現(xiàn)有技術(shù)中常用的固定端口識(shí)別方式,因此能夠進(jìn)一步有效地提高協(xié)議分析的精確度�,減少誤報(bào)。
進(jìn)一步地����,在所述將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)之后還包括將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特定的特征進(jìn)行匹配比對(duì),以及根據(jù)預(yù)先設(shè)定的處理規(guī)則對(duì)匹配比對(duì)的結(jié)果進(jìn)行綜合分析和判斷���。圖3為上述實(shí)施例一的步驟2的具體實(shí)施例示意圖����,由圖3可見��,在對(duì)數(shù)據(jù)流進(jìn)行內(nèi)容分析和特征匹配比對(duì)后��,判斷是否比對(duì)獲得特定特征對(duì)應(yīng)的特征標(biāo)識(shí),是則進(jìn)行精細(xì)檢查即對(duì)于特定的特征進(jìn)行檢查和分析處理�。例如對(duì)于特定的攻擊,其特征除了凈荷的固定特征之外���,還可能包括部分協(xié)議選項(xiàng)特征(如tt1>5)����,因此通過精細(xì)檢查能夠進(jìn)一步地對(duì)協(xié)議選項(xiàng)特征的檢測��,并且還可進(jìn)一步地進(jìn)行綜合智能判斷����,例如同一個(gè)數(shù)據(jù)流同時(shí)匹配比對(duì)獲得兩種或兩種以上的攻擊特征,則可以通過精細(xì)檢查來綜合做出更精確的判斷����。本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,可以根據(jù)具體應(yīng)用的情況靈活運(yùn)用精細(xì)檢查以及設(shè)定精細(xì)檢查所比對(duì)的特征�,其均應(yīng)在本發(fā)明技術(shù)方案所要求保護(hù)的范圍之內(nèi)。在精細(xì)檢查之后判斷獲得的特征標(biāo)識(shí)是否為協(xié)議特征對(duì)應(yīng)的特征標(biāo)識(shí)�,是則根據(jù)所述特征標(biāo)識(shí)對(duì)應(yīng)的協(xié)議特征獲取數(shù)據(jù)流的協(xié)議并調(diào)整協(xié)議特征狀態(tài)機(jī)的狀態(tài),例如在TCP三次握手過程中��,每次握手動(dòng)作對(duì)應(yīng)不同的協(xié)議特征及特征標(biāo)識(shí)�����,在獲取完成TCP三次握手的動(dòng)作所對(duì)應(yīng)的特征標(biāo)識(shí)后,調(diào)整對(duì)應(yīng)的協(xié)議特征狀態(tài)機(jī)的狀態(tài)為完成三次握手并建立TCP連接����,并根據(jù)所述協(xié)議特征狀態(tài)機(jī)的狀態(tài)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作,例如當(dāng)協(xié)議特征狀態(tài)機(jī)的狀態(tài)為完成三次握手并建立TCP連接時(shí)執(zhí)行預(yù)設(shè)的復(fù)位操作��。由上述可知��,通過協(xié)議特征以及協(xié)議特征狀態(tài)機(jī)能夠精細(xì)地反映通信雙方協(xié)議推進(jìn)的狀態(tài)和層次��,從而能夠支持細(xì)粒度的識(shí)別和執(zhí)行相應(yīng)操作�����,有效地提高協(xié)議分析的精確度�,減少誤報(bào)�。
進(jìn)一步地,當(dāng)所述特征標(biāo)識(shí)包括協(xié)議特征的特征標(biāo)識(shí)時(shí)�����,在所述獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí)之后還可包括對(duì)數(shù)據(jù)流進(jìn)行協(xié)議解碼�,并將協(xié)議解碼后的數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)��,獲取對(duì)應(yīng)的特征標(biāo)識(shí)�����,根據(jù)該特征標(biāo)識(shí)調(diào)整協(xié)議特征狀態(tài)機(jī)的狀態(tài)��,并執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作����。如圖4所示的實(shí)施例二的流程示意圖�����,與上述實(shí)施例一的區(qū)別在于在步驟2與步驟3之間還包括步驟20即判斷是否需要協(xié)議解碼���,如果需要?jiǎng)t執(zhí)行步驟21即對(duì)數(shù)據(jù)流進(jìn)行協(xié)議解碼��,并對(duì)解碼后的數(shù)據(jù)流重復(fù)執(zhí)行步驟2���,如果不需要?jiǎng)t執(zhí)行步驟3。通過增加該操作�,能夠?qū)μ囟▍f(xié)議的數(shù)據(jù)流進(jìn)行解碼后再進(jìn)行協(xié)議識(shí)別和分析處理,例如HTTP協(xié)議的URL部分可能采用Unicode或ASCII碼進(jìn)行編碼���,因此需要在市播出該協(xié)議后對(duì)數(shù)據(jù)流進(jìn)行協(xié)議解碼并對(duì)解碼后的數(shù)據(jù)流重新進(jìn)行協(xié)議識(shí)別和內(nèi)容分析處理�����,從而保證內(nèi)容分析處理的完備性����。
圖5為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的特征庫實(shí)現(xiàn)方式示意圖,對(duì)于特定的攻擊�、協(xié)議、協(xié)議的特定動(dòng)作以及病毒等均可采用協(xié)議特征和凈荷特征進(jìn)行描述和標(biāo)識(shí)�����,如BT協(xié)議我們可以采用”\13Bittorent protocol”特征串進(jìn)行描述����。特征庫即是匯集了攻擊����、協(xié)議、協(xié)議特定動(dòng)作���、病毒等特征的一個(gè)集合��,每個(gè)攻擊��、協(xié)議���、協(xié)議的特定動(dòng)作以及病毒等都唯一對(duì)應(yīng)于一個(gè)特征標(biāo)識(shí)�,該特征標(biāo)識(shí)是預(yù)先設(shè)定的�����。
如圖5所示��,特征庫可包括的典型特征有攻擊特征庫����,用于識(shí)別后門、漏洞��、攻擊等各種安全威脅��;通常來說廠家會(huì)在固定的時(shí)間發(fā)布�����;協(xié)議特征庫,部分協(xié)議采用固定端口方式是無法識(shí)別的����,如果知名協(xié)議不在知名端口則采用固定端口方式將無法識(shí)別,為此需要結(jié)合協(xié)議特征和凈荷特征對(duì)協(xié)議進(jìn)行識(shí)別����,通常來說廠家也會(huì)進(jìn)行不斷的更新;病毒特征庫����,用于識(shí)別特定特征的病毒;URL特征庫���,用于針對(duì)特定的URL進(jìn)行過濾�;同時(shí)對(duì)于上述但不局限于上述內(nèi)容的各種特征庫����,在可能的情況下應(yīng)該允許用戶自定義��,這些就是特征庫的外部來源��。
特征庫的來源是多樣的����,但是本質(zhì)上其都是采用數(shù)據(jù)包包頭特征及數(shù)據(jù)包凈荷特征進(jìn)行表達(dá)�����,可以采用通用的語言采用文本方式來描述特征庫的每一個(gè)對(duì)象�,比如凈荷部分采用PCRE表達(dá)方式等�。在采用軟件或者硬件進(jìn)行內(nèi)容搜索時(shí),不同廠家的硬件�����,采用不同的軟件的搜索算法等��,都要求最終的特征庫格式也是不一樣的�����,同時(shí)對(duì)于廠家的硬件來說�,其格式并不是開放的,為此需要為不同的軟件搜索算法�����、不同廠家的硬件提供從采用文本格式的通用特征描述語言轉(zhuǎn)化為軟件和硬件可以識(shí)別的特征庫��。本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,其可以根據(jù)實(shí)際應(yīng)用場景靈活選擇特征庫的設(shè)定方式�����,其均應(yīng)在本發(fā)明技術(shù)方案所要求保護(hù)的范圍之內(nèi)����。
圖6為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的實(shí)施例三的流程示意圖,與實(shí)施例二的區(qū)別在于����,步驟3可具體為步驟31,即所述執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作可具體包括根據(jù)所述特征標(biāo)識(shí)對(duì)應(yīng)的數(shù)據(jù)流的攻擊特征�,執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的復(fù)位TCP連接和/或記錄目志等操作。
圖7為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的實(shí)施例四的流程示意圖��,與實(shí)施例二的區(qū)別在于��,步驟3可具體為步驟32����,即所述執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作可具體包括根據(jù)所述特征標(biāo)識(shí)對(duì)應(yīng)的數(shù)據(jù)流的協(xié)議特征,查找預(yù)設(shè)的流量分類表�����,獲得該數(shù)據(jù)流對(duì)應(yīng)的流分類標(biāo)識(shí)���,并根據(jù)所述流分類標(biāo)識(shí)��,執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的帶寬限制操作���,如對(duì)該類協(xié)議的總帶寬進(jìn)行限制,或者對(duì)特定用戶的該協(xié)議總帶寬進(jìn)行限制�,或者對(duì)特定用戶的一個(gè)該協(xié)議的連接進(jìn)行帶寬限制。
圖8為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的實(shí)施例五的流程示意圖��,與實(shí)施例二的區(qū)別在于�����,步驟3可具體為步驟33����,即在所述獲取數(shù)據(jù)流的協(xié)議之后還可包括以下操作根據(jù)所述數(shù)據(jù)流的協(xié)議特征以及網(wǎng)絡(luò)屬性,查找預(yù)設(shè)的流量分類表���,如果查到對(duì)應(yīng)的表項(xiàng)則更新該表項(xiàng)�����,如果未查到對(duì)應(yīng)的表項(xiàng)則建立對(duì)應(yīng)的新的表項(xiàng)�����。通過該操作����,在識(shí)別出第4層-第7層協(xié)議甚至是某個(gè)協(xié)議的特定動(dòng)作之后,可以進(jìn)行細(xì)粒度的基于應(yīng)用的流量統(tǒng)計(jì)��,而非傳統(tǒng)的基于五元組的流量統(tǒng)計(jì)����。
圖9為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理方法的實(shí)施例六的部分流程示意圖,如圖所示����,在根據(jù)特征庫中保存的特征對(duì)數(shù)據(jù)流的內(nèi)容進(jìn)行匹配比對(duì)獲得特征標(biāo)識(shí)后,根據(jù)該特征標(biāo)識(shí)判斷是否有病毒或攻擊特征�����,是則查詢該特征對(duì)應(yīng)的預(yù)設(shè)的用戶配置的操作策略��,并執(zhí)行相應(yīng)的操作�����,如丟棄數(shù)據(jù)包����、斷開數(shù)據(jù)連接等;否則根據(jù)協(xié)議特征標(biāo)識(shí)及網(wǎng)絡(luò)屬性查找預(yù)設(shè)的流量分類表�����,如果查到相應(yīng)的表項(xiàng)則更新該表項(xiàng)的內(nèi)容如數(shù)據(jù)包字節(jié)數(shù)等�,如果未查到相應(yīng)的表項(xiàng)則建立對(duì)應(yīng)的新的表項(xiàng)。然后根據(jù)協(xié)議特征標(biāo)識(shí)查找流量分類表獲得對(duì)應(yīng)的流分類標(biāo)識(shí)�,根據(jù)該流分類標(biāo)識(shí)進(jìn)行帶寬總量限制,并根據(jù)流分類標(biāo)識(shí)���、協(xié)議特征標(biāo)識(shí)����、以及數(shù)據(jù)包中的源IP地址進(jìn)行針對(duì)用戶的總帶寬��、服務(wù)帶寬���、以及特定連接的帶寬的限制���。
上述實(shí)施例三至六進(jìn)一步提供了基于本發(fā)明提供的數(shù)據(jù)包內(nèi)容的分析處理方法��、在對(duì)數(shù)據(jù)包的特征進(jìn)行識(shí)別分析后進(jìn)行策略執(zhí)行�����、帶寬管理�、以及流量統(tǒng)計(jì)等操作的實(shí)施方式���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解可以根據(jù)具體應(yīng)用情況靈活采用或組合上述實(shí)施方式�����,其均應(yīng)在本發(fā)明技術(shù)方案所要求保護(hù)的范圍之內(nèi)���;并且,本發(fā)明提供的數(shù)據(jù)包內(nèi)容的分析處理方法可應(yīng)用于需要對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行分析處理的眾多領(lǐng)域���,只需在特征庫中增加具體應(yīng)用對(duì)應(yīng)的特征及特征標(biāo)識(shí)�����,在數(shù)據(jù)包內(nèi)容識(shí)別分析時(shí)增加基于該特征的匹配比對(duì)����,在特征匹配比對(duì)后增加該特征相應(yīng)的處理操作,即可實(shí)現(xiàn)該具體應(yīng)用的需求����,上述實(shí)施方式均應(yīng)在本發(fā)明技術(shù)方案所要求保護(hù)的范圍之內(nèi)��。
基于上述發(fā)明構(gòu)思���,本發(fā)明還提供了一種數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)�����,包括數(shù)據(jù)包預(yù)處理模塊����,用于對(duì)接收的數(shù)據(jù)包進(jìn)行預(yù)處理���;流引擎模塊�,與所述數(shù)據(jù)包預(yù)處理模塊連接���,用于建立對(duì)數(shù)據(jù)流的跟蹤以及數(shù)據(jù)包的重組和保序���;特征庫模塊���,用于保存預(yù)先設(shè)定的特征及特征標(biāo)識(shí),所述特征標(biāo)識(shí)用于一一對(duì)應(yīng)地唯一標(biāo)識(shí)預(yù)設(shè)的數(shù)據(jù)包特征�;內(nèi)容搜索模塊,與所述特征庫模塊連接��,用于將數(shù)據(jù)流的內(nèi)容與特征庫模塊中保存的特征進(jìn)行匹配比對(duì)��,獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí)��;深度識(shí)別模塊����,與所述內(nèi)容搜索模塊以及流引擎模塊連接,用于調(diào)用內(nèi)容搜索模塊對(duì)數(shù)據(jù)流的內(nèi)容進(jìn)行搜索獲得對(duì)應(yīng)的特征標(biāo)識(shí)�����,以及根據(jù)該特征標(biāo)識(shí)對(duì)應(yīng)的特征執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作���。
上述數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)中�,在數(shù)據(jù)包預(yù)處理模塊對(duì)接收到的數(shù)據(jù)包進(jìn)行預(yù)處理后,通過流引擎模塊建立對(duì)基于會(huì)話的數(shù)據(jù)流的跟蹤�����,以及完成數(shù)據(jù)包的重組和保序操作�����,從而使得后續(xù)的深度識(shí)別模塊能夠針對(duì)數(shù)據(jù)流進(jìn)行內(nèi)容識(shí)別和處理��,而非現(xiàn)有技術(shù)中常用的針對(duì)單個(gè)數(shù)據(jù)包的內(nèi)容識(shí)別和處理��,因此能夠有效地提高協(xié)議分析的精確度�����,減少誤報(bào)�。同時(shí)還通過預(yù)設(shè)的特征庫中具有統(tǒng)一的特征標(biāo)識(shí)的特征對(duì)數(shù)據(jù)流中的協(xié)議特征�����、病毒特征�、攻擊特征或URL特征進(jìn)行匹配比對(duì),從而能夠識(shí)別多種復(fù)雜的協(xié)議�、攻擊和應(yīng)用,具有廣泛的應(yīng)用性,并且能夠提高系統(tǒng)的整體處理性能���。
如圖10所示�����,本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)的實(shí)施例一包括數(shù)據(jù)包預(yù)處理模塊61��,用于對(duì)接收的數(shù)據(jù)包進(jìn)行預(yù)處理�;流引擎模塊62��,與數(shù)據(jù)包預(yù)處理模塊61連接�����,用于建立對(duì)數(shù)據(jù)流的跟蹤以及數(shù)據(jù)包的重組和保序����;特征庫模塊65,用于保存預(yù)先設(shè)定的特征���;內(nèi)容搜索模塊64��,與特征庫模塊65連接��,用于將數(shù)據(jù)流的內(nèi)容與特征庫模塊65中保存的特征進(jìn)行匹配比對(duì)���,獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí)�����;深度識(shí)別模塊63��,與內(nèi)容搜索模塊64以及流引擎模塊62連接�,用于對(duì)流引擎模塊62建立跟蹤后的數(shù)據(jù)流建立對(duì)應(yīng)的協(xié)議特征狀態(tài)機(jī)�,并調(diào)用內(nèi)容搜索模塊64對(duì)數(shù)據(jù)流的內(nèi)容進(jìn)行搜索獲得對(duì)應(yīng)的特征標(biāo)識(shí),根據(jù)該特征標(biāo)識(shí)對(duì)應(yīng)的協(xié)議特征獲取數(shù)據(jù)流的協(xié)議并調(diào)整協(xié)議特征狀態(tài)機(jī)的狀態(tài)���,以及根據(jù)該特征標(biāo)識(shí)對(duì)應(yīng)的特征和協(xié)議特征狀態(tài)機(jī)的狀態(tài)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作�;還包括策略執(zhí)行模塊68�����,與深度識(shí)別模塊63連接�,用于根據(jù)預(yù)先設(shè)定的策略以及深度識(shí)別模塊63獲得的數(shù)據(jù)流的特征�,對(duì)數(shù)據(jù)流執(zhí)行對(duì)應(yīng)的處理操作。
其中�����,內(nèi)容搜索模塊64在實(shí)現(xiàn)上通常是一個(gè)正則表達(dá)式搜索引擎,該引擎可以是純軟件實(shí)現(xiàn)�����,也可以使用FPGA或者ASIC來實(shí)現(xiàn)����。內(nèi)容搜索模塊也可以實(shí)現(xiàn)為一個(gè)簡單的字符串查找的硬件,如采用HASH表進(jìn)行查找等����。
特征庫模塊65可包括攻擊特征庫模塊,用于保存對(duì)數(shù)據(jù)流中的攻擊進(jìn)行識(shí)別的攻擊特征����;和/或協(xié)議特征庫模塊,用于保存對(duì)數(shù)據(jù)流中的協(xié)議進(jìn)行識(shí)別的協(xié)議特征��;和/或病毒特征庫模塊����,用于保存對(duì)數(shù)據(jù)流中的病毒進(jìn)行識(shí)別的病毒特征;和/或URL特征庫模塊�����,用于保存對(duì)數(shù)據(jù)流中的特定URL進(jìn)行識(shí)別的URL特征。特征庫模塊65可為動(dòng)態(tài)更新的特征庫�,該特征庫保存有與各個(gè)固定特征及其對(duì)應(yīng)的特征標(biāo)識(shí),所述特征標(biāo)識(shí)可包括攻擊特征標(biāo)識(shí)���、協(xié)議特征標(biāo)識(shí)���、病毒特征標(biāo)識(shí)、URL特征標(biāo)識(shí)�,以及其它預(yù)先設(shè)定的特征標(biāo)識(shí),從而將協(xié)議識(shí)別�、攻擊識(shí)別、病毒識(shí)別�����、URL識(shí)別等以特征標(biāo)識(shí)的方式統(tǒng)一進(jìn)行識(shí)別�,能夠識(shí)別多種復(fù)雜的協(xié)議、攻擊和應(yīng)用�,具有廣泛的應(yīng)用性�����,在內(nèi)容搜索模塊64匹配比對(duì)完成后,通過返回命中的特征標(biāo)識(shí)集合(例如特征標(biāo)識(shí)數(shù)組)可獲取對(duì)應(yīng)的數(shù)據(jù)流的協(xié)議�����、攻擊���、內(nèi)容等信息���,以及該數(shù)據(jù)流中是否存在安全風(fēng)險(xiǎn)的信息。
在深度識(shí)別模塊63識(shí)別出具體的數(shù)據(jù)流關(guān)聯(lián)的特征標(biāo)識(shí)之后��,策略執(zhí)行模塊68可以根據(jù)不同類型的特征標(biāo)識(shí)執(zhí)行相應(yīng)的預(yù)設(shè)的操作�����,例如���,如果是攻擊特征標(biāo)識(shí)或者病毒特征標(biāo)識(shí)��,則該模塊可以根據(jù)用戶定義的不同動(dòng)作進(jìn)行響應(yīng)�,如復(fù)位TCP連接�����,記錄日志等;如果是協(xié)議特征標(biāo)識(shí)����,則通過返查其用戶預(yù)定義的流分類標(biāo)識(shí),從而為帶寬管理提供可能�。
在上述實(shí)施例一中,在數(shù)據(jù)包預(yù)處理模塊對(duì)接收到的數(shù)據(jù)包進(jìn)行預(yù)處理后�,通過流引擎模塊建立對(duì)基于會(huì)話的數(shù)據(jù)流的跟蹤,以及完成數(shù)據(jù)包的重組和TCP保序操作�����,從而使得后續(xù)的深度識(shí)別模塊能夠針對(duì)數(shù)據(jù)流進(jìn)行內(nèi)容識(shí)別和處理����,而非現(xiàn)有技術(shù)中常用的針對(duì)單個(gè)數(shù)據(jù)包的內(nèi)容識(shí)別和處理,因此能夠有效地提高協(xié)議分析的精確度����,減少誤報(bào)。進(jìn)一步地�����,還通過深度識(shí)別模塊建立數(shù)據(jù)流對(duì)應(yīng)的協(xié)議特征狀態(tài)機(jī),并調(diào)用內(nèi)容搜索模塊將數(shù)據(jù)流的內(nèi)容與預(yù)設(shè)的特征庫中的特征進(jìn)行匹配比對(duì)�,根據(jù)獲取的特征調(diào)整協(xié)議特征狀態(tài)機(jī)的狀態(tài)以及按照預(yù)設(shè)的策略執(zhí)行相應(yīng)的操作�,而非現(xiàn)有技術(shù)中的通過固定端口識(shí)別協(xié)議,從而進(jìn)一步地提高了協(xié)議分析的精確度��;同時(shí)通過預(yù)設(shè)的特征庫中具有統(tǒng)一的特征標(biāo)識(shí)的特征對(duì)數(shù)據(jù)流中的協(xié)議特征����、病毒特征、攻擊特征及URL特征進(jìn)行匹配比對(duì)�����,從而能夠識(shí)別多種復(fù)雜的協(xié)議�����、攻擊和應(yīng)用����,具有廣泛的應(yīng)用性,并且能夠提高系統(tǒng)的整體處理性能�。
圖11為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)的實(shí)施例二的結(jié)構(gòu)示意圖,與上述實(shí)施例一的區(qū)別在于�,還包括協(xié)議預(yù)處理模塊66,與深度識(shí)別模塊63連接��,用于根據(jù)特征標(biāo)識(shí)對(duì)應(yīng)的協(xié)議特征,對(duì)深度識(shí)別模塊63處理后的數(shù)據(jù)流進(jìn)行協(xié)議解碼���,并將協(xié)議解碼后的數(shù)據(jù)流重新輸入深度識(shí)別模塊63進(jìn)行處理�����。
圖12為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)的實(shí)施例三的結(jié)構(gòu)示意圖����,與上述實(shí)施例二的區(qū)別在于���,還包括精細(xì)檢查模塊67�����,與內(nèi)容搜索模塊64以及深度識(shí)別模塊63連接���,用于在內(nèi)容搜索模塊64對(duì)數(shù)據(jù)流的內(nèi)容進(jìn)行搜索之后,將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特定的特征進(jìn)行匹配比對(duì)��,以及根據(jù)預(yù)先設(shè)定的處理規(guī)則對(duì)內(nèi)容搜索模塊64搜索的結(jié)果進(jìn)行綜合分析和判斷�����,并將結(jié)果輸出給深度識(shí)別模塊63。精細(xì)檢查模塊67主要是對(duì)內(nèi)容搜索模塊的操作進(jìn)行優(yōu)化����,如對(duì)于特定的攻擊��,其特征除了凈荷的固定特征外還可能包括部分協(xié)議選項(xiàng)特征(如tt1>5)�,對(duì)于這樣的攻擊需要結(jié)合內(nèi)容搜索模塊檢測之后,通過精細(xì)檢查模塊完成協(xié)議選項(xiàng)特征的檢測���。精細(xì)檢查模塊除了能夠?qū)崿F(xiàn)協(xié)議選項(xiàng)的檢測外����,還能夠進(jìn)行綜合的智能判斷�����,例如同一個(gè)數(shù)據(jù)流同時(shí)匹配比對(duì)獲得兩種或者兩種以上攻擊特征����,則需要做更為準(zhǔn)確的綜合決策和判斷,如采用對(duì)特定攻擊頻率�����、發(fā)生的先后次序等綜合判斷,從而減少誤報(bào)�。
圖13為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)的實(shí)施例四的結(jié)構(gòu)示意圖,與上述實(shí)施例三的區(qū)別在于���,還包括帶寬管理模塊69���,與策略執(zhí)行模塊68連接,用于策略執(zhí)行模塊68根據(jù)預(yù)先設(shè)定的策略調(diào)用帶寬管理模塊69����,帶寬管理模塊69根據(jù)特征標(biāo)識(shí)對(duì)應(yīng)的數(shù)據(jù)流的協(xié)議特征,查找預(yù)設(shè)的流量分類表獲得對(duì)應(yīng)的流分類標(biāo)識(shí)���,并根據(jù)該流分類標(biāo)識(shí)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的帶寬限制操作�。帶寬管理模塊69在策略管理模塊68根據(jù)協(xié)議特征標(biāo)識(shí)獲得用戶定義的流分類標(biāo)識(shí)之后��,實(shí)現(xiàn)特定業(yè)務(wù)的帶寬管理功能�����,例如對(duì)該類協(xié)議總帶寬的限制�����,或者對(duì)特定用戶的該協(xié)議總帶寬的限制,或者對(duì)特定用戶的一個(gè)該協(xié)議的連接的帶寬限制���。帶寬管理模塊69可以基于純軟件實(shí)現(xiàn)的帶寬調(diào)度算法�,也可以采用硬件來實(shí)現(xiàn)��。
圖14為本發(fā)明數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)的實(shí)施例五的結(jié)構(gòu)示意圖���,與上述實(shí)施例四的區(qū)別在于,還包括流量統(tǒng)計(jì)模塊70����,與策略執(zhí)行模塊68連接,用于策略執(zhí)行模塊68根據(jù)預(yù)先設(shè)定的策略調(diào)用流量統(tǒng)計(jì)模塊70����,流量統(tǒng)計(jì)模塊70根據(jù)數(shù)據(jù)流的協(xié)議特征以及網(wǎng)絡(luò)屬性,查找預(yù)設(shè)的流量分類表��,如果查到對(duì)應(yīng)的表項(xiàng)則更新該表項(xiàng)��,如果未查到對(duì)應(yīng)的表項(xiàng)則建立對(duì)應(yīng)的新的表項(xiàng)���。流量統(tǒng)計(jì)模塊70在策略執(zhí)行模塊68���、深度識(shí)別模塊63識(shí)別出第4層至第7層協(xié)議甚至是某個(gè)協(xié)議的特定動(dòng)作之后�,能夠進(jìn)行細(xì)粒度的基于應(yīng)用的流量統(tǒng)計(jì)���,而非傳統(tǒng)的基于五元組的流量統(tǒng)計(jì)�。
以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案�,而非對(duì)本發(fā)明作限制性理解。盡管參照上述較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說明�,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而這種修改或者等同替換并不脫離本發(fā)明技術(shù)方案的精神和范圍���。
權(quán)利要求
1.一種數(shù)據(jù)包內(nèi)容的分析處理方法���,其特征在于,包括對(duì)接收的數(shù)據(jù)包進(jìn)行預(yù)處理后��,建立對(duì)數(shù)據(jù)流的跟蹤����,并進(jìn)行數(shù)據(jù)包的重組和保序;將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)�����,獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí),所述特征標(biāo)識(shí)用于一一對(duì)應(yīng)地唯一標(biāo)識(shí)預(yù)設(shè)的數(shù)據(jù)包特征���;根據(jù)所述特征標(biāo)識(shí)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于在所述將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)之前還包括建立并維護(hù)數(shù)據(jù)流對(duì)應(yīng)的協(xié)議特征狀態(tài)機(jī)�����;在所述獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí)之后還包括當(dāng)所述特征標(biāo)識(shí)包括協(xié)議特征的特征標(biāo)識(shí)時(shí)�,根據(jù)該協(xié)議特征獲取數(shù)據(jù)流的協(xié)議并調(diào)整協(xié)議特征狀態(tài)機(jī)的狀態(tài)���,并根據(jù)所述協(xié)議特征狀態(tài)機(jī)的狀態(tài)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作�����。
3.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,當(dāng)所述特征標(biāo)識(shí)包括協(xié)議特征的特征標(biāo)識(shí)時(shí),在所述獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí)之后還包括根據(jù)所述特征標(biāo)識(shí)對(duì)數(shù)據(jù)流進(jìn)行協(xié)議解碼����,并將協(xié)議解碼后的數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì),獲取對(duì)應(yīng)的特征標(biāo)識(shí)�,根據(jù)該特征標(biāo)識(shí)調(diào)整協(xié)議特征狀態(tài)機(jī)的狀態(tài),并執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作���。
4.根據(jù)權(quán)利要求1所述的方法����,其特征在于��,在所述將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)之后還包括將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特定的特征進(jìn)行匹配比對(duì)��,以及根據(jù)預(yù)先設(shè)定的處理規(guī)則對(duì)匹配比對(duì)的結(jié)果進(jìn)行綜合分析和判斷���。
5.根據(jù)權(quán)利要求1-4任一所述的方法����,其特征在于���,當(dāng)所述特征標(biāo)識(shí)包括協(xié)議特征對(duì)應(yīng)的特征標(biāo)識(shí)時(shí)����,所述根據(jù)所述特征標(biāo)識(shí)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作具體包括根據(jù)所述數(shù)據(jù)流的協(xié)議特征以及網(wǎng)絡(luò)屬性,查找預(yù)設(shè)的流量分類表��,如果查到對(duì)應(yīng)的表項(xiàng)則更新該表項(xiàng)�,如果未查到對(duì)應(yīng)的表項(xiàng)則建立對(duì)應(yīng)的新的表項(xiàng);和/或根據(jù)所述協(xié)議特征�����,查找預(yù)設(shè)的流量分類表���,獲得該數(shù)據(jù)流對(duì)應(yīng)的流分類標(biāo)識(shí)�����,并根據(jù)所述流分類標(biāo)識(shí),執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的帶寬限制操作�。
6.一種數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng),其特征在于����,包括數(shù)據(jù)包預(yù)處理模塊��,用于對(duì)接收的數(shù)據(jù)包進(jìn)行預(yù)處理�����;流引擎模塊����,與所述數(shù)據(jù)包預(yù)處理模塊連接�,用于建立對(duì)數(shù)據(jù)流的跟蹤以及數(shù)據(jù)包的重組和保序;特征庫模塊�����,用于保存預(yù)先設(shè)定的特征及特征標(biāo)識(shí)�����,所述特征標(biāo)識(shí)用于一一對(duì)應(yīng)地唯一標(biāo)識(shí)預(yù)設(shè)的數(shù)據(jù)包特征�;內(nèi)容搜索模塊,與所述特征庫模塊連接�����,用于將數(shù)據(jù)流的內(nèi)容與特征庫模塊中保存的特征進(jìn)行匹配比對(duì),獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí)����;深度識(shí)別模塊,與所述內(nèi)容搜索模塊以及流引擎模塊連接��,用于調(diào)用內(nèi)容搜索模塊對(duì)數(shù)據(jù)流的內(nèi)容進(jìn)行搜索獲得對(duì)應(yīng)的特征標(biāo)識(shí)����;策略執(zhí)行模塊,與所述深度識(shí)別模塊連接����,用于根據(jù)預(yù)先設(shè)定的策略以及深度識(shí)別模塊獲得的數(shù)據(jù)流的特征標(biāo)識(shí),對(duì)數(shù)據(jù)流執(zhí)行對(duì)應(yīng)的處理操作�。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于所述深度識(shí)別模塊為用于對(duì)流引擎模塊建立跟蹤后的數(shù)據(jù)流建立對(duì)應(yīng)的協(xié)議特征狀態(tài)機(jī)���、并根據(jù)該特征標(biāo)識(shí)對(duì)應(yīng)的協(xié)議特征獲取數(shù)據(jù)流的協(xié)議并調(diào)整協(xié)議特征狀態(tài)機(jī)的狀態(tài)�����、以及根據(jù)該特征標(biāo)識(shí)對(duì)應(yīng)的特征和協(xié)議特征狀態(tài)機(jī)的狀態(tài)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作的深度識(shí)別模塊。
8.根據(jù)權(quán)利要求6所述的系統(tǒng)����,其特征在于��,所述特征庫模塊包括攻擊特征庫模塊�����,用于保存對(duì)數(shù)據(jù)流中的攻擊進(jìn)行識(shí)別的攻擊特征�����;和/或協(xié)議特征庫模塊���,用于保存對(duì)數(shù)據(jù)流中的協(xié)議進(jìn)行識(shí)別的協(xié)議特征;和/或病毒特征庫模塊��,用于保存對(duì)數(shù)據(jù)流中的病毒進(jìn)行識(shí)別的病毒特征���;和/或URL特征庫模塊����,用于保存對(duì)數(shù)據(jù)流中的特定URL進(jìn)行識(shí)別的URL特征�。
9.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于�����,還包括協(xié)議預(yù)處理模塊,與所述深度識(shí)別模塊連接����,用于根據(jù)所述特征標(biāo)識(shí)對(duì)應(yīng)的協(xié)議特征,對(duì)深度識(shí)別模塊處理后的數(shù)據(jù)流進(jìn)行協(xié)議解碼�����,并將協(xié)議解碼后的數(shù)據(jù)流重新輸入深度識(shí)別模塊進(jìn)行處理�。
10.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于��,還包括精細(xì)檢查模塊����,與所述內(nèi)容搜索模塊以及深度識(shí)別模塊連接,用于在內(nèi)容搜索模塊對(duì)數(shù)據(jù)流的內(nèi)容進(jìn)行搜索之后�����,將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特定的特征進(jìn)行匹配比對(duì)����,以及根據(jù)預(yù)先設(shè)定的處理規(guī)則對(duì)內(nèi)容搜索模塊搜索的結(jié)果進(jìn)行綜合分析和判斷�����,并將結(jié)果輸出給深度識(shí)別模塊。
11.根據(jù)權(quán)利要求6-10任一所述的系統(tǒng)����,其特征在于,還包括帶寬管理模塊���,與所述策略執(zhí)行模塊連接����,用于所述策略執(zhí)行模塊根據(jù)預(yù)先設(shè)定的策略調(diào)用所述帶寬管理模塊����,所述帶寬管理模塊根據(jù)所述特征標(biāo)識(shí)對(duì)應(yīng)的數(shù)據(jù)流的協(xié)議特征,查找預(yù)設(shè)的流量分類表獲得對(duì)應(yīng)的流分類標(biāo)識(shí)���,并根據(jù)該流分類標(biāo)識(shí)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的帶寬限制操作�;和/或流量統(tǒng)計(jì)模塊��,與所述策略執(zhí)行模塊連接�����,用于所述策略執(zhí)行模塊根據(jù)預(yù)先設(shè)定的策略調(diào)用所述流量統(tǒng)計(jì)模塊,所述流量統(tǒng)計(jì)模塊根據(jù)所述數(shù)據(jù)流的協(xié)議特征以及網(wǎng)絡(luò)屬性���,查找預(yù)設(shè)的流量分類表���,如果查到對(duì)應(yīng)的表項(xiàng)則更新該表項(xiàng),如果未查到對(duì)應(yīng)的表項(xiàng)則建立對(duì)應(yīng)的新的表項(xiàng)����。
全文摘要
本發(fā)明公開了一種數(shù)據(jù)包內(nèi)容的分析處理方法,包括對(duì)接收的數(shù)據(jù)包進(jìn)行預(yù)處理后�����,建立對(duì)數(shù)據(jù)流的跟蹤��,并進(jìn)行數(shù)據(jù)包的重組和保序���;將數(shù)據(jù)流的內(nèi)容與預(yù)先設(shè)定的特征庫中的特征進(jìn)行匹配比對(duì)�,獲得數(shù)據(jù)流對(duì)應(yīng)的特征標(biāo)識(shí)����;根據(jù)所述特征標(biāo)識(shí)執(zhí)行預(yù)先設(shè)定的對(duì)應(yīng)的操作����。本發(fā)明還公開了一種基于上述數(shù)據(jù)包內(nèi)容的分析處理方法的數(shù)據(jù)包內(nèi)容的分析處理系統(tǒng)�。本發(fā)明能夠識(shí)別多種復(fù)雜的協(xié)議,有效地提高協(xié)議分析的精確度�����,減少誤報(bào)���,提高處理性能,并且具有廣泛的適用性�����。
文檔編號(hào)H04L12/56GK1968278SQ200610144950
公開日2007年5月23日 申請(qǐng)日期2006年11月24日 優(yōu)先權(quán)日2006年11月24日
發(fā)明者張志群 申請(qǐng)人:杭州華為三康技術(shù)有限公司