正则匹配快代理(19)中华人民共和国国家知识产权局
(12)发明专利说明书 | ||
(10)申请公布号 CN 104333483 A (43)申请公布日 2015.02.04 | ||
(21)申请号 CN201410578118.2
(22)申请日 2014.10.24
(71)申请人 深圳市傲天通信有限公司
地址 518000 广东省深圳市南山区科技中二路软件园3栋6楼
(72)发明人 黄志云
(74)专利代理机构 深圳市深软鸿皓知识产权代理有限公司
代理人 朱民
(51)Int.CI
H04L12/26
权利要求说明书 说明书 幅图 |
(54)发明名称
互联网应用流量识别方法、系统及识别装置 | |
(57)摘要
一种互联网应用流量识别方法、系统及识别装置,该系统包括:初始化模块,用于DPI处理线程,并申请预设大小的流表内存;数组搜索树定位模块,根据该特征码信息建立特征码搜索树;数据报文处理模块,用于对接收的数据报文进行解析,得到该数据报文的通信内容的起始位置地址,将同属于一个五元组的数据报文合并成一条数据流;特征码检测模块,用于根据所述特征码搜索树和流表信息,通过复合式校验规则,对所述通信内容的起始位置地址开始的信息执行一次报文扫描,搜索匹配的特征码,根据匹配的特征码确定该数据报文所属的应用。本发明一次报文扫描即可检测出数据报文中是否包含已经应用的特征码,从而提高多特征码扫描的识别效率。 | |
法律状态
法律状态公告日 | 法律状态信息 | 法律状态 |
权 利 要 求 说 明 书
1.一种互联网应用流量识别方法,其特征在于,该方法包括:
初始化步骤,创建深度包检测处理线程,并申请预设大小的流表内存;
数组搜索树定位步骤,从预先设定的特征码配置文件中读取特征码信息,并根据该特征码信息建立特征码搜索树;
数据报文处理步骤一,对接收的数据报文进行解析,得到该数据报文的通信内容的起始位置地址;
数据报文处理步骤二,根据预先设定的五元组信息建立流表信息,将同属于一个五元组的数据报文合并成一条数据流;
特征码检测步骤一,根据所述特征码搜索树和流表信息,通过复合式校验规则,对所述通信内容的起始位置地址开始的信息执行一次报文扫描,搜索匹配的特征码,所述复合式校验规则包括基本校验规则和附加校验规则;及
特征码检测步骤二,根据匹配的特征码确定该数据报文所属的应用。
2.根据权利要求1所述的互联网应用流量识别方法,其特征在于,该方法还包括:
特征码排序步骤,调整匹配的特征码的排序,将命中率最高的特征码排列在首位。
3.根据权利要求2所述的互联网应用流量识别方法,其特征在于,所述特征码排序步骤包括:
为每个特征码节点设置一个命中计数器,该命中计数器累计统计每个特征码节点的命中次数;
每次匹配命中时,检查特征码节点指针的下一个节点的命中计数器值是否大于当前节点的命中计数器值;及
如果下一个节点的命中计数器值大于当前节点的命中计数器值,则将下一个节点移到当前节点之前。
4.根据权利要求1所述的互联网应用流量识别方法,其特征在于,所述基本校验规则包括固定位置特征码识别,所述附加校验规则包括浮动位置特征码识别、比较指定位置值与包长度、比较报文端口、比较报文长度、比较相同特征码前缀的报文数量。
5.根据权利要求4所述的互联网应用流量识别方法,其特征在于:
所述固定位置特征码识别,表示在数据包的固定位置出现固定字符信息;
所述浮动位置特征码识别,表示在数据包的不固定位置连续出现固定字符信息。
6.所述比较指定位置值与包长度,表示在特征码中只用两个字节表示长度,包括第一类型和第二类型,所述第一类型定义前一字节是低位,后一字节是高位,所述第二类型定义前一字节是高位,后一字节是低位;
所述比较报文端口,表示比较传输层协议的端口;
所述比较报文长度,表示应用层数据包的长度检验;及
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论