專利名稱:深度報文檢測方法、裝置、網(wǎng)絡(luò)設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種深度報文檢測方法、裝置、網(wǎng)絡(luò)設(shè)備及系統(tǒng)。
背景技術(shù):
深層包檢測技術(shù),(Deep Packet Inspection, DPI)技術(shù)是一種基于應(yīng)用層的流量檢測和控制技術(shù),當(dāng)IP數(shù)據(jù)包、TCP (Transmission Control Protocol,傳輸控制協(xié)議)或UDP(User Datagram Protocol,用戶數(shù)據(jù)包協(xié)議)數(shù)據(jù)流通過基于DPI技術(shù)的帶寬管理系統(tǒng)時,該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容來對OSI (Open System Interconnect,開放式系統(tǒng)互聯(lián))七層協(xié)議中的應(yīng)用層信息進行重組,從而得到整個應(yīng)用程序的內(nèi)容,然后按照
系統(tǒng)定義的管理策略對流量進行整形操作。面對日益增長的P2P (Peer-to-Peer,點對點技術(shù))業(yè)務(wù)流,DPI技術(shù)被認為是對付網(wǎng)絡(luò)多業(yè)務(wù)所帶來的管理和控制挑戰(zhàn)的有效方法。在DPI技術(shù)中,以基于關(guān)鍵字的識別技術(shù)最為基礎(chǔ),應(yīng)用最為廣泛。DPI的關(guān)鍵就在于,它要不斷地在格式不定的數(shù)據(jù)包中判斷出各種關(guān)鍵字,實現(xiàn)這一過程的基礎(chǔ)技術(shù)就是模式匹配,通俗地講,就是字符串匹配,即從數(shù)據(jù)中搜索是否存在目標字符串。目前,模式匹配可分為單模式匹配算法和多模式匹配算法。其中,單模式匹配算法指在目標串中I次掃描只能對I個模式串進行匹配的算法,對于單模式匹配算法,如果要匹配多個模式,那么有幾個模式就需要幾趟遍歷。最常用的單模式匹配算法有KMP(Knuth-Morris-PrattAlgorithm)算法、BM(Boyer-More)算法、RK算法等;多模式匹配算法指在目標串中I次掃描可同時對多個模式串進行匹配的算法,與單模式匹配算法相比,多模式匹配算法的優(yōu)勢在于一趟遍歷可以對多個模式進行匹配,從而大大提高了匹配效率。目前最常用的多模式匹配算法有AC(Aho-Corasick)算法和AC-BM算法。由于現(xiàn)有的DPI技術(shù)需要對網(wǎng)絡(luò)數(shù)據(jù)包7層內(nèi)容進行掃描和計算,性能開銷十分大,在一些對性能十分敏感的網(wǎng)絡(luò)設(shè)備如匯聚網(wǎng)關(guān)、核心路由器中如果打開DPI功能,其性能往往降低到原有吞吐量的10% 20%。因此如何提升DPI技術(shù)的性能,是各個DPI設(shè)備制造商關(guān)鍵競爭力所在。DPI技術(shù)由于需要支持成百上千協(xié)議的關(guān)鍵字匹配,因此高效的多模式關(guān)鍵字匹配算法是DPI重中之重的核心技術(shù)。現(xiàn)有技術(shù)中常見的DPI匹配過程為在DPI系統(tǒng)在接收到網(wǎng)絡(luò)報文之后,首先對IP報文進行L3層(網(wǎng)絡(luò)層)和L4層(傳輸層)的信息匹配,即IP地址和端口信息的匹配;如果未能查詢到相關(guān)的匹配,那么將進行多模關(guān)鍵字匹配;如果多模式匹配未能匹配到任何關(guān)鍵字,那么進行其他匹配過程(如對協(xié)議格式的匹配,或針對加密協(xié)議的解密匹配等)的處理。由于多模式關(guān)鍵字匹配由于需要對整個網(wǎng)絡(luò)報文進行掃描,性能消耗巨大。大量的統(tǒng)計表明,多模式關(guān)鍵字匹配階段成了 DPI匹配中的主要性能瓶頸之一(約占總DPI匹配性能消耗的三分之一左右)。目前,隨著P2P文件共享應(yīng)用技術(shù)的出現(xiàn),其流量已超過HTTP (HypertextTransport Protocol,超文本傳送協(xié)議)流量成為互聯(lián)網(wǎng)上的主流量,然而現(xiàn)在有很多的P2P協(xié)議采用加密協(xié)議進行封裝,從而消除關(guān)鍵字以避免DPI檢測,因此傳統(tǒng)的基于關(guān)鍵字匹配的DPI技術(shù)已經(jīng)對這種P2P加密流量失效。這就導(dǎo)致了每一個P2P加密網(wǎng)路報文在進行多模式關(guān)鍵字匹配時都需要掃描整個報文但卻無法匹配到任何關(guān)鍵字。根據(jù)大量的測試統(tǒng)計表明,對于當(dāng)前的網(wǎng)絡(luò)流量,多模式關(guān)鍵字匹配的成功率只占10%左右,這意味著90%的多模式關(guān)鍵字匹配的性能消耗是無意義的,導(dǎo)致系統(tǒng)的性能十分低下。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種深度報文檢測方法、裝置、網(wǎng)絡(luò)設(shè)備及系統(tǒng),能夠在關(guān)鍵字匹配前識別出無需進行匹配的報文,提高了關(guān)鍵字匹配的效率,從而提升了系統(tǒng)的性能。本發(fā)明的實施例采用如下技術(shù)方案本發(fā)明實施例提供一種深度報文檢測方法,包括
在接收到網(wǎng)絡(luò)報文后,對所述網(wǎng)絡(luò)報文進行網(wǎng)絡(luò)層和傳輸層的信息匹配;當(dāng)所述網(wǎng)絡(luò)報文的網(wǎng)絡(luò)層和傳輸層的信息無法匹配時,判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布;當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值符合均勻分布時,跳過對所述網(wǎng)絡(luò)報文的關(guān)鍵字匹配;當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值不符合均勻分布時,對所述網(wǎng)絡(luò)報文進行關(guān)鍵字匹配。本發(fā)明實施例提供一種深度報文檢測裝置,包括匹配單元,用于在接收到網(wǎng)絡(luò)報文后,對所述網(wǎng)絡(luò)報文進行網(wǎng)絡(luò)層和傳輸層的信息匹配;隨機性驗證單元,用于當(dāng)所述網(wǎng)絡(luò)報文的網(wǎng)絡(luò)層和傳輸層的信息無法匹配時,判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布;所述匹配單元還用于當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值符合均勻分布時,跳過對所述網(wǎng)絡(luò)報文的關(guān)鍵字匹配;當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值不符合均勻分布時,對所述網(wǎng)絡(luò)報文進行關(guān)鍵字匹配。本發(fā)明實施例還提供一種移動網(wǎng)絡(luò)設(shè)備,包括數(shù)據(jù)接收裝置、業(yè)務(wù)處理裝置以及數(shù)據(jù)發(fā)送裝置,其特征在于,所述移動網(wǎng)絡(luò)設(shè)備還包括所述的深度報文檢測裝置。本發(fā)明實施例還提供一種通信系統(tǒng),包括無線基站、通用分組無線業(yè)務(wù)服務(wù)支持節(jié)點,所述通信系統(tǒng)還包括所述移動網(wǎng)絡(luò)設(shè)備。本發(fā)明實施例還提供一種通信系統(tǒng),包括無線基站、無線網(wǎng)絡(luò)控制器、通用分組無線業(yè)務(wù)服務(wù)支持節(jié)點、通用分組無線業(yè)務(wù)網(wǎng)關(guān)服務(wù)節(jié)點以及業(yè)務(wù)控制網(wǎng)關(guān),所述通信系統(tǒng)還包括所述深度報文檢測裝置。本發(fā)明實施例還提供一種固定網(wǎng)絡(luò)設(shè)備,包括數(shù)據(jù)接收裝置、業(yè)務(wù)處理裝置以及數(shù)據(jù)發(fā)送裝置,所述固定網(wǎng)絡(luò)設(shè)備還包括所述的深度報文檢測裝置。本發(fā)明實施例還提供一種通信系統(tǒng),包括寬帶接入設(shè)備,其特征在于,所述通信系統(tǒng)還包括所述固定網(wǎng)絡(luò)設(shè)備。本發(fā)明實施例還提供一種通信系統(tǒng),包括寬帶接入設(shè)備、寬帶接入服務(wù)器、業(yè)務(wù)控制網(wǎng)關(guān),所述通信系統(tǒng)還包括所述深度報文檢測裝置。本發(fā)明的實施例提供一種深度報文檢測方法、裝置、網(wǎng)絡(luò)設(shè)備及系統(tǒng),通過判斷網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布,在關(guān)鍵字匹配前就識別出無需進行匹配的報文,這樣大大避免了網(wǎng)絡(luò)報文的無效匹配,提高了關(guān)鍵字匹配的效率,從而提升了系統(tǒng)的性能。
為了更清楚地說明本發(fā)明實施 例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖I為本發(fā)明實施例提供的一種深度報文檢測方法的流程示意圖;圖2為本發(fā)明另一實施例提供的一種深度報文檢測方法的流程示意圖;圖3為本發(fā)明實施例提供的一種深度報文檢測裝置的結(jié)構(gòu)示意圖;圖4為本發(fā)明另一實施例提供的一種深度報文檢測裝置的結(jié)構(gòu)示意圖;圖5為本發(fā)明另一實施例提供的另一種深度報文檢測裝置的結(jié)構(gòu)示意圖;圖6為本發(fā)明實施例提供的一種移動網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖;圖7a為本發(fā)明實施例提供的一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖7b為本發(fā)明實施例提供的另一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖7c為本發(fā)明實施例提供的又一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖7d為本發(fā)明實施例提供的再一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖7e為本發(fā)明實施例提供的再一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖8為本發(fā)明實施例提供的一種固定網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖;圖9a為本發(fā)明另一實施例提供的一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖9b為本發(fā)明另一實施例提供的另一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖9c為本發(fā)明另一實施例提供的又一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖9d為本發(fā)明另一實施例提供的再一種通信系統(tǒng)的結(jié)構(gòu)示意圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。本發(fā)明實施例提供一種深度報文檢測方法,如圖I所示,該方法包括S101、在接收到網(wǎng)絡(luò)報文后,對網(wǎng)絡(luò)報文進行網(wǎng)絡(luò)層和傳輸層的信息匹配。其中,在一種實現(xiàn)方式下,對網(wǎng)絡(luò)報文進行網(wǎng)絡(luò)層和傳輸層的信息匹配即對網(wǎng)絡(luò)報文進行網(wǎng)絡(luò)層的IP地址與傳輸層的端口的匹配。S102、當(dāng)網(wǎng)絡(luò)報文的網(wǎng)絡(luò)層和傳輸層的信息無法匹配時,判斷網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布。其中,在一種實現(xiàn)方式下,可以采用卡方檢驗算法來判斷網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布。應(yīng)當(dāng)理解的是,還可以采用其他類型的均勻分布的驗證算法,本發(fā)明實施例對此不作限定。在不同的實現(xiàn)方式下,所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)包括所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的前n個字節(jié),或者,所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的后n個字節(jié),且n小于所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的總字節(jié)數(shù)。其中,所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值包括所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的ASCII碼值。S103、當(dāng)網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值符合均勻分布時,跳過對網(wǎng)絡(luò)報文的關(guān)鍵字匹配;當(dāng)網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值不符合均勻分布時,對網(wǎng)絡(luò)報文進行關(guān)鍵字匹配。本發(fā)明實施例的深度報文檢測方法中,如果采用卡方檢驗算法判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布,則具體的過程可以包括
根據(jù)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的屬性獲取所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子,所述隨機性因子用于表示所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的分布隨機特性,所述碼值的屬性包括第i個字節(jié)對應(yīng)的碼值的出現(xiàn)次數(shù),所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)相關(guān)的多個字節(jié)對應(yīng)的碼值的平均出現(xiàn)次數(shù);根據(jù)所述隨機性因子判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布。進一步的,在一種實現(xiàn)方式下,前述根據(jù)所述隨機性因子判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布的過程可以包括將所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子與閾值門限進行比較;當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子大于閾值門限時,則網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值不符合均勻分布;當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子小于或等于閾值門限時,則網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值符合均勻分布。進一步的,本發(fā)明實施例的深度報文檢測方法中,如果對網(wǎng)絡(luò)報文的關(guān)鍵字匹配無法匹配成功時,還包括對網(wǎng)絡(luò)報文進行其他類型匹配,其他類型匹配包括協(xié)議格式的匹配或加密協(xié)議的解密匹配。本發(fā)明的實施例提供的深度報文檢測方法可以應(yīng)用于移動網(wǎng)絡(luò)或者固定網(wǎng)絡(luò),對于移動網(wǎng)絡(luò),該深度報文檢測方法的執(zhí)行主體可以包括但不限于無線網(wǎng)絡(luò)控制器(RadioNetwork Controller, RNC)、通用分組無線業(yè)務(wù)網(wǎng)關(guān)支持節(jié)點(Gateway GPRS SupportNode, GGSN)或業(yè)務(wù)控制網(wǎng)關(guān)(Service Control Gateway, SCG);對于固定網(wǎng)絡(luò),該深度報文檢測方法的執(zhí)行主體可以包括但不限于寬帶接入服務(wù)器(寬帶接入服務(wù)器(BroadbandRemote Access Server, BRAS)/ 業(yè)務(wù)路由器(Service Router, SR))或業(yè)務(wù)控制網(wǎng)關(guān)(Service Control Gateway, SCG)??梢?,本發(fā)明的實施例提供的深度報文檢測方法,通過判斷網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布,在關(guān)鍵字匹配前就識別出無需進行關(guān)鍵字匹配的報文,這樣大大避免了網(wǎng)絡(luò)報文的無效匹配,提高了關(guān)鍵字匹配的效率,從而提升了系統(tǒng)的性能。本發(fā)明的另一實施例提供一種深度報文檢測方法,如圖2所示,該方法包括S201、在接收到網(wǎng)絡(luò)報文后對網(wǎng)絡(luò)報文進行網(wǎng)絡(luò)層和傳輸層的信息匹配,當(dāng)網(wǎng)絡(luò)報文的網(wǎng)絡(luò)層和傳輸層的信息無法匹配時執(zhí)行步驟S202 ;否則,執(zhí)行步驟S207。具體的,以DPI (Deep Packet Inspection,深度報文檢測)系統(tǒng)為例,通常在接收到網(wǎng)絡(luò)報文后,首先要進行OSI (Open System Interconnection,開放系統(tǒng)互連)的第三層L3信息和第四層L4信息的匹配,也就是網(wǎng)絡(luò)層的IP信息和傳輸層的端口信息的匹配,例如DNS (Domain Name System,域名系統(tǒng))協(xié)議的端口 53或HTTP協(xié)議的端口 80等。S202、獲取網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值。例如,目前,通過對P2P加密報文的流量的分析,發(fā)現(xiàn)這些網(wǎng)絡(luò)報文各個字節(jié)的ASCII (American Standard Code for Information Interchange,美國信息互換標準代石馬)碼值幾乎都是隨機的,每個字節(jié)的ASCII碼值在
的區(qū)間內(nèi)形成均勻分布,而其他一些如HTTP協(xié)議的網(wǎng)絡(luò)報文各個字節(jié)ASCII碼值則基本集中在區(qū)間[32,126]。因此,如果在進行多模式匹配前識別出接收到的網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的各字節(jié)的ASCII碼值是否符合均勻分布,就可以判斷該網(wǎng)絡(luò)報文是否為加密報文。由于對可實現(xiàn)性的考慮,以及加密報文的每個字節(jié)ASCII碼值在
的區(qū)間內(nèi)為均勻分布,可以抽取該網(wǎng)絡(luò)報文的多個字節(jié)對應(yīng)的碼值,該多個字節(jié)的可以是網(wǎng)絡(luò)報文應(yīng)用層數(shù)據(jù)的前n個字節(jié)的或者是網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的后n個字節(jié)。一般情況下,抽取該網(wǎng)絡(luò)報文的前n個字節(jié),而且n小于該報文的多個字節(jié)總數(shù)。而后通過隨機性驗證方法進行檢驗,該隨機性驗證方法可以是卡方檢驗算法。另外,對于n的取值,則取決于隨機性驗證方法和對整體性能影響的綜合考慮得出。S203、獲取網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子。具體的,由于抽取的多個字節(jié)為網(wǎng)絡(luò)報文應(yīng)用層數(shù)據(jù)的前n個字節(jié),所以可以根據(jù)如下第一公式計算該前n個字節(jié)對應(yīng)的碼值的隨機性因子
權(quán)利要求
1.一種深度報文檢測方法,其特征在于,所述方法包括 在接收到網(wǎng)絡(luò)報文后,對所述網(wǎng)絡(luò)報文進行網(wǎng)絡(luò)層和傳輸層的信息匹配; 當(dāng)所述網(wǎng)絡(luò)報文的網(wǎng)絡(luò)層和傳輸層的信息無法匹配時,判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布; 當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值符合均勻分布時,跳過對所述網(wǎng)絡(luò)報文的關(guān)鍵字匹配;當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值不符合均勻分布時,對所述網(wǎng)絡(luò)報文進行關(guān)鍵字匹配。
2.根據(jù)權(quán)利要求I所述的深度報文檢測方法,其特征在于,所述判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布包括 采用卡方檢驗算法判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布。
3.根據(jù)權(quán)利要求2所述的深度報文檢測方法,其特征值在于,所述采用卡方檢驗算法判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布包括 根據(jù)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的屬性獲取所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子,所述隨機性因子用于表示所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的分布隨機特性,所述碼值的屬性包括第i個字節(jié)對應(yīng)的碼值的出現(xiàn)次數(shù),所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)相關(guān)的多個字節(jié)對應(yīng)的碼值的平均出現(xiàn)次數(shù); 根據(jù)所述隨機性因子判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布。
4.根據(jù)權(quán)利要求3所述的深度報文檢測方法,其特征在于,所述根據(jù)所述隨機性因子判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布包括 將所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子與閾值門限進行比較; 當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子大于閾值門限時,則網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值不符合均勻分布; 當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子小于或等于閾值門限時,則網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值符合均勻分布。
5.根據(jù)權(quán)利要求3或4所述的深度報文檢測方法,其特征在于,所述根據(jù)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的屬性獲取所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子,包括 獲取所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值,n為所述多個字節(jié)的數(shù)量,且n小于所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的總字節(jié)數(shù); 根據(jù)如下第一公式計算所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子;y V<£h£L 八—/ , (' r I O 其中R為隨機性因子,n為所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)的字節(jié)個數(shù),Ci為第i個字節(jié)對應(yīng)的碼值的出現(xiàn)次數(shù),C為所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的平均出現(xiàn)次數(shù)。
6.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述閾值門限是根據(jù)如下公式計算得到的T = x;(n-i}, 其中T為閾值門限,n為所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)的字節(jié)個數(shù),a為顯著性水平,所述閾值門限用于表示符合均勻分布的限值。
7.根據(jù)權(quán)利要求I至6任一項所述的方法,所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)包括所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的前n個字節(jié),或者,所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的后n個字節(jié),且n小于所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的總字節(jié)數(shù)。
8.根據(jù)權(quán)利要求I至7任一項所述的方法,其特征在于,所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值包括所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的ASCII碼值。
9.根據(jù)權(quán)利要求I至8任一項所述的深度報文檢測方法,其特征在于,如果對所述網(wǎng)絡(luò)報文的關(guān)鍵字匹配無法匹配成功時,所述方法還包括 對所述網(wǎng)絡(luò)報文進行其他類型匹配,所述其他類型匹配包括協(xié)議格式的匹配或加密協(xié)議的解密匹配。
10.根據(jù)權(quán)利要求I至9任一項所述的深度報文檢測方法,其特征在于,所述對所述網(wǎng)絡(luò)報文進行網(wǎng)絡(luò)層和傳輸層的信息匹配包括 對所述網(wǎng)絡(luò)報文進行網(wǎng)絡(luò)層的IP地址與傳輸層的端口的匹配。
11.一種深度報文檢測裝置,其特征在于,所述裝置包括 匹配單元,用于在接收到網(wǎng)絡(luò)報文后,對所述網(wǎng)絡(luò)報文進行網(wǎng)絡(luò)層和傳輸層的信息匹配; 隨機性驗證單元,用于當(dāng)所述網(wǎng)絡(luò)報文的網(wǎng)絡(luò)層和傳輸層的信息無法匹配時,判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布; 所述匹配單元還用于當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值符合均勻分布時,跳過對所述網(wǎng)絡(luò)報文的關(guān)鍵字匹配;當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值不符合均勻分布時,對所述網(wǎng)絡(luò)報文進行關(guān)鍵字匹配。
12.根據(jù)權(quán)利要求11所述的深度報文檢測裝置,其特征在于,所述隨機性驗證單元具體用于 采用卡方檢驗算法判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布。
13.根據(jù)權(quán)利要求12所述的深度報文檢測裝置,其特征在于,所述隨機性驗證單元包括 隨機因子獲取子單元,用于根據(jù)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的屬性獲取所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子,所述隨機性因子用于表示所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的分布隨機特性,所述碼值的屬性包括第i個字節(jié)對應(yīng)的碼值的出現(xiàn)次數(shù),所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)相關(guān)的多個字節(jié)對應(yīng)的碼值的平均出現(xiàn)次數(shù); 均勻分布驗證子單元,用于根據(jù)所述隨機性因子判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布。
14.根據(jù)權(quán)利要求13所述的深度報文檢測裝置,其特征在于,所述均勻分布驗證子單元具體用于 將所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子與閾值門限進行比較; 當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子大于閾值門限時,則網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值不符合均勻分布; 當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子小于或等于閾值門限時,則網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值符合均勻分布。
15.根據(jù)權(quán)利要求13或14所述的深度報文檢測裝置,其特征在于,所述隨機因子獲取子單元具體用于 獲取所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值,n為所述多個字節(jié)的數(shù)量,且n小于所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的總字節(jié)數(shù); 根據(jù)如下第一公式計算所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值的隨機性因子;
16.根據(jù)權(quán)利要求14所述的深度報文檢測裝置,其特征在于,所述裝置進一步包括 閾值門限計算單元,用于根據(jù)如下公式計算得到閾值門限,所述閾值門限用于表示符合均勻分布的限值 其中T為閾值門限,n為所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)的字節(jié)個數(shù),a為顯著性水平。
17.根據(jù)權(quán)利要求11-16任一項所述的深度報文檢測裝置,其特征在于,如果對所述網(wǎng)絡(luò)報文的關(guān)鍵字匹配無法匹配成功時,所述匹配單元還用于 對所述網(wǎng)絡(luò)報文進行其他類型匹配,所述其他類型匹配包括協(xié)議格式的匹配或加密協(xié)議的解密匹配。
18.根據(jù)權(quán)利要求11-17任一項所述的深度報文檢測裝置,其特征在于,所述匹配單元具體用于 在接收到網(wǎng)絡(luò)報文后,對所述網(wǎng)絡(luò)報文進行網(wǎng)絡(luò)層的IP地址與傳輸層的端口的匹配,以及用于對所述網(wǎng)絡(luò)報文進行關(guān)鍵字匹配,以及用于對所述網(wǎng)絡(luò)報文進行其他類型匹配,所述其他類型匹配包括協(xié)議格式的匹配或加密協(xié)議的解密匹配。
19.一種移動網(wǎng)絡(luò)設(shè)備,包括數(shù)據(jù)接收裝置、業(yè)務(wù)處理裝置以及數(shù)據(jù)發(fā)送裝置,其特征在于,所述移動網(wǎng)絡(luò)設(shè)備還包括如權(quán)利要求11至18任一項所述的深度報文檢測裝置。
20.根據(jù)權(quán)利要求19所述的移動網(wǎng)絡(luò)設(shè)備,其特征在于,所述移動網(wǎng)絡(luò)設(shè)備包括無線網(wǎng)絡(luò)控制器、通用分組無線業(yè)務(wù)網(wǎng)關(guān)服務(wù)節(jié)點或業(yè)務(wù)控制網(wǎng)關(guān)。
21.一種通信系統(tǒng),包括無線基站、通用分組無線業(yè)務(wù)服務(wù)支持節(jié)點,其特征在于,所述通信系統(tǒng)還包括 如權(quán)利要求19或20所述的移動網(wǎng)絡(luò)設(shè)備。
22.一種通信系統(tǒng),包括無線基站、無線網(wǎng)絡(luò)控制器、通用分組無線業(yè)務(wù)服務(wù)支持節(jié)點、通用分組無線業(yè)務(wù)網(wǎng)關(guān)服務(wù)節(jié)點以及業(yè)務(wù)控制網(wǎng)關(guān),其特征在于,所述通信系統(tǒng)還包括如權(quán)利要求11至18任一項所述的深度報文檢測裝置。
23.一種固定網(wǎng)絡(luò)設(shè)備,包括數(shù)據(jù)接收裝置、業(yè)務(wù)處理裝置以及數(shù)據(jù)發(fā)送裝置,其特征在于,所述固定網(wǎng)絡(luò)設(shè)備還包括如權(quán)利要求11至18任一項所述的深度報文檢測裝置。
24.根據(jù)權(quán)利要求23所述的固定網(wǎng)絡(luò)設(shè)備,其特征在于,所述固定網(wǎng)絡(luò)設(shè)備包括 寬帶接入設(shè)備、寬帶接入服務(wù)器、業(yè)務(wù)控制網(wǎng)關(guān)。
25.—種通信系統(tǒng),包括寬帶接入設(shè)備,其特征在于,所述通信系統(tǒng)還包括如權(quán)利要求23或24所述的固定網(wǎng)絡(luò)設(shè)備。
26.—種通信系統(tǒng),包括寬帶接入設(shè)備、寬帶接入服務(wù)器、業(yè)務(wù)控制網(wǎng)關(guān),其特征在于,所述通信系統(tǒng)還包括如權(quán)利要求11至18任一項所述的深度報文檢測裝置。
全文摘要
本發(fā)明實施例提供一種深度報文檢測方法、裝置、網(wǎng)絡(luò)設(shè)備及系統(tǒng),涉及通信領(lǐng)域,能夠在關(guān)鍵字匹配前識別出無需進行匹配的報文,避免了網(wǎng)絡(luò)報文的無效匹配,提高了關(guān)鍵字匹配的效率,從而提升了系統(tǒng)的性能。其方法為在接收到網(wǎng)絡(luò)報文后,對所述網(wǎng)絡(luò)報文進行網(wǎng)絡(luò)層和傳輸層的信息匹配;當(dāng)所述網(wǎng)絡(luò)報文的網(wǎng)絡(luò)層和傳輸層的信息無法匹配時,判斷所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值是否符合均勻分布;當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值符合均勻分布時,跳過對所述網(wǎng)絡(luò)報文的關(guān)鍵字匹配;當(dāng)所述網(wǎng)絡(luò)報文的應(yīng)用層數(shù)據(jù)的多個字節(jié)對應(yīng)的碼值不符合均勻分布時,對所述網(wǎng)絡(luò)報文進行關(guān)鍵字匹配。
文檔編號H04L29/06GK102780588SQ20121016038
公開日2012年11月14日 申請日期2012年5月22日 優(yōu)先權(quán)日2012年5月22日
發(fā)明者夏伊·霍羅威茨, 梁標, 邱經(jīng)忠 申請人:華為技術(shù)有限公司