專利名稱:深度報文檢測方法、裝置、網(wǎng)絡設備及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信領域,尤其涉及一種深度報文檢測方法、裝置、網(wǎng)絡設備及系統(tǒng)。
背景技術:
深層包檢測技術,(Deep Packet Inspection, DPI)技術是一種基于應用層的流量檢測和控制技術,當IP數(shù)據(jù)包、TCP (Transmission Control Protocol,傳輸控制協(xié)議)或UDP(User Datagram Protocol,用戶數(shù)據(jù)包協(xié)議)數(shù)據(jù)流通過基于DPI技術的帶寬管理系統(tǒng)時,該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容來對OSI (Open System Interconnect,開放式系統(tǒng)互聯(lián))七層協(xié)議中的應用層信息進行重組,從而得到整個應用程序的內(nèi)容,然后按照
系統(tǒng)定義的管理策略對流量進行整形操作。面對日益增長的P2P (Peer-to-Peer,點對點技術)業(yè)務流,DPI技術被認為是對付網(wǎng)絡多業(yè)務所帶來的管理和控制挑戰(zhàn)的有效方法。在DPI技術中,以基于關鍵字的識別技術最為基礎,應用最為廣泛。DPI的關鍵就在于,它要不斷地在格式不定的數(shù)據(jù)包中判斷出各種關鍵字,實現(xiàn)這一過程的基礎技術就是模式匹配,通俗地講,就是字符串匹配,即從數(shù)據(jù)中搜索是否存在目標字符串。目前,模式匹配可分為單模式匹配算法和多模式匹配算法。其中,單模式匹配算法指在目標串中I次掃描只能對I個模式串進行匹配的算法,對于單模式匹配算法,如果要匹配多個模式,那么有幾個模式就需要幾趟遍歷。最常用的單模式匹配算法有KMP(Knuth-Morris-PrattAlgorithm)算法、BM(Boyer-More)算法、RK算法等;多模式匹配算法指在目標串中I次掃描可同時對多個模式串進行匹配的算法,與單模式匹配算法相比,多模式匹配算法的優(yōu)勢在于一趟遍歷可以對多個模式進行匹配,從而大大提高了匹配效率。目前最常用的多模式匹配算法有AC(Aho-Corasick)算法和AC-BM算法。由于現(xiàn)有的DPI技術需要對網(wǎng)絡數(shù)據(jù)包7層內(nèi)容進行掃描和計算,性能開銷十分大,在一些對性能十分敏感的網(wǎng)絡設備如匯聚網(wǎng)關、核心路由器中如果打開DPI功能,其性能往往降低到原有吞吐量的10% 20%。因此如何提升DPI技術的性能,是各個DPI設備制造商關鍵競爭力所在。DPI技術由于需要支持成百上千協(xié)議的關鍵字匹配,因此高效的多模式關鍵字匹配算法是DPI重中之重的核心技術。現(xiàn)有技術中常見的DPI匹配過程為在DPI系統(tǒng)在接收到網(wǎng)絡報文之后,首先對IP報文進行L3層(網(wǎng)絡層)和L4層(傳輸層)的信息匹配,即IP地址和端口信息的匹配;如果未能查詢到相關的匹配,那么將進行多模關鍵字匹配;如果多模式匹配未能匹配到任何關鍵字,那么進行其他匹配過程(如對協(xié)議格式的匹配,或針對加密協(xié)議的解密匹配等)的處理。由于多模式關鍵字匹配由于需要對整個網(wǎng)絡報文進行掃描,性能消耗巨大。大量的統(tǒng)計表明,多模式關鍵字匹配階段成了 DPI匹配中的主要性能瓶頸之一(約占總DPI匹配性能消耗的三分之一左右)。目前,隨著P2P文件共享應用技術的出現(xiàn),其流量已超過HTTP (HypertextTransport Protocol,超文本傳送協(xié)議)流量成為互聯(lián)網(wǎng)上的主流量,然而現(xiàn)在有很多的P2P協(xié)議采用加密協(xié)議進行封裝,從而消除關鍵字以避免DPI檢測,因此傳統(tǒng)的基于關鍵字匹配的DPI技術已經(jīng)對這種P2P加密流量失效。這就導致了每一個P2P加密網(wǎng)路報文在進行多模式關鍵字匹配時都需要掃描整個報文但卻無法匹配到任何關鍵字。根據(jù)大量的測試統(tǒng)計表明,對于當前的網(wǎng)絡流量,多模式關鍵字匹配的成功率只占10%左右,這意味著90%的多模式關鍵字匹配的性能消耗是無意義的,導致系統(tǒng)的性能十分低下。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種深度報文檢測方法、裝置、網(wǎng)絡設備及系統(tǒng),能夠在關鍵字匹配前識別出無需進行匹配的報文,提高了關鍵字匹配的效率,從而提升了系統(tǒng)的性能。本發(fā)明的實施例采用如下技術方案本發(fā)明實施例提供一種深度報文檢測方法,包括
在接收到網(wǎng)絡報文后,對所述網(wǎng)絡報文進行網(wǎng)絡層和傳輸層的信息匹配;當所述網(wǎng)絡報文的網(wǎng)絡層和傳輸層的信息無法匹配時,判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布;當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值符合均勻分布時,跳過對所述網(wǎng)絡報文的關鍵字匹配;當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值不符合均勻分布時,對所述網(wǎng)絡報文進行關鍵字匹配。本發(fā)明實施例提供一種深度報文檢測裝置,包括匹配單元,用于在接收到網(wǎng)絡報文后,對所述網(wǎng)絡報文進行網(wǎng)絡層和傳輸層的信息匹配;隨機性驗證單元,用于當所述網(wǎng)絡報文的網(wǎng)絡層和傳輸層的信息無法匹配時,判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布;所述匹配單元還用于當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值符合均勻分布時,跳過對所述網(wǎng)絡報文的關鍵字匹配;當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值不符合均勻分布時,對所述網(wǎng)絡報文進行關鍵字匹配。本發(fā)明實施例還提供一種移動網(wǎng)絡設備,包括數(shù)據(jù)接收裝置、業(yè)務處理裝置以及數(shù)據(jù)發(fā)送裝置,其特征在于,所述移動網(wǎng)絡設備還包括所述的深度報文檢測裝置。本發(fā)明實施例還提供一種通信系統(tǒng),包括無線基站、通用分組無線業(yè)務服務支持節(jié)點,所述通信系統(tǒng)還包括所述移動網(wǎng)絡設備。本發(fā)明實施例還提供一種通信系統(tǒng),包括無線基站、無線網(wǎng)絡控制器、通用分組無線業(yè)務服務支持節(jié)點、通用分組無線業(yè)務網(wǎng)關服務節(jié)點以及業(yè)務控制網(wǎng)關,所述通信系統(tǒng)還包括所述深度報文檢測裝置。本發(fā)明實施例還提供一種固定網(wǎng)絡設備,包括數(shù)據(jù)接收裝置、業(yè)務處理裝置以及數(shù)據(jù)發(fā)送裝置,所述固定網(wǎng)絡設備還包括所述的深度報文檢測裝置。本發(fā)明實施例還提供一種通信系統(tǒng),包括寬帶接入設備,其特征在于,所述通信系統(tǒng)還包括所述固定網(wǎng)絡設備。本發(fā)明實施例還提供一種通信系統(tǒng),包括寬帶接入設備、寬帶接入服務器、業(yè)務控制網(wǎng)關,所述通信系統(tǒng)還包括所述深度報文檢測裝置。本發(fā)明的實施例提供一種深度報文檢測方法、裝置、網(wǎng)絡設備及系統(tǒng),通過判斷網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布,在關鍵字匹配前就識別出無需進行匹配的報文,這樣大大避免了網(wǎng)絡報文的無效匹配,提高了關鍵字匹配的效率,從而提升了系統(tǒng)的性能。
為了更清楚地說明本發(fā)明實施 例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖I為本發(fā)明實施例提供的一種深度報文檢測方法的流程示意圖;圖2為本發(fā)明另一實施例提供的一種深度報文檢測方法的流程示意圖;圖3為本發(fā)明實施例提供的一種深度報文檢測裝置的結(jié)構(gòu)示意圖;圖4為本發(fā)明另一實施例提供的一種深度報文檢測裝置的結(jié)構(gòu)示意圖;圖5為本發(fā)明另一實施例提供的另一種深度報文檢測裝置的結(jié)構(gòu)示意圖;圖6為本發(fā)明實施例提供的一種移動網(wǎng)絡設備的結(jié)構(gòu)示意圖;圖7a為本發(fā)明實施例提供的一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖7b為本發(fā)明實施例提供的另一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖7c為本發(fā)明實施例提供的又一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖7d為本發(fā)明實施例提供的再一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖7e為本發(fā)明實施例提供的再一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖8為本發(fā)明實施例提供的一種固定網(wǎng)絡設備的結(jié)構(gòu)示意圖;圖9a為本發(fā)明另一實施例提供的一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖9b為本發(fā)明另一實施例提供的另一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖9c為本發(fā)明另一實施例提供的又一種通信系統(tǒng)的結(jié)構(gòu)示意圖;圖9d為本發(fā)明另一實施例提供的再一種通信系統(tǒng)的結(jié)構(gòu)示意圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。本發(fā)明實施例提供一種深度報文檢測方法,如圖I所示,該方法包括S101、在接收到網(wǎng)絡報文后,對網(wǎng)絡報文進行網(wǎng)絡層和傳輸層的信息匹配。其中,在一種實現(xiàn)方式下,對網(wǎng)絡報文進行網(wǎng)絡層和傳輸層的信息匹配即對網(wǎng)絡報文進行網(wǎng)絡層的IP地址與傳輸層的端口的匹配。S102、當網(wǎng)絡報文的網(wǎng)絡層和傳輸層的信息無法匹配時,判斷網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布。其中,在一種實現(xiàn)方式下,可以采用卡方檢驗算法來判斷網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布。應當理解的是,還可以采用其他類型的均勻分布的驗證算法,本發(fā)明實施例對此不作限定。在不同的實現(xiàn)方式下,所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)包括所述網(wǎng)絡報文的應用層數(shù)據(jù)的前n個字節(jié),或者,所述網(wǎng)絡報文的應用層數(shù)據(jù)的后n個字節(jié),且n小于所述網(wǎng)絡報文的應用層數(shù)據(jù)的總字節(jié)數(shù)。其中,所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值包括所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的ASCII碼值。S103、當網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值符合均勻分布時,跳過對網(wǎng)絡報文的關鍵字匹配;當網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值不符合均勻分布時,對網(wǎng)絡報文進行關鍵字匹配。本發(fā)明實施例的深度報文檢測方法中,如果采用卡方檢驗算法判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布,則具體的過程可以包括
根據(jù)所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的屬性獲取所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子,所述隨機性因子用于表示所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的分布隨機特性,所述碼值的屬性包括第i個字節(jié)對應的碼值的出現(xiàn)次數(shù),所述網(wǎng)絡報文的應用層數(shù)據(jù)相關的多個字節(jié)對應的碼值的平均出現(xiàn)次數(shù);根據(jù)所述隨機性因子判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布。進一步的,在一種實現(xiàn)方式下,前述根據(jù)所述隨機性因子判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布的過程可以包括將所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子與閾值門限進行比較;當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子大于閾值門限時,則網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值不符合均勻分布;當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子小于或等于閾值門限時,則網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值符合均勻分布。進一步的,本發(fā)明實施例的深度報文檢測方法中,如果對網(wǎng)絡報文的關鍵字匹配無法匹配成功時,還包括對網(wǎng)絡報文進行其他類型匹配,其他類型匹配包括協(xié)議格式的匹配或加密協(xié)議的解密匹配。本發(fā)明的實施例提供的深度報文檢測方法可以應用于移動網(wǎng)絡或者固定網(wǎng)絡,對于移動網(wǎng)絡,該深度報文檢測方法的執(zhí)行主體可以包括但不限于無線網(wǎng)絡控制器(RadioNetwork Controller, RNC)、通用分組無線業(yè)務網(wǎng)關支持節(jié)點(Gateway GPRS SupportNode, GGSN)或業(yè)務控制網(wǎng)關(Service Control Gateway, SCG);對于固定網(wǎng)絡,該深度報文檢測方法的執(zhí)行主體可以包括但不限于寬帶接入服務器(寬帶接入服務器(BroadbandRemote Access Server, BRAS)/ 業(yè)務路由器(Service Router, SR))或業(yè)務控制網(wǎng)關(Service Control Gateway, SCG)。可見,本發(fā)明的實施例提供的深度報文檢測方法,通過判斷網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布,在關鍵字匹配前就識別出無需進行關鍵字匹配的報文,這樣大大避免了網(wǎng)絡報文的無效匹配,提高了關鍵字匹配的效率,從而提升了系統(tǒng)的性能。本發(fā)明的另一實施例提供一種深度報文檢測方法,如圖2所示,該方法包括S201、在接收到網(wǎng)絡報文后對網(wǎng)絡報文進行網(wǎng)絡層和傳輸層的信息匹配,當網(wǎng)絡報文的網(wǎng)絡層和傳輸層的信息無法匹配時執(zhí)行步驟S202 ;否則,執(zhí)行步驟S207。具體的,以DPI (Deep Packet Inspection,深度報文檢測)系統(tǒng)為例,通常在接收到網(wǎng)絡報文后,首先要進行OSI (Open System Interconnection,開放系統(tǒng)互連)的第三層L3信息和第四層L4信息的匹配,也就是網(wǎng)絡層的IP信息和傳輸層的端口信息的匹配,例如DNS (Domain Name System,域名系統(tǒng))協(xié)議的端口 53或HTTP協(xié)議的端口 80等。S202、獲取網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值。例如,目前,通過對P2P加密報文的流量的分析,發(fā)現(xiàn)這些網(wǎng)絡報文各個字節(jié)的ASCII (American Standard Code for Information Interchange,美國信息互換標準代石馬)碼值幾乎都是隨機的,每個字節(jié)的ASCII碼值在
的區(qū)間內(nèi)形成均勻分布,而其他一些如HTTP協(xié)議的網(wǎng)絡報文各個字節(jié)ASCII碼值則基本集中在區(qū)間[32,126]。因此,如果在進行多模式匹配前識別出接收到的網(wǎng)絡報文的應用層數(shù)據(jù)的各字節(jié)的ASCII碼值是否符合均勻分布,就可以判斷該網(wǎng)絡報文是否為加密報文。由于對可實現(xiàn)性的考慮,以及加密報文的每個字節(jié)ASCII碼值在
的區(qū)間內(nèi)為均勻分布,可以抽取該網(wǎng)絡報文的多個字節(jié)對應的碼值,該多個字節(jié)的可以是網(wǎng)絡報文應用層數(shù)據(jù)的前n個字節(jié)的或者是網(wǎng)絡報文的應用層數(shù)據(jù)的后n個字節(jié)。一般情況下,抽取該網(wǎng)絡報文的前n個字節(jié),而且n小于該報文的多個字節(jié)總數(shù)。而后通過隨機性驗證方法進行檢驗,該隨機性驗證方法可以是卡方檢驗算法。另外,對于n的取值,則取決于隨機性驗證方法和對整體性能影響的綜合考慮得出。S203、獲取網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子。具體的,由于抽取的多個字節(jié)為網(wǎng)絡報文應用層數(shù)據(jù)的前n個字節(jié),所以可以根據(jù)如下第一公式計算該前n個字節(jié)對應的碼值的隨機性因子
權利要求
1.一種深度報文檢測方法,其特征在于,所述方法包括 在接收到網(wǎng)絡報文后,對所述網(wǎng)絡報文進行網(wǎng)絡層和傳輸層的信息匹配; 當所述網(wǎng)絡報文的網(wǎng)絡層和傳輸層的信息無法匹配時,判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布; 當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值符合均勻分布時,跳過對所述網(wǎng)絡報文的關鍵字匹配;當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值不符合均勻分布時,對所述網(wǎng)絡報文進行關鍵字匹配。
2.根據(jù)權利要求I所述的深度報文檢測方法,其特征在于,所述判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布包括 采用卡方檢驗算法判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布。
3.根據(jù)權利要求2所述的深度報文檢測方法,其特征值在于,所述采用卡方檢驗算法判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布包括 根據(jù)所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的屬性獲取所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子,所述隨機性因子用于表示所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的分布隨機特性,所述碼值的屬性包括第i個字節(jié)對應的碼值的出現(xiàn)次數(shù),所述網(wǎng)絡報文的應用層數(shù)據(jù)相關的多個字節(jié)對應的碼值的平均出現(xiàn)次數(shù); 根據(jù)所述隨機性因子判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布。
4.根據(jù)權利要求3所述的深度報文檢測方法,其特征在于,所述根據(jù)所述隨機性因子判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布包括 將所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子與閾值門限進行比較; 當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子大于閾值門限時,則網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值不符合均勻分布; 當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子小于或等于閾值門限時,則網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值符合均勻分布。
5.根據(jù)權利要求3或4所述的深度報文檢測方法,其特征在于,所述根據(jù)所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的屬性獲取所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子,包括 獲取所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值,n為所述多個字節(jié)的數(shù)量,且n小于所述網(wǎng)絡報文的應用層數(shù)據(jù)的總字節(jié)數(shù); 根據(jù)如下第一公式計算所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子;y V<£h£L 八—/ , (' r I O 其中R為隨機性因子,n為所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)的字節(jié)個數(shù),Ci為第i個字節(jié)對應的碼值的出現(xiàn)次數(shù),C為所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的平均出現(xiàn)次數(shù)。
6.根據(jù)權利要求4所述的方法,其特征在于,所述閾值門限是根據(jù)如下公式計算得到的T = x;(n-i}, 其中T為閾值門限,n為所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)的字節(jié)個數(shù),a為顯著性水平,所述閾值門限用于表示符合均勻分布的限值。
7.根據(jù)權利要求I至6任一項所述的方法,所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)包括所述網(wǎng)絡報文的應用層數(shù)據(jù)的前n個字節(jié),或者,所述網(wǎng)絡報文的應用層數(shù)據(jù)的后n個字節(jié),且n小于所述網(wǎng)絡報文的應用層數(shù)據(jù)的總字節(jié)數(shù)。
8.根據(jù)權利要求I至7任一項所述的方法,其特征在于,所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值包括所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的ASCII碼值。
9.根據(jù)權利要求I至8任一項所述的深度報文檢測方法,其特征在于,如果對所述網(wǎng)絡報文的關鍵字匹配無法匹配成功時,所述方法還包括 對所述網(wǎng)絡報文進行其他類型匹配,所述其他類型匹配包括協(xié)議格式的匹配或加密協(xié)議的解密匹配。
10.根據(jù)權利要求I至9任一項所述的深度報文檢測方法,其特征在于,所述對所述網(wǎng)絡報文進行網(wǎng)絡層和傳輸層的信息匹配包括 對所述網(wǎng)絡報文進行網(wǎng)絡層的IP地址與傳輸層的端口的匹配。
11.一種深度報文檢測裝置,其特征在于,所述裝置包括 匹配單元,用于在接收到網(wǎng)絡報文后,對所述網(wǎng)絡報文進行網(wǎng)絡層和傳輸層的信息匹配; 隨機性驗證單元,用于當所述網(wǎng)絡報文的網(wǎng)絡層和傳輸層的信息無法匹配時,判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布; 所述匹配單元還用于當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值符合均勻分布時,跳過對所述網(wǎng)絡報文的關鍵字匹配;當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值不符合均勻分布時,對所述網(wǎng)絡報文進行關鍵字匹配。
12.根據(jù)權利要求11所述的深度報文檢測裝置,其特征在于,所述隨機性驗證單元具體用于 采用卡方檢驗算法判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布。
13.根據(jù)權利要求12所述的深度報文檢測裝置,其特征在于,所述隨機性驗證單元包括 隨機因子獲取子單元,用于根據(jù)所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的屬性獲取所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子,所述隨機性因子用于表示所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的分布隨機特性,所述碼值的屬性包括第i個字節(jié)對應的碼值的出現(xiàn)次數(shù),所述網(wǎng)絡報文的應用層數(shù)據(jù)相關的多個字節(jié)對應的碼值的平均出現(xiàn)次數(shù); 均勻分布驗證子單元,用于根據(jù)所述隨機性因子判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布。
14.根據(jù)權利要求13所述的深度報文檢測裝置,其特征在于,所述均勻分布驗證子單元具體用于 將所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子與閾值門限進行比較; 當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子大于閾值門限時,則網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值不符合均勻分布; 當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子小于或等于閾值門限時,則網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值符合均勻分布。
15.根據(jù)權利要求13或14所述的深度報文檢測裝置,其特征在于,所述隨機因子獲取子單元具體用于 獲取所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值,n為所述多個字節(jié)的數(shù)量,且n小于所述網(wǎng)絡報文的應用層數(shù)據(jù)的總字節(jié)數(shù); 根據(jù)如下第一公式計算所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值的隨機性因子;
16.根據(jù)權利要求14所述的深度報文檢測裝置,其特征在于,所述裝置進一步包括 閾值門限計算單元,用于根據(jù)如下公式計算得到閾值門限,所述閾值門限用于表示符合均勻分布的限值 其中T為閾值門限,n為所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)的字節(jié)個數(shù),a為顯著性水平。
17.根據(jù)權利要求11-16任一項所述的深度報文檢測裝置,其特征在于,如果對所述網(wǎng)絡報文的關鍵字匹配無法匹配成功時,所述匹配單元還用于 對所述網(wǎng)絡報文進行其他類型匹配,所述其他類型匹配包括協(xié)議格式的匹配或加密協(xié)議的解密匹配。
18.根據(jù)權利要求11-17任一項所述的深度報文檢測裝置,其特征在于,所述匹配單元具體用于 在接收到網(wǎng)絡報文后,對所述網(wǎng)絡報文進行網(wǎng)絡層的IP地址與傳輸層的端口的匹配,以及用于對所述網(wǎng)絡報文進行關鍵字匹配,以及用于對所述網(wǎng)絡報文進行其他類型匹配,所述其他類型匹配包括協(xié)議格式的匹配或加密協(xié)議的解密匹配。
19.一種移動網(wǎng)絡設備,包括數(shù)據(jù)接收裝置、業(yè)務處理裝置以及數(shù)據(jù)發(fā)送裝置,其特征在于,所述移動網(wǎng)絡設備還包括如權利要求11至18任一項所述的深度報文檢測裝置。
20.根據(jù)權利要求19所述的移動網(wǎng)絡設備,其特征在于,所述移動網(wǎng)絡設備包括無線網(wǎng)絡控制器、通用分組無線業(yè)務網(wǎng)關服務節(jié)點或業(yè)務控制網(wǎng)關。
21.一種通信系統(tǒng),包括無線基站、通用分組無線業(yè)務服務支持節(jié)點,其特征在于,所述通信系統(tǒng)還包括 如權利要求19或20所述的移動網(wǎng)絡設備。
22.一種通信系統(tǒng),包括無線基站、無線網(wǎng)絡控制器、通用分組無線業(yè)務服務支持節(jié)點、通用分組無線業(yè)務網(wǎng)關服務節(jié)點以及業(yè)務控制網(wǎng)關,其特征在于,所述通信系統(tǒng)還包括如權利要求11至18任一項所述的深度報文檢測裝置。
23.一種固定網(wǎng)絡設備,包括數(shù)據(jù)接收裝置、業(yè)務處理裝置以及數(shù)據(jù)發(fā)送裝置,其特征在于,所述固定網(wǎng)絡設備還包括如權利要求11至18任一項所述的深度報文檢測裝置。
24.根據(jù)權利要求23所述的固定網(wǎng)絡設備,其特征在于,所述固定網(wǎng)絡設備包括 寬帶接入設備、寬帶接入服務器、業(yè)務控制網(wǎng)關。
25.—種通信系統(tǒng),包括寬帶接入設備,其特征在于,所述通信系統(tǒng)還包括如權利要求23或24所述的固定網(wǎng)絡設備。
26.—種通信系統(tǒng),包括寬帶接入設備、寬帶接入服務器、業(yè)務控制網(wǎng)關,其特征在于,所述通信系統(tǒng)還包括如權利要求11至18任一項所述的深度報文檢測裝置。
全文摘要
本發(fā)明實施例提供一種深度報文檢測方法、裝置、網(wǎng)絡設備及系統(tǒng),涉及通信領域,能夠在關鍵字匹配前識別出無需進行匹配的報文,避免了網(wǎng)絡報文的無效匹配,提高了關鍵字匹配的效率,從而提升了系統(tǒng)的性能。其方法為在接收到網(wǎng)絡報文后,對所述網(wǎng)絡報文進行網(wǎng)絡層和傳輸層的信息匹配;當所述網(wǎng)絡報文的網(wǎng)絡層和傳輸層的信息無法匹配時,判斷所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值是否符合均勻分布;當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值符合均勻分布時,跳過對所述網(wǎng)絡報文的關鍵字匹配;當所述網(wǎng)絡報文的應用層數(shù)據(jù)的多個字節(jié)對應的碼值不符合均勻分布時,對所述網(wǎng)絡報文進行關鍵字匹配。
文檔編號H04L29/06GK102780588SQ20121016038
公開日2012年11月14日 申請日期2012年5月22日 優(yōu)先權日2012年5月22日
發(fā)明者夏伊·霍羅威茨, 梁標, 邱經(jīng)忠 申請人:華為技術有限公司