用于數(shù)據(jù)處理的系統(tǒng)和方法
【專(zhuān)利摘要】本發(fā)明涉及一種用于數(shù)據(jù)處理的方法和系統(tǒng),其中����,所述系統(tǒng)包括:接口����,其用于接收指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)��,其中所述數(shù)據(jù)包含所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文的應(yīng)用層載荷�;以及��,自學(xué)習(xí)引擎�����,其用于根據(jù)所述接收的數(shù)據(jù)利用文法推斷來(lái)產(chǎn)生所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式���。利用該方法和系統(tǒng)��,可以消除人工配置DPI模式的繁瑣工作并避免了人工操作可能導(dǎo)致的各種錯(cuò)誤���。
【專(zhuān)利說(shuō)明】用于數(shù)據(jù)處理的系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,更具體地�,涉及網(wǎng)絡(luò)安全領(lǐng)域中的深度報(bào)文檢測(cè)技術(shù)?��!颈尘凹夹g(shù)】
[0002]深度報(bào)文檢測(cè)(DPI)是對(duì)數(shù)據(jù)報(bào)文的有效載荷(從層3到層7)進(jìn)行檢測(cè)的網(wǎng)絡(luò)報(bào)文處理裝置����,用于檢查網(wǎng)絡(luò)業(yè)務(wù)中的協(xié)議不一致性、病毒��、垃圾郵件���、入侵等�����,或者基于其他預(yù)定義的模式或規(guī)則來(lái)檢查網(wǎng)絡(luò)業(yè)務(wù)�,從而決定要對(duì)網(wǎng)絡(luò)業(yè)務(wù)中的數(shù)據(jù)報(bào)文采取什么動(dòng)作�。DPI將入侵檢測(cè)系統(tǒng)(IDS)和入侵防護(hù)系統(tǒng)(IPS)的功能與傳統(tǒng)的狀態(tài)防火墻結(jié)合了起來(lái)。這種結(jié)合將傳統(tǒng)防火墻的過(guò)濾與檢測(cè)從TCP/IP層向上擴(kuò)展到了應(yīng)用層��,并且能夠檢查整個(gè)網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文流�。DPI能夠基于與報(bào)文數(shù)據(jù)有效載荷中提取的信息所對(duì)應(yīng)的簽名數(shù)據(jù)庫(kù)來(lái)對(duì)網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行識(shí)別和分類(lèi),從而比僅基于數(shù)據(jù)報(bào)文頭部的分類(lèi)實(shí)現(xiàn)更精細(xì)的控制�����。因此�,DPI能夠用于阻止各種各樣的攻擊。分類(lèi)后的數(shù)據(jù)報(bào)文可以被重定向���、作標(biāo)記/加標(biāo)簽�����、阻止����、速率限制以及記錄以用于將來(lái)分析����。
[0003]由于DPI使得能夠?qū)崿F(xiàn)高級(jí)網(wǎng)絡(luò)管理、用戶(hù)服務(wù)��、安全功能以及互聯(lián)網(wǎng)數(shù)據(jù)挖掘等�����,目前許多企業(yè)���、公司�、服務(wù)提供者和政府正在廣泛的應(yīng)用中使用DPI��。
[0004]類(lèi)似于傳統(tǒng)的IDS/IPS�����,DPI的能力取決于模式匹配技術(shù)。在實(shí)踐中�,DPI是基于描述網(wǎng)絡(luò)業(yè)務(wù)特性的一組模式(或簽名),該模式(或簽名)描述了合法業(yè)務(wù)(肯定模式)或攻擊業(yè)務(wù)(否定模式)的特性�。DPI僅僅能夠檢測(cè)具有已知模式(肯定模式)的網(wǎng)絡(luò)協(xié)議業(yè)務(wù),或者識(shí)別由否定模式定義的網(wǎng)絡(luò)攻擊���。因此��,模式是DPI中的核心角色���。
[0005]但是在當(dāng)前,定義DPI模式主要依賴(lài)于人工操作����,并且工程師或用戶(hù)必須使用正則表達(dá)式或其他形式化語(yǔ)言來(lái)描述網(wǎng)絡(luò)協(xié)議業(yè)務(wù)模式或攻擊模式的特性。圖1示出了現(xiàn)有技術(shù)中的一種深度報(bào)文檢測(cè)(DPI)系統(tǒng)100��,其包括模式容器103和DPI匹配引擎105���。在上述深度報(bào)文檢測(cè)(DPI)系統(tǒng)100中�����,工程師或用戶(hù)必須人工地使用正則表達(dá)式或其他形式化語(yǔ)言來(lái)定義合法業(yè)務(wù)模式(肯定模式)或攻擊模式(否定模式)�����,并將這些模式輸入到模式容器103中進(jìn)行存儲(chǔ)�����。之后�����,DPI匹配引擎105可以使用模式容器103中存儲(chǔ)的各種模式進(jìn)行業(yè)務(wù)的識(shí)別和分類(lèi)�����。在上述深度報(bào)文檢測(cè)(DPI)系統(tǒng)100中��,無(wú)論增加����、刪除還是更新模式都需要工程師或用戶(hù)的人工參與����,顯然����,這種方式是復(fù)雜的�、成本高昂的以及易出錯(cuò)的。
【發(fā)明內(nèi)容】
[0006]考慮到現(xiàn)有技術(shù)的以上問(wèn)題����,本發(fā)明實(shí)施例提供了一種用于數(shù)據(jù)處理的方案,其可以消除人工配置DPI模式的繁瑣工作��,并可避免人工操作可能導(dǎo)致的各種錯(cuò)誤�。
[0007]按照本發(fā)明實(shí)施例的一種用于數(shù)據(jù)處理的系統(tǒng),包括:接口���,其用于接收指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)���,其中,所述數(shù)據(jù)包含所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文的應(yīng)用層載荷��;以及���,自學(xué)習(xí)引擎��,其用于根據(jù)所述接收的數(shù)據(jù)利用文法推斷來(lái)產(chǎn)生所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式���。
[0008]其中����,所述系統(tǒng)還包括:匹配引擎��,基于所述模式來(lái)檢查待監(jiān)測(cè)的數(shù)據(jù)報(bào)文所屬的網(wǎng)絡(luò)業(yè)務(wù)類(lèi)型�,即指定的網(wǎng)絡(luò)業(yè)務(wù)是合法的網(wǎng)絡(luò)業(yè)務(wù)還是非法的網(wǎng)絡(luò)業(yè)務(wù)。
[0009]其中����,所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)是所述應(yīng)用層載荷�����,以及����,所述自學(xué)習(xí)引擎包括自學(xué)習(xí)內(nèi)核,用于對(duì)所述應(yīng)用層載荷進(jìn)行文法推斷以生成壓縮形式結(jié)構(gòu)的模式����,作為所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式。
[0010]其中��,所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)是所述數(shù)據(jù)報(bào)文,所述自學(xué)習(xí)引擎包括:預(yù)處理器�,用于從所述數(shù)據(jù)報(bào)文中提取所述應(yīng)用層載荷;以及��,自學(xué)習(xí)內(nèi)核�����,用于對(duì)所提取的應(yīng)用層載荷進(jìn)行文法推斷以生成壓縮形式結(jié)構(gòu)的模式�����,作為所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式����。
[0011]其中,所述自學(xué)習(xí)引擎還包括:翻譯器�����,用于將所述壓縮形式結(jié)構(gòu)的模式轉(zhuǎn)換為形式文法的模式����,作為所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式。
[0012]其中����,所述系統(tǒng)還包括:模式容器���,其用于存儲(chǔ)所述產(chǎn)生的模式。
[0013]其中�����,所述指定網(wǎng)絡(luò)業(yè)務(wù)包括合法的網(wǎng)絡(luò)業(yè)務(wù)和非法的網(wǎng)絡(luò)業(yè)務(wù)中的至少一種��。
[0014]按照本發(fā)明實(shí)施例的一種用于數(shù)據(jù)處理的方法�����,包括:接收指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)���,其中,所述數(shù)據(jù)包含所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文的應(yīng)用層載荷���;以及���,根據(jù)所述接收的數(shù)據(jù)利用文法推斷來(lái)產(chǎn)生所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式。
[0015]其中����,所述方法還包括:基于所述模式來(lái)檢查待監(jiān)測(cè)的數(shù)據(jù)報(bào)文所屬的網(wǎng)絡(luò)業(yè)務(wù)類(lèi)型���。
[0016]其中,所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)是所述應(yīng)用層載荷���,所述產(chǎn)生步驟包括:對(duì)所述應(yīng)用層載荷進(jìn)行文法推斷以生成壓縮形式結(jié)構(gòu)的模式��,作為所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式�。
[0017]其中�,所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)是所述數(shù)據(jù)報(bào)文,
[0018]所述產(chǎn)生步驟包括:從所述數(shù)據(jù)報(bào)文中提取所述應(yīng)用層載荷�����;以及�����,對(duì)所提取的應(yīng)用層載荷進(jìn)行文法推斷以生成壓縮形式結(jié)構(gòu)的模式�,作為所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式。
[0019]其中���,所述產(chǎn)生步驟還包括:將所述壓縮形式結(jié)構(gòu)的模式轉(zhuǎn)換為形式文法的模式����,作為所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式。
[0020]其中��,所述方法還包括:存儲(chǔ)所述產(chǎn)生的網(wǎng)絡(luò)業(yè)務(wù)模式��。
[0021 ] 其中����,所述指定網(wǎng)絡(luò)業(yè)務(wù)包括合法的網(wǎng)絡(luò)業(yè)務(wù)和非法的網(wǎng)絡(luò)業(yè)務(wù)中的至少一種。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0022]參考附圖詳細(xì)描述了本發(fā)明�����,應(yīng)當(dāng)理解����,附圖以及相應(yīng)的描述應(yīng)當(dāng)被理解為是說(shuō)明性的而非限制性的��,其中:
[0023]圖1示出了現(xiàn)有技術(shù)中的一種深度報(bào)文檢測(cè)系統(tǒng)��;
[0024]圖2示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于數(shù)據(jù)處理的系統(tǒng)的示意圖�����;
[0025]圖3示出了根據(jù)本發(fā)明的另一個(gè)實(shí)施例的用于數(shù)據(jù)處理的系統(tǒng)的示意圖;
[0026]圖4示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的自學(xué)習(xí)引擎的示意圖�����;
[0027]圖5示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于數(shù)據(jù)處理的方法的流程圖��;以及
[0028]圖6示出了根據(jù)本發(fā)明的另一個(gè)實(shí)施例的用于數(shù)據(jù)處理的設(shè)備的示意圖�����。
【具體實(shí)施方式】
[0029]下文將以明確易懂的方式通過(guò)對(duì)優(yōu)選實(shí)施例的說(shuō)明并結(jié)合附圖來(lái)對(duì)本發(fā)明上述特性�、技術(shù)特征、優(yōu)點(diǎn)及其實(shí)現(xiàn)方式予以進(jìn)一步說(shuō)明�����。應(yīng)當(dāng)理解���,這些優(yōu)選實(shí)施例僅僅用于對(duì)本發(fā)明進(jìn)行示例說(shuō)明���,其并非限制性的。
[0030]對(duì)于深度報(bào)文檢測(cè)產(chǎn)品�����,其模式是它們對(duì)網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行檢測(cè)的能力的核心。但是���,對(duì)于用戶(hù)或工程師而言���,根據(jù)網(wǎng)絡(luò)協(xié)議業(yè)務(wù)的合法特征或攻擊特征通過(guò)使用正則表達(dá)式或其他形式化語(yǔ)言來(lái)人工地定義模式是復(fù)雜的、耗時(shí)的并且易出錯(cuò)的����。另外,這也增加了深度報(bào)文檢測(cè)產(chǎn)品的維護(hù)成本��。
[0031]文法推斷(grammatical inference),也稱(chēng)為文法歸納或句法模式識(shí)別��,是指一種機(jī)器學(xué)習(xí)技術(shù)�����,該機(jī)器學(xué)習(xí)技術(shù)從一組樣本中學(xué)習(xí)對(duì)應(yīng)的形式化文法從而構(gòu)造出考慮了所述樣本特性的模型����。文法推斷是歸納學(xué)習(xí)的特定示例,該歸納學(xué)習(xí)過(guò)程為從樣本中發(fā)現(xiàn)其公共結(jié)構(gòu)的過(guò)程��。通?�?隙颖竞?或否定樣本用于上述歸納學(xué)習(xí)過(guò)程���?��?隙颖臼腔谔囟ǖ淖址矶x的一組字符串。而否定樣本則是不屬于目標(biāo)語(yǔ)言的一組字符串����,但其可以對(duì)所述推斷過(guò)程有所幫助。
[0032]在本發(fā)明實(shí)施例中�����,通過(guò)將文法推斷引入信息技術(shù)安全領(lǐng)域�,深度報(bào)文檢測(cè)產(chǎn)品能夠從屬于合法的或非法的網(wǎng)絡(luò)業(yè)務(wù)的樣本數(shù)據(jù)中自動(dòng)學(xué)習(xí)合法的或非法的網(wǎng)絡(luò)業(yè)務(wù)的模式,其中�,這些模式可以由形式化的表達(dá)式(例如,正則表達(dá)式)來(lái)定義�。這里,合法的網(wǎng)絡(luò)業(yè)務(wù)例如是符合協(xié)議規(guī)范的句法����、語(yǔ)義和時(shí)序邏輯等方面規(guī)定的網(wǎng)絡(luò)業(yè)務(wù)����。非法的網(wǎng)絡(luò)業(yè)務(wù)例如是不符合協(xié)議規(guī)范中的句法��、語(yǔ)義或時(shí)序邏輯等方面規(guī)定的網(wǎng)絡(luò)業(yè)務(wù)�����,比如����,由具有錯(cuò)誤的句法、非法的語(yǔ)義或非法時(shí)序特征的攻擊數(shù)據(jù)報(bào)文形成的網(wǎng)絡(luò)業(yè)務(wù)�����。這里����,從屬于合法的網(wǎng)絡(luò)業(yè)務(wù)的樣本數(shù)據(jù)中自動(dòng)學(xué)習(xí)得到合法的網(wǎng)絡(luò)業(yè)務(wù)的模式,從屬于非法的網(wǎng)絡(luò)業(yè)務(wù)的樣本數(shù)據(jù)中自動(dòng)學(xué)習(xí)得到非法的網(wǎng)絡(luò)業(yè)務(wù)的模式�。
[0033]本發(fā)明提供了一種用于數(shù)據(jù)處理的方法和系統(tǒng),以用于根據(jù)合法的和/或非法的網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)利用文法推斷來(lái)自動(dòng)地獲得合法的和/或非法的網(wǎng)絡(luò)業(yè)務(wù)的模式��,并且這些模式可以被用于進(jìn)行深度報(bào)文檢測(cè)�����。該方法和系統(tǒng)避免了人工定義這些模式的復(fù)雜度和成本�。
[0034]圖2示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于數(shù)據(jù)處理的系統(tǒng)的示意圖。如圖2所示��,系統(tǒng)200可以包括配置接口 201���、自學(xué)習(xí)引擎202�����、模式容器203和網(wǎng)絡(luò)接口 204��。
[0035]如圖所示����,配置接口 201可以用于接收網(wǎng)絡(luò)業(yè)務(wù)文件206并將該網(wǎng)絡(luò)業(yè)務(wù)文件206輸入到自學(xué)習(xí)引擎202��。網(wǎng)絡(luò)接口 204可以用于接收網(wǎng)絡(luò)業(yè)務(wù)207并將網(wǎng)絡(luò)業(yè)務(wù)207輸入到自學(xué)習(xí)引擎202�。該網(wǎng)絡(luò)業(yè)務(wù)文件206和網(wǎng)絡(luò)業(yè)務(wù)207中包括屬于合法的和/或非法的網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文。自學(xué)習(xí)引擎202可以從配置接口 201和/或網(wǎng)絡(luò)接口 204獲得屬于合法的和/或非法的網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文��,并把所獲得的數(shù)據(jù)報(bào)文所包括的應(yīng)用層載荷作為模式學(xué)習(xí)的訓(xùn)練數(shù)據(jù)��,然后,自學(xué)習(xí)引擎202可以對(duì)該應(yīng)用層載荷進(jìn)行文法推斷以產(chǎn)生合法的和/或非法的網(wǎng)絡(luò)業(yè)務(wù)的模式���,其中�����,文法推斷的算法可以是但不局限于PRN1�����、PRNI2���、EDSM或SAGE等。模式容器203可以從自學(xué)習(xí)引擎202接收產(chǎn)生的模式并對(duì)這些模式進(jìn)行存儲(chǔ)�����。
[0036]此外�����,系統(tǒng)200還可以包括匹配引擎205��,其用于根據(jù)在模式容器203中存儲(chǔ)的模式��,檢測(cè)通信業(yè)務(wù)中的數(shù)據(jù)報(bào)文屬于何種網(wǎng)絡(luò)業(yè)務(wù)。
[0037]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�,系統(tǒng)200可以利用軟件、硬件(例如集成電路���、現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)等)或軟硬件結(jié)合的方式來(lái)實(shí)現(xiàn)����。
[0038]系統(tǒng)200中的多個(gè)部件可以位于同一個(gè)封裝中��,例如集成到一個(gè)集成電路中�����,但是��,它們也可以是位于不同的封裝中�,只要它們可以相互耦合通信即可����。可以通過(guò)各種連接方式(例如�,有線連接方式、無(wú)線連接方式或者兩者兼有)來(lái)進(jìn)行圖2所示部件之間的耦合����。而且��,上述多個(gè)部件中的某個(gè)部件也可以被集成到其他部件中���,例如,可以將模式容器203的功能集成到自學(xué)習(xí)引擎202或匹配引擎205中�����,也即�,可以將所產(chǎn)生的模式存儲(chǔ)于自學(xué)習(xí)引擎202或匹配引擎205中,而不再需要另外提供一個(gè)單獨(dú)的模式容器203(如下文圖3所示)��。
[0039]盡管圖2中示出了系統(tǒng)200的多個(gè)部件����,但應(yīng)當(dāng)理解,并非這些部件中的每一個(gè)都是必須的��。根據(jù)實(shí)際情況的不同��,可以省略其中的一個(gè)或多個(gè)部件��,或者可以省略這些部件之間的一個(gè)或多個(gè)耦合關(guān)系。例如��,由于自學(xué)習(xí)引擎202可以從配置接口 201和網(wǎng)絡(luò)接口204中的任意一個(gè)或者上述二者獲得數(shù)據(jù)��,因此在不使用網(wǎng)絡(luò)業(yè)務(wù)文件206的情況下��,可以省略配置接口 201�,或者,在不使用網(wǎng)絡(luò)業(yè)務(wù)207的情況下����,可以不需要將網(wǎng)絡(luò)接口 204耦合到自學(xué)習(xí)引擎202。另外��,也可以根據(jù)實(shí)際需要在系統(tǒng)200增加一些未示出的部件或者對(duì)其中的一些部件進(jìn)行修改或替換�����。例如��,可以使用其他接口來(lái)向自學(xué)習(xí)引擎202提供數(shù)據(jù)�。
[0040]圖3示出了根據(jù)本發(fā)明的另一個(gè)實(shí)施例的用于數(shù)據(jù)處理的系統(tǒng)的示意圖��。與圖2所示的系統(tǒng)200相比�,圖3所示的系統(tǒng)300不包括單獨(dú)的模式容器,而是在自學(xué)習(xí)引擎202或匹配引擎205中存儲(chǔ)所產(chǎn)生的模式。
[0041]圖4示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的自學(xué)習(xí)引擎的示意圖�����。如圖4所示�����,自學(xué)習(xí)引擎202可以包括預(yù)處理器421�����、自學(xué)習(xí)內(nèi)核422和轉(zhuǎn)換器423�����。其中�����,預(yù)處理器421可以用于從自配置接口 201和/或網(wǎng)絡(luò)接口 204接收的屬于合法的和/或非法的網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文中提取應(yīng)用層載荷作為訓(xùn)練樣本����。自學(xué)習(xí)內(nèi)核422可以用于對(duì)所提取的訓(xùn)練樣本進(jìn)行文法推斷以產(chǎn)生壓縮形式結(jié)構(gòu)的模式,其中��,壓縮形式構(gòu)造例如可以是但不局限于確定有限自動(dòng)機(jī)(DFA)。轉(zhuǎn)換器423用于將該壓縮形式結(jié)構(gòu)的模式轉(zhuǎn)換為形式文法的模式�����,從而得到合法的和/或非法的網(wǎng)絡(luò)業(yè)務(wù)的模式����。該形式文法例如但不限于正則表達(dá)式。
[0042]上文描述了深度報(bào)文檢測(cè)系統(tǒng)的若干實(shí)施例��,下文將對(duì)相關(guān)的方法進(jìn)行描述��。
[0043]圖5示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于數(shù)據(jù)處理的方法的流程圖����。該方法可以由系統(tǒng)200或系統(tǒng)300來(lái)執(zhí)行。
[0044]如圖5所示�,在步驟501����,接收屬于合法的和/或非法的網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文。例如可以由例如網(wǎng)絡(luò)接口 204和/或配置接口 201來(lái)執(zhí)行步驟501����。
[0045]在步驟502,從所接收的數(shù)據(jù)報(bào)文中提取應(yīng)用層載荷作為訓(xùn)練樣本。例如可以由自學(xué)習(xí)引擎202中的預(yù)處理器421執(zhí)行步驟502�。
[0046]在步驟503,對(duì)所提取的應(yīng)用層載荷進(jìn)行文法推斷�,獲得壓縮形式構(gòu)造的模式。這里���,如果同時(shí)存在從合法網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文中提取的應(yīng)用層載荷和從非法網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文中提取的應(yīng)用層載荷����,則對(duì)這兩種應(yīng)用層載荷的文法推斷是分開(kāi)進(jìn)行的��,以獲得各自的壓縮形式結(jié)構(gòu)的模式�����。例如可以由自學(xué)習(xí)引擎202中的自學(xué)習(xí)內(nèi)核422執(zhí)行步驟503���。
[0047]在步驟504�,將壓縮形式構(gòu)造的模式轉(zhuǎn)換為形式文法的模式����,從而得到合法的和/或非法的網(wǎng)絡(luò)業(yè)務(wù)的模式。其中���,對(duì)于通過(guò)對(duì)從合法網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文提取的應(yīng)用層載荷進(jìn)行文法推斷而獲得的壓縮形式結(jié)構(gòu)的模式�,其所轉(zhuǎn)換得到形式文法的模式作為合法的網(wǎng)絡(luò)業(yè)務(wù)的模式。對(duì)于從非法網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文提取的應(yīng)用層載荷進(jìn)行文法推斷而獲得的壓縮形式結(jié)構(gòu)的模式��,其所轉(zhuǎn)換得到形式文法的模式作為非法的網(wǎng)絡(luò)業(yè)務(wù)的模式���。例如可以由自學(xué)習(xí)引擎202中的轉(zhuǎn)換器423執(zhí)行步驟504�。其中�,步驟504得到的模式可以存儲(chǔ)在模式容器203中,或者存儲(chǔ)在自學(xué)習(xí)引擎202中�。
[0048]此外,還可以包括檢查步驟�,用于當(dāng)要確定某個(gè)數(shù)據(jù)報(bào)文屬于何種網(wǎng)絡(luò)業(yè)務(wù)時(shí),基于步驟504得到的模式來(lái)檢查該某個(gè)數(shù)據(jù)報(bào)文所屬的網(wǎng)絡(luò)業(yè)務(wù)��。例如可以由匹配引擎205來(lái)執(zhí)行該檢查步驟�。例如,當(dāng)檢查發(fā)現(xiàn)該某個(gè)數(shù)據(jù)報(bào)文包括有非法的網(wǎng)絡(luò)業(yè)務(wù)的模式時(shí)����,則說(shuō)明該某個(gè)數(shù)據(jù)報(bào)文屬于非法的網(wǎng)絡(luò)業(yè)務(wù)�。
[0049]其它變型
[0050]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,雖然在上面的實(shí)施例中���,系統(tǒng)200或300從外部接收的是合法的和/非法的網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文���,然而����,本發(fā)明并不局限于此�����。在本發(fā)明的其它一些實(shí)施例中�����,系統(tǒng)200或300也可以直接從外部接收合法的和/非法的網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文的應(yīng)用層載荷�。在這種情況下,自學(xué)習(xí)引擎202可以不包括預(yù)處理器421��。
[0051]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�����,雖然在上面的實(shí)施例中�,使用形式文法的模式作為合法的和/非法的網(wǎng)絡(luò)業(yè)務(wù)的模式,然而�,本發(fā)明并不局限于此��。在本發(fā)明的其它一些實(shí)施例中����,也可以使用壓縮形式結(jié)構(gòu)的模式作為合法的和/非法的網(wǎng)絡(luò)業(yè)務(wù)的模式����。
[0052]圖6示出了按照本發(fā)明一個(gè)實(shí)施例的用于數(shù)據(jù)處理的設(shè)備的示意圖。如圖6所示����,設(shè)備600可以包括用于存儲(chǔ)可執(zhí)行指令的存儲(chǔ)器610和處理器620。
[0053]其中����,處理器620可以用于根據(jù)存儲(chǔ)器610所存儲(chǔ)的可執(zhí)行指令,執(zhí)行以下操作:接收指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)���,其中���,該指定網(wǎng)絡(luò)業(yè)務(wù)的的數(shù)據(jù)具有指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文所包括的應(yīng)用層載荷;以及����,根據(jù)所接收的數(shù)據(jù)利用文法推斷來(lái)產(chǎn)生該指定網(wǎng)絡(luò)業(yè)務(wù)的模式。
[0054]此外����,處理器620還可以用于根據(jù)存儲(chǔ)器610所存儲(chǔ)的可執(zhí)行指令,執(zhí)行以下操作:基于所產(chǎn)生的模式來(lái)檢查待監(jiān)測(cè)的數(shù)據(jù)報(bào)文所屬的網(wǎng)絡(luò)業(yè)務(wù)�����。
[0055]此外��,該指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)可以是屬于該指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文所包括的應(yīng)用層載荷�,并且對(duì)于所述產(chǎn)生操作,處理器620根據(jù)存儲(chǔ)器610所存儲(chǔ)的可執(zhí)行指令執(zhí)行以下操作:對(duì)該應(yīng)用層載荷進(jìn)行文法推斷以生成壓縮形式結(jié)構(gòu)的模式�����,作為該指定網(wǎng)絡(luò)業(yè)務(wù)的模式����。
[0056]此外,該指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)可以是指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文���,并且�,對(duì)于所述產(chǎn)生操作�,處理器620根據(jù)存儲(chǔ)器610所存儲(chǔ)的可執(zhí)行指令執(zhí)行以下操作:從屬于該指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文中提取應(yīng)用層載荷�;以及���,對(duì)所提取的應(yīng)用層載荷進(jìn)行文法推斷以生成壓縮形式結(jié)構(gòu)的模式����,作為該指定網(wǎng)絡(luò)業(yè)務(wù)的模式��。
[0057]此外�����,處理器620還用于根據(jù)存儲(chǔ)器610所存儲(chǔ)的可執(zhí)行指令��,執(zhí)行以下操作:將所生成的壓縮形式結(jié)構(gòu)的模式轉(zhuǎn)換為形式文法的模式�,作為該指定網(wǎng)絡(luò)業(yè)務(wù)的模式。
[0058]此外����,處理器620還用于根據(jù)存儲(chǔ)器610所存儲(chǔ)的可執(zhí)行指令,執(zhí)行以下操作:存儲(chǔ)所產(chǎn)生的模式�����。
[0059]此外,該指定網(wǎng)絡(luò)業(yè)務(wù)可以包括合法的網(wǎng)絡(luò)業(yè)務(wù)和非法的網(wǎng)絡(luò)業(yè)務(wù)中的至少一種�。
[0060]本發(fā)明實(shí)施例還提供一種機(jī)器可讀介質(zhì),其上存儲(chǔ)有可執(zhí)行指令�����,當(dāng)該可執(zhí)行指令被執(zhí)行時(shí)�,使得機(jī)器執(zhí)行處理器620所執(zhí)行的操作����。
[0061]上文通過(guò)附圖和優(yōu)選實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)展示和說(shuō)明,然而本發(fā)明不限于這些已揭示的實(shí)施例���。本領(lǐng)域技術(shù)人員在本發(fā)明技術(shù)構(gòu)思的啟發(fā)下��,在不脫離本發(fā)明設(shè)計(jì)思想的基礎(chǔ)上�����,可以做出各種改進(jìn)或變型����。本發(fā)明的保護(hù)范圍應(yīng)當(dāng)由所附的權(quán)利要求書(shū)的內(nèi)容確定�。
[0062]在本申請(qǐng)中,術(shù)語(yǔ)“包括”、“包含”等不排除存在其它部件或步驟���。另外����,盡管獨(dú)立的特征可以包含在不同權(quán)利要求中����,但是這些特征也可以有利地組合,并且不同權(quán)利要求中的包含不暗示著特征的組合是不可行的和/或不利的����。
【權(quán)利要求】
1.一種處理數(shù)據(jù)的系統(tǒng),包括: 接口�,其用于接收指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù),其中所述數(shù)據(jù)包含所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文的應(yīng)用層載荷���;以及 自學(xué)習(xí)引擎���,其用于根據(jù)所述接收的數(shù)據(jù)利用文法推斷來(lái)產(chǎn)生所述指定的網(wǎng)絡(luò)業(yè)務(wù)模式。
2.如權(quán)利要求1所述的系統(tǒng)�����,其中,還包括: 匹配引擎��,用于基于所述模式檢查待監(jiān)測(cè)的數(shù)據(jù)報(bào)文所屬的網(wǎng)絡(luò)業(yè)務(wù)類(lèi)型�����。
3.如權(quán)利要求1所述的系統(tǒng)��,其中�, 接收的所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)為所述應(yīng)用層載荷本身���,以及所述自學(xué)習(xí)引擎包括自學(xué)習(xí)內(nèi)核�����,用于對(duì)所述應(yīng)用層載荷進(jìn)行文法推斷以生成壓縮形式結(jié)構(gòu)的模式�,作為所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式����。
4.如權(quán)利要求1所述的系統(tǒng),其中���, 所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)為所述數(shù)據(jù)報(bào)文���, 所述自學(xué)習(xí)引擎包括:預(yù)處理器��,用于從所述數(shù)據(jù)報(bào)文中提取所述應(yīng)用層載荷��;以及�,自學(xué)習(xí)內(nèi)核����,用于對(duì)所提取的應(yīng)用層載荷進(jìn)行文法推斷以生成壓縮形式結(jié)構(gòu)的模式,作為所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式��。
5.如權(quán)利要求3或4所述的系統(tǒng)���,其中��, 所述自學(xué)習(xí)引擎還包括:轉(zhuǎn)換器�����,用于將所述壓縮形式結(jié)構(gòu)的模式轉(zhuǎn)換為形式文法的模式��,并將所述形式文法的模式作為所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式�。
6.如權(quán)利要求1所述的系統(tǒng)��,其中,還包括: 模式容器��,其用于存儲(chǔ)所述產(chǎn)生的網(wǎng)絡(luò)業(yè)務(wù)模式����。
7.如權(quán)利要求1所述的系統(tǒng),其中���, 所述指定網(wǎng)絡(luò)業(yè)務(wù)包括合法的網(wǎng)絡(luò)業(yè)務(wù)和非法的網(wǎng)絡(luò)業(yè)務(wù)中的至少一種�����。
8.一種用于數(shù)據(jù)處理的方法,包括: 接收指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)�,其中,所述數(shù)據(jù)包含所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)報(bào)文的應(yīng)用層載荷��;以及 根據(jù)所述接收的數(shù)據(jù)利用文法推斷來(lái)產(chǎn)生所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式�����。
9.如權(quán)利要求8所述的方法��,其中�,還包括: 基于所述模式來(lái)檢查待監(jiān)測(cè)的數(shù)據(jù)報(bào)文所屬的網(wǎng)絡(luò)業(yè)務(wù)類(lèi)型�����。
10.如權(quán)利要求8所述的方法�,其中�����, 所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)是所述應(yīng)用層載荷����, 所述產(chǎn)生步驟包括:對(duì)所述應(yīng)用層載荷進(jìn)行文法推斷以生成壓縮形式結(jié)構(gòu)的模式,作為所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式����。
11.如權(quán)利要求8所述的方法,其中���, 所述指定網(wǎng)絡(luò)業(yè)務(wù)的數(shù)據(jù)是所述數(shù)據(jù)報(bào)文��, 所述產(chǎn)生步驟包括:從所述數(shù)據(jù)報(bào)文中提取所述應(yīng)用層載荷�;以及����,對(duì)所提取的應(yīng)用層載荷進(jìn)行文法推斷以生成壓縮形式結(jié)構(gòu)的模式�����,作為所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式��。
12.如權(quán)利要求10或11所述的方法�����,其中��, 所述產(chǎn)生步驟還包括:將所述壓縮形式結(jié)構(gòu)的模式轉(zhuǎn)換為形式文法的模式�����,作為所述指定網(wǎng)絡(luò)業(yè)務(wù)的模式��。
13.如權(quán)利要求8所述的方法,其中��,還包括: 存儲(chǔ)所述產(chǎn)生的網(wǎng)絡(luò)業(yè)務(wù)模式�。
14.如權(quán)利要求8所述的方法,其中��, 所述指定網(wǎng)絡(luò)業(yè)務(wù)包括合法的網(wǎng)絡(luò)業(yè)務(wù)和非法的網(wǎng)絡(luò)業(yè)務(wù)中的至少一種��。
15.一種用于數(shù)據(jù)處理的設(shè)備,包括: 存儲(chǔ)器���,用于存儲(chǔ)可執(zhí)行指令�;以及 處理器�����,用于根據(jù)所存儲(chǔ)的可執(zhí)行指令����,執(zhí)行權(quán)利要求8-14中的任意一項(xiàng)所包括的操 作。
16.—種機(jī)器可讀介質(zhì)����,其上存儲(chǔ)有可執(zhí)行指令,當(dāng)所述可執(zhí)行指令被執(zhí)行時(shí)�����,使得機(jī)器執(zhí)行權(quán)利要求8-14中的任意一項(xiàng)所包括的操作�����。
【文檔編號(hào)】H04L29/06GK103716288SQ201210376910
【公開(kāi)日】2014年4月9日 申請(qǐng)日期:2012年9月29日 優(yōu)先權(quán)日:2012年9月29日
【發(fā)明者】唐文, 沃爾夫?qū)な┟艿? 申請(qǐng)人:西門(mén)子公司