專利名稱：高速網絡協議深度檢測裝置及檢測方法
技術領域：
本發明涉及網絡協議識別領域，尤其涉及一種高速網絡協議深度檢測裝置及檢測方法。
背景技術：
在當今高速大容量的hternet環境中，內容安全是網絡安全的重要組成部分。對于網絡管理來說，最重要的就是識別和區分網絡流量，通過協議識別可以對網絡進行流量控制、網絡計費、內容過濾、以及流量管理。
傳統的協議識別采用的是端口識別，這種識別能達到較高的速率，但是現在大量的應用層協議為了避免識別，逃避防火墻的檢查，不使用固定的端口進行通信.這不僅包括眾多近年新出現的P2P協議，而且包括了越來越多的傳統協議，比如BitTorrent、eMule 等P2P協議，其采用動態端口進行通信；Skype、QQ等協議則共用80端口。越來越多諸如此類協議的產生，使得端口識別已無能無力，因此近年來很多的研究工作都致力于開發新的方法來識別應用層協議。發明內容
針對上述問題，本發明的目的在于提供一種高速網絡協議深度檢測裝置及檢測方法，較好的避開復雜的DFA構建過程，節省了存儲空間，充分利用芯片的線速處理能力和硬件流水線技術提高了性能。
為達到上述目的，本發明所述一種高速網絡協議深度檢測裝置，包括管理單元、控制單元及轉發分析處理單元，其中；
管理單元，設置各種協議處理規則及處理策略并傳送到控制單元；同時接收控制單元反饋回的信息；
控制單元，接收管理單元傳送的協議處理規則及處理策略并轉化為轉發分析處理規則傳送到轉發分析處理單元；同時監控轉發分析處理單元的實時信息傳送到控制單元；
轉發分析處理單元，根據轉發分析處理規則處理輸入的報文流，并輸出處理后的報文流。
優選地，所述轉發分析處理單元包括精確匹配模塊、正則表達式匹配模塊及轉發決策模塊，其中；
精確匹配模塊，對輸入的報文流進行精確匹配處理，將匹配成功的報文流直接傳送到轉發決策模塊；
正則表達式匹配模塊，對未精確匹配成功的報文流進行匹配處理，將匹配成功的報文流傳送到轉發決策模塊；
轉發決策模塊，對匹配成功的報文流進行轉發決策處理后輸出。
優選地，所述正則表達式匹配模塊包括緩存確定型有限自動機、配置信息存儲單元、正則表達式匹配信息存儲單元以及流程控制模塊，其中；
緩存確定型有限自動機，對未精確匹配成功的報文流進行字符串匹配處理并傳送到配置信息存儲單元；
正則表達式匹配信息存儲單元，存儲正則表達式匹配信息；
配置信息存儲單元，存儲字符串匹配處理后的報文流，并與正則表達式匹配信息存儲單元交互，按正則表達式匹配信息對報文流進行正則表達式匹配，并將處理后的報文流傳送到流程控制模塊；
流程控制模塊，接收控制單元發出的流程控制指令，將處理后的報文流輸出。
優選地，所述正則表達式匹配信息存儲單元內的信息由控制單元寫入。
為達到上述目的，本發明所述一種檢測方法，包括以下步驟
對輸入的報文流進行基于特征字與掩碼相結合的精確匹配；
根據精確匹配結果判斷是否進行正則表達式匹配
若精確匹配成功，則直接進行轉發決策處理。
反之，則進行正則表達式匹配，然后進行轉發決策處理。
本發明的有益效果為
本發明提供一種高速網絡協議深度檢測裝置及檢測方法，可以較好的避開復雜的 DFA構建過程，節省了存儲空間，并充分利用特定芯片的線速處理能力和硬件流水線技術提高性能。


圖1是本發明實施例所述高速網絡協議深度檢測裝置的結構圖2是實施例所述轉發分析處理單元的結構分布圖3是實施例所述正則表達式匹配模塊的結構以及和控制單元的關系圖。
具體實施方式
下面結合說明書附圖對本發明做進一步的描述。
如圖1所示，本發明實施例所述一種高速網絡協議深度檢測裝置，包括管理單元、 控制單元及轉發分析處理單元，其中；
管理單元，提供給網絡管理人員使用telnet，web，ssh, snmp, cli等方式來管理設備，設置各種協議處理規則及處理策略并傳送到控制單元；同時接收控制單元反饋回的信息；
控制單元，接收管理單元傳送的協議處理規則及處理策略并轉化為轉發分析處理規則傳送到轉發分析處理單元，即控制單元用于分析管理單元下發的策略，進行分析后， 轉化為轉發分析處理單元的規則，寫入到轉發分析處理單元硬件轉發引擎中，提供了轉發平面報文處理的規則信息，實現了對轉發的控制；同時監控轉發分析處理單元的實時信息傳送到控制單元；
轉發分析處理單元，根據轉發分析處理規則處理輸入的報文流，并輸出處理后的報文流。轉發分析處理單元的作用是根據設定的規則，處理輸入的報文流，處理的結果根據安全策略有所不同，包括輸出轉發，告警，直接丟棄等。
該裝置通過采用轉發分析處理單元，控制單元，管理單元相分離的設計方式，保證了最耗費資源的協議分析任務不影響裝置的管理，管理模塊的運維和升級等操作也不會影響報文的分析處理，保證了裝置的系統穩定性。如圖2所示為轉發分析處理單元的結構分布圖。所述轉發分析處理單元包括精確匹配模塊、正則表達式匹配模塊及轉發決策模塊，其中；精確匹配模塊，對輸入的報文流進行精確匹配處理，將匹配成功的報文流直接傳送到轉發決策模塊；正則表達式匹配模塊，對未精確匹配成功的報文流進行匹配處理，將匹配成功的報文流傳送到轉發決策模塊；轉發決策模塊，對匹配成功的報文流進行轉發決策處理后輸出。在執行過程中，先對輸入的報文流進行精確匹配處理，如果匹配成功則跳過正則表達式匹配模塊，直接進行轉發決策處理；反之則進行正則表達式匹配處理，然后進行轉發決策處理。因精確匹配模塊可以直接采用能夠線速轉發處理的ACL芯片，保證了轉發的高性能。精確匹配模塊受控制平面的控制，即可以開啟也可關閉，開啟時控制平面需要下發匹配的特征字和掩碼信息。如圖3所示為正則表達式匹配模塊的結構以及和控制單元的關系圖。所述正則表達式匹配模塊包括緩存確定型有限自動機、配置信息存儲單元、正則表達式匹配信息存儲單元以及流程控制模塊，其中；緩存確定型有限自動機，對未精確匹配成功的報文流進行字符串匹配處理并傳送到配置信息存儲單元；正則表達式匹配信息存儲單元，存儲正則表達式匹配信息；配置信息存儲單元，存儲字符串匹配處理后的報文流，并與正則表達式匹配信息存儲單元交互，按正則表達式匹配信息對報文流進行正則表達式匹配，并將處理后的報文流傳送到流程控制模塊；流程控制模塊，接收控制單元發出的流程控制指令，將處理后的報文流輸出。正則表達式(Regular Expression)描述了一種字符串匹配的模式，可以用來檢查一個串是否含有某種子串、將匹配的子串做替換或者從某個串中取出符合某個條件的子串寸。常用的識別正則表達式的方式是使用FSM(有限自動機)，有兩種類型的FSM 確定性有限自動機(DFA)與非確定性有限自動機(NFA)。DFA對每個輸入只產生一個狀態轉移， 而NFA對每個輸入可能產生多個狀態轉移。NFA的特點是占用存儲空間小，但在匹配過程中每讀入一個字符，都要更新其維護的全部狀態，以避免漏匹配，而且一個NFA —般只對應一條正則表達式，因此為支持多正則表達式匹配，需構建多個NFA并發工作，隨規模的增長性能迅速下降，但由于深度報文檢測要求吞吐能力強，因此，大多數研究基于DFA而非NFA。總結來說，正則表達式匹配模塊主要分成兩部分，第一部分是緩存確定型有限自動機，用于字符串精確匹配，第二部分是正則表達式匹配執行部分。這兩部分需要協同工作，所以字符串存儲區是必不可少的，圖中沒有標出。輸入數據從左端流入，字符串匹配結構讀入數據并判斷是否發生匹配，輸出匹配字符串號和輸入數據送入正則表達式匹配執行部分，最后輸出匹配的正則表達式號。所述正則表達式匹配信息存儲單元內的信息由控制單元寫入。
5
為達到上述目的，本發明所述一種檢測方法，包括以下步驟對輸入的報文流進行基于特征字與掩碼相結合的精確匹配；根據精確匹配結果判斷是否進行正則表達式匹配若精確匹配成功，則直接進行轉發決策處理。反之，則進行正則表達式匹配，然后進行轉發決策處理。以上，僅為本發明的較佳實施例，但本發明的保護范圍并不局限于此，任何熟悉本技術領域的技術人員在本發明揭露的技術范圍內，可輕易想到的變化或替換，都應涵蓋在本發明的保護范圍之內。因此，本發明的保護范圍應該以權利要求所界定的保護范圍為準。
權利要求
1.一種高速網絡協議深度檢測裝置，其特征在于，包括管理單元、控制單元及轉發分析處理單元，其中；管理單元，設置各種協議處理規則及處理策略并傳送到控制單元；同時接收控制單元反饋回的信息；控制單元，接收管理單元傳送的協議處理規則及處理策略并轉化為轉發分析處理規則傳送到轉發分析處理單元；同時監控轉發分析處理單元的實時信息傳送到控制單元；轉發分析處理單元，根據轉發分析處理規則處理輸入的報文流，并輸出處理后的報文流。
2.根據權利要求1所述的高速網絡協議深度檢測裝置，其特征在于，所述轉發分析處理單元包括精確匹配模塊、正則表達式匹配模塊及轉發決策模塊，其中；精確匹配模塊，對輸入的報文流進行精確匹配處理，將匹配成功的報文流直接傳送到轉發決策模塊；正則表達式匹配模塊，對未精確匹配成功的報文流進行匹配處理，將匹配成功的報文流傳送到轉發決策模塊；轉發決策模塊，對匹配成功的報文流進行轉發決策處理后輸出。
3.根據權利要求2所述的高速網絡協議深度檢測裝置，其特征在于，所述正則表達式匹配模塊包括緩存確定型有限自動機、配置信息存儲單元、正則表達式匹配信息存儲單元以及流程控制模塊，其中；緩存確定型有限自動機，對未精確匹配成功的報文流進行字符串匹配處理并傳送到配置信息存儲單元；正則表達式匹配信息存儲單元，存儲正則表達式匹配信息；配置信息存儲單元，存儲字符串匹配處理后的報文流，并與正則表達式匹配信息存儲單元交互，按正則表達式匹配信息對報文流進行正則表達式匹配，并將處理后的報文流傳送到流程控制模塊；流程控制模塊，接收控制單元發出的流程控制指令，將處理后的報文流輸出。
4.根據權利要求3所述的高速網絡協議深度檢測裝置，其特征在于，所述正則表達式匹配信息存儲單元內的信息由控制單元寫入。
5.一種檢測方法，其特征在于，包括以下步驟對輸入的報文流進行基于特征字與掩碼相結合的精確匹配； 根據精確匹配結果判斷是否進行正則表達式匹配 若精確匹配成功，則直接進行轉發決策處理。 反之，則進行正則表達式匹配，然后進行轉發決策處理。
全文摘要
本發明公開一種高速網絡協議深度檢測裝置，包括管理單元、控制單元及轉發分析處理單元，其中，管理單元設置各種協議處理規則及處理策略并傳送到控制單元；同時接收控制單元反饋回的信息；控制單元接收管理單元傳送的協議處理規則及處理策略并轉化為轉發分析處理規則傳送到轉發分析處理單元；同時監控轉發分析處理單元的實時信息傳送到控制單元；轉發分析處理單元根據轉發分析處理規則處理輸入的報文流，并輸出處理后的報文流。本發明提供一種高速網絡協議深度檢測裝置及檢測方法，可以較好的避開復雜的DFA構建過程，節省了存儲空間，并充分利用特定芯片的線速處理能力和硬件流水線技術提高性能。
文檔編號H04L12/24GK102523139SQ20121000291
公開日2012年6月27日 申請日期2012年1月6日 優先權日2012年1月6日
發明者劉凱 申請人:深圳市共進電子股份有限公司