网络应用层协议的识别方法及装置与流程

本技术涉及网络安全，尤其涉及一种网络应用层协议的识别方法及装置。

背景技术：

1、在网络安全技术中，实时网络协议识别技术扮演着至关重要的角色。目前多采用各种识别工具如协议识别插件等，识别网络数据包的应用层协议类型。

2、但是这些识别工具在运行时需要耗费较高的资源，存在识别效率较低的问题。

技术实现思路

1、鉴于上述问题，本技术提供了一种网络应用层协议的识别方法及装置，以实现提高协议识别效率的目的。具体方案如下：

2、本技术第一方面提供一种网络应用层协议的识别方法，所述方法包括：

3、获得网络数据流中的目标数据包；

4、对所述目标数据包进行特征提取，以得到至少一个数据包特征；

5、分别将每个待选协议类型对应的基础特征与所述数据包特征进行比对，以得到至少一个初选协议类型；所述初选协议类型对应的基础特征与所述数据包特征相匹配，所述初选协议类型的数量小于所述待选协议类型的数量；

6、利用所述初选协议类型对应的协议识别插件，对所述目标数据包进行处理，以得到所述目标数据包所属会话的应用层协议类型。

7、在一种可能的实现中，利用所述初选协议类型对应的协议识别插件，对所述目标数据包进行处理，以得到所述目标数据包所属会话的应用层协议类型，包括：

8、调用所述初选协议类型对应的协议识别插件，在所述初选协议类型对应的协议特征中，获得匹配目标数据包的目标协议特征；

9、将所述目标协议特征对应的分数累加到所述目标数据包所属会话在所述初选协议类型上对应的分数值上；所述初选协议类型对应的分数值的初始值为0；

10、如果所述初选协议类型对应的分数值大于或等于分数阈值，确定所述初选协议类型为所述目标数据包所属会话的应用层协议类型。

11、在一种可能的实现中，在所述初选协议类型对应的协议特征中，获得匹配目标数据包的目标协议特征，包括以下至少之一：

12、将所述初选协议类型对应的协议特征与所述目标数据包的数据包特征进行比对，以得到目标协议特征，所述目标协议特征与所述目标数据包的数据包特征满足第一匹配条件；

13、按照所述初选协议类型对应的数据包解析格式，解析所述目标数据包，以得到所述目标数据包的解析结果，根据所述解析结果所满足的第二匹配条件，获得匹配目标数据包的目标协议特征。

14、在一种可能的实现中，所述第一匹配条件，包括：

15、所述目标数据包的数据包特征与所述目标协议特征相一致；

16、或，

17、所述目标数据包的数据包特征与所述目标协议特征中的至少一个第一子特征相一致，所述目标协议特征中有至少一个第二子特征与至少一个其他数据包的数据包特征相一致，所述其他数据包与所述目标数据包属于同一会话。

18、在一种可能的实现中，所述第二匹配条件，包括以下至少之一：

19、所述解析结果中的数据包长度与所述目标数据包中长度字段表征的长度值相匹配；

20、所述解析结果中的命令字段匹配所述命令字段对应的命令类型；

21、所述解析结果表征：所述目标数据包中有数据块与所述初选协议类型对应的目标数据块相匹配。

22、在一种可能的实现中，在对所述目标数据包进行特征提取，以得到至少一个数据包特征之前，所述方法还包括：

23、在会话表中，查找是否有匹配所述目标数据包对应的数据参数的目标会话项；

24、其中，所述数据参数通过对所述目标数据包进行解码得到；所述会话表用于存储至少一个会话项；所述会话项包含会话源端的地址、会话目的端的地址以及会话的传输层协议类型，且所述会话项能够映射对应会话的协议识别结果，所述协议识别结果表征对应会话的应用层协议类型；

25、如果在所述会话表中，查找到匹配所述数据参数的目标会话项且所述目标会话项映射有对应会话的协议识别结果，提取所述目标会话项所映射的协议识别结果中的应用层协议类型；

26、如果在所述会话表中，没有查找到匹配所述数据参数的目标会话项，在所述会话表中创建匹配所述数据参数的会话项，执行所述：对所述目标数据包进行特征提取，以得到至少一个数据包特征。

27、在一种可能的实现中，在得到所述目标数据包所属会话的应用层协议类型之后，所述方法还包括：

28、根据所述目标数据包所属会话的应用层协议类型，更新所述会话表中匹配所述数据参数的会话项所映射的协议识别结果。

29、在一种可能的实现中，在对所述目标数据包进行特征提取，以得到至少一个数据包特征之前，所述方法还包括：

30、在缓存表中，查找是否有匹配所述目标数据包对应的数据参数的目标缓存项；

31、其中，所述数据参数通过对所述目标数据包进行解码得到；所述缓存表用于存储至少一个缓存项；所述缓存项包含会话目的端的地址和底层协议类型，所述底层协议类型包含对应会话的传输层协议类型和/或网络层协议类型；且，所述缓存项能够映射对应会话的应用层协议类型；

32、如果在所述缓存表中，查找到匹配所述数据参数的目标缓存项且所述目标缓存项映射有对应会话的应用层协议类型，提取所述目标缓存项所映射的应用层协议类型；

33、如果在所述缓存表中，没有查找到匹配所述数据参数的目标缓存项，在所述缓存表中创建匹配所述数据参数的缓存项，执行所述：对所述目标数据包进行特征提取，以得到至少一个数据包特征。

34、在一种可能的实现中，在得到所述目标数据包所属会话的应用层协议类型之后，所述方法还包括：

35、根据所述目标数据包所属会话的应用层协议类型，更新所述缓存表中匹配所述数据参数的缓存项所映射的应用协议类型。

36、本技术第二方面提供一种网络应用层协议的识别装置，所述装置包括：

37、数据包获得单元，用于获得网络数据流中的目标数据包；

38、特征提取单元，用于对所述目标数据包进行特征提取，以得到至少一个数据包特征；

39、协议初选单元，用于将所述数据包特征分别与每个待选协议类型对应的基础特征进行比对，以得到至少一个初选协议类型；所述初选协议类型对应的基础特征与所述数据包特征相匹配，所述初选协议类型的数量小于所述待选协议类型的数据；

40、插件使用单元，用于利用所述初选协议类型对应的协议识别插件，对所述目标数据包进行处理，以得到所述目标数据包所属会话的应用层协议类型。

41、本技术第三方面提供一种计算机程序产品，包括计算机可读指令，当所述计算机可读指令在电子设备上运行时，使得所述电子设备实现上述第一方面或第一方面任一实现方式的网络应用层协议的识别方法。

42、本技术第四方面提供一种电子设备，包括至少一个处理器和与所述处理器连接的存储器，其中：

43、所述存储器用于存储计算机程序；

44、所述处理器用于执行所述计算机程序，以使所述电子设备能够实现上述第一方面或第一方面任一实现方式的网络应用层协议的识别方法。

45、本技术第五方面提供一种计算机存储介质，所述存储介质承载有一个或多个计算机程序，当所述一个或多个计算机程序被电子设备执行时，能够使所述电子设备上述第一方面或第一方面任一实现方式的网络应用层协议的识别方法。

46、借由上述技术方案，本技术提供的一种网络应用层协议的识别方法及装置中，在提取到目标数据包的至少一个数据包特征之后，先使用待选协议类型对应的基础特征对数据包特征进行比对，进而筛选掉基础特征不匹配数据包特征的待选协议类型，只保留基础特征匹配数据包特征的初选协议类型，这样再调用初选协议类型对应的协议识别插件对目标数包进行处理，就可以得到目标数据包所属会话的应用层协议类型。可见，本技术中使用待选协议类型对应的基础特征与数据包特征进行预匹配，以减少所调用的协议识别插件的数量，不需要所有待选协议类型的协议识别插件都被调用，从而减少调用协议识别插件所消耗的运行资源，从而提高识别效率。