深度消息检测方法和系统的制作方法
【技术领域】
本发明涉及网络业务控制、分析方法和系统,尤其涉及深度信息检测方法和系统。
【背景技术】
深度消息检验技术(即深度分组输入(Deep Packet Inspect1n ) 1n,以下简称DPI )是一种应用于APP应用层分析的业务分析检验技术。 DPI技术已经成为高端网络设备的标准配置,用于精细控制和分析网络流量,但由于硬件性能、功能匹配、系统架构等因素的限制,DPI —归属路由、商用WIF1、 由于不能在精简AP等很多低端网络设备上广泛使用,导致面向广大最终用户的高度流量优化和服务缺乏提高,所以需要实现能够适合低端网络设备的深度
[0003]系统资源相对充裕的流量管理设备通常集成DPI模块,用于分析通过设备的流量。 在这种设备中,DPI作为系统的一个配置模块存在,并与设备的其他模块配合使用。 内部模块之间的交互为了达到高效的目的,采用资源共享的方式进行,功能普遍完善,但该技术的缺点也很突出。 首先,由于DPI是设备的模块,设备依赖度很高,向其他制造商迁移成本很高,或者根本无法迁移。其次,DPI模块与其他模块的耦合度很高,升级DPI的功能是整个固件由于可扩展性差,且设备资源充裕,为了实现高性能,资源的占有率变高,无法适用于资源较少的低端设备。
现有技术2广泛应用于运营商网络,使用业务镜像方案来获取一个网络段的所有消息并使用单独的DPI软件程序来分析业务。 本技术的实现方案是在串行网络设备中使用镜像方式将全部或部分流量引导到DPI设备,该设备采用并行方式工作; 该方案的特点是可以根据流量大小采用合适的DPI设备,设备可以采用通用的技术结构进行分析,升级软件程序方便,但该方案的缺点是不能在线分析,不能基于DPI控制流量
[0005]因此,需要研究能够解决中低端网络设备中由于设备资源的限制,无法应用或无法在线分析,无法有效控制流量的问题; 此外,深度消息检测方法和系统解决了DPI设备不能在不同硬件平台上快速适应和更新的问题。
【发明内容】
本发明的目的是提供一种用于解决现有技术中存在的上述问题的深度消息检测的方法及系统。
本发明目的是通过以下技术手段实现:
一种深度消息检测方法,包括以下步骤:
Si,信息获取步骤:接收从网络设备操作系统内核输入的处理对象会话的消息,并读取消息的信息;
S2 )基于消息深度检测步骤:中存储的信息来检测该消息,并且基于检测结果和硬件加速安排的有无来处理会话的后一消息; S3、统计并分析发送检测数据步骤:消息的检测结果,发送至数据平台以表示检测结果和控制结果。
优选地,该深度消息检测方法是: S2,而深度消息检测步骤包括:
在步骤S21,消息检测步骤:基于嵌入式算法来处理接收到的会话中的消息,以将处理过的消息转发回网络设备的操作系统内核。 消息处理完成后,通知网络设备的操作系统内核不需要输入该会话的后续消息; 当消息处理完成时,通知网络设备操作系统内核引入所述会话的后续消息进行处理;
S22,硬件加速步骤:确定是否存在硬件加速配置,如果存在,则将会话后续消息直接引入硬件加速模块; 如果不存在,则向内核通知网络设备中的其他消息处理的流程。
优选地,所述深度消息检测方法是,在步骤S21中,是基于HTTP消息的单次扫描中的多次匹配和稀疏矩阵的有限状态机算法。
优选地,上述深度消息检测方法还包括:其接收用户设置的命令,并且如果认证请求是合法的,则在线提供最新插件和/或特征库
优选地,所述深度消息检测方法还包括333-60 S5,并且批准步骤333-60基于接收到的请求,根据MD5算法验证各模块的有效性。
[0012]深度消息检测系统,包括
信息获取模块,用于接收所述网络设备操作系统内核输入的处理对象会话的消息,并读取所述消息的信息;
消息深度检测模块,用于基于消息所携带信息来检测消息,并基于检测结果和有无硬件来快速处理所述会话的后续消息;
并对消息检测的结果进行统计分析,发送至数据平台的检测数据发送模块给出检测和控制的结果。
优选地,在上述深度消息检测系统中,所述消息深度检测模块:基于嵌入式算法来处理接收到的会话的消息,并把处理消息转发给网络设备的操作系统内核消息处理完成后,通知网络设备的操作系统内核不需要输入该会话的后续消息; 当消息处理完成时,通知网络设备操作系统内核引入所述会话的后续消息进行处理;
及硬件加速步骤,判断是否存在硬件加速模块,如果存在,则将所述会话后续消息直接导入到硬件加速模块中如果不存在,则向内核通知网络设备中的其他消息处理的流程。
优选地,所述深度消息检测系统是:所述消息深度检测模块使用HTTP消息一次扫描多次
匹配及基于稀疏矩阵的有限态机算法。[0015]优选的,所述的深度报文检测系统,其中:还包括系统更新模块,用于接收用户设置的命令,主动或定时发起系统在线更新请求,如验证请求合法,则在线下载最新的插件和/或特征库。
[0016]优选的,所述的深度报文检测系统,其中:还包括授权模块,用于根据接收的请求,通过MD5算法校验各模块的合法性。
[0017]本发明技术方案的优点主要体现在: 本发明是一个纯软件化产品,可以根据不同网络设备的内核进行编译,快速适配各种硬件平台,解决了 DPI模块与网络设备耦合性强的问题,使得DPI模块可以独立于网络设备而存在,实现了深度报文分析技术在低端网络设备上的适用,拓展了适用范围,降低了对设备的依赖度,不需要占用大量资源,且该软件具有应用识别、终端识别、搜索关键字获取、URL识别及分类、特定信息获取功能多种功能,功能更加完善。
[0018]通过设置更新模块,通过插件主动申请、平台验证、插件自主更新的方法,能够实现在设备运行过程中进行在线动态升级,,对设备正常运行无任何影响,具有较好的可扩张性。
[0019]通过优化的算法,在保证性能的前提下,将大内存占用的特征库压缩到足够小,可以在家庭路由等低端网络设备上加载运行,提高了资源利用率。
[0020]通过数据平台对业务流数据进行统计、分析,能够为优化DPI插件提供数据基础,进一步提高业务流的管控。
【附图说明】
[0021]图1是本发明的结构示意图;
图2是本发明的工作流程示意图;
图3是本发明的具体工作流程图;
图4是本发明升级过程示意图。
【具体实施方式】
[0022]本发明的目的、优点和特点,将通过下面优选实施例的非限制性说明进行图示和解释。这些实施例仅是应用本发明技术方案的典型范例,凡采取等同替换或者等效变换而形成的技术方案,均落在本发明要求保护的范围之内。
[0023]本发明揭示了一种深度报文检测系统,用于各种网络设备中报文的检测,其不仅适用于高端网络设备,亦适用于低端网络设备,其中,所述报文是指在互联网中传输的TCP/IP协议的数据包,其包含于会话中,所述会话是指五元组(协议、源地址、目的地址、源端口、目的端口)相同的一组双向(发送和接收)报文的集合;因此本系统处理的对象为会话,最小处理单元为每会话包含的报文。
[0024]如附图1所示,所述深度报文检测系统包括内部设置有控制平台7和数据平台8的云端以及与所述云端相匹配的包含有DPI插件6的网络设备;所述控制平台7用于控制所述DPI插件6的工作模式,所述数据平台8用于接收所述DPI插件6上报的数据;所述控制平台7可以通过远程点对点控制所述DPI插件6的各项功能子引擎的开关,也可以控制所述DPI插件6的数据上报功能;所述DPI插件6的各项功能子引擎包括应用识别、终端识另O、搜索关键字获取、URL识别及分类、特定信息获取等功能,各功能子引擎均采用基于稀疏矩阵的有限状态机算法,对功能采用不同的特征库,特征库在组织上进行优化处理,提高性能,实现一次扫描多重匹配;所述DPI插件6按照所述控制平台7的指令进行工作,并将指定数据上传到所述数据平台8 ;所述数据平台8接收并综合处理和分析所述DPI插件6上报的数据;所述网络设备可以是家庭路由、商业WiF1、瘦AP等小型低端网络设备,本实施例中优选为智能路由器。
[0025]具体的,所述DPI插件6包括信息获取模块1、深度报文检测模块2及检测数据报送模块3,所述信息获取模块I用于接收网络设备操作系统内核输入的待处理会话中的报文,并读取所述报文中的信息,所述信息包括但不限于报文的MAC地址信息,源目的地址、端口信息,HTTP协议头信息等;所述深度报文检测模块2,用于根据报文携带的信息,对报文进行检测,并根据检测结果及是否存在硬件加速配置处理会话中的后续报文,其进一步包括报文检测单元21以及硬件加速单元22,所述报文检测单元21,用于根据内置算法,对接收的会话中的报文进行处理,并将已处理的报文发送回网络设备操作系统内核,如报文处理完成,则通知网络设备操作系统内核无需输入所述会话的后续报文;如报文处理未完成,则通知网络设备操作系统内核引入所述会话的后续报文并进行处理;所述硬件加速单元22,用于判断是否存在硬件加速配置,如存在,则将所述会话的后续报文直