技術領域

本發明主要涉及到互聯網協議識別領域，特指一種對互聯網中的報文進行特征匹配的方法。

背景技術

報文匹配方法是互聯網協議識別中的一項重要技術。在報文匹配前，本地需要存儲一定數量協議的報文特征。報文匹配的過程就是分析比較待識別數據流的報文是否符合本地存儲的某種協議的報文特征。對于符合其中某種協議報文特征的數據流，可以根據該數據流的報文匹配結果確定該數據流的協議類型。

根據已知的互聯網協議報文特征對互聯網報文進行特征匹配的方法主要有單報文匹配方法、多報文疊加匹配方法和多報文一次性匹配方法。其中，單報文匹配方法在一條流的每個報文到來時立即對報文進行特征匹配，直到匹配成功，則不再對后續報文進行匹配。多報文疊加匹配方法在一條流的每個報文到來時，將該報文與之前到來的報文依序串接起來進行特征匹配，如果匹配成功則終止后續匹配過程，否則對后續到來的報文重復上述匹配過程。多報文一次性匹配方法存儲一條流已到來的報文，直到報文數量積累到一定數目，再一起進行報文特征匹配，無論匹配成功與否，都不再對這條流的報文進行匹配。

現有技術中的上述方法均無法解決協議識別中面臨的以下問題：

（1）當一次報文匹配成功命中某種協議的報文特征時，就判定報文所屬數據流為該協議類型，這種判斷存在過高的誤差。

（2）當一條數據流中有些報文沒有特征時，這些報文無法成功匹配任何協議類型，將對協議識別結果造成干擾。

（3）當一條數據流中有些報文匹配為錯誤的協議類型時，這些報文將導致協議識別的誤判。

發明內容

本發明要解決的技術問題就在于：針對現有技術存在的技術問題，本發明提供一種原理簡單、可降低判斷誤差、提高協議識別準確率的基于計數容錯的報文匹配方法。

為解決上述技術問題，本發明采用以下技術方案：

一種基于計數容錯的報文匹配方法，其步驟為：

步驟1、輸入一條數據流，為所述數據流設置匹配報文總數的上限閾值和協議類型判定的概率閾值，將已匹配成功報文數的計數變量清零，將已匹配報文總數的計數變量清零；

步驟2、根據報文到來的先后順序，依次匹配所述數據流的報文；當匹配所述數據流的第一個報文時，如果該報文匹配命中某種協議的報文特征，則確定該報文為匹配的報文特征所屬的協議類型；如果該報文沒有匹配命中任何協議的報文特征，則終止該數據流的報文匹配，判定該數據流的協議類型為未知類型；當一個報文（包括第一個報文）與第一個報文匹配命中相同協議類型的報文特征時，已匹配成功報文數的計數變量的值加一，已匹配報文總數的計數變量的值加一；當一個報文（不包括第一個報文）沒有匹配命中任何協議的報文特征時，已匹配成功報文數的計數變量的值不變，已匹配報文總數的計數變量的值加一；

步驟3、當已匹配報文總數的計數變量的值不小于匹配報文總數的上限閾值或者已經匹配完該數據流的最后一個報文時，終止所述數據流的報文匹配；

步驟4、當已匹配成功報文數的計數變量與已匹配報文總數的計數變量的比值不小于協議類型判定概率的閾值時，判定所述數據流的協議類型為第一個報文匹配命中的協議類型，否則判定所述數據流的協議類型為未知類型。

與現有技術相比，本發明的優點在于：本發明基于計數容錯的報文匹配方法，通過對多次報文匹配的結果進行統計計數，運用概率統計的原理判定數據流的協議類型，降低了單次報文匹配帶來的協議類型判斷誤差，避免了匹配失敗的報文對協議類型判斷造成的干擾，能夠有效地容忍多次匹配中有少量錯誤匹配的存在，提高了協議識別的準確率。

附圖說明

圖1是本發明的流程示意圖。

具體實施方式

以下將結合說明書附圖和具體實施例對本發明做進一步詳細說明。

如圖1所示，本發明的基于計數容錯的報文匹配方法，其步驟為：

步驟101、為本地存儲的報文特征已知的N種協議類型編排序號，序號取值為0至N-1，未知協議類型的序號統一編排為-1，上述取值以外的任何取值都是非法取值。為協議類型編排序號，可以在具體編程實現時方便地用數字標識協議類型。

步驟102、為待識別的數據流設置輔助變量。用變量max表示匹配報文總數的上限閾值，用變量p表示協議類型判定概率的閾值，用變量s表示已匹配成功報文數，用變量t表示已匹配報文總數。max賦值為8，p賦值為0.5，t和s均賦值為0。