技術領域

本發明涉及通信技術領域，尤其涉及一種深度包檢測的方法。

背景技術

傳統的網絡安全檢測是對數據包的結構化頭部進行分析.然而隨著網絡的不斷發展,許多病毒、惡意代碼、入侵指令、垃圾郵件等信息都隱藏在數據包的內容之中.因此,當前在進行安全檢測時,除了要對數據包頭部進行檢查之外,也要對數據包的內容進行檢測。

深度包檢測（DPI）技術是一種基于應用層的流量檢測和控制技術，當IP數據包、TCP或UDP數據流通過基于DPI技術的帶寬管理系統時，該系統通過深入讀取IP包載荷的內容來對OSI七層協議中的應用層信息進行重組，從而得到整個應用程序的內容，然后按照系統定義的管理策略對流量進行整形操作。深度包檢測法就是基于這種原理，通過檢測各種應用協議使用的固定特征字來進行各種網絡安全檢測。

使用DPI技術能帶來以下好處：

a) 檢測準確率比基于端口和流量模式的方法高， 端口的變化不會影響檢測率。

b) 能夠檢測使用最廣泛的應用。

c) 適合流量的精確檢測。

發明人在實現實際使用DPI技術時，發現現有技術至少存在如下缺點：

a) 無法識別新出現的、經加密的應用，會出現漏判。

b) 協議分析和特征搜尋需要投入大量人力及時間。

c) 難以獲取加密協議的特征。

d) 特征的選擇對檢測性能有很大影響。

e) 系統檢測模塊需不定期地進行升級。

f) 查看應用層的內容涉及隱私的問題。

g) 對檢測設備的處理能力要求較高。

發明內容

本發明提供了一種基于正則表達式的深度包檢測方法，包括：

步驟202、針對各種入侵行為的特點建立一組入侵行為的特征模式集，將該特征模式集分為m個一級子集，對于每個一級子集使用一個一級正則表達式來表征，該一級正則表達式能夠對所對應一級子集中的入侵行為的共同特征進行識別，將該一級子集和一級正則表達式的對應關系保存到一級數據表中；

步驟204、對于該m個子集，在每個子集內部進行細分，將該子集范圍內的每一個入侵行為的特征使用一個二級正則表達式來表征，并相應的設置每個特征對應的處理措施，將該二級正則表達式、其所屬的一級子集、該入侵行為以及與入侵行為對應的處理措施的對應關系保存到二級數據表中；

步驟206、接收報文，對接收的報文進行DPI處理，將報文中的載荷使用所述一級正則表達式進行模式匹配；

步驟208、若無匹配結果則進入步驟206；若發現匹配結果則查找一級數據表得到該匹配結果的一級正則表達式對應的一級子集，進入步驟210；

步驟210、在二級數據表中查找由匹配結果得到的一級子集對應的二級正則表達式，進行模式匹配；若無匹配結果則進入步驟206；若發現匹配結果則查找二級數據表得到該匹配結果的二級正則表達式對應的入侵行為，進入步驟212；

步驟212、僅接收數據包，對數據包進行存儲，暫停對數據包進行轉發，統計一定時間內檢測到入侵行為的數據包的個數和接收到的總數據包的個數，判斷發生入侵行為的數據包的個數和總數據包的個數的比值是否大于第一門限；若是，則判定發生入侵行為，進入步驟214；若否，則進入步驟216；

步驟214、查找二級數據表中入侵行為對應的處理措施，使用該處理措施對數據包進行處理，結束數據包檢測；

步驟216、將存儲的數據包進行轉發，并恢復對數據包的轉發，進入步驟206，繼續進行數據包的檢測。

本發明中，通過兩級模式匹配的方式，避免了由于模式過多導致正則表達式復雜，匹配效率低下的問題。并且，在判斷接收到數據包后并不立即進行處理，而是通過確認入侵行為確實發生時才進行處理，避免了入侵行為的誤報，保證了通信的穩定有序進行。通過應用以上技術，能夠使得在數據包的安全識別中更加準確、快捷的得到識別結果，并且在識別流程上也大幅優化，能夠更容易的在現有設備中實現。

附圖說明

為了更清楚地說明本發明實施例中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹。

顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明實施一的流程圖。

具體實施方式