技術領域

本發明涉及通信網絡流量識別領域，更具體的，本發明涉及一種協議特征庫的維護使用方法。

背景技術

伴隨著網絡流量的暴增，新的網絡業務類型層出不窮，為了掌握通信網絡的業務流量分布和用戶對各種業務的使用情況，從而更好地發現促進業務發展和影響網絡正常運營的因素，必須首先對通信網絡中的數據流量進行有效的識別。

DPI(Deep Packet Inspection)深度包檢測技術是當前流量識別的主流技術。DPI是一種基于應用層的流量檢測技術，通過識別報文負載中的特征字段來捕捉相應的業務流量。該方法使用一個協議特征庫存儲網絡數據流特征信息，以網絡流為單位進行判定，將網絡數據流與協議特征庫進行匹配，其負載包含某個應用的特征字段，則判定該網絡流屬于這個應用。

協議特征庫是網絡中協議特征規范化描述的集合，對于每個協議都有多條規則組成，一條規則可以確定一個協議，而每條規則又由幾個特征簽名組成。協議特征庫中包含P2P類軟件、IM軟件、VoIP類軟件、視頻類軟件、炒股類軟件、下載以及游戲類等常用軟件特征。協議特征庫需要不斷的更新升級，根據應用流量的變化而經常變化，否則就會識別失敗。

面對日趨復雜的協議特征庫文件情況，如何有效地組織應用協議特征庫提高通信網絡中的數據流量識別效率顯得十分重要。但目前尚未有相關技術方案出現。

發明內容

為了適應多種多樣的協議特征，同時便于提取各個種類的協議，以滿足針對特定協議類型識別的要求，本發明提出了一種用于網絡數據流識別的協議特征庫維護使用方法。

本發明技術方案提供一種用于網絡數據流識別的協議特征庫維護使用方法，利用Lua語言描述協議特征庫，業務識別系統的業務線程獲取網絡數據包，識別網絡數據流量，所述業務線程包括業務線程0和其他業務線程；協議特征庫支持兩個實例，分別記為特征庫實例0和特征庫實例1，每個業務線程保持一個特征庫實例的句柄；業務線程特征匹配時，使用對應的特征庫實例進行匹配；

系統進程的處理方式如下，

首先，系統進程啟動并加載協議特征庫，同時保存協議特征庫的修改時間；每個業務線程都使用特征庫實例0，特征庫實例1空閑；業務線程0維護一個數值consist_num，標識當前和業務線程0使用相同特征庫實例的線程數目，啟動時consist_num為業務線程總數目；

然后，系統進程注冊SIGHUP信號處理程序，啟動所有業務線程，其中SIGHUP是自定義的信號名稱，用于在協議特征庫更新后通知重新加載協議特征庫；

SIGHUP信號處理程序捕獲到SIGHUP信號后，設置g_reload_cfg_flag標志，其中g_reload_cfg_flag是自定義的標志名稱，用于標識是否重新加載協議特征庫；

業務線程周期性的進行心跳檢查，

在業務線程0心跳檢查時，若g_reload_cfg_flag標志被設置并且協議特征庫的修改時間與保存的不一樣，而且consist_num等于業務線程總數目，則進行如下操作，

更新協議特征庫修改時間；設置consist_num為1；重新加載協議特征庫到空閑的特征庫實例中；將業務線程0的特征庫句柄切換到空閑的特征庫實例；通知其他業務線程重新加載協議特征庫，包括發出“重新加載特征庫消息”；

其它業務線程心跳檢查時不做處理，收到“重新加載特征庫消息”后，才將特征庫句柄切換到空閑的特征庫實例，并通知業務線程0“特征庫重新加載完畢”；

業務線程0收到其它業務線程發送來的“特征庫重新加載完畢”的消息后，累加consist_num，當consist_num等于業務線程數目時，所有的業務線程都已經切換到新的協議特征庫了，此時業務線程0釋放空閑的特征庫實例；重新加載協議特征庫完成，其它線程將網絡數據流與協議特征庫進行匹配，判定該網絡流所屬的協議類型。

而且，協議特征庫的字段包含name、id、grp和rules，name為協議名稱，id為協議ID，grp為協議所屬協議組，rules為特征匹配規則。

而且，遍歷協議特征庫中的每一個協議，讀取協議特征庫的字段grp，根據獲取的grp判斷所屬的協議組，根據協議所屬的協議組統計各組的協議個數，輸出指定協議組類型的所有協議形成獨立的特征庫文件，用于指定類別協議的識別。

而且，所述特征匹配規則由12種表達式組成，描述如下，