本發明涉及一種基于高性能捕包平臺的DEC進程（PDEC），包括統一捕包平臺、TCP會話管理和還原庫。本發明用于協議還原，對由DPI進程進入PDEC進程的流量報文進行解析還原，生產ticket和rawfile，適用于網絡流量監控、敏感信息檢測、惡意程序監測等場合。

技術領域

本發明涉及網絡安全領域，具體涉及一種基于高性能捕包平臺的DEC進程。

背景技術

DPI（Deep Packet Inspection）報文內容深度識別，是網絡安全領域最前端、也是最基礎的組件。DPI的深度是和普通分析相比而言的，普通報文檢測僅分析IP層以下內容，包括：源IP、目的IP、源端口、目的端口、協議類型。但現有的各種網絡通信使用了私有協議，非標準的應用使用任意的TCP/UDP端口來進行通信，增加了識別的難度，使用普通方式，無法精確的識別出協議。要精確了解報文所承載的業務類型及流量大小等信息，必須要跟蹤業務應用的協議交互過程，并對報文的負載payload進行深度的識別。

協議還原模塊有如下應用場合：

（1）分析網絡中的垃圾郵件

為上層的垃圾郵件過濾模塊服務，為垃圾郵件過濾模塊提供應用層以下的數據和下面各層的接口，垃圾郵件模塊只需要將重點放在應用層POP3協議和SMTP協議處理，直接使用協議還原模塊作為下層輸入。

（2）用于IPS入侵防御系統

為IPS入侵防御系統提供IP層的各種信息和IP報文內容，包含IP地址數據和數據包長度等。IPS可以在協議還原模塊的基礎上，進行各種入侵方式的防御開發。

發明內容

本發明的目的在于提供一種基于高性能捕包平臺的DEC進程（PDEC），它用于協議還原，對由DPI進程進入PDEC進程的流量報文進行解析還原，生產ticket和rawfile，適用于網絡流量監控、敏感信息檢測、惡意程序監測等場合。

實現本發明目的的技術方案是：一種基于高性能捕包平臺的DEC進程，其特征在于：它主要包括統一捕包平臺、TCP會話管理和還原庫。統一捕包平臺與TCP會話管理連接，TCP會話管理與還原庫連接。

本發明的工作原理是：統一捕包平臺捕獲已識別的報文流量，并將其提交給TCP會話管理，TCP會話管理對報文流量進行排序重組之后，將報文投遞到還原庫中不同的協議解析線程，各協議解析線程對連接報文進行解析、還原，生產ticket和rawfile。

與現有技術相比，本發明具有以下優點：（1）支持流量線性擴充；（2）使用插件化的還原協議框架，方便后期擴展；（3）對用戶的需求迅速進行響應；（4）兼容從低配到高配的硬件環境。

附圖說明

圖1是一種基于高性能捕包平臺的DEC進程的框架組件圖。

具體實施方式

下面結合附圖對本發明作進一步詳細描述。

結合圖1，本發明一種基于高性能捕包平臺的DEC進程，它主要包括統一捕包平臺（1）、TCP會話管理（2）和還原庫（3）。統一捕包平臺（1）與TCP會話管理（2）連接，TCP會話管理（2）與還原庫（3）連接。

結合圖1，本發明一種基于高性能捕包平臺的DEC進程的工作原理是：統一捕包平臺（1）捕獲已識別的報文流量，并將其提交給TCP會話管理（2），TCP會話管理（2）對報文流量進行排序重組之后，將報文投遞到還原庫（3）中不同的協議解析線程，各協議解析線程對連接報文進行解析、還原，生產ticket和rawfile。

本發明一種基于高性能捕包平臺的DEC進程用于協議還原，對由DPI進程進入PDEC進程的流量報文進行解析還原，生產ticket和rawfile，適用于網絡流量監控、敏感信息檢測、惡意程序監測等場合。