本發(fā)明涉及一種基于多框架的高性能協(xié)議還原模塊，包括DEC線程、還原庫(kù)分投接口、會(huì)話管理線程和協(xié)議解析線程。本發(fā)明用于協(xié)議還原，對(duì)進(jìn)入DEC進(jìn)程的流量報(bào)文進(jìn)行解析還原，生產(chǎn)ticket和rawfile，適用于網(wǎng)絡(luò)流量監(jiān)控、敏感信息檢測(cè)、惡意程序監(jiān)測(cè)等場(chǎng)合。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種基于多框架的高性能協(xié)議還原模塊。

背景技術(shù)

DPI（Deep Packet Inspection）報(bào)文內(nèi)容深度識(shí)別，是網(wǎng)絡(luò)安全領(lǐng)域最前端、也是最基礎(chǔ)的組件。DPI的深度是和普通分析相比而言的，普通報(bào)文檢測(cè)僅分析IP層以下內(nèi)容，包括：源IP、目的IP、源端口、目的端口、協(xié)議類型。但現(xiàn)有的各種網(wǎng)絡(luò)通信使用了私有協(xié)議，非標(biāo)準(zhǔn)的應(yīng)用使用任意的TCP/UDP端口來(lái)進(jìn)行通信，增加了識(shí)別的難度，使用普通方式，無(wú)法精確的識(shí)別出協(xié)議。要精確了解報(bào)文所承載的業(yè)務(wù)類型及流量大小等信息，必須要跟蹤業(yè)務(wù)應(yīng)用的協(xié)議交互過(guò)程，并對(duì)報(bào)文的負(fù)載payload進(jìn)行深度的識(shí)別。

協(xié)議還原模塊有如下應(yīng)用場(chǎng)合：

（1）分析網(wǎng)絡(luò)中的垃圾郵件

為上層的垃圾郵件過(guò)濾模塊服務(wù)，為垃圾郵件過(guò)濾模塊提供應(yīng)用層以下的數(shù)據(jù)和下面各層的接口，垃圾郵件模塊只需要將重點(diǎn)放在應(yīng)用層POP3協(xié)議和SMTP協(xié)議處理，直接使用協(xié)議還原模塊作為下層輸入。

（2）用于IPS入侵防御系統(tǒng)

為IPS入侵防御系統(tǒng)提供IP層的各種信息和IP報(bào)文內(nèi)容，包含IP地址數(shù)據(jù)和數(shù)據(jù)包長(zhǎng)度等。IPS可以在協(xié)議還原模塊的基礎(chǔ)上，進(jìn)行各種入侵方式的防御開發(fā)。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于多框架的高性能協(xié)議還原模塊，它用于協(xié)議還原，對(duì)進(jìn)入DEC進(jìn)程的流量報(bào)文進(jìn)行解析還原，生產(chǎn)ticket和rawfile，適用于網(wǎng)絡(luò)流量監(jiān)控、敏感信息檢測(cè)、惡意程序監(jiān)測(cè)等場(chǎng)合。

實(shí)現(xiàn)本發(fā)明目的的技術(shù)方案是：一種基于多框架的高性能協(xié)議還原模塊，其特征在于：它主要包括DEC線程、還原庫(kù)分投接口、會(huì)話管理線程和協(xié)議解析線程。DEC線程與還原庫(kù)分投接口連接，還原庫(kù)分投接口與會(huì)話管理線程連接，會(huì)話管理線程與協(xié)議解析線程連接。

本發(fā)明的工作原理是：DEC進(jìn)程包括SDEC、MDEC、PDEC三種，DEC進(jìn)程在收到數(shù)據(jù)、報(bào)文后，通過(guò)還原庫(kù)分投接口，上報(bào)到會(huì)話管理線程，協(xié)議解析線程從會(huì)話管理線程中取數(shù)據(jù)進(jìn)行解析還原。

與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點(diǎn)：（1）支持流量線性擴(kuò)充；（2）使用插件化的還原協(xié)議框架，方便后期擴(kuò)展；（3）對(duì)用戶的需求迅速進(jìn)行響應(yīng)；（4）兼容從低配到高配的硬件環(huán)境。

附圖說(shuō)明

圖1是一種基于多框架的高性能協(xié)議還原模塊的框架組件圖。

具體實(shí)施方式

下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)描述。

結(jié)合圖1，本發(fā)明一種基于多框架的高性能協(xié)議還原模塊，它主要包括DEC線程（1）、還原庫(kù)分投接口（2）、會(huì)話管理線程（3）和協(xié)議解析線程（4）。DEC線程（1）與還原庫(kù)分投接口（2）連接，還原庫(kù)分投接口（2）與會(huì)話管理線程（3）連接，會(huì)話管理線程（3）與協(xié)議解析線程（4）連接。

結(jié)合圖1，本發(fā)明一種基于多框架的高性能協(xié)議還原模塊的工作原理是：DEC進(jìn)程（1）包括SDEC、MDEC、PDEC三種，DEC進(jìn)程（1）在收到數(shù)據(jù)、報(bào)文后，通過(guò)還原庫(kù)分投接口（2），上報(bào)到會(huì)話管理線程（3），協(xié)議解析線程（4）從會(huì)話管理線程（3）中取數(shù)據(jù)進(jìn)行解析還原。

本發(fā)明一種基于多框架的高性能協(xié)議還原模塊用于協(xié)議還原，對(duì)進(jìn)入DEC進(jìn)程的流量報(bào)文進(jìn)行解析還原，生產(chǎn)ticket和rawfile，適用于網(wǎng)絡(luò)流量監(jiān)控、敏感信息檢測(cè)、惡意程序監(jiān)測(cè)等場(chǎng)合。