一種網絡應用層協議識別方法和系統的製作方法

2023-05-16 20:20:41 1

專利名稱：一種網絡應用層協議識別方法和系統的製作方法
技術領域：
本發明涉及一種網絡應用層協議識別方式的描迷方法及基於該方 法的協議識別系統。
背景技術：
隨著網絡應用的普及與網絡技術的發展，新的網絡應用業務層出不 窮，隨之而來的是應用層流量特徵的多樣化以及對應識別方式的複雜 化。傳統的網絡應用服務使用固定的服務埠 ，能夠很容易的通過應
用埠進行應用層協議識別。隨著P2P, V0D以及VoIP技術的使用， 如今的網絡應用協議主要適用動態埠的方式進行通信，因此傳統的 通過埠實現應用協議識別的方法不再適用。
為解決這樣的情況，現在主要有兩大類識別方式第一類方式深度 包解析，通過對單個或多個數據包內容的某些特徵進行匹配來達到識 別的目的，能夠很準確的進行識別，但是識別周期相對長且對某些特 徵需要通過多包特徵綜合識別；第二類方式流量統計特徵匹配，通過 對目標應用流量的平均包大小，平均流速率等統計量的特徵進行分析 來實現識別功能，識別速度快但準確率低。時下網絡應用服務的另一 大特點則是協議更新頻繁，隨之而來的問題則是協議識別系統需要經 常對識別特徵乃至識別方式進行更新，這就對協議識別系統中對識別 方式的組織結構提出了新的要求。
目前對協議識別方式的實現主要有兩種結構其一，通過代碼實 現針對每一種協議識別的程序，效率高但難於更新特徵。對於這樣的 識別系統，每次對識別特徵的更新或識別方式的改變都需要重編譯識 別程序。其二，通過正則表達式來存儲特徵。能夠實現不需重編譯的 特徵更新，但是正則表達式匹配速度相對匹配函數較慢，且對於某些 特徵無法匹配，例如數據包內容與數據包長度的相關特徵。而且正則 表達式的特徵描述方式較為抽象，增加了管理人員自行增加識別方式 的難度。現有的方式中對於多個數據包中的組合特徵是通過將多個數 據包存儲下來再組合在一起做綜合特徵匹配來實現的，這種方式效率低，存儲空間需求大，在高速鏈路中使用的時候存在較大性能缺陷。
針對現在網絡應用服務特徵多樣協議更新頻繁的特點，應用層流 量識別需要一種能夠實現多類型和多狀態的識別方式同時高效並易於 更新的結構。

發明內容
本發明的目的在於提出了 一種對應用層的協議識別方式的描述方
法AIMDL，以及利用此描述方法構建的協議識別系統。主要內容包括設 計AIMDL的主要元素以實現對於多類型和多狀態的協議識別方式的有 效描述同時滿足方便更新的需求。設計並實現能夠利用AIMDL所描述 的識別方式高效地進行應用協議識別工作的識別架構。
根據本發明的第 一方面，提供了 一種網絡應用層協議識別方法， 其特徵在於，所述識別方法包括如下步驟
1) 對網絡應用層的協議識別方式進行描述，並生成相應的識別方 式描述文件；
2) 對識別方式的描述文件進行解析，生成相應的Method List數 據結構；以及
3) 依據Method List數據結構，對網絡應用層協議完成識別。 優選地，所述步驟l)中，還包括在識別方式描述文件中對為協
議識別提供操作支持的操作方式和識別方式的結構進行描述。 優選地，所述步驟2)中的解析是基於XML語言平臺。 優選地，所述步驟3)中的Method List數據結構採用動態鍊表和 無類型指針結合的方式。
根據本發明的第二方面，提供了 一種網絡應用層協議識別系統， 其特徵在於，所述識別系統包括對協議識別方式描述文件進行解析 的描述方法解釋器，其中所述識別方式描述文件用於對網絡應用層的 協議識別方式進行描述；存儲解析後的數據結構Method List的Method List數據結構模塊；依據Method List對協議進行識別的協議識別操 作執行模塊。
優選地，所述描述方法解釋器是基於XML語言平臺。
優選地，所述的Method List數據結構模塊採用動態鍊表和無類型
指針結合的結構。
本發明能夠用來實現多類型的協議識別，同時又能方便對特徵與識
別方式進行更新；並能夠利用基於狀態機的識別方法實現多狀態協議識別。


下面將參照附圖對本發明的具體實施方案進行更詳細的說明，其
中
圖1是本發明應用層協議識別系統的工作示意圖； 圖2是本發明的協議識別方式描述方法解釋器模塊的流程圖； 圖3是本發明的Method List數據結構模塊的結構圖；以及 圖4是本發明的協議識別操作執行模塊的流程圖。
具體實施例方式
為了實現多類型和多狀態的網絡應用層協議識別方式同時又能方 便對特徵與識別方式進行更新，本發明提供了 一種對網絡應用層協議 識別方式的描述方法及基於該方法的協議識別系統。
描述方法綜述
應用層協議識別方式的描述方法(AIMDL)能夠通過描述幾種基本 識別操作的組合來構成一個完整的複雜操作。這些操作是通過對現有 的協議識別方式進行分析得到的。
一個應用層數據包主要包含payload內容，數據包長度，埠這 三個與所屬協議相關的屬性，因此基本的識別操作也主要是針對這三 個屬性進行的。特徵也可以由匹配對象分為兩種 一種是基本屬性中 的內容與靜態特徵之間的匹配，比如數據包中出現某一特徵欄位或是 通信埠為某特徵值；另一種則是基本屬性之間的關係，例如pay load 中某特定位置的數據值與數據包長度或是通信埠號存在某特定關係 的特徵。
多包組合特徵識別方式在AIMDL中是通過基於狀態機的架構和構 建臨時存儲buffer來實現的。基於狀態機實現的識別方式中，每一組 識別操作表徵能夠確認從狀態機的 一 個狀態進入最終狀態，當達到最 終狀態的時候說明識別成功。因此需要能夠對一組操作所對應的匹配 狀態，以及各狀態之間的關係進行描述。AIMDL能夠描述一組操作是否 屬於一個狀態機識別架構的一個識別狀態，以及這一識別狀態所要求 的前項狀態是什麼，這樣就能夠獨立的表述整個狀態機識別架構的每 一個部分。有些基於狀態機的識別操作是需要存儲一些數據的，例如 第一個數據包中的某個偏移與後續數據包中特定偏移的數據值有可以 作為識別特徵的關係。在本發明的協議識別架構中是通過給每一個流記錄中設置一個buffer來保存數據，通過在AIMDL中支持有關buffer 的操作實現對此類特徵識別方式的支持。
一個應用層的識別系統中包含很多個應用的識別方式，每個應用 也包括很多種不同的特徵流量，需要很多種不同的特徵識別方式。因 此AIMDL包含了結構描述元素對這些不同的應用和不同的識別方式之 間的結構關係進行描述。
以基於XML為例的具體描述方法說明
網絡應用層協議識別方式的描述方法AIMDL是一種基於XML的描 述。通過設置特定的element元素標籤來達到對各種結構的描述。以 下是對上述幾類描述對象的實例與詳細說明
一.靜態特徵匹配方法描述 l.payload包含特徵欄位的檢驗操作描述
<payload〉
<content〉Bi tTorrent protocoK/content〉 l</offset〉 19</length〉
該元素表示識別方式中包含一個payload特徵字賴:才l^驗。包含三 個子元素
"content":特徵欄位的內容，此處表示為字符串"BitTorrent protocol" 5
"offset":特徵欄位所處在payload中的位置。如果為負數表 示是從payload的尾部向前的偏移量。特徵值"SEARCH"表示沒有固 定偏移，特徵欄位在數據包中的位置不固定。例子中的偏移表示從 payload的第二個字節開始，第一個字節偏移為0;
"length":存儲特徵欄位的長度，例子中長度19為"BitTorrent protocol"的長度。
2. payload length為特徵值的檢馬全操作描述
68
payload length特徵的校驗一般使用在一組完整的識別操作的第一 個。很多特徵只會出現在具有固定包長或者包長為某一特定範圍的數據包 中。其內容表示特徵數據包的值，若包含"〉，號則表示為範圍限制。 3.埠號為特徵值的檢驗操作描述
6881</start〉
6889 </group〉
<start〉10044
<end〉10044</end〉
port特徵的校驗並不具有確定協議的準確性，可能與動態埠的協 議發生誤識別，因此port的識別方式是在其他識別方式無法正確識別的 情況下使用的。
"group":包含兩個元素"start"和"end",表示從"start"開始 到"end"的埠都是協議的特徵埠。 二.基本元素相關特徵匹配描述方法
1. payload內容與包長相關的
<offset〉0 l 3
針對payload內容中包含payload長度信息的特徵。 "offset": payload特徵數據位置;
"byte一width":表示數據位大小，例子中的1表示數據寬度為一個字
節；
"multiple—number": 4咅悽丈。匹酉己方式為payload長度-payload內 容x倍數+差值；
"differ—value":表示上式中的差值。
例子中payload length-第一個字節的大小x l + 3;
2. payload內容自相關
2 3 3 content —content元素用以描述payload中兩個固定偏移的數據具 有固定關係的特徵。根據對數據包內容的分析，關係一般是相等或有 固定偏差，因此設計了對應的元素用以描述這樣的識別操作。 "offsetX，，兩個比較目標參數的位置。 "differ-value，，兩個比專交目標之間有固定差^f直的描述。
三. ^犬態4笛述方法
<pre—state〉N0—STATUS <finalstate〉0 <ident if ier — s ta te〉BT0</ident ifier — state〉 </state〉
state標籤被用來實現基於狀態的識別架構。其主要元素包括 "pre—state":在基於狀態機的識別方式中，狀態之間的關係是
實現正確的識別才喿作的保證。通過描述前項狀態實現對多狀態識別過
程中的識別流程的控制。
"finalstate":表示是否是一組多狀態識別的最後一個狀態。如
果在finalstate的匹配操作通過的情況下，即是完成了多狀態的匹配流程。
"identifier —state":對通過該組匹配才喿作的流的狀態標籤進行 賦值，使得流中的後續數據包能夠順利的進入後續的狀態進行特徵匹 配。
四. buffer :操作描述方法 1. store buffer操作描述
<buffer_offset〉0 2</payload_off set〉 將pay load中的數據存儲在buffer中方便後續操作時使用。 "payload-offset": payload中待存儲的數據的偏移位置。 "buffer-offset": buffer中欲存儲數據的位置。 2. Modify buffer操作描述 <modify—buffer〉
<buffer_offset〉l</buffer—offset〉 l </modify-buff er〉在某些匹配過程中需要對buffer中數據進行操作然後再進行匹配。 此元素就是用以對此類操作進行描述。根據分析只有數值增加的特徵出 現。所以_沒置元素如下
"buffer—offset":被操作buffer元素的位置 "add—value":增加的量 3. judge buffer操作描述 <judge_buff er〉
<buffer_offset〉2</buffer_offset〉
8</payload—off set〉
4<Mdth〉
在前項狀態的操作過程中完成對數據的存儲和特定修改操作後，通過 匹配buffer中的數據與新的被檢測數據包中的特定位置數據實現應用協 議特徵匹配的目的。
"buffer-offset": buffer中被匹配特徵數據的偏移位置。 "payload-offset，， payload中被用來與buffer中內容進行匹配的 數據的偏移位置。
"width":匹配數據的位數。例子中的4表示4個字節的數據進行匹 配操作。
五.識別方式的結構描述方法




X</ payload—length 〉
</ method 〉
</ method 〉
上述是使用AIMDL描述一種應用的識別方式的文件結構 根元素"protocol—name":用以表示此元素是描述的何種應用的 識別方式。
次級標籤 "tcp"和"udp":區分同種應用的tcp和udp流不同 的識別方式。在構建協議識別方式表的時候對不同的應用層協議分別 構建特徵匹配方法表使得識別流程更快。
"method"標籤method標籤由 "state"標籤、"payload"標 籤和其他操作標籤組成，表示一個獨立的識別方式。這個識別方式包 含由此方法對應的狀態信息、包長限制以及包含的微操作組合。這個 獨立的方法能夠根據其狀態信息確定是否是多狀態識別的一個狀態或 是一個能夠獨立完成一種應用協議識別的 一組操作。包長限制能夠幫 助快速審查此數據包是否符合基本的進行後續檢查的要求。剩下所羅 列的一組操作時完成一個完整獨立識別方式所需要的一組微元操作。
協議識別系統綜述
本發明的應用層協議識別系統是利用AIMDL所描述的識別方式高 效地進行應用流量識別工作的識別架構。
通過對網絡應用協議識別方式進行統計與分析，得到了若干基本的 特徵匹配方法。這些方式以網絡數據包所具有的內容，包長，埠信 息這幾個屬性為特徵匹配對象，實現針對這些屬性與靜態的特徵內容 匹配以及這些屬性之間相關關係的特徵校驗操作。這些基本的識別操 作是針對網絡數據所能夠被用以匹配的屬性以及匹配操作而構建的， 因此所有現存的協議識別方式都能夠通過將這幾個基本的操作進行組 合來實現。經過對實際的協議識別方式進行統計馬全i正這一設計的正確 性。因此能夠通過將這幾個基本操作及其對應的參數描述方法設計在 AIMDL中實現利用AIMDL對任意協議識別方式進行描述的需求。隨著網 絡協議的多變，很多協議的識別特徵都分布在多個數據包中，因此需 要將這些信息綜合在一起才能有效的實現識別功能。本發明採用了基 於狀態機與臨時存儲器的特徵匹配架構實現對於此類特徵的識別功 能，同時在AIMDL中設計了與此相關的操作與元素的描述功能。
通過設計基於AIMDL的內容解釋器與協議識別模塊，使得能夠利用 AIMDL實現高效的協議識別系統。AIMDL內容解釋器能夠將基於AIMDL 的協議識別方式的描述文件中的基本識別操作的組織模式以及對應的參數信息存儲，在特別設計的可擴展識別方式存儲數據結構method list中， 一方面能夠在更新操作時重新解析AIMDL描述文件內容實現 更新，另 一方面此結構為識別操作執行模塊提供識別方式的實現方式。 協議識別操作執行模塊根據method list的內容正確高效的實現協議 識別工作。
本發明的協議識別系統能夠被應用來實現多種類型的協議識別方式， 同時又能方便對特徵與識別方式進行更新。通過對多種識別方式的支持使 得能夠在系統中使用不受限制的使用高效的識別方式，同時這些多樣的方 式有能夠利用AIMDL來方便的描述，使得能夠通過簡單的更新描述文件實 現識別方式的更新。利用XML的易於表述可擴展的特性，方便了操作人員 設計並更新識別方式的過程。實現了兼具識別效率和可擴展性的應用層協 議識別架構。另一方面，能夠利用狀態識別實現多狀態協議識別方式。現 有技術中沒有通用的多狀態解決方式。只有將多個數據包內容整合成一個 整體進行匹配用以實現類似的功能或是為特定協議設計特定的多狀態識 別方式。
圖1是本發明的應用層協議識別系統的工作示意圖。如圖l所示， 該協議識別系統包括協議識別方式的描述方法解釋器、Method List數 據結構模塊、協議識別操作執行模塊。整體系統流程分為下面幾個階 段
1) 根據識別方式結合NAIMDL語法規則設計對應的配置文件；
2) 程序在初始化數據過程中調用解釋器模塊解析配置文件的內容並 依據內容在程序中構建method list數據結構；
3) 程序的識別才莫塊調用method list結構中的內容實現協議識別操作。
以基於XML平臺的協議識別系統的具體結構說明
一.AIMDL協議識別方式的描述方法解釋器
AIMDL解釋器負責從識別方式描述文件中解析出識別方式組織與 對應參數並存儲在對應的數據結構methodlist中。AIMDL基於XML進 行設計，因此AIMDL解釋器利用現有的XML解釋器實現對文件中各個 XML基本元素的遍歷以及內容的獲取，對內容語義的解析根據AIMDL的 設定在程序中完成相關邏輯即可。具體實現上利用由開放原始碼的軟 件庫libxml2為基礎實現遍歷與解析文件中XML元素內容的目的，語 義解析代碼為對應元素內容糹姿照語法以及method list的設計結構在 method list中構建相應的存儲空間用以保存信息。
圖2示出圖1中的協議識別方式描述解釋器模塊的流程圖；如圖2所示，整個AIMDL解析器模塊就由兩部分組成。在階段200獲取描述 文件結構，接著在階段202判斷是否存在下一種協議，如果沒有存在 下一種協議，則進入階段210，解析程序結束；如果存在，進入階段 204，獲取狀態信息、包長限制構建協議頭並加載在method list中。 在階段206中，接著判斷是否存在下一種協議，如果否，跳轉到階段 202開始之前；如果是，則進入階段208，獲取基本操作參數等信息。 將結構加載到method list對應的位置。最後根據操作的具體情況， 要麼返回階段206開始之前，要麼進入階段210解析程序結束。
二. Method list數據結構模塊
method list用以在協議識別程序中保存識別方式，其結構採用動 態鍊表和無類型指針構成，方便動態擴展協議識別方式。同時通過對 結構的設計高效的實現協議識另'j流程。
圖3示出圖1中的Method List數據結構模塊的結構圖。如圖3 所示，其具體結構圖忽略了鍊表元素之間連接的指針元素。
識別方式頭引導 一 組基本識另U操作以實現 一 個獨立的識別方式。 這個方式可以是能夠直接識別數據包所屬流為何種應用協議的方式也 可以是多狀態識別方式中對某 一 狀態的校驗方法。該識別頭中主要包 含的元素為此方式的狀態信息、包長限制信息、應用名稱以及指向 所屬基本操作和下一識別頭的指針。狀態信息存儲了這個識別方式是 否是多狀態識別方式的一部分，如果是的話對前項狀態的要求是什麼， 識別後賦予的狀態名是什麼這些信息。包長限制信息表示此類識別方 式針對的是包長在某個限制條件下的數據包。包長限制信息以及前項 狀態要求信息能夠有效對數據包是否有資格進行後續的 一連串基本識 別操作哦進行判斷。這一 結果能夠有效的加快平均檢測流程。
基本識別操作根據其類型和參數，識別操作執行模塊能夠完成 識別方式的各個基本操作。因為基本操作類型較多，鍊表各元素使用 無類型指針連結，下一操作類型用以正確解析下一個基本操作元素的 內容。
三. 協議識別操作執行模塊
協議識別操作執行模塊結合對象數據包的信息以及該數據包所屬 流記錄中的識別狀態信息以及buffer內容信息^f吏用method list中存 儲的識別方式完成協議識別操作。
圖4示出圖1中的協議識別操作執行模塊的流程圖。如圖4所示， 每個數據包進入識別流程後按照method list的逐條匹配方法依次完 成匹配操作。在每個獨立的匹配操作中按照1. 包長限制檢測；
2. 狀態信息;f企測；
3. 基本檢測操作的順序完成識別方式。
如果通過上述三個^r測，則識別狀態成功或是識別所屬應用成果 退出流程。未通過^r測的繼續流程中的下 一組識別操作直到被識別或
是完成整個識別流程。
基於XML平臺的協議識別系統的流程說明 下面通過一個實際的例子說明協議識別系統的整體工作流程 一. 一個實際的識別方式描述文件內容 < xml version-". 0" encoding-"UTF-8" 〉 <tcp〉

<content〉Oxl3</content〉 <offset〉0 </byte〉 <s tring〉
BitTorrent protocol K/offset〉 <string—length〉19 <udp〉

21
OxOO <offset〉0
OxOO l
0x04</content〉 <offset〉2
0x01 3</offset〉
以上是一個描述識別BT流量的以NAIMD實現的配置文件。這裡具 體實現了針對tcp和udp的各一種特徵識別方式。它們分別是
1. Payload首字節內容為0x13，從第二個字節開始的19個字節 為字符串"BitTorrent protocol"，針對的是tcp流量。
2. Payload長度為21的數據包，第一到四個字節內容分別是0x00 0x00 0x04 0x01
二. 初始化解析過程
內容解析模塊根據配置文件將導入(一)中所述文件中描述的識 別方式。
1. 首先根據主元素內容"bittorrent"確定了即將引入的識別方 式是針對BT協議的；
2. 分別提取tcp和udp標籤下的識別方式內容，將其內部的識別 方式加入到對應的method list中(系統中包含兩個method list,分別表示tcp和udp的協議識別方式)；
3. 在解析過程中為每一個"type"標籤下的內容在method list 中構建——個"^只另^方式頭(identifier—header) ， type中的每 一個基本識別元素為這個識別方式頭連結的基本識別方式中 的一個。例如TCP標籤下的type l構建一個識別方式頭，鏈 接兩個識別方式分別是判斷首字節內容是否是0x13和判斷第 二個字節開始的19個字節內容是否是"BitTorrent Protocol"。
三. 識別執行過程
在具體的識別執行過程中，識別執行模塊按照method Hst中的 內容實現具體的識別工作。具體流程如下
1. 根據傳輸層協議決定參照TCP或UDP的method list來進行識 別工作；
2. 對it據包內容和其所屬流信息用method list中的識別方式頭 指定的一些基本信息和連結的一組基本識別操作進行識別工 作；如果未完成任何 一 個獨立的識別操作就被認為是不能滿足 這一識別方式對應的特徵，於是繼續進入method list中的下 一條識別方式頭指定的識別方式進行判斷。如果完成了 一個識 別方式頭所指定的所有操作，則被認為滿足了識別特徵(或者 是滿足了多狀態識別中進入下一狀態的特徵)，則該流就可以 被識別未對應的流量。
四.實例完整的工作流程
當 一個數據包以及其所屬流的信息進入檢測流程之後，識別執行 模塊根據method 1 ist信息對其進行流量識別。首先根據其所屬的傳 輸層協議選擇對應的method list ( tcp和udp各自維護了 一個method list)。在依據method 1 is t中的識別方式頭指定的識別方式進行識 別操作，假如一個數據包被上述識別方式描述文件中的tcp的第一個 type指定的方法所檢測的時候，首先進行第一個操作檢測首個字符是 否是0xl3 (這個操作存儲在識別方式頭指定的第一個操作結構中，識 別方式頭中包含這個操作的類型和其指針使得識別執行模塊能夠正確 地找到這個存儲這個操作的結構。這個結構中存儲了其比較參數為 0x13,於是執行模塊根據參數和操作類型對數據包和流信息進行特徵 匹配)。如果不符合這個特徵就直接結束這個識別方式頭指定的識別 操作，進入下一識別方式頭指定的識別過程中。如果符合這個特徵就 繼續後續的識別操作，比如比較第二個字節開始是否是字符串
"BitTorrent Protocol",如果不是就進入下一識別方式中。如果是 則告知識別執行模塊，完成特徵匹配，這個數據包所屬於的流可以被 標識為屬於BT應用。
以上對本發明的具體描述旨在說明具體實施方案的實現方式，不 能理解為是對本發明的限制。本領域普通技術人員在本發明的教導下， 可以在詳述的實施方案的基礎上做出各種變體，這些變體均應包含在 本發明的構思之內。本發明所要求保護的範圍僅由所述的權利要求書 進行限制。
權利要求
1.一種網絡應用層協議識別方法，其特徵在於，所述識別方法包括如下步驟1)對網絡應用層的協議識別方式進行描述，並生成相應的識別方式描述文件；2)對識別方式描述文件進行解析，生成相應的Method List數據結構；以及3)依據Method List數據結構，對網絡應用層協議進行識別。
2. 根據權利要求1所述的識別方法，其特徵在於，所述網絡應用 層協議識別方式是多類型和/或多狀態的協議識別方式。
3. 根據權利要求1所述的識別方法，其特徵在於，所述步驟l) 中，還包括在識別方式描述文件中對為協議識別提供操作支持的操 作方式和識別方式的結構進行描述。
4. 根據權利要求1所述的識別方法，其特徵在於所述步驟2) 中的解析是基於XML語言平臺。
5. 根據權利要求1所述的識別方法，其特徵在於所述步驟3) 中的Method List數據結構採用動態鍊表和無類型指針結合的方式。
6. 根據權利要求3所述的識別方法，其特徵在於所述對協議識 別提供操作支持的操作方式包括buffer操作。
7. —種網絡應用層協議識別系統，其特徵在於，所述識別系統包括對協議識別方式描述文件進行解析的描述方法解釋器，其中所述 識別方式描述文件用於對網絡應用層的協議識別方式進行描述；存儲解析後的數據結構Method List的Method List數據結構模 塊；以及依據Method List對協議進行識別的協議識別糹喿作拭J於模塊。
8. 根據權利要求7所述的識別系統，其特徵在於所述描述方法 解釋器是基於XML語言平臺。
9. 根據權利要求8所述的識別系統，其特徵在於所述描述方法 解釋器調用LIBXML2開放代碼庫。
10. 根據權利要求7至9任一項所述的識別系統，其特徵在於所述的Method List數據結構模塊採用動態鍊表和無類型指針結合的方式o
全文摘要
本發明披露了一種網絡應用層協議識別方法及其系統，能夠對多類型和/或多狀態的網絡應用層協議進行識別。該系統主要包括對協議識別方式描述文件進行解析的描述方法解釋器，其中所述識別方式描述文件用於對網絡應用層的協議識別方式進行描述；存儲解析後的數據結構Method List的Method List數據結構模塊；依據Method List對協議進行識別的協議識別操作執行模塊。本發明能夠用來實現多類型的協議識別和利用狀態識別實現多狀態協議識別，同時又能方便對特徵與識別方式進行更新。
文檔編號H04L29/08GK101577704SQ20081010607
公開日2009年11月11日 申請日期2008年5月8日 優先權日2008年5月8日
發明者眾 張, 楊建華 申請人:北京東華合創數碼科技股份有限公司