一种基于多框架的高性能协议还原模块的制作方法

本发明涉及网络安全领域，具体涉及一种基于多框架的高性能协议还原模块。

背景技术：

dpi（deeppacketinspection）报文内容深度识别，是网络安全领域最前端、也是最基础的组件。dpi的深度是和普通分析相比而言的，普通报文检测仅分析ip层以下内容，包括：源ip、目的ip、源端口、目的端口、协议类型。但现有的各种网络通信使用了私有协议，非标准的应用使用任意的tcp/udp端口来进行通信，增加了识别的难度，使用普通方式，无法精确的识别出协议。要精确了解报文所承载的业务类型及流量大小等信息，必须要跟踪业务应用的协议交互过程，并对报文的负载payload进行深度的识别。

协议还原模块有如下应用场合：

（1）分析网络中的垃圾邮件

为上层的垃圾邮件过滤模块服务，为垃圾邮件过滤模块提供应用层以下的数据和下面各层的接口，垃圾邮件模块只需要将重点放在应用层pop3协议和smtp协议处理，直接使用协议还原模块作为下层输入。

（2）用于ips入侵防御系统

为ips入侵防御系统提供ip层的各种信息和ip报文内容，包含ip地址数据和数据包长度等。ips可以在协议还原模块的基础上，进行各种入侵方式的防御开发。

技术实现要素：

本发明的目的在于提供一种基于多框架的高性能协议还原模块，它用于协议还原，对进入dec进程的流量报文进行解析还原，生产ticket和rawfile，适用于网络流量监控、敏感信息检测、恶意程序监测等场合。

实现本发明目的的技术方案是：一种基于多框架的高性能协议还原模块，其特征在于：它主要包括dec线程、还原库分投接口、会话管理线程和协议解析线程。dec线程与还原库分投接口连接，还原库分投接口与会话管理线程连接，会话管理线程与协议解析线程连接。

本发明的工作原理是：dec进程包括sdec、mdec、pdec三种，dec进程在收到数据、报文后，通过还原库分投接口，上报到会话管理线程，协议解析线程从会话管理线程中取数据进行解析还原。

与现有技术相比，本发明具有以下优点：（1）支持流量线性扩充；（2）使用插件化的还原协议框架，方便后期扩展；（3）对用户的需求迅速进行响应；（4）兼容从低配到高配的硬件环境。

附图说明

图1是一种基于多框架的高性能协议还原模块的框架组件图。

具体实施方式

下面结合附图对本发明作进一步详细描述。

结合图1，本发明一种基于多框架的高性能协议还原模块，它主要包括dec线程（1）、还原库分投接口（2）、会话管理线程（3）和协议解析线程（4）。dec线程（1）与还原库分投接口（2）连接，还原库分投接口（2）与会话管理线程（3）连接，会话管理线程（3）与协议解析线程（4）连接。

结合图1，本发明一种基于多框架的高性能协议还原模块的工作原理是：dec进程（1）包括sdec、mdec、pdec三种，dec进程（1）在收到数据、报文后，通过还原库分投接口（2），上报到会话管理线程（3），协议解析线程（4）从会话管理线程（3）中取数据进行解析还原。

本发明一种基于多框架的高性能协议还原模块用于协议还原，对进入dec进程的流量报文进行解析还原，生产ticket和rawfile，适用于网络流量监控、敏感信息检测、恶意程序监测等场合。

技术特征：

技术总结
本发明涉及一种基于多框架的高性能协议还原模块，包括DEC线程、还原库分投接口、会话管理线程和协议解析线程。本发明用于协议还原，对进入DEC进程的流量报文进行解析还原，生产ticket和rawfile，适用于网络流量监控、敏感信息检测、恶意程序监测等场合。

技术研发人员：傅涛;冯凌;朱平;王力
受保护的技术使用者：江苏博智软件科技股份有限公司
技术研发日：2018.01.30
技术公布日：2019.08.06