买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：江苏博智软件科技股份有限公司

摘要：本发明涉及一种基于Suricata框架的DEC进程（SDEC），包括捕包框架、TCP会话管理、应用层协议识别和还原库。本发明用于协议还原，对进入SDEC进程的流量报文进行识别，识别出具体的协议，并进行解析还原，生产ticket和rawfile，适用于网络流量监控、敏感信息检测、恶意程序监测等场合。

主权项：1.一种基于Suricata框架的DEC进程，其特征在于：它主要包括捕包框架（1）、TCP会话管理（2）、应用层协议识别（3）和还原库（4）；捕包框架（1）与TCP会话管理（2）连接，TCP会话管理（2）与应用层协议识别（3）连接，应用层协议识别（3）与还原库（4）连接。

全文数据：一种基于Suricata框架的DEC进程技术领域本发明涉及网络安全领域，具体涉及一种基于Suricata框架的DEC进程。背景技术Suricata是一套成熟的网络监测框架体系，本身具有高度可配特性，支持多种模式抓包，多种工作模式可以组合处理来提高处理性能。支持底层协议栈解析，高度流管控模块，以及数据流重组，协议识别引擎，同时兼容Snort规则，可以加载木马规则，检测一定的特征木马行为。就可扩展性而言：（1）对协议识别模块进行改造，通过配置文件可配置，对于后期维护性比较好。（2）对木马检测而言，可以通过添加木马规则来进行匹配告警。协议还原模块有如下应用场合：（1）分析网络中的垃圾邮件为上层的垃圾邮件过滤模块服务，为垃圾邮件过滤模块提供应用层以下的数据和下面各层的接口，垃圾邮件模块只需要将重点放在应用层POP3协议和SMTP协议处理，直接使用协议还原模块作为下层输入。（2）用于IPS入侵防御系统为IPS入侵防御系统提供IP层的各种信息和IP报文内容，包含IP地址数据和数据包长度等。IPS可以在协议还原模块的基础上，进行各种入侵方式的防御开发。发明内容本发明的目的在于提供一种基于Suricata框架的DEC进程（SDEC），它用于协议还原，对进入SDEC进程的流量报文进行识别，识别出具体的协议，并进行解析还原，生产ticket和rawfile，适用于网络流量监控、敏感信息检测、恶意程序监测等场合。实现本发明目的的技术方案是：一种基于Suricata框架的DEC进程，其特征在于：它主要包括捕包框架、TCP会话管理、应用层协议识别和还原库。捕包框架与TCP会话管理连接，TCP会话管理与应用层协议识别连接，应用层协议识别与还原库连接。本发明的工作原理是：捕包框架将捕到的2层报文投递给TCP会话管理进行处理；TCP会话管理对eth报文进行四元组会话管理，并进行TCP排序、重组等处理；排序重组后的有序报文，投递给应用层协议识别，识别出属于哪一种协议；应用层协议识别成功后，将报文投递到还原库中不同的协议解析线程，各协议解析线程对连接报文进行解析、还原，生产ticket和rawfile。与现有技术相比，本发明具有以下优点：（1）支持流量线性扩充；（2）使用插件化的还原协议框架，方便后期扩展；（3）对用户的需求迅速进行响应；（4）兼容从低配到高配的硬件环境。附图说明图1是一种基于Suricata框架的DEC进程的框架组件图。具体实施方式下面结合附图对本发明作进一步详细描述。结合图1，本发明一种基于Suricata框架的DEC进程，它主要包括捕包框架（1）、TCP会话管理（2）、应用层协议识别（3）和还原库（4）。捕包框架（1）与TCP会话管理（2）连接，TCP会话管理（2）与应用层协议识别（3）连接，应用层协议识别（3）与还原库（4）连接。结合图1，本发明一种基于Suricata框架的DEC进程的工作原理是：捕包框架（1）将捕到的2层报文投递给TCP会话管理（2）进行处理；TCP会话管理（2）对eth报文进行四元组会话管理，并进行TCP排序、重组等处理；排序重组后的有序报文，投递给应用层协议识别（3），识别出属于哪一种协议；应用层协议识别（3）成功后，将报文投递到还原库（4）中不同的协议解析线程，各协议解析线程对连接报文进行解析、还原，生产ticket和rawfile。本发明一种基于Suricata框架的DEC进程用于协议还原，对进入SDEC进程的流量报文进行识别，识别出具体的协议，并进行解析还原，生产ticket和rawfile，适用于网络流量监控、敏感信息检测、恶意程序监测等场合。

权利要求：1.一种基于Suricata框架的DEC进程，其特征在于：它主要包括捕包框架（1）、TCP会话管理（2）、应用层协议识别（3）和还原库（4）；捕包框架（1）与TCP会话管理（2）连接，TCP会话管理（2）与应用层协议识别（3）连接，应用层协议识别（3）与还原库（4）连接。2.根据权利要求1所述的一种基于Suricata框架的DEC进程，其特征在于：捕包框架（1）将捕到的2层报文投递给TCP会话管理（2）进行处理；TCP会话管理（2）对eth报文进行四元组会话管理，并进行TCP排序、重组等处理；排序重组后的有序报文，投递给应用层协议识别（3），识别出属于哪一种协议；应用层协议识别（3）成功后，将报文投递到还原库（4）中不同的协议解析线程，各协议解析线程对连接报文进行解析、还原，生产ticket和rawfile。

百度查询： 江苏博智软件科技股份有限公司 一种基于Suricata框架的DEC进程