CN107645502A - 一种报文检测方法及装置 - Google Patents
一种报文检测方法及装置 Download PDFInfo
- Publication number
- CN107645502A CN107645502A CN201710850394.3A CN201710850394A CN107645502A CN 107645502 A CN107645502 A CN 107645502A CN 201710850394 A CN201710850394 A CN 201710850394A CN 107645502 A CN107645502 A CN 107645502A
- Authority
- CN
- China
- Prior art keywords
- alarm
- detecting
- rule
- message
- distribution detecting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种报文检测方法及装置,应用于安全设备,方法包括:对规则管理库中的规则进行分类,逐一针对每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎,且对规则管理库中的所有规则进行编译生成使用所有规则进行报文检测的主检测引擎;当接收到报文时,检测主检测引擎是否已生成;若未生成主检测引擎,检测是否存在已生成的分布检测引擎;若存在已生成的分布检测引擎,利用已生成的分布检测引擎检测报文;若已生成的分布检测引擎中的第一分布检测引擎检测到报文与第一分布检测引擎使用的规则匹配,则利用第一分布检测引擎依据匹配的规则处理报文。应用本申请实施例,减小了安全设备保护的网络受到攻击的可能性。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种报文检测方法及装置。
背景技术
DPI(Deep Packet Inspection,深度包检测)的技术核心为检测引擎,检测引擎集成了规则管理库,设置在安全设备上,规则管理库是IPS(Intrusion Prevention System,入侵防护系统)、APR(Application Recognition,应用识别)等涉及上层应用载荷识别业务的规则集合,检测引擎可以使用规则管理库中的规则进行报文检测。某些场景中,如主备设备倒换、规则管理库升级、业务策略变更下发过程等场景中,会引发规则管理库中规则的重新编译,重新生成检测引擎,安全设备利用该重新生成的检测引擎对报文进行处理,实现DPI业务。
然而,在重新编译规则管理库中规则的过程中,安全设备上无可用的检测引擎,无法利用检测引擎处理报文,DPI业务中断,此时,若DPI设备接收到报文,则直接进行转发。尤其是规则管理库中规则数量庞大的情况下,重新编译规则管理库中规则的时间会很长,导致安全设备的DPI业务可能长时间中断,容易使该安全设备保护的网络受到攻击。
发明内容
本申请实施例的目的在于提供一种报文检测方法及装置,以减小安全设备保护的网络受到攻击的可能性。具体技术方案如下:
一方面,本申请实施例公开了一种报文检测方法,应用于安全设备,所述方法包括:
对规则管理库中的规则进行分类,逐一针对每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎,且对所述规则管理库中的所有规则进行编译生成使用所述所有规则进行报文检测的主检测引擎;
当接收到报文时,检测所述主检测引擎是否已生成;
若未生成所述主检测引擎,检测是否存在已生成的分布检测引擎;
若存在已生成的分布检测引擎,利用已生成的分布检测引擎检测所述报文;
若所述已生成的分布检测引擎检测中的第一分布检测引擎检测到所述报文与所述第一分布检测引擎使用的规则匹配,则利用所述第一分布检测引擎依据匹配的规则处理所述报文。
二方面,本申请实施例公开了一种报文检测装置,应用于DPI设备,所述装置包括:
编译单元,用于对规则管理库中的规则进行分类,逐一针对每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎,且对所述规则管理库中的所有规则进行编译生成使用所述所有规则进行报文检测的主检测引擎;
第一检测单元,用于当接收到报文时,检测所述主检测引擎是否已生成;
第二检测单元,用于若未生成所述主检测引擎,检测是否存在已生成的分布检测引擎;
第三检测单元,用于若存在已生成的分布检测引擎,利用已生成的分布检测引擎检测所述报文;
处理单元,用于若所述已生成的分布检测引擎中的第一分布检测引擎检测到所述报文与所述第一分布检测引擎使用的规则匹配,则利用所述第一分布检测引擎依据匹配的规则处理所述报文。
三方面,本申请实施例公开了一种安全设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述报文检测方法步骤。
本申请实施例中,对规则管理库中的规则进行了分类,一类规则的数量远远少于所有规则的数量,编译生成一个分布检测引擎的时间远远少于编译生成主检测引擎的时间,安全设备中无检测引擎的时间从生成主检测引擎的时间缩短至了生成一个分布检测引擎的时间。当接收到报文时,检测到主检测引擎未生成,但分布检测引擎很可能已经生成了,若存在已生成的分布检测引擎,可以利用已生成的分布检测引擎进行检测报文,减少了安全设备的DPI业务的中断时间,从而减低了安全设备保护的网络受到攻击的可能性。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的报文检测方法的第一种流程示意图;
图2为本申请实施例提供的报文检测方法的第二种流程示意图;
图3为本申请实施例提供的报文检测装置的一种结构示意图;
图4为本申请实施例提供的安全设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了减低安全设备保护的网络受到攻击的可能性,本申请实施例提供了一种报文检测方法及装置。参考图1,图1为本申请实施例提供的报文检测方法的第一种流程示意图,应用于安全设备,该方法包括:
S101:对规则管理库中的规则进行分类,逐一针对每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎,且对规则管理库中的所有规则进行编译生成使用所有规则进行报文检测的主检测引擎。
本申请实施例中,在主备设备倒换、规则管理库升级、业务策略变更下发过程等场景中,会引发规则管理库中规则的重新编译,重新生成检测引擎。
安全设备对规则管理库中规则进行重新编译的过程中,除对规则管理库中所有规则进行编译生成使用所有规则进行报文检测的主检测引擎外,还对规则管理库中的规则进行分类,逐一针对每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎。
上述生成使用不同类规则进行报文检测的分布检测引擎的顺序可以任意设定。每生成一个分布检测引擎,就可以利用该分布检测引擎检测报文,并利用该分布检测引擎所使用的规则处理报文。
这里,每一类规则的数量远远少于规则管理库中所有规则的数量,编译生成一个分布检测引擎的时间远远少于编译生成主检测引擎的时间,安全设备中无检测引擎的时间从生成主检测引擎的时间缩短至了生成一个分布检测引擎的时间。
本申请实施例中,规则管理库中的规则可以包括源地址、目的地址、源端口、目的端口等报文信息及对应的处理报文的动作,对规则管理库中的规则进行分类时,可以按照规则中包括的一种或多种报文信息进行分类。
在本申请的一个实施例中,可以按照规则中处理报文的动作,对规则管理库中的规则进行分类。一个分布检测引擎为针对一种动作的检测引擎,与一个分布检测引擎使用的规则匹配的报文均采用同一动作处理,便于了报文的检测处理。这里,处理报文的动作包括:重置、重定向、阻断源\丢弃、允许等。
在编译生成分布检测引擎前,可以为每一类规则对应的分类设置一个优先级,按照分类的优先级从高到低的顺序,对规则管理库中每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎。
在本申请的一个实施例中,为了降低安全设备保护的网络受到攻击的严重性,可以根据与一类规则匹配的报文对安全设备保护的网络的攻击严重程度划分分类的优先级,为每一分类设置一个优先级,与一类规则匹配的报文对安全设备保护的网络的攻击严重程度越大,该类规则的优先级越高,该类规则对应的分类的优先级越高,按照分类的优先级从高到低的顺序,对规则管理库中每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎,这样,就可以利用先生成的分布检测引擎检测出对安全设备保护的网络的攻击严重程度较高的报文。这里,攻击严重程度可以依据攻击对安全设备处理业务的影响大小确定,对安全设备处理业务的影响越大,攻击严重程度越大。
在本申请的一个实施例中,为了进一步减少安全设备保护的网络受到攻击的可能性,即提高利用已生成的分布检测引擎检测出接收到的报文的可能性,对规则管理库中的规则进行分类时,每一分类的优先级可以根据安全设备接收与该分类对应的规则匹配的报文数量确定,即安全设备接收到与某一分类对应的规则匹配的报文越多,该分类的优先级越高,按照分类的优先级从高到低的顺序,对规则管理库中每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎,进而依据先生成的分布检测引擎就可以尽可能多检测出接收的报文。
例如,安全设备中预先设定的优先级从高到低的顺序为:按照重置处理报文的一类规则>按照重定向处理报文的一类规则>按照阻断源\丢弃处理报文的一类规则>按照允许处理报文的一类规则;则生成分布检测引擎的顺序为:使用重置这类规则进行报文检测的分布检测引擎1→使用重定向这类规则进行报文检测的分布检测引擎2→使用阻断源\丢弃这类规则进行报文检测的分布检测引擎3→使用允许这类规则进行报文检测的分布检测引擎4。
在本申请的一个实施例中,为了减少浪费的安全设备资源,当主检测引擎已生成时,主检测引擎中集合了规则管理库中的所有规则,接收到的报文的检测完全可以由主检测引擎完成,停止生成分布检测引擎。
S102:当接收到报文时,检测主检测引擎是否已生成;若未生成主检测引擎,执行S103;
安全设备上规则管理库中规则处于重新编译的状态,若安全设备转发正常,随时均可能接收到报文,即在生成主检测引擎前和生成主检测引擎后均可能接收到报文。主检测引擎中集合了规则管理库中的所有规则,接收到的报文的检测由主检测引擎完成,相比于一个分布检测引擎再一个分布检测引擎的检测报文,报文的检测效率较高,因此,先检测主检测引擎是否已生成。
在本申请的一个实施例中,为了便于检测主检测引擎是否已生成,可以在安全设备上设置一个针对主检测引擎的状态位。当接收到报文时,检测该针对主检测引擎的状态位是否指示已生成;如果是,确定主检测引擎已生成;否则,主检测引擎未生成。
例如,0表示未生成,1表示已生成,当规则管理库中规则处于重新编译的状态时,将该针对主检测引擎的状态位设置为0,当编译生成主检测引擎后,将该针对主检测引擎的状态位设置为1;当接收到报文时,检测针对主检测引擎的状态位;若检测到该针对主检测引擎的状态位为0,确定主检测引擎未生成;若检测到针对主检测引擎的状态位为1,确定主检测引擎已生成。
在本申请的一个实施例中,当检测到主检测引擎已生成时,接收到的报文的检测由主检测引擎完成,而不必一个分布检测引擎再一个分布检测引擎的检测报文,提高了报文的检测效率。
S103:检测是否存在已生成的分布检测引擎;若存在已生成的分布检测引擎,执行S104;
每一类规则的数量远远少于规则管理库中所有规则的数量,编译生成一个分布检测引擎的时间远远少于编译生成主检测引擎的时间,安全设备中无检测引擎的时间从生成主检测引擎的时间缩短至了生成一个分布检测引擎的时间。若在主检测引擎生成前接收到报文,分布检测引擎很可能已经生成了。
在本申请的一个实施例中,为了便于检测每个分布检测引擎是否已生成,可以在安全设备上针对每个分布检测引擎设置一个状态位。当接收到报文时,若检测到主检测引擎未生成,检测是否存在状态位指示为已生成的分布检测引擎;若存在,确定存在已生成的分布检测引擎;否则,确定不存在已生成的分布检测引擎。
例如,0表示未生成,1表示已生成,当接收到报文时,若检测到主检测引擎未生成,检测到各个分布检测引擎的状态位;若检测到存在分布检测引擎的状态位为1,则确定存在已生成的分布检测引擎;否则,确定不存在已生成的分布检测引擎。
在本申请的一个实施例中,若确定主检测引擎未生成,并且不存在已生成的分布检测引擎,则可以直接转发报文,避免影响其它业务。
在本申请的另一个实施例中,为了降低安全设备保护的网络受到攻击的可能性,若确定主检测引擎未生成,并且不存在已生成的分布检测引擎,可以等待一段时间,若在这一段时间内,主检测引擎还是未生成,并且还是不存在已生成的分布检测引擎,则转发报文;若等待一段时间后,主检测引擎已生成或生成了分布检测引擎,则通过主检测引擎或已生成的分布检测引擎检测报文。
S104:利用已生成的分布检测引擎检测报文;
在本申请的一个实施例中,规则管理库中的规则时进行分类时,可以为每一分类预先设定一个优先级,按照分类的优先级从高到低的顺序,利用已生成的分布检测引擎检测报文。例如,规则管理库中的规则时按照处理报文的动作分类,此时,可以为每一动作预先设定一个优先级,按照动作的优先级从高到低的顺序,利用已生成的分布检测引擎检测报文。
上述分类的优先级可以根据与一类规则匹配的报文对安全设备保护的网络的攻击严重程度设置,与一类规则匹配的报文对安全设备保护的网络的攻击严重程度越大,该类规则的优先级越高,该类规则对应的分类的优先级越高。这里,攻击严重程度可以依据攻击对安全设备处理业务的影响大小确定,对安全设备处理业务的影响越大,攻击严重程度越大,有效地降低了安全设备保护的网络受到攻击的严重性。
上述分类的优先级也可以根据安全设备接收与分类对应的规则匹配的报文数量确定,即安全设备接收到与某一分类对应的规则匹配的报文越多,该分类的优先级越高,报文与使用该分类对应的一类规则进行报文检测的分布检测引擎中规则匹配的概率越高,若该分类对应的分布检测引擎中规则与接收的报文匹配,则不必再利用其他分布检测引擎检测该接收的报文,有效地提高了报文的检测效率。
S105:若已生成的分布检测引擎中的第一分布检测引擎检测到报文与该第一分布检测引擎使用的规则匹配,则利用该第一分布检测引擎依据匹配的规则处理报文。
例如,若利用使用处理报文的动作为重定向的一类规则的分布检测引擎检测到接收的报文与该分布检测引擎使用的规则匹配,则重定向该接收的报文。
下面结合图2所示的流程示意图,对本申请实施例提供的报文检测方法进行解释说明。
其中,动作包括重置、重定向、阻断源\丢弃、允许,动作的优先级从高到低的顺序为:重置>重定向>阻断源\丢弃>允许;
当重新编译规则管理库中规则时,编译规则管理库中所有规则,生成主检测引擎,同时,按照动作对规则管理库中的规则进行分类,按照动作的优先级从高到低的顺序,先后生成使用重置处理报文的一类规则进行报文检测的分布检测引擎1、使用重定向处理报文的一类规则进行报文检测的分布检测引擎2、使用阻断源\丢弃处理报文的一类规则进行报文检测的分布检测引擎3、使用允许处理报文的一类规则进行报文检测的分布检测引擎4;若主检测引擎已生成,停止生成分布检测引擎,例如,主检测引擎已生成时,正在生成分布检测引擎3,则停止生成分布检测引擎3,并且不再生成分布检测引擎4;
当接收到报文时,检测主检测引擎是否已生成;若已生成主检测引擎,检查报文是否命中主检测引擎,即利用主检测引擎检测报文是否与主检测引擎使用的规则匹配,若主检测引擎使用的规则与报文匹配,按照匹配的规则对应的动作处理报文;若主检测引擎使用的规则与报文均不匹配,放行报文,即转发报文;
若检测到主检测引擎未生成,按照动作的优先级从高到低的顺序,先后检测报文是否命中分布检测引擎1、分布检测引擎2、分布检测引擎3、分布检测引擎4,具体地:
检测分布检测引擎1是否已生成;若未生成,等待预定时间再检测分布检测引擎1是否已生成,若还未生成,转发报文;若分布检测引擎1已生成,利用分布检测引擎1检测报文是否与分布检测引擎1使用的规则匹配;
若报文与分布检测引擎1使用的规则匹配,重置报文;若报文与分布检测引擎1使用的规则不匹配,检测下一级分布检测引擎,即分布检测引擎2是否已生成;若未生成,等待预定时间再检测分布检测引擎2是否已生成,若还未生成,转发报文;若分布检测引擎2已生成,利用分布检测引擎2检测报文是否与分布检测引擎2使用的规则匹配;
若报文与分布检测引擎2使用的规则匹配,重定向报文;若报文与分布检测引擎2使用的规则不匹配,检测下一级分布检测引擎,即分布检测引擎3是否已生成;若未生成,等待预定时间再检测分布检测引擎3是否已生成,若还未生成,转发报文;若分布检测引擎3已生成,利用分布检测引擎3检测报文是否与分布检测引擎3使用的规则匹配;
若报文与分布检测引擎3使用的规则匹配,阻断源\丢弃报文;若报文与分布检测引擎3使用的规则不匹配,检测下一级分布检测引擎,即分布检测引擎4是否已生成;若未生成,等待预定时间再检测分布检测引擎4是否已生成,若还未生成,转发报文;若分布检测引擎4已生成,利用分布检测引擎4检测报文是否与分布检测引擎4使用的规则匹配;
若报文与分布检测引擎4使用的规则匹配,允许报文;若报文与分布检测引擎4使用的规则不匹配,则转发报文。
应用本申请实施例,对规则管理库中的规则进行了分类,一类规则的数量远远少于所有规则的数量,编译生成一个分布检测引擎的时间远远少于编译生成主检测引擎的时间,安全设备中无检测引擎的时间从生成主检测引擎的时间缩短至了生成一个分布检测引擎的时间。当接收到报文时,检测到主检测引擎未生成,但分布检测引擎很可能已经生成了,若存在已生成的分布检测引擎,可以利用已生成的分布检测引擎进行检测报文,减少了安全设备的DPI业务的中断时间,从而减低了安全设备保护的网络受到攻击的可能性。
与报文检测方法实施例对应,本申请实施例提供了一种报文检测装置。
参考图3,图3为本申请实施例提供的报文检测装置的一种结构示意图,应用于安全设备,该装置包括:
编译单元301,用于对规则管理库中的规则进行分类,逐一针对每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎,且对规则管理库中的所有规则进行编译生成使用所有规则进行报文检测的主检测引擎;
第一检测单元302,用于当接收到报文时,检测主检测引擎是否已生成;
第二检测单元303,用于若未生成主检测引擎,检测是否存在已生成的分布检测引擎;
第三检测单元304,用于若存在已生成的分布检测引擎,利用已生成的分布检测引擎检测报文;
处理单元305,用于若利用已生成的分布检测引擎中的第一分布检测引擎检测到报文与第一分布检测引擎使用的规则匹配,则利用第一分布检测引擎依据匹配的规则处理报文。
在本申请的一个实施例中,处理单元305,还可以用于:
若报文与已生成的分布检测引擎使用的规则均不匹配,且在预定时间内未生成新的分布检测引擎,则转发报文。
在本申请的一个实施例中,编译单元301,具体可以用于:
按照处理报文的动作,对规则管理库中的规则进行分类。
在本申请的一个实施例中,编译单元301,具体可以用于:
按照分类的优先级从高到低的顺序,对规则管理库中每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎;
第三检测单元304,具体可以用于:
若存在已生成的分布检测引擎,按照分类的优先级从高到低的顺序,利用已生成的分布检测引擎检测报文。
在本申请的一个实施例中,处理单元305,还可以用于:
若主检测引擎已生成,停止生成分布检测引擎;利用主检测引擎检测报文。
应用本申请实施例,对规则管理库中的规则进行了分类,一类规则的数量远远少于所有规则的数量,编译生成一个分布检测引擎的时间远远少于编译生成主检测引擎的时间,安全设备中无检测引擎的时间从生成主检测引擎的时间缩短至了生成一个分布检测引擎的时间。当接收到报文时,检测到主检测引擎未生成,但分布检测引擎很可能已经生成了,若存在已生成的分布检测引擎,可以利用已生成的分布检测引擎进行检测报文,减少了安全设备的DPI业务的中断时间,从而减低了安全设备保护的网络受到攻击的可能性。
与报文检测方法实施例和报文检测装置实施例对应,本申请实施例还提供了一种安全设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使可以上述报文检测方法。
如图4所示的本申请实施例提供的安全设备的一种结构示意图,安全设备包括处理器401和机器可读存储介质402,机器可读存储介质402存储有能够被处理器401执行的机器可执行指令。
另外,如图4所示,安全设备还可以包括:通信接口403和通信总线404;其中,处理器401、机器可读存储介质402、通信接口403通过通信总线404完成相互间的通信,通信接口403用于上述安全设备与其他设备之间的通信。
上述机器可执行指令包括:编译指令412、第一检测指令422、第二检测指令432、第三检测指令442和处理指令452:
处理器被编译指令412促使实现步骤:对规则管理库中的规则进行分类,逐一针对每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎,且对规则管理库中的所有规则进行编译生成使用所有规则进行报文检测的主检测引擎;
处理器被第一检测指令422促使实现步骤:当接收到报文时,检测主检测引擎是否已生成;
处理器被第二检测指令432促使实现步骤:若未生成主检测引擎,检测是否存在已生成的分布检测引擎;
处理器被第三检测指令442促使实现步骤:若存在已生成的分布检测引擎,利用已生成的分布检测引擎检测报文;
处理器被处理指令452促使实现步骤:若利用已生成的分布检测引擎中的第一分布检测引擎检测检测到报文与第一分布检测引擎使用的规则匹配,则利用第一分布检测引擎依据匹配的规则处理报文。
在本申请的一个实施例中,处理器被处理指令452促使还可以实现步骤:
若报文与已生成的分布检测引擎使用的规则均不匹配,且在预定时间内未生成新的分布检测引擎,则转发报文。
在本申请的一个实施例中,处理器被编译指令412促使具体可以实现步骤:
按照处理报文的动作,对规则管理库中的规则进行分类。
在本申请的一个实施例中,处理器被编译指令412促使具体可以实现步骤:
按照分类的优先级从高到低的顺序,对规则管理库中每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎;
处理器被第三检测指令442促使具体可以实现步骤:若存在已生成的分布检测引擎,按照分类的优先级从高到低的顺序,利用已生成的分布检测引擎检测报文。
在本申请的一个实施例中,处理器被处理指令452促使还可以实现步骤:
若主检测引擎已生成,停止生成分布检测引擎;利用主检测引擎检测报文。
应用本申请实施例,对规则管理库中的规则进行了分类,一类规则的数量远远少于所有规则的数量,编译生成一个分布检测引擎的时间远远少于编译生成主检测引擎的时间,安全设备中无检测引擎的时间从生成主检测引擎的时间缩短至了生成一个分布检测引擎的时间。当接收到报文时,检测到主检测引擎未生成,但分布检测引擎很可能已经生成了,若存在已生成的分布检测引擎,可以利用已生成的分布检测引擎进行检测报文,减少了安全设备的DPI业务的中断时间,从而减低了安全设备保护的网络受到攻击的可能性。
上述通信总线404可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线404可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
机器可读存储介质402可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质402还可以是至少一个位于远离前述处理器的存储装置。
上述处理器401可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital SignalProcessing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于报文检测装置、安全设备实施例而言,由于其基本相似于报文检测方法实施例,所以描述的比较简单,相关之处参见报文检测方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (11)
1.一种报文检测方法,其特征在于,应用于安全设备,所述方法包括:
对规则管理库中的规则进行分类,逐一针对每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎,且对所述规则管理库中的所有规则进行编译生成使用所述所有规则进行报文检测的主检测引擎;
当接收到报文时,检测所述主检测引擎是否已生成;
若未生成所述主检测引擎,检测是否存在已生成的分布检测引擎;
若存在已生成的分布检测引擎,利用已生成的分布检测引擎检测所述报文;
若所述已生成的分布检测引擎中的第一分布检测引擎检测到所述报文与所述第一分布检测引擎使用的规则匹配,则利用所述第一分布检测引擎依据匹配的规则处理所述报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述报文与已生成的分布检测引擎使用的规则均不匹配,且在预定时间内未生成新的分布检测引擎,则转发所述报文。
3.根据权利要求1所述的方法,其特征在于,所述对规则管理库中的规则进行分类的步骤,包括:
按照处理报文的动作,对规则管理库中的规则进行分类。
4.根据权利要求1所述的方法,其特征在于,所述逐一针对每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎的步骤,包括:
按照分类的优先级从高到低的顺序,对所述规则管理库中每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎;
所述利用已生成的分布检测引擎检测所述报文的步骤,包括:
按照分类的优先级从高到低的顺序,利用已生成的分布检测引擎检测所述报文。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述主检测引擎已生成,停止生成分布检测引擎;
利用所述主检测引擎检测所述报文。
6.一种报文检测装置,其特征在于,应用于安全设备,所述装置包括:
编译单元,用于对规则管理库中的规则进行分类,逐一针对每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎,且对所述规则管理库中的所有规则进行编译生成使用所述所有规则进行报文检测的主检测引擎;
第一检测单元,用于当接收到报文时,检测所述主检测引擎是否已生成;
第二检测单元,用于若未生成所述主检测引擎,检测是否存在已生成的分布检测引擎;
第三检测单元,用于若存在已生成的分布检测引擎,利用已生成的分布检测引擎检测所述报文;
处理单元,用于若所述已生成的分布检测引擎中的第一分布检测引擎检测到所述报文与所述第一分布检测引擎使用的规则匹配,则利用所述第一分布检测引擎依据匹配的规则处理所述报文。
7.根据权利要求6所述的装置,其特征在于,所述处理单元,还用于:
若所述报文与已生成的分布检测引擎使用的规则均不匹配,且在预定时间内未生成新的分布检测引擎,则转发所述报文。
8.根据权利要求6所述的装置,其特征在于,所述编译单元,具体用于:
按照处理报文的动作,对规则管理库中的规则进行分类。
9.根据权利要求6所述的装置,其特征在于,所述编译单元,具体用于:
按照分类的优先级从高到低的顺序,对所述规则管理库中每一类规则进行编译生成使用该类规则进行报文检测的分布检测引擎;
所述第三检测单元,具体用于:
按照分类的优先级从高到低的顺序,利用已生成的分布检测引擎检测所述报文。
10.根据权利要求6所述的装置,其特征在于,所述编译单元,还用于:
若所述主检测引擎已生成,停止生成分布检测引擎;利用所述主检测引擎检测所述报文。
11.一种安全设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-5任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710850394.3A CN107645502B (zh) | 2017-09-20 | 2017-09-20 | 一种报文检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710850394.3A CN107645502B (zh) | 2017-09-20 | 2017-09-20 | 一种报文检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107645502A true CN107645502A (zh) | 2018-01-30 |
| CN107645502B CN107645502B (zh) | 2021-01-22 |
Family
ID=61113958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710850394.3A Active CN107645502B (zh) | 2017-09-20 | 2017-09-20 | 一种报文检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107645502B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108650101A (zh) * | 2018-03-30 | 2018-10-12 | 新华三信息安全技术有限公司 | 一种数据传输的方法及设备 |
| CN109302409A (zh) * | 2018-10-31 | 2019-02-01 | 锐捷网络股份有限公司 | Acl访问控制策略的分析方法、装置、设备及存储介质 |
| CN110768865A (zh) * | 2019-10-23 | 2020-02-07 | 新华三信息安全技术有限公司 | 一种深度报文检测引擎激活方法、装置及电子设备 |
| CN111600904A (zh) * | 2020-05-29 | 2020-08-28 | 福建光通互联通信有限公司 | 一种绿色上网的方法和存储设备 |
| CN111835777A (zh) * | 2020-07-20 | 2020-10-27 | 深信服科技股份有限公司 | 一种异常流量检测方法、装置、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090158244A1 (en) * | 2007-12-12 | 2009-06-18 | Amir Abdollahi Foumani | Detecting aspectual behavior in unified modeling language artifacts |
| CN101841546A (zh) * | 2010-05-17 | 2010-09-22 | 华为技术有限公司 | 一种规则匹配方法、装置及系统 |
| CN101883016A (zh) * | 2009-05-05 | 2010-11-10 | 中兴通讯股份有限公司 | 一种深度报文检测设备联动策略生成系统及方法 |
| CN102857493A (zh) * | 2012-06-30 | 2013-01-02 | 华为技术有限公司 | 内容过滤方法和装置 |
| CN105635170A (zh) * | 2016-01-26 | 2016-06-01 | 宝利九章(北京)数据技术有限公司 | 基于规则对网络数据包进行识别的方法和装置 |
-
2017
- 2017-09-20 CN CN201710850394.3A patent/CN107645502B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090158244A1 (en) * | 2007-12-12 | 2009-06-18 | Amir Abdollahi Foumani | Detecting aspectual behavior in unified modeling language artifacts |
| CN101883016A (zh) * | 2009-05-05 | 2010-11-10 | 中兴通讯股份有限公司 | 一种深度报文检测设备联动策略生成系统及方法 |
| CN101841546A (zh) * | 2010-05-17 | 2010-09-22 | 华为技术有限公司 | 一种规则匹配方法、装置及系统 |
| CN102857493A (zh) * | 2012-06-30 | 2013-01-02 | 华为技术有限公司 | 内容过滤方法和装置 |
| CN105635170A (zh) * | 2016-01-26 | 2016-06-01 | 宝利九章(北京)数据技术有限公司 | 基于规则对网络数据包进行识别的方法和装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108650101A (zh) * | 2018-03-30 | 2018-10-12 | 新华三信息安全技术有限公司 | 一种数据传输的方法及设备 |
| CN109302409A (zh) * | 2018-10-31 | 2019-02-01 | 锐捷网络股份有限公司 | Acl访问控制策略的分析方法、装置、设备及存储介质 |
| CN110768865A (zh) * | 2019-10-23 | 2020-02-07 | 新华三信息安全技术有限公司 | 一种深度报文检测引擎激活方法、装置及电子设备 |
| CN111600904A (zh) * | 2020-05-29 | 2020-08-28 | 福建光通互联通信有限公司 | 一种绿色上网的方法和存储设备 |
| CN111600904B (zh) * | 2020-05-29 | 2022-08-05 | 福建光通互联通信有限公司 | 一种绿色上网的方法和存储设备 |
| CN111835777A (zh) * | 2020-07-20 | 2020-10-27 | 深信服科技股份有限公司 | 一种异常流量检测方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107645502B (zh) | 2021-01-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107645502A (zh) | 一种报文检测方法及装置 | |
| CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
| US10681118B2 (en) | Method and apparatus for distributed data processing | |
| CN104424438B (zh) | 一种反病毒文件检测方法、装置及网络设备 | |
| CN105282169A (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 | |
| CN101351781B (zh) | 在通信网络中处理传入分组的方法和系统 | |
| CN103475653A (zh) | 网络数据包的检测方法 | |
| CN103746996A (zh) | 一种防火墙的报文过滤方法 | |
| CN107276851B (zh) | 一种节点的异常检测方法、装置、网络节点及控制台 | |
| US7333430B2 (en) | Systems and methods for passing network traffic data | |
| CN107016284A (zh) | 一种数据通信设备cpu前端动态防护方法及系统 | |
| US20170279654A1 (en) | Data Processing System and Data Processing Method | |
| CN107273214A (zh) | 一种基于固态硬盘的多核控制器资源访问方法及其装置 | |
| CN101272254B (zh) | 生成攻击特征库的方法、防范网络攻击的方法以及装置 | |
| CN111126773A (zh) | 异常车辆识别方法、装置及电子设备 | |
| CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
| CN108259426A (zh) | 一种DDoS攻击检测方法及设备 | |
| CN107547566B (zh) | 一种处理业务报文的方法及装置 | |
| CN106789954A (zh) | 一种基于多cpu的ddos攻击识别的方法和装置 | |
| WO2016095440A1 (zh) | 报文的发送处理方法、装置及一种网络设备 | |
| CN102469098B (zh) | 信息安全防护主机 | |
| CN100364280C (zh) | 一种下发安全策略的方法 | |
| CN107066335A (zh) | 一种云平台内存的优化方法和优化系统 | |
| EP3873057A1 (en) | Method and apparatus for detecting invalidity of access control list acl rule | |
| CN115695041B (zh) | 基于sdn的ddos攻击检测与防护的方法及应用 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |