[发明专利]一种深度报文检测方法及装置

说明书

技术领域

本发明有关于通信技术领域，尤其是有关于对数据流进行报文检测的技术。

背景技术

目前在数字通信技术领域中，深度报文检测(Deep Packet Inspection：DPI)是入侵检测系统(Intrusion Detection System：IDS)/入侵防御系统(IntrusionPrevention System：IPS)的一个重要的技术，通过对数据包内容的监测查找是否存在攻击的特征关键字。但是，传输控制协议(Transmission ControlProtocol：TCP)数据流通常会被划分成不同的数据段由不同的互联网协议(Internet Protocol：IP)数据包传送，如果IDS/IPS只对单一的数据包进行DPI，会造成很多安全的隐患。

例如，如图1所示的是现有TCP流被分成多个IP包的示意图。如图1所示，假设有一个攻击的特征关键字是“attack”，但是在传送中这个关键字可能会被分成两个部分在不同的IP数据报中。这样对每一个单独数据包进行DPI是无法找出“attack”字段，从而漏过这段攻击报文。

目前主流的IDS/IPS技术采用TCP数据流重组方案来解决这个问题，这些方案将IP包中的内容重组成TCP数据流，然后进行检测。其中，流重组方案是将一个TCP数据流做一个完整的备份，然后将备份上传给检测引擎(PMengine)。但是这种方案必须等待一个TCP数据流(stream)中的所有TCP包都流经IDS/IPS以后才能开始检测，因此其并发性差，且对TCP数据流做完整的备份会大量占用内存资源，这些缺点对IDS/IPS性能造成很大的影响。

现有技术的方案中，当一个数据包被截获后先检测这个数据包是否按照顺序被发送的，如果是顺序到达的数据包，则直接进行检测，检测通过后放行；如果是乱序到达的数据包则将其拷贝在内存中等待，直到其之前的所有数据包都已经到达并且被检测以后才开始检测。因此，在很多情况需要将部分数据包拷贝存放在内存中，即使这些数据包本身就携带有攻击的特征关键字，也无法立刻检测出来，只能等到之前的数据包都检测完成之后再进行检测，如果之前的数据包中检测出来攻击报文则这些数据包将直接被丢弃，从而存储资源利用率不高。

发明内容

本发明的实施例的目的在于，提供一种深度报文检测方法及装置，以便在对TCP流进行实时检测时，尽可能的提高资源的利用率。

为了实现上述目的，本发明的实施例提供一种深度报文检测方法，该方法包括以下步骤：获取第i个信息包的后缀与要检测出的特征关键字的前缀相吻合的最大部分作为max(bi)；根据该max(bi)来判断所述第i个信息包与第i+1个信息包中是否存在所述特征关键字，其中，所述i为正整数。

为了实现上述目的，本发明的实施例还提供一种深度报文检测方法，该方法包括以下步骤：获取第i个信息包的前缀与要检测出的特征关键字的后缀相吻合的最大部分作为max(a_i)；根据该max(a_i)来判断所述第i个信息包与第i-1个信息包中是否存在所述特征关键字，其中，所述i为大于1的正整数。

为了实现上述目的，本发明的实施例又提供一种深度报文检测装置，该装置包括：获取单元，用于获取第i个信息包的后缀与要检测出的特征关键字的前缀相吻合的最大部分作为max(b_i)；判断单元，用于根据该max(b_i)来判断所述第i个信息包与第i+1个信息包中是否存在所述特征关键字，其中，所述i为正整数。

为了实现上述目的，本发明的实施例另提供一种深度报文检测装置，该装置包括：获取单元，用于获取第i个信息包的前缀与要检测出的特征关键字的后缀相吻合的最大部分作为max(a_i)；判断单元，用于根据该max(a_i)来判断所述第i个信息包与第i-1个信息包中是否存在所述特征关键字，其中，所述i为大于1的正整数。

本发明实施例的有益效果在于，因为采用了先获取信息包与特征关键字的最大吻合部分再进行比较，所以克服了现有技术中的存储资源利用率不高的问题，进而能够更大的提高了系统的并发性，以及系统对攻击代码的反应速度，提高了检测效率。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的限定。在附图中：

图1所示的是现有TCP流被分成多个IP包的示意图。

图2所示的是本发明实施例1的深度报文检测方法的流程图。