[发明专利]一种分离式多级缓冲网络内容过滤系统及方法

权利要求书

1.一种分离式多级缓冲网络内容过滤系统，包括流重组模块、协议处理模块、内容过滤模块和日志服务模块；

组流模块负责捕获网络报文，进行协议解码，tcp协议栈处理，组成流文件存储到内存文件系统中，并通过管道向协议处理模块发送消息；

协议处理模块负责对流文件进行处理，解析出ip地址，端口，邮件地址、主题、正文、附件等内容，并把这些文件存储的指定目录，同时在另一对应的目录建立链接文件；

模式匹配模块监控链接文件目录，当有新的链接文件建立时就会受到信号同时获得文件名称，打开该文件进行多模式匹配处理，最后把处理的结果发送给日志服务模块；

日志服务模块接受日志消息根据不同的消息类型挂载到不同的队列，各队列处理线程从各自对列取出消息存储到数据库。

2.一种使用如权利要求1所述的一种分离式多级缓冲网络内容过滤系统的过滤方法：包括以下几个步骤：

步骤一：组流模块建立流文件并写文件名进管道：组流模块在网络接口捕获数据包存入队列，该组流模块的协议处理线程是：从队列读取数据进行数据链路层解码，ip协议处理，tcp流重组处理以流文件的方式存储到内存文件系统，并把时间相关的文件名发送到系统命名管道；

步骤二：协议模块处理流文件产生真实文件和链接：主进程监听命名管道，协议分析模块从系统命名管道一次读取当前管道内的所有数据，并动态创建子进程，并把读到的文件名交给子进程处理，子进程通过文件名读取内存文件系统中的文件还原出http或smtp等应用协议的正文和附件，并存储这些文件到真实的日志目录；同时在一个动态监控目录下建立指向真实文件并和真实文件同名的链接文件，处理完成子进程删除内存文件系统中处理过的流文件然后退出；

步骤三：内容模块读取链接文件进行内容过滤：内容处理模块监控动态目录下产生链接文件的系统信号获取新增加的文件名，读取链接文件内容进行文件格式转换，统一中文编码处理然后通过多模式匹配引擎进行内容过滤，过滤结果通过本地unixsock发送到日志服务进程，然后删除动态目录下即步骤二产生的链接文件；

步骤四：日志模块入队列并根据对立优先级处理：日志服务模块接受日志消息，根据消息类型存储到不同优先级的日志队列，由数据库访问线程根据策略从对列中取日志存储到数据库。