[发明专利]报文检测方法及装置

说明书

本发明实施例公开了一种报文检测方法及装置，所述方法包括：建立关键字比特段查找的转移状态数据库；为待检测关键字中的每一比特段设置转移状态，且每一关键字的初始转移状态的值均相等；每一关键字中首比特段至最后一个比特段的转移状态值连续，且每一关键字中除初始转移状态的值之外的其他比特段的转移状态的值不相等；获取所有关键字，并将关键字中的每一比特段的转移状态的值写入所述数据库；获取待检测报文的待检测数据，根据所述待检测数据中的比特段在所述数据库中查找所述待检测数据中是否包含关键字，并输出检测结果。

技术领域

本发明涉及分组交换技术，尤其涉及一种深度报文检测方法及装置。

背景技术

传统的IP包流量识别和服务质量(QoS，Quality of Service)控制技术，仅对IP包头中的源IP地址、目的IP地址、源端口、目的端口以及协议类型等信息进行分析，来确定当前流量的基本信息。传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障的，但其仅仅分析IP包的四层以下的内容，包括源IP地址、目的IP地址、源端口、目的端口以及协议类型。随着网上应用类型的不断丰富，仅通过第四层端口信息已经不能真正判断流量中的应用类型，更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。深度报文检测技术在分析包头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流经过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对开放网络参考模型七层协议中的应用层信息进行检测，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。同时，检测整个报文的数据内容，搜索数据包中的攻击代码或敏感信息也是网络安全重要措施。但目前的报文检测技术的检测效率普遍较低。

发明内容

为解决上述技术问题，本发明实施例提供一种报文检测方法及装置，能实现高效率的报文检测。

本发明实施例的技术方案是这样实现的：

一种报文检测方法，建立关键字比特段查找的转移状态数据库，所述方法包括：

为待检测关键字中的每一比特段设置转移状态，且每一关键字的初始转移状态的值均相等；每一关键字中首比特段至最后一个比特段的转移状态值连续；

获取所有关键字，并将关键字中的每一比特段的转移状态的值写入所述数据库；

获取待检测报文的待检测数据，根据所述待检测数据中的比特段在所述数据库中查找所述待检测数据中是否包含关键字，并输出检测结果。

优选地，所述转移状态数据库中设置有包含所有关键字的比特段行及为比特段设置的转移状态的值列，每一关键字中的比特段所在的列与所述比特段的前一比特段的转移状态的值所在的行的交汇节点，写入有所述比特段下一比特段的转移状态的值，最后一个比特段所在的列与倒数第二个比特段的转移状态的值所在的行的交汇节点，写入关键字的初始转移状态的值；

优选地，获取待检测报文的待检测数据，包括：

从传输报文中确定出需深度检测的报文；

对需深度检测的报文进行分类，并确定各类需深度检测的报文中待检测数据；所述待检测数据为需深度检测的报文的一部分。

优选地，所述根据所述待检测数据中的比特段在所述数据库中查找所述待检测数据中是否包含关键字，包括：

获取所述待检测数据的首比特段；

根据所述首比特段与所述初始转移状态的值查找交汇的节点，并获取节点中的值；

确定所述值是否为初始转移状态的值，所述值为非初始转移状态的值时，根据所述值所在的行及关键字的第二个比特段所在的列继续查找交汇的节点，直到查找的交汇节点中的值为初始转移状态的值，确定所述待检测数据中包含有关键字。