[发明专利]数据流检测方法和装置

说明书

本申请提供了数据流检测方法和装置。本发明中，通过对数据流最终匹配出的规则进行过滤，最终剩下的规则会少于数据流最终匹配出的规则，这也就意味着最终对数据流进行正则表达式的次数减少，大大减少设备在正则表达式匹配上的性能开销，在硬件不变的前提下增大数据流检测设备的处理带宽。

技术领域

本申请涉及网络通信技术，特别涉及数据流检测方法和装置。

背景技术

目前，用于应用层中数据流检测的设备(简称数据流检测设备)基于检测规则库对应用层的数据流进行检测。这里的数据流检测设备比如为上网行为管理设备、入侵检测设备(IPS)等。

检测规则库中的规则主要定义以下几个匹配条件：

固定字符串：有一个或者多个固定字符串，需命中其中一个或多个；

协议：具体的协议比如UDP、HTTP等；

方向：数据流的请求方法还是应答方向，或者是双向；

端口：数据流源端口或者目的端口信息，大部分规则不定义端口；

位置：固定字符串出现在报文中的位置。

通常，上述的几个匹配条件对大多数应用来说还不能准确的检测数据流，因此，规则中除定义上述几个匹配条件之外还需定义一个或多个正则表达式，当上述的匹配条件都满足后再进行正则表达式匹配，当正则表达式也命中则说明该规则精确的命中了。

但是，在进行正则表达式匹配时非常消耗性能，数据流检测设备在进行应用层数据流检测时会因为正则表达式的匹配消耗大量的设备性能而导致数据流转发延时等缺陷。

发明内容

本申请提供了数据流检测方法和装置，以通过减少正则表达式匹配的次数防止数据流转发延时等缺陷。

本申请提供的技术方案包括：

一种数据流检测方法，该方法应用于数据流检测设备，包括：

接收数据流，将数据流匹配的本地N个规则的规则标识ID记录至第一匹配集，N大于或等于1，N个规则中的每一规则中至少定义一个正则表达式；

判断数据流是否为HTTP类型的数据流，如果是，针对第一匹配集中的每一规则ID，在本地规则所属域名表项中找到包含该规则ID的规则所属域名表项，在找到的规则所属域名表项中的第一域名字段为第一值时，将该规则ID记录至第二匹配集；第一值用于指示所述规则定义的固定字符串中不包含域名；

依据第二匹配集中规则ID对应的规则中定义的正则表达式对数据流进行匹配。

一种数据流检测装置，该装置应用于数据流检测设备，包括：

第一匹配单元，用于将与接收的数据流匹配的本地N个规则的规则标识ID 记录至第一匹配集，N大于或等于1，N个规则中的每一规则中至少定义一个正则表达式；

第二匹配单元，用于判断数据流是否为HTTP类型的数据流，如果是，针对第一匹配集中的每一规则ID，在本地规则所属域名表项中找到包含该规则ID的规则所属域名表项，在找到的规则所属域名表项中的第一域名字段为第一值时，将该规则ID记录至第二匹配集；第一值用于指示所述规则定义的固定字符串中不包含域名；

第三匹配单元，用于依据第二匹配集中规则ID对应的规则中定义的正则表达式对数据流进行匹配。

由以上技术方案可以看出，本发明中，通过对数据流最终匹配出的规则进行过滤，最终剩下的规则会少于数据流最终匹配出的规则，这也就意味着最终对数据流进行正则表达式的次数减少，大大减少设备在正则表达式匹配上的性能开销，在硬件不变的前提下增大数据流检测设备的处理带宽。

附图说明