[发明专利]一种深度报文检测引擎激活方法、装置及电子设备

说明书

本发明实施例提供了一种深度报文检测引擎激活方法、装置及电子设备。其中，所述方法包括：接收用户态进程发送的用户态引擎数据；根据所述用户态引擎数据构建第二深度报文检测引擎；在接收到所述用户态进程发送的引擎激活通知后，调用所述第二深度报文检测引擎对新的数据流进行深度报文检测，并继续调用所述第一深度报文检测引擎对接收到所述引擎激活通知前已接收的数据流进行深度报文检测；当不存在通过所述第一深度报文检测引擎进行深度报文检测的数据流时，删除所述第一深度报文检测引擎。可以在引擎激活过程中，仍然能够对数据流进行深度报文检测，有效提高引擎激活过程中的网络安全性。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种深度报文检测引擎激活方法、装置及电子设备。

背景技术

数据流中可能携带有影响网络安全的恶意数据，出于保护网络安全的考虑，一些网络设备中，如防火墙设备，可以对接收到的数据流中的报文进行深度报文检测(DeepPacket Inspection，DPI)，以检测这些报文中是否包含恶意数据，进而采取对应的规则对报文所属数据流进行处理，如阻断数据流、转发数据流等。

相关技术中，可以从样本报文的文本中，提取能够作为这些样本报文的特征的字符串，将这些字符串保存在规则库中。并在规则库中对应保存处理包含这些样本报文的数据流时所采用的规则，这些规则可以是人工设置的，也可以是利用其他报文检测方法确定得到的。

处于用户态的进程(下文称用户态进程)对规则库中保存的数据进行解析，以得到字符串与规则间的映射关系，根据该映射关系构建深度报文检测引擎的配置数据(下文称用户态引擎数据)，用户态引擎数据存储于用户态进程能够访问的地址空间(下文称用户空间)，并将用户态引擎数据发送至处于内核态的进程(下文称内核态进程)，内核态进程根据接收到的用户态引擎数据，构建深度报文检测引擎相关的数据结构，构建得到的数据结构即为深度报文检测引擎，深度报文检测引擎存储于内核态进程能够访问而用户态进程无法访问的地址空间(下文称内核空间)。在接收到新的数据流时，内核态进程调用内核空间中的深度报文检测引擎，对该数据流中的报文进行深度报文检测，以确定处理该数据流时所采用的规则，网络设备按照该规则对该数据流进行处理。

在一些应用场景中，可能需要构建新的深度报文检测引擎，以替代原先所使用的深度报文检测引擎(该过程下文称激活)。例如，在规则库中的数据进行增删后可以进行激活，以基于新的规则库构建新的深度报文检测引擎，替代原先所使用的旧的深度报文检测引擎。

相关技术中，可以是由用户态进程通知相应的内核态进程停止深度报文检测，并通知内核态进程删除内核空间中的旧的深度报文检测引擎。用户态进程在用户空间中删除旧的深度报文检测引擎的用户态引擎数据，通过对新的规则库中的数据的解析以构建新的用户态引擎数据，并将这些新的用户态引擎数据批量下发至内核态进程。内核态进程根据这些新的用户态引擎数据，构建新的深度报文检测引擎，并调用新的深度报文检测引擎对报文进行深度报文检测。

但是，内核态进程在删除旧的深度报文检测引擎，至构建得到新的深度报文检测模型这一过程中，无法进行深度报文检测，导致该过程中网络安全性较差。

发明内容

本发明实施例的目的在于提供一种深度报文检测引擎激活方法、装置及电子设备，以实现在激活深度报文检测引擎的过程中，仍然能够对接收到的数据流进行深度报文检测。具体技术方案如下：

在本发明的第一方面，提供了一种深度报文检测引擎激活方法，所述方法包括：

接收用户态进程发送的用户态引擎数据；

根据所述用户态引擎数据构建第二深度报文检测引擎；

在接收到所述用户态进程发送的引擎激活通知后，调用所述第二深度报文检测引擎对新的数据流进行深度报文检测，并继续调用所述第一深度报文检测引擎对接收到所述引擎激活通知前已接收的数据流进行深度报文检测；