專利名稱:一種深度報文檢測方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明有關(guān)于通信技術(shù)領(lǐng)域,尤其是有關(guān)于對數(shù)據(jù)流進(jìn)行報文檢測的技術(shù)。
背景技術(shù):
目前在數(shù)字通信技術(shù)領(lǐng)域中,深度報文檢測(De印Packet Inspection :DPI)是入 侵檢測系統(tǒng)(Intrusion Detection System :IDS)/入侵防御系統(tǒng)(IntrusionPrevention System :IPS)的一個重要的技術(shù),通過對數(shù)據(jù)包內(nèi)容的監(jiān)測查找是否存在攻擊的特征關(guān)鍵 字。但是,傳輸控制協(xié)議(Transmission ControlProtocol :TCP)數(shù)據(jù)流通常會被劃分成不 同的數(shù)據(jù)段由不同的互聯(lián)網(wǎng)協(xié)議(Internet Protocol :IP)數(shù)據(jù)包傳送,如果IDS/IPS只對 單一的數(shù)據(jù)包進(jìn)行DPI,會造成很多安全的隱患。 例如,如圖1所示的是現(xiàn)有TCP流被分成多個IP包的示意圖。如圖l所示,假設(shè) 有一個攻擊的特征關(guān)鍵字是"attack",但是在傳送中這個關(guān)鍵字可能會被分成兩個部分在 不同的IP數(shù)據(jù)報中。這樣對每一個單獨(dú)數(shù)據(jù)包進(jìn)行DPI是無法找出"attack"字段,從而 漏過這段攻擊報文。 目前主流的IDS/IPS技術(shù)采用TCP數(shù)據(jù)流重組方案來解決這個問題,這些方案將 IP包中的內(nèi)容重組成TCP數(shù)據(jù)流,然后進(jìn)行檢測。其中,流重組方案是將一個TCP數(shù)據(jù)流 做一個完整的備份,然后將備份上傳給檢測引擎(PMengine)。但是這種方案必須等待一個 TCP數(shù)據(jù)流(stream)中的所有TCP包都流經(jīng)IDS/IPS以后才能開始檢測,因此其并發(fā)性差, 且對TCP數(shù)據(jù)流做完整的備份會大量占用內(nèi)存資源,這些缺點(diǎn)對IDS/IPS性能造成很大的 影響。 現(xiàn)有技術(shù)的方案中,當(dāng)一個數(shù)據(jù)包被截獲后先檢測這個數(shù)據(jù)包是否按照順序被發(fā) 送的,如果是順序到達(dá)的數(shù)據(jù)包,則直接進(jìn)行檢測,檢測通過后放行;如果是亂序到達(dá)的數(shù) 據(jù)包則將其拷貝在內(nèi)存中等待,直到其之前的所有數(shù)據(jù)包都已經(jīng)到達(dá)并且被檢測以后才開 始檢測。因此,在很多情況需要將部分?jǐn)?shù)據(jù)包拷貝存放在內(nèi)存中,即使這些數(shù)據(jù)包本身就攜 帶有攻擊的特征關(guān)鍵字,也無法立刻檢測出來,只能等到之前的數(shù)據(jù)包都檢測完成之后再 進(jìn)行檢測,如果之前的數(shù)據(jù)包中檢測出來攻擊報文則這些數(shù)據(jù)包將直接被丟棄,從而存儲 資源利用率不高。
發(fā)明內(nèi)容
本發(fā)明的實施例的目的在于,提供一種深度報文檢測方法及裝置,以便在對TCP 流進(jìn)行實時檢測時,盡可能的提高資源的利用率。 為了實現(xiàn)上述目的,本發(fā)明的實施例提供一種深度報文檢測方法,該方法包括以 下步驟獲取第i個信息包的后綴與要檢測出的特征關(guān)鍵字的前綴相吻合的最大部分作為 max(bi);根據(jù)該max(bi)來判斷所述第i個信息包與第i+1個信息包中是否存在所述特征 關(guān)鍵字,其中,所述i為正整數(shù)。 為了實現(xiàn)上述目的,本發(fā)明的實施例還提供一種深度報文檢測方法,該方法包括以下步驟獲取第i個信息包的前綴與要檢測出的特征關(guān)鍵字的后綴相吻合的最大部分作 為max (a》;根據(jù)該max (a》來判斷所述第i個信息包與第i_l個信息包中是否存在所述特 征關(guān)鍵字,其中,所述i為大于1的正整數(shù)。 為了實現(xiàn)上述目的,本發(fā)明的實施例又提供一種深度報文檢測裝置,該裝置包括 獲取單元,用于獲取第i個信息包的后綴與要檢測出的特征關(guān)鍵字的前綴相吻合的最大部 分作為max(bi);判斷單元,用于根據(jù)該max(bi)來判斷所述第i個信息包與第i+1個信息 包中是否存在所述特征關(guān)鍵字,其中,所述i為正整數(shù)。 為了實現(xiàn)上述目的,本發(fā)明的實施例另提供一種深度報文檢測裝置,該裝置包括 獲取單元,用于獲取第i個信息包的前綴與要檢測出的特征關(guān)鍵字的后綴相吻合的最大部 分作為max(ai);判斷單元,用于根據(jù)該max(a》來判斷所述第i個信息包與第i_l個信息 包中是否存在所述特征關(guān)鍵字,其中,所述i為大于1的正整數(shù)。 本發(fā)明實施例的有益效果在于,因為采用了先獲取信息包與特征關(guān)鍵字的最大吻 合部分再進(jìn)行比較,所以克服了現(xiàn)有技術(shù)中的存儲資源利用率不高的問題,進(jìn)而能夠更大 的提高了系統(tǒng)的并發(fā)性,以及系統(tǒng)對攻擊代碼的反應(yīng)速度,提高了檢測效率。
此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解,構(gòu)成本申請的一部分, 構(gòu)成對本發(fā)明的限定。在附圖中 圖1所示的是現(xiàn)有TCP流被分成多個IP包的示意圖。
圖2所示的是本發(fā)明實施例1的深度報文檢測方法的流程圖。
圖3所示的是本發(fā)明實施例2的深度報文檢》
圖4所示的是本發(fā)明實施例3的深度報文檢》
圖5所示的是本發(fā)明實施例3的深度報文檢》
圖6所示的是本發(fā)明實施例4的深度報文檢》
圖7所示的是本發(fā)明實施例4的深度報文檢》
圖8所示的是本發(fā)明實施例5的深度報文檢》
并不
裝置的結(jié)構(gòu)框圖。
方法的流程圖。
方法的另一流程圖,
方法的流程圖。
方法的另一流程圖,
裝置的結(jié)構(gòu)框圖。
具體實施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下面結(jié)合實施方式和附圖,對 本發(fā)明做進(jìn)一步詳細(xì)說明。在此,本發(fā)明的示意性實施方式及其說明用于解釋本發(fā)明,但并 不作為對本發(fā)明的限定。 為了便于描述,本發(fā)明實施例中作以下假設(shè) 因為多個特征關(guān)鍵字的比對不是本發(fā)明實施例的保護(hù)點(diǎn),在描述模式匹配的時 候,只描述單個特征關(guān)鍵字的比對,在實際實現(xiàn)中,多個特征關(guān)鍵字比對的算法與實現(xiàn)已經(jīng) 很成熟,不同的算法可以很靈活地運(yùn)用在本發(fā)明實施例中。 在不失普遍性的情況下,本發(fā)明實施例的描述中假設(shè)一個數(shù)據(jù)包有效載荷 (payload)的長度要大于一個特征關(guān)鍵字的長度。但是如果出現(xiàn)payload的長度過小以至 于小于一個特征關(guān)鍵字的長度的情況,可以通過將多個包合并;或者通過簡單改進(jìn)算法來 解決。
為了更嚴(yán)謹(jǐn)?shù)拿枋霰景l(fā)明的實施例,現(xiàn)定義一些關(guān)鍵概念如下 前綴一個字符串a(chǎn)是字符串b的前綴,當(dāng)且僅當(dāng)存在字符串c使得b = ac(c為
字符串或為空); 后綴一個字符串a(chǎn)是字符串b的后綴,當(dāng)且僅當(dāng)存在字符串c使得b = ca(c為 字符串或為空); 包含一個字符串a(chǎn)包含b,當(dāng)且僅當(dāng)a = cbd(c, d為字符串或為空)。
實施例1 圖2所示的是本發(fā)明實施例1的深度報文檢測方法的流程圖。如圖2所示,本發(fā) 明實施例1的深度報文檢測方法包括獲取第i個信息包的后綴與要檢測出的特征關(guān)鍵字 的前綴相吻合的最大部分作為max(bi)或獲取第i個信息包的前綴與要檢測出的特征關(guān)鍵 字的后綴相吻合的最大部分作為max(ai);根據(jù)所述max(bi)或max(ai)來判斷所傳送的 TCP數(shù)據(jù)流中是否存在特征關(guān)鍵字。 S卩、本發(fā)明實施例1中,首先獲取第i個信息包的后綴與要檢測出的特征關(guān)鍵字的 前綴相吻合的最大部分作為max(bi);根據(jù)該max(bi)來判斷所述第i個信息包與第i+1個 信息包中是否存在所述特征關(guān)鍵字,其中,所述i為正整數(shù)。 另外,在判斷第i個信息包與第i-1個信息包中是否存在所述特征關(guān)鍵字時, 包括獲取第i個信息包的前綴與要檢測出的特征關(guān)鍵字的后綴相吻合的最大部分作為 max(ai);根據(jù)該max(ai)來判斷所述第i個信息包與第i_l個信息包中是否存在所述特征 關(guān)鍵字,其中,所述i為大于1的正整數(shù)。 本發(fā)明實施例1中,由于對不同的數(shù)據(jù)包分別檢測其附加信息,因此提高了檢測 效率。 實施例2 圖3所示的是本發(fā)明實施例2的深度報文檢測裝置的結(jié)構(gòu)框圖。如圖3所示,本 發(fā)明實施例2的深度報文檢測裝置包括獲取單元301,用于獲取第i個信息包的后綴與要 檢測出的特征關(guān)鍵字的前綴相吻合的最大部分作為max(bi)或獲取第i個信息包的前綴與 要檢測出的特征關(guān)鍵字的后綴相吻合的最大部分作為max(ai);判斷單元302,用于根據(jù)所 述max(bi)或max(ai)來判斷所傳送的TCP流中是否存在特征關(guān)鍵字,其中,所述i為正整 數(shù)。 S卩、當(dāng)根據(jù)所述max(bi)判斷出特征關(guān)鍵字存在時,該特征關(guān)鍵字是存在于第i個 信息包與第i+l個信息包中;而當(dāng)根據(jù)所述max(ai)判斷出特征關(guān)鍵字存在時,該特征關(guān)鍵 字是存在于第i個信息包與第i-1個信息包中。 本發(fā)明實施例2的深度報文檢測裝置提高了系統(tǒng)的并發(fā)性,以及系統(tǒng)對攻擊代碼
的反應(yīng)速度,從而提高了檢測效率。
實施例3 圖4所示的是本發(fā)明實施例3的深度報文檢測方法的流程圖。如圖4所示,本發(fā) 明實施例3的深度報文檢測方法包括 S401 :獲取第i個信息包的后綴與要檢測出的特征關(guān)鍵字的前綴相吻合的最大部 分作為max(bi); S402 :獲取所述max (b》的字符長度,作為Len (max (b》);
S403 :將所述特征關(guān)鍵字的第Len (max (b》)+1個字符與所述第i+1個信息包的第 一個字符對齊; S404 :與所述特征關(guān)鍵字進(jìn)行比對; S405 :如果比對成功(即所對比的兩組字符串的每一個字符都一一相對應(yīng)),則判 斷為所述特征關(guān)鍵字存在于所述第i個信息包與第i+1個信息包中。 圖5所示的是本發(fā)明實施例3的深度報文檢測方法的另一流程圖。如圖5所示, 本發(fā)明實施例3的深度報文檢測方法也可以按照如下的步驟進(jìn)行 S501 :獲取第i個信息包的前綴與要檢測出的特征關(guān)鍵字的后綴相吻合的最大部 分作為max (a); S502 :獲取所述max (a》的字符長度,作為Len (max (a》); S503 :將所述特征關(guān)鍵字的倒數(shù)第Len (max (a》)+1個字符與所述第i_l個信息包 的最后一個字符對齊; S504 :與所述特征關(guān)鍵字進(jìn)行比對; S505 :如果比對成功(即所對比的兩組字符串的每一個字符都一一相對應(yīng)),則判 斷為所述特征關(guān)鍵字存在于所述第i個信息包與第i-1個信息包中。 在本發(fā)明實施例3中,由于在獲取最大吻合部分后僅比對剩余的字符,因此節(jié)省 了存儲空間并提高了檢測效率。
實施例4 圖6所示的是本發(fā)明實施例4的深度報文檢測方法的流程圖。如圖6所示,本發(fā) 明實施例4的深度報文檢測方法包括 S601 :獲取第i個信息包的后綴與要檢測出的特征關(guān)鍵字的前綴相吻合的最大部 分作為max(bi); S602 :將所述max(bi)加到所述第i+1個信息包的前面,生成新的信息包;
S603 :將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對; S604 :如果比對成功(即所對比的兩組字符串的每一個字符都一一相對應(yīng)),則判 斷為所述特征關(guān)鍵字存在于所述第i個信息包與第i+1個信息包中。 圖7所示的是本發(fā)明實施例4的深度報文檢測方法的另一流程圖。如圖7所示, 本發(fā)明實施例4的深度報文檢測方法也可以按照如下的步驟進(jìn)行 S701 :獲取第i個信息包的前綴與要檢測出的特征關(guān)鍵字的后綴相吻合的最大部 分作為max"); S702 :將所述max(ai)加到所述第i_l個信息包的后面,生成新的信息包;
S703 :將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對; S704 :如果比對成功(即所對比的兩組字符串的每一個字符都一一相對應(yīng)),則判 斷為所述特征關(guān)鍵字存在于所述第i個信息包與第i-1個信息包中。 在本發(fā)明實施例4中,由于在獲取最大吻合部分后僅比對剩余的字符,因此節(jié)省 了存儲空間并提高了檢測效率。
實施例5 圖8所示的是本發(fā)明實施例5的深度報文檢測裝置的結(jié)構(gòu)框圖。如圖8所示,本 發(fā)明實施例5的深度報文檢測裝置包括獲取單元801,用于獲取第i個信息包的前綴與要檢測出的特征關(guān)鍵字的后綴相吻合的最大部分作為max(ai);判斷單元802,用于根據(jù)該 max(ai)來判斷所述第i個信息包與第i_l個信息包中是否存在所述特征關(guān)鍵字,其中,所 述i為大于1的正整數(shù)。
上述判斷單元802包括 第一比對單元803,用于獲取所述max (a》的字符長度,作為Len (max (a》),將所述 特征關(guān)鍵字的倒數(shù)第Len(max(ai))+1個字符與所述第i_l個信息包的倒數(shù)第一個字符對 齊并進(jìn)行比對,如果比對成功,則所述判斷單元802判斷為所述特征關(guān)鍵字存在于所述第 i-l個信息包與第i個信息包中;和/或 第二比對單元804,用于將所述max(ai)加到所述第i_l個信息包的后面,生成新 的信息包,并將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對,如果比對成功,則所述判斷單 元802判斷為所述特征關(guān)鍵字存在于所述第i個信息包與第i-l個信息包中。
在本發(fā)明實施例5中,上述深度報文檢測裝置的各功能單元還可以如下執(zhí)行功能 來完成報文檢測獲取單元801,用于獲取第i個信息包的后綴與要檢測出的特征關(guān)鍵字的 前綴相吻合的最大部分作為max(bi);判斷單元802,用于根據(jù)該max(bi)來判斷所述第i個 信息包與第i+1個信息包中是否存在所述特征關(guān)鍵字,其中,所述i為正整數(shù)。
上述判斷單元802包括 第一 比對單元803,用于獲取所述max (b》的字符長度,作為Len (max (b》),將所述 特征關(guān)鍵字的第Len(max(bi))+1個字符與所述第i+1個信息包的第一個字符對齊并進(jìn)行 比對,如果比對成功,則所述判斷單元802判斷為所述特征關(guān)鍵字存在于所述第i個信息包 與第i+l個信息包中;和/或 第二比對單元804,用于將所述max(bi)加到所述第i+1個信息包的前面,生成新 的信息包,并將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對,如果比對成功,則所述判斷單 元802判斷為所述特征關(guān)鍵字存在于所述第i個信息包與第i+l個信息包中。
在本發(fā)明實施例5的深度報文檢測裝置中,由于在獲取最大吻合部分后僅比對剩 余的字符,因此節(jié)省了存儲空間并提高了檢測效率。 在上述本發(fā)明實施例中,可以通過指針來指向所提取的最大吻合部分的字符串 (每個包存儲兩個列表的信息),從而與現(xiàn)有技術(shù)相比優(yōu)化了性能。然而本發(fā)明并不限于 此,任何能夠記錄數(shù)據(jù)包與特征關(guān)鍵字(pattern)匹配部分的方式都可以使用,指針只是 其中的一種。比如說,第i個數(shù)據(jù)包的后綴與pattern的前綴最大重合部分為3個字符。那 么可以用一個整數(shù)3記錄下來。 本發(fā)明實施例的有益效果在于,因為采用了先獲取信息包與特征關(guān)鍵字的最大吻
合部分再進(jìn)行比較,所以克服了現(xiàn)有技術(shù)中的存儲資源利用率不高的問題,進(jìn)而能夠更大
的提高了系統(tǒng)的并發(fā)性,以及系統(tǒng)對攻擊代碼的反應(yīng)速度,提高了檢測效率。 以上所述的具體實施方式
,對本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步
詳細(xì)說明,所應(yīng)理解的是,以上所述僅為本發(fā)明的具體實施方式
而已,并不用于限定本發(fā)明
的保護(hù)范圍,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含
在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
一種深度報文檢測方法,其特征在于,該方法包括以下步驟獲取第i個信息包的后綴與要檢測出的特征關(guān)鍵字的前綴相吻合的最大部分作為max(bi);根據(jù)該max(bi)來判斷所述第i個信息包與第i+1個信息包中是否存在所述特征關(guān)鍵字,其中,所述i為正整數(shù)。
2. 根據(jù)權(quán)利要求l所述的深度報文檢測方法,其特征在于,所述根據(jù)該max(bi)來判斷 所述第i個信息包與第i+l個信息包中是否存在所述特征關(guān)鍵字的步驟包括將所述特征關(guān)鍵字的除所述max(bi)以外的部分與第i+l個信息包的前綴進(jìn)行比對, 如果比對成功,則判斷為所述特征關(guān)鍵字存在于所述第i個信息包與第i+l個信息包中。
3. 根據(jù)權(quán)利要求2所述的深度報文檢測方法,其特征在于,所述將特征關(guān)鍵字的除所 述max(bi)以外的部分與第i+l個信息包的前綴進(jìn)行比對的步驟包括獲取所述max(bi)的字符長度,作為Len(max(bi));將所述特征關(guān)鍵字的第Len(max(bi))+1個字符與所述第i+l個信息包的第一個字符 對齊并進(jìn)行比對。
4. 根據(jù)權(quán)利要求l所述的深度報文檢測方法,其特征在于,所述根據(jù)該max(bi)來判斷 所述第i個信息包與第i+l個信息包中是否存在所述特征關(guān)鍵字的步驟包括將所述max(bi)加到所述第i+l個信息包的前面,生成新的信息包; 將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對;如果比對成功,則判斷為所述特征關(guān)鍵字存在于所述第i個信息包與第i+l個信息包中。
5. —種深度報文檢測方法,其特征在于,該方法包括以下步驟獲取第i個信息包的前綴與要檢測出的特征關(guān)鍵字的后綴相吻合的最大部分作為 max (a》;根據(jù)該max(ai)來判斷所述第i個信息包與第i_l個信息包中是否存在所述特征關(guān)鍵字,其中,所述i為大于l的正整數(shù)。
6. 根據(jù)權(quán)利要求5所述的深度報文檢測方法,其特征在于,所述根據(jù)該max(ai)來判斷 所述第i個信息包與第i-1個信息包中是否存在所述特征關(guān)鍵字的步驟包括將所述特征關(guān)鍵字的除所述max(ai)以外的部分與第i_l個信息包的后綴進(jìn)行比對, 如果比對成功,則判斷為所述特征關(guān)鍵字存在于所述第i-1個信息包與第i個信息包中。
7. 根據(jù)權(quán)利要求6所述的深度報文檢測方法,其特征在于,所述將特征關(guān)鍵字的除所 述max(a》以外的部分與第i_l個信息包的后綴進(jìn)行比對的步驟包括獲取所述max(ai)的字符長度,作為Len (max (a》);將所述特征關(guān)鍵字的倒數(shù)第Len(max(ai))+1個字符與所述第i_l個信息包的倒數(shù)第 一個字符對齊并進(jìn)行比對。
8. 根據(jù)權(quán)利要求5所述的深度報文檢測方法,其特征在于,所述根據(jù)該max(ai)來判斷 所述第i個信息包與第i-1個信息包中是否存在所述特征關(guān)鍵字的步驟包括將所述max(ai)加到所述第i_l個信息包的后面,生成新的信息包;將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對;如果比對成功,則判斷為所述特征關(guān)鍵字存在于所述第i個信息包與第i-1個信息包中。
9. 一種深度報文檢測裝置,其特征在于,所述裝置包括獲取單元,用于獲取第i個信息包的后綴與要檢測出的特征關(guān)鍵字的前綴相吻合的最 大部分作為max(bi);判斷單元,用于根據(jù)該max(bi)來判斷所述第i個信息包與第i+l個信息包中是否存 在所述特征關(guān)鍵字,其中,所述i為正整數(shù)。
10. 根據(jù)權(quán)利要求9所述的深度報文檢測裝置,其特征在于,所述判斷單元包括 第一比對單元,用于獲取所述max(bi)的字符長度,作為Len(max(bi)),將所述特征關(guān)鍵字的第Len(max(bi))+1個字符與所述第i+l個信息包的第一個字符對齊并進(jìn)行比對,如果比對成功,則所述判斷單元判斷為所述特征關(guān)鍵字存在于所述第i個信息包與第 i+l個信息包中。
11. 根據(jù)權(quán)利要求9所述的深度報文檢測裝置,其特征在于,所述判斷單元包括 第二比對單元,用于將所述max(bi)加到所述第i+l個信息包的前面,生成新的信息包,并將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對,如果比對成功,則所述判斷單元判斷為所述特征關(guān)鍵字存在于所述第i個信息包與第 i+l個信息包中。
12. —種深度報文檢測裝置,其特征在于,所述裝置包括獲取單元,用于獲取第i個信息包的前綴與要檢測出的特征關(guān)鍵字的后綴相吻合的最 大部分作為max(ai);判斷單元,用于根據(jù)該max(ai)來判斷所述第i個信息包與第i_l個信息包中是否存 在所述特征關(guān)鍵字,其中,所述i為大于l的正整數(shù)。
13. 根據(jù)權(quán)利要求12所述的深度報文檢測裝置,其特征在于,所述判斷單元包括 第一比對單元,用于獲取所述max(ai)的字符長度,作為Len (max (a》),將所述特征關(guān)鍵字的倒數(shù)第Len(max(ai))+1個字符與所述第i_l個信息包的倒數(shù)第一個字符對齊并進(jìn) 行比對,如果比對成功,則所述判斷單元判斷為所述特征關(guān)鍵字存在于所述第i-1個信息包與 第i個信息包中。
14. 根據(jù)權(quán)利要求12所述的深度報文檢測裝置,其特征在于,所述判斷單元包括 第二比對單元,用于將所述max(ai)加到所述第i_l個信息包的后面,生成新的信息包,并將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對,如果比對成功,則所述判斷單元判斷為所述特征關(guān)鍵字存在于所述第i個信息包與第 i-1個信息包中。
全文摘要
本發(fā)明提供一種深度報文檢測方法及裝置,該方法包括獲取第i個信息包的后綴與要檢測出的特征關(guān)鍵字的前綴相吻合的最大部分作為max(bi);根據(jù)該max(bi)來判斷所述第i個信息包與第i+1個信息包中是否存在所述特征關(guān)鍵字,其中,所述i為正整數(shù)。同時,上述方法還可以為,包括獲取第i個信息包的前綴與要檢測出的特征關(guān)鍵字的后綴相吻合的最大部分作為max(ai);根據(jù)該max(ai)來判斷所述第i個信息包與第i-1個信息包中是否存在所述特征關(guān)鍵字,其中,所述i為大于1的正整數(shù)。本發(fā)明提高了系統(tǒng)的并發(fā)性,以及系統(tǒng)對攻擊代碼的反應(yīng)速度,提高了檢測效率。
文檔編號H04L29/06GK101764718SQ200810241050
公開日2010年6月30日 申請日期2008年12月25日 優(yōu)先權(quán)日2008年12月25日
發(fā)明者張大成 申請人:華為技術(shù)有限公司