專利名稱：一種基于網(wǎng)絡(luò)應(yīng)用層安全網(wǎng)關(guān)的流文件系統(tǒng)實(shí)現(xiàn)方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種基于網(wǎng)絡(luò)應(yīng)用層安全網(wǎng)關(guān)的流文件系統(tǒng)實(shí)現(xiàn)方法。
背景技術(shù)：
隨著電腦的廣泛應(yīng)用和網(wǎng)絡(luò)的不斷普及，來自網(wǎng)絡(luò)內(nèi)部和外部的病毒程序也日益增多。目前，人們通常在內(nèi)部網(wǎng)和外部網(wǎng)之間或?qū)Ｓ镁W(wǎng)與公共網(wǎng)之間建立一個(gè)應(yīng)用層安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)或?qū)Ｓ镁W(wǎng)免受非法用戶的入侵和病毒程序的破壞。應(yīng)用層安全網(wǎng)關(guān)在防黑客攻擊、防病毒、反垃圾郵件和網(wǎng)絡(luò)應(yīng)用流量管理等方面起到重要的作用，應(yīng)用層安全網(wǎng)關(guān)通常包括IPS設(shè)備、AV設(shè)備、反垃圾郵件設(shè)備、應(yīng)用控制網(wǎng)關(guān)、應(yīng)用層網(wǎng)關(guān)、應(yīng)用帶寬
管理設(shè)備和統(tǒng)一威脅管理等設(shè)備。OSI協(xié)議是由IS0(國際標(biāo)準(zhǔn)化組織)制定的，它有三個(gè)基本的功能提供給開發(fā)者一個(gè)必須的、通用的概念以便開發(fā)完善、可以用來解釋連接不同系統(tǒng)的框架。OSI將計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)(architecture)從上到下劃分為以下七層7應(yīng)用層，6表示層，5會(huì)話層，4傳輸層，3網(wǎng)絡(luò)層，2數(shù)據(jù)鏈路層，I物理層。目前人們普遍使用的防火墻主要在第二層至第三層起作用，而防火墻的作用在第四層至第七層卻很微弱。而病毒軟體則主要在第五層到第七層起作用?，F(xiàn)有的應(yīng)用層安全網(wǎng)關(guān)主要是通過讀取相應(yīng)的接口 socket，將相關(guān)的報(bào)文全部讀取出來放入緩存；讀取完成后，再按照類似文件的方式，進(jìn)行字符串匹配和正則表達(dá)式匹配，來進(jìn)行防黑客攻擊、防病毒、反垃圾郵件和網(wǎng)絡(luò)應(yīng)用流量管理等后續(xù)處理。在處理過程中，存在大量的報(bào)文拷貝以及用戶空間和內(nèi)核的交互，因此時(shí)延和性能都比較低。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于網(wǎng)絡(luò)應(yīng)用層安全網(wǎng)關(guān)的流文件系統(tǒng)實(shí)現(xiàn)方法，能夠虛擬一個(gè)流文件系統(tǒng)，減小緩存中的報(bào)文數(shù)量，提高系統(tǒng)處理的速度和效率。本發(fā)明采用下述技術(shù)方案
一種基于網(wǎng)絡(luò)應(yīng)用層安全網(wǎng)關(guān)的流文件系統(tǒng)實(shí)現(xiàn)方法，包括以下步驟
A :當(dāng)流文件系統(tǒng)檢測到一個(gè)新建的應(yīng)用層連接時(shí)，創(chuàng)建一個(gè)流文件，并將報(bào)文應(yīng)用層數(shù)據(jù)通過流文件系統(tǒng)寫入流文件；
B:安全網(wǎng)關(guān)的檢測模塊通過流文件的讀取接口讀取指定的報(bào)文數(shù)據(jù)，并通過字符串匹配和正則表達(dá)式匹配對報(bào)文數(shù)據(jù)進(jìn)行檢測；
C:當(dāng)前檢測完成后，安全網(wǎng)關(guān)的檢測模塊繼續(xù)對下一個(gè)流文件內(nèi)的報(bào)文數(shù)據(jù)進(jìn)行檢測。所述的B步驟還包括以下步驟
BI:流文件系統(tǒng)檢測并判斷接收到的第一個(gè)報(bào)文中是否包含完整的字段，即第一個(gè)報(bào)文中是否包含分割符且分割符后無報(bào)文數(shù)據(jù)，如果是，則進(jìn)入步驟B2 ;如果否，則進(jìn)入步驟B3 ；B2:流文件系統(tǒng)直接將映射區(qū)完整的字段數(shù)據(jù)通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊，然后進(jìn)入步驟B6;
B3:流文件系統(tǒng)將第一個(gè)報(bào)文中的數(shù)據(jù)儲(chǔ)存在緩存中，然后檢測并判斷接收到的后續(xù)報(bào)文中是否包含分割符，當(dāng)流文件系統(tǒng)遍歷到后續(xù)報(bào)文數(shù)據(jù)中的最后一個(gè)分割符時(shí)，如果分割符后無報(bào)文數(shù)據(jù)，則進(jìn)入步驟B4 ;如果分割符后有報(bào)文數(shù)據(jù)，則進(jìn)入步驟B5 ；
B4:流文件系統(tǒng)直接將緩存中的第一個(gè)報(bào)文中的數(shù)據(jù)和映射區(qū)完整的字段數(shù)據(jù)通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊，然后進(jìn)入步驟B6 ；
B5:流文件系統(tǒng)直接將緩存中的第一個(gè)報(bào)文中的數(shù)據(jù)和多個(gè)映射區(qū)內(nèi)最后一個(gè)分割符前的整個(gè)字段數(shù)據(jù)通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊，清空緩存，并通過文件同步操作將分割符后的安全網(wǎng)關(guān)檢測模塊未檢測的報(bào)文數(shù)據(jù)存儲(chǔ)在緩存中，然后進(jìn)入步驟B6 ；
B6:安全網(wǎng)關(guān)的檢測模塊通過流文件的讀取接口讀取指定的報(bào)文數(shù)據(jù)，并通過字符串匹配和正則表達(dá)式匹配對報(bào)文數(shù)據(jù)進(jìn)行檢測，然后進(jìn)入步驟C。本發(fā)明主要在內(nèi)核中虛擬一個(gè)類似文件的流文件系統(tǒng)，通過流文件系統(tǒng)只通過緩存存儲(chǔ)報(bào)文中的少量數(shù)據(jù)并且對外提供統(tǒng)一的操作接口，將緩存中的少量報(bào)文數(shù)據(jù)和映射區(qū)完整的字段數(shù)據(jù)通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊進(jìn)行檢測，提高系統(tǒng)處理的速度和效率；同時(shí)，可使安全網(wǎng)關(guān)的檢測模塊同時(shí)適應(yīng)報(bào)文的MBUFFER和SKBUFFER結(jié)構(gòu)，提高軟件的可移植性和復(fù)用性。


圖I為本發(fā)明的流程 圖2、圖3和圖4分別為基于解析SMTP的方式下三種不同結(jié)構(gòu)的報(bào)文應(yīng)用層數(shù)據(jù)處理方法示意圖。
具體實(shí)施例方式本發(fā)明所述的流是指通過設(shè)備的一系列數(shù)據(jù)報(bào)文；流文件指的是存儲(chǔ)這些報(bào)文相應(yīng)的數(shù)據(jù)結(jié)構(gòu)；流文件系統(tǒng)是指由字符串或二進(jìn)制組成的一類存儲(chǔ)方式。如圖I所示，本發(fā)明包括以下步驟
A :當(dāng)流文件系統(tǒng)檢測到一個(gè)新建的應(yīng)用層連接時(shí)，創(chuàng)建一個(gè)流文件，并將報(bào)文應(yīng)用層數(shù)據(jù)通過流文件系統(tǒng)寫入流文件；
BI:流文件系統(tǒng)檢測并判斷接收到的第一個(gè)報(bào)文中是否包含完整的字段，即第一個(gè)報(bào)文中是否包含分割符且分割符后無報(bào)文數(shù)據(jù)，如果是，則進(jìn)入步驟B2 ;如果否，則進(jìn)入步驟B3 ；
B2:流文件系統(tǒng)直接將映射區(qū)完整的字段數(shù)據(jù)通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊，然后進(jìn)入步驟B6;
B3:流文件系統(tǒng)將第一個(gè)報(bào)文中的數(shù)據(jù)儲(chǔ)存在緩存中，然后檢測并判斷接收到的后續(xù)報(bào)文中是否包含分割符，當(dāng)流文件系統(tǒng)遍歷到后續(xù)報(bào)文數(shù)據(jù)中的最后一個(gè)分割符時(shí)，如果分割符后無報(bào)文數(shù)據(jù)，則進(jìn)入步驟B4 ;如果分割符后有報(bào)文數(shù)據(jù)，則進(jìn)入步驟B5 ；
B4:流文件系統(tǒng)直接將緩存中的第一個(gè)報(bào)文中的數(shù)據(jù)和多個(gè)映射區(qū)內(nèi)的完整的字段數(shù)據(jù)通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊，然后進(jìn)入步驟B6 ；
B5:流文件系統(tǒng)直接將緩存中的第一個(gè)報(bào)文中的數(shù)據(jù)和多個(gè)映射區(qū)內(nèi)最后一個(gè)分割符前的完整的字段數(shù)據(jù)通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊，然后清空緩存，并通過文件同步操作將分割符后的安全網(wǎng)關(guān)檢測模塊未檢測的報(bào)文數(shù)據(jù)存儲(chǔ)在緩存中，然后進(jìn)入步驟B6 ；
B6:安全網(wǎng)關(guān)的檢測模塊通過流文件的讀取接口讀取指定的報(bào)文數(shù)據(jù)，并通過字符串匹配和正則表達(dá)式匹配對報(bào)文數(shù)據(jù)進(jìn)行檢測，然后進(jìn)入步驟C ；
C當(dāng)前檢測完成后，安全網(wǎng)關(guān)的 檢測模塊繼續(xù)對下一個(gè)流文件內(nèi)的報(bào)文數(shù)據(jù)進(jìn)行檢測。本發(fā)明中，當(dāng)新報(bào)文寫入流文件時(shí)，并不直接拷貝，而是將流文件中的映射區(qū)指向報(bào)文的應(yīng)用層數(shù)據(jù)，可通過多個(gè)映射區(qū)分別處理網(wǎng)絡(luò)層分片和應(yīng)用層分段的報(bào)文。由于沒有拷貝操作，且不需要處理網(wǎng)絡(luò)層分片和應(yīng)用層分段的重組，能夠極大地提升性能和減小延時(shí)。下面以基于解析SMTP的方式進(jìn)行實(shí)例說明
如圖2所示，當(dāng)應(yīng)用層報(bào)文包含整個(gè)字段，即第一個(gè)報(bào)文中是否包含分割符且分割符后無報(bào)文數(shù)據(jù)，第一個(gè)報(bào)文中包含有分割符“\n”，且分割符“\n”后無報(bào)文數(shù)據(jù)，因此，第一個(gè)報(bào)文中包含整個(gè)字段“abcd”，流文件系統(tǒng)直接將映射區(qū)整個(gè)字段數(shù)據(jù)“abed”通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊，由檢測模塊進(jìn)行字符串匹配和正則表達(dá)式匹配檢測。如圖3所示，當(dāng)?shù)谝粋€(gè)應(yīng)用層報(bào)文abed不包含分割符“\n”時(shí)，流文件系統(tǒng)將第一個(gè)應(yīng)用層報(bào)文中的數(shù)據(jù)“abed”儲(chǔ)存在緩存中，然后檢測并判斷接收到的后續(xù)報(bào)文中是否包含分割符，流文件系統(tǒng)遍歷到第二個(gè)應(yīng)用層報(bào)文數(shù)據(jù)中包含的最后一個(gè)分割符“\n”，且分割符“\n”后無報(bào)文數(shù)據(jù)，此時(shí)，流文件系統(tǒng)直接將緩存中的第一個(gè)應(yīng)用層報(bào)文中的數(shù)據(jù)“abed”和映射區(qū)整個(gè)字段數(shù)據(jù)“efgh”通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊，由檢測模塊進(jìn)行字符串匹配和正則表達(dá)式匹配檢測。如圖4所示，當(dāng)?shù)谝粋€(gè)應(yīng)用層報(bào)文“abed”不包含分割符“\n”時(shí)，流文件系統(tǒng)將第一個(gè)應(yīng)用層報(bào)文中的數(shù)據(jù)“abed”儲(chǔ)存在緩存中，并將流文件中的多個(gè)映射區(qū)分別指向后續(xù)報(bào)文的應(yīng)用層數(shù)據(jù)“ef”、“gh”和“st”，然后檢測并判斷接收到的后續(xù)報(bào)文中是否包含分割符“\n”，流文件系統(tǒng)遍歷到應(yīng)用層第二個(gè)應(yīng)用層報(bào)文數(shù)據(jù)中包含的最后一個(gè)分割符“\n”，且分割符“\n”后還有報(bào)文數(shù)據(jù)“st”，此時(shí)，流文件系統(tǒng)直接將緩存中的第一個(gè)應(yīng)用層報(bào)文中的數(shù)據(jù)“abed”和兩個(gè)映射區(qū)中“ef”和“gh”整個(gè)字段數(shù)據(jù)(即最后一個(gè)分割符前的整個(gè)字段數(shù)據(jù))通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊，由檢測模塊進(jìn)行字符串匹配和正則表達(dá)式匹配檢測。隨后，流文件系統(tǒng)清空緩存中的第一個(gè)報(bào)文中的數(shù)據(jù)“abed”，并通過文件同步操作將分割符“\n”后的安全網(wǎng)關(guān)檢測模塊未檢測的報(bào)文數(shù)據(jù)“st”存儲(chǔ)在緩存中，與下一個(gè)通過流文件系統(tǒng)寫入流文件的報(bào)文應(yīng)用層數(shù)據(jù)進(jìn)行處理。
權(quán)利要求
1.ー種基于網(wǎng)絡(luò)應(yīng)用層安全網(wǎng)關(guān)的流文件系統(tǒng)實(shí)現(xiàn)方法，其特征在于包括以下步驟 A :當(dāng)流文件系統(tǒng)檢測到一個(gè)新建的應(yīng)用層連接時(shí)，創(chuàng)建一個(gè)流文件，并將報(bào)文應(yīng)用層數(shù)據(jù)通過流文件系統(tǒng)寫入流文件； B:安全網(wǎng)關(guān)的檢測模塊通過流文件的讀取接ロ讀取指定的報(bào)文數(shù)據(jù)，并通過字符串匹配和正則表達(dá)式匹配對報(bào)文數(shù)據(jù)進(jìn)行檢測； C:當(dāng)前檢測完成后，安全網(wǎng)關(guān)的檢測模塊繼續(xù)對下ー個(gè)流文件內(nèi)的報(bào)文數(shù)據(jù)進(jìn)行檢測。
2.根據(jù)權(quán)利要求I所述的基于網(wǎng)絡(luò)應(yīng)用層安全網(wǎng)關(guān)的流文件系統(tǒng)實(shí)現(xiàn)方法，其特征在于所述的B步驟還包括以下步驟 BI:流文件系統(tǒng)檢測并判斷接收到的第一個(gè)報(bào)文中是否包含完整的字段，即第一個(gè)報(bào)文中是否包含分割符且分割符后無報(bào)文數(shù)據(jù)，如果是，則進(jìn)入步驟B2 ;如果否，則進(jìn)入步驟B3 ； B2:流文件系統(tǒng)直接將映射區(qū)完整的字段數(shù)據(jù)通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊，然后進(jìn)入步驟B6; B3:流文件系統(tǒng)將第一個(gè)報(bào)文中的數(shù)據(jù)儲(chǔ)存在緩存中，然后檢測并判斷接收到的后續(xù)報(bào)文中是否包含分割符，當(dāng)流文件系統(tǒng)遍歷到后續(xù)報(bào)文數(shù)據(jù)中的最后ー個(gè)分割符時(shí)，如果分割符后無報(bào)文數(shù)據(jù)，則進(jìn)入步驟B4 ;如果分割符后有報(bào)文數(shù)據(jù)，則進(jìn)入步驟B5 ； B4:流文件系統(tǒng)直接將緩存中的第一個(gè)報(bào)文中的數(shù)據(jù)和映射區(qū)完整的字段數(shù)據(jù)通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊，然后進(jìn)入步驟B6 ； B5:流文件系統(tǒng)直接將緩存中的第一個(gè)報(bào)文中的數(shù)據(jù)和多個(gè)映射區(qū)內(nèi)最后ー個(gè)分割符前的整個(gè)字段數(shù)據(jù)通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊，清空緩存，并通過文件同步操作將分割符后的安全網(wǎng)關(guān)檢測模塊未檢測的報(bào)文數(shù)據(jù)存儲(chǔ)在緩存中，然后進(jìn)入步驟B6 ； B6:安全網(wǎng)關(guān)的檢測模塊通過流文件的讀取接ロ讀取指定的報(bào)文數(shù)據(jù)，并通過字符串匹配和正則表達(dá)式匹配對報(bào)文數(shù)據(jù)進(jìn)行檢測，然后進(jìn)入步驟C。
全文摘要
本發(fā)明公開了一種基于網(wǎng)絡(luò)應(yīng)用層安全網(wǎng)關(guān)的流文件系統(tǒng)實(shí)現(xiàn)方法，能夠虛擬一個(gè)流文件系統(tǒng)，減小緩存中的報(bào)文數(shù)量，提高系統(tǒng)處理的速度和效率。本發(fā)明主要在內(nèi)核中虛擬一個(gè)類似文件的流文件系統(tǒng)，通過流文件系統(tǒng)只通過緩存存儲(chǔ)報(bào)文中的少量數(shù)據(jù)并且對外提供統(tǒng)一的操作接口，將緩存中的少量報(bào)文數(shù)據(jù)和映射區(qū)完整的字段數(shù)據(jù)通過指針映射的方式交給安全網(wǎng)關(guān)的檢測模塊進(jìn)行檢測，提高系統(tǒng)處理的速度和效率；同時(shí)，可使安全網(wǎng)關(guān)的檢測模塊同時(shí)適應(yīng)報(bào)文的MBUFFER和SKBUFFER結(jié)構(gòu)，提高軟件的可移植性和復(fù)用性。
文檔編號H04L29/06GK102821100SQ20121025925
公開日2012年12月12日 申請日期2012年7月25日 優(yōu)先權(quán)日2012年7月25日
發(fā)明者陳國斌, 宋蘇宇, 于穎, 王智輝, 管勇, 趙滿滿, 時(shí)興華, 王利娟 申請人:河南省信息中心