數(shù)據(jù)流檢測方法和裝置的制造方法
【技術領域】
[0001] 本申請涉及網(wǎng)絡通信技術，特別涉及數(shù)據(jù)流檢測方法和裝置。
【背景技術】
[0002] 目前，用于應用層中數(shù)據(jù)流檢測的設備（簡稱數(shù)據(jù)流檢測設備）基于檢測規(guī)則庫 對應用層的數(shù)據(jù)流進行檢測。這里的數(shù)據(jù)流檢測設備比如為上網(wǎng)行為管理設備、入侵檢測 設備（IPS)等。
[0003] 檢測規(guī)則庫中的規(guī)則主要定義以下幾個匹配條件：
[0004] 固定字符串：有一個或者多個固定字符串，需命中其中一個或多個；
[0005] 協(xié)議：具體的協(xié)議比如UDP、HTTP等；
[0006] 方向：數(shù)據(jù)流的請求方法還是應答方向，或者是雙向；
[0007] 端口 ：數(shù)據(jù)流源端口或者目的端口信息，大部分規(guī)則不定義端口；
[0008] 位置：固定字符串出現(xiàn)在報文中的位置。
[0009] 通常，上述的幾個匹配條件對大多數(shù)應用來說還不能準確的檢測數(shù)據(jù)流，因此，規(guī) 則中除定義上述幾個匹配條件之外還需定義一個或多個正則表達式，當上述的匹配條件都 滿足后再進行正則表達式匹配，當正則表達式也命中則說明該規(guī)則精確的命中了。
[0010] 但是，在進行正則表達式匹配時非常消耗性能，數(shù)據(jù)流檢測設備在進行應用層數(shù) 據(jù)流檢測時會因為正則表達式的匹配消耗大量的設備性能而導致數(shù)據(jù)流轉(zhuǎn)發(fā)延時等缺陷。

【發(fā)明內(nèi)容】

[0011] 本申請?zhí)峁┝藬?shù)據(jù)流檢測方法和裝置，以通過減少正則表達式匹配的次數(shù)防止數(shù) 據(jù)流轉(zhuǎn)發(fā)延時等缺陷。
[0012] 本申請?zhí)峁┑募夹g方案包括：
[0013] -種數(shù)據(jù)流檢測方法，該方法應用于數(shù)據(jù)流檢測設備，包括：
[0014] 接收數(shù)據(jù)流，將數(shù)據(jù)流匹配的本地N個規(guī)則的規(guī)則標識ID記錄至第一匹配集，N大 于或等于1，N個規(guī)則中的每一規(guī)則中至少定義一個正則表達式；
[0015] 判斷數(shù)據(jù)流是否為HTTP類型的數(shù)據(jù)流，如果是，針對第一匹配集中的每一規(guī)則 ID，在本地規(guī)則所屬域名表項中找到包含該規(guī)則ID的規(guī)則所屬域名表項，在找到的規(guī)則所 屬域名表項中的第一域名字段為第一值時，將該規(guī)則ID記錄至第二匹配集；第一值用于指 示所述規(guī)則定義的固定字符串中不包含域名；
[0016] 依據(jù)第二匹配集中規(guī)則ID對應的規(guī)則中定義的正則表達式對數(shù)據(jù)流進行匹配。
[0017] -種數(shù)據(jù)流檢測裝置，該裝置應用于數(shù)據(jù)流檢測設備，包括：
[0018] 第一匹配單元，用于將與接收的數(shù)據(jù)流匹配的本地N個規(guī)則的規(guī)則標識ID記錄至 第一匹配集，N大于或等于I，N個規(guī)則中的每一規(guī)則中至少定義一個正則表達式；
[0019] 第二匹配單元，用于判斷數(shù)據(jù)流是否為HTTP類型的數(shù)據(jù)流，如果是，針對第一匹 配集中的每一規(guī)則ID，在本地規(guī)則所屬域名表項中找到包含該規(guī)則ID的規(guī)則所屬域名表 項，在找到的規(guī)則所屬域名表項中的第一域名字段為第一值時，將該規(guī)則ID記錄至第二匹 配集；第一值用于指示所述規(guī)則定義的固定字符串中不包含域名；
[0020] 第三匹配單元，用于依據(jù)第二匹配集中規(guī)則ID對應的規(guī)則中定義的正則表達式 對數(shù)據(jù)流進行匹配。
[0021 ] 由以上技術方案可以看出，本發(fā)明中，通過對數(shù)據(jù)流最終匹配出的規(guī)則進行過濾， 最終剩下的規(guī)則會少于數(shù)據(jù)流最終匹配出的規(guī)則，這也就意味著最終對數(shù)據(jù)流進行正則表 達式的次數(shù)減少，大大減少設備在正則表達式匹配上的性能開銷，在硬件不變的前提下增 大數(shù)據(jù)流檢測設備的處理帶寬。
【附圖說明】
[0022] 圖1為本發(fā)明提供的方法流程圖；
[0023] 圖2為本發(fā)明實施例提供的步驟103實現(xiàn)流程圖；
[0024] 圖3為本發(fā)明實施例提供的域名與IP地址對應表建立流程圖；
[0025] 圖4為本發(fā)明提供的裝置結構圖。
【具體實施方式】
[0026] 為了使本發(fā)明的目的、技術方案和優(yōu)點更加清楚，下面結合附圖和具體實施例對 本發(fā)明進行詳細描述。
[0027] 本申請?zhí)峁┑姆椒ò▓D1所示的流程：
[0028] 參見圖1，圖1為本發(fā)明提供的方法流程圖。該方法應用于數(shù)據(jù)流檢測設備，這里 的數(shù)據(jù)流檢測設備用于檢測應用層的數(shù)據(jù)流，具體實現(xiàn)時可為IPS、上網(wǎng)行為管理設備等。 如圖1所示，該流程可包括以下步驟：
[0029] 步驟101，接收數(shù)據(jù)流，將數(shù)據(jù)流匹配的本地N個規(guī)則的規(guī)則標識（ID)記錄至第一 匹配集，N個規(guī)則中的每一規(guī)則中至少定義一個正則表達式，N大于或等于1。
[0030] 當數(shù)據(jù)流檢測設備接收到數(shù)據(jù)流時，首先進行如下第一類匹配條件（具體為固定 字符串）的匹配：輪詢本地檢測規(guī)則庫中每一規(guī)則，檢查該接收的數(shù)據(jù)流是否包含該規(guī)則 中的固定字符串，如果是，確定該規(guī)則滿足第一類匹配條件。根據(jù)需求，可能需要多次重復 執(zhí)行第一類匹配條件的匹配。最終，可能會確定出M個規(guī)則滿足第一類匹配條件的匹配，M 大于或等于N。
[0031] 之后，對于滿足第一類匹配條件的規(guī)則，如果該規(guī)則中還有協(xié)議、方向、端口、位置 中的至少一個組成的第二類匹配條件，則依據(jù)數(shù)據(jù)流繼續(xù)匹配第二類匹配條件匹配。根據(jù) 需求，可能需要多次重復執(zhí)行第二類匹配條件的匹配。最終，可能會從M個規(guī)則中確定出L 個規(guī)則滿足第二類匹配條件的匹配，L大于或等于N。
[0032] 在應用中，數(shù)據(jù)流檢測設備本地的檢測規(guī)則庫中大部分規(guī)則為了保證檢測的準確 性都定義了正則表達式，甚至定義了不止一個正則表達式，基于此，從上述滿足第二類匹配 條件的L規(guī)則中選擇定義了至少一個正則表達式的規(guī)則，最終選擇出的規(guī)則的數(shù)量為上述 的N，N大于或等于1。最終如步驟101所述，將N個規(guī)則的規(guī)則ID集中記錄至第一匹配集。
[0033] 步驟102,判斷數(shù)據(jù)流是否為HTTP類型的數(shù)據(jù)流，如果是，針對第一匹配集中的每 一規(guī)則ID，在本地規(guī)則所屬域名表項中找到包含該規(guī)則ID的規(guī)則所屬域名表項，在找到的 規(guī)則所屬域名表項中的第一域名字段為第一值時，將該規(guī)則ID記錄至第二匹配集；第一值 用于指示規(guī)則的固定字符串中不包含域名。
[0034] 作為本發(fā)明的一個實施例，當步驟102判斷出數(shù)據(jù)流不為HTTP類型的數(shù)據(jù)流，或 者，當步驟102在找到的規(guī)則所屬域名表項中的第一域名字段不為第一值時，則直接按照 現(xiàn)有方式依據(jù)第一匹配集中規(guī)則ID對應的規(guī)則中定義的正則表達式對數(shù)據(jù)流進行匹配。
[0035] 也就是說，本發(fā)明中只針對HTTP類型的數(shù)據(jù)流，減少正則表達式匹配的次數(shù)，原 因是：只有HTTP類型的數(shù)據(jù)流，才會涉及域名，步驟102中描述的針對第一匹配集中的每一 規(guī)則ID執(zhí)行的步驟才有意義。
[0036] 在本發(fā)明中，數(shù)據(jù)流檢測設備本地的檢測規(guī)則庫中各規(guī)則除了包含上述的第一匹 配條件、第二匹配條件、正則表達式之外，還需要額外增加一個規(guī)則所屬域名表項，用于記 錄定義在HTTP協(xié)議上的規(guī)則與所屬一級域名的對應關系，所有定義在HTTP協(xié)議上的規(guī)則 必須定義對應的所屬一級域名。
[0037] 規(guī)則所屬域名表項主要包含以下五個字段：序號字段，規(guī)則ID字段，第一域名字 段，第二域名字段、正則表達式字段。表1示出了規(guī)則所屬域名表項中的五個字段。
[0039] 表 1
[0040] 其中，序號字段用于表示規(guī)則所屬域名表項在本地規(guī)則所屬域名表中的序號。規(guī) 則ID字段用于表示規(guī)則的ID。