專利名稱:一種深度報(bào)文檢測(cè)方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明有關(guān)于通信技術(shù)領(lǐng)域����,尤其是有關(guān)于對(duì)數(shù)據(jù)流進(jìn)行報(bào)文檢測(cè)的技術(shù)。
背景技術(shù):
目前在數(shù)字通信技術(shù)領(lǐng)域中��,深度報(bào)文檢測(cè)(De印Packet Inspection :DPI)是入 侵檢測(cè)系統(tǒng)(Intrusion Detection System :IDS)/入侵防御系統(tǒng)(IntrusionPrevention System :IPS)的一個(gè)重要的技術(shù)����,通過對(duì)數(shù)據(jù)包內(nèi)容的監(jiān)測(cè)查找是否存在攻擊的特征關(guān)鍵 字。但是���,傳輸控制協(xié)議(Transmission ControlProtocol :TCP)數(shù)據(jù)流通常會(huì)被劃分成不 同的數(shù)據(jù)段由不同的互聯(lián)網(wǎng)協(xié)議(Internet Protocol :IP)數(shù)據(jù)包傳送���,如果IDS/IPS只對(duì) 單一的數(shù)據(jù)包進(jìn)行DPI,會(huì)造成很多安全的隱患��。 例如���,如圖1所示的是現(xiàn)有TCP流被分成多個(gè)IP包的示意圖�����。如圖l所示���,假設(shè) 有一個(gè)攻擊的特征關(guān)鍵字是"attack",但是在傳送中這個(gè)關(guān)鍵字可能會(huì)被分成兩個(gè)部分在 不同的IP數(shù)據(jù)報(bào)中。這樣對(duì)每一個(gè)單獨(dú)數(shù)據(jù)包進(jìn)行DPI是無法找出"attack"字段��,從而 漏過這段攻擊報(bào)文�����。 目前主流的IDS/IPS技術(shù)采用TCP數(shù)據(jù)流重組方案來解決這個(gè)問題�,這些方案將 IP包中的內(nèi)容重組成TCP數(shù)據(jù)流,然后進(jìn)行檢測(cè)�����。其中��,流重組方案是將一個(gè)TCP數(shù)據(jù)流 做一個(gè)完整的備份���,然后將備份上傳給檢測(cè)引擎(PMengine)����。但是這種方案必須等待一個(gè) TCP數(shù)據(jù)流(stream)中的所有TCP包都流經(jīng)IDS/IPS以后才能開始檢測(cè),因此其并發(fā)性差����, 且對(duì)TCP數(shù)據(jù)流做完整的備份會(huì)大量占用內(nèi)存資源,這些缺點(diǎn)對(duì)IDS/IPS性能造成很大的 影響��。 現(xiàn)有技術(shù)的方案中��,當(dāng)一個(gè)數(shù)據(jù)包被截獲后先檢測(cè)這個(gè)數(shù)據(jù)包是否按照順序被發(fā) 送的�,如果是順序到達(dá)的數(shù)據(jù)包,則直接進(jìn)行檢測(cè)�����,檢測(cè)通過后放行��;如果是亂序到達(dá)的數(shù) 據(jù)包則將其拷貝在內(nèi)存中等待���,直到其之前的所有數(shù)據(jù)包都已經(jīng)到達(dá)并且被檢測(cè)以后才開 始檢測(cè)����。因此�����,在很多情況需要將部分?jǐn)?shù)據(jù)包拷貝存放在內(nèi)存中��,即使這些數(shù)據(jù)包本身就攜 帶有攻擊的特征關(guān)鍵字��,也無法立刻檢測(cè)出來�����,只能等到之前的數(shù)據(jù)包都檢測(cè)完成之后再 進(jìn)行檢測(cè)����,如果之前的數(shù)據(jù)包中檢測(cè)出來攻擊報(bào)文則這些數(shù)據(jù)包將直接被丟棄,從而存儲(chǔ) 資源利用率不高�����。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例的目的在于�,提供一種深度報(bào)文檢測(cè)方法及裝置,以便在對(duì)TCP 流進(jìn)行實(shí)時(shí)檢測(cè)時(shí)�����,盡可能的提高資源的利用率�����。 為了實(shí)現(xiàn)上述目的,本發(fā)明的實(shí)施例提供一種深度報(bào)文檢測(cè)方法��,該方法包括以 下步驟獲取第i個(gè)信息包的后綴與要檢測(cè)出的特征關(guān)鍵字的前綴相吻合的最大部分作為 max(bi);根據(jù)該max(bi)來判斷所述第i個(gè)信息包與第i+1個(gè)信息包中是否存在所述特征 關(guān)鍵字���,其中����,所述i為正整數(shù)��。 為了實(shí)現(xiàn)上述目的����,本發(fā)明的實(shí)施例還提供一種深度報(bào)文檢測(cè)方法,該方法包括以下步驟獲取第i個(gè)信息包的前綴與要檢測(cè)出的特征關(guān)鍵字的后綴相吻合的最大部分作 為max (a》���;根據(jù)該max (a》來判斷所述第i個(gè)信息包與第i_l個(gè)信息包中是否存在所述特 征關(guān)鍵字�,其中�,所述i為大于1的正整數(shù)。 為了實(shí)現(xiàn)上述目的���,本發(fā)明的實(shí)施例又提供一種深度報(bào)文檢測(cè)裝置����,該裝置包括 獲取單元,用于獲取第i個(gè)信息包的后綴與要檢測(cè)出的特征關(guān)鍵字的前綴相吻合的最大部 分作為max(bi);判斷單元���,用于根據(jù)該max(bi)來判斷所述第i個(gè)信息包與第i+1個(gè)信息 包中是否存在所述特征關(guān)鍵字,其中���,所述i為正整數(shù)���。 為了實(shí)現(xiàn)上述目的,本發(fā)明的實(shí)施例另提供一種深度報(bào)文檢測(cè)裝置���,該裝置包括 獲取單元�,用于獲取第i個(gè)信息包的前綴與要檢測(cè)出的特征關(guān)鍵字的后綴相吻合的最大部 分作為max(ai);判斷單元�,用于根據(jù)該max(a》來判斷所述第i個(gè)信息包與第i_l個(gè)信息 包中是否存在所述特征關(guān)鍵字,其中����,所述i為大于1的正整數(shù)。 本發(fā)明實(shí)施例的有益效果在于�,因?yàn)椴捎昧讼全@取信息包與特征關(guān)鍵字的最大吻 合部分再進(jìn)行比較,所以克服了現(xiàn)有技術(shù)中的存儲(chǔ)資源利用率不高的問題�,進(jìn)而能夠更大 的提高了系統(tǒng)的并發(fā)性���,以及系統(tǒng)對(duì)攻擊代碼的反應(yīng)速度,提高了檢測(cè)效率���。
此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解����,構(gòu)成本申請(qǐng)的一部分���, 構(gòu)成對(duì)本發(fā)明的限定����。在附圖中 圖1所示的是現(xiàn)有TCP流被分成多個(gè)IP包的示意圖��。
圖2所示的是本發(fā)明實(shí)施例1的深度報(bào)文檢測(cè)方法的流程圖���。
圖3所示的是本發(fā)明實(shí)施例2的深度報(bào)文檢》
圖4所示的是本發(fā)明實(shí)施例3的深度報(bào)文檢》
圖5所示的是本發(fā)明實(shí)施例3的深度報(bào)文檢》
圖6所示的是本發(fā)明實(shí)施例4的深度報(bào)文檢》
圖7所示的是本發(fā)明實(shí)施例4的深度報(bào)文檢》
圖8所示的是本發(fā)明實(shí)施例5的深度報(bào)文檢》
并不
裝置的結(jié)構(gòu)框圖����。
方法的流程圖��。
方法的另一流程圖,
方法的流程圖。
方法的另一流程圖,
裝置的結(jié)構(gòu)框圖���。
具體實(shí)施例方式
為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白���,下面結(jié)合實(shí)施方式和附圖,對(duì) 本發(fā)明做進(jìn)一步詳細(xì)說明��。在此����,本發(fā)明的示意性實(shí)施方式及其說明用于解釋本發(fā)明����,但并 不作為對(duì)本發(fā)明的限定。 為了便于描述�,本發(fā)明實(shí)施例中作以下假設(shè) 因?yàn)槎鄠€(gè)特征關(guān)鍵字的比對(duì)不是本發(fā)明實(shí)施例的保護(hù)點(diǎn),在描述模式匹配的時(shí) 候����,只描述單個(gè)特征關(guān)鍵字的比對(duì),在實(shí)際實(shí)現(xiàn)中,多個(gè)特征關(guān)鍵字比對(duì)的算法與實(shí)現(xiàn)已經(jīng) 很成熟����,不同的算法可以很靈活地運(yùn)用在本發(fā)明實(shí)施例中。 在不失普遍性的情況下��,本發(fā)明實(shí)施例的描述中假設(shè)一個(gè)數(shù)據(jù)包有效載荷 (payload)的長(zhǎng)度要大于一個(gè)特征關(guān)鍵字的長(zhǎng)度��。但是如果出現(xiàn)payload的長(zhǎng)度過小以至 于小于一個(gè)特征關(guān)鍵字的長(zhǎng)度的情況�����,可以通過將多個(gè)包合并��;或者通過簡(jiǎn)單改進(jìn)算法來 解決����。
為了更嚴(yán)謹(jǐn)?shù)拿枋霰景l(fā)明的實(shí)施例,現(xiàn)定義一些關(guān)鍵概念如下 前綴一個(gè)字符串a(chǎn)是字符串b的前綴��,當(dāng)且僅當(dāng)存在字符串c使得b = ac(c為
字符串或?yàn)榭?�����; 后綴一個(gè)字符串a(chǎn)是字符串b的后綴�����,當(dāng)且僅當(dāng)存在字符串c使得b = ca(c為 字符串或?yàn)榭?; 包含一個(gè)字符串a(chǎn)包含b����,當(dāng)且僅當(dāng)a = cbd(c, d為字符串或?yàn)榭?��。
實(shí)施例1 圖2所示的是本發(fā)明實(shí)施例1的深度報(bào)文檢測(cè)方法的流程圖�。如圖2所示,本發(fā) 明實(shí)施例1的深度報(bào)文檢測(cè)方法包括獲取第i個(gè)信息包的后綴與要檢測(cè)出的特征關(guān)鍵字 的前綴相吻合的最大部分作為max(bi)或獲取第i個(gè)信息包的前綴與要檢測(cè)出的特征關(guān)鍵 字的后綴相吻合的最大部分作為max(ai);根據(jù)所述max(bi)或max(ai)來判斷所傳送的 TCP數(shù)據(jù)流中是否存在特征關(guān)鍵字��。 S卩��、本發(fā)明實(shí)施例1中�,首先獲取第i個(gè)信息包的后綴與要檢測(cè)出的特征關(guān)鍵字的 前綴相吻合的最大部分作為max(bi);根據(jù)該max(bi)來判斷所述第i個(gè)信息包與第i+1個(gè) 信息包中是否存在所述特征關(guān)鍵字����,其中�,所述i為正整數(shù)。 另外����,在判斷第i個(gè)信息包與第i-1個(gè)信息包中是否存在所述特征關(guān)鍵字時(shí), 包括獲取第i個(gè)信息包的前綴與要檢測(cè)出的特征關(guān)鍵字的后綴相吻合的最大部分作為 max(ai);根據(jù)該max(ai)來判斷所述第i個(gè)信息包與第i_l個(gè)信息包中是否存在所述特征 關(guān)鍵字,其中�����,所述i為大于1的正整數(shù)��。 本發(fā)明實(shí)施例1中,由于對(duì)不同的數(shù)據(jù)包分別檢測(cè)其附加信息�,因此提高了檢測(cè) 效率。 實(shí)施例2 圖3所示的是本發(fā)明實(shí)施例2的深度報(bào)文檢測(cè)裝置的結(jié)構(gòu)框圖�����。如圖3所示����,本 發(fā)明實(shí)施例2的深度報(bào)文檢測(cè)裝置包括獲取單元301���,用于獲取第i個(gè)信息包的后綴與要 檢測(cè)出的特征關(guān)鍵字的前綴相吻合的最大部分作為max(bi)或獲取第i個(gè)信息包的前綴與 要檢測(cè)出的特征關(guān)鍵字的后綴相吻合的最大部分作為max(ai);判斷單元302,用于根據(jù)所 述max(bi)或max(ai)來判斷所傳送的TCP流中是否存在特征關(guān)鍵字���,其中�����,所述i為正整 數(shù)�。 S卩、當(dāng)根據(jù)所述max(bi)判斷出特征關(guān)鍵字存在時(shí)�,該特征關(guān)鍵字是存在于第i個(gè) 信息包與第i+l個(gè)信息包中;而當(dāng)根據(jù)所述max(ai)判斷出特征關(guān)鍵字存在時(shí)����,該特征關(guān)鍵 字是存在于第i個(gè)信息包與第i-1個(gè)信息包中。 本發(fā)明實(shí)施例2的深度報(bào)文檢測(cè)裝置提高了系統(tǒng)的并發(fā)性���,以及系統(tǒng)對(duì)攻擊代碼
的反應(yīng)速度����,從而提高了檢測(cè)效率�����。
實(shí)施例3 圖4所示的是本發(fā)明實(shí)施例3的深度報(bào)文檢測(cè)方法的流程圖��。如圖4所示����,本發(fā) 明實(shí)施例3的深度報(bào)文檢測(cè)方法包括 S401 :獲取第i個(gè)信息包的后綴與要檢測(cè)出的特征關(guān)鍵字的前綴相吻合的最大部 分作為max(bi); S402 :獲取所述max (b》的字符長(zhǎng)度,作為L(zhǎng)en (max (b》)�;
S403 :將所述特征關(guān)鍵字的第Len (max (b》)+1個(gè)字符與所述第i+1個(gè)信息包的第 一個(gè)字符對(duì)齊����; S404 :與所述特征關(guān)鍵字進(jìn)行比對(duì)��; S405 :如果比對(duì)成功(即所對(duì)比的兩組字符串的每一個(gè)字符都一一相對(duì)應(yīng))��,則判 斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包與第i+1個(gè)信息包中�����。 圖5所示的是本發(fā)明實(shí)施例3的深度報(bào)文檢測(cè)方法的另一流程圖��。如圖5所示�, 本發(fā)明實(shí)施例3的深度報(bào)文檢測(cè)方法也可以按照如下的步驟進(jìn)行 S501 :獲取第i個(gè)信息包的前綴與要檢測(cè)出的特征關(guān)鍵字的后綴相吻合的最大部 分作為max (a); S502 :獲取所述max (a》的字符長(zhǎng)度,作為L(zhǎng)en (max (a》)��; S503 :將所述特征關(guān)鍵字的倒數(shù)第Len (max (a》)+1個(gè)字符與所述第i_l個(gè)信息包 的最后一個(gè)字符對(duì)齊����; S504 :與所述特征關(guān)鍵字進(jìn)行比對(duì)����; S505 :如果比對(duì)成功(即所對(duì)比的兩組字符串的每一個(gè)字符都一一相對(duì)應(yīng))�,則判 斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包與第i-1個(gè)信息包中�����。 在本發(fā)明實(shí)施例3中�,由于在獲取最大吻合部分后僅比對(duì)剩余的字符����,因此節(jié)省 了存儲(chǔ)空間并提高了檢測(cè)效率。
實(shí)施例4 圖6所示的是本發(fā)明實(shí)施例4的深度報(bào)文檢測(cè)方法的流程圖�。如圖6所示,本發(fā) 明實(shí)施例4的深度報(bào)文檢測(cè)方法包括 S601 :獲取第i個(gè)信息包的后綴與要檢測(cè)出的特征關(guān)鍵字的前綴相吻合的最大部 分作為max(bi); S602 :將所述max(bi)加到所述第i+1個(gè)信息包的前面�,生成新的信息包;
S603 :將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對(duì)����; S604 :如果比對(duì)成功(即所對(duì)比的兩組字符串的每一個(gè)字符都一一相對(duì)應(yīng)),則判 斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包與第i+1個(gè)信息包中����。 圖7所示的是本發(fā)明實(shí)施例4的深度報(bào)文檢測(cè)方法的另一流程圖。如圖7所示�����, 本發(fā)明實(shí)施例4的深度報(bào)文檢測(cè)方法也可以按照如下的步驟進(jìn)行 S701 :獲取第i個(gè)信息包的前綴與要檢測(cè)出的特征關(guān)鍵字的后綴相吻合的最大部 分作為max"); S702 :將所述max(ai)加到所述第i_l個(gè)信息包的后面,生成新的信息包��;
S703 :將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對(duì)����; S704 :如果比對(duì)成功(即所對(duì)比的兩組字符串的每一個(gè)字符都一一相對(duì)應(yīng)),則判 斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包與第i-1個(gè)信息包中�����。 在本發(fā)明實(shí)施例4中����,由于在獲取最大吻合部分后僅比對(duì)剩余的字符,因此節(jié)省 了存儲(chǔ)空間并提高了檢測(cè)效率��。
實(shí)施例5 圖8所示的是本發(fā)明實(shí)施例5的深度報(bào)文檢測(cè)裝置的結(jié)構(gòu)框圖�。如圖8所示,本 發(fā)明實(shí)施例5的深度報(bào)文檢測(cè)裝置包括獲取單元801�,用于獲取第i個(gè)信息包的前綴與要檢測(cè)出的特征關(guān)鍵字的后綴相吻合的最大部分作為max(ai);判斷單元802,用于根據(jù)該 max(ai)來判斷所述第i個(gè)信息包與第i_l個(gè)信息包中是否存在所述特征關(guān)鍵字��,其中���,所 述i為大于1的正整數(shù)�����。
上述判斷單元802包括 第一比對(duì)單元803�,用于獲取所述max (a》的字符長(zhǎng)度��,作為L(zhǎng)en (max (a》)�,將所述 特征關(guān)鍵字的倒數(shù)第Len(max(ai))+1個(gè)字符與所述第i_l個(gè)信息包的倒數(shù)第一個(gè)字符對(duì) 齊并進(jìn)行比對(duì),如果比對(duì)成功�,則所述判斷單元802判斷為所述特征關(guān)鍵字存在于所述第 i-l個(gè)信息包與第i個(gè)信息包中;和/或 第二比對(duì)單元804��,用于將所述max(ai)加到所述第i_l個(gè)信息包的后面����,生成新 的信息包,并將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對(duì)�,如果比對(duì)成功,則所述判斷單 元802判斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包與第i-l個(gè)信息包中��。
在本發(fā)明實(shí)施例5中���,上述深度報(bào)文檢測(cè)裝置的各功能單元還可以如下執(zhí)行功能 來完成報(bào)文檢測(cè)獲取單元801��,用于獲取第i個(gè)信息包的后綴與要檢測(cè)出的特征關(guān)鍵字的 前綴相吻合的最大部分作為max(bi);判斷單元802���,用于根據(jù)該max(bi)來判斷所述第i個(gè) 信息包與第i+1個(gè)信息包中是否存在所述特征關(guān)鍵字�,其中�����,所述i為正整數(shù)���。
上述判斷單元802包括 第一 比對(duì)單元803�����,用于獲取所述max (b》的字符長(zhǎng)度����,作為L(zhǎng)en (max (b》)�����,將所述 特征關(guān)鍵字的第Len(max(bi))+1個(gè)字符與所述第i+1個(gè)信息包的第一個(gè)字符對(duì)齊并進(jìn)行 比對(duì)����,如果比對(duì)成功,則所述判斷單元802判斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包 與第i+l個(gè)信息包中�����;和/或 第二比對(duì)單元804,用于將所述max(bi)加到所述第i+1個(gè)信息包的前面���,生成新 的信息包�����,并將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對(duì),如果比對(duì)成功��,則所述判斷單 元802判斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包與第i+l個(gè)信息包中�����。
在本發(fā)明實(shí)施例5的深度報(bào)文檢測(cè)裝置中���,由于在獲取最大吻合部分后僅比對(duì)剩 余的字符�����,因此節(jié)省了存儲(chǔ)空間并提高了檢測(cè)效率��。 在上述本發(fā)明實(shí)施例中���,可以通過指針來指向所提取的最大吻合部分的字符串 (每個(gè)包存儲(chǔ)兩個(gè)列表的信息)���,從而與現(xiàn)有技術(shù)相比優(yōu)化了性能。然而本發(fā)明并不限于 此�����,任何能夠記錄數(shù)據(jù)包與特征關(guān)鍵字(pattern)匹配部分的方式都可以使用���,指針只是 其中的一種����。比如說�,第i個(gè)數(shù)據(jù)包的后綴與pattern的前綴最大重合部分為3個(gè)字符。那 么可以用一個(gè)整數(shù)3記錄下來���。 本發(fā)明實(shí)施例的有益效果在于�,因?yàn)椴捎昧讼全@取信息包與特征關(guān)鍵字的最大吻
合部分再進(jìn)行比較����,所以克服了現(xiàn)有技術(shù)中的存儲(chǔ)資源利用率不高的問題,進(jìn)而能夠更大
的提高了系統(tǒng)的并發(fā)性����,以及系統(tǒng)對(duì)攻擊代碼的反應(yīng)速度���,提高了檢測(cè)效率。 以上所述的具體實(shí)施方式
���,對(duì)本發(fā)明的目的����、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步
詳細(xì)說明����,所應(yīng)理解的是����,以上所述僅為本發(fā)明的具體實(shí)施方式
而已,并不用于限定本發(fā)明
的保護(hù)范圍����,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改����、等同替換����、改進(jìn)等���,均應(yīng)包含
在本發(fā)明的保護(hù)范圍之內(nèi)�����。
權(quán)利要求
一種深度報(bào)文檢測(cè)方法�,其特征在于�����,該方法包括以下步驟獲取第i個(gè)信息包的后綴與要檢測(cè)出的特征關(guān)鍵字的前綴相吻合的最大部分作為max(bi)��;根據(jù)該max(bi)來判斷所述第i個(gè)信息包與第i+1個(gè)信息包中是否存在所述特征關(guān)鍵字���,其中�,所述i為正整數(shù)�。
2. 根據(jù)權(quán)利要求l所述的深度報(bào)文檢測(cè)方法,其特征在于�,所述根據(jù)該max(bi)來判斷 所述第i個(gè)信息包與第i+l個(gè)信息包中是否存在所述特征關(guān)鍵字的步驟包括將所述特征關(guān)鍵字的除所述max(bi)以外的部分與第i+l個(gè)信息包的前綴進(jìn)行比對(duì), 如果比對(duì)成功�,則判斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包與第i+l個(gè)信息包中����。
3. 根據(jù)權(quán)利要求2所述的深度報(bào)文檢測(cè)方法����,其特征在于,所述將特征關(guān)鍵字的除所 述max(bi)以外的部分與第i+l個(gè)信息包的前綴進(jìn)行比對(duì)的步驟包括獲取所述max(bi)的字符長(zhǎng)度��,作為L(zhǎng)en(max(bi));將所述特征關(guān)鍵字的第Len(max(bi))+1個(gè)字符與所述第i+l個(gè)信息包的第一個(gè)字符 對(duì)齊并進(jìn)行比對(duì)����。
4. 根據(jù)權(quán)利要求l所述的深度報(bào)文檢測(cè)方法,其特征在于���,所述根據(jù)該max(bi)來判斷 所述第i個(gè)信息包與第i+l個(gè)信息包中是否存在所述特征關(guān)鍵字的步驟包括將所述max(bi)加到所述第i+l個(gè)信息包的前面���,生成新的信息包�����; 將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對(duì)���;如果比對(duì)成功���,則判斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包與第i+l個(gè)信息包中���。
5. —種深度報(bào)文檢測(cè)方法,其特征在于�����,該方法包括以下步驟獲取第i個(gè)信息包的前綴與要檢測(cè)出的特征關(guān)鍵字的后綴相吻合的最大部分作為 max (a》�;根據(jù)該max(ai)來判斷所述第i個(gè)信息包與第i_l個(gè)信息包中是否存在所述特征關(guān)鍵字,其中���,所述i為大于l的正整數(shù)��。
6. 根據(jù)權(quán)利要求5所述的深度報(bào)文檢測(cè)方法����,其特征在于�,所述根據(jù)該max(ai)來判斷 所述第i個(gè)信息包與第i-1個(gè)信息包中是否存在所述特征關(guān)鍵字的步驟包括將所述特征關(guān)鍵字的除所述max(ai)以外的部分與第i_l個(gè)信息包的后綴進(jìn)行比對(duì), 如果比對(duì)成功��,則判斷為所述特征關(guān)鍵字存在于所述第i-1個(gè)信息包與第i個(gè)信息包中���。
7. 根據(jù)權(quán)利要求6所述的深度報(bào)文檢測(cè)方法�����,其特征在于�����,所述將特征關(guān)鍵字的除所 述max(a》以外的部分與第i_l個(gè)信息包的后綴進(jìn)行比對(duì)的步驟包括獲取所述max(ai)的字符長(zhǎng)度��,作為L(zhǎng)en (max (a》)����;將所述特征關(guān)鍵字的倒數(shù)第Len(max(ai))+1個(gè)字符與所述第i_l個(gè)信息包的倒數(shù)第 一個(gè)字符對(duì)齊并進(jìn)行比對(duì)。
8. 根據(jù)權(quán)利要求5所述的深度報(bào)文檢測(cè)方法�����,其特征在于��,所述根據(jù)該max(ai)來判斷 所述第i個(gè)信息包與第i-1個(gè)信息包中是否存在所述特征關(guān)鍵字的步驟包括將所述max(ai)加到所述第i_l個(gè)信息包的后面�,生成新的信息包;將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對(duì)�����;如果比對(duì)成功�����,則判斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包與第i-1個(gè)信息包中��。
9. 一種深度報(bào)文檢測(cè)裝置���,其特征在于����,所述裝置包括獲取單元���,用于獲取第i個(gè)信息包的后綴與要檢測(cè)出的特征關(guān)鍵字的前綴相吻合的最 大部分作為max(bi);判斷單元����,用于根據(jù)該max(bi)來判斷所述第i個(gè)信息包與第i+l個(gè)信息包中是否存 在所述特征關(guān)鍵字�,其中,所述i為正整數(shù)�����。
10. 根據(jù)權(quán)利要求9所述的深度報(bào)文檢測(cè)裝置��,其特征在于,所述判斷單元包括 第一比對(duì)單元���,用于獲取所述max(bi)的字符長(zhǎng)度���,作為L(zhǎng)en(max(bi)),將所述特征關(guān)鍵字的第Len(max(bi))+1個(gè)字符與所述第i+l個(gè)信息包的第一個(gè)字符對(duì)齊并進(jìn)行比對(duì)�����,如果比對(duì)成功���,則所述判斷單元判斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包與第 i+l個(gè)信息包中�。
11. 根據(jù)權(quán)利要求9所述的深度報(bào)文檢測(cè)裝置�,其特征在于,所述判斷單元包括 第二比對(duì)單元�,用于將所述max(bi)加到所述第i+l個(gè)信息包的前面,生成新的信息包��,并將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對(duì)�,如果比對(duì)成功,則所述判斷單元判斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包與第 i+l個(gè)信息包中�����。
12. —種深度報(bào)文檢測(cè)裝置�,其特征在于,所述裝置包括獲取單元�,用于獲取第i個(gè)信息包的前綴與要檢測(cè)出的特征關(guān)鍵字的后綴相吻合的最 大部分作為max(ai);判斷單元,用于根據(jù)該max(ai)來判斷所述第i個(gè)信息包與第i_l個(gè)信息包中是否存 在所述特征關(guān)鍵字����,其中,所述i為大于l的正整數(shù)�����。
13. 根據(jù)權(quán)利要求12所述的深度報(bào)文檢測(cè)裝置����,其特征在于,所述判斷單元包括 第一比對(duì)單元��,用于獲取所述max(ai)的字符長(zhǎng)度��,作為L(zhǎng)en (max (a》)��,將所述特征關(guān)鍵字的倒數(shù)第Len(max(ai))+1個(gè)字符與所述第i_l個(gè)信息包的倒數(shù)第一個(gè)字符對(duì)齊并進(jìn) 行比對(duì)�,如果比對(duì)成功,則所述判斷單元判斷為所述特征關(guān)鍵字存在于所述第i-1個(gè)信息包與 第i個(gè)信息包中�。
14. 根據(jù)權(quán)利要求12所述的深度報(bào)文檢測(cè)裝置�����,其特征在于���,所述判斷單元包括 第二比對(duì)單元,用于將所述max(ai)加到所述第i_l個(gè)信息包的后面�,生成新的信息包,并將所述新的信息包與所述特征關(guān)鍵字進(jìn)行比對(duì)�,如果比對(duì)成功,則所述判斷單元判斷為所述特征關(guān)鍵字存在于所述第i個(gè)信息包與第 i-1個(gè)信息包中���。
全文摘要
本發(fā)明提供一種深度報(bào)文檢測(cè)方法及裝置���,該方法包括獲取第i個(gè)信息包的后綴與要檢測(cè)出的特征關(guān)鍵字的前綴相吻合的最大部分作為max(bi);根據(jù)該max(bi)來判斷所述第i個(gè)信息包與第i+1個(gè)信息包中是否存在所述特征關(guān)鍵字���,其中�����,所述i為正整數(shù)��。同時(shí)�����,上述方法還可以為��,包括獲取第i個(gè)信息包的前綴與要檢測(cè)出的特征關(guān)鍵字的后綴相吻合的最大部分作為max(ai)����;根據(jù)該max(ai)來判斷所述第i個(gè)信息包與第i-1個(gè)信息包中是否存在所述特征關(guān)鍵字��,其中�����,所述i為大于1的正整數(shù)��。本發(fā)明提高了系統(tǒng)的并發(fā)性���,以及系統(tǒng)對(duì)攻擊代碼的反應(yīng)速度���,提高了檢測(cè)效率。
文檔編號(hào)H04L29/06GK101764718SQ200810241050
公開日2010年6月30日 申請(qǐng)日期2008年12月25日 優(yōu)先權(quán)日2008年12月25日
發(fā)明者張大成 申請(qǐng)人:華為技術(shù)有限公司