本申请实施例提供了一种处理业务报文的方法及装置,属于通信技术领域,该方法应用于深度报文检测安全设备,所述方法应用于安全设备,所述安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,所述方法包括:接收待检测的业务报文;当所述第一检测引擎不可用时,利用所述第二检测引擎对所述业务报文进行DPI检测,确定所述业务报文对应的处理动作;如果在预设时长内检测到所述第一检测引擎可用,利用所述第一检测引擎根据所述第二检测引擎确定出的处理动作对所述业务报文进行安全控制处理。通过本发明专利技术,可以提高网络的安全性。
【技术实现步骤摘要】
一种处理业务报文的方法及装置
本申请涉及通信
,特别是涉及一种处理业务报文的方法及装置。
技术介绍
随着信息技术的快速发展,网络应用正在从传统、小型业务系统逐渐向大型、关键业务系统扩展,网络所承载的数据应用也日益增加,呈现复杂化、多元化趋势。然而,网络在使得我们的工作和生活快捷、方便的同时也带来了许多安全问题,比如,信息泄露和计算机感染病毒等。为了保证数据内容的安全,人们提出了DPI(DeepPacketInspection,深度报文检测)技术,对网络中的业务报文进行安全检测。DPI是一种基于业务报文的应用层信息对流经设备的网络流量进行检测和控制的安全机制,通常应用于安全设备(比如防火墙设备)中。通常,安全设备中存储有规则库,该规则库包括用于进行DPI检测的检测策略,比如用于匹配报文的特征项和相应的处理动作等。安全设备会将该规则库中的规则下发到内核中,也即,将规则库中的规则进行重新编译并导入内核的代码程序中,得到运行于内核态的检测引擎,安全设备利用该检测引擎实现DPI检测。具体的,安全设备接收到业务报文后,可以利用该检测引擎对业务报文的内容(一般是传输层以上的内容)进行安全检测,确定对该业务报文的处理动作,然后根据该处理动作对业务报文进行安全控制处理。例如,如果该业务报文的匹配的规则中的处理动作为“允许”,安全设备转发该业务报文;如果该业务报文匹配的规则中的处理动作为“丢弃”,安全设备将丢弃该业务报文,以阻断该业务报文所属的业务流。安全设备在某些应用场景中,比如主备倒换或规则库升级后,需要重新将规则库下发到内核中,由于在下发的过程中运行于内核态的检测引擎无法使用,因此,安全设备在该下发过程中无法进行DPI检测,这样会导致网络的安全性较差。
技术实现思路
本申请实施例的目的在于提供一种处理业务报文的方法及装置,以实现在出现主备倒换或规则库升级等需要将规则库重新下发至内核的情况时,可以对业务报文进行DPI检测,从而提了网络的安全性。具体技术方案如下:为实现上述目的,提供了一种处理业务报文的方法,该方法应用于安全设备,所述安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,该方法包括:接收待检测的业务报文;当所述第一检测引擎不可用时,利用所述第二检测引擎对所述业务报文进行深度报文检测DPI检测,确定所述业务报文对应的处理动作;如果在预设时长内检测到所述第一检测引擎可用,利用所述第一检测引擎根据所述第二检测引擎确定出的处理动作对所述业务报文进行安全控制处理。为实现上述目的,提供了一种处理业务报文的装置,所述装置应用于安全设备,所述安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,,所述装置包括:接收模块,用于接收待检测的业务报文;第一检测模块,用于当所述第一检测引擎不可用时,利用所述第二检测引擎对所述业务报文进行深度报文检测DPI检测,确定所述业务报文对应的处理动作;第一处理模块,用于如果在预设时长内检测到所述第一检测引擎可用,利用所述第一检测引擎根据所述第二检测引擎确定出的处理动作对所述业务报文进行安全控制处理。本申请实施例提供的处理业务报文方法,可以应用于安全设备,该安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,安全设备可以接收待检测的业务报文,当第一检测引擎不可用时,利用第二检测引擎对业务报文进行深度报文检测DPI检测,确定业务报文对应的处理动作,如果在预设时长内检测到第一检测引擎可用,利用第一检测引擎根据第二检测引擎确定出的处理动作对业务报文进行安全控制处理。这样,在出现主备倒换或规则库升级等需要规则库重新下发至内核的情况时,即使运行于内核态的检测引擎不可用,DPI检测也不会中断,即可以利用运行于用户态的检测引擎进行DPI检测,确定出处理该业务报文的处理动作,在运行于内核态的检测引擎恢复之后,不需要对该业务报文再次进行DPI检测,按照运行于内核态的检测引擎确定的处理动作处理业务报文即可,可有效提高网络的安全性。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种处理业务报文的方法流程图;图2为本专利技术实施例提供的一种处理业务报文的方法流程图;图3为本专利技术实施例提供的一种处理业务报文的装置的结构示意图;图4为本专利技术实施例提供的一种处理业务报文的装置的结构示意图;图5为本专利技术实施例提供的一种处理业务报文的装置的结构示意图;图6为本专利技术实施例提供的一种处理业务报文的装置的结构示意图;图7为本专利技术实施例提供的一种安全设备的结构示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。本专利技术实施例提供了一种处理业务报文的方法,该方法应用于安全设备中,安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎。如图1所示,该方法的处理过程可以包括以下步骤:步骤101,接收待检测的业务报文。步骤102,当第一检测引擎不可用时,利用第二检测引擎对业务报文进行深度报文检测DPI检测,确定业务报文对应的处理动作。步骤103,如果在预设时长内检测到第一检测引擎可用,利用第一检测引擎根据第二检测引擎确定出的处理动作对业务报文进行安全控制处理。基于上述处理,在出现主备倒换或规则库升级等需要规则库重新下发至内核的情况时,即使运行于内核态的第一检测引擎不可用,也可以利用运行于用户态的第二检测引擎进行DPI检测,提高了网络的安全性。本专利技术实施例提供了一种处理业务报文的方法,该方法可以应用于安全设备,安全设备可以是具有DPI检测功能的设备,比如防火墙设备、网关设备等。安全设备中可以配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎。安全设备中存储有第一规则库,第一规则库可以采用现有技术中的规则库,安全设备可以将第一规则库中的规则进行编译下发到本地的内核(即CPU(CentralProcessingUnit,中央处理器))中,得到运行于内核态的第一检测引擎。安全设备中还可以存储第二规则库,第二规则可以是依据第一规则库筛选出的简易规则库,可由技术人员定期上传更新,也即,第二规则库包含的规则为第一规则库包含的特征项的子集。这样,第二规则库所占的存储空间较小,可以降低内存占用率。第二规则库可以存储于用户态存储空间,第二规则库无需下发到本地的内核中。第二规则库及其相关的匹配检测代码程序可构成第二检测引擎。如图2所示,该方法的处理过程可以如下:步骤201,接收待检测的业务报文。在实施中,安全设备可以接收其他设备发送的业务报文,该其他设备可以是用户设备,也可以是网络设备。安全设备接收到业务报文后,可以对业务报文进行缓存,进本文档来自技高网...
【技术保护点】
一种处理业务报文的方法,其特征在于,所述方法应用于安全设备,所述安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,所述方法包括:接收待检测的业务报文;当所述第一检测引擎不可用时,利用所述第二检测引擎对所述业务报文进行深度报文检测DPI检测,确定所述业务报文对应的处理动作;如果在预设时长内检测到所述第一检测引擎可用,利用所述第一检测引擎根据所述第二检测引擎确定出的处理动作对所述业务报文进行安全控制处理。
【技术特征摘要】
1.一种处理业务报文的方法,其特征在于,所述方法应用于安全设备,所述安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,所述方法包括:接收待检测的业务报文;当所述第一检测引擎不可用时,利用所述第二检测引擎对所述业务报文进行深度报文检测DPI检测,确定所述业务报文对应的处理动作;如果在预设时长内检测到所述第一检测引擎可用,利用所述第一检测引擎根据所述第二检测引擎确定出的处理动作对所述业务报文进行安全控制处理。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:当所述第一检测引擎可用时,利用所述第一检测引擎对所述业务报文进行DPI检测,确定所述业务报文对应的处理动作;利用所述第一检测引擎根据确定出的处理动作对所述业务报文进行安全控制处理。3.根据权利要求1所述的方法,其特征在于,所述利用所述第二检测引擎对所述业务报文进行DPI检测之前,还包括:将所述业务报文复制到所述用户态存储空间。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:如果在所述预设时长内未检测到所述第一检测引擎可用,则根据所述业务报文的目的地址,对所述业务报文进行转发处理。5.一种处理业务报文的装置,其特征在于,所述装置应用于安全设备,所述安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎...
【专利技术属性】
技术研发人员:李金英,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。