報文處理裝置及方法
【專利摘要】本發(fā)明公開了一種報文處理裝置及方法，屬于計算機領(lǐng)域，所述方法包括：將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配，得到匹配結(jié)果，所述匹配結(jié)果包含所述待處理報文需要進行的至少一種業(yè)務(wù)處理的標識；根據(jù)所述匹配結(jié)果包含的所述報文需要進行的至少一種業(yè)務(wù)處理的標識，對所述報文進行相應的業(yè)務(wù)檢測，得到檢測結(jié)果；根據(jù)所述檢測結(jié)果，對所述報文執(zhí)行相應的處理。本發(fā)明實施例待處理報文的負載與多模狀態(tài)機進行一次模式匹配即可，無需多種業(yè)務(wù)處理逐一進行模式匹配，從而能夠提高報文處理效率。
【專利說明】報文處理裝置及方法

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機領(lǐng)域，尤其涉及一種報文處理裝置及方法。

【背景技術(shù)】
[0002]網(wǎng)關(guān)設(shè)備是一種具有轉(zhuǎn)換功能的設(shè)備，網(wǎng)關(guān)設(shè)備在網(wǎng)絡(luò)層以上實現(xiàn)網(wǎng)絡(luò)互連，是網(wǎng)絡(luò)互連設(shè)備，網(wǎng)關(guān)設(shè)備既可以用于廣域網(wǎng)互連，也可以用于局域網(wǎng)互連。
[0003]網(wǎng)關(guān)設(shè)備，比如UTM(Unified Threat Management,安全網(wǎng)關(guān))，下一代防火墻，其主要功能是對應用業(yè)務(wù)做防護，比如IPS(Intrus1n Protect1n System,入侵防御系統(tǒng))、數(shù)據(jù)防護、URL (Uniform Resource Locator,統(tǒng)一資源定位符)過濾等。這些功能相互獨立，檢查報文時，報文依次經(jīng)過各個功能模塊，對報文負載進行多次檢查，影響報文處理效率。


【發(fā)明內(nèi)容】

[0004]本發(fā)明實施例提供一種報文處理裝置及方法，能夠提高報文處理效率。
[0005]本發(fā)明實施例采用如下技術(shù)方案:
[0006]一種報文處理裝置，包括:
[0007]匹配模塊，用于將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配，得到匹配結(jié)果，所述匹配結(jié)果包含所述待處理報文需要進行的至少一種業(yè)務(wù)處理的標識。
[0008]檢測模塊，用于根據(jù)所述匹配結(jié)果包含的所述待處理報文需要進行的至少一種業(yè)務(wù)處理的標識，對所述待處理報文進行相應的業(yè)務(wù)檢測，得到檢測結(jié)果。
[0009]處理模塊，用于根據(jù)所述檢測結(jié)果，對所述待處理報文執(zhí)行相應的處理。
[0010]可選的，所述測模塊包括以下至少一種子模塊:
[0011 ] 協(xié)議識別子模塊，用于識別所述待處理報文所應用的協(xié)議。
[0012]入侵防護子模塊，用于對所述待處理報文進行入侵防護檢測。
[0013]防病毒子模塊，用于對所述待處理報文進行病毒檢測。
[0014]文件控制子模塊，用于對所述待處理報文進行文件控制。
[0015]URL過濾模塊子模塊，用于對所述待處理報文進行URL過濾。
[0016]數(shù)據(jù)防護子模塊，用于對所述待處理報文進行數(shù)據(jù)防護檢測。
[0017]可選的，上述報文處理裝置還包括:
[0018]記錄模塊,用于記錄所述檢測結(jié)果。
[0019]可選的，上述報文處理裝置還包括:
[0020]報文重組模塊，用于對亂序的報文進行重新排序，得到正序的報文。
[0021]協(xié)議預處理模塊，用于按預存的協(xié)議對所述正序的報文進行處理，得到所述待處理報文。
[0022]可選的，上述報文處理裝置還包括:
[0023]匹配模塊，用于根據(jù)預存的配置信息，對所述正序的報文進行匹配驗證，將通過匹配驗證的報文發(fā)送至所述協(xié)議預處理模塊。
[0024]可選的，所述配置信息包括以下至少一種:用戶ID、源地址、源區(qū)域ID、目的地址、目的區(qū)域、協(xié)議類型。
[0025]一種報文處理方法,包括:
[0026]將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配，得到匹配結(jié)果，所述匹配結(jié)果包含所述待處理報文需要進行的至少一種業(yè)務(wù)處理的標識；
[0027]根據(jù)所述匹配結(jié)果包含的所述報文需要進行的至少一種業(yè)務(wù)處理的標識，對所述報文進行相應的業(yè)務(wù)檢測，得到檢測結(jié)果；
[0028]根據(jù)所述檢測結(jié)果，對所述報文執(zhí)行相應的處理。
[0029]可選的，所述根據(jù)所述檢測結(jié)果，對所述報文執(zhí)行相應的處理之前，還包括:
[0030]記錄所述檢測結(jié)果。
[0031]可選的，所述將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配之前，還包括:
[0032]對亂序的報文進行重新排序，得到正序的報文；
[0033]按預存的協(xié)議對所述正序的報文進行處理，得到所述待處理報文。
[0034]可選的，所述按預存的協(xié)議對所述正序的報文進行處理，得到所述待處理報文包括:
[0035]根據(jù)預存的配置信息，對所述正序的報文進行匹配驗證，將通過匹配驗證的報文按預存的協(xié)議對所述正序的報文進行處理，得到所述待處理報文。
[0036]基于上述技術(shù)方案，本發(fā)明實施例的報文處理裝置機方法，多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識，將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配，得到匹配結(jié)果，根據(jù)匹配結(jié)果包含的報文需要進行的至少一種業(yè)務(wù)處理的標識，對報文進行相應的業(yè)務(wù)檢測，得到檢測結(jié)果，根據(jù)檢測結(jié)果，對報文執(zhí)行相應的處理，待處理報文的負載與多模狀態(tài)機進行一次模式匹配即可，無需多種業(yè)務(wù)處理逐一進行模式匹配，從而能夠提高報文處理效率。

【專利附圖】

【附圖說明】
[0037]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0038]圖1為本發(fā)明實施例的報文處理裝置的結(jié)構(gòu)示意圖之一；
[0039]圖2為本發(fā)明實施例的報文處理裝置的結(jié)構(gòu)示意圖之二 ；
[0040]圖3為本發(fā)明實施例的報文處理方法的流程圖之一；
[0041]圖4為本發(fā)明實施例的報文處理方法的流程圖之二。

【具體實施方式】
[0042]為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。
[0043]本發(fā)明實施例可以應用于下一代防火墻裝置。
[0044]如圖1所示，本發(fā)明實施例提供一種報文處理裝置，包括:
[0045]匹配模塊11，用于將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配，得到匹配結(jié)果，所述匹配結(jié)果包含所述待處理報文需要進行的至少一種業(yè)務(wù)處理的標識。
[0046]具體的，該多模狀態(tài)機可以存儲各應用層業(yè)務(wù)的標識(如字符串)，便于匹配模塊11進行模式匹配，得到匹配結(jié)果。
[0047]檢測模塊12，用于根據(jù)所述匹配結(jié)果包含的所述待處理報文需要進行的至少一種業(yè)務(wù)處理的標識，對所述待處理報文進行相應的業(yè)務(wù)檢測，得到檢測結(jié)果。
[0048]具體的，檢測模塊12業(yè)務(wù)處理的標識定位到相應的業(yè)務(wù)處理子模塊，進行相應的業(yè)務(wù)處理。
[0049]處理模塊13，用于根據(jù)所述檢測結(jié)果，對所述待處理報文執(zhí)行相應的處理。
[0050]具體的，每種業(yè)務(wù)處理對應有各自的處理動作，如果觸發(fā)了各業(yè)務(wù)處理的事件，可以直接通過配置的動作，如放行或阻斷報文的操作。
[0051]本發(fā)明實施例的報文處理裝置，多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識，將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配，得到匹配結(jié)果，根據(jù)匹配結(jié)果包含的報文需要進行的至少一種業(yè)務(wù)處理的標識，對報文進行相應的業(yè)務(wù)檢測，得到檢測結(jié)果，根據(jù)檢測結(jié)果，對報文執(zhí)行相應的處理，待處理報文的負載與多模狀態(tài)機進行一次模式匹配即可，無需多種業(yè)務(wù)處理逐一進行模式匹配，從而能夠提高報文處理效率。
[0052]如圖2所示，所述測模塊12包括以下至少一種子模塊:
[0053]協(xié)議識別子模塊121，用于識別所述待處理報文所應用的協(xié)議。
[0054]例如，識別能夠通過下一代防火墻設(shè)備的報文協(xié)議。
[0055]入侵防護子模塊122，用于對所述待處理報文進行入侵防護檢測。
[0056]例如，檢測各種脆弱性漏洞。
[0057]防病毒子模塊123，用于對所述待處理報文進行病毒檢測。
[0058]具體的，可以基于報文流對所述待處理報文進行病毒檢測。
[0059]文件控制子模塊124，用于對所述待處理報文進行文件控制。
[0060]具體的，可以根據(jù)用戶配置對指定的文件類型進行控制，從而有效對經(jīng)過防火墻傳輸?shù)奈募M行識別，并對是否讓其通過進行有效的控制。本發(fā)明實施例通過與協(xié)議識別的聯(lián)動進行文件類型識別，這樣，即使傳輸文件的后綴名被修改了，也能進行有效的識別。
[0061]URL過濾模塊子模塊125，用于對所述待處理報文進行URL過濾。
[0062]例如，用戶預先配置URL白名單和黑名單，HTTP請求報文經(jīng)過URL過濾模塊子模塊125時，如果所請求的在白名單中，就放行，如果在黑名單中，就阻斷。為提高URL匹配效率，本發(fā)明實施例將用戶配置的黑白名單的URL列表編譯到多模匹配狀態(tài)機中，以提升吞吐性倉泛。
[0063]數(shù)據(jù)防護子模塊126，用于對所述待處理報文進行數(shù)據(jù)防護檢測。
[0064]例如，根據(jù)用戶配置對關(guān)鍵字進行控制，比對用戶配置的關(guān)鍵字與報文負載，從而實現(xiàn)數(shù)據(jù)防護檢測。為提高數(shù)據(jù)防護匹配效率，本發(fā)明實施例將用戶配置的關(guān)鍵字編譯到多模匹配狀態(tài)機種，以提高吞吐性能。
[0065]如圖2所示，本發(fā)明實施例的報文處理裝置還包括:
[0066]記錄模塊14，用于記錄所述檢測結(jié)果。
[0067]具體的，檢測模塊12進行應用處理檢測后，應用層業(yè)務(wù)檢查到相應的事件后，記錄模塊14記錄其業(yè)務(wù)事件，將其存儲到數(shù)據(jù)庫中，并與后續(xù)進行業(yè)務(wù)處理統(tǒng)計。
[0068]如圖2所示，本發(fā)明實施例的報文處理裝置還包括:
[0069]報文重組模塊15，用于對亂序的報文進行重新排序，得到正序的報文。
[0070]報文重組模塊15完成對亂序的報文重新排序的任務(wù)，然后將正序的報文送到后續(xù)模塊繼續(xù)處理，該模塊的使得后面的模式匹配完成跨包檢測成為現(xiàn)實。
[0071]協(xié)議預處理模塊16，用于按預存的協(xié)議對所述正序的報文進行處理，得到所述待處理報文。
[0072]協(xié)議預處理模塊包括對傳統(tǒng)協(xié)議做預處理，比如HTTP、FTP、SMTP、SSL等協(xié)議，這些預處理是為完成后續(xù)的應用層防護業(yè)務(wù)做準備的；比如HTTP預處理器，它將詳細的解析出HTTP頭域的URL、REFERER等各個域字段信息。
[0073]如圖2所示，本發(fā)明實施例的報文處理裝置還包括:
[0074]匹配模塊17，用于根據(jù)預存的配置信息，對所述正序的報文進行匹配驗證，將通過匹配驗證的報文發(fā)送至所述協(xié)議預處理模塊。
[0075]具體的，所述配置信息包括以下至少一種:用戶ID (身份標識碼)、源地址、源區(qū)域ID、目的地址、目的區(qū)域、協(xié)議類型。
[0076]本發(fā)明實施例基于用戶、源地址、源區(qū)域、目的地址、目的區(qū)域、協(xié)議的，當用戶配置的這些匹配元素都時，執(zhí)行后續(xù)的應用層防護業(yè)務(wù)，比如IPS、AV等。策略匹配通常是在會話的慢轉(zhuǎn)報文里完成，即會話的前幾個報文，一旦會話匹配上策略，后續(xù)報文就走快轉(zhuǎn)，不在做策略匹配，從而提高報文處理效率。
[0077]需要說明的是，本發(fā)明實施例中各個模塊的編號僅為區(qū)分不同的模塊，并不限定各個模塊的鏈接順序。
[0078]本發(fā)明實施例的報文處理裝置，多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識，將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配，得到匹配結(jié)果，根據(jù)匹配結(jié)果包含的報文需要進行的至少一種業(yè)務(wù)處理的標識，對報文進行相應的業(yè)務(wù)檢測，得到檢測結(jié)果，根據(jù)檢測結(jié)果，對報文執(zhí)行相應的處理，待處理報文的負載與多模狀態(tài)機進行一次模式匹配即可，無需多種業(yè)務(wù)處理逐一進行模式匹配，從而能夠提高報文處理效率。
[0079]與本發(fā)明實施例的報文處理裝置相對應，本發(fā)明實施例還提供一種報文處理方法,如圖3所示,該方法包括:
[0080]31、將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配，得到匹配結(jié)果，所述匹配結(jié)果包含所述待處理報文需要進行的至少一種業(yè)務(wù)處理的標識；
[0081]32、根據(jù)所述匹配結(jié)果包含的所述報文需要進行的至少一種業(yè)務(wù)處理的標識，對所述報文進行相應的業(yè)務(wù)檢測，得到檢測結(jié)果；
[0082]33、根據(jù)所述檢測結(jié)果，對所述報文執(zhí)行相應的處理。
[0083]如圖4所示，所述根據(jù)所述檢測結(jié)果，對所述報文執(zhí)行相應的處理之前，還包括:
[0084]34、記錄所述檢測結(jié)果。
[0085]如圖4所示，所述將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配之前，還包括:
[0086]35、對亂序的報文進行重新排序，得到正序的報文；
[0087]36、按預存的協(xié)議對所述正序的報文進行處理，得到所述待處理報文。
[0088]具體的，所述按預存的協(xié)議對所述正序的報文進行處理，得到所述待處理報文包括:
[0089]根據(jù)預存的配置信息，對所述正序的報文進行匹配驗證，將通過匹配驗證的報文按預存的協(xié)議對所述正序的報文進行處理，得到所述待處理報文。
[0090]本發(fā)明實施例的報文處理方法可以通過本發(fā)明實施例的報文處理裝置實現(xiàn)，本發(fā)明實施例的方法僅為簡要描述，詳細實現(xiàn)過程，請參閱上述報文處理裝置實施例，此處不贅述。
[0091]本發(fā)明實施例的報文處理方法，多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識，將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配，得到匹配結(jié)果，根據(jù)匹配結(jié)果包含的報文需要進行的至少一種業(yè)務(wù)處理的標識，對報文進行相應的業(yè)務(wù)檢測，得到檢測結(jié)果，根據(jù)檢測結(jié)果，對報文執(zhí)行相應的處理，待處理報文的負載與多模狀態(tài)機進行一次模式匹配即可，無需多種業(yè)務(wù)處理逐一進行模式匹配，從而能夠提高報文處理效率。
[0092]本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
【權(quán)利要求】
1.一種報文處理裝置，其特征在于，包括: 匹配模塊，用于將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配，得到匹配結(jié)果，所述匹配結(jié)果包含所述待處理報文需要進行的至少一種業(yè)務(wù)處理的標識； 檢測模塊，用于根據(jù)所述匹配結(jié)果包含的所述待處理報文需要進行的至少一種業(yè)務(wù)處理的標識，對所述待處理報文進行相應的業(yè)務(wù)檢測，得到檢測結(jié)果； 處理模塊，用于根據(jù)所述檢測結(jié)果，對所述待處理報文執(zhí)行相應的處理。
2.根據(jù)權(quán)利要求1所述的裝置，其特征在于，還包括: 記錄模塊，用于記錄所述檢測結(jié)果。
3.根據(jù)權(quán)利要求1所述的裝置，其特征在于，還包括: 報文重組模塊，用于對亂序的報文進行重新排序，得到正序的報文； 協(xié)議預處理模塊，用于按預存的協(xié)議對所述正序的報文進行處理，得到所述待處理報文。
4.根據(jù)權(quán)利要求3所述的裝置，其特征在于，還包括: 匹配模塊，用于根據(jù)預存的配置信息，對所述正序的報文進行匹配驗證，將通過匹配驗證的報文發(fā)送至所述協(xié)議預處理模塊。
5.根據(jù)權(quán)利要求4所述的裝置，其特征在于，所述配置信息包括以下至少一種: 用戶身份標識碼ID、源地址、源區(qū)域ID、目的地址、目的區(qū)域、協(xié)議類型。
6.根據(jù)權(quán)利要求1所述的裝置，其特征在于，所述檢測模塊包括以下至少一種子模塊: 協(xié)議識別子模塊，用于識別所述待處理報文所應用的協(xié)議； 入侵防護子模塊，用于對所述待處理報文進行入侵防護檢測； 防病毒子模塊，用于對所述待處理報文進行病毒檢測； 文件控制子模塊，用于對所述待處理報文進行文件控制； 統(tǒng)一資源定位符URL過濾模塊子模塊，用于對所述待處理報文進行URL過濾； 數(shù)據(jù)防護子模塊，用于對所述待處理報文進行數(shù)據(jù)防護檢測。
7.—種報文處理方法,其特征在于,包括: 將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配，得到匹配結(jié)果，所述匹配結(jié)果包含所述待處理報文需要進行的至少一種業(yè)務(wù)處理的標識； 根據(jù)所述匹配結(jié)果包含的所述報文需要進行的至少一種業(yè)務(wù)處理的標識，對所述報文進行相應的業(yè)務(wù)檢測，得到檢測結(jié)果； 根據(jù)所述檢測結(jié)果，對所述報文執(zhí)行相應的處理。
8.根據(jù)權(quán)利要求7所述的方法，其特征在于，所述根據(jù)所述檢測結(jié)果，對所述報文執(zhí)行相應的處理之前，還包括: 記錄所述檢測結(jié)果。
9.根據(jù)權(quán)利要求7所述的方法，其特征在于，所述將待處理報文攜帶的報文負載與多模狀態(tài)機存儲的至少一種處理業(yè)務(wù)的標識進行模式匹配之前，還包括: 對亂序的報文進行重新排序，得到正序的報文； 按預存的協(xié)議對所述正序的報文進行處理，得到所述待處理報文。
10.根據(jù)權(quán)利要求9所述的方法，其特征在于，所述按預存的協(xié)議對所述正序的報文進行處理，得到所述待處理報文包括: 根據(jù)預存的配置信息，對所述正序的報文進行匹配驗證，將通過匹配驗證的報文按預存的協(xié)議對所述正序的報文進行處理，得到所述待處理報文。
【文檔編號】H04L29/06GK104202206SQ201410359678
【公開日】2014年12月10日 申請日期:2014年7月25日 優(yōu)先權(quán)日:2014年7月25日
【發(fā)明者】胡波 申請人:漢柏科技有限公司