[发明专利]报文特征的检测方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种报文特征的检测方法及装置。

背景技术

随着网络应用的快速发展，网络环境日益复杂，越来越多的来自于应用层 的安全威胁(如病毒、垃圾邮件、流氓软件等)对网络安全造成了巨大的影响。 因此，人们越来越多的关注报文第四层以上(特别是应用层)的安全网关设备 的网络安全问题。

在现有入侵检测、防病毒网关、反垃圾邮件网关等安全网关设备中，通常 采用基于攻击、病毒、垃圾邮件的内容特征来识别相应的攻击、病毒、垃圾邮 件等。这里所述的“识别”是通过模式匹配算法实现的。模式匹配是指，针对 一段待扫描的文本内容(对安全网关设备来说，针对的是一个报文的净荷部分)， 查看特征是否出现在待扫描的文本中。

假定病毒特征库中存在一条病毒特征“VirusString”，对于包含以下内容 的文件“This is a VirusFile with VirusString”，若文件的内容一次性送 入模式匹配引擎进行检测，按照模式匹配的方法，模式匹配引擎能够检测到病 毒特征“VirusString”。

但是在应用中，以病毒网关的病毒检测为例，由于网络最大传输单元的限 制，若传送某个文件，则需要将所述文件分割成若干个报文，利用所述的若干 个报文才能将所述文件发送到另一端的服务器上。另一端的服务器收到这些报 文后，根据一定的顺序将这些报文内容重新组合，还原成原来的文件。在这种 情况下，可能会造成病毒文件的病毒特征，跨越了两个或者多个报文。那么， 对于进行病毒检测的病毒网关等安全网关设备来说，其必须能够支持跨报文的 特征匹配，才能实现对跨报文的攻击的检测。

对于报文特征(如病毒特征等)跨报文的情况，即在传输时，将上述“This is a VirusFile with VirusString”文件分成三个报文传送，而其中一个报文 的分割刚好在“VirusString”位置发生。分割情况如下所示：

也即“VirusString”这一报文特征跨越了第二、第三两个报文。如果病毒 网关不支持跨报文的特征检测，则此报文特征就会被认为是合法流量。

为解决上述问题，现有技术中存在下述方案来解决报文特征跨报文时，对 报文特征的检测问题。

现有技术的方案，是将已检测过的报文内容缓存(缓存内容的大小取决于 最长的报文特征的长度)，在后续报文内容达到后，将缓存的报文内容跟新到达 的报文内容拷贝到一起，一起送入模式匹配引擎进行检测。检测完以后，再将 缓存的报文内容和新到达的报文内容一起，拷贝到缓存区进行缓存，等待下一 个报文到来。

那么，以分割成的文件“This is a VirusFile with VirusString”，报文特征为“VirusString”为例，模式匹 配引擎对收到的第一个报文进行检测。将与 “VirusString”进行模式匹配，匹配结果为未发现病毒特征，于是将第一个报 文拷贝到缓存中。等第二个报文送入的时候，与第一个报文 进行拼接，然后再对拼接后的报文进行检测。 模式匹配引擎检测后，仍未发现病毒特征，继续将缓存，等 待下一个报文。收到第三个报文后，跟进行 拼接，形成并将再次进行 检测。此时，模式匹配引擎检测到所述病毒特征，认为此文件为病毒文件。

分析现有技术一可知，当报文特征跨报文时，利用现有技术一的方案，需 要不断的将检测过的报文进行缓存，并将缓存的报文和接收到的下一个报文进 行拼接，再对拼接后的报文进行检测。然后，不断的重复“缓存-拼接-检测” 的过程。

在实现本发明的过程中，发明人发现在现有技术中至少存在如下的缺陷：

(1)由于在现有技术的技术方案中，需要不断的将匹配过的报文进行缓存， 以能够对后续的报文进行匹配。在对报文不断的缓存过程中，占用了大量的内 存空间。

(2)由于现有技术中每次只是发送一个或几个字节内容的报文，因此，若 已缓存100字节的报文内容，那么有一个新的报文内容到来，将缓存的报文内 容跟到来的报文内容拼接起来(此时为101个字节)送入模式匹配引擎进行检 测；检测完成后，网关安全设备转发第一个字节的内容，而后100字节继续缓 存。下一个字节报文达到时重复进行上述过程。这种情况下，可以看到，每检 测101个字节报文内容后，网络安全设备发送一个字节，相当于对报文中的每 个字节都进行了100次的模式匹配，网络安全设备的整体性能将数量级下降。