[发明专利]基于单次解析扫描的方法和装置

说明书

技术领域

本发明涉及到网络安全领域，尤其涉及到一种基于单次解析扫描的方法和装置。

背景技术

防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL(Access Control List，访问控制列表)、NAT(Network Address Translation，网络地址转换)策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。2009年10月Gartner提出的“Defining the Next-Generation Firewall”一文，重新定义了下一代防火墙。

IDC(Internet Data Center，互联网数据中心)提出“统一威胁管理”的概念，即将防病毒、入侵检测和防火墙安全设备划归UTM(Unified Threat Management，统一威胁管理)这一新类别。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中，该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。

NGAF中包含IPS(Internet Protocol Suite，互联网协议群)策略、WAF(Web Application Firewall，Web应用防护系统)策略、URL(Uniform/Universal Resource Locator，统一资源定位符)防护、应用识别、AV(Anti-Virus，防病毒)等业务，而这些业务无一例外涉及到特征码匹配操作。如图1所示，目前的作法是网络安全装置拦截数据流，将数据流与各业务模块所对应的特征码依次匹配，再依次进行业务处理，这种串行处理方法，使得网络安全装置需要一次性调用大量功能模块导致性能大大下降。

发明内容

本发明的主要目的为提供一种基于单次解析扫描的方法和装置，对所有网络安全装置的业务模块对应的特征码进行集中匹配，依次处理，提高网络安全装置的性能。

本发明一种基于单次解析扫描的方法，包括步骤：

网络安全装置接收数据包；

根据预设的特征码集匹配所述数据包，所述特征码集包括多个业务的特征码；

调用与所述数据包相匹配的特征码所属的业务对所述数据包进行业务处理。

优选地，所述根据预设的特征码集匹配所述数据包包括：

解析所述数据包，得到所述数据包的多个参数；

将各特征码与对应的参数进行比对；

当某一特征码与对应的参数比对一致时，将所述数据包打上该特征码所属业务的业务标记。

优选地，所述解析所述数据包包括：

根据所述数据包的协议特征解析所述数据包。

优选地，所述调用与所述数据包相匹配的特征码所属的业务对所述数据包进行业务处理包括：

根据所述数据包的业务标记，调用相应的业务依次对所述数据包进行业务处理。

优选地，在执行接收数据包之前，还包括：

将各业务需要识别的特征码分别打上对应的业务标记；

将所述打上业务标记的特征码编译成特征码集。

本发明还提出一种基于单次解析扫描的装置，包括：

接收模块，用于接收数据包；

匹配模块，用于根据预设的特征码集匹配所述数据包，所述特征码集包括多个业务的特征码；

调用模块，用于调用与所述数据包相匹配的特征码所属的业务对所述数据包进行业务处理。

优选地，所述匹配模块包括：

解析单元，用于解析所述数据包，得到所述数据包的多个参数；

比对单元，用于将各特征码与对应的参数进行比对；

第一标记单元，用于当某一特征码与对应的参数比对一致时，将所述数据包打上该特征码所属业务的业务标记。

优选地，所述解析单元具体用于根据所述数据包的协议特征解析所述数据包。

优选地，所述调用模块具体用于：

根据所述数据包的业务标记，调用相应的业务依次对所述数据包进行业务处理。

优选地，所述装置还包括：

设置模块，用于将各业务需要识别的特征码分别打上对应的业务标记；以及将所述打上业务标记的特征码编译成特征码集。