[发明专利]一种报文处理方法及装置

权利要求书

1.一种报文处理方法，其特征在于，应用于深度报文检测设备中，所述方法包括：

接收SYN报文；

利用PBAR识别所述SYN报文所属的第一应用；

将所述第一应用记录为利用所述SYN报文建立的会话对应的应用，且标记为无效；

接收业务报文；

若所述业务报文所属的会话对应的应用标记为无效，则利用NBAR识别所述业务报文所属的第二应用；

在所述第二应用为预设的指定应用时，对基于所述业务报文所属的会话发送的业务报文进行数据过滤。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

将所述第二应用记录于所述业务报文所属的会话的会话信息中的应用字段。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

将所述第一应用记录于利用所述SYN报文建立的会话的会话信息中的应用字段包括的第一字段。

4.根据权利要求1所述的方法，其特征在于，将所述第一应用记录为利用所述SYN报文建立的会话对应的应用，且标记为无效，包括：

将所述第一应用记录为利用所述SYN报文建立的会话对应的应用，且标记为有效；

在将所述第一应用记录于利用所述SYN报文建立的会话的会话信息中的应用字段包括的第一字段后，将所述标记修改为无效。

5.根据权利要求1、3、4任一所述的方法，其特征在于，所述方法还包括：

将所述第二应用记录于所述业务报文所属的会话的会话信息中的应用字段包括的第二字段。

6.一种报文处理装置，其特征在于，应用于深度报文检测设备中，所述装置包括：

第一接收单元，用于接收SYN报文；

第一识别单元，用于利用PBAR识别所述SYN报文所属的第一应用；

第一记录单元，用于将所述第一应用记录为利用所述SYN报文建立的会话对应的应用，且标记为无效；

第二接收单元，用于接收业务报文；

第二识别单元，用于若所述业务报文所属的会话对应的应用标记为无效，则利用NBAR识别所述业务报文所属的第二应用；

过滤单元，用于在所述第二应用为预设的指定应用时，对基于所述业务报文所属的会话发送的业务报文进行数据过滤。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

第二记录单元，用于将所述第二应用记录于所述业务报文所属的会话的会话信息中的应用字段。

8.根据权利要求6所述的装置，其特征在于，所述第一记录单元还用于：

将所述第一应用记录于利用所述SYN报文建立的会话的会话信息中的应用字段包括的第一字段。

9.根据权利要求6所述的装置，其特征在于，所述第一记录单元具体用于：

将所述第一应用记录为利用所述SYN报文建立的会话对应的应用，且标记为有效；

在将所述第一应用记录于利用所述SYN报文建立的会话的会话信息中的应用字段包括的第一字段后，将所述标记修改为无效。

10.根据权利要求6、8、9任一所述的装置，其特征在于，所述第一记录单元还用于：

将所述第二应用记录于所述业务报文所属的会话的会话信息中的应用字段包括的第二字段。