[发明专利]报文处理方法、装置、设备和存储介质

说明书

本公开提供了一种报文处理方法、装置、设备和存储介质，属于网络安全技术领域。该方法包括：基于报文的五元组确定索引值；基于索引值与内存块的地址之间的映射关系，确定与所述索引值对应的目标内存块的地址；基于所述目标内存块的地址，在所述目标内存块中查找第一目标安全策略，所述第一目标安全策略包括目标五元组和对应的处理动作，所述目标五元组与所述报文的五元组相匹配；响应于在所述目标内存块内查找到所述第一目标安全策略，根据所述第一目标安全策略中的处理动作，对所述报文进行处理。本公开能够提高安全策略的匹配速度。

技术领域

本公开涉及网络安全技术领域，特别涉及一种报文处理方法、装置、设备和存储介质。

背景技术

网络通信设备接入互联网时，为了抵抗网络攻击，通常需要在网络的出入口部署网络安全设备。网络安全设备根据配置的安全策略，对进入和发出的报文进行处理，以实现访问控制。

相关技术中，安全策略采用链表的形式存储在网络安全设备中。当网络安全设备接收到报文后，需要基于报文的五元组，与链表中的安全策略逐条进行匹配，直至匹配到目标安全策略。然后根据目标安全策略中的处理动作，对报文进行处理。

随着网络安全设备保护的计算机终端的数量越多，网络安全设备中配置的安全策略的数量也越来越多。逐条匹配安全策略的方式效率较低，将影响网络安全设备对报文的处理性能。

发明内容

本公开实施例提供了一种报文处理方法、装置、设备和存储介质，能够提高安全策略的匹配速度。所述技术方案如下：

一方面，提供了一种报文处理方法，所述方法包括：基于报文的五元组确定索引值；基于索引值与内存块的地址之间的映射关系，确定与所述索引值对应的目标内存块的地址；基于所述目标内存块的地址，在所述目标内存块中查找第一目标安全策略，所述第一目标安全策略包括目标五元组和对应的处理动作，所述目标五元组与所述报文的五元组相匹配；响应于在所述目标内存块内查找到所述第一目标安全策略，根据所述第一目标安全策略中的处理动作，对所述报文进行处理。

可选地，所述基于报文的五元组确定索引值，包括：采用CRC算法计算所述报文的五元组的哈希值；将哈希值中的设定位置的连续N比特，作为所述索引值，其中，N为整数且N大于1。

可选地，所述基于所述目标内存块的地址，在所述目标内存块中查找第一目标安全策略，包括：基于设定的安全策略需要的存储空间大小，以所述目标内存块的地址为首地址，按照存储顺序依次将所述目标内存块中存储的安全策略与所述报文的五元组进行匹配。

可选地，所述存储空间大小为16字节，所述目标内存块的大小为16*M字节，其中，M为整数且M不小于4。

可选地，所述方法还包括：响应于在所述目标内存块内未查找到所述第一目标安全策略，则从安全策略链表中查找第二目标安全策略，所述安全策略链表包括多条安全策略；基于查找到的第二目标安全策略，将对应的安全策略存储至所述目标内存块中。

可选地，所述CRC算法为CRC32，所述N等于16；或者，所述CRC算法为CRC16，所述N等于8。

另一方面，提供了一种报文处理装置，包括：第一确定模块、第二确定模块、查找模块和处理模块。第一确定模块用于基于报文的五元组确定索引值；第二确定模块用于基于索引值与内存块的地址之间的映射关系，确定与所述索引值对应的目标内存块的地址；查找模块用于基于所述目标内存块的地址，在所述目标内存块中查找第一目标安全策略，所述第一目标安全策略包括目标五元组和对应的处理动作，所述目标五元组与所述报文的五元组相匹配；处理模块用于响应于在所述目标内存块内查找到所述第一目标安全策略，根据所述第一目标安全策略中的处理动作，对所述报文进行处理。

可选地，所述第一确定模块，用于采用CRC算法计算所述报文的五元组的哈希值；将哈希值中的设定位置的连续N比特，作为所述索引值，其中，N为整数且N大于1。