一种数据处理方法及装置与流程

本申请涉及通信技术领域，特别是涉及一种数据处理方法及装置。

背景技术：

文件过滤功能是基于应用层检测引擎而实现的一种深度报文检测技术，它是一种根据文件类型信息对经设备传输的文件进行过滤的安全防护机制。

目前，文件过滤功能采用以下方式实现：依据扩展名确定数据报文中文件的文件类型，进而依据文件类型匹配的特征规则处理数据报文。例如，限制内网用户向外网设备发送docx文件和pptx文件，若检测到数据报文中文件的扩展名为docx或pptx，则确定数据报文中文件的文件类型为docx文件或pptx文件，可以丢弃该数据报文中的文件，以限制docx文件或pptx文件发送外网设备。

文件的扩展名相对简单，以扩展名确定文件的文件类型是不准确的；另外，用户可以通过修改文件的扩展名来绕过安全检查，网络的安全性低。

技术实现要素：

本申请实施例的目的在于提供一种数据处理方法及装置，以提高文件类型识别的准确性，提高网络的安全性。具体技术方案如下：

第一方面，本申请实施例公开了一种数据处理方法，所述方法包括：

接收数据报文，所述数据报文包括数据内容；

确定目标数据内容，所述目标数据内容包括所述数据内容；

提取所述目标数据内容的前预设数据量的内容；

将提取的内容与预设特征码进行匹配，确定提取的内容包括的预设特征码；

根据预设特征码与文件类型的对应关系，确定提取的内容包括的预设特征码对应的文件类型，作为目标数据类型；

根据所述目标数据类型，对所述数据报文和其他数据报文进行处理，所述其他数据报文包括与所述数据内容属于同一原始数据包的其他数据内容。

第二方面，本申请实施例公开了一种数据处理装置，所述装置包括：

接收单元，用于接收数据报文，所述数据报文包括数据内容；

第一确定单元，用于确定目标数据内容，所述目标数据内容包括所述数据内容；

提取单元，用于提取所述目标数据内容的前预设数据量的内容；

匹配单元，用于将提取的内容与预设特征码进行匹配，确定提取的内容包括的预设特征码；

第二确定单元，用于根据预设特征码与文件类型的对应关系，确定提取的内容包括的预设特征码对应的文件类型，作为目标数据类型；

处理单元，用于根据所述目标数据类型，对所述数据报文和其他数据报文进行处理，所述其他数据报文包括与所述数据内容属于同一原始数据包的其他数据内容。

第三方面，本申请实施例公开了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使实现上述数据处理方法。

第四方面，本申请实施例公开了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现上述数据处理方法。

本申请实施例中，数据内容中包括文件特征信息，依据数据内容确定文件类型，而不是依据简单的扩展名确定文件类型，提高了文件类型识别的准确性，另外，数据内容为用户期望传递的信息，用户不会轻易修改数据内容，因此依据数据内容确定文件类型，进而处理数据报文，提高网络的安全性。当然，实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的数据处理方法的第一种流程示意图；

图2为本申请实施例提供的状态机的一种示意图；

图3为本申请实施例提供的数据处理方法的第二种流程示意图；

图4为本申请实施例提供的数据处理的场景示意图；

图5为本申请实施例提供的数据处理装置的一种结构示意图；

图6为本申请实施例提供的电子设备的一种结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

目前，主要依据扩展名确定数据报文中文件的文件类型，进而依据文件类型匹配的特征规则处理数据报文。文件的扩展名相对简单，以扩展名确定文件的文件类型是不准确的；另外，用户可以通过修改文件的扩展名来绕过安全检查，网络的安全性低。

为提高文件类型识别的准确性，提高网络的安全性，本申请实施例提供了一种数据处理方法及装置。该方法可以应用于防火墙设备、交换机、路由器等网络设备，本申请实施例对此不进行限定。

参考图1，图1为本申请实施例提供的数据处理方法的第一种流程示意图，该方法可以应用于安装有DPI(Deep Packet Inspection，深度包检测)功能的设备，例如防火墙设备等。

具体的，上述数据处理方法包括：

步骤101：接收数据报文；数据报文包括数据内容。

网络设备在发送数据报文时，数据报文携带的数据内容对应的原始数据包的数据类型可以为非文件类型，也可以是文件类型。

另外，若原始数据包的大小超过了链路所能支持的MTU(Maximum Transmission Unit，最大传输单元)，则网络设备将该原始数据包拆分为多个分包，每一分包封装在一个数据报文中发送给其他设备。此时，其他设备接收的数据报文中包括原始数据包的一部分数据内容。

若原始数据包的大小未超过链路所能支持的MTU，则网络设备将该原始数据包封装在一个数据报文中发送给其他设备。此时，其他设备接收的数据报文中包括一个完整的原始数据包。

本申请实施例中，若原始数据包被拆分为多个包，则接收的数据报文为该原始数据包对应的首包。

步骤102：确定目标数据内容。目标数据内容包括：数据报文包括的数据内容。

数据报文可以以不同的协议进行传输，在接收到数据报文后，先按照该数据报文的传输协议，对该数据报文进行解析，获得数据内容，进而根据解析获得的数据内容确定目标数据内容。

在本申请的一个实施例中，可以将数据报文包括的数据内容确定为目标数据内容。

在本申请的另一个实施例中，每一数据报文中携带数据内容的数据量大小是不确定的。为了避免了先接收的数据内容的数据量不足预设数据量，导致无法准确地确定数据类型的问题，可以先确定接收的数据报文包括的数据内容的数据量是否不小于预设数据量。

若确定数据内容的数据量不小于预设数据量，则可以直接将数据内容确定为目标数据内容。

若确定数据内容的数据量小于预设数据量，当接收到包括与数据报文包括的数据内容属于同一原始数据包的其他数据内容的其他数据报文时，将数据内容和其他数据内容确定为目标数据内容。也就是，目标数据内容除包括数据报文包括的数据内容外，还可以包括：至少一个其他数据报文包括的与数据内容属于同一原始数据包的其他数据内容。

为了保证快速的识别出数据类型，减少占用的存储空间，每一接收到一个其他数据报文，可以确定一次接收的数据报文包括的数据内容和其他数据报文包括的数据内容的数据量总和是否不小于预设数据量。若不小于预设数据量，则将数据内容和其他数据内容确定为目标数据内容；若小于预设数据量，则继续接收其他数据报文。

在本申请的一个实施例中，若数据内容的数据量小于预设数据量，可以启动一个定时器，若定时器超时前接收到包括与先接收数据报文包括的数据内容属于同一原始数据包的其他数据内容的其他数据报文，则将数据内容和其他数据内容确定为目标数据内容；若定时器超时后仍未接收到包括与先接收数据报文包括的数据内容属于同一原始数据包的其他数据内容的其他数据报文，则将接收的数据报文包括的数据内容确定为目标数据内容，避免一直存储目标数据内容，等待接收其他数据报文的问题，减少占用设备的存储空间，降低对数据处理的影响。

例如，预设数据量为Q。原始数据包X被拆分为5个包，即原始数据包X被拆分为5部分数据内容，这5部分数据内容分别封装在5个数据报文中，这5个数据报文包括报文1、报文2、报文3、报文4和报文5。

当网络设备接收到报文1后，若确定报文1包括的数据内容的数据量不小于Q，则将报文1包括的数据内容确定为目标数据内容。

若确定报文1包括的数据内容的数据量小于Q，则启动定时器，等待接收其他数据报文。

若定时器超时，则将报文1包括的数据内容确定为目标数据内容。

若在定时器超时前网络设备接收到报文2，确定报文1包括的数据内容和报文2包括的数据内容的数据量总和是否不小于Q。

若确定报文1包括的数据内容和报文2包括的数据内容的数据量总和不小于Q，将报文1包括的数据内容和报文2包括的数据内容确定为目标数据内容。

若确定报文1包括的数据内容和报文2包括的数据内容的数据量总和小于Q，重置启动定时器，继续等待接收其他数据报文。

若定时器超时，则将报文1包括的数据内容和报文2包括的数据内容确定为目标数据内容。

若在定时器超时前网络设备接收到报文3，则确定报文1包括的数据内容、报文2包括的数据内容和报文3包括的数据内容的数据量总和是否不小于Q。具体地可参考接收到报文2时的操作。

步骤103：提取目标数据内容的前预设数据量的内容。

这里，预设数据量可以根据经验值进行设定，预设数据量也可以综合考虑确定数据类型的准确率、确定数据类型的效率来进行设定。例如，从数据内容的前12字节中提取特征码，能够确定文件类型的准确率高达90％，因此可以设置预设数据量为12字节。

本申请实施例中，提取目标数据内容的前预设数据量的内容来确定文件类型，也就是只需要缓存预设数据量的内容，而不需要缓存全部目标数据内容，不需要缓存同一原始数据包的全部数据内容，节约了存储空间。另外，依据目标数据内容的预设数据量的内容确定文件类型，而不是依据全部的目标数据内容确定文件类型，也不是依据同一原始数据包的全部数据内容确定文件类型，有效提高了文件识别效率。

步骤104：将提取的内容与预设特征码进行匹配，确定提取的内容包括的预设特征码。

这里，特征码为数据内容的特征字段，预设特征码可以包括针对不同类型文件的特征码，例如，针对压缩文件的特征码“rar”，针对docx文件的特征码“PK[Content_types].xml”等。

步骤105：根据预设特征码与文件类型的对应关系，确定提取的内容包括的预设特征码对应的文件类型，作为目标数据类型。

在本申请的一个实施例中，为了便于确定文件类型，可以将文件分为多种类型，分别确定每一类文件的特征码，文件类型可以包括：

(1)基础类文件：文件内容头部带有明显的特征码；例如，压缩文件；

(2)通用类文件：文件内容头部带有通用特征码；例如，docx、pptx文件；这里，这类文件通过头部的特征码无法准确确定文件类型，还需要检测其他字段的内容来确定文件类型；

(3)脚本类文件：该类文件在数据传输过程中，协议载荷内容通常为程序本身内容，在文件识别上可以考虑程序本身语言的风格及特定程序关键字段或者代码字段，根据上述综合特征字段确定文件的具体类型，例如，perl脚本文件；

(4)未知文件类：该类文件没有明确特征，在处理的时候需要隔离出来单独进行处理。常见的这类文件有：图片类文件、音频类文件、WIN可执行文件、Linux可执行文件等。

对每一类文件提取特征码后，存储该类文件的特征码与该类文件的文件类型的对应关系，进而依据特征码与文件类型的对应关系，推导提取的内容匹配的预设特征码匹配的特征规则，确定接收的数据内容的文件类型。

步骤106：根据目标数据类型，对数据报文和其他数据报文进行处理。其他数据报文包括与数据报文包括的数据内容属于同一原始数据包的其他数据内容。

这里，对数据报文和其他数据报文进行处理可以为：将数据报文和其他数据报文输入深度包检测引擎中进行检测处理。

在本申请的一个实施例中，若确定目标数据类型为压缩文件，则说明该目标数据内容中嵌套有其他文件，对目标数据内容解压缩，提取解压缩得到的内容的前预设数据量的内容，继续执行步骤104。

这里，为了快速识别文件的类型，可以仅对从目标数据内容中提取的内容解压缩，之后，重新执行步骤105。

若确定目标数据类型不是压缩文件，再根据目标数据类型，对数据报文和其他数据报文进行处理。

在本申请的一个实施例中，若提取的内容与预设特征码进行匹配后，确定提取的内容不包括的预设特征码，则可以确定目标数据内容是非文件内容，目标数据内容为非文件类型，进而将非文件类型作为目标数据类型，进而根据目标数据类型，对数据报文和其他数据报文进行处理。

例如，预设规则为：禁止传输docx、pptx文件，放行非文件和其他类型的文件。数据报文包括的数据内容Y，若确定数据内容Y的目标数据类型为pptx文件类型，则丢弃数据报文和包括与数据内容Y属于同一原始数据包的其他数据内容的其他数据报文；若确定目标数据类型为非文件类型，则放行数据报文和包括与数据内容Y属于同一原始数据包的其他数据内容的其他数据报文。

在本申请的一个实施例中，为了便于确定数据类型，处理数据报文，参考图2所示的状态机，依据该状态机进行数据类型识别和处理数据报文。

其中，当状态机处于INIT(Initial，初始)状态时，对接收的数据报文进行解析获取数据内容，并提取数据内容的前预设数据量的内容；之后，转入MNMatch(MN算法匹配)状态。其中，MN算法为一种轻量级的AC(Aho-Corasick)算法。

当状态机处于MNMatch状态时，将提取的内容与预设特征码进行匹配；若匹配之后没有预设特征码与提取的内容匹配，确定数据内容的文件类型为非文件类型，依据非文件类型对数据报文和包括与数据内容属于同一原始数据包的其他数据内容的其他数据报文进行处理，转入FINI(Finish，结束)状态；若匹配之后有预设特征码与提取的内容匹配，转入Sigdeduce(Signature deduce，特征推导)状态。

当状态机处于Sigdeduce状态时，推导提取的内容匹配的预设特征码匹配的特征规则，确定数据内容的文件类型；若确定了数据内容的文件类型，依据确定文件类型对数据报文和包括与数据内容属于同一原始数据包的其他数据内容的其他数据报文进行处理，转入Fileproc(File process，文件处理)状态；若推导未完成，状态机的状态不变，等待下一数据报文到来时继续推导；若推导失败，确定数据内容的文件类型为非文件类型，依据非文件类型对数据报文和包括与数据内容属于同一原始数据包的其他数据内容的其他数据报文进行处理，转入FINI状态。

当状态机处于Fileproc状态时，根据确定的文件类型调用文件的回调函数，将数据报文和包括与数据内容属于同一原始数据包的其他数据内容的其他数据报文输入对应的业务模块进行处理。在原始数据包没有结束前，状态机处于Fileproc状态。当原始数据包结束时，转入FINI状态。

业务模块包括AV(anti-virus，防病毒)模块、IPS(Intrusion Prevention System，入侵防御系统)模块、FW(Fire Wall，防火墙)模块等。

当状态机处于FINI状态时，结束数据处理。

应用本申请实施例，数据内容中包括文件特征信息，依据数据内容确定文件类型，而不是依据简单的扩展名确定文件类型，提高了文件类型识别的准确性，另外，数据内容为用户期望传递的信息，用户不会轻易修改数据内容，因此依据数据内容确定文件类型，进而处理数据报文，提高网络的安全性。

在本申请的一个实施例中，参考图3所示的数据处理方法的第二种流程示意图，基于图1，该方法包括：

步骤301：接收数据报文；数据报文包括数据内容。

步骤302：确定目标数据内容。目标数据内容包括：数据报文包括的数据内容。

步骤303：提取目标数据内容的前预设数据量的内容。

步骤304：将提取的内容与预设特征码进行匹配，确定提取的内容包括的预设特征码。

步骤305：根据预设特征码与文件类型的对应关系，确定提取的内容包括的预设特征码对应的文件类型，作为目标数据类型。

步骤301-305与步骤101-105相同。

步骤306：根据预先存储的数据类型与深度包检测引擎的对应关系，确定目标数据类型对应的目标深度检测引擎。

本申请实施例中，将获取的特征规则按照数据类型划分。对于每一数据类型，将划分的该数据类型对应的特征规则编译生成该数据类型对应的深度包检测引擎。例如。获取压缩文件的特征规则编译生成深度包检测引擎1，获取脚本文件的特征规则编译生成深度包检测引擎2。

当确定目标数据类型时，就可以确定出目标数据类型对应的目标深度检测引擎。

步骤307：将数据报文和其他数据报文输入目标深度包检测引擎，分别确定数据报文和其他数据报文匹配的特征规则。

目标深度包检测引擎中包括目标数据内容的数据类型对应的特征规则，将数据报文和其他数据报文输入目标深度包检测引擎，可以确定出数据报文和其他数据报文分别匹配的特征规则。

步骤308：依据匹配的特征规则分别处理数据报文和其他数据报文。其他数据报文包括与数据报文包括的数据内容属于同一原始数据包的其他数据内容。

本申请实施例中，按照数据类型划分了多个深度包检测引擎，每个深度包检测引擎包括一种数据类型对应的特征规则，远远少于所有数据类型对应的特征规则，根据数据类型确定目标深度包检测引擎，由该目标深度包检测引擎检测数据报文和其他数据报文匹配的特征规则，相比于由所有数据类型对应的特征规则编译成的一个主深度包检测引擎，检测数据报文和其他数据报文匹配的特征规则来说，有效的提高了检测速度，进而提高了数据处理效率。

如图4所示的数据处理场景，网络设备中设置了5中深度包检测引擎，分别为基础类文件的深度包检测引擎1、WIN可执行类文件的深度包检测引擎2、Linux可执行类文件的深度包检测引擎3、图片类文件的深度包检测引擎4和脚本类文件的深度包检测引擎5。

若网络设备接收到一条流量，如图4所示，该流量分为6段，包括非文件、WIN可执行文件、不能识别文件、图片文件、脚本文件和Linux可执行文件；则将非文件和不能识别文件输入深度包检测引擎1，将WIN可执行文件输入深度包检测引擎2，将图片文件输入深度包检测引擎4，将脚本文件输入深度包检测引擎5，将Linux可执行文件输入深度包检测引擎3；通过这5个深度包检测引擎确定各个文件匹配的特征规则，进而处理该流量。这样，在不降低识别准确率的情况下，提高了识别效率，提高了设备性能。

本申请实施例中提到的数据内容为接收的数据报文包括的数据内容。其他数据报文为包括与数据内容属于同一原始数据包的其他数据内容的数据报文。

与数据处理方法实施例对应，本申请实施例还提供了一种数据处理装置。参考图5，图5为本申请实施例提供的数据处理装置的一种结构示意图，该装置包括：

接收单元501，用于接收数据报文，数据报文包括数据内容；

第一确定单元502，用于确定目标数据内容，目标数据内容包括数据内容；

提取单元503，用于提取目标数据内容的前预设数据量的内容；

匹配单元504，用于将提取的内容与预设特征码进行匹配，确定提取的内容包括的预设特征码；

第二确定单元505，用于根据预设特征码与文件类型的对应关系，确定提取的内容包括的预设特征码对应的文件类型，作为目标数据类型；

处理单元506，用于根据目标数据类型，对数据报文和其他数据报文进行处理，其他数据报文包括与数据内容属于同一原始数据包的其他数据内容。

在本申请的一个实施例中，若数据内容的数据量小于预设数据量，目标数据内容还包括：至少一个其他数据报文包括的与数据内容属于同一原始数据包的其他数据内容。

在本申请的一个实施例中，处理单元506，还可以用于若目标数据类型为压缩文件，对目标数据内容进行解压缩；

提取单元503，还可以用于从解压缩得到的内容中提取前预设数据量的内容；

处理单元506，还可以用于若目标数据类型不是压缩文件，根据目标数据类型，对数据报文和其他数据报文进行处理。

在本申请的一个实施例中，第二确定单元505，还可以用于若提取的内容不包括预设特征码，确定目标数据内容为非文件类型，将非文件类型作为目标数据类型。

在本申请的一个实施例中，处理单元506，具体可以用于：

根据预先存储的数据类型与深度包检测引擎的对应关系，确定目标数据类型对应的目标深度检测引擎；

将数据报文和其他数据报文输入目标深度包检测引擎，分别确定数据报文和其他数据报文匹配的特征规则；

依据匹配的特征规则分别处理数据报文和其他数据报文。

应用本申请实施例，数据内容中包括文件特征信息，依据数据内容确定文件类型，而不是依据简单的扩展名确定文件类型，提高了文件类型识别的准确性，另外，数据内容为用户期望传递的信息，用户不会轻易修改数据内容，因此依据数据内容确定文件类型，进而处理数据报文，提高网络的安全性。

与数据处理方法实施例对应，本申请实施例还提供了一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使实现上述数据处理方法。

如图6所示电子设备，包括处理器601和机器可读存储介质xx，机器可读存储介质602存储有能够被处理器601执行的机器可执行指令。

另外，如图6所示，电子设备还可以包括：通信接口603和通信总线604；其中，处理器601、机器可读存储介质602、通信接口603通过通信总线604完成相互间的通信，通信接口603用于上述电子设备与其他设备之间的通信。

其中，机器可执行指令包括：接收指令612、第一确定指令622、提取指令632、匹配指令642、第二确定指令652和处理指令662；

处理器601被接收指令612促使实现：接收数据报文，数据报文包括数据内容；

处理器601被第一确定指令622促使实现：确定目标数据内容，目标数据内容包括数据内容；

处理器601被提取指令632促使实现：提取目标数据内容的前预设数据量的内容；

处理器601被匹配指令642促使实现：将提取的内容与预设特征码进行匹配，确定提取的内容包括的预设特征码；

处理器601被第二确定指令652促使实现：根据预设特征码与文件类型的对应关系，确定提取的内容包括的预设特征码对应的文件类型，作为目标数据类型；

处理器601被处理指令662促使实现：根据目标数据类型，对数据报文和其他数据报文进行处理，其他数据报文包括与数据内容属于同一原始数据包的其他数据内容。

在本申请的一个实施例中，若数据内容的数据量小于预设数据量，目标数据内容还包括：至少一个其他数据报文包括的与数据内容属于同一原始数据包的其他数据内容。

在本申请的一个实施例中，处理器601被处理指令662促使还可以实现：若目标数据类型为压缩文件，对目标数据内容进行解压缩；

处理器601被提取指令632促使还可以实现：从解压缩得到的内容中提取前预设数据量的内容；

处理器601被处理指令662促使还可以实现：若目标数据类型不是压缩文件，根据目标数据类型，对数据报文和其他数据报文进行处理。

在本申请的一个实施例中，处理器601被第二确定指令652促使还可以实现：若提取的内容不包括预设特征码，确定目标数据内容为非文件类型，将非文件类型作为目标数据类型。

在本申请的一个实施例中，处理器601被处理指令662促使具体可以实现：

根据预先存储的数据类型与深度包检测引擎的对应关系，确定目标数据类型对应的目标深度检测引擎；

将数据报文和其他数据报文输入目标深度包检测引擎，分别确定数据报文和其他数据报文匹配的特征规则；

依据匹配的特征规则分别处理数据报文和其他数据报文。

应用本申请实施例，数据内容中包括文件特征信息，依据数据内容确定文件类型，而不是依据简单的扩展名确定文件类型，提高了文件类型识别的准确性，另外，数据内容为用户期望传递的信息，用户不会轻易修改数据内容，因此依据数据内容确定文件类型，进而处理数据报文，提高网络的安全性。

通信总线604可以是PCI(Peripheral Component Interconnect，外设部件互连标准)总线或EISA(Extended Industry Standard Architecture，扩展工业标准结构)总线等。该通信总线604可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

机器可读存储介质602可以包括RAM(Random Access Memory，随机存取存储器)，也可以包括NVM(Non-Volatile Memory，非易失性存储器)，例如至少一个磁盘存储器。另外，机器可读存储介质602还可以是至少一个位于远离前述处理器的存储装置。

处理器601可以是通用处理器，包括CPU(Central Processing Unit，中央处理器)、NP(Network Processor，网络处理器)等；还可以是DSP(Digital Signal Processing，数字信号处理器)、ASIC(Application Specific Integrated Circuit，专用集成电路)、FPGA(Field-Programmable Gate Array，现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

与数据处理方法实施例对应，本申请实施例还提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，机器可执行指令促使处理器实现上述数据处理方法。

其中，机器可执行指令包括：接收指令、第一确定指令、提取指令、匹配指令、第二确定指令和处理指令；

在被处理器调用和执行时，接收指令促使处理器实现：接收数据报文，数据报文包括数据内容；

在被处理器调用和执行时，第一确定指令促使处理器实现：确定目标数据内容，目标数据内容包括数据内容；

在被处理器调用和执行时，提取指令促使处理器实现：提取目标数据内容的前预设数据量的内容；

在被处理器调用和执行时，匹配指令促使处理器实现：将提取的内容与预设特征码进行匹配，确定提取的内容包括的预设特征码；

在被处理器调用和执行时，第二确定指令促使处理器实现：根据预设特征码与文件类型的对应关系，确定提取的内容包括的预设特征码对应的文件类型，作为目标数据类型；

在被处理器调用和执行时，处理指令促使处理器实现：根据目标数据类型，对数据报文和其他数据报文进行处理，其他数据报文包括与数据内容属于同一原始数据包的其他数据内容。

在本申请的一个实施例中，若数据内容的数据量小于预设数据量，目标数据内容还包括：至少一个其他数据报文包括的与数据内容属于同一原始数据包的其他数据内容。

在本申请的一个实施例中，在被处理器调用和执行时，处理指令促使处理器还可以实现：若目标数据类型为压缩文件，对目标数据内容进行解压缩；

在被处理器调用和执行时，提取指令促使处理器还可以实现：从解压缩得到的内容中提取前预设数据量的内容；

在被处理器调用和执行时，处理指令促使处理器还可以实现：若目标数据类型不是压缩文件，根据目标数据类型，对数据报文和其他数据报文进行处理。

在本申请的一个实施例中，在被处理器调用和执行时，第二确定指令促使处理器还可以实现：若提取的内容不包括预设特征码，确定目标数据内容为非文件类型，将非文件类型作为目标数据类型。

在本申请的一个实施例中，在被处理器调用和执行时，处理指令促使处理器具体可以实现：

根据预先存储的数据类型与深度包检测引擎的对应关系，确定目标数据类型对应的目标深度检测引擎；

将数据报文和其他数据报文输入目标深度包检测引擎，分别确定数据报文和其他数据报文匹配的特征规则；

依据匹配的特征规则分别处理数据报文和其他数据报文。

应用本申请实施例，数据内容中包括文件特征信息，依据数据内容确定文件类型，而不是依据简单的扩展名确定文件类型，提高了文件类型识别的准确性，另外，数据内容为用户期望传递的信息，用户不会轻易修改数据内容，因此依据数据内容确定文件类型，进而处理数据报文，提高网络的安全性。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于数据处理装置、电子设备、机器可读存储介质实施例而言，由于其基本相似于数据处理方法实施例，所以描述的比较简单，相关之处参见数据处理方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。