地址对应表 项:
[0073] 表 5
[0074] 至此,完成图3所示的流程。
[0075] 作为本发明的一个实施例,当上述步骤301检查出本地域名与IP地址对应表中存 在包含上述关键字的第二类域名与IP地址对应表项时,步骤301可进一步包括:更新该存 在的第二类域名与IP地址对应表项的查询时间为当前时间。
[0076] 本发明中,数据流检测设备本地域名与IP地址对应表可以进行云端共享。具体操 作为用户可自行配置是否开启往云端推送本地的域名与IP对应关系表中的第一类域名与 IP地址对应表项,这里只会将第一类域名与IP地址对应表项推送给云端,因为第二类域名 与IP地址对应表项是从云端接收的,没有必要重复推送,这也是本发明为何区分第一类域 名与IP地址对应表项和第二类域名与IP地址对应表项的目的。数据流检测设备推送第一 类域名与IP地址对应表项的时间(称为设定的数据上传时间)可配置,比如为2个小时。 云端收到数据流检测设备推送的第一类域名与IP地址对应表项后,提取出该第一类域名 与IP地址对应表项中一级域名与IP地址对应关系,统计出一级域名与IP地址对应关系已 出现的次数,再依据一级域名给该一级域名与IP地址对应关系添加上所属应用分类,并作 为域名与IP地址对应表项保存到云端域名IP对应关系表中。这里云端域名IP对应关系 表中域名与IP地址对应表项如表4所示,这里不再赘述。
[0077] 如上描述,为防止数据流检测设备本地的域名与IP地址对应表无限制的扩大,影 响查询效率,这里可定时老化数据流检测设备本地域名与IP地址对应表中的第一类域名 与IP地址对应表项和第二类域名与IP地址对应表项,具体为:在设定的数据更新时间到达 时,将本地域名与IP地址对应表中满足老化时间的第一类域名与IP地址对应表项和第二 类域名与IP地址对应表项删除。
[0078] 以上对本发明提供的方法进行了描述。下面对本发明提供的装置进行描述:
[0079] 参见图4,图4为本发明提供的装置结构图,该装置应用于数据流检测设备,包括:
[0080] 第一匹配单元,用于将与接收的数据流匹配的本地N个规则的规则标识ID记录至 第一匹配集,N大于或等于I,N个规则中的每一规则中至少定义一个正则表达式;
[0081] 第二匹配单元,用于判断数据流是否为HTTP类型的数据流,如果是,针对第一匹 配集中的每一规则ID,在本地规则所属域名表项中找到包含该规则ID的规则所属域名表 项,在找到的规则所属域名表项中的第一域名字段为第一值时,将该规则ID记录至第二匹 配集;第一值用于指示所述规则定义的固定字符串中不包含域名;
[0082] 第三匹配单元,用于依据第二匹配集中规则ID对应的规则中定义的正则表达式 对数据流进行匹配。
[0083] 优选地,所述第三匹配单元依据第二匹配集中规则ID对应的规则中定义的正则 表达式对数据流进行匹配包括:
[0084] 依据所述数据流携带的域名信息确定对应的一级域名;
[0085] 针对第二匹配集中的每一规则ID,在本地规则所属域名表项中查找满足以下条件 的规则所属域名表项:包含该规则ID且第二域名字段为所述一级域名或者为第二值,如果 查找到,将该规则ID记录至第三匹配集,第二值为用于代表任意域名的预设值;
[0086] 检查第三匹配集是否为空,如果是,取消对数据流进行正则表达式匹配,如果否, 依据第三匹配集中规则ID对应的规则中定义的正则表达式对数据流进行匹配。
[0087] 优选地,该装置进一步包括:
[0088] 域名与IP地址对应表单元,用于通过以下步骤在本地建立域名与IP地址对应表: 实时检测来自保护区域访问非保护区域的域名系统DNS报文,从检测到的DNS报文中提取 出一级域名和一级域名对应的IP地址,以提取出的一级域名和IP地址为关键字检查本地 域名与IP地址对应表中是否存在包含该关键字的第一类域名与IP地址对应表项或者第二 类域名与IP地址对应表项,如果否,将该提取出的一级域名和IP地址作为第一类域名与IP 地址对应表项记录至本地域名与IP地址对应表;以及,接收云端下发的第三类域名与IP地 址对应表项,依据第三类域名与IP地址对应表项中的应用标识确定是否需要获取第三类 域名与IP地址对应表项中的一级域名和IP地址之间的对应关系,如果是,从第三类域名与 IP地址对应表项中获取一级域名和IP地址之间的对应关系,将该获取的对应关系作为第 二类域名与IP地址对应表项记录至本地域名与IP地址对应表
[0089] 优选地,基于所述域名与IP地址对应表单元建立的域名与IP地址对应表,所述第 三匹配单元依据数据流携带的域名信息确定对应的一级域名包括:
[0090] 在所述数据流携带的域名信息通过IP地址表示时,在本地所述域名与IP地址对 应表单元建立的域名与IP地址对应表中查找所述IP地址对应的一级域名,将查找到一级 域名作为所述数据流携带的域名信息对应的一级域名。
[0091] 优选地,所述域名与IP地址对应表单元将提取出的一级域名和对应的IP地址作 为第一类域名与IP地址对应表项记录至本地域名与IP地址对应表时进一步设置该第一类 域名与IP地址对应表项的查询时间为当前时间;以及,在将对应关系作为第二类域名与IP 地址对应表项记录至本地域名与IP地址对应表时进一步设置该第二类域名与IP地址对应 表项的查询时间为当前时间;以及,
[0092] 当检查出本地域名与IP地址对应表中存在包含该关键字的第一类域名与IP地址 对应表项时进一步更新该存在的第一类域名与IP地址对应表项的查询时间为当前时间; 以及,当检查出本地域名与IP地址对应表中存在包含该关键字的第二类域名与IP地址对 应表项时进一步更新该存在的第二类域名与IP地址对应表项的查询时间为当前时间;
[0093] 所述域名与IP地址对应表单元进一步执行以下操作:在设定的数据上传时间到 达时,将本地域名与IP地址对应表中的第一类域名与IP地址对应表项上传至云端;在设定 的数据更新时间到达时,将本地域名与IP地址对应表中满足老化时间的第一类域名与IP 地址对应表项和第二类域名与IP地址对应表项删除。
[0094] 至此,完成图4所示的装置描述。
[0095] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1. 一种数据流检测方法,其特征在于,该方法应用于数据流检测设备,包括: 接收数据流,将数据流匹配的本地N个规则的规则标识ID记录至第一匹配集,N大于 或等于1,N个规则中的每一规则中至少定义一个正则表达式; 判断数据流是否为HTTP类型的数据流,如果是,针对第一匹配集中的每一规则ID,在 本地规则所属域名表项中找到包含该规则ID的规则所属域名表项,在找到的规则所属域 名表项中的第一域名字段为第一值时,将该规则ID记录至第二匹配集;第一值用于指示所 述规则定义的固定字符串中不包含域名; 依据第二匹配集中规则ID对应的规则中定义的正则表达式对数据流进行匹配。2. 根据权利要求1所述的方法,其特征在于,所述依据第二匹配集中规则ID对应的规 则中定义的正则表达式对数据流进行匹配包括: 依据所述数据流携带的域名信息确定对应的一级域名; 针对第二匹配集中的每一规则I