D,在本地规则所属域名表项中查找满足以下条件的规 则所属域名表项:包含该规则ID且第二域名字段为所述一级域名或者为第二值,如果查找 到,将该规则ID记录至第三匹配集,第二值为用于代表任意域名的预设值; 检查第三匹配集是否为空,如果是,取消对数据流进行正则表达式匹配,如果否,依据 第三匹配集中规则ID对应的规则中定义的正则表达式对数据流进行匹配。3. 根据权利要求2所述的方法,其特征在于,所述依据数据流携带的域名信息确定对 应的一级域名包括: 在所述数据流携带的域名信息通过IP地址表示时,在本地域名与IP地址对应表中查 找所述IP地址对应的一级域名,将查找到一级域名作为所述数据流携带的域名信息对应 的一级域名。4. 根据权利要求3所述的方法,其特征在于,所述本地域名与IP地址对应表通过以下 步骤建立: 实时检测来自保护区域访问非保护区域的域名系统DNS报文,从检测到的DNS报文中 提取出一级域名和一级域名对应的IP地址,以提取出的一级域名和IP地址为关键字检查 本地域名与IP地址对应表中是否存在包含该关键字的第一类域名与IP地址对应表项或者 第二类域名与IP地址对应表项,如果否,将该提取出的一级域名和IP地址作为第一类域名 与IP地址对应表项记录至本地域名与IP地址对应表; 接收云端下发的第三类域名与IP地址对应表项,依据第三类域名与IP地址对应表项 中的应用标识确定是否需要获取第三类域名与IP地址对应表项中的一级域名和IP地址之 间的对应关系,如果是,从第三类域名与IP地址对应表项中获取一级域名和IP地址之间的 对应关系,将该获取的对应关系作为第二类域名与IP地址对应表项记录至本地域名与IP 地址对应表。5. 根据权利要求4所述的方法,其特征在于,将提取出的一级域名和对应的IP地址作 为第一类域名与IP地址对应表项记录至本地域名与IP地址对应表进一步包括:设置该第 一类域名与IP地址对应表项的查询时间为当前时间; 将对应关系作为第二类域名与IP地址对应表项记录至本地域名与IP地址对应表进一 步包括:设置该第二类域名与IP地址对应表项的查询时间为当前时间; 当检查出本地域名与IP地址对应表中存在包含该关键字的第一类域名与IP地址对 应表项时,进一步包括:更新该存在的第一类域名与IP地址对应表项的查询时间为当前时 间; 当检查出本地域名与IP地址对应表中存在包含该关键字的第二类域名与IP地址对 应表项时,进一步包括:更新该存在的第二类域名与IP地址对应表项的查询时间为当前时 间。6. 根据权利要求5所述的方法,其特征在于,该方法进一步包括: 在设定的数据上传时间到达时,将本地域名与IP地址对应表中的第一类域名与IP地 址对应表项上传至云端; 在设定的数据更新时间到达时,将本地域名与IP地址对应表中满足老化时间的第一 类域名与IP地址对应表项和第二类域名与IP地址对应表项删除。7. -种数据流检测装置,其特征在于,该装置应用于数据流检测设备,包括: 第一匹配单元,用于将与接收的数据流匹配的本地N个规则的规则标识ID记录至第一 匹配集,N大于或等于1,N个规则中的每一规则中至少定义一个正则表达式; 第二匹配单元,用于判断数据流是否为HTTP类型的数据流,如果是,针对第一匹配集 中的每一规则ID,在本地规则所属域名表项中找到包含该规则ID的规则所属域名表项,在 找到的规则所属域名表项中的第一域名字段为第一值时,将该规则ID记录至第二匹配集; 第一值用于指示所述规则定义的固定字符串中不包含域名; 第三匹配单元,用于依据第二匹配集中规则ID对应的规则中定义的正则表达式对数 据流进行匹配。8. 根据权利要求7所述的装置,其特征在于,所述第三匹配单元依据第二匹配集中规 则ID对应的规则中定义的正则表达式对数据流进行匹配包括: 依据所述数据流携带的域名信息确定对应的一级域名; 针对第二匹配集中的每一规则ID,在本地规则所属域名表项中查找满足以下条件的规 则所属域名表项:包含该规则ID且第二域名字段为所述一级域名或者为第二值,如果查找 到,将该规则ID记录至第三匹配集,第二值为用于代表任意域名的预设值; 检查第三匹配集是否为空,如果是,取消对数据流进行正则表达式匹配,如果否,依据 第三匹配集中规则ID对应的规则中定义的正则表达式对数据流进行匹配。9. 根据权利要求8所述的装置,其特征在于,该装置进一步包括: 域名与IP地址对应表单元,用于通过以下步骤在本地建立域名与IP地址对应表:实时 检测来自保护区域访问非保护区域的域名系统DNS报文,从检测到的DNS报文中提取出一 级域名和一级域名对应的IP地址,以提取出的一级域名和IP地址为关键字检查本地域名 与IP地址对应表中是否存在包含该关键字的第一类域名与IP地址对应表项或者第二类域 名与IP地址对应表项,如果否,将该提取出的一级域名和IP地址作为第一类域名与IP地 址对应表项记录至本地域名与IP地址对应表;以及,接收云端下发的第三类域名与IP地 址对应表项,依据第三类域名与IP地址对应表项中的应用标识确定是否需要获取第三类 域名与IP地址对应表项中的一级域名和IP地址之间的对应关系,如果是,从第三类域名与 IP地址对应表项中获取一级域名和IP地址之间的对应关系,将该获取的对应关系作为第 二类域名与IP地址对应表项记录至本地域名与IP地址对应表 所述第三匹配单元依据数据流携带的域名信息确定对应的一级域名包括: 在所述数据流携带的域名信息通过IP地址表示时,在本地所述域名与IP地址对应表 单元建立的域名与IP地址对应表中查找所述IP地址对应的一级域名,将查找到一级域名 作为所述数据流携带的域名信息对应的一级域名。10.根据权利要求9所述的装置,其特征在于,所述域名与IP地址对应表单元将提取出 的一级域名和对应的IP地址作为第一类域名与IP地址对应表项记录至本地域名与IP地 址对应表时进一步设置该第一类域名与IP地址对应表项的查询时间为当前时间;以及,在 将对应关系作为第二类域名与IP地址对应表项记录至本地域名与IP地址对应表时进一步 设置该第二类域名与IP地址对应表项的查询时间为当前时间;以及, 当检查出本地域名与IP地址对应表中存在包含该关键字的第一类域名与IP地址对应 表项时进一步更新该存在的第一类域名与IP地址对应表项的查询时间为当前时间;以及, 当检查出本地域名与IP地址对应表中存在包含该关键字的第二类域名与IP地址对应表项 时进一步更新该存在的第二类域名与IP地址对应表项的查询时间为当前时间; 所述域名与IP地址对应表单元进一步执行以下操作:在设定的数据上传时间到达时, 将本地域名与IP地址对应表中的第一类域名与IP地址对应表项上传至云端;在设定的数 据更新时间到达时,将本地域名与IP地址对应表中满足老化时间的第一类域名与IP地址 对应表项和第二类域名与IP地址对应表项删除。
【专利摘要】本申请提供了数据流检测方法和装置。本发明中,通过对数据流最终匹配出的规则进行过滤,最终剩下的规则会少于数据流最终匹配出的规则,这也就意味着最终对数据流进行正则表达式的次数减少,大大减少设备在正则表达式匹配上的性能开销,在硬件不变的前提下增大数据流检测设备的处理带宽。
【IPC分类】H04L12/26, H04L29/12
【公开号】CN105591836
【申请号】CN201510567300
【发明人】张惊申
【申请人】杭州华三通信技术有限公司
【公开日】2016年5月18日
【申请日】2015年9月9日