技術領域

本發明涉及網絡數據傳輸技術領域，特別涉及一種數據流內容過濾的方法及裝置。

背景技術

互聯網技術的迅猛發展，為數據傳輸帶來前所未有的便利的同時，也為網絡蠕蟲病毒的廣泛蔓延帶來了更大的便利。網絡蠕蟲病毒威脅著網絡數據流的安全，嚴重困擾著各個領域越來越多的網絡用戶。因此，對網絡數據流內容進行過濾，攔截攜帶有網絡蠕蟲病毒的數據流越來越重要。

目前，采用防火墻技術來過濾網絡數據流內容。其中，防火墻都以“鏈表數組”的形式來組織和管理數據流，這個“鏈表數組”通常稱為“流表”。

以傳輸控制協議(Transmission?Control?Protocol，TCP)報文為例，防火墻一般通過五元組標識一個TCP流，這五元組包括：源IP地址、目的IP地址、協議類型，源端口和目的端口。

每收到一個TCP報文，防火墻從該TCP報文的報頭提取出源IP、目的IP、協議類型，源端口和目的端口，五元組經過哈希(HASH)運算，得到的HASH結果，假設為X，作為“流表”的索引。

在“流表”的第X位置上，是一條“流”記錄鏈表，鏈表的每個節點是一個“流”記錄，每個“流”的五元組的HASH運算結果都等于X。

然后，防火墻把該TCP報文的五元組與鏈表上的每個節點所記錄的五元組逐個匹配，如有命中，則表示該TCP報文所屬的“流”已存在；否則，防火墻在確定該TCP報文符合創建新“流”記錄的條件后，將創建一個“流”記錄，添加到在“流表”的第X位置的“流”鏈表上，以記錄該TCP報文所屬的連接的上下文環境，即在“流表”的第X位置上增加了一個節點。這里，導致防火墻新創建一個“流”記錄的報文，通常稱“首報文”。若該TCP報文不符合創建新“流”記錄的條件，則丟棄該TCP報文。

當防火墻確定接收到的TCP報文所屬的“流”已存在后，將該TCP報文的內容與保存的每個網絡蠕蟲病毒特征碼進行比對，當確定該TCP報文的內容中攜帶有一個或多個網絡蠕蟲病毒特征碼時，則阻止該TCP報文通過，并截止該TCP報文所屬的“流”。

上述以TCP報文為例，對于“協議類型”特殊的報文，例如：非TCP、非用戶數據包協議(User?Datagram?Protocol，UDP)、或非因特網控制報文協議(Internet?Control?Message?Protocol，ICMP)，防火墻從接收到的報文的報頭提取“源IP”、“目的IP”和“協議類型”，而“源端口”和“目的端口”兩個參數置0，參與HASH運算，確定該報文所屬的“流”。然后，將該報文的內容與保存的每個網絡蠕蟲病毒特征碼進行比對，根據比對結果對該報文以及該報文所屬的“流”進行處理。

可見，現有的防火墻報文過濾功能可以阻止攜帶有網絡蠕蟲病毒特征碼的報文通過。但防火墻在進行內容過濾時，都是檢查單個報文的內容。而有時，網絡蠕蟲病毒特征碼分布在兩個或多個報文中，即單個報文的內容中并沒有攜帶一個完整的網絡蠕蟲病毒特征碼，兩個或多個報文的內容合起來才攜帶了一個完整的網絡蠕蟲病毒特征碼，這種情況下，采用上述方法進行內容過濾時，單個報文的內容與保存的每個網絡蠕蟲病毒特征碼是沒有匹配的，防火墻允許每個報文，以及對應的“流“通過。因此，現有的防火墻報文過濾功能還不能檢測出特征碼分布在多個報文的網絡蠕蟲病毒，從而也不能截止這樣的數據流。

發明內容

本發明實施例提供一種數據流內容過濾的方法及裝置，用以檢測出特征碼分布在多個報文的網絡蠕蟲病毒，提供防火墻的預防能力。

本發明實施例提供一種數據流內容過濾的方法，包括：

獲取數據報文，確定所述數據報文所屬數據流的流記錄，以及所述數據報文的方向；

將所述流記錄中與所述方向對應的有限狀態自動機的記錄狀態作為所述有限狀態自動機的輸入狀態，將所述數據報文中的字符讀入所述有限狀態自動機中，其中，所述有限狀態自動機由所有待檢測的特征碼構造生成；

當所述有限狀態自動機輸出特征碼命中時，對所述數據報文所屬數據流進行過濾處理；

否則，根據所述有限狀態自動機中對應的輸出狀態，更新所述流記錄中與所述方向對應的有限狀態自動機的記錄狀態。

本發明實施例提供一種數據流內容過濾的裝置，包括：

獲取單元，用于獲取數據報文；

確定單元，用于確定所述數據報文所屬數據流的流記錄，以及所述數據報文的方向；