技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域，特別涉及一種識別攻擊性報文的方法和裝置。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的深入發(fā)展，網(wǎng)絡(luò)的應(yīng)用范圍越來越廣泛，網(wǎng)絡(luò)上出現(xiàn)了對網(wǎng)絡(luò)的安全性存在威脅的報文，該報文即為攻擊性報文，且攻擊性報文的形式和種類也越來越復(fù)雜。為了保證網(wǎng)絡(luò)的安全性，我們需要快速地識別出網(wǎng)絡(luò)上的哪些報文是攻擊性報文。

目前，提供了一種識別攻擊性報文的方法，具體為：終端接收報文，并將該報文包括的字符逐個輸入到前綴DFA（Deterministic?Finite?Automaton確定的有限自動機）中，獲取前綴DFA的當前狀態(tài)，如果前綴DFA的當前狀態(tài)為前綴DFA的終點狀態(tài)，則表明該報文與預(yù)設(shè)的前綴字符規(guī)則匹配，并獲取當前輸入到前綴DFA中的字符在該報文中的第一位置；判斷在該報文的第一位置之后的預(yù)設(shè)數(shù)值個連續(xù)的字符是否與預(yù)設(shè)的字符相同，如果在該報文的第一位置之后預(yù)設(shè)數(shù)值個連續(xù)的字符與預(yù)設(shè)的字符相同，則獲取預(yù)設(shè)數(shù)值個連續(xù)的字符中的最后一個字符在該報文中的第二位置；并將從第二位置開始的字符逐個輸入到后綴DFA中，獲取后綴DFA的當前狀態(tài)，如果后綴DFA的當前狀態(tài)為后綴DFA的終點狀態(tài)，則確定接收的報文為攻擊性報文。

在實現(xiàn)本發(fā)明的過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題：

現(xiàn)有技術(shù)中需要一個前綴DFA和一個后綴DFA，資源消耗較大，并且識別攻擊性報文的速度較慢。

發(fā)明內(nèi)容

為了解決現(xiàn)有技術(shù)的問題，本發(fā)明實施例提供了一種識別攻擊性報文的方法和裝置。所述技術(shù)方案如下：

第一方面，提供了一種識別攻擊性報文的方法，所述方法包括：

接收報文，并將所述報文包括的字符逐個輸入到確定的有限自動機DFA中；

獲取所述DFA的當前狀態(tài)，當所述DFA的當前狀態(tài)為前綴接受態(tài)時，為所述前綴接受態(tài)設(shè)置對應(yīng)的一個初值為預(yù)設(shè)數(shù)值的計數(shù)器；

繼續(xù)將所述報文包括的字符輸入到所述DFA中，同時將輸入到所述DFA中的字符輸入到字符判別單元，所述字符判別單元用于判斷所述輸入的字符是否為預(yù)設(shè)字符；

根據(jù)所述字符判別單元的輸出結(jié)果設(shè)置所述計數(shù)器；

獲取所述DFA的當前狀態(tài)，如果所述DFA的當前狀態(tài)為后綴接受態(tài)，則根據(jù)已設(shè)置的前綴接受態(tài)對應(yīng)的計數(shù)器，確定所述報文是否為攻擊性報文。

結(jié)合第一方面，在上述第一方面的第一種可能的實現(xiàn)方式中，所述計數(shù)器包括第一標志位和第二標志位，所述第一標志位用于說明所述計數(shù)器是否在運行，所述第二標志位用于說明所述計數(shù)器的計數(shù)值是否減為零；

相應(yīng)地，所述為所述前綴接受態(tài)設(shè)置對應(yīng)的一個初值為預(yù)設(shè)數(shù)值的計數(shù)器，包括：

設(shè)置所述第一標志位為1，所述第一標志位為1用于說明所述計數(shù)器正在運行，設(shè)置所述第二標志位為0，所述第二標志位為0用于說明所述計數(shù)器的計數(shù)值沒有減為零，以及設(shè)置所述計數(shù)器的初值為預(yù)設(shè)數(shù)值。

結(jié)合第一方面的第一種可能的實現(xiàn)方式，在上述第一方面的第二種可能的實現(xiàn)方式中，所述根據(jù)所述字符判別單元的輸出結(jié)果設(shè)置所述計數(shù)器，包括：

如果所述字符判別單元的輸出結(jié)果為所述輸入的字符為預(yù)設(shè)字符且所述計數(shù)器的第二標志位為0，則減少所述計數(shù)器的計數(shù)值；

如果所述字符判別單元的輸出結(jié)果為所述輸入的字符不是預(yù)設(shè)字符且所述計數(shù)器的第二標志位為0，則關(guān)閉所述計數(shù)器且設(shè)置所述計數(shù)器的第一標志位為0，所述第一標志位0用于說明已關(guān)閉所述計數(shù)器；

如果所述計數(shù)器的第二標志位為1，則增加所述計數(shù)器的計數(shù)值。

結(jié)合第一方面的第二種可能的實現(xiàn)方式，在上述第一方面的第三種可能的實現(xiàn)方式中，所述減少所述計數(shù)器的計數(shù)值之后，還包括：

如果減少后的所述計數(shù)器的計數(shù)值為零，則設(shè)置所述計數(shù)器的第二標志位為1。

結(jié)合第一方面的第二種可能的實現(xiàn)方式，在上述第一方面的第四種可能的實現(xiàn)方式中，所述增加所述計數(shù)器的計數(shù)值之后，還包括：

如果增加后的所述計數(shù)器的計數(shù)值大于預(yù)設(shè)后綴長度，則關(guān)閉所述計數(shù)器且設(shè)置所述計數(shù)器的第一標志位為0。

結(jié)合第一方面或第一方面的第一種可能的實現(xiàn)方式至第一方面的第四種可能的實現(xiàn)方式中任一種可能的實現(xiàn)方式，在上述第一方面的第五種可能的實現(xiàn)方式中，所述根據(jù)已設(shè)置的前綴接受態(tài)對應(yīng)的計數(shù)器，確定所述報文是否為攻擊性報文，包括：

判斷已設(shè)置的前綴接受態(tài)對應(yīng)的計數(shù)器中是否存在所述第二標志位為1且所述計數(shù)值達到預(yù)設(shè)后綴長度的計數(shù)器，如果是，則確定所述報文是攻擊性報文，否則，則確定所述報文為非攻擊性報文。