本發明實施例提供了一種深度報文檢測引擎激活方法、裝置及電子設備。其中，所述方法包括：接收用戶態進程發送的用戶態引擎數據；根據所述用戶態引擎數據構建第二深度報文檢測引擎；在接收到所述用戶態進程發送的引擎激活通知后，調用所述第二深度報文檢測引擎對新的數據流進行深度報文檢測，并繼續調用所述第一深度報文檢測引擎對接收到所述引擎激活通知前已接收的數據流進行深度報文檢測；當不存在通過所述第一深度報文檢測引擎進行深度報文檢測的數據流時，刪除所述第一深度報文檢測引擎。可以在引擎激活過程中，仍然能夠對數據流進行深度報文檢測，有效提高引擎激活過程中的網絡安全性。

技術領域

本發明涉及信息安全技術領域，特別是涉及一種深度報文檢測引擎激活方法、裝置及電子設備。

背景技術

數據流中可能攜帶有影響網絡安全的惡意數據，出于保護網絡安全的考慮，一些網絡設備中，如防火墻設備，可以對接收到的數據流中的報文進行深度報文檢測(DeepPacket Inspection，DPI)，以檢測這些報文中是否包含惡意數據，進而采取對應的規則對報文所屬數據流進行處理，如阻斷數據流、轉發數據流等。

相關技術中，可以從樣本報文的文本中，提取能夠作為這些樣本報文的特征的字符串，將這些字符串保存在規則庫中。并在規則庫中對應保存處理包含這些樣本報文的數據流時所采用的規則，這些規則可以是人工設置的，也可以是利用其他報文檢測方法確定得到的。

處于用戶態的進程(下文稱用戶態進程)對規則庫中保存的數據進行解析，以得到字符串與規則間的映射關系，根據該映射關系構建深度報文檢測引擎的配置數據(下文稱用戶態引擎數據)，用戶態引擎數據存儲于用戶態進程能夠訪問的地址空間(下文稱用戶空間)，并將用戶態引擎數據發送至處于內核態的進程(下文稱內核態進程)，內核態進程根據接收到的用戶態引擎數據，構建深度報文檢測引擎相關的數據結構，構建得到的數據結構即為深度報文檢測引擎，深度報文檢測引擎存儲于內核態進程能夠訪問而用戶態進程無法訪問的地址空間(下文稱內核空間)。在接收到新的數據流時，內核態進程調用內核空間中的深度報文檢測引擎，對該數據流中的報文進行深度報文檢測，以確定處理該數據流時所采用的規則，網絡設備按照該規則對該數據流進行處理。

在一些應用場景中，可能需要構建新的深度報文檢測引擎，以替代原先所使用的深度報文檢測引擎(該過程下文稱激活)。例如，在規則庫中的數據進行增刪后可以進行激活，以基于新的規則庫構建新的深度報文檢測引擎，替代原先所使用的舊的深度報文檢測引擎。

相關技術中，可以是由用戶態進程通知相應的內核態進程停止深度報文檢測，并通知內核態進程刪除內核空間中的舊的深度報文檢測引擎。用戶態進程在用戶空間中刪除舊的深度報文檢測引擎的用戶態引擎數據，通過對新的規則庫中的數據的解析以構建新的用戶態引擎數據，并將這些新的用戶態引擎數據批量下發至內核態進程。內核態進程根據這些新的用戶態引擎數據，構建新的深度報文檢測引擎，并調用新的深度報文檢測引擎對報文進行深度報文檢測。

但是，內核態進程在刪除舊的深度報文檢測引擎，至構建得到新的深度報文檢測模型這一過程中，無法進行深度報文檢測，導致該過程中網絡安全性較差。

發明內容

本發明實施例的目的在于提供一種深度報文檢測引擎激活方法、裝置及電子設備，以實現在激活深度報文檢測引擎的過程中，仍然能夠對接收到的數據流進行深度報文檢測。具體技術方案如下：

在本發明的第一方面，提供了一種深度報文檢測引擎激活方法，所述方法包括：

接收用戶態進程發送的用戶態引擎數據；

根據所述用戶態引擎數據構建第二深度報文檢測引擎；

在接收到所述用戶態進程發送的引擎激活通知后，調用所述第二深度報文檢測引擎對新的數據流進行深度報文檢測，并繼續調用所述第一深度報文檢測引擎對接收到所述引擎激活通知前已接收的數據流進行深度報文檢測；