[发明专利]深度报文检测方法和装置

权利要求书

1.一种深度报文检测方法，其特征在于，包括：

Suricata启动后加载告警规则库，其中，所述告警规则库中包括多个告警规则，所述告警规则用正则表达式描述；

Suricata将所述告警规则库传入Hyperscan进行编译后存储在数据库中；

Suricata将接收到的第一数据包进行数据分析处理，得到处理后的数据；

Hyperscan利用所述数据库中的所述告警规则库对所述处理后的数据进行规则匹配；

若所述处理后的数据与所述告警规则库中的告警规则匹配成功，则Hyperscan向Suricata返回对所述第一数据包进行控制处理的控制信息；

Suricata按照所述控制信息对所述第一数据包进行控制处理；

在Suricata启动之前，所述方法还包括：确定网络安全设备的网络部署方式，其中，所述网络安全设备中部署有Suricata和Hyperscan；若所述网络部署方式为所述网络安全设备与网络并联，则所述控制信息中不包括阻断处理；若所述网络部署方式为所述网络安全设备与网络串联，则所述控制信息中包括阻断处理；

在Suricata启动之前，所述方法还包括：将Intel SSE指令集转换为ARM NEON指令集，所述转换过程包括：获取Intel SSE指令与ARM NEON指令之间的对应关系；根据所述对应关系在不改变SSE指令函数的名称的情况下，使用ARM NEON指令重写所述SSE指令函数的实现方式，并保存在目标文件中；用所述目标文件替换源码文件中包含的SSE头文件，得到目标代码文件；编译所述目标代码文件，其中，在ARMv8-A架构编译所述目标代码文件时添加用于指示ARMv8-A架构的第一参数，在ARMv7-A架构编译所述目标代码文件时添加用于指示ARMv7-A架构的第二参数。

2.根据权利要求1所述的方法，其特征在于，Suricata将接收到的第一数据包进行数据分析处理，得到处理后的数据包括：

对所述第一数据包进行解码后计算第一哈希值；

若所述第一数据包是目标数据文件的分片，则从哈希表中获取与所述第一哈希值相同的第二哈希值所对应的第二数据包，并将所述第一数据包与所述第二数据包进行重组，得到第三数据包；对所述第三数据包进行应用层协议解析，获取所述处理后的数据；

若所述第一数据包不是目标数据文件的分片，则对所述第一数据包进行应用层协议解析，获取所述处理后的数据。

3.根据权利要求2所述的方法，其特征在于，对所述第一数据包进行解码后计算第一哈希值包括：

对所述第一数据包按照TCP/IP协议进行解码，得到五元组数据，其中，所述五元组数据包括：源IP、目的IP、源端口、目的端口、传输协议；

对所述五元组数据进行哈希计算，得到所述第一哈希值。