一种报文检测方法及装置与流程

[0001]
本申请涉及网络安全技术领域，尤其涉及一种报文检测方法及装置。


背景技术：

[0002]
随着5g网络的快速发展，导致网络流量的激增以及攻击事件的频繁发生，市场对于对网络设备的性能和网络环境的安全性等要求越来越高。为了防止网络病毒攻击的发生，在很多数据中心或者服务器的内网的出口网关处，均会增设一台网络安全设备，用于分析识进出网络的流量，对流量进行特征检测是否具有攻击性或者病毒性，保护内网数据的安全。
[0003]
网络安全设备会自带病毒攻击特征库，或者连接云端病毒特征库，将流经网络安全设备的流量与病毒攻击特征库进行匹配，如果匹配成功，则认为该流量具有病毒性攻击性，网络安全设备便执行隔离动作，从而保证内网服务器数据的安全。如果流经网络安全设备的数据量越大，病毒特征匹配所耗用的硬件资源也会响应的增加。如果网络安全设备的cpu资源使用较高，或者达到网络安全设备的性能瓶颈，网络安全设备就会出现丢包中断业务的现象。虽然，可以通过更换性能更高端的网络安全设备来解决此类问题，但事实上在很多应用场景下，绝大多数时间内流经网关的数据流量都是较小的，只有在某一小段时间内访问流量呈高峰期，数据带宽才会激增。如果增加更高性能的网络安全设备，必然会增加运营成本，而且因为业务量增加而频繁更换高性能网络安全设备，不仅会改变网络拓扑，而且也会给网络运维带来巨大的压力。
[0004]
因此，在不需要使用高性能的网络安全设备的前提下，在网络安全设备的cpu负荷较高时也能对突增的流量进行安全检测，避免因丢包而导致业务中断的情况发生是值得考虑的技术问题之一。


技术实现要素：

[0005]
有鉴于此，本申请提供一种报文检测方法及装置，用以在不需要使用高性能的网络安全设备的前提下，在网络安全设备的cpu负荷较高时也能对突增的流量进行安全检测。
[0006]
具体地，本申请是通过如下技术方案实现的：
[0007]
根据本申请的第一方面，提供一种报文检测方法，应用于网络安全设备中，以及所述方法，包括：
[0008]
获取网络报文；
[0009]
判断所述网络安全设备当前的cpu利用率是否达到控制阈值；
[0010]
若达到所述控制阈值，则确定所述网络报文的应用协议，并获取所述应用协议的攻击频率排名；
[0011]
若所述攻击频率排名不小于第一设定值，则对所述网络报文进行深度报文检测；
[0012]
若所述攻击频率排名小于所述第一设定值，不对所述网络报文执行深度报文检测并转发所述网络报文；
[0013]
若未达到所述控制阈值，则对所述网络报文进行深度报文检测。
[0014]
根据本申请的第二方面，提供一种报文检测装置，应用于网络安全设备中，以及所述装置，包括：
[0015]
获取模块，用于获取网络报文；
[0016]
第一判断模块，用于判断所述网络安全设备当前的cpu利用率是否达到控制阈值；
[0017]
第一确定模块，用于若所述第一判断模块的判断结果为达到所述控制阈值，则确定所述网络报文的应用协议，并获取所述应用协议的攻击频率排名；
[0018]
第二判断模块，用于判断所述攻击频率排名是否不小于第一设定值；
[0019]
报文检测模块，用于若所述第二判断模块的判断结果为是，则对所述网络报文进行深度报文检测；
[0020]
转发模块，用于若所述第二判断模块的判断结果为否，则不对所述网络报文执行深度报文检测并转发所述网络报文；
[0021]
所述报文检测模块，还用于若所述第一判断模块的判断结果为未达到所述控制阈值，则对所述网络报文进行深度报文检测。
[0022]
根据本申请的第三方面，提供一种网络安全设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
[0023]
根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
[0024]
本申请实施例的有益效果：
[0025]
在网络安全设备的cpu利用率达到控制阈值时，可以对攻击频率比较高的网络报文进行深度报文检测(网络报文对应的攻击频率排名不小于第一设定值)，这样，这样可以避免攻击频率高的网络报文危害内网数据；此外，对攻击频率比较低的网络报文不做深度报文检测直接转发处理即可，由于攻击频率比较低的网络报文可能不会对内网造成较大威胁，这样一来，不仅可以减轻网络安全设备的cpu负荷，而且也可以在一定程度上保证内网数据的安全性；同时也不需要使用高性能的网络安全设备。
附图说明
[0026]
图1是本申请实施例提供的一种网络安全设备的结构示意图；
[0027]
图2是本申请实施例提供的一种报文检测方法的流程图；
[0028]
图3是本申请实施例提供的另一种报文检测方法的流程图；
[0029]
图4是本申请实施例提供的再一种报文检测方法的流程图；
[0030]
图5是本申请实施例提供的再一种报文检测方法的流程图；
[0031]
图6是本申请实施例提供的另一种报文检测装置的框图。
具体实施方式
[0032]
这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例
中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如本申请的一些方面相一致的装置和方法的例子。
[0033]
在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
[0034]
应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0035]
发明人发现，在很多应用场景下，业务流量的大小是分时段的，绝大部分时间内，流量都很小，某些集中时间段内访问量激增导致带宽激增。此时网络安全设备的cpu处于高负荷工作状态，网络安全设备为了优先保证业务的不中断，当cpu利用率达到阈值时，网络安全设备会开启软件旁路bypass，关闭报文深度检测的相关功能，但是这样会给内网的数据安全造成网络安全威胁。
[0036]
有鉴于此，本申请提供了一种报文检测方法，应用于网络安全设备中，网络安全设备获取网络报文；判断网络安全设备当前的cpu利用率是否达到控制阈值；若达到控制阈值，则确定网络报文的应用协议，并获取应用协议的攻击频率排名；若攻击频率排名不小于第一设定值，则对网络报文进行深度报文检测；若攻击频率排名小于第一设定值，不对网络报文执行深度报文检测；若未达到所述控制阈值，则直接对网络报文进行深度报文检测。采用上述方法，在网络安全设备的cpu利用率达到控制阈值时，可以对攻击频率比较高的网络报文进行深度报文检测(网络报文对应的攻击频率排名不小于第一设定值)，这样，这样可以避免攻击频率高的网络报文危害内网数据；此外，对攻击频率比较低的网络报文不做深度报文检测直接转发处理即可，由于攻击频率比较低的网络报文可能不会对内网造成较大威胁，这样一来，不仅可以减轻网络安全设备的cpu负荷，而且也可以在一定程度上保证内网数据的安全性；同时也不需要使用高性能的网络安全设备。
[0037]
请参照图1，是本实施例提供的网络安全设备100的方框示意图。该网络安全设备100包括存储器110、处理器120及通信模块130。存储器110、处理器120以及通信模块130各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
[0038]
其中，存储器110用于存储程序或者数据。存储器110可以是，但不限于，随机存取存储器(random access memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read-only memory，prom)，可擦除只读存储器(erasable programmable read-only memory，eprom)，电可擦除只读存储器(electric erasable programmable read-only memory，eeprom)等。
[0039]
处理器120用于读/写存储器110中存储的数据或程序，并执行相应地功能。例如，当存储器110存储的计算机程序被处理器120执行时，能够实现本申请各实施例所揭示的报文检测方法。
[0040]
通信模块130用于通过网络建立网络安全设备100与其它通信终端之间的通信连接，并用于通过网络收发数据。例如，网络安全设备100可以通过通信模块130从其它通信终端获取网络报文。
[0041]
应当理解的是，图1所示的结构仅为网络安全设备100的结构示意图，网络安全设备100还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。可选地，本申请实施例中的网络安全设备100可以为与网关连接的报文检测设备等等，当然也可以为其他设备，具体根据实际情况而定。
[0042]
下面对本申请提供的报文检测方法进行详细地说明。
[0043]
参见图2，图2是本申请提供的一种报文检测方法的流程图，该方法可包括如下所示步骤：
[0044]
s201、获取网络报文。
[0045]
本申请中的网络报文为网络安全设备入接口采集到的报文。
[0046]
s202、判断网络安全设备当前的cpu利用率是否达到控制阈值；若是，则执行步骤s203；若否，则执行步骤s205。
[0047]
本步骤中，上述控制阈值可配置，具体可以根据实际情况而定。
[0048]
s203、确定所述网络报文的应用协议，并获取所述应用协议的攻击频率排名。
[0049]
本步骤中，可以对网络报文进行解析处理，从而可以解析得到该网络报文的应用协议；此外，本地统计了各种应用协议的攻击频率，然后实时对各个应用协议的攻击频率进行排名，可以得到各个应用协议的攻击频率排名。在此基础上，针对当前的网络报文，当获取到该网络报文的应用协议后，可以从本地获取该应用协议对应的攻击频率排名。
[0050]
可选地，本申请中网络报文的应用协议可以但不限于为文件传输协议)(file transfer protocol，ftp)协议、超文本传输协议(hypertext transfer protocol，http)协议、简单邮件传输协议(simple mail transfer protocol，smtp)协议和pop3协议等等。
[0051]
s204、判断攻击频率排名是否不小于第一设定值，若是，则执行步骤s205；若否，则执行步骤s206。
[0052]
s205、对所述网络报文进行深度报文检测。
[0053]
s206、不对所述网络报文执行深度报文检测并转发所述网络报文。
[0054]
步骤s204～s206中，当该网络报文的应用协议对应的攻击频率排名小于第一设定值时，表明利用该应用协议的网络报文进行攻击的攻击的次数会比较少，也即表明该应用协议对应的网络报文属于攻击报文的可能性比较小，因此为了避免网络安全设备的cpu利用率过高，并且减轻网络安全设备的压力，可以对所属协议为攻击频率排名靠后的对应的应用协议的网络报文不做深度报文检测，直接做转发处理，即，执行步骤s206不对该网络报文做深度报文检测，这样即使该网络报文进入到内网也不会对内网的安全性造成严重威胁。反之，当攻击频率排名不小于第一设定值时，则表明利用该应用协议的网络报文进行攻击的攻击的次数会比较大，也即表明该应用协议对应的网络报文属于攻击报文的可能性非常大，为了保证内网数据的安全性，则执行步骤s205，即对该网络报文进行深度报文检测，从而可以准确地识别出具有攻击性或病毒性的网络报文，避免攻击报文进入内网而导致内网数据受到威胁的情况发生。
[0055]
可选地，本申请在步骤s204判断结果为否，以及在执行步骤s206之前，还可以执行图3所示的流程，其中图3中与图2中重复的流程不再此处列出：
[0056]
s301、获得网络报文的攻击特征。
[0057]
本步骤中，本实施例中会预先基于目前现有的攻击汇总得到各种攻击对应的攻击特征并记录。在此基础上，当获取到网络报文后，可以从网络报文中解析出该网络报文中的攻击特征。
[0058]
s302、基于攻击特征与攻击级别的对应关系，确定所述网络报文的攻击特征对应的攻击级别。
[0059]
具体地，在汇总出当前存在的网络攻击对应的攻击特征后，根据目前的每个攻击的危害程度，确定每个攻击特征的攻击级别，然后存储每个攻击特征与该攻击特征的攻击级别之间的对应关系。
[0060]
在此基础上，本步骤中，在获得网络报文的攻击特征后，可以基于上述对应关系，确定网络报文的攻击特征对应的攻击级别。
[0061]
s303、判断确定出的攻击级别是否不小于第一级别阈值；若是，则执行步骤s205，若否，则执行步骤s206。
[0062]
本步骤中，为了在网络安全设备的cpu利用率达到控制阈值时能够减轻cpu的负荷，会设置关于攻击级别的攻击级别阈值，如第一级别阈值和后续涉及的第二级别阈值等等，其中第一级别阈值小于第二级别阈值。第一级别阈值和第二级别阈值分别用于表征攻击的程度，例如攻击级别小于第一级别阈值的攻击，属于安全威胁程度不太高的攻击；当攻击级别大于第一级别阈值时，表征网络报文的攻击属于安全威胁程度比较高的攻击。
[0063]
在此基础上，当获取到网络报文的攻击级别后，可以判断该网络报文的攻击级别是否不小于第一级别阈值，当小于第一级别阈值时，表明该网络报文的攻击对安全的威胁程度不太高，即使网络报文进入内网，对内网数据的威胁程度也不太高，因此，为了减轻网络安全设备的cpu负荷，可以对攻击频率比较低且攻击级别也比较低的网络报文直接转发，即对攻击频率排名低于第一设定值且攻击级别低于第一级别阈值的网络报文不执行深度报文检测，这样一来既可以减轻网络安全设备的cpu负荷，而且即使此网络报文进入内网，也不会对内网数据造成严重威胁，从而在一定程度上保证了内网数据的安全性；此外，虽然有些网络报文的攻击频率排名比较低，但是该类网络报文的攻击级别有可能很高，会严重造成安全威胁，为了避免这类网络报文转发到内网中，会对攻击频率排名低于第一设定值但攻击级别不低于第一级别阈值的网络报文进行深度报文检测，从而可以准确地识别出该网络报文是否为攻击报文，当为攻击报文时则不会将其转发到内网中，当不为攻击报文时则允许转发到内网中，从而保证了内网数据的安全性。采用上述方法，既可以降低网络安全设备的cpu负荷，而且也能保证业务流量不因cpu负荷过高而丢包，还能够对网络报文执行深度报文检测。
[0064]
可选地，当采用上述图2或图3任一所示的方法确认需要对网络报文进行深度报文检测时，则可以执行下述过程：若确认该网络报文为攻击报文时，则不转发该网络报文；并更新该网络报文对应的应用协议的攻击频率排名；若确认该网络报文不为攻击报文时，则转发该网络报文。
[0065]
具体地，当确认该网络报文为攻击报文后，则将该网络报文所对应的应用协议的
攻击频率加1，进而可以更新该应用协议的攻击频率在所有应用协议的攻击频率中的攻击频率排名，以便下次在cpu利用率较高时使用最新的数据。而当网络报文不为攻击报文时，则可以将该网络报文转发到内网中，从而避免了安全的网络报文的漏发。
[0066]
采用上述方法，能够减轻网络安全设备的cpu负荷，但是减轻后的cpu利用率有可能还存在达到控制阈值的情况，为了避免因cpu负荷太高导致业务中断的情况发生，本申请提出在执行上述任一实施例之后，还可以继续监控网络安全设备当前的cpu利用率，然后按照图4所示的流程实施：
[0067]
s401、继续判断网络安全设备当前的cpu利用率是否达到控制阈值；若判断结果为是，则执行步骤s403；若判断结果为否，则执行步骤s405。
[0068]
具体地，网络安全设备会持续判断其cpu利用率是否达到控制阈值，若达到控制阈值，表明即使采用上述实施例虽然减轻了cpu负荷，但是cpu利用率依然比较高，则此时可以执行步骤s403；若未达到控制阈值，则表明采用上述任一实施例减轻了网络安全设备的cpu负荷，则此时会对后续接收到的网络报文均执行深度报文检测，即执行步骤s405。
[0069]
s402、继续获取新的网络报文。
[0070]
需要说明的是，步骤s401与步骤s402可以并行执行，也可以有先后顺序，本申请对此不进行限定，图2仅是一种示例，并不构成对上述两个步骤的执行顺序的限定。
[0071]
s403、当获取到新的网络报文时，确定所述新的网络报文的应用协议，以及获取所述新的网络报文的应用协议对应的攻击频率排名。
[0072]
本步骤中，当确认网络安全设备当前cpu负荷较高时，可以继续确认新的网络报文的应用协议，然后基于当前最新记录的各个应用协议的攻击频率排名，确定新的网络报文的应用协议的攻击频率排名。
[0073]
s404、判断新的网络报文对应的攻击频率排名是否不小于第二设定值；若不小于第二设定值，则执行步骤s405；若小于第二设定值，则执行步骤s406。
[0074]
s405、对所述新的网络报文进行深度报文检测。
[0075]
s406、不对所述新的网络报文执行深度报文检测并转发所述新的网络报文。
[0076]
步骤s404～s406中，上述第二设定值大于第一设定值，当确认新的网络报文对应的攻击频率排名不小于第二设定值时，表明利用该网络报文的应用协议进行攻击的攻击频率非常高，则为了保证内网数据的安全性，则需要对新的网络报文进行深度报文检测；若小于第二设定值，则表明利用该网络报文的应用协议进行攻击的攻击频率属于中等程度的攻击频率，则为了避免cpu负荷较高而导致网络安全设备故障，此时可以不对中等程度攻击的网络报文进行深度报文检测，也即执行步骤s406，从而可以进一步地减轻cpu的负荷，此外，即使将该类网络报文转发到内网，由于对应攻击属于中等程度，则进入内网后对内网数据的威胁也不是特别高，在一定程度上能保证内网数据的安全性。
[0077]
可选地，本申请在步骤s404的判断结果为否，以及在执行步骤s406之前，还可以执行图5所示的流程，其中，图5与图4中重复的流程不再此处列出：
[0078]
s501、获得新的网络报文的攻击特征。
[0079]
s502、基于攻击特征与攻击级别的对应关系，确定所述新的网络报文的攻击特征对应的攻击级别。
[0080]
具体地，步骤s501和s502的实施可以参考关于步骤s301和s302的实施过程，此处
不再详细说明。
[0081]
s503、判断新的网络报文对应的攻击级别是否不小于第二级别阈值，若是，则执行步骤s405；若否，则执行步骤s406。
[0082]
具体地，上述第二级别阈值大于第一级别阈值，当攻击级别大于第二级别阈值时，表明网络报文对应的攻击属于安全威胁程度非常高的攻击，而当攻击级别小于第二级别阈值且大于第一级别阈值时，则表明网络报文对应的攻击介于安全威胁程度比较高与安全威胁程度非常高之间的攻击。
[0083]
在此基础上，当新的网络报文的攻击级别小于第二级别阈值时，表明该新的网络报文的安全威胁程度处于中等，即使该新的网络报文进入内网，对内网数据的威胁程度也处于中等程度，但由于此时网络安全设备的cpu负荷依然较高，则为了避免网络安全设备的cpu负荷过高而导致的设备故障，则此时可以对攻击频率处于中等且攻击级别也处于中等的网络报文不做深度报文检测直接进行转发，即对攻击频率排名低于第二设定值且攻击级别低于第二级别阈值的新的网络报文不执行深度报文检测，这样一来可以进一步地减轻cpu负荷，而且在一定程度上保证了内网数据的安全性。此外，虽然有些网络报文的攻击频率排名处于中等，但是该类网络报文的攻击级别有可能比较高，而且对内网数据会造成严重威胁，此时，为了避免这类网络报文进入到内网中，会对攻击频率排名低于第二设定值但攻击级别不小于第二级别阈值的网络报文(即新的网络报文)进行深度报文检测，从而可以准确地识别出该新的网络报文是否为攻击报文，当为攻击报文时则不会将其转发到内网中，当不为攻击报文时则允许转发到内网中，从而保证了内网数据的安全性。采用上述方法，既可以进一步降低网络安全设备的cpu负荷，而且也能保证业务流量不因cpu负荷过高而丢包，还能够对安全威胁很高的网络报文执行深度报文检测，以阻断那些对内网数据安全威胁很大的攻击，保证数据的通信安全。
[0084]
可选地，当采用图4或图5任一所示的方法确认新的网络报文需要进行深度报文检测时，则可以执行下述过程：若确认该新的网络报文为攻击报文时，则不转发该新的网络报文；并更新该新的网络报文对应的应用协议的攻击频率排名；若确认该新的网络报文不为攻击报文时，则转发该新的网络报文。
[0085]
具体地，当确认该新的网络报文为攻击报文后，则将该新的网络报文所对应的应用协议的攻击频率加1，进而可以更新该应用协议的攻击频率在所有应用协议的攻击频率中的攻击频率排名，以便下次在cpu利用率较高时使用最新的数据。而当新的网络报文不为攻击报文时，则可以将该新的网络报文转发到内网中，从而避免了安全的网络报文的漏发。
[0086]
可选地，能够减轻网络安全设备的cpu负荷，但是减轻后的cpu利用率有可能还存在达到控制阈值的情况，为了避免因cpu负荷太高导致业务中断的情况发生，本申请提出在执行上述实施例后，网络安全设备还可以继续监控其内的cpu利用率，然后按照下述过程实施：继续判断所述网络安全设备当前的cpu利用率是否达到控制阈值；当达到控制阈值时，则开启旁路bypass功能，以直接转发后续获取到的网络报文，直至所述网络设备的cpu利用率未达到控制阈值为止。
[0087]
具体地，可能存在某些时间段网络安全设备的cpu负荷会极大，业务流量也非常大，也即采用上述实施例依然没有减轻cpu的负荷，则此时可以开启旁路bypass功能，所谓bypass功能是指，当网络安全设备处于高负荷时，开启软件bypass功能，网络安全设备对流
量(报文)只做转发处理，不再做攻击特征匹配等深度报文检测业务，优先保证转发流量业务不中断，直至网络安全设备的cpu负荷有所缓解为止，即cpu利用率低于控制阈值时关闭bypass功能，这样既可以减轻cpu负荷，同时也可以保证业务不中断。
[0088]
基于上述任一实施例，在判断网络安全设备的cpu利用率是否达到控制阈值之前，还可以判断是否预先选择强制深度报文检测；若是，则对后续接收到的网络报文均执行深度报文检测；若未选择强制深度报文检测，则在执行cpu利用率判断步骤。这样，可以满足用户的需求，如果用户更在意攻击性，即当cpu高负荷有可能丢包时，也不会开启bypass，优先保证安全性，则报文直接进行攻击检测流程。如果客户更在意业务流畅性，则可以选择根据cpu的利用率来智能决策检测机制，也即实施本申请上述任一实施例。
[0089]
可选地，上述任一实施例中，在对网络报文进行深度报文检测时，可以将网络报文进行特征解析，然后将解析得到的特征进行特征库匹配，从而识别出网络报文是否为攻击报文，当与特征库匹配成功时则可以确认为攻击报文，若匹配不成功则确认不为攻击报文。上述特征库可以为病毒特征库，该病毒特征库可以在网络安全设备本地存储，也可以存储到云端，由网络安全设备连接云端的病毒特征库。可选地，上述攻击报文可以为攻击性报文和病毒报文。
[0090]
通过采用本申请提供的报文检测方法，网络安全设备根据cpu利用率情况，结合网络安全设备所检测到的应用协议的攻击频率排名，智能地打开关闭部分应用协议的报文深度检测。在不同的时段或者不同的流量负荷下，既保证业务的不中断，又能对流量进行病毒性攻击检测，更加智能地保证网络数据的完整性和安全性。
[0091]
基于同一发明构思，本申请还提供了与上述报文检测方法对应的报文检测装置。该报文检测装置的实施具体可以参考上述对报文检测方法的描述，此处不再一一论述。
[0092]
参见图6，图6是本申请一示例性实施例提供的一种报文检测装置，该报文检测装置应用于网络安全设备中，以及上述装置，包括：
[0093]
获取模块601，用于获取网络报文；
[0094]
第一判断模块602，用于判断所述网络安全设备当前的cpu利用率是否达到控制阈值；
[0095]
第一确定模块603，用于若所述第一判断模块的判断结果为达到所述控制阈值，则确定所述网络报文的应用协议，并获取所述应用协议的攻击频率排名；
[0096]
第二判断模块604，用于判断所述攻击频率排名是否不小于第一设定值；
[0097]
报文检测模块605，用于若上述第二判断模块604的判断结果为是，则对所述网络报文进行深度报文检测；
[0098]
转发模块606，用于若上述第二判断模块604的判断结果为否，则不对所述网络报文执行深度报文检测并转发所述网络报文；
[0099]
上述报文检测模块606，还用于若上述第一判断模块602的判断结果为未达到所述控制阈值，则对所述网络报文进行深度报文检测。
[0100]
可选地，本实施例提供的报文检测装置，还包括：
[0101]
第一获得模块(图中未示出)，用于在所述第一判断模块的判断结果为否时，获得所述网络报文的攻击特征；
[0102]
第二确定模块(图中未示出)，用于基于攻击特征与攻击级别的对应关系，确定所
述网络报文的攻击特征对应的攻击级别；
[0103]
第一确认模块(图中未示出)，用于确认确定出的攻击级别小于第一级别阈值；
[0104]
上述转发模块，还用于在所述第一确认模块确认确定出的攻击级别小于第一级别阈值时，则不对所述网络报文执行深度报文检测并转发所述网络报文；
[0105]
上述报文检测模块，还用于当确定出的攻击级别不小于所述第一级别阈值时，则对所述网络报文进行深度报文检测。
[0106]
基于上述实施例，上述第一判断模块602，还用于继续判断所述网络安全设备当前的cpu利用率是否达到控制阈值；
[0107]
所述获取模块601，还用于继续获取新的网络报文；
[0108]
第一确定模块603，还用于若所述第一判断模块602的判断结果为达到所述控制阈值，则确定所述新的网络报文的应用协议，以及获取所述新的网络报文的应用协议对应的攻击频率排名；
[0109]
上述第二判断模块604，还用于判断新的网络报文对应的攻击频率排名是否不小于第二设定值，所述第二设定值大于所述第一设定值；
[0110]
上述报文检测模块605，还用于若所述第二判断模块604的判断结果为是，则对所述新的网络报文进行深度报文检测；
[0111]
上述转发模块606，还用于若所述第二判断模块604的判断结果为否，则不对所述新的网络报文执行深度报文检测并转发所述新的网络报文。
[0112]
可选地，本实施例提供的报文检测装置，还包括：
[0113]
第二获得模块(图中未示出)，用于在所述第二判断模块的判断结果为否时，获得新的网络报文的攻击特征；
[0114]
第三确定模块(图中未示出)，用于基于攻击特征与攻击级别的对应关系，确定所述新的网络报文的攻击特征对应的攻击级别；
[0115]
第二确认模块(图中未示出)，用于确认所述新的网络报文对应的攻击级别小于第二级别阈值，所述第二级别阈值大于第一级别阈值；
[0116]
上述转发模块606，还用于在所述第二确认模块确认攻击级别小于第二级别阈值时，不对所述新的网络报文执行深度报文检测并转发所述新的网络报文
[0117]
上述报文检测模块605，还用于当所述新的网络报文对应的攻击级别不小于第二级别阈值时，则对所述新的网络报文进行深度报文检测。
[0118]
基于上述实施例，上述第一判断模块602，还用于继续判断所述网络安全设备当前的cpu利用率是否达到控制阈值；
[0119]
以及本实施例提供的报文检测装置，还包括：
[0120]
功能开启模块(图中未示出)，用于当所述第一判断模块的判断结果为达到控制阈值时，则开启旁路bypass功能，以使后续获取到网络报文时直接转发后续获取到的网络报文，直至所述网络设备的cpu利用率未达到控制阈值为止。
[0121]
可选地，基于上述任一实施例，上述报文检测模块605，还用于若确认所述网络报文或所述新的网络报文为攻击报文时，则不转发所述网络报文或所述新的网络报文；
[0122]
以及所述装置，还包括：
[0123]
更新模块(图中未示出)，用于更新所述网络报文或所述新的网络报文对应的应用
协议的攻击频率排名；
[0124]
上述转发模块606，还用于若所述报文检测模块确认所述网络报文或所述新的网络报文不为攻击报文时，则转发所述网络报文或所述新的网络报文。
[0125]
另外，本申请实施例提供了一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例所提供的报文检测方法。
[0126]
对于网络安全设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0127]
需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0128]
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
[0129]
对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0130]
以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。