一种报文处理方法及网络安全设备与流程

1.本技术涉及通信技术领域，尤其涉及一种报文处理方法及网络安全设备。


背景技术：

2.深度报文检测(deep packet inspection，dpi)是一种基于每条流的数据包的深度检测技术。针对不同的网络应用层载荷(例如http、dns等)进行深度检测，通过对报文的有效载荷检测决定其合法性。由于检测是对一条流载荷进行检测，所以报文转发模式是基于流的核负载分担，即相同五元组的一条流的所有报文都要上报给同一个处理核，以由该处理核逐个处理收到的报文，以完成保序工作。由于dpi对报文载荷深度的检测使其对cpu算力资源消耗较大，网络安全设备上开启dpi检测业务后，当遭遇突发单条大流量即单条大象流攻击时，短时间会超出该网络安全设备中某个处理核的dpi业务的七层吞吐能力，导致该处理核处理流量超负载驱动不停地接收报文但得不到处理核的及时处理，导致一定时间内大量缓存报文消耗完内存资源mbuf。由于mbuf资源是所有处理核共用的(受限于底层硬件架构无法实现为每个用于转发的处理核配置自己独立的mbuf资源)，当其他处理核上有正常流量到达时，由于该其他处理核申请不到mbuf资源导致不得不丢包，从而影响所有处理核的转发，即，造成了”一核阻全核阻的现象”。
3.因此，如何有效应对单条大流量，解决因开启dpi业务后因遇到单条大流量造成网络安全设备中的内存资源消耗完而导致的丢包的问题是值得考虑的技术问题之一。


技术实现要素：

4.有鉴于此，本技术提供一种报文处理方法及网络安全设备，用以有效应对单条大流量，解决因开启dpi业务后因遇到单条大流量造成网络安全设备中的内存资源消耗完而导致的丢包的问题。
5.具体地，本技术是通过如下技术方案实现的：
6.根据本技术的第一方面，提供一种报文处理方法，应用于网络安全设备中，所述网络安全设备包括操作系统、深度报文检测dpi引擎和多个处理核，所述方法，包括：
7.在控制平面，所述操作系统确定每个处理核的cpu利用率；
8.所述操作系统当检测到多个处理核中目标处理核的cpu利用率满足告警条件时，则向所述dpi引擎发送告警事件；
9.所述dpi引擎接收到所述告警事件后，在转发平面对所述目标处理核中当前需要执行深度报文检测的第一数据流执行旁路处理。
10.根据本技术的第二方面，提供一种网络安全设备，包括操作系统、深度报文检测dpi引擎和多个处理核，其中：
11.所述操作系统，用于在控制平面确定每个处理核的cpu利用率；当检测到多个处理核中目标处理核的cpu利用率满足告警条件时，则向所述dpi引擎发送告警事件；
12.所述dpi引擎，用于接收到所述告警事件后，在转发平面对所述目标处理核中当前
需要执行深度报文检测的第一数据流执行旁路处理。
13.本技术实施例的有益效果：
14.本技术实施例提供的报文处理方法及网络安全设备中，当操作系统在确定出每个处理核的cpu利用率时，若检测到目标处理核的cpu利用率满足告警条件时，则通过向dpi引擎发送告警事件，以使dpi引擎在转发平面对发往目标处理核的第一数据流进行控制，即执行旁路处理，不再对第一数据流执行深度报文检测。由于dpi就不需要对目标处理核对应的第一数据流的报文执行深度报文检测，直接做转发处理，从而也就避免了dpi在执行深度报文处理时占用较多的mbuf资源的情况发生，从而实现了有效应对单条大流量的目的，解决了因开启dpi业务后因遇到单条大流量造成网络安全设备中的内存资源消耗完而导致的丢包的问题。
附图说明
15.图1是本技术实施例提供的一种报文处理方法的流程示意图；
16.图2是本技术实施例提供的另一种报文处理方法的流程示意图；
17.图3是本技术实施例提供的一种网络安全设备的结构示意图；
18.图4是本技术实施例提供的另一种网络安全设备的结构示意图。
具体实施方式
19.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如本技术的一些方面相一致的装置和方法的例子。
20.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
21.应当理解，尽管在本技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
22.下面对本技术提供的报文处理方法进行详细地说明。
23.参见图1，图1是本技术提供的一种报文处理方法的流程图，应用于网络安全设备中，该网络安全设备包括操作系统、dpi引擎和多个处理核，操作系统与dpi引擎之间的交互流程可包括如下所示步骤：
24.s101、在控制平面，操作系统确定每个处理核的cpu利用率。
25.目前，网络安全设备是要串联在网络里，当开启了ips(入侵防御检测)、av(防病毒)和应用审计等业务后，网络安全设备需要对流经该设备的流量持续进行深度检测，而且这种检测模式是以数据流为单位检测的，即针对每条数据流都要执行dpi检测，设备转发模
式也是基于数据流的核负载分担模式，一旦单个处理核的负载压力过大就会消耗完整个网络安全设备的mbuf资源从而影响该网络安全设备的报文业务处理和报文转发。当网络中出现单条大象流攻击时，整机就会出现一核阻全核阻的问题。有鉴于此，本步骤提出，在控制平面，由网络安全设备的操作系统对每个处理核进行监控，即确定每个处理核的cpu利用率。
26.s102、操作系统当检测到多个处理核中目标处理核的cpu利用率满足告警条件时，则向所述dpi引擎发送告警事件。
27.本步骤中，当操作系统检测到目标处理核的cpu利用率满足告警条件时，表明该目标处理核当前业务处理量较大，也即遇见大流量的场景，可能会导致在处理该目标处理核的业务过程中占用较多的mbuf资源，进而可能导致其他处理核无法正常处理业务，为了避免这一情况的发生，本实施例提出，当确定出目标处理核的cpu利用率达到告警条件时，则向用于深度报文检测的dpi引擎发送告警事件。
28.可选地，上述告警条件可以但不限于为cpu利用率高于设定阈值，该设定阈值的具体取值可以根据实际情况而定。
29.需要说明的是，当操作系统检测到每个处理核的cpu利用率都不满足告警条件时，则继续执行步骤s101的流程。操作系统可以周期性地执行步骤s101，即在检测周期到达时，执行本实施例提供的报文处理流程。
30.可选地，上述检测周期可以但不限于以秒为单位进行设置，具体可以根据实际情况进行配置，本实施例对检测周期的具体取值不进行限定。
31.需要说明的是，上述目标处理核可以为安全网络设备中任一处理核。
32.s103、dpi引擎接收到所述告警事件后，在转发平面对所述目标处理核中当前需要执行深度报文检测的第一数据流执行旁路处理。
33.本步骤中，dpi引擎接收到操作系统发送的告警事件后，就可以在转发平面对目标处理核中本来要执行深度报文检测的第一数据流的业务处理操作进行控制，如在转发平面对该目标处理核的第一数据流执行旁路处理，即直接对外转发该第一数据流，不对该第一数据流执行深度报文检测。这样一来，就可以减轻深度报文检测的报文处理压力，从而减少目标处理核所占用的mbuf资源，进而避免了其他处理核因可用的mbuf资源不足所导致的丢包问题的发生。
34.需要说明的是，上述第一数据流为dpi接收到告警事件时，当前需要目标处理核处理的数据流。
35.通过实施本技术提供的报文处理方法，当操作系统在确定出每个处理核的cpu利用率时，若检测到目标处理核的cpu利用率满足告警条件时，则通过向dpi引擎发送告警事件，以使dpi引擎在转发平面对发往目标处理核的第一数据流进行控制，即执行旁路处理，不再对第一数据流执行深度报文检测。由于dpi就不需要对目标处理核对应的第一数据流的报文执行深度报文检测，直接做转发处理，从而也就避免了dpi在执行深度报文处理时占用较多的mbuf资源的情况发生，从而实现了有效应对单条大流量的目的，解决了因开启dpi业务后因遇到单条大流量造成网络安全设备中的内存资源消耗完而导致的丢包的问题。
36.可选地，基于上述实施例，本实施例中，在执行步骤s103时，可以按照下述过程实施：为所述目标处理核设置告警标记并记录；当需要对所述目标处理核的第一数据流执行
深度报文检测时，若读取到所述目标处理核的告警标记时，则对所述第一数据流执行转发处理。
37.具体地，为了方便转发平面对目标处理核的报文处理的控制，dpi可以维护一个标记列表，然后在该标记列表记录产生告警的处理核的核标识与告警标记之间的对应关系，即，操作系统在确定目标处理核的cpu利用率达到告警条件时，在向dpi引擎发送告警事件时，可以在该告警事件中携带该目标处理核的核标识，这样，dpi引擎在接收到告警事件后，就可以从告警事件中解析出核标识，然后在标记列表中写入该目标处理核的核标识与告警标记之间的对应关系。
38.在此基础上，在转发平面，dpi引擎在执行目标处理核对应的第一数据流的深度报文检测之前，可以先从标记列表中读取该目标处理核是否具有告警标记，当成功读取出该目标处理核的告警标记时，则直接不对该第一数据流执行深度报文检测处理，并转发该第一数据流。
39.可选地，dpi引擎还可以按照下述方法记录目标处理核的告警标记：dpi引擎预先为各个处理核分别申请各自的存储空间，这样，dpi引擎就可以将目标处理核的告警标记写入至该目标处理核对应的存储空间中。这样，当目标处理核当前读取到第一数据流需要执行深度报文检测时，就可以调用dpi引擎来实施，此时dpi引擎可以从该目标处理核对应的存储空间读取告警标记，当读取到告警标记时，则直接不对该第一数据流执行深度报文检测处理，即转发该第一数据流。而当未读取到告警标记时，则正常对第一数据流执行深度报文检测处理，对检测通过的第一数据流执行转发处理。
40.需要说明的是，上述告警标记的具体值可以根据实际情况进行配置，本技术对其具体取值不进行限定。
41.可选地，基于上述实施例，本实施例中，可以按照下述过程执行当需要对所述目标处理核的第一数据流执行深度报文检测时，若读取到所述目标处理核的告警标记时，则对所述第一数据流执行转发处理的步骤：在需要处理上述第一数据流的报文时，查询上述第一数据流的会话表项；若上述会话表项包括旁路标记，则转发上述报文；若上述会话表项未包括旁路标记，则读取上述目标处理核的告警标记；若读取到上述目标处理核的告警标记，则转发上述报文；并对上述会话表项添加旁路标记，得到标记后的会话表项；当需要处理上述第一数据流的新的报文时，若上述新的报文命中上述标记后的会话表项，则转发上述新的报文。
42.具体地，由于在处理数据流时，是以报文为单位进行处理的，然后基于会话表项处理该数据流的各报文，因此，目标处理核当对第一数据流的报文执行二三层检测之后，当dpi引擎对该报文执行深度报文检测之前，先查询会话表项，若该会话表项不包括告警标记，则再从告警标记的存储位置读取该目标处理核的告警标记，例如dpi引擎从目标处理核对应的存储空间读取；当读取到该目标处理核的告警标记，则dpi引擎则不对该报文执行深度报文检测，直接对该报文执行转发处理。同时，dpi引擎会在会话表项中添加旁路标记，例如添加bypass，得到标记后的会话表项，这样，当dpi引擎在处理第一数据流的新的报文时，在匹配标记后的会话表项时，就可以匹配到该旁路标记，则直接对该新的报文转发处理，不再执行深度报文检测。由于同一条数据流前边的报文未做深度报文检测，再对后边的报文做深度报文检测意义是不大的，因此，当第一数据流前边的报文直接做转发处理时，后边的
报文也可以直接做转发处理，一方面可以让dpi引擎为其他处理核的数据流做深度报文检测，同时还可以减少该目标处理核所申请的mbuf资源，由此避免了出现一核阻全核阻的现象。
43.可选地，基于上述任一实施例，本实施例中，还可以执行图2所示的报文处理方法的流程：
44.s201、在控制平面，操作系统再次确认目标处理核的cpu利用率。
45.本步骤中，为了在解决目标处理核遇见大流量时造成mbuf不够而影响其他处理核的报文处理的问题的前提下，在一定程度上保证网络安全设备所接入网络的安全性，本实施例提出，会在控制平面继续确认目标处理核的cpu利用率。
46.s202、操作系统当检测到所述目标处理核的cpu利用率不满足告警条件时，则向所述dpi引擎发送恢复事件。
47.本步骤中，当操作系统确认该目标处理核在一段时间后其cpu利用率不满足告警条件时，则表明该目标处理核在执行图1所示的流程后，目标处理核的cpu利用率得到的缓解，能够在该目标处理核上处理一些深度报文检测功能，从而保证进入所接入网络的报文的安全性，有鉴于此，操作系统会向dpi引擎发送针对该目标处理核的恢复事件。
48.需要说明的是，当确认目标处理核的cpu利用率不高于设定阈值时，则可以确认目标处理核的cpu利用率不满足告警条件。
49.需要说明的是，操作系统在检测目标处理核的cpu利用率的同时，也会检测其他处理核的cpu利用率，当其他处理核的cpu利用率满足告警条件，则执行图1所示的流程；而当其他处理核的cpu利用率不满足告警条件时，则不满足告警条件的其他处理核即为上述目标处理核，执行流程可以参考针对目标处理核的处理流程，即图2所示的流程，此处不再一一详细说明。
50.s203、dpi引擎接收到所述恢复事件后，若所述第一数据流未处理完，则继续对所述第一数据流执行旁路处理；对所述目标处理核新获取的第二数据流执行深度报文检测处理。
51.本步骤中，dpi引擎接收到针对该目标处理核的恢复事件后，还需要对当前需要处理的数据流进行识别，如果当前要处理的数据流依然为第一数据流，则继续对第一数据流执行旁路处理。需要说明的是，由于dpi引擎对第一数据流的前半部分(收到告警事件之后与收到恢复事件之前所处理的部分)执行了旁路处理，即未对第一数据流的前半部分执行深度报文检测，实际应用中，只对第一数据流的后半部分执行深度报文检测意义是不大的，因此本步骤提出dpi引擎直接对第一数据流继续执行转发处理，不再执行深度报文检测。此外，在暂未收到目标处理核的告警事件之前，当dpi引擎处理完第一数据流后，需要处理目标处理核新获取的第二数据流时，则此时可以对第二数据流执行深度报文检测处理，这样，也就能保证了进入到所接入网络的报文都是经过深度报文检测通过的报文，从而提升了所接入网络的安全性。
52.可选地，基于上述实施例，本实施例中提出，可以按照下述方法执行步骤s203：dpi引擎清除上述目标处理核的告警标记；若当前要处理的数据流为上述第一数据流，若未读取到上述目标处理核的告警标记，则继续对上述第一数据流执行旁路处理；当处理完上述第一数据流后，需要处理上述目标处理核新获取的第二数据流时，若未读取到上述目标处
理核的告警标记，则对上述第二数据流执行深度报文检测处理。
53.一种实施例中，当dpi引擎维护有标记列表时，操作系统下发恢复事件时，会携带目标处理核的核标识，这样dpi引擎在接收到恢复事件后，可以从恢复事件中解析出该核标识，然后在标记列表中删除该核标识与告警标记之间的对应关系，从而也就清除了告警标记。在此基础上，dpi引擎在转发平面对目标处理核的数据流执行深度报文处理之前，就可以先从标记列表中读取该目标处理核是否具有告警标记，即基于该目标处理核的核标识从标记列表中确认是否能读取到对应的告警标记，当未读取到告警标记，则表明当前目标处理核上的数据流的流量不足以造成cpu利用率较高，此时，dpi引擎若要处理目标处理核的数据流，则可以先识别当前要处理的数据流是否依然为第一数据流，若是第一数据流，则继续对第一数据流执行旁路处理。当按照前述过程处理完第一数据流后，若此时依然未读取到告警标记，则可以对目标处理核新获取的第二数据流执行深度报文检测处理，这样，在不造成目标处理核的cpu利用率较高的情况下，继续对目标处理核获取到的数据流执行深度报文检测，从而在一定程度上保证了流入安全网络设备所接入网络中的报文是安全的，进而保证所接入网络的安全性。
54.另一种实施例中，当dpi引擎将目标处理核的告警标记写入到目标处理核对应的存储空间时，在dpi引擎从接收到的恢复事件中解析出核标识后，可以将该核标识对应的目标处理核对应的存储空间中存储的告警标记进行清除。在此基础上，dpi引擎在转发平面对目标处理核的数据流执行深度报文处理之前，就可以先从目标处理核对应的存储空间中读取该目标处理核是否具有告警标记，即基于该目标处理核的核标识从目标处理核对应的存储空间中确认是否能读取到对应的告警标记，当未读取到告警标记，则表明当前目标处理核上的数据流的流量不足以造成cpu利用率较高，此时，dpi引擎若要处理目标处理核的数据流，则可以先识别当前要处理的数据流是否依然为第一数据流，若是第一数据流，则继续对第一数据流执行旁路处理。当按照前述过程处理完第一数据流后，若此时依然未能读取到告警标记，则可以对目标处理核新获取的第二数据流执行深度报文检测处理，这样，在不造成目标处理核的cpu利用率较高的情况下，继续对目标处理核获取到的数据流执行深度报文检测，从而在一定程度上保证了流入安全网络设备所接入网络中的报文是安全的，进而保证所接入网络的安全性。
55.可选地，可以按照下述过程执行上述当处理完上述第一数据流后，需要处理上述目标处理核新获取的第二数据流时，若未读取到上述目标处理核的告警标记，则对上述第二数据流执行深度报文检测处理的步骤：当处理上述第二数据流的首报文时，若未读取到上述目标处理核的告警标记，则对上述首报文执行深度报文检测处理；生成上述第二数据流的会话表项；根据上述会话表项对第二数据流的其他报文执行报文检测处理。
56.具体地，当处理完第一数据流后，dpi引擎在需要处理目标处理核新获取到的第二数据流时，即在处理第二数据流的首报文时，此时若未读取到目标处理核的告警标记，则对该首报文直接执行深度报文检测；同时根据该首报文生成会话表项，这样，dpi引擎在处理第二数据流的后续其他报文时，就可以直接根据该会话表项对其他报文执行报文检测处理。即，此时由于会话表项未包括旁路标记，则dpi引擎直接对前述其他报文执行深度报文检测处理，然后将检测通过的报文执行转发处理。
57.基于同一发明构思，本技术还提供了实施上述报文处理方法的网络安全设备。参
见图3，图3是本技术一示例性实施例提供的一种网络安全设备的结构示意图，包括：操作系统301、深度报文检测dpi引擎302和多个处理核(参考图3中的处理核1～处理核n)，其中：
58.上述操作系统301，用于在控制平面确定每个处理核的cpu利用率；当检测到多个处理核中目标处理核的cpu利用率满足告警条件时，则向所述dpi引擎发送告警事件；
59.dpi引擎302，用于接收到所述告警事件后，在转发平面对所述目标处理核中当前需要执行深度报文检测的第一数据流执行旁路处理。
60.具体地，操作系统301和dpi引擎302的处理过程请上述对应方法实施例中的具体实施过程，此处不再一一详细说明。
61.可选地，上述dpi引擎包括控制平面的dpi控制模块3021和转发平面的dpi业务处理模块3022，参考图4所示，其中：
62.所述操作系统301，具体用于向所述dpi控制模块发送告警事件，所述告警事件包括所述目标处理核的核标识；
63.所述dpi控制模块3021，用于在接收到所述告警事件后，为所述核标识对应的目标处理核设置告警标记并记录；
64.所述dpi业务处理模块3022，用于在转发平面，当需要对所述目标处理核的第一数据流执行深度报文检测时，若读取到所述目标处理核的告警标记时，则对所述第一数据流执行转发处理。
65.具体地，dpi控制模块3021会在控制平面接收到告警事件后，从告警事件中解析出目标处理核的核标识，然后将为该目标处理核设置告警标记，然后在目标处理核的核标识与告警标记之间的对应关系写入到标记列表中，或者，将目标处理核的告警标记写入到目标处理核对应的存储空间中。该存储空间为可以dpi控制模块3021预先为各个处理核申请并维护的。在此基础上，dpi业务处理模块3022在转发平面需要对目标处理核获取到的第一数据流执行深度报文检测之前，就可以从标记列表或目标处理核对应的存储空间中读取告警标记，当读取到告警标记时，则对第一数据流执行转发处理，不再对第一数据流执行深度报文检测处理。
66.在此基础上，上述dpi业务处理模块3022，具体用于在需要处理所述第一数据流的报文时，查询所述第一数据流的会话表项；若所述会话表项包括旁路标记，则转发所述报文；若所述会话表项未包括旁路标记，则读取所述目标处理核的告警标记；若读取到所述目标处理核的告警标记，则转发所述报文；并对所述会话表项添加旁路标记，得到标记后的会话表项；当需要处理所述第一数据流的新的报文时，若所述新的报文命中所述标记后的会话表项，则转发所述新的报文。
67.需要说明的是，dpi业务处理模块3022执行上述实施例的处理流程可参考对应方法实施例中的dpi引擎在转发平面对应的实施过程，此处不再一一详细说明。
68.可选地，基于上述任一实施例，本实施例中，上述操作系统301，还用于在控制平面，再次确认所述目标处理核的cpu利用率；以及，当检测到所述目标处理核的cpu利用率不满足告警条件时，则向所述dpi引擎发送恢复事件；
69.所述dpi引擎302，用于接收到所述恢复事件后，若所述第一数据流未处理完，则继续对所述第一数据流执行旁路处理；对所述目标处理核新获取的第二数据流执行深度报文检测处理。
70.具体地，操作系统301和dpi引擎302的处理过程请上述对应方法实施例中的具体实施过程，此处不再一一详细说明。
71.可选地，基于上述实施例，本实施例中的述dpi引擎包括控制平面的dpi控制模块3021和转发平面的dpi业务处理模块3022，也请参考图4所示。
72.在此基础上，所述操作系统301，具体用于向所述dpi控制模块发送恢复事件，所述恢复事件包括所述目标处理核的核标识；
73.所述dpi控制模块3021，用于在接收到所述恢复事件后，清除所述目标处理核的告警标记；
74.所述dpi业务处理模块3022，用于若当前要处理的数据流为所述第一数据流，若未读取到所述目标处理核的告警标记，则继续对所述第一数据流执行旁路处理；当处理完所述第一数据流后，需要处理所述目标处理核新获取的第二数据流时，若未读取到所述目标处理核的告警标记，则对所述第二数据流执行深度报文检测处理。
75.具体地，dpi控制模块3021会在控制平面接收到恢复事件后，从恢复事件中解析出目标处理核的核标识，然后在标记列表中清除目标处理核的核标识与告警标记之间的对应关系，或者，从目标处理核对应的存储空间中清除告警标记。而dpi业务处理模块3022在转发平面执行深度报文检测之前，就可以从标记列表或目标处理核对应的存储空间中读取告警标记，当未处理到时，则若当前要处理的数据流为所述第一数据流，则继续对所述第一数据流执行旁路处理；当处理完所述第一数据流后，需要处理所述目标处理核新获取的第二数据流时，若依然未读取到所述目标处理核的告警标记，则对所述第二数据流执行深度报文检测处理。需要说明的是，dpi业务处理模块3022执行上述实施例的处理流程可参考对应方法实施例中的dpi引擎在转发平面对应的实施过程，此处不再一一详细说明。
76.在此基础上，上述dpi业务处理模块3022，具体用于当处理所述第二数据流的首报文时，若未读取到所述目标处理核的告警标记，则对所述首报文执行深度报文检测处理；生成所述第二数据流的会话表项；根据所述会话表项对第二数据流的其他报文执行报文检测处理。
77.需要说明的是，dpi业务处理模块3022执行上述实施例的处理流程可参考对应方法实施例中的dpi引擎在转发平面对应的实施过程，此处不再一一详细说明。
78.通过提供上述安全网络设备，不仅避免了dpi在执行深度报文处理时占用较多的mbuf资源的情况发生，而且实现了有效应对单条大流量的目的，同时解决了因开启dpi业务后因遇到单条大流量造成网络安全设备中的内存资源消耗完而导致的丢包的问题。
79.基于同一发明构思，本实施例还提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被操作系统或dpi引擎调用和执行时，计算机程序促使处理器执行本技术实施例上述任一实施例所提供的报文处理方法。
80.上述机器可读存储介质可以为存储器，该存储器可以包括随机存取存储器(random access memory，ram)、ddr sram(double data rate synchronous dynamic random access memory，双倍速率同步动态随机存储器)，也可以包括非易失性存储器(non-volatile memory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
81.对于机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方
法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
82.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
83.上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
84.对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本技术方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
85.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。