CN104735025B - 一种数据标识方法及其对应装置 - Google Patents

一种数据标识方法及其对应装置 Download PDF

Info

Publication number
CN104735025B
CN104735025B CN201310703431.XA CN201310703431A CN104735025B CN 104735025 B CN104735025 B CN 104735025B CN 201310703431 A CN201310703431 A CN 201310703431A CN 104735025 B CN104735025 B CN 104735025B
Authority
CN
China
Prior art keywords
message
source
data
specified location
destination interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310703431.XA
Other languages
English (en)
Other versions
CN104735025A (zh
Inventor
云晓春
周渊
刘阳
王东安
朱海龙
王涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
National Computer Network and Information Security Management Center
Original Assignee
Hangzhou DPTech Technologies Co Ltd
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd, National Computer Network and Information Security Management Center filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201310703431.XA priority Critical patent/CN104735025B/zh
Publication of CN104735025A publication Critical patent/CN104735025A/zh
Application granted granted Critical
Publication of CN104735025B publication Critical patent/CN104735025B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

本发明提供一种数据标识方法及其对应装置,其中该方法包括:将收到的数据报文的五元组第一部分内容按照预定算法进行计算,将得到的第一结果与目的端口的第一指定位置的内容进行比较,如果两者一致则根据会话表中的修改记录,将对应的原始端口更新到报文的目的端口字段中;如果两者不一致则将数据报文的五元组第二部分内容按照预定算法进行计算,将得到的第二结果填写到该报文源端口字段的第一指定位置中,将来源编号填写在该报文源端口字段的第二指定位置中,然后将修改记录写入会话表。本发明依据数据的特定标识,能有效的解决部分特定安全分析业务数据流量不能在同一服务器处理的多地对准问题。

Description

一种数据标识方法及其对应装置
技术领域
本发明涉及电子通信领域,尤其涉及一种数据标识方法及其对应装置。
背景技术
随着互联网发展迅速,互联网用户、手机访问网络用户不断增加,所使用的业务众多;针对各种业务服务以及协议越来越细化,服务器类型与数量繁杂多样,出于对网络安全的考虑,需要对各地的流量进行旁路分析,作为后端服务器的分析程序需要报文保持一条完整的会话连接,但是在实际的互联网环境中,通过某地某运营商访问的部分应用流量并不能保证在其边界路由器上保持完整的会话,所以旁路在此环境下的设备及其后端服务器对这部分应用流量的分析数据是残缺的。因此如何确保会话的完整性,成为一个急需解决的问题。
目前对于各地国际、省市出入口放置某些特定的安全分析业务需要对报文进行精确的对准,这需要一套复杂的机制来完成,其中如何对IPv4数据报文进行标识成为机制设计的关键,通过特定算法校验依据标识来对多地的数据进行对准,并判定相应的数据流向,最后依据保存的会话表进行数据的还原。
但是现有技术解决会话完整性问题的方法需要部署大量的旁路设备和服务器,成本太大,而且服务器软件处理能力有限,数据无法实时获取。
发明内容
有鉴于此,本发明提供一种数据报文标识装置,应用在网络设备上,该装置包括计算比较单元、数据还原单元以及数据处理单元,其中
计算比较单元,用于将收到的数据报文的五元组第一部分内容按照预定算法进行计算,将得到的第一结果与目的端口的第一指定位置的内容进行比较,如果两者一致则将该报文发送给数据还原单元,如果两者不一致则将报文发送给数据处理单元;
数据还原单元,用于根据会话表中的修改记录,将对应的原始端口更新到报文的目的端口字段中;
数据处理单元,用于建立会话表,将数据报文的五元组第二部分内容按照预定算法进行计算,将得到的第二结果填写到该报文源端口字段的第一指定位置中,将来源编号填写在该报文源端口字段的第二指定位置中,然后将修改记录写入会话表。
本发明还提供一种数据报文标识方法,应用在网络设备上,其特征在于,该方法包括:
步骤A,将收到的数据报文的五元组第一部分内容按照预定算法进行计算,将得到的第一结果与目的端口的第一指定位置的内容进行比较,如果两者一致则转步骤B,如果两者不一致则转步骤C;
步骤B,根据会话表中的修改记录,将对应的原始端口更新到报文的目的端口字段中;
步骤C,建立会话表,将数据报文的五元组第二部分内容按照预定算法进行计算,将得到的第二结果填写到该报文源端口字段的第一指定位置中,将来源编号填写在该报文源端口字段的第二指定位置中,然后将修改记录写入会话表。
本发明能够依据数据报文的地域标识,解决部分特定安全分析业务数据报文不能在同一服务器上处理的对地对准问题。
附图说明
图1是本发明一种实施方式中数据标识装置的逻辑结构及其典型硬件环境的示意图。
图2是本发明一种实施方式中数据标识处理方法的一般处理流程图。
图3是本发明一种实施方式中报文判断计算数据结构示意图。
图4是本发明一种实施方式中报文标识计算数据结构示意图。
具体实施方式
本发明提供一种数据报文标识装置,应用在网络设备上,用以解决保证会话完整性问题。在一种软件实施的优选方式中,本发明提供一种数据报文标识装置,该装置运行的基本硬件环境包括CPU、内存、非易失性存储器以及各种硬件,请参考图1;从逻辑层面上来看,该装置包括计算比较单元、数据还原单元以及数据处理单元。请参考图2,该装置运行过程通常包括如下步骤。
步骤101,计算比较单元将收到的数据报文的五元组第一部分内容按照预定算法进行计算,将得到的第一结果与目的端口的第一指定位置的内容进行比较,如果两者一致则将该报文发送给数据还原单元,如果两者不一致则将报文发送给数据处理单元;
步骤102,数据还原单元根据会话表中的修改记录,将对应的原始端口更新到报文的目的端口字段中;
步骤103,数据处理单元建立会话表,将数据报文的五元组第二部分内容按照预定算法进行计算,将得到的第二结果填写到该报文源端口字段的第一指定位置中,将来源编号填写在该报文源端口字段的第二指定位置中,然后将修改记录写入会话表。
在优选的实施方式中,步骤101中所述五元组第一部分内容包括目的IP地址、源IP地址、源端口的bit15-bit0。
其中,将报文五元组部分内容按照预定算法进行计算,得到第一结果的具体步骤如下。
步骤201,将上述信息按照图3所示方式进行组织,得到一个512位的数据;
步骤202,将该数据通过MD5算法进行运算,得到一个128位的数据;
步骤203,取出128位数据中的bit0-bit7,按顺序7、6、5、4、3、2、1、0排列,得到第一结果;
需要说明的是,步骤203最后得到的8位的数据就是第一结果,而第一结果并不限定是步骤202得出的128位数据中的bit0-bit7,也可以是数据中其他位数的数据。
在优选的实施方式中,步骤103中所述五元组第二部分内容包括目的IP地址的、源IP地址、目的端口的bit15-bit0。其中,计算出第二结果的预定算法和计算出第一结果的预定算法相同。数据处理单元对数据报文添加标识的具体步骤如下。
步骤301,将上述信息按照图4所示方式进行组织,得到一个512位的数据;
步骤302,将该数据通过MD5算法进行运算,得到一个128位的数据;
步骤303,取出128位数据中的bit0-bit7,按顺序7、6、5、4、3、2、1、0排列,得到第二结果。
步骤304,把第二结果填写在报文源端口的bit6-bit13,来源编号填写在bit14-bit15。
同样的,步骤303中最后得到的8位的数据就是第二结果,而第二结果并不限定是步骤302得出的128位数据中的bit0-bit7,也可以是数据中其他位数的数据。
另外,步骤304中报文源端口的bit6-bit13即第一指定位置,bit14-bit15即第二指定位置。
综合上述内容来看,本发明装置在处理报文时,会将目的IP地址、源IP地址、目的端口的bit15-bit0进行运算,将最后得到的第二结果填写在报文源端口bit6-bit13,即第一指定位置中。而该报文的回应报文会将源地址和目的地址交换,所以本发明装置在判断报文是否被处理过的时候,会将目的IP地址、源IP地址、源端口的bit15-bit0进行运算,得到第一结果。由于回应报文的源端口和原报文的目的端口是一致的,也就是说,第一结果和第二结果的参与运算的数据是一样的,而它们的计算方式也是一样的。由于处理原报文时,第二结果填写在了源端口bit6-bit13中,也就是第一指定位置中,所以回应报文里,第二结果会在目的端口bit6-bit13中,因此,在判断报文是否被处理时,会将计算出的第一结果和目的端口bit6-bit13进行对比。
如果对比结果一致,则说明该报文被处理过,那么数据还原单元会对该报文的目的端口进行还原,根据上文所述,报文的目的端口是之前被处理过的原报文的源端口,也就是说被修改过,所以要根据会话表中的修改记录,将对应的原始端口更新到报文的目的端口字段中。
如果对比结果不一致,则说明该报文未被处理过,那么数据处理单元会对该报文进行处理。其中,来源编号是预先设定好的,通常为应用该装置的网络设备所处地区的编号,且该编号是唯一的,与装置一一对应。
例如,本发明装置收到由发送来的报文a,假设其源端口是X,经过上述判断过程可以得知是未处理的,则通过运算,得到第二结果A,则将源端口中第一指定位置中的内容改为“A”,修改前的端口为X,假设修改后的端口为Y,那么修改记录更新到会话表中之后将如表1所示。之后收到报文b,经过判断,得知是处理过的报文a的回应报文,目的端口为Y,查询会话表,知道其对应的原始端口为X,则将目的端口改为X,再将报文发送出去。
原始端口 修改端口
…… ……
X Y
…… ……
表1
通过上述步骤,可以有效解决部分特定安全分析业务数据报文不能在同一服务器上处理的对地对准问题,保证会话的完整性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (10)

1.一种数据报文标识装置,应用在网络设备上,该装置包括:计算比较单元、数据还原单元以及数据处理单元,其特征在于:
计算比较单元,用于将收到的数据报文的五元组第一部分内容按照预定算法进行计算,将得到的第一结果与目的端口的第一指定位置的内容进行比较,如果两者一致则将该报文发送给数据还原单元,如果两者不一致则将报文发送给数据处理单元;
数据还原单元,用于根据会话表中的修改记录,将对应的原始端口更新到报文的目的端口字段中;
数据处理单元,用于建立会话表,将数据报文的五元组第二部分内容按照预定算法进行计算,将得到的第二结果填写到该报文源端口字段的第一指定位置中,将来源编号填写在该报文源端口字段的第二指定位置中,然后将修改记录写入会话表。
2.如权利要求1所述装置,所述五元组第一部分内容包括目的IP地址、源IP地址、源端口的bit15-bit0;五元组第二部分内容包括目的IP地址、源IP地址、目的端口的bit15-bit0。
3.如权利要求1所述装置,所述预定算法为:将数据通过MD5算法得出运算结果,再取出运算结果中的bit0-bit7。
4.如权利要求1所述装置,所述目的端口的第一指定位置为所述目的端口的bit6-bit13;
所述源端口字段的第一指定位置为所述源端口字段的bit6-bit13,所述源端口字段的第二指定位置为所述源端口字段的bit14-bit15。
5.如权利要求1所述装置,所述来源编号为应用该装置的网络设备所处地区的地域编号,且该编号是唯一的,与装置一一对应。
6.一种数据报文标识方法,应用在网络设备上,其特征在于,该方法包括:
步骤A,将收到的数据报文的五元组第一部分内容按照预定算法进行计算,将得到的第一结果与目的端口的第一指定位置的内容进行比较,如果两者一致则转步骤B,如果两者不一致则转步骤C;
步骤B,根据会话表中的修改记录,将对应的原始端口更新到报文的目的端口字段中;
步骤C,建立会话表,将数据报文的五元组第二部分内容按照预定算法进行计算,将得到的第二结果填写到该报文源端口字段的第一指定位置中,将来源编号填写在该报文源端口字段的第二指定位置中,然后将修改记录写入会话表。
7.如权利要求6所述方法,所述五元组第一部分内容包括目的IP地址、源IP地址、源端口的bit15-bit0;五元组第二部分内容包括目的IP地址、源IP地址、目的端口的bit15-bit0。
8.如权利要求6所述方法,所述预定算法为:将数据通过MD5算法得出运算结果,再取出运算结果中的bit0-bit7。
9.如权利要求6所述方法,所述目的端口的第一指定位置为所述目的端口的bit6-bit13;
所述源端口字段的第一指定位置为所述源端口字段的bit6-bit13,所述源端口字段的第二指定位置为所述源端口字段的bit14-bit15。
10.如权利要求6所述方法,所述来源编号为应用该方法的网络设备所处地区的地域编号,且该编号是唯一的,与方法一一对应。
CN201310703431.XA 2013-12-18 2013-12-18 一种数据标识方法及其对应装置 Active CN104735025B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310703431.XA CN104735025B (zh) 2013-12-18 2013-12-18 一种数据标识方法及其对应装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310703431.XA CN104735025B (zh) 2013-12-18 2013-12-18 一种数据标识方法及其对应装置

Publications (2)

Publication Number Publication Date
CN104735025A CN104735025A (zh) 2015-06-24
CN104735025B true CN104735025B (zh) 2018-01-09

Family

ID=53458464

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310703431.XA Active CN104735025B (zh) 2013-12-18 2013-12-18 一种数据标识方法及其对应装置

Country Status (1)

Country Link
CN (1) CN104735025B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102137005A (zh) * 2010-12-31 2011-07-27 华为技术有限公司 一种通信系统中的数据转发方法、装置和系统
CN102291301A (zh) * 2011-08-10 2011-12-21 杭州迪普科技有限公司 一种报文特征的匹配方法及装置
CN103166845A (zh) * 2013-03-01 2013-06-19 华为技术有限公司 数据处理方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102137005A (zh) * 2010-12-31 2011-07-27 华为技术有限公司 一种通信系统中的数据转发方法、装置和系统
CN102291301A (zh) * 2011-08-10 2011-12-21 杭州迪普科技有限公司 一种报文特征的匹配方法及装置
CN103166845A (zh) * 2013-03-01 2013-06-19 华为技术有限公司 数据处理方法和装置

Also Published As

Publication number Publication date
CN104735025A (zh) 2015-06-24

Similar Documents

Publication Publication Date Title
WO2020037918A1 (zh) 基于预测模型的风险控制策略的确定方法及相关装置
CN109660502A (zh) 异常行为的检测方法、装置、设备及存储介质
CN108255725B (zh) 测试方法及装置
CN108171519A (zh) 业务数据的处理、账户识别方法及装置、计算机终端
CN111177779B (zh) 数据库审计方法、其装置、电子设备及计算机存储介质
CN109271793B (zh) 物联网云平台设备类别识别方法及系统
CN103475746B (zh) 一种终端服务方法及装置
CN106789834B (zh) 用于识别用户身份的方法、网关、pcrf网元和系统
CN107483563A (zh) 防爬虫的数据查询方法和装置以及客户端和服务器
CN109165507A (zh) 跨站脚本攻击漏洞检测方法、装置及终端设备
CN106549959B (zh) 一种代理网际协议ip地址的识别方法及装置
CN107332804A (zh) 网页漏洞的检测方法及装置
CN106548074A (zh) 应用程序分析监测方法及系统
CN107239701A (zh) 识别恶意网站的方法及装置
CN104320375A (zh) 一种防止非法注册的方法和装置
CN107196936A (zh) 接口转发方法、系统、计算机设备和存储介质
CN109547426A (zh) 业务响应方法及服务器
CN106790072A (zh) 恶意登录地址识别方法及装置
CN113032787B (zh) 一种系统漏洞检测方法及装置
CN107948199A (zh) 一种对终端共享接入进行快速检测的方法及装置
CN117829272A (zh) 基于节点行为分析的联邦建模方法、装置、设备及介质
CN103780592B (zh) 一种用户账号被盗确定方法及装置
CN103856373B (zh) 基于HTTP协议变异的Web系统健壮性测试方法
CN112422486A (zh) 一种基于sdk的安全防护方法及设备
CN104735025B (zh) 一种数据标识方法及其对应装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 100029 Beijing city Chaoyang District Yumin Road No. 3

Applicant after: State Computer Network and Information Safety Management Center

Applicant after: Hangzhou Dipu Polytron Technologies Inc

Address before: 100029 Beijing city Chaoyang District Yumin Road No. 3

Applicant before: State Computer Network and Information Safety Management Center

Applicant before: Hangzhou Dipu Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant