CN106161251A - 报文安全分析方法和装置 - Google Patents
报文安全分析方法和装置 Download PDFInfo
- Publication number
- CN106161251A CN106161251A CN201610417421.3A CN201610417421A CN106161251A CN 106161251 A CN106161251 A CN 106161251A CN 201610417421 A CN201610417421 A CN 201610417421A CN 106161251 A CN106161251 A CN 106161251A
- Authority
- CN
- China
- Prior art keywords
- list item
- address
- service
- terminal
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2425—Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
- H04L47/2433—Allocation of priorities to traffic types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/61—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources taking into account QoS or priority requirements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供报文安全分析方法和装置。本申请中,不再是单表存储五元组配置项,而是将五元组中涉及终端的信息存储在终端地址表中,以及将五元组中涉及服务端的信息存储在服务地址表,即五元组不再存储在同一张表,并通过策略表组合终端地址表与服务地址表,这一方面解决了单表存储下表项规模巨大的问题,实现了在利用相同的存储资源的同时,可以使分析设备可分析的报文数量有可观的增加,另一方面由于单表的表项规模减少,这大大加速了表项查询速度,提高了分析设备分析报文的效率和性能。
Description
技术领域
本申请涉及计算机网络技术领域,特别涉及报文安全分析方法和装置。
背景技术
随着互联网的迅速发展,使用宽带或者移动设备接入网络的用户与日俱增,与此同时,网络服务提供商的数量也在不断扩大,网络的规模呈现急速扩大的趋势。出于网络安全的考虑,需要对网络中的报文进行安全分析。
为了实现报文的安全分析,需要在用于对报文安全分析的设备(简称分析设备)中配置基于报文五元组的配置项。报文五元组为:协议类型、源IP地址、源端口、目的IP地址、目的端口。
目前,常用的方案是:基于单表存储所有可能的配置项。这里将存储配置项的表记为配置表。这也就意味着同一个终端的IP地址、同一个服务端IP地址可能在同一配置表中出现很多次。以终端访问多个服务端的报文举例,要想分析这些报文,需要将终端发往服务端所有可能的报文五元组组成配置项组合到配置表中,在配置表中,终端IP地址的数目会出现很多次,同样,当同一个服务端访问多个终端时,在配置表中服务端IP地址的数目也会出现很多次,这会导致配置表规模巨大,配置表中配置项数目过多和存储资源的紧张。
发明内容
本申请提供了报文安全分析方法和装置,以解决单表存储五元组配置项导致的配置表规模巨大所带来的问题。
具体地,本申请是通过如下技术方案实现的:
一种报文安全分析方法,该方法应用于分析设备,所述分析设备上分别配置了终端地址表、服务地址表、策略表;终端地址表中每一终端地址表项至少记录涉及终端的信息,涉及终端的信息至少包含:终端的IP地址、终端发送报文的源端口、终端接收报文的目的端口、终端发送或者接收的报文所属的协议类型;服务地址表中每一服务地址表项至少记录涉及服务端的信息,涉及服务端的信息至少包含服务端的IP地址、服务端发送报文的源端口、服务端接收报文的目的端口、服务端发送或者接收的报文所属的协议类型;策略表中的策略表项记录了终端地址表项与服务地址表项组合所对应的策略动作;
该方法包括:
分析设备接收报文,依据所述报文的五元组中涉及终端的信息在所述终端地址表中查找到匹配的终端地址表项;
分析设备再依据所述报文的五元组中涉及服务端的信息在所述服务地址表中查找到匹配的服务地址表项;
分析设备依据查找到的终端地址表项和服务地址表项在所述策略表中查找到对应的策略表项,依据查找到的策略表项中的策略动作处理接收的报文。
一种报文安全分析装置,该装置应用于分析设备,所述装置上分别配置了终端地址表、服务地址表、策略表;终端地址表中每一终端地址表项至少记录涉及终端的信息,涉及终端的信息至少包含:终端的IP地址、终端发送报文的源端口、终端接收报文的目的端口、终端发送或者接收的报文所属的协议类型;服务地址表中每一服务地址表项至少记录涉及服务端的信息,涉及服务端的信息至少包含服务端的IP地址、服务端发送报文的源端口、服务端接收报文的目的端口、服务端发送或者接收的报文所属的协议类型;策略表中的策略表项记录了终端地址表项与服务地址表项组合所对应的策略动作;
该装置包括:
接收单元,用于接收报文;
第一匹配单元,用于依据所述报文的五元组中涉及终端的信息在所述终端地址表中查找到匹配的终端地址表项;
第二匹配单元,用于再依据所述报文的五元组中涉及服务端的信息在所述服务地址表中查找到匹配的服务地址表项;
第三匹配单元,用于依据查找到的终端地址表项和服务地址表项在所述策略表中查找到对应的策略表项;
处理单元,用于依据第三匹配单元查找到的策略表项中的策略动作处理接收的报文。
由以上技术方案可以看出,本申请中,不再是单表存储五元组配置项,而是将五元组中涉及终端的信息存储在终端地址表中,以及将五元组中涉及服务端的信息存储在服务地址表,即五元组不再存储在同一张表,这解决了单表存储下表项规模巨大的问题,并且,通过策略表组合终端地址表与服务地址表,实现了在利用相同的存储资源的同时,可以使分析设备可分析的报文数量有可观的增加。
进一步地,由于本申请中,将五元组中涉及终端的信息存储在终端地址表中,以及将五元组中涉及服务端的信息存储在服务地址表,单表的表项规模减少,这大大加速了表项查询速度,提高了分析设备分析报文的效率和性能。
附图说明
图1为本发明提供的方法流程图;
图2为本发明提供的实施例流程图;
图3为本发明提供的装置结构图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本申请进行详细描述。
本申请的原则是:配置终端地址表、服务地址表,将五元组分散存储在终端地址表、服务地址表,以缩小表项规模,并通过配置策略表将终端地址表、服务地址表组合起来,以达到仅用少量存储空间就可以得到组合最大化的效果。
具体地,在本申请中,终端地址表的各个表项(也称终端地址表项)主要存储涉及终端的信息,涉及终端的信息至少包含:终端的IP地址、终端发送报文的端口(记为源端口)、终端接收报文的端口(记为目的端口)、终端发送或者接收的报文所属的协议类型。下述表1示出了终端地址表的结构:
| 表项标识 | 源IP | 目的IP | 源端口 | 目的端口 | 协议 |
| A1 | T1终端IP | 任意IP | 任意端口 | 任意端口 | 任意协议 |
| A2 | T2终端IP | 任意IP | 特定端口P1 | 任意端口 | TCP |
| A3 | 任意IP | T3终端IP | 任意端口 | 特定端口P2 | TCP |
表1
表1以终端地址表包含三个终端地址表项为例,在表1中,第二行至第四行中每一行表示一个终端地址表项,每一个终端地址表项都具有唯一的表项标识,比如表1中的A1为第二行指示的终端地址表项的表项标识,A2为第三行指示的终端地址表项的表项标识,A3为第四行指示的终端地址表项的表项标识。
在表1中,表项标识为A1的终端地址表项(简称终端地址表项A1),其包含了T1终端向服务端发送报文时的五元组中涉及T1终端的信息,具体为:报文的源IP为T1终端IP。这里,根据实际需求,涉及T1终端的信息中T1终端发送报文的源端口、T1终端发送的报文的协议类型可不限。因为终端地址表项A1指示了T1终端向服务端发送报文,所以对于报文的目的IP、目的端口等,其为涉及服务端的信息,并不为涉及T1终端的信息,因此,不必记录至终端地址表项A1。
在表1中,表项标识为A2的终端地址表项(简称终端地址表项A2),其包含了T2终端向服务端发送报文时的五元组中涉及T2终端的信息,具体为:报文的源IP为T2终端IP、T2终端发送报文的源端口为T2终端上的端口P1、T2终端发送的报文的协议类型为TCP。因为终端地址表项A2指示了T2终端向服务端发送报文,所以对于报文的目的IP、目的端口等,其为涉及服务端的信息,并不为涉及T2终端的信息,因此,不必记录至终端地址表项A2。
在表1中,表项标识为A3的终端地址表项(简称终端地址表项A3),其包含了T3终端接收服务端发送报文时的五元组中涉及T3终端的信息,具体为:报文的目的IP为T3终端IP、T3终端接收报文的目的端口为T3终端上的端口P2,T3终端接收的报文的协议类型为TCP。因为终端地址表项A3指示了服务端向T3终端发送报文,所以对于报文的源IP、源端口等,其为涉及服务端的信息,并不为涉及T3终端的信息,因此,不必记录至终端地址表项A3。
在表1中,当分析设备收到网络中的某条报文的源IP是T1终端IP,那么分析设备在分析该报文时,就会匹配终端地址表项A1;同理,当分析设备收到网络中的某条报文的源IP是T2终端IP,源端口为端口号P1,报文协议类型为TCP,则分析设备在分析该报文时,就会匹配终端地址表项A2,当分析设备收到网络中的某条报文的目的IP是T3终端IP,目的端口为T3上的端口P2,报文协议类型为TCP,则分析设备在分析该报文时,就会匹配终端地址表项A。
具体地,在本申请中,服务地址表中的各个表项(也称服务地址表项)主要记录涉及服务端的信息,涉及服务端的信息至少包含服务端的IP地址、服务端发送报文的端口(记为源端口)、服务端接收报文的端口(记为目的端口)、服务端发送或者接收的报文所属的协议类型。下述表2示出了服务地址表的结构:
| 表项标识 | 源IP | 目的IP | 源端口 | 目的端口 | 协议 |
| B3 | S1服务IP | 任意IP | 特定端口P3 | 任意端口 | 任意协议 |
| B4 | S2服务IP | 任意IP | 特定端口P4 | 任意端口 | TCP |
| B5 | 任意IP | S3服务IP | 任意端口 | 特定端口P5 | TCP |
表2
表2以服务地址表包含三个服务地址表项为例,在表2中,第二行至第四行中每一行表示一个服务地址表项,每一个服务地址表项都具有唯一的表项标识,比如表2中的B3为第二行指示的服务地址表项的表项标识,B4为第三行指示的服务地址表项的表项标识,B5为第四行指示的服务地址表项的表项标识。
在表2中,表项标识为B3的服务地址表项(简称服务地址表项B3),其包含了S1服务端向终端发送报文时的五元组中涉及S1服务端的信息,具体为:报文的源IP为S1服务端IP、S1服务端发送报文的源端口为S1服务端上的端口P3。这里,根据实际需求,涉及S1服务端的信息中S1服务端发送的报文的协议类型可不限。因为服务地址表项B3指示了S1服务端向终端发送报文,所以对于报文的目的IP、目的端口等,其为涉及终端的信息,并不为涉及S1服务端的信息,因此,不必记录至服务地址表项B3。
在表2中,表项标识为B4的服务地址表项(简称服务地址表项B4),其包含了S2服务端向终端发送报文时的五元组中涉及S2服务端的信息,具体为:报文的源IP为S2服务端IP、S2服务端发送报文的源端口为S2服务端上的端口P4、S2服务端发送的报文的协议类型为TCP。因为服务地址表项B4指示了S2服务端向终端发送报文,所以对于报文的目的IP、目的端口等,其为涉及终端的信息,并不为涉及S2服务端的信息,因此,不必记录至服务地址表项B4。
在表2中,表项标识为B5的服务地址表项(简称服务地址表项B5),其包含了S3服务端接收终端发送的报文的五元组中涉及S3服务端的信息,具体为:报文的目的IP为S3服务端IP、S2服务端接收报文的目的端口为S3服务端上的端口P5、S3服务端接收的报文的协议类型为TCP。因为服务地址表项B5指示了S3服务端接收终端发送的报文,所以对于报文的源IP、源端口等,其为涉及终端的信息,并不为涉及S3服务端的信息,因此,不必记录至服务地址表项B5。
在表2中,当分析设备收到网络中的某条报文的源IP是S1服务端IP、源端口为S1服务端上的端口P3,那么分析设备在分析该报文时,就会匹配服务地址表项B3;同理,当分析设备收到网络中的某条报文的源IP是S2服务端IP、源端口为S2服务端上的端口P4、报文协议类型为TCP,那么分析设备在分析该报文时,就会匹配服务地址表项B4;当分析设备收到网络中的某条报文的目的IP是S3服务端IP、目的端口为S3服务端上的端口P5、报文协议类型为TCP,那么分析设备在分析该报文时,就会匹配服务地址表项B5。
具体地,在本申请中,策略表的各个表项(也称策略表项)记录了终端地址表项与服务地址表项组合所对应的策略动作。优选地,策略表中的策略表项记录了终端地址表项的表项标识与服务地址表项的表项标识组合在一起所对应的策略动作。
仍以上述表1中的终端地址表项与表2中的服务地址表项为例,下述表3示出了策略表中的策略表项:
表3
表3以策略表包含2个策略表项为例,在表3中,第二行、第三行分别表示策略表项,每一个策略表项都具有唯一的表项标识,比如表3中的“1”为第二行指示的策略表项的表项标识,表3中的“3”为第三行指示的策略表项的表项标识。
在表3中,表项标识为“1”的策略表项(简称策略表项1),其包含了终端地址表项A1、服务地址表项B4组合对应的策略动作。表项标识为“2”的策略表项(简称策略表项2),其包含了终端地址表项A2、服务地址表项B3组合对应的策略动作。
在表3中,以表项标识为“1”的策略表项举例,它表示在终端地址表项A1,服务地址表项B4组合成的五元组,策略动作表示分析设备在分析完该报文后,应该怎么处理该报文,这里表示执行动作a。
基于上面描述,下面对本申请提供的方法进行描述:
参见图1,图1为本申请提供的方法流程图。如图1所示,该流程可包括以下步骤:
步骤101,分析设备接收报文,依据报文的五元组中涉及终端的信息在终端地址表中查找到匹配的终端地址表项。
步骤102,分析设备再依据报文的五元组中涉及服务端的信息在服务地址表中查找到匹配的服务地址表项。
步骤103,分析设备依据查找到的终端地址表项和服务地址表项在策略表中查找到对应的策略表项,依据查找到的策略表项中的策略动作处理接收的报文。
至此,完成图1所示流程。
基于上面描述可以看出,在本申请中,不再是单表存储五元组配置项,而是将五元组中涉及终端的信息存储在终端地址表中,以及将五元组中涉及服务端的信息存储在服务地址表,即五元组不再存储在同一张表,这解决了单表存储下表项规模巨大的问题,并且,通过策略表组合终端地址表与服务地址表,实现了在利用相同的存储资源的同时,可以使分析设备可分析的报文数量有可观的增加。
进一步地,由于本申请中,将五元组中涉及终端的信息存储在终端地址表中,以及将五元组中涉及服务端的信息存储在服务地址表,单表的表项规模减少,这大大加速了表项查询速度,提高了分析设备分析报文的效率和性能。
下面通过一个具体实施例对图1所示流程进行详细描述:
参见图2,图2为本申请提供的实施例流程图。如上描述,分析设备配置了上述的终端地址表、服务地址表、以及策略表。基于该配置,则如图2所示,该流程可包括以下步骤:
步骤201,分析设备接收报文。
步骤202,分析设备根据报文五元组中涉及终端的信息在预先配置好的终端地址表中查找匹配的终端地址表项。
步骤203,分析设备判断是否在终端地址表查找到匹配的终端地址表项,如果是,执行步骤204,否则,结束当前流程。
步骤204,分析设备记录查找到的终端地址表项的表项标识。
步骤205,分析设备再依据报文的五元组中涉及服务端的信息在预先配置好的服务地址表中查找匹配的服务地址表项。
步骤206,分析设备在查找到匹配的服务地址表项时,记录查找到的服务地址表项的表项标识,并将匹配次数加1,之后执行步骤207,分析设备在未查找到匹配的服务地址表项时,判断本地是否已记录了查找到的服务地址表项的表项标识,如果是,执行步骤208,否则,结束当前流程。
步骤207,分析设备判断匹配次数是否达到设定的匹配次数阈值,如果是,执行步骤208,否则,依据报文的五元组中涉及服务端的信息继续在预先配置好的服务地址表中查找匹配的服务地址表项,并返回步骤206。
步骤208,分析设备针对本地记录的每一服务地址表项,以该服务地址表项的表项标识和查找到的终端地址表项的表项标识为关键字,在策略表中查找包含该关键字的策略表项。
需要说明的是,虽然在上面描述中没有提及,但策略表中各策略表项是被配置了优先级的。具体如何配置优先级可根据实际需求配置。优选地,优先级取值越小,表示优先级越高,反之亦然。
步骤209,分析设备在策略表中查找到的策略表项数量为1时,直接利用该查找到的策略表项中的策略动作处理接收的报文,在策略表中查找到的策略表项数量大于1时,执行步骤210。
步骤210,分析设备比较查找到的各策略表项被分配的优先级,选取优先级最高的策略表项。
步骤211,分析设备在选取出的优先级最高的策略表项的数目大于1时,随机从选取出的优先级最高的策略表项中选择一个,依据选择的策略表项中的策略动作处理接收的报文;当选取出的优先级最高的策略表项的数目等于1时,依据选取出的优先级最高的策略表项中的策略动作处理接收的报文。
至此,完成图2所示的流程。
以上对本申请提供的方法进行了分析,下面对本申请提供的装置进行描述:
参见图3,图3为本申请提供的装置结构图。该装置上分别配置了终端地址表、服务地址表、策略表;终端地址表中每一终端地址表项至少记录涉及终端的信息,涉及终端的信息至少包含:终端的IP地址、终端发送报文的源端口、终端接收报文的目的端口、终端发送或者接收的报文所属的协议类型;服务地址表中每一服务地址表项至少记录涉及服务端的信息,涉及服务端的信息至少包含服务端的IP地址、服务端发送报文的源端口、服务端接收报文的目的端口、服务端发送或者接收的报文所属的协议类型;策略表中的策略表项记录了终端地址表项与服务地址表项组合所对应的策略动作;
如图3所示,该装置包括:
接收单元,用于接收报文;
第一匹配单元,用于依据所述报文的五元组中涉及终端的信息在所述终端地址表中查找到匹配的终端地址表项;
第二匹配单元,用于再依据所述报文的五元组中涉及服务端的信息在所述服务地址表中查找到匹配的服务地址表项;
第三匹配单元,用于依据查找到的终端地址表项和服务地址表项在所述策略表中查找到对应的策略表项;
处理单元,用于依据第三匹配单元查找到的策略表项中的策略动作处理接收的报文。
优选地,所述第二匹配单元再依据报文的五元组中涉及服务端的信息在服务地址表中查找到匹配的服务地址表项包括:
依据报文的五元组中涉及服务端的信息在服务地址表中查找到匹配的服务地址表项,记录查找到的服务地址表项,并将匹配次数加1,匹配次数初始值为默认值;
判断匹配次数是否达到设定的匹配次数阈值,如果否,
依据报文的五元组中涉及服务端的信息继续在服务地址表中查找到匹配的服务地址表项,记录查找到的服务地址表项,并将匹配次数加1,返回判断匹配次数是否达到设定的匹配次数阈值的步骤。
优选地,终端地址表中每一终端地址表项具有唯一的表项标识;
服务地址表中每一服务地址表项具有唯一的表项标识;
策略表中的策略表项记录了终端地址表项的表项标识与服务地址表项的表项标识组合在一起所对应的策略动作;
当第二匹配单元在服务地址表中查找到的匹配服务地址表项的数目大于1时,所述第三匹配单元依据查找到的终端地址表项和服务地址表项在策略表中查找到对应的策略表项包括:
针对查找到的每一服务地址表项,以该服务地址表项的表项标识和查找到的终端地址表项的表项标识为关键字,在所述策略表中查找包含该关键字的策略表项。
优选地,策略表中的策略表项被分配了优先级;
当查找到的策略表项的数目大于1时,所述处理单元依据查找到的策略表项中的策略动作处理接收的报文包括:
比较查找到的各策略表项被分配的优先级,选取优先级最高的策略表项;
当选取出的优先级最高的策略表项的数目大于1时,随机从选取出的优先级最高的策略表项中选择一个,依据选择的策略表项中的策略动作处理接收的报文;
当选取出的优先级最高的策略表项的数目等于1时,依据选取出的优先级最高的策略表项中的策略动作处理接收的报文。
至此,完成图3所示装置的结构描述。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种报文安全分析方法,该方法应用于分析设备,其特征在于,所述分析设备上分别配置了终端地址表、服务地址表、策略表;终端地址表中每一终端地址表项至少记录涉及终端的信息,涉及终端的信息至少包含:终端的IP地址、终端发送报文的源端口、终端接收报文的目的端口、终端发送或者接收的报文所属的协议类型;服务地址表中每一服务地址表项至少记录涉及服务端的信息,涉及服务端的信息至少包含服务端的IP地址、服务端发送报文的源端口、服务端接收报文的目的端口、服务端发送或者接收的报文所属的协议类型;策略表中的策略表项记录了终端地址表项与服务地址表项组合所对应的策略动作;
该方法包括:
分析设备接收报文,依据所述报文的五元组中涉及终端的信息在所述终端地址表中查找到匹配的终端地址表项;
分析设备再依据所述报文的五元组中涉及服务端的信息在所述服务地址表中查找到匹配的服务地址表项;
分析设备依据查找到的终端地址表项和服务地址表项在所述策略表中查找到对应的策略表项,依据查找到的策略表项中的策略动作处理接收的报文。
2.根据权利要求1所述的方法,其特征在于,所述分析设备再依据报文的五元组中涉及服务端的信息在服务地址表中查找到匹配的服务地址表项包括:
依据报文的五元组中涉及服务端的信息在服务地址表中查找到匹配的服务地址表项,记录查找到的服务地址表项,并将匹配次数加1,匹配次数初始值为默认值;
判断匹配次数是否达到设定的匹配次数阈值,如果否,
依据报文的五元组中涉及服务端的信息继续在服务地址表中查找到匹配的服务地址表项,记录查找到的服务地址表项,并将匹配次数加1,返回判断匹配次数是否达到设定的匹配次数阈值的步骤。
3.根据权利要求1所述的方法,其特征在于,终端地址表中每一终端地址表项具有唯一的表项标识;
服务地址表中每一服务地址表项具有唯一的表项标识;
策略表中的策略表项记录了终端地址表项的表项标识与服务地址表项的表项标识组合在一起所对应的策略动作;
当分析设备在服务地址表中查找到的匹配服务地址表项的数目大于1时,所述分析设备依据查找到的终端地址表项和服务地址表项在策略表中查找到对应的策略表项包括:
针对查找到的每一服务地址表项,以该服务地址表项的表项标识和查找到的终端地址表项的表项标识为关键字,在所述策略表中查找包含该关键字的策略表项。
4.根据权利要求1或3所述的方法,其特征在于,策略表中的策略表项被分配了优先级;
当查找到的策略表项的数目大于1时,依据查找到的策略表项中的策略动作处理接收的报文包括:
比较查找到的各策略表项被分配的优先级,选取优先级最高的策略表项;
当选取出的优先级最高的策略表项的数目大于1时,随机从选取出的优先级最高的策略表项中选择一个,依据选择的策略表项中的策略动作处理接收的报文;
当选取出的优先级最高的策略表项的数目等于1时,依据选取出的优先级最高的策略表项中的策略动作处理接收的报文。
5.一种报文安全分析装置,该装置应用于分析设备,其特征在于,所述装置上分别配置了终端地址表、服务地址表、策略表;终端地址表中每一终端地址表项至少记录涉及终端的信息,涉及终端的信息至少包含:终端的IP地址、终端发送报文的源端口、终端接收报文的目的端口、终端发送或者接收的报文所属的协议类型;服务地址表中每一服务地址表项至少记录涉及服务端的信息,涉及服务端的信息至少包含服务端的IP地址、服务端发送报文的源端口、服务端接收报文的目的端口、服务端发送或者接收的报文所属的协议类型;策略表中的策略表项记录了终端地址表项与服务地址表项组合所对应的策略动作;
该装置包括:
接收单元,用于接收报文;
第一匹配单元,用于依据所述报文的五元组中涉及终端的信息在所述终端地址表中查找到匹配的终端地址表项;
第二匹配单元,用于再依据所述报文的五元组中涉及服务端的信息在所述服务地址表中查找到匹配的服务地址表项;
第三匹配单元,用于依据查找到的终端地址表项和服务地址表项在所述策略表中查找到对应的策略表项;
处理单元,用于依据第三匹配单元查找到的策略表项中的策略动作处理接收的报文。
6.根据权利要求5所述的装置,其特征在于,所述第二匹配单元再依据报文的五元组中涉及服务端的信息在服务地址表中查找到匹配的服务地址表项包括:
依据报文的五元组中涉及服务端的信息在服务地址表中查找到匹配的服务地址表项,记录查找到的服务地址表项,并将匹配次数加1,匹配次数初始值为默认值;
判断匹配次数是否达到设定的匹配次数阈值,如果否,
依据报文的五元组中涉及服务端的信息继续在服务地址表中查找到匹配的服务地址表项,记录查找到的服务地址表项,并将匹配次数加1,返回判断匹配次数是否达到设定的匹配次数阈值的步骤。
7.根据权利要求5所述的方法,其特征在于,终端地址表中每一终端地址表项具有唯一的表项标识;
服务地址表中每一服务地址表项具有唯一的表项标识;
策略表中的策略表项记录了终端地址表项的表项标识与服务地址表项的表项标识组合在一起所对应的策略动作;
当第二匹配单元在服务地址表中查找到的匹配服务地址表项的数目大于1时,所述第三匹配单元依据查找到的终端地址表项和服务地址表项在策略表中查找到对应的策略表项包括:
针对查找到的每一服务地址表项,以该服务地址表项的表项标识和查找到的终端地址表项的表项标识为关键字,在所述策略表中查找包含该关键字的策略表项。
8.根据权利要求5或7所述的装置,其特征在于,策略表中的策略表项被分配了优先级;
当查找到的策略表项的数目大于1时,所述处理单元依据查找到的策略表项中的策略动作处理接收的报文包括:
比较查找到的各策略表项被分配的优先级,选取优先级最高的策略表项;
当选取出的优先级最高的策略表项的数目大于1时,随机从选取出的优先级最高的策略表项中选择一个,依据选择的策略表项中的策略动作处理接收的报文;
当选取出的优先级最高的策略表项的数目等于1时,依据选取出的优先级最高的策略表项中的策略动作处理接收的报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610417421.3A CN106161251B (zh) | 2016-06-14 | 2016-06-14 | 报文安全分析方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610417421.3A CN106161251B (zh) | 2016-06-14 | 2016-06-14 | 报文安全分析方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106161251A true CN106161251A (zh) | 2016-11-23 |
| CN106161251B CN106161251B (zh) | 2019-06-07 |
Family
ID=57353108
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610417421.3A Active CN106161251B (zh) | 2016-06-14 | 2016-06-14 | 报文安全分析方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106161251B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183988A (zh) * | 2007-11-19 | 2008-05-21 | 华为技术有限公司 | 一种识别报文对应的业务类型的方法及其装置 |
| CN101938415A (zh) * | 2010-08-30 | 2011-01-05 | 北京傲天动联技术有限公司 | 网络转发设备的快速转发方法 |
| EP2768203A1 (en) * | 2010-06-01 | 2014-08-20 | Huawei Technologies Co., Ltd. | Method and device for identifying an SCTP packet field of the invention |
| WO2014201600A1 (zh) * | 2013-06-17 | 2014-12-24 | 华为技术有限公司 | 一种会话管理方法、地址管理方法及相关装置 |
| CN104426768A (zh) * | 2013-09-05 | 2015-03-18 | 华为技术有限公司 | 一种数据报文转发方法及装置 |
| CN105099730A (zh) * | 2014-04-23 | 2015-11-25 | 北京奇虎科技有限公司 | 终端设备、基于终端设备的网络流量统计方法及系统 |
-
2016
- 2016-06-14 CN CN201610417421.3A patent/CN106161251B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183988A (zh) * | 2007-11-19 | 2008-05-21 | 华为技术有限公司 | 一种识别报文对应的业务类型的方法及其装置 |
| EP2768203A1 (en) * | 2010-06-01 | 2014-08-20 | Huawei Technologies Co., Ltd. | Method and device for identifying an SCTP packet field of the invention |
| CN101938415A (zh) * | 2010-08-30 | 2011-01-05 | 北京傲天动联技术有限公司 | 网络转发设备的快速转发方法 |
| WO2014201600A1 (zh) * | 2013-06-17 | 2014-12-24 | 华为技术有限公司 | 一种会话管理方法、地址管理方法及相关装置 |
| CN104426768A (zh) * | 2013-09-05 | 2015-03-18 | 华为技术有限公司 | 一种数据报文转发方法及装置 |
| CN105099730A (zh) * | 2014-04-23 | 2015-11-25 | 北京奇虎科技有限公司 | 终端设备、基于终端设备的网络流量统计方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106161251B (zh) | 2019-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9582289B2 (en) | Communication interface selection on multi-homed devices | |
| KR101215208B1 (ko) | 패킷 목적지 주소 및 발신 인터페이스로부터 구성된 라우팅 검색 키에 기초하는 패킷의 발신 송신 | |
| CN102422600B (zh) | 混合节点中提供的方法、相关网络以及相关网络单元 | |
| CN107820700B (zh) | 经学习的漫游认证简档 | |
| US7835304B2 (en) | Method and apparatus for assigning IP addresses | |
| CN108768866B (zh) | 组播报文跨卡转发方法、装置、网络设备及可读存储介质 | |
| CN101286990B (zh) | 二层组播的转发方法和装置 | |
| US20090168786A1 (en) | Defining an end-to-end path for a network service | |
| CN111600797B (zh) | 一种数据传输方法、节点以及系统 | |
| JP5499333B2 (ja) | 情報推薦装置、情報推薦方法及び情報推薦プログラム | |
| CN110311866B (zh) | 一种快速转发报文的方法及装置 | |
| US20120106429A1 (en) | Method for interconnecting mobile communication terminals in ad-hoc network | |
| CN109474713B (zh) | 报文转发方法和装置 | |
| CN105122741A (zh) | 业务流的业务链控制方法和装置 | |
| CN104917681A (zh) | 用于内容中心网络中使用合取范式策略的包转发的系统和方法 | |
| CN107483341B (zh) | 一种跨防火墙报文快速转发方法及装置 | |
| CN104040539A (zh) | 数据存储方法和装置、数据操作方法、系统及接入服务器 | |
| CN103392313A (zh) | 在代理装置上管理主机预订状态的有效方式 | |
| CN106559332A (zh) | 一种快速组建全连通服务器集群的方法和系统 | |
| EP3096492B1 (en) | Page push method and system | |
| CN102201996B (zh) | 网络地址转换环境中报文转发的方法及设备 | |
| Qing et al. | Hybrid virtual network embedding with K-core decomposition and time-oriented priority | |
| CN101710864A (zh) | 一种多网口Linux服务器的配置方法及装置 | |
| CN105490911A (zh) | 虚拟局域网的映射方法和装置 | |
| CN111131049B (zh) | 路由表项的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100029 Beijing city Chaoyang District Yumin Road No. 3 Applicant after: State Computer Network and Information Safety Management Center Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: 100029 Beijing city Chaoyang District Yumin Road No. 3 Applicant before: State Computer Network and Information Safety Management Center Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |