CN107181605B - 报文检测方法及系统、内容提取装置、流量匹配装置 - Google Patents

报文检测方法及系统、内容提取装置、流量匹配装置 Download PDF

Info

Publication number
CN107181605B
CN107181605B CN201610133439.0A CN201610133439A CN107181605B CN 107181605 B CN107181605 B CN 107181605B CN 201610133439 A CN201610133439 A CN 201610133439A CN 107181605 B CN107181605 B CN 107181605B
Authority
CN
China
Prior art keywords
message
detected
token value
quintuple information
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610133439.0A
Other languages
English (en)
Other versions
CN107181605A (zh
Inventor
周欣
屠一凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201610133439.0A priority Critical patent/CN107181605B/zh
Publication of CN107181605A publication Critical patent/CN107181605A/zh
Application granted granted Critical
Publication of CN107181605B publication Critical patent/CN107181605B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种报文检测方法及系统、内容提取装置、流量匹配装置。其中,该方法包括:获取待检测报文;根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值,其中,所述令牌值用于标识所述待检测报文的特征;将所述五元组信息和所述令牌值发送至流量匹配装置;接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果,其中,所述检测结果用于指示所述待检测报文是否为伪造报文。本申请解决了由于网络流量为非对称时造成的无法确定数据合法性的技术问题。

Description

报文检测方法及系统、内容提取装置、流量匹配装置
技术领域
本申请涉及网络安全领域,具体而言,涉及一种报文检测方法及系统、内容提取装置、流量匹配装置。
背景技术
在网络传输中,当需要发送的报文的大小超过了最大传输单位时,就会利用分片技术,例如,在以太网环境中可传输最大报文大小为1500字节,而需要传输的报文大小要比1500字节大,这个时候就需要利用到分片技术,经分片后才能传输此报文。
当报文进行分片之后,只有当它到达下一站时,才可进行重新组装,且它的组装是由目的端来完成的。分片报文和完整报文差不多拥有相同的报文头,ID域对于每个分片报文都是一致的,这样才能在重新组装的时候识别出来自同一个报文的分片。在报文头中,13位偏移记录了某个分片报文相对整个报文的位置,目的端可以利用这些信息对分片报文进行重新组织。
由于存在分片的问题,加之复杂的网络环境和传输延时,这时候会产生乱序的问题。因此在进行分析的时候,首先要处理乱序和分片重组的问题,接着对重组完成的报文进行分析处理。
然而,当网络流量为非对称时(出入流量分布在不同ISP(Internet ServiceProvider,互联网服务提供商)侧),传统方法无法获取双向的流量信息用于分析。虽然在这种情况下,可以只分析单边的数据。但是单边的数据存在数据伪造和无法溯源等诸多缺陷,导致无法确定数据合法性的问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种报文检测方法及系统、内容提取装置、流量匹配装置,以至少解决由于网络流量为非对称时造成的无法确定数据合法性的技术问题。
根据本申请实施例的一个方面,提供了一种报文检测方法,包括:获取待检测报文;根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值,其中,所述令牌值用于标识所述待检测报文的特征;将所述五元组信息和所述令牌值发送至流量匹配装置;接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果,其中,所述检测结果用于指示所述待检测报文是否为伪造报文。
根据本申请实施例的另一方面,还提供了一种报文检测方法,包括:接收内容提取装置发送的待检测报文的五元组信息和令牌值,其中,由所述内容提取装置根据所述待检测报文中的所述五元组信息,生成所述待检测报文的所述令牌值,所述令牌值用于标识所述待检测报文的特征;检测所述五元组信息和所述令牌值,得到用于指示所述待检测报文是否为伪造报文的检测结果;将所述检测结果返回给所述内容提取装置。
根据本申请实施例的另一方面,还提供了一种内容提取装置,包括:获取单元,用于获取待检测报文;生成单元,用于根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值,其中,所述令牌值用于标识所述待检测报文的特征;第一发送单元,用于将所述五元组信息和所述令牌值发送至流量匹配装置;第一接收单元,用于接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果,其中,所述检测结果用于指示所述待检测报文是否为伪造报文。
可选地,所述获取单元包括:接收模块,用于接收多个分片报文;重组模块,用于根据每个所述分片报文中记录的分片序号,对各个所述分片报文进行重组,得到所述待检测报文。
可选地,所述五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型;其中,所述生成单元包括:第一确定模块,用于确定所述待检测报文的传输方向为入方向或出方向,其中,所述入方向是指所述待检测报文从客户端传输至服务器,所述出方向是指所述待检测报文从所述服务器传输至所述客户端;提取模块,用于在所述待检测报文的传输方向为所述入方向的情况下,从所述五元组信息中提取所述源IP地址和所述源端口号;从所述待检测报文的首包中提取首包序号;基于所述源IP地址、所述源端口号以及所述首包序号,得到所述令牌值;在所述待检测报文的传输方向为所述出方向的情况下,从所述五元组信息中提取所述目的IP地址和所述目的端口号;从所述待检测报文的首包中提取所述首包序号;基于所述目的IP地址、目的端口号以及所述首包序号,得到所述令牌值。
可选地,所述令牌值为具有预设长度的数字。
根据本申请实施例的另一方面,还提供了一种流量匹配装置,包括:第二接收单元,用于接收内容提取装置发送的待检测报文的五元组信息和令牌值,其中,由所述内容提取装置根据所述待检测报文中的所述五元组信息,生成所述待检测报文的所述令牌值,所述令牌值用于标识所述待检测报文的特征;检测单元,用于检测所述五元组信息和所述令牌值,得到用于指示所述待检测报文是否为伪造报文的检测结果;第二发送单元,用于将所述检测结果返回给所述内容提取装置。
可选地,所述检测单元包括:第二确定模块,用于根据所述五元组信息确定所述待检测报文的传输方向;处理模块,用于从令牌库中查找是否存在与所述令牌值相等的数值,并判断所述数值对应的报文的传输方向是否与所述待检测报文的传输方向相反;检测模块,用于若存在与所述令牌值相等的数值,且所述数值对应的报文的传输方向与所述待检测报文的传输方向相反,确定所述待检测报文为合法报文,并生成用于指示所述待检测报文为合法报文的第一检测结果;若不存在与所述令牌值相等的数值,或所述数值对应的报文的传输方向与所述待检测报文的传输方向相同,确定所述待检测报文为伪造报文,并生成用于指示所述待检测报文为伪造报文的第二检测结果。
可选地,所述五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型。
可选地,所述令牌值为具有预设长度的数字。
根据本申请实施例的另一方面,还提供了一种报文检测系统,包括:具有上述任意特征的内容提取装置,以及与所述内容提取装置连接的具有上述任意特征的流量匹配装置。
在本申请实施例中,采用获取待检测报文;根据待检测报文中的五元组信息,生成待检测报文的令牌值,其中,令牌值用于标识待检测报文的特征;将五元组信息和令牌值发送至流量匹配装置;接收流量匹配装置检测五元组信息和令牌值而返回的检测结果,其中,检测结果用于指示待检测报文是否为伪造报文的方式,通过将待检测报文的五元组信息及令牌值发送至流量匹配装置进行检测,达到了快速确定待检测报文是否为伪造报文的目的,从而实现了提高网络安全性及系统性能的技术效果,进而解决了由于网络流量为非对称时造成的无法确定数据合法性的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种报文检测方法的计算机终端的硬件结构框图;
图2(a)是根据本申请实施例的一种可选的报文检测方法的流程示意图;
图2(b)是根据本申请实施例的一种可选的应用于报文检测方法的拓扑示意图;
图3是根据本申请实施例的另一种可选的报文检测方法的流程示意图;
图4(a)是根据本申请实施例的一种可选的TCP协议流式交互时序示意图;
图4(b)是根据本申请实施例的又一种可选的报文检测方法的流程示意图;
图5是根据本申请实施例的一种可选的内容提取装置的结构示意图;
图6是根据本申请实施例的一种可选的获取单元的结构示意图;
图7是根据本申请实施例的一种可选的生成单元的结构示意图;
图8是根据本申请实施例的一种可选的流量匹配装置的结构示意图;
图9是根据本申请实施例的一种可选的检测单元的结构示意图;
图10根据本申请实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,本实施例中涉及的术语解释如下:
ACK(Acknowledgement,确认字符):在数据通信中,接收站发给发送站的一种传输类控制字符,表示发来的数据已确认接受无误。
令牌(Token):一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他控制帧。
TCP(Transmission Control Protocol,传输控制协议)/IP(Internet Protocol,互联网协议):是Internet最基本的协议、Internet国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。其定义了电子设备如何进入因特网,以及数据如何在它们之间传输的标准。
IP地址:一种在Internet上的给主机编址的方式,也称为网际协议地址。
端口号:在网络技术中,端口(Port)包括逻辑端口和物理端口两种类型。物理端口指的是物理存在的端口,如ADSL Modem、集线器、交换机、路由器上用于连接其他网络设备的接口,如RJ-45端口、SC端口等等。逻辑端口是指逻辑意义上用于区分服务的端口,如TCP/IP协议中的服务端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等。由于物理端口和逻辑端口数量较多,为了对端口进行区分,将每个端口进行了编号,这就是端口号。
非对称路由(asymmetrical routing):在网络中指往返某一节点的路径不一致的情况。
实施例1
根据本申请实施例,还提供了一种报文检测方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本申请实施例的一种报文检测方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的报文检测方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的漏洞检测方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图2(a)所示的报文检测方法。图2(a)是根据本申请实施例一的报文检测方法的流程图。
如图2(a)所示,本申请实施例一的报文检测方法可以包括如下实施步骤:
步骤S202,获取待检测报文。
本申请上述步骤S202中,获取到的待检测报文是由将接收到的单向的分片报文重组之后得到的。可选地,获取待检测报文的方法可以包括:
步骤S10,接收多个分片报文。
本申请上述步骤S10中,该多个分片报文均为单向的流量,其中,单向的流量是指从客户端到服务器方向或者从服务器到客户端方向的数据。每个分片报文中都记录有分片序号,该分片序号用于表示各个分片报文的排列顺序。本实施例中,分片序号可以分为SEQ(序列)序号和ACK(Acknowledgement,确认字符)序号,其中,SEQ序号为从客户端到服务器方向所使用的序号,ACK序号为从服务器到客户端方向所使用的序号。
步骤S12,根据每个分片报文中记录的分片序号,对各个分片报文进行重组,得到待检测报文。
本申请上述步骤S12中,根据上述的每个分片报文中记录的SEQ序号或者ACK序号,重组得到上述的待检测报文。
步骤S204,根据待检测报文中的五元组信息,生成待检测报文的令牌值。
可选地,TCP(Transmission Control Protocol,传输控制协议)/IP(InternetProtocol,互联网协议)通信中,五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型。本实施例的报文检测方法可以从待检测报文中提取上述五元组信息,进而根据该五元组信息生成待检测报文的令牌(Token)值,其中,令牌值用于标识待检测报文的特征。
其中,根据待检测报文中的五元组信息,生成待检测报文的令牌值包括:
步骤S20,确定待检测报文的传输方向为入方向或出方向。
本申请上述步骤S20中,入方向是指待检测报文从客户端传输至服务器,出方向是指待检测报文从服务器传输至客户端。
步骤S22,在待检测报文的传输方向为入方向的情况下,从五元组信息中提取源IP地址和源端口号;从待检测报文的首包中提取首包序号;基于源IP地址、源端口号以及首包序号,得到令牌值。
步骤S24,在待检测报文的传输方向为出方向的情况下,从五元组信息中提取目的IP地址和目的端口号;从待检测报文的首包中提取首包序号;基于目的IP地址、目的端口号以及首包序号,得到令牌值。
具体地,令牌值可以为具有预设长度的数字,例如,令牌值可以为一个20位的16进制数字,如表1所示。
表1
Figure GDA0001542898030000071
其中,“位”可以表示数字的实际位数,以0~7位为例,实际是4字节的16进制数字,共8位。
步骤S206,将五元组信息和令牌值发送至流量匹配装置。
本申请上述步骤S206中,在得到令牌值之后,将上述的五元组信息和令牌值信息发送给流量匹配装置进行检测,当流量匹配装置检测到存在双向流量时候则反馈待检测报文为合法报文,反之则反馈待检测报文为伪造报文。
步骤S208,接收流量匹配装置检测五元组信息和令牌值而返回的检测结果,其中,检测结果用于指示待检测报文是否为伪造报文。
本申请上述步骤S208中,流量匹配装置如何检测五元组信息和令牌值而得到检测结果的步骤,后续实施例中会进行详细描述,此处不做赘述。
在本申请上述实施例中,通过将待检测报文的五元组信息及令牌值发送至流量匹配装置进行检测,达到了快速确定待检测报文是否为伪造报文的目的,从而实现了提高网络安全性及系统性能的技术效果,进而解决了由于网络流量为非对称时造成的无法确定数据合法性的技术问题。
可选地,图2(b)是根据本申请实施例的一种可选的应用于报文检测方法的拓扑示意图,如图2(b)所示,在非对称路由(asymmetrical routing,在网络中指往返某一节点的路径不一致的情况)的场景(ISP路由器A和ISP路由器B)下,增设了流量匹配装置201,内容提取装置A、内容提取装置B以及内容提取装置C,分别获取待检测报文,并将待检测报文的五元组信息和令牌值发送给流量匹配装置201,由流量匹配装置201对各个待检测报文的合法性进行检测。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例的方法。
实施例2
根据本申请实施例,还提供了一种报文检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例二所提供的方法实施例仍旧可以在移动终端、计算机终端或者类似的运算装置中执行。此处需要说明的是,实施例二所提供的方法实施例仍旧可以运行在图1所示的计算机终端上。
在上述运行环境下,本申请提供了如图3所示的报文检测方法。图3是根据本申请实施例二的报文检测方法的流程示意图。
如图3所示,该报文检测方法可以包括如下实现步骤:
步骤S302,接收内容提取装置发送的待检测报文的五元组信息和令牌值。
本申请上述步骤S302中,由内容提取装置根据待检测报文中的五元组信息,生成待检测报文的令牌值,令牌值用于标识待检测报文的特征。
可选地,五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型;其中,由内容提取装置根据待检测报文中的五元组信息,生成待检测报文的令牌值包括:内容提取装置确定待检测报文的传输方向为入方向或出方向,其中,入方向是指待检测报文从客户端传输至服务器,出方向是指待检测报文从服务器传输至客户端;在待检测报文的传输方向为入方向的情况下,内容提取装置从五元组信息中提取源IP地址和源端口号;从待检测报文的首包中提取首包序号;基于源IP地址、源端口号以及首包序号,得到令牌值;在待检测报文的传输方向为出方向的情况下,内容提取装置从五元组信息中提取目的IP地址和目的端口号;从待检测报文的首包中提取首包序号;基于目的IP地址、目的端口号以及首包序号,得到令牌值。
步骤S304,检测五元组信息和令牌值,得到用于指示待检测报文是否为伪造报文的检测结果。
本申请上述步骤S304中,在接收到待检测报文的五元组信息和令牌值之后,可以对五元组信息和令牌值进行检测,得到检测结果。可选地,检测五元组信息和令牌值,得到用于指示待检测报文是否为伪造报文的检测结果,包括:
步骤S30,根据五元组信息确定待检测报文的传输方向。
本申请上述步骤S30中,由于五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型,因此能够根据五元组信息来确定出待检测报文的传输方向是从客户端到服务器方向,还是从服务器到客户端方向。
步骤S32,从令牌库中查找是否存在与令牌值相等的数值,并判断数值对应的报文的传输方向是否与待检测报文的传输方向相反。
本申请上述步骤S32中,令牌库中存储有各个内容提取装置发送来的令牌值,流量匹配装置需要在令牌库中查找是否存在与上述待检测报文的令牌值相等的数值,并且,判断该数值对应的报文的传输方向是否与待检测报文的传输方向相反。
步骤S34,若存在与令牌值相等的数值,且数值对应的报文的传输方向与待检测报文的传输方向相反,确定待检测报文为合法报文,并生成用于指示待检测报文为合法报文的第一检测结果。
步骤S36,若不存在与令牌值相等的数值,或数值对应的报文的传输方向与待检测报文的传输方向相同,确定待检测报文为伪造报文,并生成用于指示待检测报文为伪造报文的第二检测结果。
如图4(a)所示,以TCP协议流式交互为例,对首包序号进行说明:
服务器的TCP进程先创建传输控制块TCB,准备接受客户端进程的连接请求,然后服务器进程处于LISTEN状态,等待客户端的连接请求,如有,则做出响应。
步骤S1,客户端向服务器发送SYN数据段,序号为i。
客户端的TCP进程首先创建传输控制模块,然后向服务器发出连接请求报文段,该报文段首部中的SYN=1,ACK=0,同时选择一个初始序号seq=i。TCP规定,SYN=1的报文段不能携带数据,但要消耗掉一个序号。这时,TCP客户进程进入SYN-SENT(同步已发送)状态,这是TCP连接的第一次握手。
步骤S2,服务器接收SYN数据段,发送SYN数据报,序号为j,确认号为i+1。
服务器收到客户端发来的请求报文后,如果同意建立连接,则向客户端发送确认。确认报文中的SYN=1,ACK=1,确认号ack=i+1,同时为自己选择一个初始序号seq=j。同样该报文段也是SYN=1的报文段,不能携带数据,但同样要消耗掉一个序号。这时,TCP服务器进入SYN-RCVD(同步收到)状态,这是TCP连接的第二次握手。
步骤S3,客户端接收SYN+ACK数据段,发送ACK数据段,序号为j+1。
TCP客户端进程收到服务器进程的确认后,还要向服务器给出确认。确认报文段的ACK=1,确认号ack=j+1,而自己的序号为seq=i+1。TCP的标准规定,ACK报文段可以携带数据,但如果不携带数据则不消耗序号,因此,如果不携带数据,则下一个报文段的序号仍为seq=i+1。这时,TCP连接已经建立,客户端进入ESTABLISHED(已建立连接)状态。这是TCP连接的第三次握手,可以看出第三次握手客户端已经可以发送携带数据的报文段了。
步骤S4,服务器接收ACK数据段,建立连接。
当服务器收到确认后,也进入ESTABLISHED(已建立连接)状态。
由上述内容并结合表1可知,若两个报文传输方向相反且源端、目的端相反,那么这两个报文的令牌值则是相同的,即Token成对出现,这时我们认为流量为双向流量,即两个报文为合法报文。
具体地,令牌值为具有预设长度的数字。如果使用源IP地址、源端口号等信息作为比较条件查询流量信息会非常慢,所以当转换成Token后就变成了一个20位的数字串后,就可以采用多级Hash的方式(即数字归类的方式)进行快速查找和对比,满足高性能的需求。
步骤S306,将检测结果返回给内容提取装置。
在本申请上述实施例中,通过将待检测报文的五元组信息及令牌值发送至流量匹配装置进行检测,达到了快速确定待检测报文是否为伪造报文的目的,从而实现了提高网络安全性及系统性能的技术效果,进而解决了由于网络流量为非对称时造成的无法确定数据合法性的技术问题。
本申请上述实施例提供的一种可选方案中,如图4(b)所示,本申请实施例的报文检测方法可以包括以下步骤:
步骤a,内容提取装置获取待检测报文。
步骤b,根据待检测报文中的五元组信息,生成待检测报文的令牌值。
其中,五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型。令牌值用于标识待检测报文的特征。
步骤c,内容提取装置将五元组信息和令牌值发送至流量匹配装置。
步骤d,流量匹配装置检测五元组信息和令牌值,得到用于指示待检测报文是否为伪造报文的检测结果。
步骤e,流量匹配装置将检测结果返回给内容提取装置。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例3
根据本申请实施例,还提供了一种用于实施上述报文检测方法的内容提取装置,如图5所示,该内容提取装置包括:获取单元502、生成单元504、第一发送单元506以及第一接收单元508。
其中,获取单元502,用于获取待检测报文;生成单元504,用于根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值,其中,所述令牌值用于标识所述待检测报文的特征;第一发送单元506,用于将所述五元组信息和所述令牌值发送至流量匹配装置;第一接收单元508,用于接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果,其中,所述检测结果用于指示所述待检测报文是否为伪造报文。
此处需要说明的是,上述获取单元502、生成单元504、第一发送单元506以及第一接收单元508对应于实施例一中的步骤S202至步骤S208,四个单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述单元作为密钥代理服务器的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
在本申请上述实施例中,通过将待检测报文的五元组信息及令牌值发送至流量匹配装置进行检测,达到了快速确定待检测报文是否为伪造报文的目的,从而实现了提高网络安全性及系统性能的技术效果,进而解决了由于网络流量为非对称时造成的无法确定数据合法性的技术问题。
可选地,如图6所示,所述获取单元502包括:接收模块602和重组模块604。
其中,接收模块602,用于接收多个分片报文;重组模块604,用于根据每个所述分片报文中记录的分片序号,对各个所述分片报文进行重组,得到所述待检测报文。
此处需要说明的是,上述接收模块602和重组模块604对应于实施例一中的步骤S10至步骤S12,两个单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述单元作为密钥代理服务器的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
可选地,所述五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型;其中,如图7所示,所述生成单元504包括:第一确定模块702和提取模块704。
其中,第一确定模块702,用于确定所述待检测报文的传输方向为入方向或出方向,其中,所述入方向是指所述待检测报文从客户端传输至服务器,所述出方向是指所述待检测报文从所述服务器传输至所述客户端;提取模块704,用于在所述待检测报文的传输方向为所述入方向的情况下,从所述五元组信息中提取所述源IP地址和所述源端口号;从所述待检测报文的首包中提取首包序号;基于所述源IP地址、所述源端口号以及所述首包序号,得到所述令牌值;在所述待检测报文的传输方向为所述出方向的情况下,从所述五元组信息中提取所述目的IP地址和所述目的端口号;从所述待检测报文的首包中提取所述首包序号;基于所述目的IP地址、目的端口号以及所述首包序号,得到所述令牌值。
此处需要说明的是,上述第一确定模块702和提取模块704对应于实施例一中的步骤S20至步骤S24,两个单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述单元作为密钥代理服务器的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
可选地,所述令牌值为具有预设长度的数字。
实施例4
根据本申请实施例,还提供了一种用于实施上述报文检测方法的流量匹配装置的实施例,如图8所示,该流量匹配装置包括:第二接收单元802、检测单元804以及第二发送单元806。
其中,第二接收单元802,用于接收内容提取装置发送的待检测报文的五元组信息和令牌值,其中,由所述内容提取装置根据所述待检测报文中的所述五元组信息,生成所述待检测报文的所述令牌值,所述令牌值用于标识所述待检测报文的特征;检测单元804,用于检测所述五元组信息和所述令牌值,得到用于指示所述待检测报文是否为伪造报文的检测结果;第二发送单元806,用于将所述检测结果返回给所述内容提取装置。
此处需要说明的是,上述第二接收单元802、检测单元804以及第二发送单元806对应于实施例二中的步骤S302至步骤S306,三个单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例二所公开的内容。需要说明的是,上述单元作为网站代理服务器的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
在本申请上述实施例中,通过将待检测报文的五元组信息及令牌值发送至流量匹配装置进行检测,达到了快速确定待检测报文是否为伪造报文的目的,从而实现了提高网络安全性及系统性能的技术效果,进而解决了由于网络流量为非对称时造成的无法确定数据合法性的技术问题。
可选地,如图9所示,所述检测单元804包括:第二确定模块902、处理模块904和检测模块906。
其中,第二确定模块902,用于根据所述五元组信息确定所述待检测报文的传输方向;处理模块904,用于从令牌库中查找是否存在与所述令牌值相等的数值,并判断所述数值对应的报文的传输方向是否与所述待检测报文的传输方向相反;检测模块906,用于若存在与所述令牌值相等的数值,且所述数值对应的报文的传输方向与所述待检测报文的传输方向相反,确定所述待检测报文为合法报文,并生成用于指示所述待检测报文为合法报文的第一检测结果;若不存在与所述令牌值相等的数值,或所述数值对应的报文的传输方向与所述待检测报文的传输方向相同,确定所述待检测报文为伪造报文,并生成用于指示所述待检测报文为伪造报文的第二检测结果。
可选地,所述五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型。
可选地,所述令牌值为具有预设长度的数字。
根据本申请实施例,还提供了一种报文检测系统,包括具有上述任意特征的内容提取装置,以及与所述内容提取装置连接的具有上述任意特征的流量匹配装置。
实施例5
本申请的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的报文检测方法中以下步骤的程序代码:获取待检测报文;根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值,其中,所述令牌值用于标识所述待检测报文的特征;将所述五元组信息和所述令牌值发送至流量匹配装置;接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果,其中,所述检测结果用于指示所述待检测报文是否为伪造报文。
在本申请上述实施例中,通过将待检测报文的五元组信息及令牌值发送至流量匹配装置进行检测,达到了快速确定待检测报文是否为伪造报文的目的,从而实现了提高网络安全性及系统性能的技术效果,进而解决了由于网络流量为非对称时造成的无法确定数据合法性的技术问题。
可选地,图10是根据本申请实施例的一种计算机终端的结构框图。如图10所示,该计算机终端A可以包括:一个或多个(图中仅示出一个)处理器1001、存储器1003、以及传输装置1005。
其中,存储器1003可用于存储软件程序以及模块,如本申请实施例中的报文检测方法、密钥代理服务器以及网站代理服务器对应的程序指令/模块,处理器1001通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的报文检测方法。存储器1003可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1003可进一步包括相对于处理器1001远程设置的存储器,这些远程存储器1003可以通过网络连接至终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器1001可以通过传输装置1005调用存储器1003存储的信息及应用程序,以执行下述步骤:获取待检测报文;根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值,其中,所述令牌值用于标识所述待检测报文的特征;将所述五元组信息和所述令牌值发送至流量匹配装置;接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果,其中,所述检测结果用于指示所述待检测报文是否为伪造报文。
可选的,上述处理器1001还可以执行如下步骤的程序代码:接收多个分片报文;根据每个所述分片报文中记录的分片序号,对各个所述分片报文进行重组,得到所述待检测报文。
可选的,上述处理器1001还可以执行如下步骤的程序代码:密钥代理服务器接收网站代理服务器发送的会话标识;密钥代理服务器在密钥代理服务器的缓存中查找与会话标识对应的加密密钥;密钥代理服务器将加密密钥发送至网站代理服务器。
可选的,上述处理器1001还可以执行如下步骤的程序代码:确定所述待检测报文的传输方向为入方向或出方向,其中,所述入方向是指所述待检测报文从客户端传输至服务器,所述出方向是指所述待检测报文从所述服务器传输至所述客户端;在所述待检测报文的传输方向为所述入方向的情况下,从所述五元组信息中提取所述源IP地址和所述源端口号;从所述待检测报文的首包中提取首包序号;基于所述源IP地址、所述源端口号以及所述首包序号,得到所述令牌值;在所述待检测报文的传输方向为所述出方向的情况下,从所述五元组信息中提取所述目的IP地址和所述目的端口号;从所述待检测报文的首包中提取所述首包序号;基于所述目的IP地址、目的端口号以及所述首包序号,得到所述令牌值。
本领域普通技术人员可以理解,图10所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图10其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图10中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图10所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例6
本申请的实施例还可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的报文检测方法中以下步骤的程序代码:接收内容提取装置发送的待检测报文的五元组信息和令牌值,其中,由所述内容提取装置根据所述待检测报文中的所述五元组信息,生成所述待检测报文的所述令牌值,所述令牌值用于标识所述待检测报文的特征;检测所述五元组信息和所述令牌值,得到用于指示所述待检测报文是否为伪造报文的检测结果;将所述检测结果返回给所述内容提取装置。
在本申请上述实施例中,通过将待检测报文的五元组信息及令牌值发送至流量匹配装置进行检测,达到了快速确定待检测报文是否为伪造报文的目的,从而实现了提高网络安全性及系统性能的技术效果,进而解决了由于网络流量为非对称时造成的无法确定数据合法性的技术问题。
可选地,本实施例中的计算机终端也可以为如图10所示的终端A,处理器1001可以通过传输装置1005调用存储器1003存储的信息及应用程序,以执行下述步骤:接收内容提取装置发送的待检测报文的五元组信息和令牌值,其中,由所述内容提取装置根据所述待检测报文中的所述五元组信息,生成所述待检测报文的所述令牌值,所述令牌值用于标识所述待检测报文的特征;检测所述五元组信息和所述令牌值,得到用于指示所述待检测报文是否为伪造报文的检测结果;将所述检测结果返回给所述内容提取装置。
可选的,上述处理器1001还可以执行如下步骤的程序代码:根据所述五元组信息确定所述待检测报文的传输方向;从令牌库中查找是否存在与所述令牌值相等的数值,并判断所述数值对应的报文的传输方向是否与所述待检测报文的传输方向相反;若存在与所述令牌值相等的数值,且所述数值对应的报文的传输方向与所述待检测报文的传输方向相反,确定所述待检测报文为合法报文,并生成用于指示所述待检测报文为合法报文的第一检测结果;若不存在与所述令牌值相等的数值,或所述数值对应的报文的传输方向与所述待检测报文的传输方向相同,确定所述待检测报文为伪造报文,并生成用于指示所述待检测报文为伪造报文的第二检测结果。
本领域普通技术人员可以理解,图10所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图10其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图10中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图10所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例7
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的报文检测方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:获取待检测报文;根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值,其中,所述令牌值用于标识所述待检测报文的特征;将所述五元组信息和所述令牌值发送至流量匹配装置;接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果,其中,所述检测结果用于指示所述待检测报文是否为伪造报文。
在本申请上述实施例中,通过将待检测报文的五元组信息及令牌值发送至流量匹配装置进行检测,达到了快速确定待检测报文是否为伪造报文的目的,从而实现了提高网络安全性及系统性能的技术效果,进而解决了由于网络流量为非对称时造成的无法确定数据合法性的技术问题。
可选地,在本实施例中,存储介质还被设置为存储用于执行以下步骤的程序代码:接收多个分片报文;根据每个所述分片报文中记录的分片序号,对各个所述分片报文进行重组,得到所述待检测报文。
可选地,在本实施例中,存储介质还被设置为存储用于执行以下步骤的程序代码:确定所述待检测报文的传输方向为入方向或出方向,其中,所述入方向是指所述待检测报文从客户端传输至服务器,所述出方向是指所述待检测报文从所述服务器传输至所述客户端;在所述待检测报文的传输方向为所述入方向的情况下,从所述五元组信息中提取所述源IP地址和所述源端口号;从所述待检测报文的首包中提取首包序号;基于所述源IP地址、所述源端口号以及所述首包序号,得到所述令牌值;在所述待检测报文的传输方向为所述出方向的情况下,从所述五元组信息中提取所述目的IP地址和所述目的端口号;从所述待检测报文的首包中提取所述首包序号;基于所述目的IP地址、目的端口号以及所述首包序号,得到所述令牌值。
实施例8
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的报文检测方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:接收内容提取装置发送的待检测报文的五元组信息和令牌值,其中,由所述内容提取装置根据所述待检测报文中的所述五元组信息,生成所述待检测报文的所述令牌值,所述令牌值用于标识所述待检测报文的特征;检测所述五元组信息和所述令牌值,得到用于指示所述待检测报文是否为伪造报文的检测结果;将所述检测结果返回给所述内容提取装置。
在本申请上述实施例中,通过将待检测报文的五元组信息及令牌值发送至流量匹配装置进行检测,达到了快速确定待检测报文是否为伪造报文的目的,从而实现了提高网络安全性及系统性能的技术效果,进而解决了由于网络流量为非对称时造成的无法确定数据合法性的技术问题。
可选地,在本实施例中,存储介质还被设置为存储用于执行以下步骤的程序代码:根据所述五元组信息确定所述待检测报文的传输方向;从令牌库中查找是否存在与所述令牌值相等的数值,并判断所述数值对应的报文的传输方向是否与所述待检测报文的传输方向相反;若存在与所述令牌值相等的数值,且所述数值对应的报文的传输方向与所述待检测报文的传输方向相反,确定所述待检测报文为合法报文,并生成用于指示所述待检测报文为合法报文的第一检测结果;若不存在与所述令牌值相等的数值,或所述数值对应的报文的传输方向与所述待检测报文的传输方向相同,确定所述待检测报文为伪造报文,并生成用于指示所述待检测报文为伪造报文的第二检测结果。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (17)

1.一种报文检测方法,其特征在于,包括:
获取待检测报文;
根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值,其中,所述令牌值用于标识所述待检测报文的特征;
将所述五元组信息和所述令牌值发送至流量匹配装置;
接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果,其中,所述检测结果用于指示所述待检测报文是否为伪造报文,其中,所述流量匹配装置在检测到所述待检测报文存在双向流量时,所述检测结果指示所述待检测报文为合法报文,反之所述检测结果指示待检测报文为所述伪造报文。
2.根据权利要求1所述的方法,其特征在于,所述获取待检测报文包括:
接收多个分片报文;
根据每个所述分片报文中记录的分片序号,对各个所述分片报文进行重组,得到所述待检测报文。
3.根据权利要求1所述的方法,其特征在于,所述五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型;
其中,所述根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值包括:
确定所述待检测报文的传输方向为入方向或出方向,其中,所述入方向是指所述待检测报文从客户端传输至服务器,所述出方向是指所述待检测报文从所述服务器传输至所述客户端;
在所述待检测报文的传输方向为所述入方向的情况下,从所述五元组信息中提取所述源IP地址和所述源端口号;从所述待检测报文的首包中提取首包序号;基于所述源IP地址、所述源端口号以及所述首包序号,得到所述令牌值;
在所述待检测报文的传输方向为所述出方向的情况下,从所述五元组信息中提取所述目的IP地址和所述目的端口号;从所述待检测报文的首包中提取所述首包序号;基于所述目的IP地址、目的端口号以及所述首包序号,得到所述令牌值。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述令牌值为具有预设长度的数字。
5.一种报文检测方法,其特征在于,包括:
流量检测装置接收内容提取装置发送的待检测报文的五元组信息和令牌值,其中,由所述内容提取装置根据所述待检测报文中的所述五元组信息,生成所述待检测报文的所述令牌值,所述令牌值用于标识所述待检测报文的特征;
检测所述五元组信息和所述令牌值,得到用于指示所述待检测报文是否为伪造报文的检测结果;
将所述检测结果返回给所述内容提取装置,其中,在检测到所述待检测报文存在双向流量时,所述检测结果指示所述待检测报文为合法报文,反之所述检测结果指示待检测报文为伪造报文。
6.根据权利要求5所述的方法,其特征在于,所述检测所述五元组信息和所述令牌值,得到用于指示所述待检测报文是否为伪造报文的检测结果,包括:
根据所述五元组信息确定所述待检测报文的传输方向;
从令牌库中查找是否存在与所述令牌值相等的数值,并判断所述数值对应的报文的传输方向是否与所述待检测报文的传输方向相反;
若存在与所述令牌值相等的数值,且所述数值对应的报文的传输方向与所述待检测报文的传输方向相反,确定所述待检测报文为合法报文,并生成用于指示所述待检测报文为合法报文的第一检测结果;
若不存在与所述令牌值相等的数值,或所述数值对应的报文的传输方向与所述待检测报文的传输方向相同,确定所述待检测报文为伪造报文,并生成用于指示所述待检测报文为伪造报文的第二检测结果。
7.根据权利要求5所述的方法,其特征在于,所述五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型;
其中,所述由所述内容提取装置根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值包括:
所述内容提取装置确定所述待检测报文的传输方向为入方向或出方向,其中,所述入方向是指所述待检测报文从客户端传输至服务器,所述出方向是指所述待检测报文从所述服务器传输至所述客户端;
在所述待检测报文的传输方向为所述入方向的情况下,所述内容提取装置从所述五元组信息中提取所述源IP地址和所述源端口号;从所述待检测报文的首包中提取首包序号;基于所述源IP地址、所述源端口号以及所述首包序号,得到所述令牌值;
在所述待检测报文的传输方向为所述出方向的情况下,所述内容提取装置从所述五元组信息中提取所述目的IP地址和所述目的端口号;从所述待检测报文的首包中提取所述首包序号;基于所述目的IP地址、目的端口号以及所述首包序号,得到所述令牌值。
8.根据权利要求5至7中任一项所述的方法,其特征在于,所述令牌值为具有预设长度的数字。
9.一种内容提取装置,其特征在于,包括:
获取单元,用于获取待检测报文;
生成单元,用于根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值,其中,所述令牌值用于标识所述待检测报文的特征;
第一发送单元,用于将所述五元组信息和所述令牌值发送至流量匹配装置;
第一接收单元,用于接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果,其中,所述检测结果用于指示所述待检测报文是否为伪造报文,其中,所述流量匹配装置在检测到所述待检测报文存在双向流量时,所述检测结果指示所述待检测报文为合法报文,反之所述检测结果指示待检测报文为所述伪造报文。
10.根据权利要求9所述的装置,其特征在于,所述获取单元包括:
接收模块,用于接收多个分片报文;
重组模块,用于根据每个所述分片报文中记录的分片序号,对各个所述分片报文进行重组,得到所述待检测报文。
11.根据权利要求9所述的装置,其特征在于,所述五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型;
其中,所述生成单元包括:
第一确定模块,用于确定所述待检测报文的传输方向为入方向或出方向,其中,所述入方向是指所述待检测报文从客户端传输至服务器,所述出方向是指所述待检测报文从所述服务器传输至所述客户端;
提取模块,用于在所述待检测报文的传输方向为所述入方向的情况下,从所述五元组信息中提取所述源IP地址和所述源端口号;从所述待检测报文的首包中提取首包序号;基于所述源IP地址、所述源端口号以及所述首包序号,得到所述令牌值;在所述待检测报文的传输方向为所述出方向的情况下,从所述五元组信息中提取所述目的IP地址和所述目的端口号;从所述待检测报文的首包中提取所述首包序号;基于所述目的IP地址、目的端口号以及所述首包序号,得到所述令牌值。
12.根据权利要求9至11中任一项所述的装置,其特征在于,所述令牌值为具有预设长度的数字。
13.一种流量匹配装置,其特征在于,包括:
第二接收单元,用于接收内容提取装置发送的待检测报文的五元组信息和令牌值,其中,由所述内容提取装置根据所述待检测报文中的所述五元组信息,生成所述待检测报文的所述令牌值,所述令牌值用于标识所述待检测报文的特征;
检测单元,用于检测所述五元组信息和所述令牌值,得到用于指示所述待检测报文是否为伪造报文的检测结果,其中,在检测到所述待检测报文存在双向流量时,所述检测结果指示所述待检测报文为合法报文,反之所述检测结果指示待检测报文为所述伪造报文;
第二发送单元,用于将所述检测结果返回给所述内容提取装置。
14.根据权利要求13所述的装置,其特征在于,所述检测单元包括:
第二确定模块,用于根据所述五元组信息确定所述待检测报文的传输方向;
处理模块,用于从令牌库中查找是否存在与所述令牌值相等的数值,并判断所述数值对应的报文的传输方向是否与所述待检测报文的传输方向相反;
检测模块,用于若存在与所述令牌值相等的数值,且所述数值对应的报文的传输方向与所述待检测报文的传输方向相反,确定所述待检测报文为合法报文,并生成用于指示所述待检测报文为合法报文的第一检测结果;若不存在与所述令牌值相等的数值,或所述数值对应的报文的传输方向与所述待检测报文的传输方向相同,确定所述待检测报文为伪造报文,并生成用于指示所述待检测报文为伪造报文的第二检测结果。
15.根据权利要求13所述的装置,其特征在于,所述五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型。
16.根据权利要求13至15中任一项所述的装置,所述令牌值为具有预设长度的数字。
17.一种报文检测系统,其特征在于,包括如权利要求9至12中任一项所述的内容提取装置,以及与所述内容提取装置连接的如权利要求13至16中任一项所述的流量匹配装置。
CN201610133439.0A 2016-03-09 2016-03-09 报文检测方法及系统、内容提取装置、流量匹配装置 Active CN107181605B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610133439.0A CN107181605B (zh) 2016-03-09 2016-03-09 报文检测方法及系统、内容提取装置、流量匹配装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610133439.0A CN107181605B (zh) 2016-03-09 2016-03-09 报文检测方法及系统、内容提取装置、流量匹配装置

Publications (2)

Publication Number Publication Date
CN107181605A CN107181605A (zh) 2017-09-19
CN107181605B true CN107181605B (zh) 2020-06-23

Family

ID=59829655

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610133439.0A Active CN107181605B (zh) 2016-03-09 2016-03-09 报文检测方法及系统、内容提取装置、流量匹配装置

Country Status (1)

Country Link
CN (1) CN107181605B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109525500B (zh) * 2018-12-27 2021-08-24 北京天融信网络安全技术有限公司 一种自调整阈值的信息处理方法及信息处理装置
CN113132331A (zh) * 2019-12-31 2021-07-16 奇安信科技集团股份有限公司 异常报文检测方法、装置、电子设备和介质
CN111444218B (zh) * 2020-03-30 2022-09-30 国家计算机网络与信息安全管理中心 组合规则的匹配方法和装置
CN112165447B (zh) * 2020-08-21 2023-12-19 杭州安恒信息技术股份有限公司 基于waf设备的网络安全监测方法、系统和电子装置
CN115296878B (zh) * 2022-07-27 2023-11-03 天翼云科技有限公司 一种报文检测方法、装置、电子设备及存储介质
CN117640503B (zh) * 2024-01-22 2024-04-30 北京天维信通科技股份有限公司 融合BRouter技术与智能路径技术的流量优化方法和装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101106450A (zh) * 2007-08-16 2008-01-16 杭州华三通信技术有限公司 分布式报文传输安全保护装置和方法
CN101340275A (zh) * 2008-08-27 2009-01-07 深圳华为通信技术有限公司 数据卡及其数据处理和传输方法
CN101707619A (zh) * 2009-12-10 2010-05-12 福建星网锐捷网络有限公司 报文过滤方法、装置及网络设备
CN102510385A (zh) * 2011-12-12 2012-06-20 汉柏科技有限公司 防ip数据报分片攻击的方法
CN103561001A (zh) * 2013-10-21 2014-02-05 华为技术有限公司 一种安全防护方法及路由设备
CN103716248A (zh) * 2013-06-07 2014-04-09 潘晶 一种基于以太网交换芯片的以太网流量生成和分析的方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102118313B (zh) * 2011-01-28 2013-04-10 杭州华三通信技术有限公司 Ip地址探测的方法及设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101106450A (zh) * 2007-08-16 2008-01-16 杭州华三通信技术有限公司 分布式报文传输安全保护装置和方法
CN101340275A (zh) * 2008-08-27 2009-01-07 深圳华为通信技术有限公司 数据卡及其数据处理和传输方法
CN101707619A (zh) * 2009-12-10 2010-05-12 福建星网锐捷网络有限公司 报文过滤方法、装置及网络设备
CN102510385A (zh) * 2011-12-12 2012-06-20 汉柏科技有限公司 防ip数据报分片攻击的方法
CN103716248A (zh) * 2013-06-07 2014-04-09 潘晶 一种基于以太网交换芯片的以太网流量生成和分析的方法
CN103561001A (zh) * 2013-10-21 2014-02-05 华为技术有限公司 一种安全防护方法及路由设备

Also Published As

Publication number Publication date
CN107181605A (zh) 2017-09-19

Similar Documents

Publication Publication Date Title
CN107181605B (zh) 报文检测方法及系统、内容提取装置、流量匹配装置
US9712559B2 (en) Identifying frames
US10084713B2 (en) Protocol type identification method and apparatus
US7636305B1 (en) Method and apparatus for monitoring network traffic
US10498618B2 (en) Attributing network address translation device processed traffic to individual hosts
CN106416171A (zh) 一种特征信息分析方法及装置
US8578468B1 (en) Multi-factor client authentication
CN107104929B (zh) 防御网络攻击的方法、装置和系统
US10924457B2 (en) Packet cleaning method and apparatus
CN109496409B (zh) 一种数据传送的方法和虚拟交换机
CN107135190B (zh) 基于传输层安全连接的数据流量归属识别方法及装置
CN111935212B (zh) 安全路由器及基于安全路由器的物联网安全联网方法
Malekzadeh et al. A new security model to prevent denial‐of‐service attacks and violation of availability in wireless networks
CN111786869B (zh) 一种服务器之间的数据传输方法及服务器
CN113746788A (zh) 一种数据处理方法及装置
Aljifri et al. IP traceback using header compression
CN103458046A (zh) 一种基于核心网络的数据秘密共享系统及方法
CN113765849B (zh) 一种异常网络流量检测方法和装置
Hendriks et al. Threats and surprises behind IPv6 extension headers
CN112153001B (zh) 基于waf的网络通信方法、系统、电子装置和存储介质
WO2022104738A1 (zh) 一种木马检测方法、装置和设备
Castiglione et al. Device tracking in private networks via napt log analysis
TWI784938B (zh) 電文清理方法及裝置
CN114629667A (zh) 一种基于ip大范围变换的链路动态变化方法
CN115038073B (zh) 用户永久标识获取方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant