CN107332839A - 一种报文传输方法及装置 - Google Patents
一种报文传输方法及装置 Download PDFInfo
- Publication number
- CN107332839A CN107332839A CN201710505947.1A CN201710505947A CN107332839A CN 107332839 A CN107332839 A CN 107332839A CN 201710505947 A CN201710505947 A CN 201710505947A CN 107332839 A CN107332839 A CN 107332839A
- Authority
- CN
- China
- Prior art keywords
- data
- full line
- line data
- tcp segment
- security strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/19—Flow control; Congestion control at layers above the network layer
- H04L47/193—Flow control; Congestion control at layers above the network layer at the transport layer, e.g. TCP related
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种报文传输方法及装置。本发明实施例中,在接收到TCP分段数据后,网络设备可以通过该TCP分段数据得到整行数据,并检查该整行数据是否为攻击数据,最终根据检查结果,确定发送或者阻断当前接收的TCP分段数据。由于本发明方法不对接收到的TCP分段数据进行缓存,且立即对接收到的TCP分段数据执行安全检查及发送或阻断动作,消除了等待接收各个TCP分段数据的间隔期,故可以节省网络设备的内存资源,并避免传输延迟,使传输效率得到提高。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种报文传输方法及装置。
背景技术
目前,当待传输的HTTP(Hyper Text Transfer Protocol,超文本传输协议)报文很长时,可将HTTP报文在进行TCP(Transmission Control Protocol,传输控制协议)报头封装时,封装成若干TCP分段数据,并以每个TCP分段数据为单位,对HTTP报文进行传输。
现有技术中,网络设备在接收到采用上述方法传输的HTTP报文时,先缓存接收的TCP分段数据,直至接收的所有TCP分段数据形成完整的HTTP报文后,对该完整的HTTP报文进行安全检查。当报文很长时,由于需要缓存的TCP分段数据、和等待接收TCP分段数据的间隔期很多,故一方面会占用网络设备较多的内存资源,另一方面会导致传输延迟,传输效率低。
发明内容
有鉴于此,本发明提供一种报文传输方法及装置,以避免现有技术中,因需要缓存的TCP分段数据、和等待接收TCP分段数据的间隔期较多,而导致的占用网络设备内存资源,和传输延迟、传输效率低的问题。
根据本发明实施例的第一方面,提供一种报文传输方法,所述方法包括:
接收TCP分段数据,其中,所述TCP分段数据是HTTP报文的一个分段数据;
通过当前接收的TCP分段数据,得到整行数据;
检查得到的整行数据是否为攻击数据;
若否,则发送当前接收的TCP分段数据;若是,则阻断当前接收的TCP分段数据。
根据本发明实施例的第二方面,提供一种报文传输装置,所述装置包括:
接收单元,用于接收TCP分段数据,所述TCP分段数据是HTTP报文的一个分段数据;
获得单元,用于通过当前接收的TCP分段数据,得到整行数据;
检查单元,用于检查得到的整行数据是否为攻击数据;
发送单元,用于在得到的整行数据不为攻击数据,发送当前接收的TCP分段数据;
阻断单元,用于在得到的整行数据为攻击数据,阻断当前接收的TCP分段数据。
本发明实施例中,在接收到TCP分段数据后,网络设备可以通过该TCP分段数据得到整行数据,并检查该整行数据是否为攻击数据,最终根据检查结果,确定发送或者阻断当前接收的TCP分段数据。由此可见,由于本发明方法不对接收到的TCP分段数据进行缓存,且立即对接收到的TCP分段数据执行安全检查及发送或阻断动作,消除了等待接收各个TCP分段数据的间隔期,所以不仅可以节省网络设备的内存资源,还可以避免传输延迟,使传输效率得到提高。
附图说明
图1是本发明一种报文传输方法的示例性场景示意图;
图2是本发明一种报文传输方法的一个实施例流程图;
图3是本发明一种报文传输装置实施例的第一个结构图;
图4是本发明一种报文传输装置实施例的第二个结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
HTTP报文格式中包体部分记录的数据,由多个利用行结束符分隔存储的行数据组成。由于行数据之间相互独立,故分别对HTTP报文中的一个或多个行数据进行业务处理,与对HTTP报文整体进行业务处理具有相同的效果。本发明实施例充分利用了HTTP报文的这一特点,克服了现有传输方法占用网络设备内存资源和传输延迟的不足。
参见图1,图1是本发明一种报文传输方法的示例性场景示意图。该场景图可以包括源设备、网络设备以及目的设备。本发明实施例中,源设备可以在待传输的HTTP报文很长时,将HTTP报文在进行TCP报头封装时,封装成若干TCP分段数据,并以每个TCP分段数据为单位,对HTTP报文进行传输。网络设备可以在接收到TCP分段数据后,通过当前接收的TCP分段数据,得到整行数据,并检查得到的整行数据是否为攻击数据,若否,则将发送当前接收的TCP分段数据;若是,则阻断当前接收的TCP分段数据。目的设备可用于接收网络设备发送的TCP分段数据。
需要指出的是,每一被封装的TCP分段数据都携带有自身的序列号,以使接收TCP分段数据的设备可以根据需要,对接收到的所有TCP分段数据进行排序和拼接。在实际的传输过程中,可能存在着TCP分段数据乱序传输的现象,但由于根据TCP分段数据携带的序列号,已经可以实现TCP分段数据的重新排序,故本发明中,默认网络设备顺序接收到TCP分段数据。
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
参见图2,图2是本发明一种报文传输方法的一个实施例流程图,本实施例应用于网络设备。该流程图可以包括以下步骤:
步骤201:接收TCP分段数据;其中,TCP分段数据是HTTP报文的一个分段数据。
步骤202:通过当前接收的TCP分段数据,得到整行数据;
当前接收的TCP分段数据,是指步骤201中接收到的TCP分段数据。
步骤203:检查得到的整行数据是否为攻击数据;若否,执行步骤204,若是,执行步骤205。
步骤204:发送当前接收的TCP分段数据。
步骤205:阻断当前接收的TCP分段数据。
本实施例中,TCP分段数据可以包括多个行数据,其中,行数据是指HTTP报文中,包含一个行结束符且以该行结束符结束的数据,为便于说明,可假设当前接收的TCP分段数据包括的行数据如下:
Mon 26 Jan 2017/Name=MARY/Password=1234/Session ID=
其中,行结束符为“/”,则该TCP分段数据包括了4个行数据,即Mon 26 Jan 2017/,Name=MARY/,Password=1234/,Session ID=。
为便于说明,可以将行数据分为整行数据和非整行数据,整行数据又可以分为第一类整行数据和第二类整行数据。
第一类整行数据是指,通过将前一个接收的TCP分段数据中的最后一个行数据,与当前接收的TCP分段数据中的第一个行数据进行拼接得到的行数据,其中,前一个接收的TCP分段数据与当前接收的TCP分段数据,同属于步骤201中的HTTP报文;
比如,前一个接收的TCP分段数据中的最后一个行数据为Date=,那么将Date与Mon 26 Jan 2017/进行拼接得到的行数据Date=Mon 26 Jan 2017/,即为一个第一类整行数据。
第二类整行数据是指,TCP分段数据中,位于前一个行数据的行结束符后,且以本行数据的行结束符结束的行数据,如上述TCP分段数据中的Name=MARY/和Password=1234/;
非整行数据是指,TCP分段数据中,需要与前一个接收的TCP分段数据中的最后一个行数据进行拼接,得到上述第一类整行数据的行数据,如上述TCP分段数据中的Mon 26Jan 2017/,或TCP分段数据中不包含行结束符的行数据,如上述TCP分段数据中的SessionID=。
本实施例中,可以通过以下方式执行步骤202:
确定预设缓存中是否存在属于步骤201中的HTTP报文的待拼接数据;其中,待拼接数据是指,前一个接收的TCP分段数据中的最后一个行数据,且该最后一个行数据不包含行结束符,如Date=;
若存在,则从当前接收的TCP分段数据中解析出第一个行数据,将解析出的第一个行数据与待拼接数据进行拼接,得到第一类整行数据;从当前接收的TCP分段数据中解析出第二类整行数据;将第一类整行数据和第二类整行数据,确定为得到的整行数据;
比如,得到的整行数据为Date=Mon 26 Jan 2017/Name=MARY/Password=1234/。
若不存在,则从当前接收的TCP分段数据中解析出第二类整行数据,将第二类整行数据确定为得到的整行数据;
比如,Name=MARY/Password=1234/。
本实施例中,在执行步骤204之前,可以确定当前接收的TCP分段数据中的最后一个行数据是否为非整行数据;
若是,则将TCP分段数据中的最后一个行数据确定为待拼接数据,并在预设缓存中存储确定的待拼接数据,其中,确定的待拼接数据可以为Session ID=。
本实施例中,可以通过以下方式执行步骤203:
确定是否存在包括的特征与得到的整行数据匹配的安全策略,其中,安全策略可以记录多个特征;当存在时,
若得到的整行数据与该安全策略包括的全部特征匹配,则确定得到的整行数据为攻击数据;
若得到的整行数据与该安全策略包括的部分特征匹配,则根据通过前一个接收的TCP分段数据得到的整行数据与该安全策略的匹配情况,确定得到的整行数据是否为攻击数据;其中,前一个接收的TCP分段数据属于步骤201中的HTTP报文;
若得到的整行数据与该安全策略包括的特征均不匹配,则确定得到的整行数据不为攻击数据。
具体地,当该安全策略,记为安全策略1,记录了AB两个特征时,可能存在的情形如下:
情形1:步骤202中得到的整行数据包含AB特征;
确定得到的整行数据与安全策略1包括的全部特征匹配,即当前接收的TCP分段数据为攻击数据。
情形2:步骤202中得到的整行数据包含B特征;
确定得到的整行数据与安全策略1包括的部分特征匹配。
情形3:步骤202中得到的整行数据包含C特征;
确定得到的整行数据与该安全策略包括的特征均不匹配,即当前接收的TCP分段数据不为攻击数据。
在情形2下,可以得出,步骤202中得到的整行数据,与安全策略1中的部分特征,即特征B匹配。该情形下,可以在通过如下方式确定当前接收的TCP分段数据是否为攻击数据:
判断通过前一个接收的TCP分段数据得到的整行数据,是否与该安全策略包括的部分特征匹配;
若是,则确定前一个得到的整行数据与该安全策略匹配的特征,和当前得到的整行数据与该安全策略匹配的特征是否连续,若连续,则在当前得到的整行数据与该安全策略匹配的特征,位于该安全策略的末尾时,确定得到的整行数据为攻击数据,否则,确定得到的整行数据不为攻击数据。
比如,当前一个得到的整行数据包含A特征时,由于A特征,和当前得到的整行数据与该安全策略匹配的B特征连续,且B特征位于该安全策略的末尾,故可以确定得到的整行数据为攻击数据。
本发明实施例中,在接收到TCP分段数据后,网络设备可以通过该TCP分段数据得到整行数据,并检查该整行数据是否为攻击数据,最终根据检查结果,确定发送或者阻断当前接收的TCP分段数据。由此可见,由于本发明方法不对接收到的TCP分段数据进行缓存,且立即对接收到的TCP分段数据执行安全检查及发送或阻断动作,消除了等待接收各个TCP分段数据的间隔期,所以不仅可以节省网络设备的内存资源,还可以避免传输延迟,使传输效率得到提高。
以下将示出本发明方法的另一个实施例,具体的,本实施例可以包括以下步骤:
步骤1:接收TCP分段数据;其中,TCP分段数据是HTTP报文的一个分段数据;
本实施例中,在接收到TCP分段数据后,可确定是否存在与TCP分段数据中的五元组信息匹配的会话,若不存在,则建立会话,用于记录本步骤中HTTP报文的信息。
步骤2:确定是否存在属于步骤1中HTTP报文的待拼接数据;
本实施例中,可以查询步骤1中存在或者建立的会话中,是否存在缓存标记;
若存在,则确定存在上述待拼接数据,并查找存在的待拼接数据,具体的,可以预先建立缓存标记与一内存空间访问地址的关联关系,若缓存标记存在,则根据该访问地址,访问内存空间,并从内存空间中获得待拼接数据。
若不存在,则确定不存在上述待拼接数据。
步骤3:当存在待拼接数据时,从当前接收的TCP分段数据中解析出第一个行数据,将解析出的第一个行数据与待拼接数据进行拼接,得到第一类整行数据,从当前接收的TCP分段数据中解析出第二类整行数据,将第一类整行数据和第二类整行数据,确定为得到的整行数据;当不存在待拼接数据时,从当前接收的TCP分段数据中解析出第二类整行数据,将第二类整行数据确定为得到的整行数据。
对于本步骤3的说明,可参见上述实施例,在此不在赘述。
步骤4:确定是否存在包括的特征与得到的整行数据匹配的安全策略,其中,安全策略记录了多个特征;当存在时,
若得到的整行数据与该安全策略包括的全部特征匹配,则确定得到的整行数据为攻击数据,并阻断当前接收的TCP分段数据。
若得到的整行数据与该安全策略包括的部分特征匹配,则执行步骤5。
若得到的整行数据与该安全策略包括的特征均不匹配,则确定得到的整行数据不为攻击数据,并发送当前接收的TCP分段数据。
步骤5:判断通过前一个接收的TCP分段数据得到的整行数据,是否与该安全策略包括的部分特征匹配;若匹配,则执行步骤6;若不匹配,则确定当前得到的整行数据不为攻击数据,并发送当前接收的TCP分段数据。
步骤6:确定前一个得到的整行数据与该安全策略匹配的特征,和当前得到的整行数据与该安全策略匹配的特征是否连续,若连续,则执行步骤7。
步骤7:在当前得到的整行数据与该安全策略匹配的特征位于该安全策略的末尾时,确定得到的整行数据为攻击数据;否则,确定得到的整行数据不为攻击数据,并发送当前接收的TCP分段数据。
本发明实施例中,在接收到TCP分段数据后,网络设备可以通过该TCP分段数据得到整行数据,并检查该整行数据是否为攻击数据,最终根据检查结果,确定发送或者阻断当前接收的TCP分段数据。由此可见,由于本发明方法不对接收到的TCP分段数据进行缓存,且立即对接收到的TCP分段数据执行安全检查及发送或阻断动作,消除了等待接收各个TCP分段数据的间隔期,所以不仅可以节省网络设备的内存资源,还可以避免传输延迟,使传输效率得到提高。
与前述一种报文传输方法的实施例相对应,本发明还提供了一种报文传输装置的实施例。
参见图3,图3是本发明一种报文传输装置实施例的第一个结构图,该装置可以包括:接收单元310、获得单元320、检查单元330、发送单元360、阻断单元370。
其中,接收单元310,用于接收TCP分段数据,TCP分段数据是HTTP报文的一个分段数据;
获得单元320,用于通过当前接收的TCP分段数据,得到整行数据;
检查单元330,用于检查得到的整行数据是否为攻击数据;
发送单元360,用于在得到的整行数据不为攻击数据,发送当前接收的TCP分段数据;
阻断单元370,用于在得到的整行数据为攻击数据,阻断当前接收的TCP分段数据。
作为一个实施例,获得单元320,可以包括:确定子单元321、处理子单元322。
其中,确定子单元321,用于确定预设缓存中是否存在属于HTTP报文的待拼接数据;
处理子单元322,用于当存在待拼接数据时,从当前接收的TCP分段数据中解析出第一个行数据,将解析出的第一个行数据与待拼接数据进行拼接,得到第一类整行数据;从当前接收的TCP分段数据中解析出第二类整行数据;将第一类整行数据和第二类整行数据,确定为得到的整行数据;
以及用于,当不存在待拼接数据时,从当前接收的TCP分段数据中解析出第二类整行数据,将第二类整行数据确定为得到的整行数据。
作为一个实施例,上述装置还可以包括:确定单元340、存储单元350,具体可参见图4,图4是本发明一种报文传输装置实施例的第二个结构图。
其中,确定单元340,用于确定当前接收的TCP分段数据中的最后一个行数据是否为非整行数据;
存储单元350,用于在当前接收的TCP分段数据中的最后一个行数据为非整行数据时,将TCP分段数据中的最后一个行数据确定为待拼接数据,并在预设缓存中存储确定的待拼接数据。
作为一个实施例,检查单元330,可具体用于:
确定是否存在包括的特征与得到的整行数据匹配的安全策略,其中,安全策略记录了多个特征;当存在时,
若得到的整行数据与该安全策略包括的全部特征匹配,则确定得到的整行数据为攻击数据;
若得到的整行数据与该安全策略包括的部分特征匹配,则根据通过前一个接收的TCP分段数据得到的整行数据与该安全策略的匹配情况,确定得到的整行数据是否为攻击数据;其中,前一个接收的TCP分段数据属于HTTP报文;
若得到的整行数据与该安全策略包括的特征均不匹配,则确定得到的整行数据不为攻击数据。
作为一个实施例,当检查单元330根据通过前一个接收的TCP分段数据得到的整行数据与该安全策略的匹配情况,确定得到的整行数据是否为攻击数据时,检查单元330可具体用于:
判断通过前一个接收的TCP分段数据得到的整行数据,是否与该安全策略包括的部分特征匹配;
若是,则确定前一个得到的整行数据与该安全策略匹配的特征,和当前得到的整行数据与该安全策略匹配的特征是否连续,若连续,则在当前得到的整行数据与该安全策略匹配的特征,位于该安全策略的末尾时,确定得到的整行数据为攻击数据,否则,确定得到的整行数据不为攻击数据。
本发明实施例中,在接收到TCP分段数据后,网络设备可以通过该TCP分段数据得到整行数据,并检查该整行数据是否为攻击数据,最终根据检查结果,确定发送或者阻断当前接收的TCP分段数据。由此可见,由于本发明方法不对接收到的TCP分段数据进行缓存,且立即对接收到的TCP分段数据执行安全检查及发送或阻断动作,消除了等待接收各个TCP分段数据的间隔期,所以不仅可以节省网络设备的内存资源,还可以避免传输延迟,使传输效率得到提高。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种报文传输方法,其特征在于,所述方法包括:
接收TCP分段数据,其中,所述TCP分段数据是HTTP报文的一个分段数据;
通过当前接收的TCP分段数据,得到整行数据;
检查得到的整行数据是否为攻击数据;
若否,则发送当前接收的TCP分段数据;若是,则阻断当前接收的TCP分段数据。
2.根据权利要求1所述的方法,其特征在于,所述通过当前接收的TCP分段数据,得到整行数据,包括:
确定预设缓存中是否存在属于所述HTTP报文的待拼接数据;
若存在,则从当前接收的TCP分段数据中解析出第一个行数据,将解析出的第一个行数据与所述待拼接数据进行拼接,得到第一类整行数据;从当前接收的TCP分段数据中解析出第二类整行数据;将所述第一类整行数据和所述第二类整行数据,确定为得到的整行数据;
若不存在,则从当前接收的TCP分段数据中解析出第二类整行数据,将所述第二类整行数据确定为得到的整行数据。
3.根据权利要求1所述的方法,其特征在于,所述发送当前接收的TCP分段数据之前,还包括:
确定当前接收的TCP分段数据中的最后一个行数据是否为非整行数据;
若是,则将所述TCP分段数据中的最后一个行数据确定为待拼接数据,并在预设缓存中存储确定的待拼接数据。
4.根据权利要求1所述的方法,其特征在于,所述检查得到的整行数据是否为攻击数据,包括:
确定是否存在包括的特征与得到的整行数据匹配的安全策略,其中,所述安全策略记录了多个特征;当存在时,
若得到的整行数据与该安全策略包括的全部特征匹配,则确定得到的整行数据为攻击数据;
若得到的整行数据与该安全策略包括的部分特征匹配,则根据通过前一个接收的TCP分段数据得到的整行数据与该安全策略的匹配情况,确定得到的整行数据是否为攻击数据;其中,所述前一个接收的TCP分段数据属于所述HTTP报文;
若得到的整行数据与该安全策略包括的特征均不匹配,则确定得到的整行数据不为攻击数据。
5.根据权利要求4所述的方法,其特征在于,所述根据通过前一个接收的TCP分段数据得到的整行数据与该安全策略的匹配情况,确定得到的整行数据是否为攻击数据,包括:
判断通过前一个接收的TCP分段数据得到的整行数据,是否与该安全策略包括的部分特征匹配;
若是,则确定前一个得到的整行数据与该安全策略匹配的特征,和当前得到的整行数据与该安全策略匹配的特征是否连续,若连续,则在当前得到的整行数据与该安全策略匹配的特征,位于该安全策略的末尾时,确定得到的整行数据为攻击数据,否则,确定得到的整行数据不为攻击数据。
6.一种报文传输装置,其特征在于,所述装置包括:
接收单元,用于接收TCP分段数据,所述TCP分段数据是HTTP报文的一个分段数据;
获得单元,用于通过当前接收的TCP分段数据,得到整行数据;
检查单元,用于检查得到的整行数据是否为攻击数据;
发送单元,用于在得到的整行数据不为攻击数据,发送当前接收的TCP分段数据;
阻断单元,用于在得到的整行数据为攻击数据,阻断当前接收的TCP分段数据。
7.根据权利要求6所述的装置,其特征在于,所述获得单元,包括:
确定子单元,用于确定预设缓存中是否存在属于所述HTTP报文的待拼接数据;
处理子单元,用于当存在待拼接数据时,从当前接收的TCP分段数据中解析出第一个行数据,将解析出的第一个行数据与所述待拼接数据进行拼接,得到第一类整行数据;从当前接收的TCP分段数据中解析出第二类整行数据;将所述第一类整行数据和所述第二类整行数据,确定为得到的整行数据;
以及用于,当不存在待拼接数据时,从当前接收的TCP分段数据中解析出第二类整行数据,将所述第二类整行数据确定为得到的整行数据。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
确定单元,用于确定当前接收的TCP分段数据中的最后一个行数据是否为非整行数据;
存储单元,用于在当前接收的TCP分段数据中的最后一个行数据为非整行数据时,将所述TCP分段数据中的最后一个行数据确定为待拼接数据,并在预设缓存中存储确定的待拼接数据。
9.根据权利要求6所述的装置,其特征在于,所述检查单元,具体用于:
确定是否存在包括的特征与得到的整行数据匹配的安全策略,其中,所述安全策略记录了多个特征;当存在时,
若得到的整行数据与该安全策略包括的全部特征匹配,则确定得到的整行数据为攻击数据;
若得到的整行数据与该安全策略包括的部分特征匹配,则根据通过前一个接收的TCP分段数据得到的整行数据与该安全策略的匹配情况,确定得到的整行数据是否为攻击数据;其中,所述前一个接收的TCP分段数据属于所述HTTP报文;
若得到的整行数据与该安全策略包括的特征均不匹配,则确定得到的整行数据不为攻击数据。
10.根据权利要求9所述的装置,其特征在于,当根据通过前一个接收的TCP分段数据得到的整行数据与该安全策略的匹配情况,确定得到的整行数据是否为攻击数据时,所述检查单元,具体用于:
判断通过前一个接收的TCP分段数据得到的整行数据,是否与该安全策略包括的部分特征匹配;
若是,则确定前一个得到的整行数据与该安全策略匹配的特征,和当前得到的整行数据与该安全策略匹配的特征是否连续,若连续,则在当前得到的整行数据与该安全策略匹配的特征,位于该安全策略的末尾时,确定得到的整行数据为攻击数据,否则,确定得到的整行数据不为攻击数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710505947.1A CN107332839B (zh) | 2017-06-28 | 2017-06-28 | 一种报文传输方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710505947.1A CN107332839B (zh) | 2017-06-28 | 2017-06-28 | 一种报文传输方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107332839A true CN107332839A (zh) | 2017-11-07 |
| CN107332839B CN107332839B (zh) | 2020-03-06 |
Family
ID=60198592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710505947.1A Active CN107332839B (zh) | 2017-06-28 | 2017-06-28 | 一种报文传输方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107332839B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108134751A (zh) * | 2017-12-12 | 2018-06-08 | 杭州迪普科技股份有限公司 | 一种tcp分段报文待检测文本重组方法及装置 |
| CN109327306A (zh) * | 2018-09-20 | 2019-02-12 | 国家体育总局体育科学研究所 | 一种基于固定报文长度的数据传输方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1656731A (zh) * | 2002-02-08 | 2005-08-17 | 杜松网络公司 | 基于多方法网关的网络安全系统和方法 |
| CN101009660A (zh) * | 2007-01-19 | 2007-08-01 | 杭州华为三康技术有限公司 | 处理分段报文模式匹配的通用方法及装置 |
| CN101026576A (zh) * | 2007-01-19 | 2007-08-29 | 杭州华为三康技术有限公司 | 兼顾匹配策略的处理分段报文串模式匹配的方法及装置 |
| EP1868321A1 (en) * | 2006-06-12 | 2007-12-19 | Mitsubishi Denki Kabushiki Kaisha | In-line content analysis of a TCP segment stream |
| CN102510385A (zh) * | 2011-12-12 | 2012-06-20 | 汉柏科技有限公司 | 防ip数据报分片攻击的方法 |
| CN105939320A (zh) * | 2015-12-02 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
-
2017
- 2017-06-28 CN CN201710505947.1A patent/CN107332839B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1656731A (zh) * | 2002-02-08 | 2005-08-17 | 杜松网络公司 | 基于多方法网关的网络安全系统和方法 |
| EP1868321A1 (en) * | 2006-06-12 | 2007-12-19 | Mitsubishi Denki Kabushiki Kaisha | In-line content analysis of a TCP segment stream |
| CN101009660A (zh) * | 2007-01-19 | 2007-08-01 | 杭州华为三康技术有限公司 | 处理分段报文模式匹配的通用方法及装置 |
| CN101026576A (zh) * | 2007-01-19 | 2007-08-29 | 杭州华为三康技术有限公司 | 兼顾匹配策略的处理分段报文串模式匹配的方法及装置 |
| CN102510385A (zh) * | 2011-12-12 | 2012-06-20 | 汉柏科技有限公司 | 防ip数据报分片攻击的方法 |
| CN105939320A (zh) * | 2015-12-02 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108134751A (zh) * | 2017-12-12 | 2018-06-08 | 杭州迪普科技股份有限公司 | 一种tcp分段报文待检测文本重组方法及装置 |
| CN109327306A (zh) * | 2018-09-20 | 2019-02-12 | 国家体育总局体育科学研究所 | 一种基于固定报文长度的数据传输方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107332839B (zh) | 2020-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109756501B (zh) | 一种基于http协议的高隐匿网络代理方法及系统 | |
| US8108679B2 (en) | Firewall system | |
| CN106470238A (zh) | 应用于服务器负载均衡中的连接建立方法及装置 | |
| JP4743894B2 (ja) | データ・パケットを伝送しながらセキュリティを改良するための方法及び装置 | |
| CN105656765B (zh) | 一种基于深度内容解析的smtp协议数据防外泄方法及系统 | |
| CN104994094B (zh) | 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统 | |
| CN105939297B (zh) | 一种tcp报文重组方法和装置 | |
| CN102217251A (zh) | 一种数据转发方法、数据处理方法、系统以及相关设备 | |
| CN107071034A (zh) | 一种数据包传输方法和系统 | |
| CN105939284B (zh) | 报文控制策略的匹配方法及装置 | |
| CN108809895A (zh) | 弱口令的检测方法和装置 | |
| CN106790221A (zh) | 一种英特网协议安全IPSec协议加密方法和网络设备 | |
| CN105007308B (zh) | 一种数据库隔离装置环境下的文件传输方法 | |
| CN103365810B (zh) | 在c.a.n.总线上减少闪速存储装置编程时间的方法和设备 | |
| CN107332839A (zh) | 一种报文传输方法及装置 | |
| CN109286500A (zh) | 车辆电子控制单元ecu认证方法、装置及设备 | |
| CN106210032A (zh) | 基于终端数据批量上报的方法及装置 | |
| CN106921671A (zh) | 一种网络攻击的检测方法及装置 | |
| CN114024746A (zh) | 网络报文的处理方法、虚拟交换机以及处理系统 | |
| CN108011850A (zh) | 数据包的重组方法及装置、计算机设备及可读介质 | |
| CN107547505A (zh) | 一种报文处理方法及装置 | |
| CN106713077A (zh) | 代理服务器流量回放方法和系统 | |
| CN105656937B (zh) | 一种基于深度内容解析的http协议数据防外泄方法及系统 | |
| US20030110377A1 (en) | Method of and apparatus for data transmission | |
| CN105939293A (zh) | 一种skb回收方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210621 Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang. Patentee after: Hangzhou Dip Information Technology Co.,Ltd. Address before: 6 / F, Zhongcai building, 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee before: Hangzhou DPtech Technologies Co.,Ltd. |
|
| TR01 | Transfer of patent right |