CN112637022A - 一种网络协议合规性检查方法和系统 - Google Patents

Abstract

本发明提出了一种网络协议合规性检查方法和系统，通过建立用作检查规范标准的协议合规性描述文件，协议合规性描述文件包括标准协议描述部分和检查标准协议树，将待检的网络协议与其协议名称相同的协议合规性描述文件进行比对实现了多层协议的合规性检查。此方法和系统具有通用性强，能够适用于各种复杂网络协议的描述，且协议树节点可配选项丰富易于扩展，支持多协议叠加，审计更加精确，也丰富了细节展示网络流量在传输时内容。

Description

一种网络协议合规性检查方法和系统

技术领域

本发明涉及通信技术领域，尤其是一种网络协议合规性检查方法和系统。

背景技术

网络安全问题愈加成为人们更为关心的话题。虽然现阶段,已经出现了大量的防火墙、抗病毒木马入侵等软件或技术措施,为计算机的稳定运行带来了一定的安全保护。但是这些技术的应用往往无法对内部网络的监控或者特殊用户群体的使用发挥更有效的作用,从而导致大量的计算机网络容易受网络内网攻击,安全问题亟待解决。

目前网络协议内容的审计功能对于不同协议的数值项检查不够完善、协议内容单一，当被审计协议包含有多层不同协议时其审计更加繁琐。协议细节的审计不全面会导致出现通讯数据不可控的情况，从而暴露安全隐患。

现有技术中的网络协议检查，具体存在以下问题：

1.缺少网络协议格式检查，只检查协议值不检查协议格式本身；

2.对于协议项的描述与检查范围数值的可配置能力较弱；

3.协议描述格式复杂，且复用性差；

4.无法做到多层协议检查。

发明内容

为了解决现有技术中的请求接口耦合性高和开发效率低的技术问题，本发明提出了一种网络协议合规性检查方法和系统，用以解决上述技术问题。

在一个方面，本发明提出了一种网络协议合规性检查方法，包括以下步骤：

建立用作检查规范标准的协议合规性描述文件，协议合规性描述文件包括标准协议描述部分和检查标准协议树，

根据协议合规性描述文件的格式将待检的网络协议解析成待检协议描述部分和待检协议树，

将待检的网络协议与其协议名称相同的协议合规性描述文件进行比对，具体步骤如下：

S1：将标准协议描述部分和待检协议描述部分进行比对，若二者不同，则进入步骤S2，否则进入步骤S4；

S2：遍历待检协议树所包含的基础节点，判断基础节点是否符合检查标准协议树的规定，若符合，则进入步骤S3，否则进入步骤S4；

S3：判断待检协议树中是否存在表示存在分成协议的分层协议节点，若不存在，则进入步骤S5；

若存在分层协议节点，检查分层协议节点下的子项节点信息，判断子项节点信息是否符合分层协议的检查标准协议树的规定，若是则进入步骤S5，否则进入步骤S4；

S4:退出判断并返回检查错误消息；

S5:返回检查正确消息。

进一步的，检查标准协议树构建包括基础节点和包括基础节点所在层级的节点层级信息，基础节点与节点层级信息对应构建成检查标准协议树。

进一步的，标准协议描述部分和待检协议描述部分分别用于描述协议名称、协议端口、是否是链路层协议、主体是否学习、主体是否审计和数据库存储名称。

进一步的，基础节点信息包括数值类型、用于提供数值存储列表的数据节点和表示数值范围的数值节点类型。

进一步的，数据节点类型包括isArray、isReadValue、value和valueSize，其中，isArray用于判断数据节点中的数据是否为数组类型，isReadValue用于判断节点内是否有数据，value代表数据节点中的数据存储类型，valueSize代表代表数据节点中的数据存储类型的数量。

进一步的，数值节点类型包括isRange、valueDisplayCN、valueDisplayEN和valueEncode，isRange代表数值存储的区间范围，valueDisplayCN代表数值的中文描述，valueDisplayEN代表数值的英文描述以及valueEncode代表数值的编码类型。

进一步的，数值类型包括int、uint、float、double、bool和string。

进一步的，返回错误信息时包括返回错误类型与错误节点的位置以供上层处理程序对其进行处理。

根据本发明的第二方面，提出了一种计算机可读存储介质，其上存储有一或多个计算机程序，该一或多个计算机程序被计算机处理器执行时实施上述方法。

根据本发明的第三方面，提出了一种网络协议合规性检查系统，该系统包括：

协议合规性描述文件构建单元：配置为建立用作检查规范标准的协议合规性描述文件，所述协议合规性描述文件包括标准协议描述部分和检查标准协议树；

待检的网络协议解析单元：配置为根据协议合规性描述文件的格式将待检的网络协议解析成待检协议描述部分和待检协议树；

检查比对单元：配置为将待检的网络协议与其协议名称相同的协议合规性描述文件进行比对，具体步骤如下：

S1：将标准协议描述部分和待检协议描述部分进行比对，若二者不同，则进入步骤S2，否则进入步骤S4；

S2：遍历待检协议树所包含的基础节点，判断基础节点是否符合检查标准协议树的规定，若符合，则进入步骤S3，否则进入步骤S4；

S3：判断待检协议树中是否存在表示存在分成协议的分层协议节点，若不存在，则进入步骤S5；

若存在分层协议节点，检查分层协议节点下的子项节点信息，判断子项节点信息是否符合分层协议的检查标准协议树的规定，若是则进入步骤S5，否则进入步骤S4；

S4：退出判断并返回检查错误消息；

S5：返回检查正确消息。

本发明提出了一种网络协议合规性检查方法和系统，通过建立用作检查规范标准的协议合规性描述文件，协议合规性描述文件包括标准协议描述部分和检查标准协议树，将待检的网络协议与其协议名称相同的协议合规性描述文件进行比对实现了多层协议的合规性检查，具有如下特点：

1.通用性强，本发明可以适用于各种复杂网络协议的描述；

2.协议树节点可配选项丰富易于扩展；

3.支持多协议叠加，审计更加精确；

4.丰富细节展示网络流量在传输时内容。

附图说明

包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点，因为通过引用以下详细描述，它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1是本申请可以应用于其中的示例性系统架构图；

图2是本申请的一个实施例的待检的网络协议与协议合规性描述文件比对流程图；

图3是本申请的一个具体的实施例的一种网络协议合规性检查方法流程图；

图4是本申请的一个实施例的一种协议合规性描述文件的组成示意图；

图5是本申请的一个实施例中一种网络协议合规性检查系统流程图；

图6是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

图1示出了可以应用本申请实施例的一种基于插件式引擎的服务框架构建方法的示例性系统架构100。

如图1所示，系统架构100可以包括数据服务器101，网络102和主服务器103。网络102用以在数据服务器101和主服务器103之间提供通信链路的介质。网络102可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

主服务器103可以是提供各种服务的服务器，例如对数据服务器101上传的信息进行处理的数据处理服务器。数据处理服务器可以进行基于插件式引擎的服务框架构建。

需要说明的是，本申请实施例所提供的基于插件式引擎的服务框架构建方法一般由主服务器103执行，相应地，基于一种基于插件式引擎的服务框架构建方法的装置一般设置于主服务器103中。

需要说明的是，数据服务器和主服务器可以是硬件，也可以是软件。当为硬件时，可以实现成多个服务器组成的分布式服务器集群，也可以实现成单个服务器。当为软件时，可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块)，也可以实现成单个软件或软件模块。

应该理解，图1中的数据服务器、网络和主服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

下面参照图2，图2为网络协议合规性检查方法流程图；包括以下步骤：

S201：建立用作检查规范标准的协议合规性描述文件，协议合规性描述文件包括标准协议描述部分和检查标准协议树；

S202：根据协议合规性描述文件的格式将待检的网络协议解析成待检协议描述部分和待检协议树；

S203：将待检的网络协议与其协议名称相同的协议合规性描述文件进行比对。

下面参照图3，图3为待检的网络协议与协议合规性描述文件比对流程图；

S2031：将标准协议描述部分和待检协议描述部分进行比对，若二者不同，则进入步骤S2032，否则进入步骤S2034；

S2032：遍历待检协议树所包含的基础节点，判断基础节点是否符合检查标准协议树的规定，若符合，则进入步骤S2033，否则进入步骤S2034；

S2033：判断待检协议树中是否存在表示存在分成协议的分层协议节点，若不存在，则进入步骤S2035；

若存在分层协议节点，检查分层协议节点下的子项节点信息，判断子项节点信息是否符合分层协议的检查标准协议树的规定，若是则进入步骤S2035，否则进入步骤S2034；

S2034：退出判断并返回检查错误消息；

S2035：返回检查正确消息。

在具体的实施例中的，数据结构以树形态存在，获取检查标准协议树的方法具体为：构建包括基础节点和包括基础节点所在层级的节点层级信息，基础节点与节点层级信息对应构建成检查标准协议树。通过合规性检查描述文件可以解析为由多个数据节点的数据结构。读取协议树描述文件，解析协议的基础部分内部包含协议基本信息，协议的自填充部分描述了协议的子项信息与合规性检查数值，最后的协议树结构部分通过合并之前的协议子项进行快速填充，并完成整个协议树的创建。

在具体的实施例中，在协议合规性检查处理时如果发现协议树中节点类型为(type)是“protogo”的属性即为分层协议节点，此时触发协议分层，会从当前协议跳转到其包含协议中，此时合规检测使用的协议树会从原有协议树，更换为目标协议树以继续进行合规检查。此过程一直到当前协议检查完成，回到上层协议中继续进行原有合规性检查。

在具体的实施例中的，返回错误信息时包括返回错误类型与错误节点的位置以供上层处理程序对其进行处理。

合规性检查在遇到错误时例如：丢失节点、数据不合规、数据类型不匹配等问题进行上报处理，会准确描述错误类型与错误节点位置，以供上层处理程序对其进行处理。错误类型包括匹配类型错误、匹配数值超范围、匹配节点不存在

下面参照图4，图4为协议合规性描述文件的组成示意图，协议合规性描述文件是描述协议内容与数值合规范围的关键文件，通过该文件完成协议树的创建。协议合规性描述文件包括标准协议描述部分和检查标准协议树，检查标准协议树构建包括基础节点和包括基础节点所在层级的节点层级信息，基础节点与节点层级信息对应构建成检查标准协议树。

标准协议描述部分S401相当于图中的“proto”块部分,主要用于描述协议名称、协议端口、是否是链路层协议、主体是否学习、主体是否审计、数据库存储名称。

基础节点S402相当于图中的“SMB Head”和“StructureSize”，二者都是协议的基础节点，主要用于描述节点内信息如：描述名称、类型、数值合规检查范围、中/英描述等属性。这些基础节点统一称为“base”基础协议项描述，通过基础协议项描述以便检查标准协议树S403相当于“root”块部分进行加载。

在具体的实施例中的，基础节点信息包括数值类型、用于提供数值存储列表的数据节点和表示数值范围的数值节点类型。

在具体的实施例中的，数据节点类型包括isArray、isReadValue、value和valueSize，其中，isArray用于判断数据节点中的数据是否为数组类型，isReadValue用于判断节点内是否有数据，value代表数据节点中的数据存储类型，valueSize代表代表数据节点中的数据存储类型的数量。

在具体的实施例中的，数值节点类型包括isRange、valueDisplayCN、valueDisplayEN和valueEncode，isRange代表数值存储的区间范围，valueDisplayCN代表数值的中文描述，valueDisplayEN代表数值的英文描述以及valueEncode代表数值的编码类型。

在具体的实施例中的，数值类型包括int、uint、float、double、bool和string。

“root”类型通过组装“base”类型的树节点达到复用节点简写结构，以程序来推导合规性检查树的生成，更加方便编写文档，“root”部分相当于将基础节点构建成检查标准协议树。

如果网络协议为网络数据包格式时，每一个或者多个连续的网络数据包都可以解析出一个待检查协议树信息，当待检查协议树信息的所有节点都通过合规性检查的时候则会生成用于上报的消息。

下面参照图5，图5为网络协议合规性检查系统流程图；

协议合规性描述文件构建单元S501：配置为建立用作检查规范标准的协议合规性描述文件，协议合规性描述文件包括标准协议描述部分和检查标准协议树；

待检的网络协议解析单元S502：配置为根据协议合规性描述文件的格式将待检的网络协议解析成待检协议描述部分和待检协议树；

检查比对单元S503：将待检的网络协议与其协议名称相同的协议合规性描述文件进行比对，具体比对方法如图3。

下面参考图6，其示出了适于用来实现本申请实施例的电子设备的计算机系统600的结构示意图。图6示出的电子设备仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图6所示，计算机系统600包括中央处理单元(CPU)601，其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM903中，还存储有系统600操作所需的各种程序和数据。CPU601、ROM602以及RAM903通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。

以下部件连接至I/O接口605：包括键盘、鼠标等的输入部分606；包括诸如液晶显示器(LCD)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时，执行本申请的方法中限定的上述功能。需要说明的是，本申请的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质，该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。

作为另一方面，本申请还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：建立用作检查规范标准的协议合规性描述文件，所述协议合规性描述文件包括标准协议描述部分和检查标准协议树，根据所述协议合规性描述文件的格式将待检的网络协议解析成待检协议描述部分和待检协议树，将所述待检的网络协议与其协议名称相同的协议合规性描述文件进行比对。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (10)

1.一种网络协议合规性检查方法，其特征在于，包括以下步骤：

建立用作检查规范标准的协议合规性描述文件，所述协议合规性描述文件包括标准协议描述部分和检查标准协议树，

根据所述协议合规性描述文件的格式将待检的网络协议解析成待检协议描述部分和待检协议树，

将所述待检的网络协议与其协议名称相同的协议合规性描述文件进行比对，具体步骤如下：

S1：将所述标准协议描述部分和所述待检协议描述部分进行比对，若二者不同，则进入步骤S2，否则进入步骤S4；

S2：遍历所述待检协议树所包含的基础节点，判断所述基础节点是否符合所述检查标准协议树的规定，若符合，则进入步骤S3，否则进入步骤S4；

S3：判断所述待检协议树中是否存在表示存在分成协议的分层协议节点，若不存在，则进入步骤S5；

若存在所述分层协议节点，检查所述分层协议节点下的子项节点信息，判断所述子项节点信息是否符合所述分层协议的所述检查标准协议树的规定，若是则进入步骤S5，否则进入步骤S4；

S4：退出判断并返回检查错误消息；

S5：返回检查正确消息。

2.根据权利要求1所述的网络协议合规性检查方法，其特征在于，所述检查标准协议树构建包括基础节点和包括所述基础节点所在层级的节点层级信息，所述基础节点与所述节点层级信息对应构建成所述检查标准协议树。

3.根据权利要求1所述的网络协议合规性检查方法，其特征在于，所述标准协议描述部分和所述待检协议描述部分分别用于描述协议名称、协议端口、是否是链路层协议、主体是否学习、主体是否审计和数据库存储名称。

4.根据权利要求2所述的网络协议合规性检查方法，其特征在于，所述基础节点信息包括数值类型、用于提供所述数值存储列表的数据节点和表示所述数值范围的数值节点类型。

5.根据权利要求4所述的网络协议合规性检查方法，其特征在于，所述数据节点类型包括isArray、isReadValue、value和valueSize，其中，所述isArray用于判断所述数据节点中的数据是否为数组类型，所述isReadValue用于判断节点内是否有数据，所述value代表所述数据节点中的数据存储类型，valueSize代表代表所述数据节点中的数据存储类型的数量。

6.根据权利要求4所述的网络协议合规性检查方法，其特征在于，所述数值节点类型包括isRange、valueDisplayCN、valueDisplayEN和valueEncode，所述isRange代表数值存储的区间范围，所述valueDisplayCN代表数值的中文描述，所述valueDisplayEN代表数值的英文描述以及所述valueEncode代表数值的编码类型。

7.根据权利要求4所述的网络协议合规性检查方法，其特征在于，所述数值类型包括int、uint、float、double、bool和string。

8.根据权利要求1所述的网络协议合规性检查方法，其特征在于，返回所述错误信息时包括返回错误类型与错误节点的位置以供上层处理程序对其进行处理。

9.一种计算机可读存储介质，其上存储有一或多个计算机程序，其特征在于，该一或多个计算机程序被计算机处理器执行时实施权利要求1至8中任一项所述的方法。

10.一种网络协议合规性检查系统，其特征在于，包括：

协议合规性描述文件构建单元：配置为建立用作检查规范标准的协议合规性描述文件，所述协议合规性描述文件包括标准协议描述部分和检查标准协议树；

待检的网络协议解析单元：配置为根据所述协议合规性描述文件的格式将待检的网络协议解析成待检协议描述部分和待检协议树；

检查比对单元：配置为将所述待检的网络协议与其协议名称相同的协议合规性描述文件进行比对，具体步骤如下：

S1：将所述标准协议描述部分和所述待检协议描述部分进行比对，若二者不同，则进入步骤S2，否则进入步骤S4；

S2：遍历所述待检协议树所包含的基础节点，判断所述基础节点是否符合所述检查标准协议树的规定，若符合，则进入步骤S3，否则进入步骤S4；

S3：判断所述待检协议树中是否存在表示存在分成协议的分层协议节点，若不存在，则进入步骤S5；

若存在所述分层协议节点，检查所述分层协议节点下的子项节点信息，判断所述子项节点信息是否符合所述分层协议的所述检查标准协议树的规定，若是则进入步骤S5，否则进入步骤S4；

S4：退出判断并返回检查错误消息；

S5：返回检查正确消息。

Images