CN115834229A - 一种报文安全检测方法、设备及存储介质 - Google Patents

一种报文安全检测方法、设备及存储介质 Download PDF

Info

Publication number
CN115834229A
CN115834229A CN202211584329.8A CN202211584329A CN115834229A CN 115834229 A CN115834229 A CN 115834229A CN 202211584329 A CN202211584329 A CN 202211584329A CN 115834229 A CN115834229 A CN 115834229A
Authority
CN
China
Prior art keywords
message
detected
determining
data structure
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211584329.8A
Other languages
English (en)
Inventor
胥斌
王彤
李雨鑫
张梦元
郭科松
董振领
陈欣华
沈慧婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wangtai Technology Development Co ltd
Original Assignee
Beijing Wangtai Technology Development Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wangtai Technology Development Co ltd filed Critical Beijing Wangtai Technology Development Co ltd
Priority to CN202211584329.8A priority Critical patent/CN115834229A/zh
Publication of CN115834229A publication Critical patent/CN115834229A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种报文安全检测方法、设备及存储介质。该方法包括:获取基于中间系统到中间系统路由协议所形成的待检测报文;根据待检测报文确定报文内容的第一数据结构;如果基于预确定的报文检测规则确定存在待检测历史报文,根据待检测历史报文结合第一数据结构对待检测报文进行分析,确定报文的合法性,解决了无法及时发现异常ISIS报文的问题,通过对待检测报文进行分析确定报文内容的第一数据结构,根据预先确定的报文检测规则确定是否存在待检测历史报文,若存在,则结合待检测历史报文和第一数据结构进行分析,确定待检测报文的合法性,实现对中间系统到中间系统路由协议所形成的报文的安全检测,以便及时发现异常报文,提高数据安全性。

Description

一种报文安全检测方法、设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种报文安全检测方法、设备及存储介质。
背景技术
IS-IS(Intermediate System-to-Intermediate System,中间系统到中间系统)路由协议是一种内部网关协议,用于自治系统内部。IS-IS是一种链路状态协议,使用最短路径优先算法进行路由计算。
在通过ISIS协议传输数据时,攻击者会在路由器传递ISIS报文时进行拦截,通过修改报文的内容,或者通过攻陷的路由器发送非法报文,来攻击目标路由器,进而攻击自治系统,影响整个网络的安全。另外,由于配置错误等原因,路由器发出的合法报文也同样可能导致网络发生震荡、环路等故障。现有技术中并没有对ISIS协议报文的安全检测,无法及时发现异常报文,从而无法保证网络安全。
发明内容
本发明提供了一种报文安全检测方法、设备及存储介质,以解决无法及时发现异常ISIS报文的问题,保证网络安全。
根据本发明的一方面,提供了一种报文安全检测方法,包括:
获取基于中间系统到中间系统路由协议所形成的待检测报文;
根据所述待检测报文确定报文内容的第一数据结构;
如果基于预确定的报文检测规则确定存在待检测历史报文,根据所述待检测历史报文结合第一数据结构对所述待检测报文进行分析,确定报文的合法性。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的报文安全检测方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的报文安全检测方法。
本发明实施例的技术方案,通过获取基于中间系统到中间系统路由协议所形成的待检测报文;根据所述待检测报文确定报文内容的数据结构;如果基于预确定的报文检测规则确定存在待检测历史报文,根据所述待检测历史报文结合第一数据结构对所述待检测报文进行分析,确定报文的合法性,解决了无法及时发现异常ISIS报文的问题,通过对待检测报文进行分析确定报文内容的第一数据结构,根据预先确定的报文检测规则确定是否存在待检测历史报文,若存在,则结合待检测历史报文和第一数据结构进行分析,确定待检测报文的合法性,实现对中间系统到中间系统路由协议所形成的报文的安全检测,以便及时发现异常报文,提高数据安全性。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例一提供的一种报文安全检测方法的流程图;
图2是根据本发明实施例二提供的一种报文安全检测方法的流程图;
图3是根据本发明实施例三提供的一种报文安全检测装置的结构示意图;
图4是实现本发明实施例的报文安全检测方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供了一种报文安全检测方法的流程图,本实施例可适用于对报文进行检测的情况,该方法可以由报文安全检测系统来执行,该报文安全检测系统可以采用硬件和/或软件的形式实现,该报文安全检测系统可配置于电子设备中。如图1所示,该方法包括:
S101、获取基于中间系统到中间系统路由协议所形成的待检测报文。
在本实施例中,待检测报文具体可以理解为具有安全检测需求的报文。中间系统到中间系统路由协议即Intermediate System-to-Intermediate System(IS-IS)路由协议。本申请实施例所提供的报文安全检测方法对ISIS路由协议报文(下述简称ISIS报文)进行安全检测,执行报文安全检测方法的设备或者系统可以部署在重要路由节点之间,也可以根据路由网络中最小连通图进行部署,或者在路由器网络全网部署。
具体的,本执行设备可以接收路由器或攻击者所传输的任意类型的报文,对报文进行筛选,得到基于中间系统到中间系统路由协议所形成的待检测报文;或者,通过中间设备对路由器所传输的报文进行筛选,得到基于中间系统到中间系统路由协议所形成的待检测报文并发送给本执行设备。本申请实施例提供的报文安全检测方法在实现时采用控制平面和数据平面分离的网络架构,例如,软件定义网络(Software Defined Network,SDN)、数据平面开发工具集(Data Plane Development Kit,Intel DPDK)等,在对待检测报文进行安全检测的同时,不影响其他类型的报文的正常传输。
S102、根据待检测报文确定报文内容的第一数据结构。
在本实施例中,报文内容具体可以理解为待检测报文中实际包含的数据内容,例如,字段类型及字段对应的数据内容;第一数据结构可以理解为计算机存储、组织待检测报文所包含的报文内容中的数据的方式,第一数据结构可以是数组、栈、队列、链表、树、图、堆、散列表等。通过分析待检测报文,确定待检测报文的报文内容,将报文内容按照预先设置好的第一数据结构进行存储,构建报文内容的第一数据结构,方便计算机进行数据处理。
S103、如果基于预确定的报文检测规则确定存在待检测历史报文,根据待检测历史报文结合第一数据结构对待检测报文进行分析,确定报文的合法性。
在本实施例中,报文检测规则具体可以理解为对ISIS报文是否安全进行判断的规则。报文检测规则可以根据对安全级别的需求进行设置,同时还可以根据所防护的攻击类型进行设置,针对性对报文进行安全检测。报文检测规则可以根据需求、业务场景等动态进行更新。待检测历史报文具体可以理解为辅助待检测报文进行安全检测的历史报文;报文的合法性可以是合法、非法等。
具体的,预先确定报文检测规则,报文检测规则中可以定义所检测的数据类型,以及对应的具体规则内容,具体规则内容中可以定义所检测数据量,例如,连续几个、连续多久的时间内的数据。根据报文检测规则确定需要检测的数据类型,并根据具体规则内容确定是否存在待检测历史报文,若存在,则获取待检测历史报文,根据数据类型从报文内容的第一数据结构中获取相应的数据以及从待检测历史报文中获取相应的数据并综合进行分析,结合报文防护的具体规则内容确定报文的合法性,例如,报文检测规则的具体规则内容可以是连续3个A类型数据大于10且连续2个B类型数据大于12。
需要知道是,在对待检测报文进行安全检测过程中,可以仅对待检测报文进行分析,如果基于预确定的报文检测规则确定不存在待检测历史报文,根据第一数据结构对待检测报文进行分析,确定报文的合法性。例如,A类型数据(或者字段A)对应的数据小于10,报文为合法报文,否则报文为非法报文。对报文进行合法性分析时,可以仅根据待检测报文进行检测,也可以结合历史报文进行分析,可以通过报文检测规则设置。
本发明实施例提供了一种报文安全检测方法,通过获取基于中间系统到中间系统路由协议所形成的待检测报文;根据待检测报文确定报文内容的第一数据结构;如果基于预确定的报文检测规则确定存在待检测历史报文,根据所述待检测历史报文结合第一数据结构对待检测报文进行分析,确定报文的合法性,解决了无法及时发现异常ISIS报文的问题,通过对待检测报文进行分析确定报文内容的第一数据结构,根据预先确定的报文检测规则确定是否存在待检测历史报文,若存在,则结合待检测历史报文和第一数据结构进行分析,确定待检测报文的合法性,实现对中间系统到中间系统路由协议所形成的报文的安全检测,以便及时发现异常报文,提高数据安全性。
实施例二
图2为本发明实施例二提供的一种报文安全检测方法的流程图,本实施例在上述实施例的基础上进行细化,如图2所示,该方法包括:
S201、获取待转发报文。
在本实施例中,待转发报文具体可以理解为具有转发需求的报文。待转发报文可以是路由器所转发的报文或者攻击者所发送的报文。本申请设备可以接收由路由器所转发的待转发报文;或者,攻击者通过对修改路由器所转发的报文,形成待转发报文发送给本执行设备;或者,攻击者可以直接形成待转发报文发送给本执行设备。
S202、根据待转发报文的报文类型确定待检测报文。
在本实施例中,报文类型可以是OSPF报文、ISIS报文、ICMP报文等。通过解析待转发报文确定报文类型,将报文类型为ISIS类型的报文确定为待检测报文,并对待检测报文执行后续的报文安全检测。对于其他类型的报文则进行正常的传输,降低对网络的影响。
S203、获取基于中间系统到中间系统路由协议所形成的待检测报文。
S204、对待检测报文进行解析。
对待检测报文进行解析可以是对待检测报文的所有字段依次进行解析,得到每个字段对应的数据,可以通过解析工具完成对所有字段的依次解析;也可以是待检测报文分块进行解析,得到解析后的数据。
作为本实施例的一个可选实施例,本可选实施例进一步将对待检测报文进行解析,优化为:
A1、基于预确定的协议规范对待检测报文进行分块,确定待检测数据块。
在本实施例中,待检测数据块具体可以理解为需要进行数据解析的数据块;协议规范具体可以理解为用于形成待检测报文的协议在形成报文时所遵循的规范,例如,TLV结构包括:Tag+Length+Value。
预先根据待检测报文的协议(或报文)类型确定协议规范,通过协议规范可以确定报文的结构,同时确定哪些字段为一个数据块,然后将待检测报文进行分块,将待检测报文划分为一个或者多个待检测数据块。例如,A、B和C字段为一个待检测数据块。
A2、根据待检测数据块所对应的偏移和数据类型对待检测数据块进行解析。
对于每个待检测数据块,确定待检测数据块中各字段的偏移,以及数据类型,数据类型包括每个字段对应的数据类型,数据类型可以是字段长度(例如,3个字节、4个字节等)、类型(例如,int、char、float)等。确定待检测数据块对应的偏移和数据类型,根据偏移和数据类型对待检测数据块进行解析,得到相应字段的数据。通过将待检测报文进行分块解析,可以快速解析得到报文的数据内容。
S205、根据解析得到的数据确定报文内容的第一数据结构。
根据解析得到的数据构建报文内容的数据结构,将数据及其对应的类型按照数据结构进行存储,生成报文内容的数据结构,以便计算机进行数据处理。
S206、如果基于预确定的报文检测规则确定存在待检测历史报文,获取待检测历史报文的报文内容的第二数据结构。
在本实施例中,第二数据结构具体可以理解为计算机存储、组织待检测历史报文所包含的报文内容中的数据的方式,第二数据结构可以是数组、栈、队列、链表、树、图、堆、散列表等。
在生成报文检测规则时可以确定进行安全检测所所需的数据类型以及具体规则内容,根据具体规则内容可以确定是否存在待检测历史报文,例如,具体规则内容为连续10条报文中的A类型数据大于10时报文异常,则可以确定存在待检测历史报文。根据报文检测规则确定并获取相应数量的待检测历史报文,例如,获取待检测报文之前的9条ISIS报文作为待检测历史报文。对待检测历史报文的报文内容进行解析,构建其对应的第二数据结构;或者,待检测历史报文已经构建了第二数据结构,直接获取其对应的第二数据结构。可以知道的是,待检测历史报文的数量可以是多个,相应的,第二数据结构的数量也可以是多个。
S207、获取第一数据结构和第二数据结构结合报文检测规则进行规则匹配。
根据待检测历史报文的第二数据结构和待检测报文的第一数据结构进行分析。待检测报文在进行安全检测后,可以存储其对应的第一数据结构作为报文内容的数据结构,在对下一个待检测报文进行安全检测时,本次的待检测报文作为待检测历史报文可以直接获取对应的报文内容的数据结构作为第二数据结构。将分析结果与报文检测规则进行匹配,或者根据报文检测规则进行分析。报文检测规则可以对一种或者多种类型数据进行检测,示例性的,报文检测规则的具体规则内容可以是连续3个A类型数据大于10后,连续2个B类型数据大于11;报文检测规则的具体规则内容可以是连续3个A类型数据大于10之后的5个B类型数据中有至少3个大于11,等等。
若不存在待检测历史报文,则直接对待检测报文的报文内容的数据结构进行分析,并与报文检测规则进行匹配。示例性的,报文检测规则的具体规则内容是A类型数据大于10且B类型数据大于12。
S208、判断匹配是否成功,若是,执行S209;否则,执行S210。
若对数据进行分析后,确定数据符合报文检测规则的具体规则内容,确定匹配成功;否则,确定匹配失败。
S209、确定报文为非法报文。
S210、确定报文为合法报文。
作为本实施例的一个可选实施例,本可选实施例进一步优化包括了如下步骤:
B1、根据待检测报文确定当前路由状态。
在本实施例中,当前路由状态具体可以理解为路由器在当前传输待检测报文时的状态,例如路由的前缀是否正确、是否可达等。根据待检测报文确定所维护的路由表对应的当前路由状态。
B2、根据当前路由状态结合历史路由状态确定路由状态变化信息。
在本实施例中,历史路由状态具体可以理解为路由器在历史传输报文时的状态,例如,上一次传输待检测报文时的状态。历史路由状态可以是一个或者多个,以便实现通过比较多个路由状态确定路由状态的变化的目的。
比较当前路由状态和历史路由状态,确定路由状态是否发生改变,同时根据变化情况生成路由状态变化信息,路由状态变化信息可以是前缀是否变化,以及变化频率等。
B3、基于报文检测规则,对路由状态变化信息进行规则匹配。
预先通过报文检测规则中定义路由状态变化的防护规则,例如,前缀的变化频率大于4次/min则确定异常。将路由状态变化信息与报文检测规则中的路由状态变化的防护规则内容进行匹配。
B4、判断匹配是否成功,若是,确定报文为非法报文,否则,确定报文为合法报文。
若匹配成功,确定报文为非法报文,若匹配失败,则确定报文为合法报文。例如,路由状态变化信息中的前缀的变化频率为6次/min,则确定匹配成功,报文为非法报文。若路由状态变化信息中包括多种类型的信息,则确定报文的合法性时,可以一种类型的信息匹配成功则确定报文为非法报文,或者超过n种类型的信息匹配成功,确定报文为非法报文,n可以根据需求设置。
作为本实施例的一个可选实施例,本可选实施例进一步优化包括了如下步骤:
C1、根据当前路由状态确定路由状态的数据结构。
对当前路由状态解析,并根据解析得到的数据构建路由状态的数据结构,例如,前缀、路径、序列号、system ID、时间等等。将当前路由状态所包含的数据以及数据的类型按照数据结构进行存储,完成路由状态的数据结构的构建。
C2、基于报文检测规则,对路由状态的数据结构进行规则匹配。
预先通过报文检测规则中定义路由状态的防护规则,通过相应的防护规则对路由状态的数据结构进行判断,确定路由状态的数据结构是否合法,例如,前缀是否为防护规则中定义的异常前缀。在对路由状态的数据结构进行规则匹配时,可以设置一种或者多种类型数据进行匹配。
C3、判断匹配是否成功,若是,确定报文为非法报文,否则,确定报文为合法报文。
如果路由状态的数据结构与报文检测规则匹配成功,确定报文为非法报文;否则,确定报文为合法报文。若设置多种类型数据进行匹配,可以一种类型的数据匹配成功则确定报文为非法报文,也可以设置多种类型的信息匹配成功后确定报文为非法报文。
本申请实施例提供的方法可以以旁路方式部署在路由器网络中,针对ISIS协议的攻击行为进行检测和告警。
作为本实施例的一个可选实施例,本可选实施例进一步优化包括了如果报文为合法报文,则对待检测报文进行转发;如果报文为非法报文,则对待检测报文进行修改或丢弃。
在报文为合法报文时对待检测报文直接进行转发;在报文为非法报文时,可以对待检测报文进行修改也可以直接丢弃。在报文为非法报文时,可以判断是否需要对待检测报文进行修改,可以在报文检测规则中定义是否进行修改,以及如何进行修改,也可以不进行修改直接丢弃,节省时间。通过修改或丢弃非法的报文可以实现对攻击行为的防护。
示例性的,本申请所提供的报文安全检测方法可以通过系统方式部署实施,由报文安全检测系统执行,采用控制平面和数据平面分离的网络架构实现,报文安全检测系统包括数据处理模块、控制器模块、管理模块。其中数据处理模块和路由器进行连接,接收路由器所发送的待转发报文,对待转发报文进行分析,确定待转发报文的报文类型,根据报文类型确定待检测报文,将待检测报文发送给控制器模块,将不是ISIS类型的报文直接进行快速转发或其他处理。控制器模块对待检测报文进行处理和分析确定报文的合法性,并根据报文的合法性判断对待检测报文进行转发、修改或丢弃,进而对待检测报文执行相应的转发、修改或丢弃操作。控制器模块还可以将待检测报文的处理方式发送给数据处理模块,通过数据处理模块对待检测报文执行相应的转发、修改或丢弃;控制器模块还可以与管理模块进行交互,管理模块用于对报文检测规则进行维护,可以实现对报文检测规则进行修改、更新等操作,并对待检测报文的分析结果进行记录和展示。
本发明实施例提供了一种报文安全检测方法,解决了无法及时发现异常ISIS报文的问题,通过待转发报文的报文类型确定待检测报文,对待检测报文进行安全检测,对其他类型的报文保持原方式进行处理,不影响其他报文的处理;待检测报文进行分析确定报文内容的第一数据结构,根据预先确定的报文检测规则确定是否存在待检测历史报文,并在存在待检测历史报文时确定其对应的第二数据结构,对第一数据结构和第二数据结构综合进行分析,确定待检测报文的合法性,实现对ISIS报文的安全检测,及时发现异常报文,提高数据安全性,可以对异常报文进行修改或丢弃,实现对攻击行为的阻断,同时可以保证合法报文的快速转发;可以实现对路由器本身发出的报文进行安全检测和防御;可以实现对ISIS协议已知漏洞和未知漏洞的分析防护,易于部署,不影响网络正常工作。
实施例三
图3为本发明实施例三提供的一种报文安全检测装置的结构示意图。如图3所示,该装置包括:检测报文获取模块31、报文结构确定模块32和第一合法性确定模块33;
检测报文获取模块31,用于获取基于中间系统到中间系统路由协议所形成的待检测报文;
报文结构确定模块32,用于根据所述待检测报文确定报文内容的第一数据结构;
第一合法性确定模块33,用于如果基于预确定的报文检测规则确定存在待检测历史报文,根据所述待检测历史报文结合第一数据结构对所述待检测报文进行分析,确定报文的合法性。
本发明实施例提供了一种报文安全检测装置,解决了无法及时发现异常ISIS报文的问题,通过对待检测报文进行分析确定第一数据结构,根据预先确定的报文检测规则确定是否存在待检测历史报文,根据待检测历史报文的第二数据结构结合第一数据结构进行分析,确定待检测报文的合法性,实现对中间系统到中间系统路由协议所形成的报文的安全检测,以便及时发现异常报文,提高数据安全性。
可选的,该装置还包括:
转发报文确定模块,用于获取待转发报文;
检测报文确定模块,用于根据所述待转发报文的报文类型确定待检测报文。
可选的,报文结构确定模块32,包括:
报文解析单元,用于对所述待检测报文进行解析;
报文结构确定单元,用于根据解析得到的数据确定报文内容的第一数据结构。
可选的,报文解析单元,具体用于:基于预确定的协议规范对所述待检测报文进行分块,确定待检测数据块;根据所述待检测数据块所对应的偏移和数据类型对所述待检测数据块进行解析。
可选的,第一合法性确定模块33,包括:
数据结构获取单元,用于获取所述待检测历史报文的报文内容的第二数据结构;
规则匹配单元,用于根据所述第一数据结构和第二数据结构结合所述报文检测规则进行规则匹配;
状态确定单元,用于判断匹配是否成功,若是,确定报文为非法报文,否则,确定报文为合法报文。
可选的,该装置还包括:
路由状态确定模块,用于根据待检测报文确定当前路由状态;
状态变化确定模块,用于根据所述当前路由状态结合历史路由状态确定路由状态变化信息;
状态变化匹配模块,用于基于报文检测规则,对所述路由状态变化信息进行规则匹配;
第二合法性确定模块,用于判断匹配是否成功,若是,确定报文为非法报文,否则,确定报文为合法报文。
可选的,该装置还包括:
路由结构确定模块,用于根据所述当前路由状态确定路由状态的数据结构;
路由结构匹配模块,用于基于报文检测规则,对所述路由状态的数据结构进行规则匹配;
第三合法性确定模块,用于判断匹配是否成功,若是,确定报文为非法报文常,否则,确定报文为合法报文。
可选的,该装置还包括:
报文转发模块,用于如果报文为非法报文,则对待检测报文进行转发;
报文处理模块,用于如果报文为合法报文,则对待检测报文进行修改或丢弃。
本发明实施例所提供的报文安全检测装置可执行本发明任意实施例所提供的报文安全检测方法,具备执行方法相应的功能模块和有益效果。
实施例四
图4示出了可以用来实施本发明的实施例的电子设备40的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图4所示,电子设备40包括至少一个处理器41,以及与至少一个处理器41通信连接的存储器,如只读存储器(ROM)42、随机访问存储器(RAM)43等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器41可以根据存储在只读存储器(ROM)42中的计算机程序或者从存储单元48加载到随机访问存储器(RAM)43中的计算机程序,来执行各种适当的动作和处理。在RAM 43中,还可存储电子设备40操作所需的各种程序和数据。处理器41、ROM 42以及RAM 43通过总线44彼此相连。输入/输出(I/O)接口45也连接至总线44。
电子设备40中的多个部件连接至I/O接口45,包括:输入单元46,例如键盘、鼠标等;输出单元47,例如各种类型的显示器、扬声器等;存储单元48,例如磁盘、光盘等;以及通信单元49,例如网卡、调制解调器、无线通信收发机等。通信单元49允许电子设备40通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器41可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器41的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器41执行上文所描述的各个方法和处理,例如报文安全检测方法。
在一些实施例中,报文安全检测方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元48。在一些实施例中,计算机程序的部分或者全部可以经由ROM 42和/或通信单元49而被载入和/或安装到电子设备40上。当计算机程序加载到RAM 43并由处理器41执行时,可以执行上文描述的报文安全检测方法的一个或多个步骤。备选地,在其他实施例中,处理器41可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行报文安全检测方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (10)

1.一种报文安全检测方法,其特征在于,包括:
获取基于中间系统到中间系统路由协议所形成的待检测报文;
根据所述待检测报文确定报文内容的第一数据结构;
如果基于预确定的报文检测规则确定存在待检测历史报文,根据所述待检测历史报文结合第一数据结构对所述待检测报文进行分析,确定报文的合法性。
2.根据权利要求1所述的方法,其特征在于,在所述获取基于中间系统到中间系统路由协议所形成的待检测报文之前,还包括:
获取待转发报文;
根据所述待转发报文的报文类型确定待检测报文。
3.根据权利要求1所述的方法,其特征在于,所述根据所述待检测报文确定报文内容的第一数据结构,包括:
对所述待检测报文进行解析;
根据解析得到的数据确定报文内容的第一数据结构。
4.根据权利要求3所述的方法,其特征在于,所述对所述待检测报文进行解析,包括:
基于预确定的协议规范对所述待检测报文进行分块,确定待检测数据块;
根据所述待检测数据块所对应的偏移和数据类型对所述待检测数据块进行解析。
5.根据权利要求1所述的方法,其特征在于,所述根据所述待检测历史报文结合第一数据结构对所述待检测报文进行分析,确定报文的合法性,包括:
获取所述待检测历史报文的报文内容的第二数据结构;
根据所述第一数据结构和第二数据结构结合所述报文检测规则进行规则匹配;
判断匹配是否成功,若是,确定报文为非法报文,否则,确定报文为合法报文。
6.根据权利要求1所述的方法,其特征在于,还包括:
根据待检测报文确定当前路由状态;
根据所述当前路由状态结合历史路由状态确定路由状态变化信息;
基于报文检测规则,对所述路由状态变化信息进行规则匹配;
判断匹配是否成功,若是,确定报文为非法报文,否则,确定报文为合法报文。
7.根据权利要求6所述的方法,其特征在于,还包括:
根据所述当前路由状态确定路由状态的数据结构;
基于报文检测规则,对所述路由状态的数据结构进行规则匹配;
判断匹配是否成功,若是,确定报文为非法报文,否则,确定报文为合法报文。
8.根据权利要求1-7任一项所述的方法,其特征在于,还包括:
如果报文为合法报文,则对待检测报文进行转发;
如果报文为非法报文,则对待检测报文进行修改或丢弃。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-8中任一项所述的报文安全检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-8中任一项所述的报文安全检测方法。
CN202211584329.8A 2022-12-09 2022-12-09 一种报文安全检测方法、设备及存储介质 Pending CN115834229A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211584329.8A CN115834229A (zh) 2022-12-09 2022-12-09 一种报文安全检测方法、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211584329.8A CN115834229A (zh) 2022-12-09 2022-12-09 一种报文安全检测方法、设备及存储介质

Publications (1)

Publication Number Publication Date
CN115834229A true CN115834229A (zh) 2023-03-21

Family

ID=85546228

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211584329.8A Pending CN115834229A (zh) 2022-12-09 2022-12-09 一种报文安全检测方法、设备及存储介质

Country Status (1)

Country Link
CN (1) CN115834229A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117201199A (zh) * 2023-11-07 2023-12-08 中国人民解放军61660部队 一种基于链路汇聚的路由安全防护方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117201199A (zh) * 2023-11-07 2023-12-08 中国人民解放军61660部队 一种基于链路汇聚的路由安全防护方法及系统
CN117201199B (zh) * 2023-11-07 2024-02-20 中国人民解放军61660部队 一种基于链路汇聚的路由安全防护方法及系统

Similar Documents

Publication Publication Date Title
US11070571B2 (en) Cloud-based gateway security scanning
US10148690B2 (en) Accurate real-time identification of malicious BGP hijacks
CN109889547B (zh) 一种异常网络设备的检测方法及装置
US10686807B2 (en) Intrusion detection system
US10972490B2 (en) Specifying system, specifying device, and specifying method
US9369435B2 (en) Method for providing authoritative application-based routing and an improved application firewall
US11418520B2 (en) Passive security analysis with inline active security device
US20220207383A1 (en) Fault propagation condition extraction method and apparatus and storage medium
EP3361782B1 (en) Routing method, device, nfcc and dh
CN115834229A (zh) 一种报文安全检测方法、设备及存储介质
CN114338510B (zh) 控制和转发分离的数据转发方法和系统
CN114281547B (zh) 一种数据报文处理方法、装置、电子设备及存储介质
CN108833282A (zh) 数据转发方法、系统、装置及sdn交换机
US11265206B1 (en) Dynamic updates of incident status information
CN109194613B (zh) 一种数据包检测方法和装置
JP2010130273A (ja) パケット処理装置、ネットワーク機器、及びパケット処理方法
CN115460110B (zh) 基于链路预测的异常as_path检测方法及装置
Peng et al. Eagle: An agile approach to automaton updating in cloud security services
US11552965B2 (en) Abnormality cause specification support system and abnormality cause specification support method
CN112887213B (zh) 报文清洗方法和装置
US20220353169A1 (en) Method for detecting systematic communications in a communications network, corresponding device, and computer program product
CN115801429A (zh) 一种双lsa攻击防御方法、装置、设备及存储介质
CN117729042A (zh) 一种网络攻击防护方法、装置、系统及介质
CN116318992A (zh) 云原生kubernetes网络的黑名单控制方法和装置
CN118784532A (zh) 报文处理方法、装置、系统、设备、介质和程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination