CN116962551B - 基于dpu应用层报文重组的dpi安全检测方法 - Google Patents

基于dpu应用层报文重组的dpi安全检测方法 Download PDF

Info

Publication number
CN116962551B
CN116962551B CN202310943930.XA CN202310943930A CN116962551B CN 116962551 B CN116962551 B CN 116962551B CN 202310943930 A CN202310943930 A CN 202310943930A CN 116962551 B CN116962551 B CN 116962551B
Authority
CN
China
Prior art keywords
message
target
deep
target message
dpu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310943930.XA
Other languages
English (en)
Other versions
CN116962551A (zh
Inventor
张岳军
赵鲲鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yusur Technology Co ltd
Original Assignee
Yusur Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yusur Technology Co ltd filed Critical Yusur Technology Co ltd
Priority to CN202310943930.XA priority Critical patent/CN116962551B/zh
Publication of CN116962551A publication Critical patent/CN116962551A/zh
Application granted granted Critical
Publication of CN116962551B publication Critical patent/CN116962551B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及一种基于DPU应用层报文重组的DPI安全检测方法。其中,基于DPU应用层报文重组的DPI安全检测方法包括:通过DPU中的深度报文检测进程接收待检测的目标报文;在目标报文的应用层协议类型为预设类型的情况下,通过深度报文检测进程判断目标报文在包括目标字段时是否为连续报文;在目标报文不为连续报文的情况下,通过深度报文检测进程对目标报文进行缓存重组处理,得到重组报文;通过深度报文检测进程对重组报文进行安全检测处理。根据本公开实施例,能够保证报文排序准确性,提高深度报文检测进程可用性及准确率。

Description

基于DPU应用层报文重组的DPI安全检测方法
技术领域
本公开涉及计算机技术领域,尤其涉及一种基于DPU应用层报文重组的DPI安全检测方法。
背景技术
位于数据处理器(Data Processing Unit,DPU)上的深度报文检测进程(DeepPacket Inspection,DPI)是一种应用层的流量检测和控制技术,除了分析四层以下报文内容,还增加了应用层的分析,识别各种应用及内容,DPI正常工作的前提是需要报文保序。
相关技术中,基于IP分片重组和TCP重组技术是针对四层以下报文内容保证报文顺序,而无法解决在应用层传输大文件过程中报文乱序的问题,从而影响DPI的对报文的正常工作。
发明内容
为了解决上述技术问题,本公开提供了一种基于DPU应用层报文重组的DPI安全检测方法。
第一方面,本公开提供了一种基于DPU应用层报文重组的DPI安全检测方法,包括:
通过DPU中的深度报文检测进程接收待检测的目标报文;
在目标报文的应用层协议类型为预设类型的情况下,通过深度报文检测进程判断目标报文在包括目标字段时是否为连续报文;
在目标报文不为连续报文的情况下,通过深度报文检测进程对目标报文进行缓存重组处理,得到重组报文;
通过深度报文检测进程对重组报文进行安全检测处理。
第二方面,本公开提供了一种基于DPU应用层报文重组的DPI安全检测装置,包括:
报文接收模块,用于通过DPU中的深度报文检测进程接收待检测的目标报文;
报文判断模块,用于在目标报文的应用层协议类型为预设类型的情况下,通过深度报文检测进程判断目标报文在包括目标字段时是否为连续报文;
第一处理模块,用于在目标报文不为连续报文的情况下,通过深度报文检测进程对目标报文进行缓存重组处理,得到重组报文;
第二处理模块,用于通过深度报文检测进程对重组报文进行安全检测处理。
第三方面,本公开提供了一种基于DPU应用层报文重组的DPI安全检测设备,包括:
处理器;
存储器,用于存储可执行指令;
其中,处理器用于从存储器中读取可执行指令,并执行可执行指令以实现第一方面的基于DPU应用层报文重组的DPI安全检测方法。
第四方面,本公开提供了一种计算机可读存储介质,该存储介质存储有计算机程序,当计算机程序被处理器执行时,使得处理器实现第一方面的基于DPU应用层报文重组的DPI安全检测方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开实施例的基于DPU应用层报文重组的DPI安全检测方法,能够通过DPU中的深度报文检测进程接收待检测的目标报文,接着在目标报文的应用层协议类型为预设类型的情况下,通过深度报文检测进程判断目标报文在包括目标字段时是否为连续报文,然后在目标报文不为连续报文的情况下,通过深度报文检测进程对目标报文进行报文缓存处理,得到缓存报文,最后通过深度报文检测进程对缓存报文进行安全检测处理,由此,能够通过深度报文检测进程对目标报文进行是否为连续报文的判断,并对不连续的目标报文进行缓存重组处理,最后对得到连续的重组报文进行安全检测处理,从而保证报文排序准确性,提高深度报文检测进程可用性及准确率。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,原件和元素不一定按照比例绘制。
图1为本公开实施例提供的一种基于DPU应用层报文重组的DPI安全检测方法的流程示意图;
图2为本公开实施例提供的另一种基于DPU应用层报文重组的DPI安全检测方法的流程示意图;
图3为本公开实施例提供的一种基于DPU应用层报文重组的DPI安全检测装置的结构示意图;
图4为本公开实施例提供的一种基于DPU应用层报文重组的DPI安全检测设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
为了解决上述问题,本公开实施例提供了一种基于DPU应用层报文重组的DPI安全检测方法。下面结合图1至图2对本公开实施例提供的基于DPU应用层报文重组的DPI安全检测方法进行详细说明。
图1示出了本公开实施例提供的一种基于DPU应用层报文重组的DPI安全检测方法的流程示意图。
在本公开实施例中,该基于DPU应用层报文重组的DPI安全检测方法可以由电子设备执行。例如电子设备可以为包括DPU设备卡的设备。
如图1所示,该基于DPU应用层报文重组的DPI安全检测方法可以包括如下步骤。
S110、通过DPU中的深度报文检测进程接收待检测的目标报文。
在本公开实施例中,电子设备可以通过DPU中的深度报文检测进程接收待检测的目标报文。
可选地,DPU可以为面向以数据为中心的计算的新一代处理器。
可选地,深度报文检测进程(DPI)可以为一种应用层的流量检测和控制技术。
可选地,目标报文可以为需要深度报文检测进程进行安全检测的报文。
具体地,电子设备可以通过DPU中的深度报文检测进程(DPI)获取需要进行安全检测的待检测的目标报文。
S120、在目标报文的应用层协议类型为预设类型的情况下,通过深度报文检测进程判断目标报文在包括目标字段时是否为连续报文。
在本公开实施例中,在得到目标报文之后,电子设备可以在目标报文的应用层协议类型为预设类型的情况下,通过深度报文检测进程判断目标报文在包括目标字段时是否为连续报文。
可选地,应用层协议类型可以为用于表征位于应用层的传输目标报文的协议的类型。
可选地,预设类型可以为预先设定的协议类型。例如,预设类型可以为应用层协议:服务器消息块(Server Message Block,SMB)协议、网络文件系统(Network FileSystem,NFS))等等,此处不作限定。
可选地,目标字段可以为预先设定的字段。其中,目标字段可以为读字段、写字段中的至少一种。
可选地,连续报文用于表征该报文与前一段报文连续。
具体地,在得到目标报文之后,如果该目标报文的应用层协议类型为预设类型,电子设备可以通过深度报文检测进程判断目标报文中是否包括目标字段,如判断目标报文中的命令字段是否为读(READ)字段、写(WRITE)字段中的至少一种,并在目标报文包括目标字段的情况下,判断该目标报文是否为连续报文。
S130、在目标报文不为连续报文的情况下,通过深度报文检测进程对目标报文进行缓存重组处理,得到重组报文。
在本公开实施例中,在判断目标报文是否为连续报文之后,电子设备可以在目标报文不为连续报文的情况下,通过深度报文检测进程对目标报文进行缓存重组处理,得到重组报文。
可选地,缓存重组处理可以为对目标报文进行缓存并重新组合的处理。
可选地,重组报文可以为进行缓存重组处理后得到的报文。
具体地,如果目标报文不为连续报文,电子设备可以对该目标报文进行缓存重组处理,从而得到重组后连续的重组报文,具体实施方式参照下文。
S140、通过深度报文检测进程对重组报文进行安全检测处理。
在本公开实施例中,在得到重组报文之后,电子设备可以通过深度报文检测进程对重组报文进行安全检测处理。
可选地,安全检测处理可以为对报文进行安全检测、识别、过滤、防病毒等操作,从而提高报文的安全性。
具体地,在得到重组报文之后,电子设备可以通过深度报文检测进程(DPI)对重组报文进行安全检测处理,从而提高重组报文的安全性。
由此,在本公开实施例中,能够通过DPU中的深度报文检测进程接收待检测的目标报文,接着在目标报文的应用层协议类型为预设类型的情况下,通过深度报文检测进程判断目标报文在包括目标字段时是否为连续报文,然后在目标报文不为连续报文的情况下,通过深度报文检测进程对目标报文进行报文缓存处理,得到缓存报文,最后通过深度报文检测进程对缓存报文进行安全检测处理,由此,能够通过深度报文检测进程对目标报文进行是否为连续报文的判断,并对不连续的目标报文进行缓存重组处理,最后对得到连续的重组报文进行安全检测处理,从而保证报文排序准确性,提高深度报文检测进程可用性及准确率。
可选地,S110可以具体包括:通过DPU接收数据包,并对数据包进行流表匹配,得到待检测的目标报文;通过深度报文检测进程获取目标报文。
在本公开实施例中,电子设备可以通过DPU接收数据包,并对数据包进行流表匹配,得到待检测的目标报文。
可选地,数据包可以包括多个报文数据的包。
可选地,流表匹配可以为对报文进行分类匹配。例如,流表匹配可以为OVS(OpenvSwitch)流表匹配,通过获取键值对的方式进行匹配,确定报文的地址、端口号、执行操作等等,此处不作限定。
具体地,电子设备可以通过DPU接收数据包,如通过数据平面开发套件(DataPlane Development Kit,DPDK)驱动接收数据包,接着对数据包进行流表匹配,得到待检测的目标报文,如通过OVS流表匹配,确定数据包中需要通过深度报文检测进程进行安全检测的报文,从而得到待检测的目标报文。
进一步地,在得到目标报文之后,电子设备可以通过深度报文检测进程获取目标报文。
具体地,电子设备通过DPU接收数据包并进行流表匹配得到目标报文之后,可以将该目标报文传输到深度报文检测进程,由深度报文检测进程获取该目标报文,从而进行后续处理。
由此,能够在数据包中获取待处理的目标报文,方便后续进行处理。
可选地,在S110之后,该基于DPU应用层报文重组的DPI安全检测方法还可以包括:通过深度报文检测进程对目标报文进行协议解析,得到目标报文的协议类型。
本公开实施例中,在得到目标报文之后,电子设备可以通过深度报文检测进程对目标报文进行协议解析,得到目标报文的协议类型。
可选地,协议解析可以为解析报文中各层协议。
具体地,在得到目标报文之后,电子设备可以通过深度报文检测进程对目标报文进行协议解析,如深度报文检测进程可以通过检测目标报文中的端口号来初步确定目标报文的协议类型,后在协议解析中进一步提取报文相关字段,从而进一步判断该目标报文的协议类型是否为预设类型,如检测到端口号为445,进一步检测报文中字段含有SMB,则该目标报文的应用层协议类型为SMB协议等,此处不作限定。
可选地,S120可以具体包括:在目标报文包括目标字段的情况下,通过深度报文检测进程将目标报文插入报文链表中;通过字符偏移量字段,判断目标报文与报文链表中位于目标报文之前的报文是否为连续报文。
在本公开实施例中,在目标报文包括目标字段的情况下,电子设备可以通过深度报文检测进程将目标报文插入报文链表中。
可选地,报文链表可以为用于存储多条报文的链表。
具体地,电子设备在判断目标报文包括目标字段的情况下,可以通过深度报文检测进程将目标报文插入报文链表中,如电子设备判断目标报文包括读字段、写字段中的至少一种时,通过深度报文检测进程确定该目标报文在报文链表中的插入位置,并将该报文链表插入对应的位置。
进一步地,电子设备可以通过字符偏移量字段,判断目标报文与报文链表中位于目标报文之前的报文是否为连续报文。
可选地,字符偏移量字段(OFFSET)可以为用于表征分组分片后,某分片在原分组中的位置。
具体地,电子设备可以通过字符偏移量字段对目标报文进行判断,判断该目标报文与报文链表中位于目标报文之前的报文是否为连续报文,例如,每条报文的长度设定为156,电子设备可以确定位于目标报文之前的报文的字符偏移量字段可以为1~156,接着确定目标报文的字符偏移量字段可以为157~312,此时可以确定该目标报文与位于目标报文之前的报文为连续报文;若确定目标报文的字符偏移量字段可以为313~468,此时可以确定该目标报文与位于目标报文之前的报文不为连续报文。
由此,可以通过字符偏移量字段准确确定目标报文与之前的报文是否为连续报文,并可以存储在报文链表的对应位置,方便后续进行重组。
可选地,在S120之后,该基于DPU应用层报文重组的DPI安全检测方法还可以包括:在目标报文为连续报文的情况下,通过深度报文检测进程对目标报文以及目标报文之前的报文进行安全检测处理。
在本公开实施例中,若确定目标报文为连续报文,即目标报文与目标报文之前的报文连续,电子设备可以通过深度报文检测进程对该目标报文与目标报文之前的报文进行安全检测处理。
可选地,S130可以具体包括:通过深度报文检测进程将目标报文缓存在报文链表中,并接收后续报文;在后续报文与目标报文不为连续报文的情况下,对后续报文与目标报文进行重组处理,得到重组报文。
在本公开实施例中,在目标报文不为连续报文时,电子设备可以通过深度报文检测进程将目标报文缓存在报文链表中,并接收后续报文。
具体地,在目标报文不为连续报文时,电子设备可以通过深度报文检测进程将目标报文缓存在报文链表中,例如,电子设备确定位于目标报文之前的报文的字符偏移量字段可以为1~156,且目标报文的字符偏移量字段可以为313~468时,此时目标报文之前的报文可以第一段报文,目标报文可以为第三段报文,目标报文与目标报文之前的报文不连续,此处电子设备可以将该目标报文缓存在报文链表中目标报文之前的报文的存储位置后第二个位置处,并继续接收后续报文,进行字符偏移量字段判断。
进一步地,在接收到后续报文之后,电子设备可以在后续报文与目标报文不为连续报文的情况下,对后续报文与目标报文进行重组处理,得到重组报文。
具体地,在接收到后续报文之后,电子设备可以对后续报文进行判断,如果该后续报文与目标报文为连续报文,例如,电子设备可以确定后续报文字符偏移量字段可以为157~312,此时后续报文为第二段报文,即后续报文与目标报文为连续报文,将目标报文发送,收到的后续报文插入到缓存链表中,等待继续接收报文。
可选地,在接收到后续报文之后,若为连续报文不重组,电子设备只是缓存目标报文以便判断后续报文是否连续,需要及时发送之前连续报文,这样可以提高检测效率。
由此,可以在目标报文不为连续报文时进行缓存重组处理,得到连续的重组报文,从而保证报文排序准确性,使得深度报文检测进程可以正常进行工作。
可选地,该基于DPU应用层报文重组的DPI安全检测方法还可以包括:在报文链表中的报文条数大于预设条数的情况下,对报文链表进行报文释放处理。
可选地,预设条数可以为预先设定的报文条数。例如,预设条数可以为100、200,此处不作限定。
可选地,报文释放处理可以为释放缓存报文的处理。
具体地,电子设备可以对报文链表中缓存的报文条数进行统计,并在统计的报文条数大于预设条数时,对该报文链表进行报文释放处理,即将报文链表中缓存的所有报文进行释放,从而避免报文链表占用内存过大,提高深度报文检测进程工作效率。
图2示出了本公开实施例提供的另一种基于DPU应用层报文重组的DPI安全检测方法的流程示意图。
如图2所示,该基于DPU应用层报文重组的DPI安全检测方法可以包括如下步骤。
S210、通过DPU接收数据包,并对数据包进行流表匹配。
在本公开实施例中,电子设备可以通过DPU接收数据包并进行流表匹配,得到待检测的目标报文。
S220、通过深度报文检测进程获取目标报文。
在本公开实施例中,电子设备通过DPU接收数据包并进行流表匹配得到目标报文之后,可以将该目标报文传输到深度报文检测进程,由深度报文检测进程获取该目标报文,从而进行后续处理。
S230、目标报文的协议类型是否为预设类型。
在本公开实施例中,电子设备通过深度报文检测进程获取该目标报文之后,对目标报文进行协议解析,得到目标报文的协议类型,并判断该目标报文的协议类型是否为预设类型,如是否为SMB协议。若目标报文的应用层协议类型为预设类型,执行S240;若目标报文的协议类型不为预设类型,执行S260,电子设备无需对目标报文进行重组处理,可以直接通过深度报文检测进程对目标报文进行安全检测处理。
S240、目标报文在包括目标字段时是否为连续报文。
在本公开实施例中,在目标报文的应用层协议类型为预设类型的情况下,电子设备可以判断目标报文在包括目标字段时是否为连续报文,如通过深度报文检测进程将目标报文插入报文链表中,并通过字符偏移量字段,判断目标报文与目标报文之前的报文是否为连续报文。若目标报文与目标报文之前的报文连续,则执行S260,通过深度报文检测进程对目标报文与目标报文之前的报文进行安全检测处理;若目标报文与目标报文之前的报文不连续,则执行S250。
S250、通过深度报文检测进程对目标报文进行缓存重组处理,得到重组报文。
在本公开实施例中,在目标报文不为连续报文时,电子设备通过深度报文检测进程对目标报文进行缓存重组处理,得到重组报文。
S260、通过深度报文检测进程进行安全检测处理。
在本公开实施例中,电子设备可以通过深度报文检测进程对重组报文进行安全检测处理。
图3示出了本公开实施例提供的一种基于DPU应用层报文重组的DPI安全检测装置的结构示意图。
如图3所示,该基于DPU应用层报文重组的DPI安全检测装置300可以包括报文接收模块310、报文判断模块320、第一处理模块330和第二处理模块340。
该报文接收模块310可以用于通过DPU中的深度报文检测进程接收待检测的目标报文。
该报文接收模块310可以用于在目标报文的应用层协议类型为预设类型的情况下,通过深度报文检测进程判断目标报文在包括目标字段时是否为连续报文。
该第一处理模块330可以用于在目标报文不为连续报文的情况下,通过深度报文检测进程对目标报文进行缓存重组处理,得到重组报文。
该第二处理模块340可以用于通过深度报文检测进程对重组报文进行安全检测处理。
由此,在本公开实施例中,能够通过DPU中的深度报文检测进程接收待检测的目标报文,接着在目标报文的应用层协议类型为预设类型的情况下,通过深度报文检测进程判断目标报文在包括目标字段时是否为连续报文,然后在目标报文不为连续报文的情况下,通过深度报文检测进程对目标报文进行报文缓存处理,得到缓存报文,最后通过深度报文检测进程对缓存报文进行安全检测处理,由此,能够通过深度报文检测进程对目标报文进行是否为连续报文的判断,并对不连续的目标报文进行缓存重组处理,最后对得到连续的重组报文进行安全检测处理,从而保证报文排序准确性,提高深度报文检测进程可用性及准确率。
在本公开一些实施例中,该报文接收模块310可以具体包括第一接收单元和第二接收单元。
该第一接收单元可以用于通过DPU接收数据包,并对数据包进行流表匹配,得到待检测的目标报文。
该第二接收单元可以用于通过深度报文检测进程获取目标报文。
在本公开一些实施例中,该基于DPU应用层报文重组的DPI安全检测装置300还可以包括协议解析模块。
该协议解析模块可以用于在通过DPU中的深度报文检测进程接收待检测的目标报文之后,通过深度报文检测进程对目标报文进行协议解析,得到目标报文的协议类型。在深度报文检测进程中通过端口号初步匹配之后,进入对应协议解析模块按照关键字进一步匹配协议类型,匹配成功按照命令字状态机对协议进行处理。
在本公开一些实施例中,目标字段可以为读字段、写字段中的至少一种。
在本公开一些实施例中,该报文接收模块310可以具体包括第一处理单元和报文判断单元。
该第一处理单元可以用于在目标报文包括目标字段的情况下,通过深度报文检测进程将目标报文插入报文链表中。
该报文判断单元可以用于通过字符偏移量字段,判断目标报文与报文链表中位于目标报文之前的报文是否为连续报文。
在本公开一些实施例中,该基于DPU应用层报文重组的DPI安全检测装置300还可以包括第三处理模块。
该第三处理模块可以用于在通过深度报文检测进程判断目标报文在包括目标字段时是否为连续报文之后,在目标报文为连续报文的情况下,通过深度报文检测进程对目标报文以及目标报文之前的报文进行安全检测处理。
在本公开一些实施例中,该第一处理模块330可以具体包括第三接收单元和第二处理单元。
该第三接收单元可以用于通过深度报文检测进程将目标报文缓存在报文链表中,并接收后续报文。
该第二处理单元可以用于在后续报文与目标报文不为连续报文的情况下,对后续报文与目标报文进行重组处理,得到重组报文。
在本公开一些实施例中,该基于DPU应用层报文重组的DPI安全检测装置300还可以包括第四处理模块。
该第四处理模块可以用于在报文链表中的报文条数大于预设条数的情况下,对报文链表进行报文释放处理。
需要说明的是,图3所示的基于DPU应用层报文重组的DPI安全检测装置300可以执行图1至图2所示的方法实施例中的各个步骤,并且实现图1至图2所示的方法实施例中的各个过程和效果,在此不做赘述。
图4示出了本公开实施例提供的一种基于DPU应用层报文重组的DPI安全检测设备的结构示意图。
在本公开一些实施例中,图4所示的基于DPU应用层报文重组的DPI安全检测设备可以为电子设备。例如,该电子设备可以为包括DPU设备卡的设备。
如图4所示,该基于DPU应用层报文重组的DPI安全检测设备可以包括处理器401以及存储有计算机程序指令的存储器402。
具体地,上述处理器401可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器402可以包括用于信息或指令的大容量存储器。举例来说而非限制,存储器402可以包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个及其以上这些的组合。在合适的情况下,存储器402可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器402可在综合网关设备的内部或外部。在特定实施例中,存储器402是非易失性固态存储器。在特定实施例中,存储器402包括只读存储器(Read-Only Memory,ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable ROM,PROM)、可擦除PROM(Electrical Programmable ROM,EPROM)、电可擦除PROM(Electrically ErasableProgrammable ROM,EEPROM)、电可改写ROM(Electrically Alterable ROM,EAROM)或闪存,或者两个或及其以上这些的组合。
处理器401通过读取并执行存储器402中存储的计算机程序指令,以执行本公开实施例所提供的基于DPU应用层报文重组的DPI安全检测方法的步骤。
在一个示例中,该基于DPU应用层报文重组的DPI安全检测设备还可包括收发器403和总线404。其中,如图4所示,处理器401、存储器402和收发器403通过总线404连接并完成相互间的通信。
总线404包括硬件、软件或两者。举例来说而非限制,总线可包括加速图形端口(Accelerated Graphics Port,AGP)或其他图形总线、增强工业标准架构(ExtendedIndustry Standard Architecture,EISA)总线、前端总线(Front Side BUS,FSB)、超传输(Hyper Transport,HT)互连、工业标准架构(Industrial Standard Architecture,ISA)总线、无限带宽互连、低引脚数(Low Pin Count,LPC)总线、存储器总线、微信道架构(MicroChannel Architecture,MCA)总线、外围控件互连(Peripheral Component Interconnect,PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial Advanced TechnologyAttachment,SATA)总线、视频电子标准协会局部(Video Electronics StandardsAssociation Local Bus,VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线404可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
本公开实施例还提供了一种非易失性计算机可读存储介质,该存储介质可以存储有计算机程序,当计算机程序被处理器执行时,使得处理器实现本公开实施例所提供的基于DPU应用层报文重组的DPI安全检测方法。
上述的存储介质可以例如包括计算机程序指令的存储器402,上述指令可由基于DPU应用层报文重组的DPI安全检测设备的处理器401执行以完成本公开实施例所提供的基于DPU应用层报文重组的DPI安全检测方法。可选地,存储介质可以是非临时性计算机可读存储介质,例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(RandomAccess Memory,RAM)、光盘只读存储器(Compact Disc ROM,CD-ROM)、磁带、软盘和光数据存储设备等。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (9)

1.一种基于DPU应用层报文重组的DPI安全检测方法,其特征在于,包括:
通过DPU中的深度报文检测进程接收待检测的目标报文;
在所述目标报文的应用层协议类型为预设类型的情况下,通过所述深度报文检测进程判断所述目标报文在包括目标字段时是否为连续报文;
在所述目标报文不为所述连续报文的情况下,通过所述深度报文检测进程对所述目标报文进行缓存重组处理,得到重组报文;
通过所述深度报文检测进程对所述重组报文进行安全检测处理,所述目标字段为读字段、写字段中的至少一种;
其中,通过所述深度报文检测进程判断所述目标报文在包括目标字段时是否为连续报文,包括:在所述目标报文包括目标字段的情况下,通过所述深度报文检测进程将所述目标报文插入报文链表中;通过字符偏移量字段,判断所述目标报文与所述报文链表中位于所述目标报文之前的报文是否为连续报文。
2.根据权利要求1所述的方法,其特征在于,所述通过DPU中的深度报文检测进程接收待检测的目标报文,包括:
通过DPU接收数据包,并对所述数据包进行流表匹配,得到待检测的所述目标报文;
通过所述深度报文检测进程获取所述目标报文。
3.根据权利要求1所述的方法,其特征在于,在所述通过DPU中的深度报文检测进程接收待检测的目标报文之后,所述方法还包括:
通过所述深度报文检测进程对所述目标报文进行协议解析,得到所述目标报文的协议类型。
4.根据权利要求1所述的方法,其特征在于,在所述通过所述深度报文检测进程判断所述目标报文在包括目标字段时是否为连续报文之后,所述方法还包括:
在所述目标报文为所述连续报文的情况下,通过所述深度报文检测进程对所述目标报文以及所述目标报文之前的报文进行所述安全检测处理。
5.根据权利要求1所述的方法,其特征在于,所述通过所述深度报文检测进程对所述目标报文进行缓存重组处理,得到重组报文,包括:
通过所述深度报文检测进程将所述目标报文缓存在所述报文链表中,并接收后续报文;
在所述后续报文与所述目标报文不为连续报文的情况下,对所述后续报文与所述目标报文进行重组处理,得到所述重组报文。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在所述报文链表中的报文条数大于预设条数的情况下,对所述报文链表进行报文释放处理。
7.一种基于DPU应用层报文重组的DPI安全检测装置,其特征在于,包括:
报文接收模块,用于通过DPU中的深度报文检测进程接收待检测的目标报文;
报文判断模块,用于在所述目标报文的应用层协议类型为预设类型的情况下,通过所述深度报文检测进程判断所述目标报文在包括目标字段时是否为连续报文;
第一处理模块,用于在所述目标报文不为所述连续报文的情况下,通过所述深度报文检测进程对所述目标报文进行缓存重组处理,得到重组报文;
第二处理模块,用于通过所述深度报文检测进程对所述重组报文进行安全检测处理,所述目标字段为读字段、写字段中的至少一种;
其中,报文接收模块包括:
第一处理单元,用于在所述目标报文包括目标字段的情况下,通过所述深度报文检测进程将所述目标报文插入报文链表中;
报文判断单元,用于通过字符偏移量字段,判断所述目标报文与所述报文链表中位于所述目标报文之前的报文是否为连续报文。
8.一种基于DPU应用层报文重组的DPI安全检测设备,其特征在于,包括:
处理器;
存储器,用于存储可执行指令;
其中,所述处理器用于从所述存储器中读取所述可执行指令,并执行所述可执行指令以实现上述权利要求1-6中任一项所述的基于DPU应用层报文重组的DPI安全检测方法。
9.一种非易失性计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,当所述计算机程序被处理器执行时,使得处理器实现上述权利要求1-6中任一项所述的基于DPU应用层报文重组的DPI安全检测方法。
CN202310943930.XA 2023-07-28 2023-07-28 基于dpu应用层报文重组的dpi安全检测方法 Active CN116962551B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310943930.XA CN116962551B (zh) 2023-07-28 2023-07-28 基于dpu应用层报文重组的dpi安全检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310943930.XA CN116962551B (zh) 2023-07-28 2023-07-28 基于dpu应用层报文重组的dpi安全检测方法

Publications (2)

Publication Number Publication Date
CN116962551A CN116962551A (zh) 2023-10-27
CN116962551B true CN116962551B (zh) 2024-03-19

Family

ID=88442439

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310943930.XA Active CN116962551B (zh) 2023-07-28 2023-07-28 基于dpu应用层报文重组的dpi安全检测方法

Country Status (1)

Country Link
CN (1) CN116962551B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103780610A (zh) * 2014-01-16 2014-05-07 绵阳师范学院 基于协议特征的网络数据恢复方法
CN104348677A (zh) * 2013-08-05 2015-02-11 华为技术有限公司 一种深度报文检测方法、设备及协处理器
CN110035013A (zh) * 2019-02-28 2019-07-19 郑州轨道交通信息技术研究院 一种基于工控协议配置文件的流重组实现方法
CN113612737A (zh) * 2021-07-20 2021-11-05 天津七所精密机电技术有限公司 一种基于分组与重传机制的长报文可靠传输方法
CN114050926A (zh) * 2021-11-09 2022-02-15 南方电网科学研究院有限责任公司 一种数据报文深度检测方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104348677A (zh) * 2013-08-05 2015-02-11 华为技术有限公司 一种深度报文检测方法、设备及协处理器
CN103780610A (zh) * 2014-01-16 2014-05-07 绵阳师范学院 基于协议特征的网络数据恢复方法
CN110035013A (zh) * 2019-02-28 2019-07-19 郑州轨道交通信息技术研究院 一种基于工控协议配置文件的流重组实现方法
CN113612737A (zh) * 2021-07-20 2021-11-05 天津七所精密机电技术有限公司 一种基于分组与重传机制的长报文可靠传输方法
CN114050926A (zh) * 2021-11-09 2022-02-15 南方电网科学研究院有限责任公司 一种数据报文深度检测方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
应用层并行重组在NIDS中的设计与实现;杨宏宇;赵晓玲;;吉林大学学报(理学版)(第04期);全文 *

Also Published As

Publication number Publication date
CN116962551A (zh) 2023-10-27

Similar Documents

Publication Publication Date Title
CN112468488B (zh) 工业异常监测方法、装置、计算机设备及可读存储介质
CN108965267B (zh) 网络攻击处理方法、装置及车辆
CN110808994B (zh) 暴力破解操作的检测方法、装置及服务器
KR20080037909A (ko) 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법
CN111314328A (zh) 网络攻击防护方法、装置、存储介质及电子设备
CN115102781B (zh) 网络攻击处理方法、装置、电子设备和介质
CN111783159A (zh) 网页篡改的验证方法、装置、计算机设备和存储介质
CN110888791A (zh) 一种日志处理方法、装置、设备和存储介质
CN116962551B (zh) 基于dpu应用层报文重组的dpi安全检测方法
CN106254395B (zh) 一种数据过滤方法及系统
CN111741127A (zh) 通信连接阻断方法、装置、电子设备及存储介质
CN112202717A (zh) 一种http请求的处理方法、装置、服务器及存储介质
CN108650274B (zh) 一种网络入侵检测方法及系统
CN112152993A (zh) 网页劫持的检测方法、装置、计算机设备以及存储介质
CN114978725A (zh) 报文处理方法、装置、电子设备和介质
CN115208682A (zh) 一种基于snort的高性能网络攻击特征检测方法及装置
CN109361674A (zh) 旁路接入的流式数据检测方法、装置以及电子设备
CN112883372B (zh) 跨站脚本攻击检测方法和装置
CN117834756A (zh) 校验和计算方法、装置、电子设备及存储介质
CN112565821A (zh) 数据处理方法、装置、安全网关及存储设备
CN116700989A (zh) 数据传输方法、装置、设备及存储介质
CN112600816B (zh) 一种入侵防御方法、系统及相关设备
CN117579725A (zh) 报文分段传输方法、装置、设备及介质
CN116996446B (zh) 哈希负载均衡方法、装置、设备及介质
CN116974727A (zh) 基于多个处理核的数据流处理方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant