【技术实现步骤摘要】
本申请涉及网络通信
,尤其涉及一种报文检测方法及装置。
技术介绍
DPI(Deeppacketinspection,深度报文解析)是一种基于应用层的流量检测和控制技术,广泛应用于网络安全设备上。网络安全设备在通过DPI功能检查出威胁报文时,对该威胁报文执行告警、丢弃、重置、阻断等操作。目前,重置操作仅对单条会话有效,后续流量根据五元组信息对属于同一会话的流量进行阻断。但是,某些客户端设备在被重置后,会主动变换源端口号重新发起链接。网络安全设备无法感知当前会话与被重置会话属于同一会话,因此,将客户端设备发起的链接视为新会话进行DPI检测。当客户端设备始终无法通过DPI检查时,会不断重复上述过程,从而造成网络安全设备的性能消耗,影响设备的正常运行。
技术实现思路
有鉴于此,本申请提供一种报文检测方法及装置。具体地,本申请是通过如下技术方案实现的:本申请提供一种报文检测方法,应用于网络安全设备上,该方法包括:接收报文;判断威胁记录表中是否存在第一威胁记录表项,所述第一威胁记录表项为与所述报文的报文特征匹配的威胁记录表项,所述威胁记录表项用于记录报文特征与重置次数的对应关系,所述报文特征包括报文的源IP地址、目的IP地址以及目的端口号;当所述威胁记录表中存在所述第一威胁记录表项时,判断所述第一威胁记录表项中的重置次数是否大于或者等于预设的重置次数阈值;当所述第一威胁记录表...
【技术保护点】
一种报文检测方法,应用于网络安全设备上,其特征在于,该方法包括:接收报文;判断威胁记录表中是否存在第一威胁记录表项,所述第一威胁记录表项为与所述报文的报文特征匹配的威胁记录表项,所述威胁记录表项用于记录报文特征与重置次数的对应关系,所述报文特征包括报文的源IP地址、目的IP地址以及目的端口号;当所述威胁记录表中存在所述第一威胁记录表项时,判断所述第一威胁记录表项中的重置次数是否大于或者等于预设的重置次数阈值;当所述第一威胁记录表项中的重置次数大于或者等于预设的重置次数阈值,且报文阻断时长小于预设的第一阻断时长时,丢弃所述报文,所述报文阻断时长为阻断与所述第一威胁记录表项匹配的报文的时长。
【技术特征摘要】
1.一种报文检测方法,应用于网络安全设备上,其特征在于,该方法包
括:
接收报文;
判断威胁记录表中是否存在第一威胁记录表项,所述第一威胁记录表项
为与所述报文的报文特征匹配的威胁记录表项,所述威胁记录表项用于记录
报文特征与重置次数的对应关系,所述报文特征包括报文的源IP地址、目的
IP地址以及目的端口号;
当所述威胁记录表中存在所述第一威胁记录表项时,判断所述第一威胁
记录表项中的重置次数是否大于或者等于预设的重置次数阈值;
当所述第一威胁记录表项中的重置次数大于或者等于预设的重置次数阈
值,且报文阻断时长小于预设的第一阻断时长时,丢弃所述报文,所述报文
阻断时长为阻断与所述第一威胁记录表项匹配的报文的时长。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第一威胁记录表项中的重置次数大于或者等于预设的重置次数阈
值,且所述报文阻断时长大于或等于预设的第一阻断时长时,对所述报文进
行深度检测;
当检测结果未命中重置动作时,删除所述第一威胁记录表项;
当检测结果命中重置动作时,重新统计所述报文阻断时长。
3.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
当所述第一威胁记录表项对应的报文阻断时长超过预设的第二阻断时长
时,删除所述第一威胁记录表项,所述第二阻断时长大于所述第一阻断时长。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第一威胁记录表项中的重置次数小于预设的重置次数阈值时,对
所述报文进行深度检测;
当检测结果未命中重置动作时,删除所述第一威胁记录表项;
当检测结果命中重置动作时,将所述第一威胁记录表项中的重置次数加
一;判断所述第一威胁记录表项中的重置次数是否达到预设的重置次数阈值;
当所述第一威胁记录表项中的重置次数达到预设的重置次数阈值时,开始统
计所述第一威胁记录表项对应的报文阻断时长。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述威胁记录表中不存在所述第一威胁记录表项时,对所述报文进行
深度检测;
当检测结果命中重置动作时,新建威胁记录表项,所述新建威胁记录表
项中的重置次数为一。
6.一种报文检测装置,应用于网络安全设备上,其特征在于,该装置包<...
【专利技术属性】
技术研发人员:李金英,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。