【技术实现步骤摘要】
本申请涉及计算机网络
,特别涉及报文安全分析方法和装置。
技术介绍
随着互联网的迅速发展,使用宽带或者移动设备接入网络的用户与日俱增,与此同时,网络服务提供商的数量也在不断扩大,网络的规模呈现急速扩大的趋势。出于网络安全的考虑,需要对网络中的报文进行安全分析。为了实现报文的安全分析,需要在用于对报文安全分析的设备(简称分析设备)中配置基于报文五元组的配置项。报文五元组为:协议类型、源IP地址、源端口、目的IP地址、目的端口。目前,常用的方案是:基于单表存储所有可能的配置项。这里将存储配置项的表记为配置表。这也就意味着同一个终端的IP地址、同一个服务端IP地址可能在同一配置表中出现很多次。以终端访问多个服务端的报文举例,要想分析这些报文,需要将终端发往服务端所有可能的报文五元组组成配置项组合到配置表中,在配置表中,终端IP地址的数目会出现很多次,同样,当同一个服务端访问多个终端时,在配置表中服务端IP地址的数目也会出现很多次,这会导致配置表规模巨大,配置表中配置项数目过多和存储资源的紧张。
技术实现思路
本申请提供了报文安全分析方法和装置,以解决单表存储五元组配置项导致的配置表规模巨大所带来的问题。具体地,本申请是通过如下技术方案实现的:一种报文安全分析方法,该方法应用于分析设备,所述分析设备上分别配置了终端地址表、服务地址表、策略表;终端地址表中每一终端地址表项至少记录涉及终端的信息,涉及终端的信息至少包含:终端的IP地址、终端发送报文的源端口、终端接收报文的目的端口、终端发送或者接收的报文所属的协议类型;服务地址表中每一服务地址表项至少记录涉及服务端 ...
【技术保护点】
一种报文安全分析方法,该方法应用于分析设备,其特征在于,所述分析设备上分别配置了终端地址表、服务地址表、策略表;终端地址表中每一终端地址表项至少记录涉及终端的信息,涉及终端的信息至少包含:终端的IP地址、终端发送报文的源端口、终端接收报文的目的端口、终端发送或者接收的报文所属的协议类型;服务地址表中每一服务地址表项至少记录涉及服务端的信息,涉及服务端的信息至少包含服务端的IP地址、服务端发送报文的源端口、服务端接收报文的目的端口、服务端发送或者接收的报文所属的协议类型;策略表中的策略表项记录了终端地址表项与服务地址表项组合所对应的策略动作;该方法包括:分析设备接收报文,依据所述报文的五元组中涉及终端的信息在所述终端地址表中查找到匹配的终端地址表项;分析设备再依据所述报文的五元组中涉及服务端的信息在所述服务地址表中查找到匹配的服务地址表项;分析设备依据查找到的终端地址表项和服务地址表项在所述策略表中查找到对应的策略表项,依据查找到的策略表项中的策略动作处理接收的报文。
【技术特征摘要】
1.一种报文安全分析方法,该方法应用于分析设备,其特征在于,所述分析设备上分别配置了终端地址表、服务地址表、策略表;终端地址表中每一终端地址表项至少记录涉及终端的信息,涉及终端的信息至少包含:终端的IP地址、终端发送报文的源端口、终端接收报文的目的端口、终端发送或者接收的报文所属的协议类型;服务地址表中每一服务地址表项至少记录涉及服务端的信息,涉及服务端的信息至少包含服务端的IP地址、服务端发送报文的源端口、服务端接收报文的目的端口、服务端发送或者接收的报文所属的协议类型;策略表中的策略表项记录了终端地址表项与服务地址表项组合所对应的策略动作;该方法包括:分析设备接收报文,依据所述报文的五元组中涉及终端的信息在所述终端地址表中查找到匹配的终端地址表项;分析设备再依据所述报文的五元组中涉及服务端的信息在所述服务地址表中查找到匹配的服务地址表项;分析设备依据查找到的终端地址表项和服务地址表项在所述策略表中查找到对应的策略表项,依据查找到的策略表项中的策略动作处理接收的报文。2.根据权利要求1所述的方法,其特征在于,所述分析设备再依据报文的五元组中涉及服务端的信息在服务地址表中查找到匹配的服务地址表项包括:依据报文的五元组中涉及服务端的信息在服务地址表中查找到匹配的服务地址表项,记录查找到的服务地址表项,并将匹配次数加1,匹配次数初始值为默认值;判断匹配次数是否达到设定的匹配次数阈值,如果否,依据报文的五元组中涉及服务端的信息继续在服务地址表中查找到匹配的服务地址表项,记录查找到的服务地址表项,并将匹配次数加1,返回判断匹配次数是否达到设定的匹配次数阈值的步骤。3.根据权利要求1所述的方法,其特征在于,终端地址表中每一终端地址表项具有唯一的表项标识;服务地址表中每一服务地址表项具有唯一的表项标识;策略表中的策略表项记录了终端地址表项的表项标识与服务地址表项的表项标识组合在一起所对应的策略动作;当分析设备在服务地址表中查找到的匹配服务地址表项的数目大于1时,所述分析设备依据查找到的终端地址表项和服务地址表项在策略表中查找到对应的策略表项包括:针对查找到的每一服务地址表项,以该服务地址表项的表项标识和查找到的终端地址表项的表项标识为关键字,在所述策略表中查找包含该关键字的策略表项。4.根据权利要求1或3所述的方法,其特征在于,策略表中的策略表项被分配了优先级;当查找到的策略表项的数目大于1时,依据查找到的策略表项中的策略动作处理接收的报文包括:比较查找到的各策略表项被分配的优先级,选取优先级最高的策略表项;当选取出的优先级最高的策略表项的数目大于1时,随机从选取出的优先级最高的策略表项中选择一个,依据选择的策略表项中的策略动作处理接收的报文;当选取出的优先级最高的策略表项的数目等于1时,依据选取出的优先级最高的策略表项中的策略动作处理接收的报文。5.一种报文安全分析装置,该装置应用于分析设...
【专利技术属性】
技术研发人员:薛晨,黄晓朦,申亮,吴刚,李超,黄亮,王东安,王博,付戈,徐原,
申请(专利权)人:国家计算机网络与信息安全管理中心,杭州迪普科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。