报文安全分析方法和装置制造方法及图纸

本申请提供报文安全分析方法和装置。本申请中，不再是单表存储五元组配置项，而是将五元组中涉及终端的信息存储在终端地址表中，以及将五元组中涉及服务端的信息存储在服务地址表，即五元组不再存储在同一张表，并通过策略表组合终端地址表与服务地址表，这一方面解决了单表存储下表项规模巨大的问题，实现了在利用相同的存储资源的同时，可以使分析设备可分析的报文数量有可观的增加，另一方面由于单表的表项规模减少，这大大加速了表项查询速度，提高了分析设备分析报文的效率和性能。

【技术实现步骤摘要】

本申请涉及计算机网络
，特别涉及报文安全分析方法和装置。
技术介绍
随着互联网的迅速发展，使用宽带或者移动设备接入网络的用户与日俱增，与此同时，网络服务提供商的数量也在不断扩大，网络的规模呈现急速扩大的趋势。出于网络安全的考虑，需要对网络中的报文进行安全分析。为了实现报文的安全分析，需要在用于对报文安全分析的设备(简称分析设备)中配置基于报文五元组的配置项。报文五元组为：协议类型、源IP地址、源端口、目的IP地址、目的端口。目前，常用的方案是：基于单表存储所有可能的配置项。这里将存储配置项的表记为配置表。这也就意味着同一个终端的IP地址、同一个服务端IP地址可能在同一配置表中出现很多次。以终端访问多个服务端的报文举例，要想分析这些报文，需要将终端发往服务端所有可能的报文五元组组成配置项组合到配置表中，在配置表中，终端IP地址的数目会出现很多次，同样，当同一个服务端访问多个终端时，在配置表中服务端IP地址的数目也会出现很多次，这会导致配置表规模巨大，配置表中配置项数目过多和存储资源的紧张。
技术实现思路
本申请提供了报文安全分析方法和装置，以解决单表存储五元组配置项导致的配置表规模巨大所带来的问题。具体地，本申请是通过如下技术方案实现的：一种报文安全分析方法，该方法应用于分析设备，所述分析设备上分别配置了终端地址表、服务地址表、策略表；终端地址表中每一终端地址表项至少记录涉及终端的信息，涉及终端的信息至少包含：终端的IP地址、终端发送报文的源端口、终端接收报文的目的端口、终端发送或者接收的报文所属的协议类型；服务地址表中每一服务地址表项至少记录涉及服务端的信息，涉及服务端的信息至少包含服务端的IP地址、服务端发送报文的源端口、服务端接收报文的目的端口、服务端发送或者接收的报文所属的协议类型；策略表中的策略表项记录了终端地址表项与服务地址表项组合所对应的策略动作；该方法包括：分析设备接收报文，依据所述报文的五元组中涉及终端的信息在所述终端地址表中查找到匹配的终端地址表项；分析设备再依据所述报文的五元组中涉及服务端的信息在所述服务地址表中查找到匹配的服务地址表项；分析设备依据查找到的终端地址表项和服务地址表项在所述策略表中查找到对应的策略表项，依据查找到的策略表项中的策略动作处理接收的报文。一种报文安全分析装置，该装置应用于分析设备，所述装置上分别配置了终端地址表、服务地址表、策略表；终端地址表中每一终端地址表项至少记录涉及终端的信息，涉及终端的信息至少包含：终端的IP地址、终端发送报文的源端口、终端接收报文的目的端口、终端发送或者接收的报文所属的协议类型；服务地址表中每一服务地址表项至少记录涉及服务端的信息，涉及服务端的信息至少包含服务端的IP地址、服务端发送报文的源端口、服务端接收报文的目的端口、服务端发送或者接收的报文所属的协议类型；策略表中的策略表项记录了终端地址表项与服务地址表项组合所对应的策略动作；该装置包括：接收单元，用于接收报文；第一匹配单元，用于依据所述报文的五元组中涉及终端的信息在所述终端地址表中查找到匹配的终端地址表项；第二匹配单元，用于再依据所述报文的五元组中涉及服务端的信息在所述服务地址表中查找到匹配的服务地址表项；第三匹配单元，用于依据查找到的终端地址表项和服务地址表项在所述策略表中查找到对应的策略表项；处理单元，用于依据第三匹配单元查找到的策略表项中的策略动作处理接收的报文。由以上技术方案可以看出，本申请中，不再是单表存储五元组配置项，而是将五元组中涉及终端的信息存储在终端地址表中，以及将五元组中涉及服务端的信息存储在服务地址表，即五元组不再存储在同一张表，这解决了单表存储下表项规模巨大的问题，并且，通过策略表组合终端地址表与服务地址表，实现了在利用相同的存储资源的同时，可以使分析设备可分析的报文数量有可观的增加。进一步地，由于本申请中，将五元组中涉及终端的信息存储在终端地址表中，以及将五元组中涉及服务端的信息存储在服务地址表，单表的表项规模减少，这大大加速了表项查询速度，提高了分析设备分析报文的效率和性能。附图说明图1为本专利技术提供的方法流程图；图2为本专利技术提供的实施例流程图；图3为本专利技术提供的装置结构图。具体实施方式为了使本申请的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本申请进行详细描述。本申请的原则是：配置终端地址表、服务地址表，将五元组分散存储在终端地址表、服务地址表，以缩小表项规模，并通过配置策略表将终端地址表、服务地址表组合起来，以达到仅用少量存储空间就可以得到组合最大化的效果。具体地，在本申请中，终端地址表的各个表项(也称终端地址表项)主要存储涉及终端的信息，涉及终端的信息至少包含：终端的IP地址、终端发送报文的端口(记为源端口)、终端接收报文的端口(记为目的端口)、终端发送或者接收的报文所属的协议类型。下述表1示出了终端地址表的结构：表项标识源IP目的IP源端口目的端口协议A1T1终端IP任意IP任意端口任意端口任意协议A2T2终端IP任意IP特定端口P1任意端口TCPA3任意IPT3终端IP任意端口特定端口P2TCP表1表1以终端地址表包含三个终端地址表项为例，在表1中，第二行至第四行中每一行表示一个终端地址表项，每一个终端地址表项都具有唯一的表项标识，比如表1中的A1为第二行指示的终端地址表项的表项标识，A2为第三行指示的终端地址表项的表项标识，A3为第四行指示的终端地址表项的表项标识。在表1中，表项标识为A1的终端地址表项(简称终端地址表项A1)，其包含了T1终端向服务端发送报文时的五元组中涉及T1终端的信息，具体为：报文的源IP为T1终端IP。这里，根据实际需求，涉及T1终端的信息中T1终端发送报文的源端口、T1终端发送的报文的协议类型可不限。因为终端地址表项A1指示了T1终端向服务端发送报文，所以对于报文的目的IP、目的端口等，其为涉及服务端的信息，并不为涉及T1终端的信息，因此，不必记录至终端地址表项A1。在表1中，表项标识为A2的终端地址表项(简称终端地址表项A2)，其包含了T2终端向服务端发送报文时的五元组中涉及T2终端的信息，具体为：报文的源IP为T2终端IP、T2终端发送报文的源端口为T2终端上的端口P1、T2终端发送的报文的协议类型为TCP。因为终端地址表项A2指示了T2终端向服务端发送报文，所以对于报文的目的IP、目的端口等，其为涉及服务端的信息，并不为涉及T2终端的信息，因此，不必记录至终端地址表项A2。在表1中，表项标识为A3的终端地址表项(简称终端地址表项A3)，其包含了T3终端接收服务端发送报文时的五元组中涉及T3终端的信息，具体为：报文的目的IP为T3终端IP、T3终端接收报文的目的端口为T3终端上的端口P2，T3终端接收的报文的协议类型为TCP。因为终端地址表项A3指示了服务端向T3终端发送报文，所以对于报文的源IP、源端口等，其为涉及服务端的信息，并不为涉及T3终端的信息，因此，不必记录至终端地址表项A3。在表1中，当分析设备收到网络中的某条报文的源IP是T1终端IP，那么分析设备在分析该报文时，就会匹配终端地址表项A1；同理，当分析设备收到网络中的某条报文的源IP是T2终端IP，源端口为端口本文档来自技高网...

【技术保护点】
一种报文安全分析方法，该方法应用于分析设备，其特征在于，所述分析设备上分别配置了终端地址表、服务地址表、策略表；终端地址表中每一终端地址表项至少记录涉及终端的信息，涉及终端的信息至少包含：终端的IP地址、终端发送报文的源端口、终端接收报文的目的端口、终端发送或者接收的报文所属的协议类型；服务地址表中每一服务地址表项至少记录涉及服务端的信息，涉及服务端的信息至少包含服务端的IP地址、服务端发送报文的源端口、服务端接收报文的目的端口、服务端发送或者接收的报文所属的协议类型；策略表中的策略表项记录了终端地址表项与服务地址表项组合所对应的策略动作；该方法包括：分析设备接收报文，依据所述报文的五元组中涉及终端的信息在所述终端地址表中查找到匹配的终端地址表项；分析设备再依据所述报文的五元组中涉及服务端的信息在所述服务地址表中查找到匹配的服务地址表项；分析设备依据查找到的终端地址表项和服务地址表项在所述策略表中查找到对应的策略表项，依据查找到的策略表项中的策略动作处理接收的报文。

【技术特征摘要】
1.一种报文安全分析方法，该方法应用于分析设备，其特征在于，所述分析设备上分别配置了终端地址表、服务地址表、策略表；终端地址表中每一终端地址表项至少记录涉及终端的信息，涉及终端的信息至少包含：终端的IP地址、终端发送报文的源端口、终端接收报文的目的端口、终端发送或者接收的报文所属的协议类型；服务地址表中每一服务地址表项至少记录涉及服务端的信息，涉及服务端的信息至少包含服务端的IP地址、服务端发送报文的源端口、服务端接收报文的目的端口、服务端发送或者接收的报文所属的协议类型；策略表中的策略表项记录了终端地址表项与服务地址表项组合所对应的策略动作；该方法包括：分析设备接收报文，依据所述报文的五元组中涉及终端的信息在所述终端地址表中查找到匹配的终端地址表项；分析设备再依据所述报文的五元组中涉及服务端的信息在所述服务地址表中查找到匹配的服务地址表项；分析设备依据查找到的终端地址表项和服务地址表项在所述策略表中查找到对应的策略表项，依据查找到的策略表项中的策略动作处理接收的报文。2.根据权利要求1所述的方法，其特征在于，所述分析设备再依据报文的五元组中涉及服务端的信息在服务地址表中查找到匹配的服务地址表项包括：依据报文的五元组中涉及服务端的信息在服务地址表中查找到匹配的服务地址表项，记录查找到的服务地址表项，并将匹配次数加1，匹配次数初始值为默认值；判断匹配次数是否达到设定的匹配次数阈值，如果否，依据报文的五元组中涉及服务端的信息继续在服务地址表中查找到匹配的服务地址表项，记录查找到的服务地址表项，并将匹配次数加1，返回判断匹配次数是否达到设定的匹配次数阈值的步骤。3.根据权利要求1所述的方法，其特征在于，终端地址表中每一终端地址表项具有唯一的表项标识；服务地址表中每一服务地址表项具有唯一的表项标识；策略表中的策略表项记录了终端地址表项的表项标识与服务地址表项的表项标识组合在一起所对应的策略动作；当分析设备在服务地址表中查找到的匹配服务地址表项的数目大于1时，所述分析设备依据查找到的终端地址表项和服务地址表项在策略表中查找到对应的策略表项包括：针对查找到的每一服务地址表项，以该服务地址表项的表项标识和查找到的终端地址表项的表项标识为关键字，在所述策略表中查找包含该关键字的策略表项。4.根据权利要求1或3所述的方法，其特征在于，策略表中的策略表项被分配了优先级；当查找到的策略表项的数目大于1时，依据查找到的策略表项中的策略动作处理接收的报文包括：比较查找到的各策略表项被分配的优先级，选取优先级最高的策略表项；当选取出的优先级最高的策略表项的数目大于1时，随机从选取出的优先级最高的策略表项中选择一个，依据选择的策略表项中的策略动作处理接收的报文；当选取出的优先级最高的策略表项的数目等于1时，依据选取出的优先级最高的策略表项中的策略动作处理接收的报文。5.一种报文安全分析装置，该装置应用于分析设...

【专利技术属性】
技术研发人员：薛晨，黄晓朦，申亮，吴刚，李超，黄亮，王东安，王博，付戈，徐原，
申请(专利权)人：国家计算机网络与信息安全管理中心，杭州迪普科技有限公司，
类型：发明
国别省市：北京;11