报文检测方法及系统、内容提取装置、流量匹配装置制造方法及图纸
Message detecting method and system, content extracting device and flow matching device
The invention discloses a message detecting method and a system, a content extracting device and a flow matching device. Among them, the method includes: obtaining the message to be detected; according to the detected message in five tuple information, generating the detected message token value, wherein the token value is used to identify the characteristics of the detected message; the five tuple information and the token value is sent to the flow matching device; the detection result, receiving the flow matching device detects the five tuple information and the token value and return them, the detection result is used for indicating the detected message is faked message. The application solves the technical problem that the data flow is asymmetric, and the data validity can not be determined.
【技术实现步骤摘要】
报文检测方法及系统、内容提取装置、流量匹配装置
本申请涉及网络安全领域,具体而言,涉及一种报文检测方法及系统、内容提取装置、流量匹配装置。
技术介绍
在网络传输中,当需要发送的报文的大小超过了最大传输单位时,就会利用分片技术,例如,在以太网环境中可传输最大报文大小为1500字节,而需要传输的报文大小要比1500字节大,这个时候就需要利用到分片技术,经分片后才能传输此报文。当报文进行分片之后,只有当它到达下一站时,才可进行重新组装,且它的组装是由目的端来完成的。分片报文和完整报文差不多拥有相同的报文头,ID域对于每个分片报文都是一致的,这样才能在重新组装的时候识别出来自同一个报文的分片。在报文头中,13位偏移记录了某个分片报文相对整个报文的位置,目的端可以利用这些信息对分片报文进行重新组织。由于存在分片的问题,加之复杂的网络环境和传输延时,这时候会产生乱序的问题。因此在进行分析的时候,首先要处理乱序和分片重组的问题,接着对重组完成的报文进行分析处理。然而,当网络流量为非对称时(出入流量分布在不同ISP(InternetServiceProvider,互联网服务提供商...
【技术保护点】
一种报文检测方法,其特征在于,包括:获取待检测报文;根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值,其中,所述令牌值用于标识所述待检测报文的特征;将所述五元组信息和所述令牌值发送至流量匹配装置;接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果,其中,所述检测结果用于指示所述待检测报文是否为伪造报文。
【技术特征摘要】
1.一种报文检测方法,其特征在于,包括:获取待检测报文;根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值,其中,所述令牌值用于标识所述待检测报文的特征;将所述五元组信息和所述令牌值发送至流量匹配装置;接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果,其中,所述检测结果用于指示所述待检测报文是否为伪造报文。2.根据权利要求1所述的方法,其特征在于,所述获取待检测报文包括:接收多个分片报文;根据每个所述分片报文中记录的分片序号,对各个所述分片报文进行重组,得到所述待检测报文。3.根据权利要求1所述的方法,其特征在于,所述五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型;其中,所述根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值包括:确定所述待检测报文的传输方向为入方向或出方向,其中,所述入方向是指所述待检测报文从客户端传输至服务器,所述出方向是指所述待检测报文从所述服务器传输至所述客户端;在所述待检测报文的传输方向为所述入方向的情况下,从所述五元组信息中提取所述源IP地址和所述源端口号;从所述待检测报文的首包中提取首包序号;基于所述源IP地址、所述源端口号以及所述首包序号,得到所述令牌值;在所述待检测报文的传输方向为所述出方向的情况下,从所述五元组信息中提取所述目的IP地址和所述目的端口号;从所述待检测报文的首包中提取所述首包序号;基于所述目的IP地址、目的端口号以及所述首包序号,得到所述令牌值。4.根据权利要求1至3中任一项所述的方法,其特征在于,所述令牌值为具有预设长度的数字。5.一种报文检测方法,其特征在于,包括:接收内容提取装置发送的待检测报文的五元组信息和令牌值,其中,由所述内容提取装置根据所述待检测报文中的所述五元组信息,生成所述待检测报文的所述令牌值,所述令牌值用于标识所述待检测报文的特征;检测所述五元组信息和所述令牌值,得到用于指示所述待检测报文是否为伪造报文的检测结果;将所述检测结果返回给所述内容提取装置。6.根据权利要求5所述的方法,其特征在于,所述检测所述五元组信息和所述令牌值,得到用于指示所述待检测报文是否为伪造报文的检测结果,包括:根据所述五元组信息确定所述待检测报文的传输方向;从令牌库中查找是否存在与所述令牌值相等的数值,并判断所述数值对应的报文的传输方向是否与所述待检测报文的传输方向相反;若存在与所述令牌值相等的数值,且所述数值对应的报文的传输方向与所述待检测报文的传输方向相反,确定所述待检测报文为合法报文,并生成用于指示所述待检测报文为合法报文的第一检测结果;若不存在与所述令牌值相等的数值,或所述数值对应的报文的传输方向与所述待检测报文的传输方向相同,确定所述待检测报文为伪造报文,并生成用于指示所述待检测报文为伪造报文的第二检测结果。7.根据权利要求5所述的方法,其特征在于,所述五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型;其中,所述由所述内容提取装置根据所述待检测报文中的五元组信息,生成所述待检测报文的令牌值包括:所述内容提取装置确定所述待检测报文的传输方向为入方向或出方向,其中,所述入方向是指所述待检测报文从客户端传输至服务器,所述出方向是指所述待检测报文从所述服务器传输至所述客户端;在所述待检测报文的传输方向为所述入方向的情况下,所述内容提取装置从所述五元组信息中提取所述源IP地址和所述源端口号;从所述待检测报文的首包中提取首包序号;基于所述源IP地址、所述源端口号以及所述首包序号,得到所述令牌值;在所述待检测报文的传输方向为所述出方向的情况下,所述内容提取装置从所述五元组信息中提取所...
【专利技术属性】
技术研发人员:周欣,屠一凡,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。