一种报文处理方法及装置制造方法及图纸

本发明专利技术实施例提供了一种报文处理方法及装置，应用于深度报文检测设备中，该方法包括：接收SYN报文；利用PBAR识别所述SYN报文所属的第一应用；将所述第一应用记录为利用所述SYN报文建立的会话对应的应用，且标记为无效；接收业务报文；若所述业务报文所属的会话对应的应用标记为无效，则利用NBAR识别所述业务报文所属的第二应用；在所述第二应用为预设的指定应用时，对基于所述业务报文所属的会话发送的业务报文进行数据过滤。应用本发明专利技术实施例，可以提高设备间报文交互的安全性。

【技术实现步骤摘要】
一种报文处理方法及装置
本专利技术涉及报文检测
，特别是涉及一种报文处理方法及装置。
技术介绍
深度报文检测(DPI，DeepPacketInspection)技术是一种基于应用层的流量检测和控制技术，针对不同的网络应用层载荷，例如超文本传输协议(HTTP，HyperTextTransferProtocol，)、域名系统(DNS，DomainNameSystem)等，进行深度检测，通过对报文的有效载荷检测决定其合法性。深度报文检测是入侵检测系统(IDS，IntrusionDetectionSystems，)/入侵防御系统(IPS，IntrusionPreventionSystem，)、应用识别、网络监控、内容审计等应用中的一项重要技术。现有DPI设备有两种识别应用的方法，一种是基于端口的应用识别(PBAR，PortBasedApplicationRecognition)，其是根据端口与应用的映射关系识别报文所属的应用，PBAR可以包括预定义PBAR和/或自定义PBAR，其中，预定义PBAR是根据预定义的端口与应用的映射关系识别报文所属的应用，自定义PBAR是根据用户自定义的端口本文档来自技高网...

【技术保护点】
一种报文处理方法，其特征在于，应用于深度报文检测设备中，所述方法包括：接收SYN报文；利用PBAR识别所述SYN报文所属的第一应用；将所述第一应用记录为利用所述SYN报文建立的会话对应的应用，且标记为无效；接收业务报文；若所述业务报文所属的会话对应的应用标记为无效，则利用NBAR识别所述业务报文所属的第二应用；在所述第二应用为预设的指定应用时，对基于所述业务报文所属的会话发送的业务报文进行数据过滤。

【技术特征摘要】
1.一种报文处理方法，其特征在于，应用于深度报文检测设备中，所述方法包括：接收SYN报文；利用PBAR识别所述SYN报文所属的第一应用；将所述第一应用记录为利用所述SYN报文建立的会话对应的应用，且标记为无效；接收业务报文；若所述业务报文所属的会话对应的应用标记为无效，则利用NBAR识别所述业务报文所属的第二应用；在所述第二应用为预设的指定应用时，对基于所述业务报文所属的会话发送的业务报文进行数据过滤。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：将所述第二应用记录于所述业务报文所属的会话的会话信息中的应用字段。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：将所述第一应用记录于利用所述SYN报文建立的会话的会话信息中的应用字段包括的第一字段。4.根据权利要求1所述的方法，其特征在于，将所述第一应用记录为利用所述SYN报文建立的会话对应的应用，且标记为无效，包括：将所述第一应用记录为利用所述SYN报文建立的会话对应的应用，且标记为有效；在将所述第一应用记录于利用所述SYN报文建立的会话的会话信息中的应用字段包括的第一字段后，将所述标记修改为无效。5.根据权利要求1、3、4任一所述的方法，其特征在于，所述方法还包括：将所述第二应用记录于所述业务报文所属的会话的会话信息中的应用字段包括的第二字段。6.一种报文处理装置，其特征在于，应用于深...

【专利技术属性】
技术研发人员：毛中浩，谷叶飞，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：安徽,34