本申请提供一种报文检测方法及装置,该方法应用于转发设备,该转发设备中的镜像端口连接流量检测设备,该镜像端口被配置为关联至转发设备中连接至第一网络设备的转发入端口,且转发设备还包括连接第二网络设备的转发出端口,该方法可以包括:获取转发入端口接收到的第一网络设备发送的任一报文;通过转发出端口将任一报文发送给第二网络设备;在任一报文为加密报文的情况下,将利用预先获取的加密算法解密任一报文所得的被解密报文封装为镜像报文;通过镜像端口将该镜像报文发送给流量检测设备,以使流量检测设备对上述任一报文进行检测。通过本申请的技术方案,能够识别加密的流量报文并对其进行检测。
Message detection method and device
【技术实现步骤摘要】
报文检测方法及装置
本申请涉及网络通信
,尤其涉及一种报文检测方法及装置。
技术介绍
为避免网络设备受到恶意流量的侵害,通常需要对交换机、路由器等转发设备转发的报文进行合法性检测,以确定网络流量中是否存在非法报文。在相关技术中,通常在旁路监控模式下对转发设备所转发的报文进行检测:将转发设备的某一端口设置为镜像端口,转发设备将其他端口接收到的所有报文都进行拷贝并通过该镜像端口转发给流量检测设备,从而完成对转发设备所转发报文的检测。然而,通常流量检测设备仅能够识别明文,因此在转发设备接收到的HTTPS报文等加密报文为非法报文的情况下,镜像端口转发给流量检测设备的拷贝后的报文仍然是加密报文,此时流量检测设备无法识别此加密报文的合法性,从而可能导致物理设备收到侵害。
技术实现思路
有鉴于此,本申请提供一种报文检测方法及装置,以解决相关技术中存在的问题。为实现上述目的,本申请提供技术方案如下:根据本申请的第一方面,提出了一种报文检测方法,应用于转发设备,所述转发设备中的镜像端口连接流量检测设备,所述镜像端口被配置为关联至所述转发设备中连接至第一网络设备的转发入端口,且所述转发设备还包括连接第二网络设备的转发出端口,所述方法包括:获取所述转发入端口接收到的所述第一网络设备发送的任一报文;通过所述转发出端口将所述任一报文发送给所述第二网络设备;在所述任一报文为加密报文的情况下,将利用预先获取的加密算法解密所述任一报文所得的被解密报文封装为镜像报文;通过所述镜像端口将所述镜像报文发送给所述流量检测设备,以使所述流量检测设备对所述任一报文进行检测。根据本申请的第二方面,提出了一种报文检测装置,应用于转发设备,所述转发设备中的镜像端口连接流量检测设备,所述镜像端口被配置为关联至所述转发设备中连接至第一网络设备的转发入端口,且所述转发设备还包括连接第二网络设备的转发出端口,所述装置包括:报文获取单元,用于获取所述转发入端口接收到的所述第一网络设备发送的任一报文;报文转发单元,用于通过所述转发出端口将所述任一报文发送给所述第二网络设备;解密封装单元,用于在所述任一报文为加密报文的情况下,将利用预先获取的加密算法解密所述任一报文所得的被解密报文封装为镜像报文;镜像报文发送单元,用于通过所述镜像端口将所述镜像报文发送给所述流量检测设备,以使所述流量检测设备对所述任一报文进行检测。根据本申请的第三方面,提出了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为实现如上述第一方面方案中任一项所述方法的步骤。根据本申请的第四方面,提出了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如上述第一方面方案中任一项所述方法的步骤。由以上技术方案可见,本申请在转发设备的旁路监控模式下,利用转发设备通过伪装获取到的加密算法对识别出的加密报文进行解密,然后重新封装为镜像报文并通过镜像端口发送给流量检测设备,由于重新封装后的镜像报文是非加密的明文形式,因此流量检测设备能够对其进行合法性检测。附图说明为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1是本申请的报文检测系统的网络架构示意图;图2是本申请一示例性实施例示出的一种报文检测方法的流程示意图;图3是本申请一示例性实施例示出的另一种报文检测方法的流程示意图;图4是本申请一示例性实施例示出的一种电子设备的结构示意图;图5是本申请一示例性实施例示出的一种报文检测装置的框图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式,相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”、“上述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一网络设备也可以被称为第二网络设备,类似地,第二网络设备也可以被称为第一网络设备。为避免网络设备受到恶意流量的侵害,通常需要对交换机、路由器等转发设备转发的报文进行合法性检测,以确定网络流量中是否存在非法报文。在相关技术中,通常在旁路监控模式下对转发设备所转发的报文进行检测:将转发设备的某一接口设置为镜像接口,而不改变原有的网络结构,转发设备将其他接口接收到的所有报文都进行拷贝并通过该镜像接口转发给流量检测设备,由后者完成对转发设备所转发报文的检测。通常流量转发设备的镜像端口将拷贝的进入其他接口的报文转发给流量检测设备,而流量检测设备仅能够针对非加密的明文进行合法性检测。如果进入其他接口的报文是HTTP(HyperTextTransferProtocol,超文本传输协议)报文等非加密的明文,则拷贝后的报文仍然是明文,流量检测设备能够对该拷贝报文进行正常的检测;然而,如果进入其他接口的报文是HTTPS(HyperTextTransferProtocolSecure,超文本传输安全协议)报文等加密报文,则拷贝后的报文仍然是被加密的,此时流量检测设备并不能实现对拷贝报文的检测,从而可能导致网络设备收到侵害。因此,本申请提出一种报文检测方法及装置,以解决相关技术中存在的上述不足。为对本申请进行进一步说明,提供下列实施例,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本申请保护的范围。首先需要说明的是,本申请中的第一设备和第二设备可以分别为特定的网络设备,举例而言,该第一网络设备可以为客户端设备,则第二网络设备可以为服务器;当然,也可以第一网络设备为服务器,则第二网络设备可以为客户端设备。另外,本申请方案中的转发设备是交换机或路由器等可用于网络报文转发的网络设备;其“转发入端口”、“转发出端口”和“镜像端口”等端口,既可以为虚拟端口,也可以为物理端口,如转发设备的实际物理接口,为便于说明,下方实施例中均以转发入端口连接的第一网络设备为客户端设备,转发出端口连接的第二网络设备为服务器为例进行描述。图1是本申请的报文检测系统的网络架构示意图。如图1所示,转发设备的转发入端口连接多个客户端本文档来自技高网...
【技术保护点】
1.一种报文检测方法,其特征在于,应用于转发设备,所述转发设备中的镜像端口连接流量检测设备,所述镜像端口被配置为关联至所述转发设备中连接至第一网络设备的转发入端口,且所述转发设备还包括连接第二网络设备的转发出端口,所述方法包括:/n获取所述转发入端口接收到的所述第一网络设备发送的任一报文;/n通过所述转发出端口将所述任一报文发送给所述第二网络设备;/n在所述任一报文为加密报文的情况下,将利用预先获取的加密算法解密所述任一报文所得的被解密报文封装为镜像报文;/n通过所述镜像端口将所述镜像报文发送给所述流量检测设备,以使所述流量检测设备对所述任一报文进行检测。/n
【技术特征摘要】
1.一种报文检测方法,其特征在于,应用于转发设备,所述转发设备中的镜像端口连接流量检测设备,所述镜像端口被配置为关联至所述转发设备中连接至第一网络设备的转发入端口,且所述转发设备还包括连接第二网络设备的转发出端口,所述方法包括:
获取所述转发入端口接收到的所述第一网络设备发送的任一报文;
通过所述转发出端口将所述任一报文发送给所述第二网络设备;
在所述任一报文为加密报文的情况下,将利用预先获取的加密算法解密所述任一报文所得的被解密报文封装为镜像报文;
通过所述镜像端口将所述镜像报文发送给所述流量检测设备,以使所述流量检测设备对所述任一报文进行检测。
2.根据权利要求1所述的方法,其特征在于,通过下述方式识别所述任一报文是否为加密报文:
获取所述任一报文中特定字符段的编码特征;
在所述编码特征与预设的加密字符特征相匹配的情况下,判定所述任一报文为加密报文。
3.根据权利要求1所述的方法,其特征在于,通过下述方式预先获取所述加密算法:
在拦截到所述第一网络设备向所述第二网络设备发送的原始证书申请报文的情况下,向所述第二网络设备发送伪装证书申请报文;
在拦截到所述第二网络设备返回的原始证书报文的情况下,解析所述原始证书报文以获取原始证书,并向所述第一网络设备发送包含转发证书的伪装证书报文;
在拦截到所述第一网络设备返回的被所述转发证书加密过的算法报文的情况下,利用所述转发证书解析所述算法报文以获取加密算法;
将使用所述原始证书加密过的所述加密算法发送给所述第二网络设备,以使所述第二网络设备通过所述原始证书解密得到所述加密算法。
4.根据权利要求1所述的方法,其特征在于,所述将利用预先获取的加密算法解密所述任一报文所得的被解密报文封装为镜像报文,包括:
利用预先获取的加密算法解密所述任一报文以获取被解密报文;
将所述被解密报文封装为镜像报文,所述镜像报文中包含所述任一报文的源地址,且所述镜像报文的源地址被设置为所述镜像端口的地址。
【专利技术属性】
技术研发人员:叶一聪,王树太,吴庆,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。