一种应用层网关的报文关联方法及装置制造方法及图纸

本发明专利技术涉及一种应用层网关的报文关联方法及装置，上述方法包括：获取流量探针接入的第一网络流量和第二网络流量；分别读取第一网络流量和所述第二网络流量的至少一种报文特征信息；对所述第一网络流量和所述第二网络流量对应的应用层协议进行解析，确定报文应用层协议类型；针对不同的报文应用层协议类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文。本发明专利技术高效快捷实现DNAT+ALG转换前后同一个报文的关联，可应用于对流量进行溯源的流量分析、网络安全、网络监控设备等多种领域。网络监控设备等多种领域。网络监控设备等多种领域。

【技术实现步骤摘要】
一种应用层网关的报文关联方法及装置


[0001]本专利技术计算机安全
，尤其涉及一种应用层网关的报文关联方法及装置。

技术介绍

[0002]NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force，Internet工程任务组)标准，是一种把内部私有IP地址翻译成公有IP地址的技术；其中，DNAT是指目的地址转换，用于内部网络对外提供服务，外部网络主动发起连接请求，路由器或者网关设备对请求报文的目的地址做NAT，将公有IP转换为私有IP，进而访问内部网络的服务。而ALG的英文全称是Application Level Gateway，中文名是应用层网关，主要完成对报文应用层的处理。NAT只对报文传输层中的IP地址和端口信息进行转换，然而有一些特殊协议，在报文的数据载荷中携带了连接所需要的IP地址或端口信息，这些信息在数据载荷中，NAT不处理这些内容，这就是ALG的用武之地。
[0003]一个报文在经过DNAT+ALG之后，目的IP(或者IP+端口)发生了转换，这样同一个报文在转换前后五元组(源IP、源端口、目的IP、目的端口、协议类型)就不一样了，很多流量分析设备、网络安全设备需要对DNAT+ALG前后的同一个报文进行追踪，但DNAT+ALG设备(例如路由器或者网关)上才有转换前后的对应关系，第三方设备无法得到，除非DNAT+ALG设备开放查询接口，这在实际应用中不具有可行性。因此，现在亟需一种实现高效快速在应用层网关进行报文关联的方法来解决上述问题。

技术实现思路

[0004]有鉴于此，有必要提供及一种应用层网关的报文关联方法及装置，用以克服现有技术中对经过DNAT+ALG的流量报文关联困难的问题。
[0005]为了解决上述技术问题，本专利技术提供一种应用层网关的报文关联方法，包括：
[0006]获取流量探针接入的第一网络流量和第二网络流量，其中，所述第一网络流量为经网络地址转换和/或应用层网关处理之前的原报文，所述第二网络流量为经网络地址转换和/或应用层网关处理之后的转换报文；
[0007]分别读取所述第一网络流量和所述第二网络流量的至少一种报文特征信息；
[0008]对所述第一网络流量和所述第二网络流量对应的应用层协议进行解析，确定报文应用层协议类型；
[0009]针对不同的报文应用层协议类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文。
[0010]进一步地，所述流量探针的上一个接口接入所述第一网络流量，所述流量探针的下一个接口接入所述第二网络流量。
[0011]进一步地，所述至少一种报文特征信息包括第一五元组信息、第一方向信息、第一时间信息、第二五元组信息、第二方向信息、第二时间信息、TCP包的SEQ序号、UDP包数据载
荷的MD5值中的至少一种，所述分别读取所述第一网络流量和所述第二网络流量的至少一种报文特征信息，包括：
[0012]读取所述第一网络流量的第一五元组信息、第一方向信息、第一时间信息；
[0013]读取所述第二网络流量的第二五元组信息、第二方向信息、第二时间信息，其中，所述第一五元组信息和所述第二五元组信息用于记录源IP、源端口、目的IP、目的端口、协议类型，所述第一方向信息和所述第二方向信息用于记录报文从内网到外网还是从外网到内网的方向，所述第一时间信息和所述第二时间信息用于记录收到报文的时间；
[0014]若所述第一网络流量或所述第一网络流量属于TCP流量，则还读取TCP包的SEQ序号；
[0015]若所述第一网络流量或所述第一网络流量属于UDP流量，则还读取根据UDP包数据载荷进行计算得到的MD5值。
[0016]进一步地，所述对所述第一网络流量和所述第二网络流量对应的应用层协议进行解析，确定报文应用层协议类型，包括：
[0017]对所述第一网络流量和所述第二网络流量对应的应用层协议进行解析，确定所述第一网络流量和所述第二网络流量属于单一的经网络地址转换的第一报文类别，还是经网络地址转换和应用层网关处理之后的第二报文类别。
[0018]进一步地，所述报文应用层协议类型包括第一报文类别；所述针对不同的报文应用层协议类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文，包括：
[0019]针对所述第一报文类别的所述第二网络流量，在预存数据库进行查询；
[0020]若查询到与所述第二网络流量关联的报文记录，则读取对应的关联结果，确定与所述第二网络流量关联的关联报文；
[0021]若未查询到与所述第二网络流量关联的报文记录，则根据对比第一五元组信息和第二五元组信息、所述第一网络流量和所述第二网络流量的TCP包的SEQ序号和/或UDP包数据载荷的MD5值、第一时间信息和第二时间信息判断是否满足关联条件，若满足，则确定所述第一网络流量为所述第二网络流量的关联报文。
[0022]进一步地，在所述若都对比结果一致，则确定所述第一网络流量为所述第二网络流量的关联报文之后，还包括：分别将所述第一网络流量和所述第二网络流量的至少一种报文特征信息添加至所述预存数据库，作为关联报文组。
[0023]进一步地，所述报文应用层协议类型包括第二报文类别；所述针对不同的报文应用层协议类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文，包括：
[0024]针对所述第二报文类别的所述第二网络流量，判断所属的连接类型；
[0025]针对不同的连接类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文。
[0026]进一步地，所述连接类型包括控制连接，所述针对不同的连接类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文，包括：
[0027]当所述第二报文类别的所述第二网络流量属于所述控制连接，在预存数据库进行查询；
[0028]若查询到与所述第二网络流量关联的报文记录，则读取对应的关联结果，确定与所述第二网络流量关联的关联报文；
[0029]若未查询到与所述第二网络流量关联的报文记录，则根据对比第一五元组信息和第二五元组信息、所述第一网络流量和所述第二网络流量的TCP包的SEQ序号和/或UDP包数据载荷的MD5值、第一时间信息和第二时间信息判断是否满足关联条件，若满足，则确定所述第一网络流量为所述第二网络流量的关联报文；
[0030]继续解析报文应用层，提取并记录所述第二网络流量转换前后携带的数据连接服务器端的IP信息和端口信息，形成记录信息。
[0031]进一步地，所述连接类型包括数据连接，所述针对不同的连接类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文，包本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种应用层网关的报文关联方法，其特征在于，包括：获取流量探针接入的第一网络流量和第二网络流量，其中，所述第一网络流量为经网络地址转换和/或应用层网关处理之前的原报文，所述第二网络流量为经网络地址转换和/或应用层网关处理之后的转换报文；分别读取所述第一网络流量和所述第二网络流量的至少一种报文特征信息；对所述第一网络流量和所述第二网络流量对应的应用层协议进行解析，确定报文类型报文应用层协议类型；针对不同的报文应用层协议类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文。2.根据权利要求1所述的应用层网关的报文关联方法，其特征在于，所述流量探针的上一个接口接入所述第一网络流量，所述流量探针的下一个接口接入所述第二网络流量。3.根据权利要求1所述的应用层网关的报文关联方法，其特征在于，所述至少一种报文特征信息包括第一五元组信息、第一方向信息、第一时间信息、第二五元组信息、第二方向信息、第二时间信息、TCP包的SEQ序号、UDP包数据载荷的MD5值中的至少一种，所述分别读取所述第一网络流量和所述第二网络流量的至少一种报文特征信息，包括：读取所述第一网络流量的第一五元组信息、第一方向信息、第一时间信息；读取所述第二网络流量的第二五元组信息、第二方向信息、第二时间信息，其中，所述第一五元组信息和所述第二五元组信息用于记录源IP、源端口、目的IP、目的端口、协议类型，所述第一方向信息和所述第二方向信息用于记录报文从内网到外网还是从外网到内网的方向，所述第一时间信息和所述第二时间信息用于记录收到报文的时间；若所述第一网络流量或所述第一网络流量属于TCP流量，则还读取TCP包的SEQ序号；若所述第一网络流量或所述第一网络流量属于UDP流量，则还读取根据UDP包数据载荷进行计算得到的MD5值。4.根据权利要求1所述的应用层网关的报文关联方法，其特征在于，所述对所述第一网络流量和所述第二网络流量对应的应用层协议进行解析，确定报文应用层协议类型，包括：对所述第一网络流量和所述第二网络流量对应的应用层协议进行解析，确定所述第一网络流量和所述第二网络流量属于单一的经网络地址转换的第一报文类别，还是经网络地址转换和应用层网关处理之后的第二报文类别。5.根据权利要求1所述的应用层网关的报文关联方法，其特征在于，所述报文应用层协议类型包括第一报文类别；所述针对不同的报文应用层协议类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文，包括：针对所述第一报文类别的所述第二网络流量，在预存数据库进行查询；若查询到与所述第二网络流量关联的报文记录，则读取对应的关联结果，确定与所述第二网络流量关联的关联报文；若未查询到与所述第二网络流量关联的报文记录，则根据对比第一五元组信息和第二五元组信息、所述第一网络流量和所述第二网络流量的TCP包的SEQ序号和/或UDP包数据载荷的MD5值、第一时间信息和第二时间信息判断是否满足关联条件，若满足，则确定所述第一网络流量为所述第二网络流量的关联报文。6.根据权利要求5所述的应用层网关的报文关联方法，...

【专利技术属性】
技术研发人员：郑文军，
申请(专利权)人：武汉思普崚技术有限公司，
类型：发明
国别省市：