【技术实现步骤摘要】
本专利技术涉及一种基于协议规范切分报文并精确扫描的方法,属于云安全、网络安全。
技术介绍
1、现有的报文安全扫描方法,往往通过缓存方式缓存多个报文的内容,缓存方式时,需要新占用内存进行缓存存储,占用较多资源,而且如果前面几个报文中带威胁,因为缓存还未统一处理,威胁报文会被放通;单个报文独立扫描,在威胁内容跨报文传输时,无法扫描命中,影响扫描精度;
2、现有公布号cn 105357166a的中国专利公开了一种下一代防火墙系统及其检测报文的方法,它包括:协议识别引擎提取报文中协议识别信息,并将所述协议识别信息与协议识别库中协议信息进行匹配,匹配成功时,确定报文的协议特征;与确定的报文协议特征相对应的特征检测引擎提取所述报文中审计特征标识信息,并将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配,匹配成功时,确定所述报文的审计特征。
3、这种方法能够通过识别信息确定报文的协议特征和审计特征,但是该专利技术中的识别引擎需要在整个报文中识别信息,报文中的全部数据被识别引擎扫描,过程中的无效扫描较多,影响扫描效率;
4、现有公布号cn111193747a的中国专利公开了一种报文的威胁检测方法、装置、电子设备和存储介质,它包括:获取请求报文;确定所述请求报文的协议类型;基于所述协议类型,确定所述请求报文中的关键字段;对所述关键字段进行威胁检测,以确定所述关键字段是否存在威胁;以及在确定所述关键字段存在威胁的情况下,确定所述报文存在威胁。
5、该方法检测单个报文的效果
6、为此,本专利技术提出一种基于协议规范切分报文并精确扫描的方法。
技术实现思路
1、本专利技术的目的是提供一种基于协议规范切分报文并精确扫描的方法,通过创建扫描引擎和切分报文的方法达到精确扫描的效果,解决了相关技术扫描精度低的问题。
2、为达到上述目的,本专利技术是采用下面技术方案实现的。
3、一方面,本专利技术提供一种基于协议规范切分报文并精确扫描的方法,包括:创建扫描引擎,用于识别出报文中存在的威胁,记录所述威胁并上报所述威胁信息;获取请求报文;识别报文协议并根据协议规范对所述报文进行精确切分形成报文切片;判断所述报文切片是分布在单个报文中,还是分布在多个报文中;在所述报文切片分布在所述单个报文的情况下,使用所述扫描引擎对所述报文切片进行精确扫描并返回扫描信息;在所述报文切片分布在所述多个报文的情况下,将当前扫描的状态保存到信息流中,等待下一个所述报文中的所述报文切片到来时,使用所述信息流中保存的所述扫描状态继续扫描,如果当前所述报文切片仍然没有扫描完成,更新所述扫描状态,等待下一个所述报文中的所述报文切片到来继续上述操作,直至所述报文切片完成扫描并返回所述扫描信息;
4、进一步地,所述扫描引擎根据应用层协议的关键字创建,所述关键字是根据所述应用层协议的请求行、头部字段等可以表示协议特征的字段。
5、进一步地,所述识别报文协议的方法包括:详细分析所述报文的应用层协议,找出所述应用层协议交互过程中不同于其他任何协议的字段,作为所述应用层协议的特征;检查所述报文tcp首部之后的负载部分,判断是否匹配到某协议的特征;在确定匹配到所述特征后,标记所述报文为所述匹配协议。
6、进一步地,所述根据协议规范对所述报文进行切分的方法包括:确定所述协议名称,分析所述协议规范;根据所述协议规范精确切分所述协议的关键字信息,所述关键字信息通常可以为所述协议的请求方法、url、头部字段和cookie;所述精确切分的关键字信息为所述报文切片。
7、进一步地,所述识别报文协议的方法还包括:基于端口号识别,所述端口号与所述协议一一对应,通过所述端口号可以得到协议名称。
8、进一步地,所述协议规范为所述协议在所述报文中的格式规范。
9、进一步地,所述使用所述扫描引擎对所述报文切片进行精确扫描的方法包括:确定所述报文切片的关键字信息;根据所述确定的关键字信息,确定通过所述关键字创建的相对应扫描引擎;使用所述相对应扫描引擎对所述报文切片进行扫描得到扫描信息。
10、进一步地,所述在报文切片分布在多个报文中的情况的扫描方法,还包括:在报文切片所对应的所述关键字是第一次出现的情况下,使用初始状态为0的相对应扫描引擎扫描;所述报文切片对应的关键字不是第一次出现的情况下,使用所述流信息中保存的状态所对应的扫描引擎继续扫描。
本文档来自技高网...【技术保护点】
1.一种基于协议规范切分报文并精确扫描的方法,其特征在于,包括:
2.根据权利要求1所述的一种基于协议规范切分报文并精确扫描的方法,其特征在于,所述扫描引擎根据应用层协议的关键字创建,所述关键字是根据所述应用层协议的请求行、头部字段等可以表示协议特征的字段。
3.根据权利要求1所述的一种基于协议规范切分报文并精确扫描的方法,其特征在于,所述识别报文协议的方法包括:
4.根据权利要求3所述的一种基于协议规范切分报文并精确扫描的方法,其特征在于,所述识别报文协议的方法还包括:基于端口号识别,所述端口号与所述协议一一对应,通过所述端口号可以得到协议名称。
5.根据权利要求1所述的一种基于协议规范切分报文并精确扫描的方法,其特征在于,所述根据协议规范对所述报文进行切分的方法包括:
6.根据权利要求5所述的一种基于协议规范切分报文并精确扫描的方法,其特征在于,所述协议规范为所述协议在所述报文中的格式规范。
7.根据权利要求1所述的一种基于协议规范切分报文并精确扫描的方法,其特征在于,所述使用所述扫描引擎对所述报文切片进
8.根据权利要求1所述的一种基于协议规范切分报文并精确扫描的方法,其特征在于,所述在报文切片分布在多个报文中的情况的扫描方法,还包括:
9.一种计算机设备,其特征在于:包括,
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:该计算机程序被执行时,实现如权利要求1-8中任一项所述的一种基于协议规范切分报文并精确扫描的方法。
...【技术特征摘要】
1.一种基于协议规范切分报文并精确扫描的方法,其特征在于,包括:
2.根据权利要求1所述的一种基于协议规范切分报文并精确扫描的方法,其特征在于,所述扫描引擎根据应用层协议的关键字创建,所述关键字是根据所述应用层协议的请求行、头部字段等可以表示协议特征的字段。
3.根据权利要求1所述的一种基于协议规范切分报文并精确扫描的方法,其特征在于,所述识别报文协议的方法包括:
4.根据权利要求3所述的一种基于协议规范切分报文并精确扫描的方法,其特征在于,所述识别报文协议的方法还包括:基于端口号识别,所述端口号与所述协议一一对应,通过所述端口号可以得到协议名称。
5.根据权利要求1所述的一种基于协议规范切分报文并精确扫描的方法,其特征在于,所述根据协议规...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。