[发明专利]报文检测方法及系统、内容提取装置、流量匹配装置

权利要求书

1.一种报文检测方法，其特征在于，包括：

获取待检测报文；

根据所述待检测报文中的五元组信息，生成所述待检测报文的令牌值，其中，所述令牌值用于标识所述待检测报文的特征；

将所述五元组信息和所述令牌值发送至流量匹配装置；

接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果，其中，所述检测结果用于指示所述待检测报文是否为伪造报文，其中，所述流量匹配装置在检测到所述待检测报文存在双向流量时，所述检测结果指示所述待检测报文为合法报文，反之所述检测结果指示待检测报文为所述伪造报文。

2.根据权利要求1所述的方法，其特征在于，所述获取待检测报文包括：

接收多个分片报文；

根据每个所述分片报文中记录的分片序号，对各个所述分片报文进行重组，得到所述待检测报文。

3.根据权利要求1所述的方法，其特征在于，所述五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型；

其中，所述根据所述待检测报文中的五元组信息，生成所述待检测报文的令牌值包括：

确定所述待检测报文的传输方向为入方向或出方向，其中，所述入方向是指所述待检测报文从客户端传输至服务器，所述出方向是指所述待检测报文从所述服务器传输至所述客户端；

在所述待检测报文的传输方向为所述入方向的情况下，从所述五元组信息中提取所述源IP地址和所述源端口号；从所述待检测报文的首包中提取首包序号；基于所述源IP地址、所述源端口号以及所述首包序号，得到所述令牌值；

在所述待检测报文的传输方向为所述出方向的情况下，从所述五元组信息中提取所述目的IP地址和所述目的端口号；从所述待检测报文的首包中提取所述首包序号；基于所述目的IP地址、目的端口号以及所述首包序号，得到所述令牌值。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述令牌值为具有预设长度的数字。

5.一种报文检测方法，其特征在于，包括：

流量检测装置接收内容提取装置发送的待检测报文的五元组信息和令牌值，其中，由所述内容提取装置根据所述待检测报文中的所述五元组信息，生成所述待检测报文的所述令牌值，所述令牌值用于标识所述待检测报文的特征；

检测所述五元组信息和所述令牌值，得到用于指示所述待检测报文是否为伪造报文的检测结果；

将所述检测结果返回给所述内容提取装置，其中，在检测到所述待检测报文存在双向流量时，所述检测结果指示所述待检测报文为合法报文，反之所述检测结果指示待检测报文为伪造报文。

6.根据权利要求5所述的方法，其特征在于，所述检测所述五元组信息和所述令牌值，得到用于指示所述待检测报文是否为伪造报文的检测结果，包括：

根据所述五元组信息确定所述待检测报文的传输方向；

从令牌库中查找是否存在与所述令牌值相等的数值，并判断所述数值对应的报文的传输方向是否与所述待检测报文的传输方向相反；

若存在与所述令牌值相等的数值，且所述数值对应的报文的传输方向与所述待检测报文的传输方向相反，确定所述待检测报文为合法报文，并生成用于指示所述待检测报文为合法报文的第一检测结果；

若不存在与所述令牌值相等的数值，或所述数值对应的报文的传输方向与所述待检测报文的传输方向相同，确定所述待检测报文为伪造报文，并生成用于指示所述待检测报文为伪造报文的第二检测结果。