[发明专利]报文检测方法及系统、内容提取装置、流量匹配装置

说明书

本申请公开了一种报文检测方法及系统、内容提取装置、流量匹配装置。其中，该方法包括：获取待检测报文；根据所述待检测报文中的五元组信息，生成所述待检测报文的令牌值，其中，所述令牌值用于标识所述待检测报文的特征；将所述五元组信息和所述令牌值发送至流量匹配装置；接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果，其中，所述检测结果用于指示所述待检测报文是否为伪造报文。本申请解决了由于网络流量为非对称时造成的无法确定数据合法性的技术问题。

技术领域

本申请涉及网络安全领域，具体而言，涉及一种报文检测方法及系统、内容提取装置、流量匹配装置。

背景技术

在网络传输中，当需要发送的报文的大小超过了最大传输单位时，就会利用分片技术，例如，在以太网环境中可传输最大报文大小为1500字节，而需要传输的报文大小要比1500字节大，这个时候就需要利用到分片技术，经分片后才能传输此报文。

当报文进行分片之后，只有当它到达下一站时，才可进行重新组装，且它的组装是由目的端来完成的。分片报文和完整报文差不多拥有相同的报文头，ID域对于每个分片报文都是一致的，这样才能在重新组装的时候识别出来自同一个报文的分片。在报文头中，13位偏移记录了某个分片报文相对整个报文的位置，目的端可以利用这些信息对分片报文进行重新组织。

由于存在分片的问题，加之复杂的网络环境和传输延时，这时候会产生乱序的问题。因此在进行分析的时候，首先要处理乱序和分片重组的问题，接着对重组完成的报文进行分析处理。

然而，当网络流量为非对称时(出入流量分布在不同ISP(Internet ServiceProvider，互联网服务提供商)侧)，传统方法无法获取双向的流量信息用于分析。虽然在这种情况下，可以只分析单边的数据。但是单边的数据存在数据伪造和无法溯源等诸多缺陷，导致无法确定数据合法性的问题。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种报文检测方法及系统、内容提取装置、流量匹配装置，以至少解决由于网络流量为非对称时造成的无法确定数据合法性的技术问题。

根据本申请实施例的一个方面，提供了一种报文检测方法，包括：获取待检测报文；根据所述待检测报文中的五元组信息，生成所述待检测报文的令牌值，其中，所述令牌值用于标识所述待检测报文的特征；将所述五元组信息和所述令牌值发送至流量匹配装置；接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果，其中，所述检测结果用于指示所述待检测报文是否为伪造报文。

根据本申请实施例的另一方面，还提供了一种报文检测方法，包括：接收内容提取装置发送的待检测报文的五元组信息和令牌值，其中，由所述内容提取装置根据所述待检测报文中的所述五元组信息，生成所述待检测报文的所述令牌值，所述令牌值用于标识所述待检测报文的特征；检测所述五元组信息和所述令牌值，得到用于指示所述待检测报文是否为伪造报文的检测结果；将所述检测结果返回给所述内容提取装置。

根据本申请实施例的另一方面，还提供了一种内容提取装置，包括：获取单元，用于获取待检测报文；生成单元，用于根据所述待检测报文中的五元组信息，生成所述待检测报文的令牌值，其中，所述令牌值用于标识所述待检测报文的特征；第一发送单元，用于将所述五元组信息和所述令牌值发送至流量匹配装置；第一接收单元，用于接收所述流量匹配装置检测所述五元组信息和所述令牌值而返回的检测结果，其中，所述检测结果用于指示所述待检测报文是否为伪造报文。

可选地，所述获取单元包括：接收模块，用于接收多个分片报文；重组模块，用于根据每个所述分片报文中记录的分片序号，对各个所述分片报文进行重组，得到所述待检测报文。