[发明专利]一种TCP分段报文待检测文本重组方法及装置

权利要求书

1.一种TCP分段报文待检测文本重组方法，其特征在于，同一数据划分成的至少一个TCP分段报文通过一一对应的序列号标识，所述序列号按照TCP分段报文的划分顺序递变，所述方法包括：

确定接收到的任一TCP分段报文中数据的长度n；

在n≥2k的情况下，将接收到的任一TCP分段报文中的数据顺序划分成至少2块，其中，划分成的第一块及最后一块数据的长度为k，k为预先根据攻击特征的长度确定的数据划分长度；

根据接收到的TCP分段报文的序列号的递变顺序，将接收到的任一TCP分段报文划分成的第一块数据，拼接到上一个TCP分段报文划分成的最后一块数据后面，重组为一个待检测文本。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据接收到的任一TCP分段报文的序列号、及预先协商的序列号递变方式，计算上一个和/或下一个TCP分段报文的序列号和/或序列号范围；

将计算得到的序列号和/或序列号范围，与接收到的TCP分段报文的序列号进行比对，确定接收到的TCP分段报文的序列号的递变顺序。

3.根据权利要求2所述的方法，其特征在于，所述根据接收到的任一TCP分段报文的序列号及序列号递变方式，计算上一个和/或下一个TCP分段报文的序列号和/或序列号范围，包括：

根据接收到的任一TCP分段报文的序列号S_i及数据长度n_i，计算下一个TCP分段报文的序列号S_i+1＝S_i+n_i；

和/或

根据接收到的任一TCP分段报文的序列号S_i、及预先协商的最大数据长度N，计算上一个TCP分段报文的序列号S_i-1的范围：S_i-N≤S_i-1S_i。

4.根据权利要求1至3任一项所述的方法，其特征在于，所述根据接收到的TCP分段报文序列号的递变顺序，将接收到的任一TCP分段报文划分成的第一块数据，拼接到上一个TCP分段报文划分成的最后一块数据后面，重组为一个待检测文本，包括：

将接收到的任一TCP分段报文划分成的数据块与该TCP分段报文的序列号对应存储；

在根据接收到的TCP分段报文的序列号的递变顺序，监测到该TCP分段报文的上一个TCP分段报文划分成的数据块已存储的情况下，将该TCP分段报文划分成的第一块数据，拼接到上一个TCP分段报文划分成的最后一块数据后面，重组为一个待检测文本。

5.根据权利要求4所述的方法，其特征在于，所述将接收到的任一TCP分段报文划分成的数据块与该TCP分段报文的序列号对应存储，包括：

获得接收到的TCP分段报文的序列号的递变顺序；

将接收到的任一TCP分段报文划分成的数据块与该TCP分段报文的序列号，存储到预先建立的TCP信息列表的对应位置，信息列表中的位置顺序由序列号的递变顺序决定。

6.一种TCP分段报文待检测文本重组装置，其特征在于，同一数据划分成的至少一个TCP分段报文通过一一对应的序列号标识，所述序列号按照TCP分段报文的划分顺序递变，所述装置包括：

长度确定模块，用于确定接收到的任一TCP分段报文中数据的长度n；

数据划分模块，用于在n≥2k的情况下，将接收到的任一TCP分段报文中的数据顺序划分成至少2块，其中，划分成的第一块及最后一块数据的长度为k，k为预先根据攻击特征的长度确定的数据划分长度；

文本重组模块，用于根据接收到的TCP分段报文的序列号的递变顺序，将接收到的任一TCP分段报文划分成的第一块数据，拼接到上一个TCP分段报文划分成的最后一块数据后面，重组为一个待检测文本。