[发明专利]一种TCP分段报文待检测文本重组方法及装置

说明书

本申请提供一种TCP分段报文待检测文本重组方法，其特征在于，同一数据划分成的至少一个TCP分段报文通过一一对应的序列号标识，所述序列号按照TCP分段报文的划分顺序递变，所述方法包括：确定接收到的任一TCP分段报文中数据的长度n；在n≥2k的情况下，将接收到的任一TCP分段报文中的数据顺序划分成至少2块，其中，划分成的第一块及最后一块数据的长度为k，k为预先根据攻击特征的长度确定的数据划分长度；根据接收到的TCP分段报文的序列号的递变顺序，将接收到的任一TCP分段报文划分成的第一块数据，拼接到上一个TCP分段报文划分成的最后一块数据后面，重组为一个待检测文本。应用本申请方案，可以节省设备的内存资源，提高传输效率。

技术领域

本申请涉及计算机技术领域，尤其涉及一种TCP分段报文待检测文本重组方法及装置。

背景技术

TCP(Transmission Control Protocol，传输控制协议)作为一种面向连接、可靠的传输层协议，在网络数据传输中应用广泛。TCP报文的管理和攻击检测也成为WAF(WebApplication Firewall，Web应用防火墙)、IPS(IntrusionPrevention System，入侵防御系统)、防病毒网关等安全网络设备的重要任务之一。由于网络传输的TCP报文中携带的攻击性内容一般都具有一定的特征，因此模式匹配法是对TCP报文进行攻击检测的常用方法之一。模式匹配法首先提取攻击内容的特征，再将特征与TCP报文的文本进行匹配，如果匹配成功，则可确定报文中包括了攻击性内容。

由于包括大块数据的数据包在传输时会被划分成多个TCP分段报文，攻击内容的一段特征可能被划分到两段相邻的TCP分段报文，而模式匹配的算法要求被匹配的文本是连续的，如果只单独地检测每一段报文，则无法检测出跨段存在的特征，因此需要将TCP分段报文重组为连续的待检测文本。现有技术中，是将同一数据包的各个TCP分段报文全部缓存后，顺序重组为一个完整的文本，再与攻击内容的特征进行模式匹配。由于需要将整个数据包中的各个TCP分段完整地重组为待检测文本，占用的网络设备内存资源较多，并且耗时较长，增大了传输延迟降低了传输效率。

发明内容

有鉴于此，本申请提供一种TCP分段报文待检测文本重组方法及装置，技术方案如下：

一种TCP分段报文待检测文本重组方法，其特征在于，同一数据划分成的至少一个TCP分段报文通过一一对应的序列号标识，所述序列号按照TCP分段报文的划分顺序递变，该方法包括：

确定接收到的任一TCP分段报文中数据的长度n；

在n≥2k的情况下，将接收到的任一TCP分段报文中的数据顺序划分成至少2块，其中，划分成的第一块及最后一块数据的长度为k，k为预先根据攻击特征的长度确定的数据划分长度；

根据接收到的TCP分段报文的序列号的递变顺序，将接收到的任一TCP分段报文划分成的第一块数据，拼接到上一个TCP分段报文划分成的最后一块数据后面，重组为一个待检测文本。

一种TCP分段报文待检测文本重组装置，其特征在于，同一数据划分成的至少一个TCP分段报文通过一一对应的序列号标识，所述序列号按照TCP分段报文的划分顺序递变，该装置包括：

长度确定模块，用于确定接收到的任一TCP分段报文中数据的长度n；

数据划分模块，用于在n≥2k的情况下，将接收到的任一TCP分段报文中的数据顺序划分成至少2块，其中，划分成的第一块及最后一块数据的长度为k，k为预先根据攻击特征的长度确定的数据划分长度；

文本重组模块，用于根据接收到的TCP分段报文的序列号的递变顺序，将接收到的任一TCP分段报文划分成的第一块数据，拼接到上一个TCP分段报文划分成的最后一块数据后面，重组为一个待检测文本。