本发明专利技术公开了一种检测方法及装置,所述检测方法包括:获取会话中数据包的过包数量;判断所述过包数量是否大于第一预设值;在所述过包数量大于所述第一预设值的情况下,阻断所述会话并对当前数据包进行丢包处理。本公开提供的检测方法及装置从协议原理着手,通过分析网络会话,判断会话中数据包的过包数量来识别隧道逃逸行为,适用的网络协议范围较广,识别率较高,误识别率较低,并且便于操作,用户随时可以根据网络实际情况(如识别率、误识别率等)对第一预设值进行调整,以适应不同的网络环境,能够更有效的保护网络。
【技术实现步骤摘要】
一种检测方法及装置
本公开涉及互联网领域,尤其涉及一种检测方法及装置。
技术介绍
随着网络安全技术发展,越来越多的网络安全设备被部署在网络中,无论是企业、政府部分、运营商等,都会在网络安全设备上设置符合自己要求的安全策略。以防火墙为例,配置合适的符合自我安全需求的数据包过滤策略,可以有效阻断非法数据报文,保护内部网络,控制内部网络对外网的访问等。隧道逃逸技术就是针对这些网络安全设备的安全策略,使本来不符合安全策略的数据通过网络安全设备的一种方法。简单来说,对很多网络协议,例如网络报文协议、域名系统协议等,因其提供服务的特殊性、普遍性,大多数的网络安全设备都会允许其通过。而隧道逃逸技术是将不符合网络安全策略的数据,封装在例如网络报文协议、域名系统协议等这些报文中,穿透网络安全设备,对端接收后,将数据还原,最终实现数据逃逸,达到穿透网络安全设备并不受控制的目的。目前,针对隧道逃逸技术的识别控制主要有两种方法,一种方法对报文的数据部分进行关键字识别控制,由于隧道逃逸的clinet(客户端)和server(服务端)都是黑客自己开发的软件,所以很容易通过改变源码进而改变关键字,甚至是做到加密处理,使识别特性失效,导致对隧道逃逸的识别率低,另一种方法是对报文的数据部分进行协议二次识别,因报文数据部分的特殊性,且内容形式多变,这种方法对隧道逃逸的识别率也较低,并且很容易造成误识别。
技术实现思路
针对现有技术中存在的上述技术问题,本公开的实施例提供了一种对隧道逃逸行为的识别率较高,误识别率较低,适用的网络协议范围较广,并且便于操作的检测方法和装置。根据本公开的第一方案,提供了一种检测方法,所述检测方法包括:获取会话中数据包的过包数量;判断所述过包数量是否大于第一预设值;在所述过包数量大于所述第一预设值的情况下,阻断所述会话并对当前数据包进行丢包处理。在一些实施例中,在所述过包数量大于所述第一预设值的情况下,阻断所述会话并对当前数据包进行丢包处理,包括:在所述过包数量大于所述第一预设值的情况下,判断所述当前数据包的特征信息是否与预设特征信息相同;在所述特征信息与所述预设特征信息不相同的情况下,阻断所述会话并对所述当前数据包进行丢包处理。在一些实施例中,所述预设特征信息至少包括以下之一:基于网络报文协议确定的特征信息,基于域名系统协议确定的特征信息。在一些实施例中,判断所述过包数量是否大于第一预设值之后,还包括:在所述过包数量不大于所述第一预设值的情况下,处理所述当前数据包。在一些实施例中,获取会话中数据包的过包数量之前,还包括:检测是否存在与接收到的数据包相对应的会话;在不存在所述会话的情况下,创建与所述当前数据包相对应的会话。根据本公开的第二方案,提供了一种检测装置,所述检测装置包括:获取模块,用于获取会话中数据包的过包数量;第一判断模块,用于判断所述过包数量是否大于第一预设值;第一处理模块,用于在所述过包数量大于所述第一预设值的情况下,阻断所述会话并对当前数据包进行丢包处理。在一些实施例中,所述第一处理模块包括:判断单元,用于在所述过包数量大于所述第一预设值的情况下,判断所述当前数据包的特征信息是否与预设特征信息相同;处理单元,用于在所述特征信息与所述预设特征信息不相同的情况下,阻断所述会话并对所述当前数据包进行丢包处理。在一些实施例中,所述检测装置还包括:设置模块,用于设置所述预设特征信息,所述预设特征信息至少包括以下之一:基于网络报文协议确定的特征信息,基于域名系统协议确定的特征信息。在一些实施例中,所述检测装置还包括:第二处理模块,用于在所述过包数量不大于所述第一预设值的情况下,处理所述当前数据包。在一些实施例中,所述检测装置还包括:检测模块,用于检测是否存在与所述当前数据包相对应的会话;创建模块,用于在不存在所述会话的情况下,创建与所述当前数据包相对应的会话。与现有技术相比,本公开所提供的检测方法及装置的有益效果在于:本专利技术所提供的检测方法及装置从协议原理着手,通过分析网络会话,判断会话中数据包的过包数量来识别隧道逃逸行为,适用的网络协议范围较广,识别率较高,误识别率较低,并且便于操作,用户随时可以根据网络实际情况(如识别率、误识别率等)对第一预设值进行调整,以适应不同的网络环境,能够更有效的保护网络。应当理解,前面的一般描述和以下详细描述都仅是示例性和说明性的,而不是用于限制本公开。本节提供本公开中描述的技术的各种实现或示例的概述,并不是所公开技术的全部范围或所有特征的全面公开。附图说明为了更清楚地说明本公开实施例的技术方案,下面将对实施例的附图作简单地介绍,显而易见地,下面描述中的附图仅仅涉及本公开的一些实施例,而非对本公开的限制。图1为根据本公开的实施例的检测方法的流程图;图2为根据本公开的实施例的检测方法的一个具体实施例的流程图;图3为根据本公开的实施例的检测装置的结构示意图;图4为根据本公开的实施例的检测装置的一个具体实施例的处理模块的结构示意图。具体实施方式为了使得本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例的附图,对本公开实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本公开的一部分实施例,而不是全部的实施例。基于所描述的本公开的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的部分。“包括”或者“包含”等类似的词语意指在该词前的要素涵盖在该词后列举的要素,并不排除也涵盖其他要素的可能。本公开使用的所有术语(包括技术术语或者科学术语)与本公开所属领域的普通技术人员理解的含义相同,除非另外特别定义。还应当理解,在诸如通用字典中定义的术语应当被解释为具有与它们在相关技术的上下文中的含义相一致的含义,而不应用理想化或极度形式化的意义来解释,除非这里明确地这样定义。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。图1为本公开的实施例的检测方法的流程图,如图1所示,本公开的实施例还提供了一种检测方法,该检测方法包括S101至S103:S101,获取会话中数据包的过包数量。S102,判断该过包数量是否大于第一预设值。可选的,用户可以根据自身的实际需求设置相应的第一预设值,也可以在实际应用中对第一预设值进行调整,以适应不同的网络环境。S103,在该过包数量大于该第一预设值的情况下,阻断该会话并对当前数据包进行丢包处理。在一个会话中,数据包的过包数量应该是在一个固定范围内的,本公开根据该固定范围设置了第一预设值,如果存在隧道逃逸行为,则数据包的过包数量会大大超过第一预设值,所以,本专利技术实施例根据数据包的过包数量判断是否存在隧道逃逸行为。具体说来,隧道逃逸技术是将不符合网络安全策略的数据,封装在例如网络报文协议、域名系统协议的这些报文中,穿透网络安全设备,对端接收后,将数据还原,最终实现数据逃逸。本公开的实施例所提供的检测方法从协议原理着手,通过分析网络会话,判断会话中数据包的过包数量识别隧道逃逸行为,适用的网络协议范围较广,具有较高的识别率,本文档来自技高网...
【技术保护点】
1.一种检测方法,其特征在于,包括:获取会话中数据包的过包数量;判断所述过包数量是否大于第一预设值;在所述过包数量大于所述第一预设值的情况下,阻断所述会话并对当前数据包进行丢包处理。
【技术特征摘要】
1.一种检测方法,其特征在于,包括:获取会话中数据包的过包数量;判断所述过包数量是否大于第一预设值;在所述过包数量大于所述第一预设值的情况下,阻断所述会话并对当前数据包进行丢包处理。2.根据权利要求1所述的检测方法,其特征在于,在所述过包数量大于所述第一预设值的情况下,阻断所述会话并对当前数据包进行丢包处理,包括:在所述过包数量大于所述第一预设值的情况下,判断所述当前数据包的特征信息是否与预设特征信息相同;在所述特征信息与所述预设特征信息不相同的情况下,阻断所述会话并对所述当前数据包进行丢包处理。3.根据权利要求2所述的检测方法,其特征在于,所述预设特征信息至少包括以下之一:基于网络报文协议确定的特征信息,基于域名系统协议确定的特征信息。4.根据权利要求1-3中任一项所述的检测方法,其特征在于,判断所述过包数量是否大于第一预设值之后,还包括:在所述过包数量不大于所述第一预设值的情况下,处理所述当前数据包。5.根据权利要求1所述的检测方法,其特征在于,获取会话中数据包的过包数量之前,还包括:检测是否存在与接收到的数据包相对应的会话;在不存在所述会话的情况下,创建与所述当前数据包相对应的会话。6.一种检测装置,其特征在于,包括...
【专利技术属性】
技术研发人员:隋鹤,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。