【技术实现步骤摘要】
多连接协议报文的检测方法、装置、设备及存储介质
[0001]本公开涉及数据处理
,尤其涉及一种多连接协议报文的检测方法、装置、设备及存储介质。
技术介绍
[0002]随着用户规模的不断扩大,为解决IPv4地址短缺问题,IPv6被广泛使用。但由于IPv6与IPv4的兼容性、部署成本高等问题,导致IPv4仍占据主流地位,因此IPv4向IPv6的过渡方案尤为重要。NAT64是IPv4与IPv6网络互通问题的主要解决方案。此外,病毒防御检测技术作为网络攻击检测的重要手段,在该模式下对数据报文进行病毒防御检测具有重要意义。
[0003]目前,存在MAP66模式等地址转换模式下的协议报文检测方法,然而,上述方法仅适用于纯IPv6或IPv4环境中地址转换的报文检测,由于NAT64模式下的多连接协议报文在经过NAT64或NAT46转换前后,其网络层地址属于两个不同的网络层协议,因此,上述方法无法实现NAT64模式下的多连接协议报文检测。
技术实现思路
[0004]为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种多连接协议报文的检测方法、装置、设备及存储介质。
[0005]第一方面,本公开实施例提供了一种多连接协议报文的检测方法,包括:
[0006]获取待检测报文;
[0007]在所述待检测报文为父连接报文的情况下,若所述待检测报文的报文方向为请求方向,且所述待检测报文所属连接存在与所述待检测报文的协议类型对应的转换标识,则确定所述待检测报文为第一报文;>[0008]在所述待检测报文为子连接报文的情况下,若所述待检测报文所属父连接存在与所述待检测报文的协议类型对应的转换标识,则确定所述待检测报文为第一报文;
[0009]根据所述第一报文所属连接的请求方向五元组对所述第一报文进行还原处理,生成第二报文并打上还原标记,并对所述第二报文进行安全检测;
[0010]根据安全检测的结果对所述第二报文执行预设处置操作。
[0011]可选地,所述获取待检测报文,包括:
[0012]若接收的目标报文满足预设条件,则对所述目标报文进行报文转换,以生成所述待检测报文和转换标识。
[0013]可选地,在获取待检测报文之后,还包括:
[0014]若所述待检测报文所属连接存在转换标识,则将所述待检测报文转换前的源地址和源端口、转换后的目的地址和目的端口记录到指定域中。
[0015]可选地,在对所述第二报文进行安全检测之前,还包括:
[0016]建立第一连接,以记录待检测报文的五元组信息;
[0017]根据父连接上接收到的工作模式命令,建立对应的期待子连接。
[0018]可选地,所述多连接协议为FTP协议,所述根据父连接上接收到的工作模式命令,建立对应的期待子连接,包括:
[0019]当FTP命令为PORT时,获取父连接在请求方向转换前的IPv4报文;
[0020]将IPv4报文所属连接的目的地址和指定端口号分别作为期待源地址和期待源端口,以及将IPv4报文所属连接的源地址和从PORT命令行中解析的端口分别作为期待目的地址和期待目的端口,以建立所述期待子连接;
[0021]当FTP命令为PASV时,获取父连接在响应方向上转换后的IPv4报文;
[0022]将IPv4报文所属连接的源地址作为期待源地址,以及将IPv4报文所属连接的目的地址和基于PASV响应包解析的端口分别作为期待目的地址和期待目的端口,以建立所述期待子连接。
[0023]可选地,所述根据父连接上接收到的工作模式,建立对应的期待子连接,包括:
[0024]当FTP命令为EPRT时,获取父连接在请求方向转换前的IPv6报文;
[0025]将IPv6报文所属连接的目的地址和指定端口号分别作为期待源地址和期待源端口,以及将IPv6报文所属连接的源地址和从EPRT命令行中解析的端口作为期待目的地址和期待目的端口,以建立所述期待子连接;
[0026]当FTP命令为EPSV时,获取父连接在响应方向上转换后的IPv6报文;
[0027]将所述IPv6报文所属连接的源地址作为期待源地址,以及将所述IPv6报文所属连接的目的地址和从EPSV应答字符串中解析的端口分别作为期待目的地址和期待目的端口,以建立所述期待子连接。
[0028]可选地,所述根据安全检测的结果对所述第二报文执行预设处置操作,包括:
[0029]若所述安全检测的结果为存在风险,则向所述待检测报文的来源端和目的端分别发送reset报文,并根据所述指定域中记录的地址和端口记录日志;
[0030]若所述安全检测的结果为安全且已打上还原标记,则根据报文所属连接响应方向五元组对所述第二报文进行报文转换并放行。
[0031]第二方面,本公开实施例提供了一种多连接协议报文的检测装置,包括:
[0032]获取模块,用于获取待检测报文;
[0033]第一确定模块,用于在所述待检测报文为父连接报文的情况下,若所述待检测报文的报文方向为请求方向,且所述待检测报文所属连接存在与所述待检测报文的协议类型对应的转换标识,则确定所述待检测报文为第一报文;
[0034]第二确定模块,用于在所述待检测报文为子连接报文的情况下,若所述待检测报文所属父连接存在与所述待检测报文的协议类型对应的转换标识,则确定所述待检测报文为第一报文;
[0035]检测模块,用于根据所述第一报文所属连接的请求方向五元组对所述第一报文进行还原处理,生成第二报文并打上还原标记,并对所述第二报文进行安全检测;
[0036]发送模块,用于根据安全检测的结果对所述第二报文执行预设处置操作。
[0037]第三方面,本公开实施例提供了一种电子设备,包括:处理器;用于存储所述处理器可执行指令的存储器;所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述第一方面所述的多连接协议报文的检测方法。
[0038]第四方面,本公开实施例提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的多连接协议报文的检测方法。
[0039]本公开实施例提供的技术方案与现有技术相比具有如下优点:通过在待检测报文为父连接报文的情况下,若待检测报文的报文方向为请求方向且待检测报文所属连接存在与协议类型对应的转换标识,或者,在待检测报文为子连接报文的情况下,若待检测报文所属父连接存在与待检测报文的协议类型对应的转换标识,对待检测报文进行还原处理,以进行安全检测,由此,提供了一种NAT64模式下的多连接协议报文检测方法,解决了现有地址转换模式下的多连接协议报文检测方法无法对NAT64模式下的多连接协议报文进行检测的问题,能够对NAT64模式下的多连接协议报文进行完整的病毒查杀,提高检测结果的准确性。
附图说明
[0040]此处的附图被并入说明书中并构成本说明书的一部分,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种多连接协议报文的检测方法,其特征在于,包括:获取待检测报文;在所述待检测报文为父连接报文的情况下,若所述待检测报文的报文方向为请求方向,且所述待检测报文所属连接存在与所述待检测报文的协议类型对应的转换标识,则确定所述待检测报文为第一报文;在所述待检测报文为子连接报文的情况下,若所述待检测报文所属父连接存在与所述待检测报文的协议类型对应的转换标识,则确定所述待检测报文为第一报文;根据所述第一报文所属连接的请求方向五元组对所述第一报文进行还原处理,生成第二报文并打上还原标记,并对所述第二报文进行安全检测;根据安全检测的结果对所述第二报文执行预设处置操作。2.如权利要求1所述的方法,其特征在于,所述获取待检测报文,包括:若接收的目标报文满足预设条件,则对所述目标报文进行报文转换,以生成所述待检测报文和转换标识。3.如权利要求2所述的方法,其特征在于,在获取待检测报文之后,还包括:若所述待检测报文所属连接存在转换标识,则将所述待检测报文转换前的源地址和源端口、转换后的目的地址和目的端口记录到指定域中。4.如权利要求1所述的方法,其特征在于,在对所述第二报文进行安全检测之前,还包括:建立第一连接,以记录待检测报文的五元组信息;根据父连接上接收到的工作模式命令,建立对应的期待子连接。5.如权利要求4所述的方法,其特征在于,所述多连接协议为FTP协议,所述根据父连接上接收到的工作模式命令,建立对应的期待子连接,包括:当FTP命令为PORT时,获取父连接在请求方向转换前的IPv4报文;将IPv4报文所属连接的目的地址和指定端口号分别作为期待源地址和期待源端口,以及将IPv4报文所属连接的源地址和从PORT命令行中解析的端口分别作为期待目的地址和期待目的端口,以建立所述期待子连接;当FTP命令为PASV时,获取父连接在响应方向上转换后的IPv4报文;将IPv4报文所属连接的源地址作为期待源地址,以及将IPv4报文所属连接的目的地址和基于PASV响应包解析的端口分别作为期待目的地址和期待目的端口,以建立所述期待子连接。6.如权利要求5所述的方法,其特征在于,所述根据父连接上接收到的工作模式,建立对应的期待子连接,包括:当FTP命令为EPRT时,获取父连接在请求方向转换前...
【专利技术属性】
技术研发人员:崔益豪,王开路,鲍晓玲,孙峰,梁雅静,范雪俭,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。