【技术实现步骤摘要】
本申请涉及网络,特别是涉及一种报文检测方法、设备、装置及存储介质。
技术介绍
1、随着信息技术的发展,网络安全和数据分析受到越来越多的关注。其中应用分析、流量管控和安全保障等方面更是当前信息技术的热门话题。要想实现上述功能,则需要对网络流量进行深度分析,也就是需要进行报文检测。传统的报文检测仅分析报文中l2(layer2,层2)至l4(layer4,层4)的五元组信息,包括报文的源地址、目的地址、源端口、目的端口和协议类型。例如,检测到报文的目的端口的端口号为80,则认为发送该报文的应用为正常的普通上网应用。
2、而当前网络上的一些非法应用会采用隐藏或假冒五元组信息的方式,使得非法应用的报文能够通过报文检测,非法报文被认定为合法报文。进而造成非法报文侵蚀网络。因此,采用l2至l4的五元组信息已经难以完成精准的报文检测。为此需要采用dpi(deeppacket inspection,深度数据包检测)匹配的方式,对应用层l7(layer7,层7)中的报文内的负载(payload)进行探测,从而确定报文实际对应的应用,进而提高报文检测准确度。
技术实现思路
1、本申请实施例的目的在于提供一种报文检测方法、设备、装置及存储介质,以实现基于dpi匹配的报文检测。具体技术方案如下:
2、第一方面,本申请实施例提供了一种报文检测方法,应用于电子设备,所述电子设备的内存中存储预设的非法报文的模式匹配字符串、首字符标识,每一首字符标识对应一个字符,表示是否存在首字符是该字符的
3、获取待检测的报文的负载中的负载字符串;
4、从首字符标识中,确定位于所述负载字符串首位的第一字符对应的第一标识;
5、在所述第一标识表示模式匹配字符串中存在以第一字符为首的第一字符串的情况下,从第一字符串中查找与所述负载字符串相同的模式匹配字符串;
6、在所述第一标识表示模式匹配字符串中不存在以第一字符为首的第一字符串的情况下,结束针对所述负载字符串的查找流程;
7、基于查找结果,确定所述报文是否为非法报文。
8、第二方面,本申请实施例提供了一种报文检测设备,所述报文检测设备包括:
9、处理器;
10、收发器;
11、机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
12、所述报文检测设备的内存中存储预设的非法报文的模式匹配字符串、首字符标识,每一首字符标识对应一个字符,表示是否存在首字符是该字符的模式匹配字符串;
13、所述机器可执行指令促使所述处理器执行以下步骤:
14、获取待检测的报文的负载中的负载字符串;
15、从首字符标识中,确定位于所述负载字符串首位的第一字符对应的第一标识;
16、在所述第一标识表示模式匹配字符串中存在以第一字符为首的第一字符串的情况下,从第一字符串中查找与所述负载字符串相同的模式匹配字符串;
17、在所述第一标识表示模式匹配字符串中不存在以第一字符为首的第一字符串的情况下,结束针对所述负载字符串的查找流程;
18、基于查找结果,确定所述报文是否为非法报文。
19、第三方面,本申请实施例提供了一种报文检测装置,应用于电子设备,所述电子设备的内存中存储预设的非法报文的模式匹配字符串、首字符标识,每一首字符标识对应一个字符,表示是否存在首字符是该字符的模式匹配字符串,所述装置包括:
20、字符串获取模块,用于获取待检测的报文的负载中的负载字符串;
21、标识确定模块,用于从首字符标识中,确定位于所述负载字符串首位的第一字符对应的第一标识;
22、字符串查找模块,用于在所述第一标识表示模式匹配字符串中存在以第一字符为首的第一字符串的情况下,从第一字符串中查找与所述负载字符串相同的模式匹配字符串;在所述第一标识表示模式匹配字符串中不存在以第一字符为首的第一字符串的情况下,结束针对所述负载字符串的查找流程;
23、报文检测模块,用于基于查找结果,确定所述报文是否为非法报文。
24、第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面中任一所述的方法步骤。
25、第五方面,本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面任一所述的方法步骤。
26、本申请实施例有益效果:
27、本申请实施例提供了一种报文检测方法,电子设备的内存中存储预设的非法报文的模式匹配字符串以及首字符标识。在对待检测的报文进行检测时,首先判断位于负载字符串首位的第一字符对应的第一标识,从而确定是否存在以第一字符为首字符的模式匹配字符串。若不存在,则表示必然不存在与负载字符串相同的模式匹配字符串,也就不需要对负载字符串和模式匹配字符串进行对比,否则,对负载字符串和模式匹配字符串中的第一字符串进行对比,从而实现基于dpi匹配的报文检测。另外,由于不是所有负载字符串均需要进行对比,并且即使对比也仅需要将负载字符串与模式匹配字符串中的部分第一字符串进行对比,因此可以减少需要对比的字符串的数量,从而降低报文检测所需的数据处理资源,实现报文的快速检测。
本文档来自技高网...【技术保护点】
1.一种报文检测方法,其特征在于,应用于电子设备,所述电子设备的内存中存储预设的非法报文的模式匹配字符串、首字符标识,每一首字符标识对应一个字符,表示是否存在首字符是该字符的模式匹配字符串,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,每一首字符标识对应一个字符,首字符标识的不同取值分别表示:存在首字符是该字符且长度不小于预设长度的模式匹配字符串、不存在首字符是该字符的模式匹配字符串、所有首字符是该字符的模式匹配字符串的长度均小于预设长度;
3.根据权利要求2所述的方法,其特征在于,内存中的映射空间中存储有长度大于预设长度的模式匹配字符串的起始地址与终止地址;
4.根据权利要求3所述的方法,其特征在于,针对每一长度大于预设长度的模式匹配字符串,通过以下方式将该模式匹配字符串的起始地址与终止地址存储于映射空间中:
5.根据权利要求2所述的方法,其特征在于,在确定偏移量对应的哈希标识的取值的过程中,采用第一硬件加速指令,将读取偏移量对应的哈希标识,并确定所读取的哈希标识的取值。
6.根据权利要求1所述的方法,其特
7.根据权利要求1所述的方法,其特征在于,所述内存中存储有各个模式匹配字符串在内存中的偏移,所述从第一字符串中查找与所述负载字符串相同的模式匹配字符串,包括:
8.根据权利要求1-7中任一项所述的方法,其特征在于,所述从首字符标识中,确定位于所述负载字符串首位的第一字符对应的第一标识,包括:
9.一种报文检测设备,其特征在于,所述报文检测设备包括:
10.一种报文检测装置,其特征在于,应用于电子设备,所述电子设备的内存中存储预设的非法报文的模式匹配字符串、首字符标识,每一首字符标识对应一个字符,表示是否存在首字符是该字符的模式匹配字符串,所述装置包括:
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-8中任一所述的方法步骤。
...【技术特征摘要】
1.一种报文检测方法,其特征在于,应用于电子设备,所述电子设备的内存中存储预设的非法报文的模式匹配字符串、首字符标识,每一首字符标识对应一个字符,表示是否存在首字符是该字符的模式匹配字符串,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,每一首字符标识对应一个字符,首字符标识的不同取值分别表示:存在首字符是该字符且长度不小于预设长度的模式匹配字符串、不存在首字符是该字符的模式匹配字符串、所有首字符是该字符的模式匹配字符串的长度均小于预设长度;
3.根据权利要求2所述的方法,其特征在于,内存中的映射空间中存储有长度大于预设长度的模式匹配字符串的起始地址与终止地址;
4.根据权利要求3所述的方法,其特征在于,针对每一长度大于预设长度的模式匹配字符串,通过以下方式将该模式匹配字符串的起始地址与终止地址存储于映射空间中:
5.根据权利要求2所述的方法,其特征在于,在确定偏移量对应的哈希标识的取值的过程中,采用第一硬件加速指令,将读取偏移量对应的哈...
【专利技术属性】
技术研发人员:黄艺格,张燚,
申请(专利权)人:新华三半导体技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。