本发明专利技术实施例公开了一种报文匹配方法,包括:接收到报文后,确定与报文属性信息匹配的访问控制列表ACL规则,以及获取所述ACL规则对应的报文处理策略,所述ACL规则对应的报文处理策略包括:对所述报文进行传输层或应用层匹配;根据所述ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配或对所述报文的应用层数据进行应用层规则匹配。本发明专利技术实施例还公开了一种报文匹配装置。采用本发明专利技术,可以对报文进行深度识别。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种报文匹配方法及装置。
技术介绍
目前的网络安全检测设备在将接收的报文分流给其它的设备前,通常需要将报文与预设的规则进行匹配,以决定是否转发该报文。具体地,目前对报文进行匹配吋,当报文是 TCP (Transmission Control Protocol,传输控制协议) 艮文或 UDP (User Datagram Protocol,用户数据包协议)报文吋,提取报文的五元组信息,五元组信息包括源 IPdnternet Protocol,网络之间互联协议)地址、目的IP地址、协议号、源端口号和目的端口号;并将五元组信息与ACUAccess Control List,访问控制列表)规则进行匹配,如果匹配不到ACL规则,则丢弃报文,如果匹配到ACL规则,则转发报文。当报文是非TCP或 UDP报文(即未知传输层协议的报文,TCP和UDP均是传输层协议)吋,提取报文的三元组信息,三元组信息包括源IP地址、目的IP地址和协议号;并将三元组信息与ACL规则进行匹配,如果匹配不到ACL规则,则丢弃报文,如果匹配到ACL规则,则转发报文。由于现有中对报文进行匹配吋,仅对报文的五元组信息或三元组信息进行匹配,因此对报文的识别粒度较粗,是ー种报文的粗匹配。
技术实现思路
本专利技术实施例所要解决的技术问题在干,提供一种报文匹配方法及装置,可以对报文进行深度识别。为了解决上述技术问题,本专利技术实施例提供了一种报文匹配方法,包括接收到报文后,确定与报文属性信息匹配的访问控制列表ACL规则,以及获取所述ACL规则对应的报文处理策略,所述ACL规则对应的报文处理策略包括对所述报文进行传输层或应用层匹配;根据所述ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配或对所述报文的应用层数据进行应用层规则匹配相应地,本专利技术实施例还提供了一种报文匹配装置,包括第一模块,用于接收到报文后,确定与所述报文的属性信息匹配的访问控制列表 ACL规则,以及获取所述ACL规则对应的报文处理策略,所述ACL规则对应的报文处理策略包括对所述报文进行传输层或应用层匹配;第二模块,用于根据所述ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配或对所述报文的应用层数据进行应用层规则匹配。实施本专利技术实施例,具有如下有益效果本专利技术实施例接收到报文后,确定与报文属性信息匹配的ACL规则,以及获取所述ACL规则对应的报文处理策略;并根据ACL规则对应的报文处理策略,对报文的传输层数据进行传输层规则匹配或对报文的应用层数据进行应用层规则匹配;由于本专利技术实施例对报文进行ACL规则匹配后,还对报文的传输层或应用层进行匹配,因此实现了对报文的深度识别,相较于仅根据ACL规则对报文进行匹配的方法,具有更精细的报文识别粒度。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I是本专利技术的报文匹配方法的实施例的流程示意图2是关于图I中步骤S12的一种实施方式的流程示意图3是本专利技术的TCP报文的实施例的结构示意图4是关于图I中步骤S12的另一实施方式的流程示意图5是未知传输层协议报文的结构不意图6是本专利技术的报文匹配装置的实施例的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。请参考图I,是本专利技术的报文匹配方法的实施例的流程示意图,所述报文匹配方法包括步骤S11,接收到报文后,确定与报文属性信息匹配的ACL规则,以及获取所述ACL 规则对应的报文处理策略。其中,当报文是TCP或UDP报文时,报文属性信息包括源IP地址、目的IP地址、 协议号、源端口号和目的端口号中的任一项或多项。当报文是未知传输层协议报文(非TCP 和UDP报文)时,报文属性信息包括源IP地址、目的IP地址和协议号中的任一项或多项。具体地,步骤Sll接收到报文后,提取报文属性信息,并判断是否有ACL规则与报文属性信息相匹配;如果判断结果为是,则获取匹配的ACL规则对应的报文处理策略;如果判断结果为否,可以选择丢弃该报文。需要说明的是,ACL规则可以包括至少一条,且ACL规则与ACL规则对应的报文处理策略存储在ACL规则表中。需要说明的是,判断是否有ACL 规则与报文属性信息相匹配时,可能判断到有多条ACL规则与报文属性信息相匹配,此时将匹配精度最高的ACL规则作为与报文属性信息最终匹配的ACL规则;例如报文的属性信息包括源IP地址且源IP地址为192. 168. I. 0,ACL规则表中一条ACL规则的内容为“与所有源IP地址为192. 168. 1.0的报文匹配”,另一条ACL规则的内容为“与所有源IP地址的前三位为192. 168. I的报文匹配”,那么报文属性信息将与上述两条ACL规则匹配,但由于报文属性信息与第一条ACL规则更加匹配,因此将第一条ACL规则确定为与报文属性信息匹配的ACL规则,获取第一条ACL规则对应的报文处理策略。进一步地,报文处理策略包括丢弃报文、转发报文、对报文进行传输层匹配或对报文进行应用层匹配。当ACL规则对应的报文处理策略为丢弃报文吋,在本步骤之后直接将报文丢弃掉;当ACL规则对应的报文处理策略为转发报文吋,在本步骤之后可以对报文的五元组信息进行哈希计算,得到哈希值,并将报文转发给维护该哈希值的下ー级设备;当 ACL规则对应的报文处理策略包括对报文进行传输层匹配或对报文进行应用层匹配吋,在本步骤之后执行步骤S12。步骤S12,根据ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配或对所述报文的应用层数据进行应用层规则匹配。其中,当ACL规则对应的报文处理策略是对报文进行传输层匹配吋,步骤S12提取报文的传输层数据,并将提取的传输层数据与传输层规则进行匹配。当ACL规则对应的报文处理策略是对报文进行应用层匹配吋,步骤S12提取报文的应用层数据,并将提取的应用层数据与应用层规则进行匹配。需要说明的是,对报文进行传输层匹配主要是是针对未知传输层协议的报文,对于TCP或UDP报文,由于其传输层协议为TCP或UDP,因此不需要进行传输层规则匹配,TCP或DUP报文主要进行的是应用层规则匹配。本实施例由于在ACL规则对应的报文处理策略中増加了对报文的传输层进行匹配或对报文的应用层进行匹配的内容,因此在对报文进行匹配吋,除了对报文进行ACL规则匹配,还对报文的传输层或应用层匹配,从而实现了对报文的深度识别,且相较于仅根据 ACL规则的报文匹配方法,实现了报文的精細化匹配。请參考图2,是关于图1中步骤S12的一种实施方式的流程示意图,当步骤Sll中报文为TCP或UDP报文、且ACL规则对应的报文处理策略为对报文进行应用层匹配吋,步骤 S12包括步骤S21,将本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种报文匹配方法,其特征在于,包括接收到报文后,确定与报文属性信息匹配的访问控制列表ACL规则,以及获取所述ACL 规则对应的报文处理策略,所述ACL规则对应的报文处理策略包括对所述报文进行传输层或应用层匹配;根据所述ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配或对所述报文的应用层数据进行应用层规则匹配。2.如权利要求I所述的方法,其特征在于,当所述报文为传输控制协议TCP报文或用户数据协议UDP报文时,所述报文属性信息包括源网络之间互联协议IP地址、目的IP地址、协议号、源端口号和目的端口号中的任一项或多项;所述ACL规则对应的报文处理策略包括对所述报文进行传输层匹配。3.如权利要求2所述的方法,其特征在于,所述ACL规则对应的报文处理策略还包括 偏移量;所述根据所述ACL规则对应的报文处理策略,对所述报文的应用层数据进行应用层规则匹配的步骤包括将应用层开始位加上所述偏移量后的位置作为数据提取位,从所述数据提取位提取预定大小的应用层数据;将所述提取的应用层数据与预设的应用层规则进行匹配;当匹配到应用层规则时,获取所述应用层规则对应的报文处理策略,所述应用层规则对应的报文处理策略包括丢弃所述报文、转发所述报文或者对所述报文进行应用层匹配。4.如权利要求3所述的方法,其特征在于,当所述应用层规则对应的报文处理策略为对所述报文进行应用层匹配时,所述根据所述ACL规则对应的报文处理策略,对所述报文的应用层数据进行应用层规则匹配的步骤还包括继续对所述报文的应用层数据进行应用层规则匹配,直至未匹配到应用层规则或者虽匹配到应用层规则、但所述应用层规则对应的报文处理策略为丢弃或转发所述报文。5.如权利要求I所述方法,其特征在于,当所述报文为未知传输层协议报文时,所述报文属性信息包括源IP地址、目的IP地址和协议号中的任一项或多项;所述ACL规则对应的报文处理策略包括对所述报文进行传输层匹配。6.如权利要求5所述的方法,其特征在于,所述ACL规则对应的报文处理策略还包括 偏移量;所述根据所述ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配的步骤包括将传输层开始位加上所述偏移量后的位置作为数据提取位,从所述数据提取位提取预定大小的传输层数据;将所述提取的传输层数据与预设的传输层规则进行匹配;当匹配到传输层规则时,获取所述传输层规则对应的报文处理策略,所述传输层规则对应的报文处理策略包括丢弃所述报文、转发所述报文或者对所述报文进行应用层匹配。7.如权利要求6所述的方法,其特征在于,当所述传输层规则对应的报文处理策略为对所述报文进行应用层匹配吋,所述方法还包括对所述报文的应用层数据进行应用层规则匹配,直至匹配不到应用层规则或者虽匹配到应用层规则、但所述应用层规则对应的报文处理策略为丢弃...
【专利技术属性】
技术研发人员:邹昕,王勇,汪立东,鲁松,周立,张良,曾洋,石佳,王万振,雷新,
申请(专利权)人:华为技术有限公司,国家计算机网络与信息安全管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。