专利名称:一种报文匹配方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种报文匹配方法及装置。
背景技术:
目前的网络安全检测设备在将接收的报文分流给其它的设备前,通常需要将报文与预设的规则进行匹配,以决定是否转发该报文。具体地,目前对报文进行匹配吋,当报文是 TCP (Transmission Control Protocol,传输控制协议) 艮文或 UDP (User Datagram Protocol,用户数据包协议)报文吋,提取报文的五元组信息,五元组信息包括源 IPdnternet Protocol,网络之间互联协议)地址、目的IP地址、协议号、源端口号和目的端口号;并将五元组信息与ACUAccess Control List,访问控制列表)规则进行匹配,如果匹配不到ACL规则,则丢弃报文,如果匹配到ACL规则,则转发报文。当报文是非TCP或 UDP报文(即未知传输层协议的报文,TCP和UDP均是传输层协议)吋,提取报文的三元组信息,三元组信息包括源IP地址、目的IP地址和协议号;并将三元组信息与ACL规则进行匹配,如果匹配不到ACL规则,则丢弃报文,如果匹配到ACL规则,则转发报文。由于现有中对报文进行匹配吋,仅对报文的五元组信息或三元组信息进行匹配,因此对报文的识别粒度较粗,是ー种报文的粗匹配。
发明内容
本发明实施例所要解决的技术问题在干,提供一种报文匹配方法及装置,可以对报文进行深度识别。为了解决上述技术问题,本发明实施例提供了一种报文匹配方法,包括接收到报文后,确定与报文属性信息匹配的访问控制列表ACL规则,以及获取所述ACL规则对应的报文处理策略,所述ACL规则对应的报文处理策略包括对所述报文进行传输层或应用层匹配;根据所述ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配或对所述报文的应用层数据进行应用层规则匹配相应地,本发明实施例还提供了一种报文匹配装置,包括第一模块,用于接收到报文后,确定与所述报文的属性信息匹配的访问控制列表 ACL规则,以及获取所述ACL规则对应的报文处理策略,所述ACL规则对应的报文处理策略包括对所述报文进行传输层或应用层匹配;第二模块,用于根据所述ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配或对所述报文的应用层数据进行应用层规则匹配。实施本发明实施例,具有如下有益效果本发明实施例接收到报文后,确定与报文属性信息匹配的ACL规则,以及获取所述ACL规则对应的报文处理策略;并根据ACL规则对应的报文处理策略,对报文的传输层数据进行传输层规则匹配或对报文的应用层数据进行应用层规则匹配;由于本发明实施例对报文进行ACL规则匹配后,还对报文的传输层或应用层进行匹配,因此实现了对报文的深度识别,相较于仅根据ACL规则对报文进行匹配的方法,具有更精细的报文识别粒度。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图I是本发明的报文匹配方法的实施例的流程示意图2是关于图I中步骤S12的一种实施方式的流程示意图3是本发明的TCP报文的实施例的结构示意图4是关于图I中步骤S12的另一实施方式的流程示意图5是未知传输层协议报文的结构不意图6是本发明的报文匹配装置的实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图I,是本发明的报文匹配方法的实施例的流程示意图,所述报文匹配方法包括
步骤S11,接收到报文后,确定与报文属性信息匹配的ACL规则,以及获取所述ACL 规则对应的报文处理策略。
其中,当报文是TCP或UDP报文时,报文属性信息包括源IP地址、目的IP地址、 协议号、源端口号和目的端口号中的任一项或多项。当报文是未知传输层协议报文(非TCP 和UDP报文)时,报文属性信息包括源IP地址、目的IP地址和协议号中的任一项或多项。
具体地,步骤Sll接收到报文后,提取报文属性信息,并判断是否有ACL规则与报文属性信息相匹配;如果判断结果为是,则获取匹配的ACL规则对应的报文处理策略;如果判断结果为否,可以选择丢弃该报文。需要说明的是,ACL规则可以包括至少一条,且ACL规则与ACL规则对应的报文处理策略存储在ACL规则表中。需要说明的是,判断是否有ACL 规则与报文属性信息相匹配时,可能判断到有多条ACL规则与报文属性信息相匹配,此时将匹配精度最高的ACL规则作为与报文属性信息最终匹配的ACL规则;例如报文的属性信息包括源IP地址且源IP地址为192. 168. I. 0,ACL规则表中一条ACL规则的内容为“与所有源IP地址为192. 168. 1.0的报文匹配”,另一条ACL规则的内容为“与所有源IP地址的前三位为192. 168. I的报文匹配”,那么报文属性信息将与上述两条ACL规则匹配,但由于报文属性信息与第一条ACL规则更加匹配,因此将第一条ACL规则确定为与报文属性信息匹配的ACL规则,获取第一条ACL规则对应的报文处理策略。
进一步地,报文处理策略包括丢弃报文、转发报文、对报文进行传输层匹配或对报文进行应用层匹配。当ACL规则对应的报文处理策略为丢弃报文吋,在本步骤之后直接将报文丢弃掉;当ACL规则对应的报文处理策略为转发报文吋,在本步骤之后可以对报文的五元组信息进行哈希计算,得到哈希值,并将报文转发给维护该哈希值的下ー级设备;当 ACL规则对应的报文处理策略包括对报文进行传输层匹配或对报文进行应用层匹配吋,在本步骤之后执行步骤S12。步骤S12,根据ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配或对所述报文的应用层数据进行应用层规则匹配。其中,当ACL规则对应的报文处理策略是对报文进行传输层匹配吋,步骤S12提取报文的传输层数据,并将提取的传输层数据与传输层规则进行匹配。当ACL规则对应的报文处理策略是对报文进行应用层匹配吋,步骤S12提取报文的应用层数据,并将提取的应用层数据与应用层规则进行匹配。需要说明的是,对报文进行传输层匹配主要是是针对未知传输层协议的报文,对于TCP或UDP报文,由于其传输层协议为TCP或UDP,因此不需要进行传输层规则匹配,TCP或DUP报文主要进行的是应用层规则匹配。本实施例由于在ACL规则对应的报文处理策略中増加了对报文的传输层进行匹配或对报文的应用层进行匹配的内容,因此在对报文进行匹配吋,除了对报文进行ACL规则匹配,还对报文的传输层或应用层匹配,从而实现了对报文的深度识别,且相较于仅根据 ACL规则的报文匹配方法,实现了报文的精細化匹配。请參考图2,是关于图1中步骤S12的一种实施方式的流程示意图,当步骤Sll中报文为TCP或UDP报文、且ACL规则对应的报文处理策略为对报文进行应用层匹配吋,步骤 S12包括步骤S21,将应用层开始位加上偏移量后的位置作为数据提取位,并从所述数据提取位提取预定大小的应用层数据。其中,所述偏移量可以由ACL规则对应的报文处理策略提供,即当报文处理策略为对报文进行应用层匹配时,报文处理策略还提供偏移量信息。所述预定大小可以根据实际需求设置,比如将预定大小设置为32字节。为了便于理解,下面结合附图3对本步骤进行说明,如图3所示,在TCP报文中包括TCP报头(报文属性信息从此处提取)和应用层数据,其中A为应用层的开始位;A-B的距离为由ACL规则对应的报文处理策略提供的偏移量,也就是说B是数据提取位;B-C这段数据为需要提取的预定大小的应用层数据。步骤S22、将所述提取的应用层数据与预设的应用层规则进行匹配。步骤S23、当匹配到相应的应用层规则时,获取所述应用层规则对应的报文处理策略,所述应用层规则对应的报文处理策略包括丢弃所述报文、转发所述报文或者对所述报文进行应用层匹配。其中,所述预设的应用层规则可以有多个,且分別对应报文处理策略,应用层规则和应用层规则对应的报文处理策略可以存储在一张应用层规则表中。具体地,步骤S22的实现方式可以包括判断应用层规则表中是否有与步骤S21提取的应用层数据匹配的应用层规则;如果判断结果为否,则丢弃报文;如果判断结果为是,则执行步骤S23获取所述应用层规则对应的报文处理策略,需要说明的是,如果与提取的应用层数据匹配的应用层规则有多条,则将与提取的应用层数据最匹配的应用层规则作为与最终匹配的应用层规则, 并获取其对应的报文处理策略。下面举例对上述过程进行说明
7
假设步骤S21提取的应用层数据包括关键词χ和y ;应用层规则包括一条内容为“如果提取的应用层数据同时包括关键词X和y,则与本条匹配”的应用层规则,一条内容为“如果提取的应用层数据包含关键词X,则与本条匹配”的应用层规则,一条内容为“如果提取的应用层数据不包含关键词χ和y,则与本条匹配”的应用层规则,那么报文将与前两条应用层规则匹配,由于提取的应用层数据与第一条应用层规则匹配精度更高,因此将第一条应用层规则作为与最终匹配的应用层数据,并获取第一条应用层规则对应的报文处理策略。进ー步地,当应用层规则对应的报文处理策略为丢弃报文时,执行丢弃报文的操作;当应用层规则对应的报文处理策略为转发报文时,转发该报文;当应用层规则对应的报文处理策略为对报文进行应用层匹配吋,则执行步骤S24。步骤S24、继续对所述报文的应用层数据进行应用层规则匹配,直至未匹配到相应的应用层规则或者虽匹配到应用层规则、但所述应用层规则对应的报文处理策略为丢弃或转发所述报文。其中,继续对报文的应用层数据进行匹配可以与上述步骤S21-步骤S22中涉及的应用层数据进行匹配的方法相同,此时确定数据提取位所用的偏移量可以是由步骤S23中应用层规则对应的报文处理策略提供。本实施例对报文的应用层数据进行了匹配,实现了对报文的精細化识别;并且应用层规则对应的报文处理策略包括丢弃报文、转发报文或对报文进行应用层匹配;因此对报文的应用层数据进行匹配,可以对报文进行精細化的过滤,例如报文虽然通过了 ACL 规则避免被丢弃掉,但也有可能在应用层匹配时被丢弃掉。请參考图3,是关于图1中步骤S12的另ー实施方式的流程示意图,当步骤Sll中报文为未知传输层协议报文旦ACL规则对应的报文处理策略为对报文进行传输层匹配吋, 步骤S12包括步骤S31,将传输层开始位加上偏移量后作为数据提取位,并从所述数据提取位提取预定大小的传输层数据。其中,所述偏移量可以由ACL规则对应的报文处理策略提供,即当报文处理策略为对报文进行传输层匹配时,还提供偏移量信息。所述预定大小可以根据实际需求设置,比如将预定大小设置为32字节。为了便于理解,下面结合附图5对本步骤进行说明,如图5 所示,未知传输协议报文包括IP报头(报文属性信息从此处提取)、传输层数据和应用层数据,其中E为传输层的开始位;E-F的距离为由ACL规则对应的报文处理策略提供的偏移量,即F为数据提取位;F-G这段数据为需要提取的预定大小的传输层数据。步骤S32,将所述提取的传输层数据与预设的传输层规则进行匹配。步骤S33,当匹配到相应的传输层规则时,获取所述传输层规则对应的报文处理策略,所述传输层规则对应的报文处理策略包括丢弃所述报文、转发所述报文或者对所述报文进行应用层匹配。其中,所述预设的传输层规则可以有多个且对应报文处理策略,传输层规则和传输层规则对应的报文处理策略可以存储在传输层规则表中。具体地,步骤S32的实现方式可以包括判断传输层规则表中是否有与步骤S31提取的传输层数据匹配的传输层规则; 如果判断结果为否,则丢弃报文;如果判断结果为是,则执行步骤S33获取所述传输层规则对应的报文处理策略,需要说明的是,如果与提取的传输层数据匹配的传输层规则有多条, 则将与提取的传输层数据最匹配的传输层规则作为最终匹配的传输层规则,并获取其对应的报文处理策略。进ー步地,当传输层规则对应的报文处理策略为丢弃报文吋,在步骤S12之后执行丢弃报文的操作;当传输层规则对应的报文处理策略为转发报文吋,在步骤S12之后转发该报文;当传输层规则对应的报文处理策略为对报文进行应用层匹配吋,在步骤S12之后对所述报文的应用层数据进行应用层规则匹配,直至匹配不到应用层规则或者虽匹配到应用层规则、但所述应用层规则对应的报文处理策略为丢弃或转发所述报文;其中,对报文的应用层数据进行应用层规则匹配的方法可以是步骤S12的上ー实施方式中涉及的对应用层数据进行应用层规则匹配的方法,在此不赘述。需要说明的是,当对应用层数据进行应用层规则匹配吋,可以采用传输层起始位作为參考位确定数据提取位,也可以采用应用层起始位作为參考位确定数据提取位。本实施例需要说明的是,当报文是未知传输协议报文吋,ACL规则对应的报文处理策略也可以是对报文的应用层数据进行匹配,此时直接对报文的应用层数据进行应用层规则匹配。本实施例由于报文的传输层协议未知,因此采用对报文的传输层数据进行传输层规则匹配的方式,可以增加对报文传输协议的识别能力。上述从方法流程对本发明实施例的报文处理方法进行了说明,下面相应于上述方法,对本发明实施例的报文处理装置进行说明。请參考图6,是本发明的报文匹配装置的实施例的结构示意图,所述报文匹配装置包括第一模块61,用于接收到报文后,确定与报文属性信息匹配的ACL规则,以及获取所述ACL规则对应的报文处理策略。其中,当报文是TCP或UDP报文时,报文属性信息包括源IP地址、目的IP地址、 协议号、源端口号和目的端口号中的任ー项或多项。当报文是未知传输层协议报文(非TCP 和UDP报文)时,报文属性信息包括源IP地址、目的IP地址和协议号中的任ー项或多项。具体地,第一模块61接收到报文后,提取报文属性信息,并判断是否有ACL规则与报文属性信息相匹配;如果判断结果为是,则获取匹配的ACL规则对应的报文处理策略;如果判断结果为否,可以丢弃该报文。需要说明的是,ACL规则可以包括至少一条,且ACL规则与ACL规则对应的报文处理策略存储在ACL规则表中。需要说明的是,判断是否有ACL规则与报文属性信息相匹配吋,可能判断到有多条ACL规则与报文属性信息相匹配,此时将匹配精度最高的ACL规则作为与报文属性信息最终匹配的ACL规则,例如报文的属性信息包括源IP地址,且源IP地址为192. 168. 1. 0,ACL规则表中一条ACL规则为“与所有源IP地址为192. 168. 1. 0的报文匹配”,另一条ACL规则为“与所有源IP地址的前三位为192. 168. 1 的报文匹配”,那么报文属性信息将与上述两条ACL规则匹配,但由于报文属性信息与第一条ACL规则更加匹配,因此将第一条ACL规则确定为与报文属性信息匹配的ACL规则,获取第一条ACL规则对应的报文处理策略。进ー步地,报文处理策略包括丢弃报文、转发报文、对报文进行传输层匹配或对报文进行应用层匹配。当ACL规则对应的报文处理策略为丢弃报文,则直接将报文丢弃掉;当ACL规则对应的报文处理策略为转发报文,则对报文的五元组信息进行哈希计算,得到哈希值,并将报文转发给维护该哈希值的下一级设备;当ACL规则对应的报文处理策略包括对报文进行传输层匹配或对报文进行应用层匹配,则执行第二模块62。第二模块62,用于根据ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配或对所述报文的应用层数据进行应用层规则匹配。其中,当ACL规则对应的报文处理策略是对报文进行传输层匹配吋,第二模块62 提取报文的传输层数据,并将提取的传输层数据与传输层规则进行匹配。当ACL规则对应的报文处理策略是对报文进行应用层匹配吋,第二模块62提取报文的应用层数据,并将提取的应用层数据与应用层规则进行匹配。需要说明的是,对报文进行传输层匹配主要是是针对未知传输层协议的报文,对于TCP或UDP报文,由于其传输层协议为TCP或UDP,因此不需要进行传输层规则匹配,主要进行应用层规则匹配。本实施例由于在ACL规则对应的报文处理策略中増加了对报文的传输层进行匹配或对报文的应用层进行匹配的内容,因此在对报文进行匹配吋,除了对报文进行ACL规则匹配,还对报文的传输层或应用层匹配,从而实现了对报文的深度识别,且相较于仅根据 ACL规则的报文匹配方法,实现了报文的精細化匹配。请继续參考图6,在一种实施方式中,当报文为TCP或UDP报文、且ACL规则对应的报文处理策略为对报文进行应用层匹配吋,第二模块61包括第一単元621、用于将应用层开始位加上偏移量后的位置作为数据提取位,并从所述数据提取位提取预定大小的应用层数据。其中,所述偏移量可以由ACL规则对应的报文处理策略提供,即当报文处理策略为对报文进行应用层匹配时,报文处理策略还提供偏移量信息。所述预定大小可以根据实际需求设置,比如将预定大小设置为32字节。第二単元622、用于将所述提取的应用层数据与预设的应用层规则进行匹配。第三単元623、用于当匹配到相应的应用层规则时,获取所述应用层规则对应的报文处理策略,所述应用层规则对应的报文处理策略包括丢弃所述报文、转发所述报文或者对所述报文进行应用层匹配。其中,所述预设的应用层规则可以有多个,且分别对应有报文处理策略,应用层规则和应用层规则对应的报文处理策略可以存储在一张应用层规则表中。具体地,第二単元 622的实现方式可以包括判断应用层规则表中是否有与第一単元621提取的应用层数据匹配的应用层规则;如果判断结果为否,则丢弃报文;如果判断结果为是,则第三単元623 获取所述应用层规则对应的报文处理策略,需要说明的是,如果与提取的应用层数据匹配的应用层规则有多条,则将与提取的应用层数据最匹配的应用层规则作为最终匹配的应用层规则,并获取其对应的报文处理策略。进ー步地,当应用层规则对应的报文处理策略为丢弃报文时,执行丢弃报文的操作;当应用层规则对应的报文处理策略为转发报文时,转发该报文;当应用层规则对应的报文处理策略为对报文进行应用层匹配时,则执行第四単元624。第四単元624、用于继续对所述报文的应用层数据进行匹配,直至未匹配到相应的应用层规则或者虽匹配到应用层规则、但所述应用层规则对应的报文处理策略为丢弃或转发所述报文。
其中,继续对报文的应用层数据进行匹配可以与上述对应用层数据进行匹配的方式相同;另外此时所用的偏移量可以由第三単元623获取的应用层规则对应的报文处理策略中提供。本实施例对报文的应用层数据进行了匹配,实现了对报文的精細化识别;并且应用层规则对应的报文处理策略包括丢弃报文、转发报文或对报文进行应用层匹配;因此对报文的应用层数据进行匹配,可以对报文进行精細化的过滤,例如报文虽然通过了 ACL 规则避免被丢弃掉,但也有可能在应用层匹配时被丢弃掉。请继续參考图6,在另ー种实施方式中,当报文为未知传输层协议报文、且ACL规则对应的报文处理策略为对报文进行传输层匹配吋,第一単元621,用于将传输层开始位加上偏移量后作为数据提取位,并从所述数据提取位提取预定大小的传输层数据。其中,所述偏移量可以由ACL规则对应的报文处理策略提供,即当报文处理策略为对报文进行传输层匹配时,还提供偏移量信息。所述预定大小可以根据实际需求设置,比如将预定大小设置为32字节。第二単元622,用于将所述提取的传输层数据与预设的传输层规则进行匹配;第三単元623,用于当匹配到相应的传输层规则时,获取所述传输层规则对应的报文处理策略,所述传输层规则对应的报文处理策略包括丢弃所述报文、转发所述报文或者对所述报文进行应用层匹配。其中,所述预设的传输层规则可以有多个且对应有报文处理策略,传输层规则和传输层规则对应的报文处理策略可以存储在传输层规则表中。具体地,第三単元623的实现方式可以包括判断传输层规则表中是否有与第二単元622提取的传输层数据匹配的传输层规则;如果判断结果为否,则丢弃报文;如果判断结果为是,则获取所述传输层规则对应的报文处理策略,需要说明的是,如果与提取的传输层数据匹配的传输层规则有多条,则将与提取的传输层数据最匹配的传输层规则作为最终匹配的传输层规则,并获取其对应的报文处理策略。进ー步地,当传输层规则对应的报文处理策略为丢弃报文吋,进ー步执行丢弃报文的操作;当传输层规则对应的报文处理策略为转发报文吋,进ー步执行转发该报文的操作;当传输层规则对应的报文处理策略为对报文进行应用层匹配吋,所述报文匹配装置还包括第三模块63,用于对所述报文的应用层数据进行应用层规则匹配,直至未匹配到应用层规则或者虽匹配到应用层规则、但所述应用层规则对应的报文处理策略为丢弃或转发所述报文。其中,对报文的应用层数据进行应用层规则匹配的方式可以与前述中提及的对应用层数据进行应用层规则匹配的方式相同,在此不赘述。需要说明的是,第三模块63对应用层数据进行应用层规则匹配吋,可以采用传输层起始位作为參考位确定数据提取位,也可以采用应用层起起位作为參考位确定数据提取位。本实施例需要说明的是,当报文是未知传输协议报文吋,ACL规则对应的报文处理策略也可以是对报文的应用层数据进行匹配,此时直接对报文的应用层数据进行应用层规则匹配。
本实施例由于报文的传输层协议未知,因此采用对报文的传输层数据进行传输层规则匹配的方式,可以增加对报文传输协议的识别能力。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行吋,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
权利要求
1.一种报文匹配方法,其特征在于,包括接收到报文后,确定与报文属性信息匹配的访问控制列表ACL规则,以及获取所述ACL 规则对应的报文处理策略,所述ACL规则对应的报文处理策略包括对所述报文进行传输层或应用层匹配;根据所述ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配或对所述报文的应用层数据进行应用层规则匹配。
2.如权利要求I所述的方法,其特征在于,当所述报文为传输控制协议TCP报文或用户数据协议UDP报文时,所述报文属性信息包括源网络之间互联协议IP地址、目的IP地址、协议号、源端口号和目的端口号中的任一项或多项;所述ACL规则对应的报文处理策略包括对所述报文进行传输层匹配。
3.如权利要求2所述的方法,其特征在于,所述ACL规则对应的报文处理策略还包括 偏移量;所述根据所述ACL规则对应的报文处理策略,对所述报文的应用层数据进行应用层规则匹配的步骤包括将应用层开始位加上所述偏移量后的位置作为数据提取位,从所述数据提取位提取预定大小的应用层数据;将所述提取的应用层数据与预设的应用层规则进行匹配;当匹配到应用层规则时,获取所述应用层规则对应的报文处理策略,所述应用层规则对应的报文处理策略包括丢弃所述报文、转发所述报文或者对所述报文进行应用层匹配。
4.如权利要求3所述的方法,其特征在于,当所述应用层规则对应的报文处理策略为对所述报文进行应用层匹配时,所述根据所述ACL规则对应的报文处理策略,对所述报文的应用层数据进行应用层规则匹配的步骤还包括继续对所述报文的应用层数据进行应用层规则匹配,直至未匹配到应用层规则或者虽匹配到应用层规则、但所述应用层规则对应的报文处理策略为丢弃或转发所述报文。
5.如权利要求I所述方法,其特征在于,当所述报文为未知传输层协议报文时,所述报文属性信息包括源IP地址、目的IP地址和协议号中的任一项或多项;所述ACL规则对应的报文处理策略包括对所述报文进行传输层匹配。
6.如权利要求5所述的方法,其特征在于,所述ACL规则对应的报文处理策略还包括 偏移量;所述根据所述ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配的步骤包括将传输层开始位加上所述偏移量后的位置作为数据提取位,从所述数据提取位提取预定大小的传输层数据;将所述提取的传输层数据与预设的传输层规则进行匹配;当匹配到传输层规则时,获取所述传输层规则对应的报文处理策略,所述传输层规则对应的报文处理策略包括丢弃所述报文、转发所述报文或者对所述报文进行应用层匹配。
7.如权利要求6所述的方法,其特征在于,当所述传输层规则对应的报文处理策略为对所述报文进行应用层匹配吋,所述方法还包括对所述报文的应用层数据进行应用层规则匹配,直至匹配不到应用层规则或者虽匹配到应用层规则、但所述应用层规则对应的报文处理策略为丢弃或转发所述报文。
8.一种报文匹配装置,其特征在干,包括第一模块,用于接收到报文后,确定与报文属性信息匹配的访问控制列表ACL规则,以及获取所述ACL规则对应的报文处理策略,所述ACL规则对应的报文处理策略包括对所述报文进行传输层或应用层匹配;第二模块,用于根据所述ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配或对所述报文的应用层数据进行应用层规则匹配。
9.如权利要求8所述的报文匹配装置,其特征在干,当所述报文为传输控制协议TCP报文或用户数据协议UDP报文吋,所述报文属性信息包括源IP地址、目的IP地址、协议号、源端口号和目的端口号中的任ー项或多项;所述ACL规则对应的报文处理策略包括对所述报文进行传输层匹配。
10.如权利要求9所述的报文匹配装置,其特征在干,所述ACL规则对应的报文处理策略还包括偏移量;所述第二模块包括第一単元,用于将应用层开始位加上所述偏移量后的位置作为数据提取位,从所述数据提取位提取预定大小的应用层数据;第二単元,用于将所述提取的应用层数据与预设的应用层规则进行匹配;第三単元,用于当匹配到应用层规则时,获取所述应用层规则对应的报文处理策略,所述应用层规则对应的报文处理策略包括丢弃所述报文、转发所述报文或者对所述报文进行应用层匹配。
11.如权利要求10所述的报文匹配装置,其特征在干,当所述应用层规则对应的报文处理策略为对所述报文进行应用层匹配吋,所述第二模块还包括第四単元,用于继续对所述报文的应用层数据进行应用层规则匹配,直至未匹配到相应的应用层规则或者虽匹配到应用层规则、但所述应用层规则对应的报文处理策略为丢弃或转发所述报文。
12.如权利要求8所述报文匹配装置,其特征在干,当所述报文为未知传输层协议报文吋,所述报文属性信息包括源IP地址、目的IP地址和协议号中的任ー项或多项;所述ACL规则对应的报文处理策略包括对所述报文进行传输层匹配。
13.如权利要求12所述的报文匹配装置,其特征在干,所述ACL规则对应的报文处理策略还包括偏移量;所述第二模块包括第一単元,用于将传输层开始位加上所述偏移量后的位置作为数据提取位,从所述数据提取位提取预定大小的传输层数据;第二単元,用于将所述提取的传输层数据与预设的传输层规则进行匹配;第三单元,用于当匹配到传输层规则时,获取所述传输层规则对应的报文处理策略,所述传输层规则对应的报文处理策略包括丢弃所述报文、转发所述报文或者对所述报文进行应用层匹配。
14.如权利要求12所述的报文匹配装置,其特征在于,当所述传输层规则对应的报文处理策略为对所述报文进行应用层匹配时,所述报文匹配装置还包括第三模块,用于对所述报文的应用层数据进行应用层规则匹配,直至未匹配到应用层规则或者虽匹配到应用层规则、但所述应用层规则对应的报文处理策略为丢弃或转发所述报文。
全文摘要
本发明实施例公开了一种报文匹配方法,包括接收到报文后,确定与报文属性信息匹配的访问控制列表ACL规则,以及获取所述ACL规则对应的报文处理策略,所述ACL规则对应的报文处理策略包括对所述报文进行传输层或应用层匹配;根据所述ACL规则对应的报文处理策略,对所述报文的传输层数据进行传输层规则匹配或对所述报文的应用层数据进行应用层规则匹配。本发明实施例还公开了一种报文匹配装置。采用本发明,可以对报文进行深度识别。
文档编号H04L12/56GK102546398SQ20111042431
公开日2012年7月4日 申请日期2011年12月16日 优先权日2011年12月16日
发明者周立, 张良, 曾洋, 汪立东, 王万振, 王勇, 石佳, 邹昕, 雷新, 鲁松 申请人:华为技术有限公司, 国家计算机网络与信息安全管理中心