[发明专利]一种基于网络隔离装置的深度报文检测方法

权利要求书

1.一种基于网络隔离装置的深度报文检测方法，其特征在于，包括如下步骤：

步骤1、根据输入报文类型过滤输入报文，得到IP报文；

步骤2、对IP报文首部的选项进行第一次深度报文检测：若检测不通过，则丢弃报文；若检测通过，则进入步骤3；

步骤3、根据IP报文首部中的协议类型过滤报文，得到TCP/UDP报文；

步骤4、根据隔离装置配置的安全策略对报文进行合法性检测：若检测不通过，则丢弃报文；若检测通过，则进入步骤5；

步骤5、对TCP报文首部的选项进行第二次深度报文检测，若检测不通过，则丢弃报文；若检测通过，则进入步骤6；

步骤6、对报文进行网络层协议剥离；

步骤7、将剥离后的报文通过隔离岛发送到对侧；

步骤8、对报文重新进行网络层协议封装并发送到对应网络；

步骤2中，对IP报文首部的选项进行检测，若IP报文首部中存在下述任意一项选项类型，则检测不通过，包括安全和处理限制、记录路径、时间戳、宽松的源站选路、严格的源站选路；

步骤5中对TCP报文首部的选项进行检测时，仅能局限于七种类型：包括选项表结束、无操作、最大报文段长度、窗口扩大因子、时间戳、包括是否支持SACK选项的选择确认和包括具体SACK信息选项的选择确认，超出上述七种类型，则检测不通过；

在对TCP报文首部的选项进行扫描时，遵循如下原则：

1)选项类型只能局限于七种类型：包括选项表结束、无操作、最大报文段长度、窗口扩大因子、时间戳、包括是否支持SACK选项的选择确认和包括具体SACK信息选项的选择确认；

2)最大报文段长度、窗口扩大因子和包括是否支持SACK选项的选择确认只能出现在含有TCP标志位SYN的报文中；

3)包括具体SACK信息选项的选择确认满足每一块确认号的右边沿值大于左边沿值，且所有的确认号在其对侧的滑动窗口范围内；

以上三条原则均满足时，检测通过，否则，丢弃该报文。

2.根据权利要求1所述的一种基于网络隔离装置的深度报文检测方法，其特征在于，步骤4中，合法性检测包括报文的源MAC、源IP、目的IP、源端口、目的端口、连接方向和报文关键字检测项。

3.根据权利要求2所述的一种基于网络隔离装置的深度报文检测方法，其特征在于，合法性检测还包括对报文流进行病毒特征检测：将报文的特征在本地病毒库中进行匹配。

4.根据权利要求3所述的一种基于网络隔离装置的深度报文检测方法，其特征在于，匹配成功后丢弃该帧及该连接的后续所有报文。