[发明专利]一种报文处理方法及装置

说明书

本发明实施例提供了一种报文处理方法及装置，应用于深度报文检测设备中，该方法包括：接收SYN报文；利用PBAR识别所述SYN报文所属的第一应用；将所述第一应用记录为利用所述SYN报文建立的会话对应的应用，且标记为无效；接收业务报文；若所述业务报文所属的会话对应的应用标记为无效，则利用NBAR识别所述业务报文所属的第二应用；在所述第二应用为预设的指定应用时，对基于所述业务报文所属的会话发送的业务报文进行数据过滤。应用本发明实施例，可以提高设备间报文交互的安全性。

技术领域

本发明涉及报文检测技术领域，特别是涉及一种报文处理方法及装置。

背景技术

深度报文检测(DPI，Deep Packet Inspection)技术是一种基于应用层的流量检测和控制技术，针对不同的网络应用层载荷，例如超文本传输协议(HTTP，HyperTextTransfer Protocol，)、域名系统(DNS，DomainNameSystem)等，进行深度检测，通过对报文的有效载荷检测决定其合法性。深度报文检测是入侵检测系统(IDS，Intrusion DetectionSystems，)/入侵防御系统(IPS，Intrusion Prevention System，)、应用识别、网络监控、内容审计等应用中的一项重要技术。

现有DPI设备有两种识别应用的方法，一种是基于端口的应用识别(PBAR，PortBased Application Recognition)，其是根据端口与应用的映射关系识别报文所属的应用，PBAR可以包括预定义PBAR和/或自定义PBAR，其中，预定义PBAR是根据预定义的端口与应用的映射关系识别报文所属的应用，自定义PBAR是根据用户自定义的端口与应用的映射关系识别报文所属的应用；另一种是基于内容特征的应用识别(NBAR，Network BasedApplication Recognition)，其是从报文中提取报文特征，通过将提取出的报文特征与特征库中的特征项进行匹配来识别报文所属的应用。

PBAR通常用于识别TCP/IP协议中的用于三次握手的报文(如，SYN报文)所属的应用。NBAR通常用于识别在经过三次握手成功建立会话后，基于该会话发送的业务报文所属的应用。DPI设备识别应用的具体过程如下：

在DPI设备利用PBAR识别SYN报文所属的应用时，可分为两种情况：

情况一，如果是利用预定义PBAR识别出来的，那么识别出来的应用不添加到基于该SYN报文建立的会话对应的会话信息中。在该会话建立成功后，接收到基于该会话发送的业务报文时，利用NBAR识别该业务报文所属的应用，然后将利用NBAR识别出来的应用记录在该会话对应的会话信息中；

情况二，如果是利用自定义PBAR识别出来的，那么将识别出来的应用添加到基于该SYN报文建立的会话对应的会话信息中。这样，在该会话建立成功后，接收到基于该会话发送的业务报文时，不会利用NBAR对该业务报文进行应用识别。这是因为，通常情况下自定义PBAR的优先级高于NBAR，所以如果该SYN报文所属的应用是利用自定义PBAR识别出来的，则不会再利用NBAR识别基于该会话发送的业务报文所属的应用。

然而，DPI设备只对利用NBAR识别出应用的业务报文进行数据过滤，也就是说，DPI设备无法对基于上述情况二中建立的会话发送的业务报文进行数据过滤。

发明内容

本发明实施例的目的在于提供一种报文处理方法及装置，以提高设备间报文交互的安全性。具体技术方案如下：

第一方面，本发明实施例提供了一种报文处理方法，应用于深度报文检测设备中，该方法包括：

接收SYN报文；

利用PBAR识别所述SYN报文所属的第一应用；

将所述第一应用记录为利用所述SYN报文建立的会话对应的应用，且标记为无效；