[发明专利]用于网络攻击检测的IP分片报文重组方法及装置

权利要求书

1.一种用于网络攻击检测的IP分片报文重组方法，其特征在于，包括：

获取当前IP分片报文的标识，所述标识用于指示所述当前IP报文所属的当前会话以及对应的当前方向；

根据所述标识判断所述当前IP分片报文的重组策略是否已经被指定；

若当前IP分片报文的重组策略未被指定，则获取所述当前IP分片报文中的目的IP地址；

根据所述目的IP地址，获取目标系统类型，所述目标系统类型为所述目的IP地址对应资产的操作系统类型；

根据所述目标系统类型，获取目标重组策略；

根据所述当前IP分片报文的五元组信息，将所述当前IP分片报文插入至预设重组表；

根据所述目标重组策略，重组所述预设重组表中对应所述标识的所有IP分片报文，得到重组后的报文；

将所述重组后的报文发送至安全分析设备。

2.根据权利要求1所述的IP分片报文重组方法，其特征在于，在步骤根据所述当前IP分片报文的五元组信息，将所述当前IP分片报文插入至预设重组表中之前，所述IP分片报文重组方法还包括：

根据所述目的IP地址获取目标保护级别，所述目标保护级别为所述目的IP地址对应的资产的保护级别；

根据所述目标保护级别，获取目标采样频率；

根据所述目标采样频率，确定目标采样时间段；

判断当前时间是否在所述目标采样时间段内；

若当前时间在所述目标采样时间段内，则继续执行步骤根据所述当前IP分片报文的五元组信息，将所述当前IP分片报文插入至预设重组表；

若当前时间没有在采样时间段内，则将所述当前IP分片报文发送至安全分析设备，并针对所述当前IP分片报文终止执行所述IP分片报文重组方法。

3.根据权利要求1或者2所述的IP分片报文重组方法，其特征在于，在步骤根据所述当前IP分片报文的五元组信息，将所述当前IP分片报文插入至预设重组表中之前，所述IP分片报文重组方法还包括：

判断所述当前会话的类型是否是TCP会话；

若所述当前会话的类型是TCP会话，则判断在所述当前IP分片报文之前的第一数量个第一报文中，是否已经建立TCP连接状态，所述第一报文与所述当前IP分片报文属于同一个会话；

若在所述当前IP分片报文之前的第一数量个第一报文中，已经建立TCP连接状态，则判断在所述当前IP分片报文之前的第二数量个第一报文中，是否已经建立应用连接状态；

若在所述当前IP分片报文之前的第二数量个第一报文中，已经建立应用连接状态，则继续执行步骤根据所述当前IP分片报文的五元组信息，将所述当前IP分片报文插入至预设重组表；

若所述当前会话的类型不是TCP会话，则执行步骤判断在所述当前IP分片报文之前的第二数量个第一报文中，是否已经建立应用连接状态；

若在所述当前IP分片报文之前的第一数量个第一报文中，没有建立TCP连接状态，则将所述当前IP分片报文发送至所述安全分析设备，并针对所述当前IP分片报文终止执行所述IP分片报文重组方法；

若在所述当前IP分片报文之前的第二数量个第一报文中，没有建立应用连接状态，则将所述当前IP分片报文发送至所述安全分析设备，并针对所述当前IP分片报文终止执行所述IP分片报文重组方法。

4.根据权利要求1所述的IP分片报文重组方法，其特征在于，所述预设重组表包括哈希表、哈希桶链表以及红黑树数据结构表；

所述哈希表包括至少一个哈希桶，一个所述哈希桶对应一个哈希桶链表；

所述哈希桶链表包括至少一个哈希桶链表项，一个所述哈希桶链表项对应一个所述红黑树数据结构表；

其中，所述根据所述当前IP分片报文的五元组信息，将所述当前IP分片报文插入至预设重组表，包括：

根据所述当前IP分片报文的五元组信息计算，得到所述当前IP分片报文的哈希关键值；

根据所述哈希关键值，获取目标哈希桶链表；

遍历所述目标哈希桶链表中的所有哈希桶链表项，根据所述当前IP分片报文的五元组信息，获取目标哈希桶链表项；

将所述当前IP分片报文插入至所述目标哈希桶链表项对应的红黑树数据结构表中。