[发明专利]用于网络攻击检测的IP分片报文重组方法及装置

说明书

本申请提供一种用于网络攻击检测的IP分片报文重组方法及装置，所述方法包括获取当前IP分片报文的标识，根据标识判断当前IP分片报文的重组策略是否已经被指定；若未被指定，则获取当前IP分片报文的目的IP地址；根据目的IP地址，获取目标系统类型；根据目标系统类型，获取目标重组策略；根据当前IP分片的五元组信息，将当前IP分片报文插入至预设重组表；根据目标重组策略，重组预设重组表中对应标识的所有IP分片报文，得到重组后的报文，将重组后的报文发送至安全分析设备。所述方法能够根据目标IP地址对应的网络资产的操作系统自动选择对应的重组策略，提高IP报文重组的正确性，提升安全分析设备对攻击报文的检出率。

技术领域

本申请涉及计算机网络安全技术领域，特别涉及用于网络攻击检测的IP分片报文重组方法及装置。

背景技术

在计算机网络安全技术领域，需要使用安全分析设备对接收到的IP报文进行安全分析，以避免用户资产遭到网络攻击。由于网络传输中的各个设备的最大传输单元(Maximum TransmissionUnit，MTU)不一致，因此，IP报文在发往目的地时会根据MTU分片。安全分析设备在进行安全分析之前，会重组接收到的IP分片报文，对重组后的报文再进行安全分析。

但是目前的安全分析设备中一般只有一种IP报文重组策略。然而，不同的资产，使用的是不同的操作系统，不同的操作系统使用不同的IP报文重组策略。所以，网络攻击者就利用这一点，采用不同的IP报文分片策略进行攻击，使得安全分析设备重组后的IP报文不带有攻击负荷，达到悄无声息地攻击用户资产的目的。

综上，目前的安全分析设备采用的IP报文重组方法，无法准确地重组攻击报文，导致安全分析设备的攻击报文检出率低。

发明内容

为了解决目前的安全分析设备采用的IP报文重组方法，无法准确地重组出攻击报文，导致安全分析设备的攻击报文检出率低的问题，本申请通过以下方面提供一种用于网络攻击检测的IP分片报文重组方法及装置。

本申请第一方面提供一种用于网络攻击检测的IP分片报文重组方法，包括：

获取当前IP分片报文的标识，标识用于指示当前IP报文所属的当前会话以及对应的当前方向；

根据标识判断当前IP分片报文的重组策略是否已经被指定；

若当前IP分片报文的重组策略未被指定，则获取当前IP分片报文中的目的IP地址；

根据目的IP地址，获取目标系统类型，目标系统类型为目的IP地址对应资产的操作系统类型；

根据目标系统类型，获取目标重组策略；

根据当前IP分片报文的五元组信息，将当前IP分片报文插入至预设重组表；

根据目标重组策略，重组预设重组表中对应标识的所有IP分片报文，得到重组后的报文；

将重组后的报文发送至安全分析设备。

可选的，在步骤根据当前IP分片报文的五元组信息，将当前IP分片报文插入至预设重组表中之前，IP分片报文重组方法还包括：

根据目的IP地址获取目标保护级别，目标保护级别为目的IP地址对应的资产的保护级别；

根据目标保护级别，获取目标采样频率；

根据目标采样频率，确定目标采样时间段；

判断当前时间是否在目标采样时间段内；

若当前时间在目标采样时间段内，则继续执行步骤根据当前IP分片报文的五元组信息，将当前IP分片报文插入至预设重组表；

若当前时间没有在采样时间段内，则将当前IP分片报文发送至安全分析设备，并针对当前IP分片报文终止执行IP分片报文重组方法。