一種基于國(guó)家編號(hào)的數(shù)據(jù)包檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全監(jiān)控技術(shù)領(lǐng)域�����,具體涉及一種基于國(guó)家編號(hào)的數(shù)據(jù)包檢測(cè)方法��。
【背景技術(shù)】
[0002]日前����,網(wǎng)絡(luò)數(shù)據(jù)包千變?nèi)f化,針對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)方法也層出不窮�。
[0003]1.現(xiàn)在的網(wǎng)絡(luò)安全行為,主要是某些敏感國(guó)家想通過(guò)一系列的攻擊手段�,竊取我國(guó)信息,或者使我國(guó)的某些關(guān)鍵業(yè)務(wù)不能正常運(yùn)行�����。信息時(shí)代國(guó)與國(guó)的競(jìng)爭(zhēng)日益劇烈����,網(wǎng)絡(luò)信息的保護(hù)變得尤為重要���,而某些國(guó)家想通過(guò)一系列的攻擊手段獲取敏感信息。某些復(fù)雜的攻擊手段可能偽造IP地址���,那么網(wǎng)絡(luò)中存在的可疑通訊有兩種方式���。一:利用自身IP偽造特征進(jìn)行攻擊;二:偽造IP(偽造的IP地址國(guó)家編號(hào)是在網(wǎng)絡(luò)通訊中非常罕見(jiàn)的國(guó)家)進(jìn)行攻擊。
[0004]2.根據(jù)業(yè)界描述傳統(tǒng)的檢測(cè)方法���,可以叫做“有的放矢”�����,同理,這種檢測(cè)方法����,只能針對(duì)當(dāng)前發(fā)現(xiàn)的某種固定特征的網(wǎng)絡(luò)安全行為進(jìn)行檢測(cè)。如果有點(diǎn)新的攻擊行為發(fā)生���,并不能馬上配置進(jìn)行檢測(cè)����,需要編碼人員經(jīng)過(guò)編碼才能實(shí)現(xiàn)新行為的檢測(cè)。
[0005]本發(fā)明��,能針對(duì)敏感國(guó)家由用戶配置相應(yīng)的數(shù)據(jù)包內(nèi)容特征進(jìn)行立刻的檢測(cè)�,主要是利用國(guó)家+數(shù)據(jù)包內(nèi)容特征進(jìn)行檢測(cè)。
【發(fā)明內(nèi)容】
[0006]為了克服現(xiàn)有技術(shù)的上述缺點(diǎn)���,本發(fā)明提供了一種基于國(guó)家編號(hào)的數(shù)據(jù)包檢測(cè)方法���。
[0007]本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是:一種基于國(guó)家編號(hào)的數(shù)據(jù)包檢測(cè)方法,包括如下步驟:
[0008]步驟一�����、提取出數(shù)據(jù)包的源和目標(biāo)IP的國(guó)家編號(hào)����;
[0009]步驟二、遍歷取出完整檢測(cè)規(guī)則�����;
[0010]步驟三���、判斷遍歷是否完成:如果是��,則檢測(cè)失敗���,返回步驟一�����;如果否��,則進(jìn)入步驟四���;
[0011]步驟四、判斷步驟一提取出的國(guó)家編號(hào)是否和配置的國(guó)家編號(hào)一致:如果否�,則返回步驟二;如果是,則進(jìn)入步驟五�;
[0012]步驟五、解碼并提取檢測(cè)規(guī)則的數(shù)據(jù)包檢測(cè)內(nèi)容���;
[0013]步驟六、判斷待檢測(cè)的數(shù)據(jù)包內(nèi)容是否與檢測(cè)規(guī)則的數(shù)據(jù)包內(nèi)容規(guī)則匹配:如果否�����,則返回步驟二;如果是,則檢測(cè)成功���。
[0014]與現(xiàn)有技術(shù)相比�����,本發(fā)明的積極效果是:可以使用GeoIP查詢網(wǎng)絡(luò)數(shù)據(jù)包IP地址的國(guó)家編號(hào)�����,然后提供基于數(shù)據(jù)包內(nèi)容的配置檢測(cè)方法(如:數(shù)據(jù)包長(zhǎng)度〈64)����,就可以實(shí)現(xiàn)對(duì)某些國(guó)家的特殊數(shù)據(jù)包做檢測(cè)�,對(duì)網(wǎng)絡(luò)的安全進(jìn)行監(jiān)控。本發(fā)明是基于國(guó)家分組規(guī)則進(jìn)行數(shù)據(jù)包的檢測(cè)����,使用者可以通過(guò)自定義要判斷數(shù)據(jù)包的哪些內(nèi)容來(lái)對(duì)網(wǎng)絡(luò)安全進(jìn)行檢測(cè)。
【附圖說(shuō)明】
[0015]本發(fā)明將通過(guò)例子并參照附圖的方式說(shuō)明�����,其中:
[0016]圖1是本發(fā)明的檢測(cè)流程圖�����。
【具體實(shí)施方式】
[0017]—種基于國(guó)家編號(hào)的數(shù)據(jù)包檢測(cè)方法,如圖1所示�����,包括如下步驟:
[0018]步驟一��、提取出數(shù)據(jù)包的源和目標(biāo)IP的國(guó)家編號(hào):
[0019]用戶自定義需要重點(diǎn)關(guān)注的國(guó)家名稱和相應(yīng)需要檢測(cè)的數(shù)據(jù)包內(nèi)容檢測(cè)規(guī)則���。然后根據(jù)GeoIP(ip地址地理位置庫(kù))提供的國(guó)家編號(hào)信息��,查詢出源和目標(biāo)IP的國(guó)家編號(hào)����。
[0020]GeoIP是一款查詢IP地址地理位置信息的開(kāi)源庫(kù)����,它能查詢出IP地址對(duì)應(yīng)的國(guó)家編號(hào),并且定義了國(guó)家名稱和國(guó)家編號(hào)的對(duì)應(yīng)關(guān)系��。所以我們只需要提供IP地址��,就能查詢到該IP地址所在國(guó)家名稱���。
[0021]步驟二����、遍歷取出完整檢測(cè)規(guī)則(數(shù)據(jù)包國(guó)家編號(hào)和數(shù)據(jù)包內(nèi)容檢測(cè)規(guī)則)��;
[0022]數(shù)據(jù)包內(nèi)容規(guī)則是基于對(duì)數(shù)據(jù)包解碼關(guān)鍵字得來(lái)的����。比如對(duì)數(shù)據(jù)包解碼能得到TCP數(shù)據(jù)包的SYN標(biāo)志位,端口���,IP地址等��,能從界面中獲取到內(nèi)容數(shù)據(jù)�?���;谶@種關(guān)鍵字,可以配置相關(guān)的條件(如端口等于80等)作為自定義的檢測(cè)規(guī)則���。(數(shù)據(jù)包內(nèi)容規(guī)則是通過(guò)數(shù)據(jù)包本身����,從數(shù)據(jù)包中能獲取的信息,用戶可以通過(guò)判斷這些信息是否對(duì)國(guó)家安全有危害而定義相應(yīng)的數(shù)據(jù)包內(nèi)容規(guī)則�����。)
[0023]步驟三�����、判斷遍歷是否完成:如果是���,則檢測(cè)失敗���,返回步驟一;如果否��,則進(jìn)入步驟四����;
[0024]步驟四、判斷步驟一提取出的國(guó)家編號(hào)是否和配置的國(guó)家編號(hào)一致(源和目標(biāo)國(guó)家編號(hào)滿足其一即可):如果否��,則返回步驟二;如果是�,則進(jìn)入步驟五;
[0025]所述國(guó)家編號(hào)規(guī)則是:采用0?255的整數(shù)來(lái)表示不同的國(guó)家。
[0026]步驟五��、解碼并提取檢測(cè)規(guī)則的數(shù)據(jù)包檢測(cè)內(nèi)容:
[0027]此處專利使用者可以自定義支持的方法表達(dá)式�����。如支持“與”“或”�����,四則運(yùn)算����,比較符等。如:端口 >80與數(shù)據(jù)包長(zhǎng)度〈128���。
[0028]步驟六、判斷待檢測(cè)的數(shù)據(jù)包內(nèi)容是否與檢測(cè)規(guī)則的數(shù)據(jù)包內(nèi)容規(guī)則匹配:如果否���,則返回步驟二;如果是����,則檢測(cè)成功���。
【主權(quán)項(xiàng)】
1.一種基于國(guó)家編號(hào)的數(shù)據(jù)包檢測(cè)方法�,其特征在于:包括如下步驟: 步驟一��、提取出數(shù)據(jù)包的源和目標(biāo)IP的國(guó)家編號(hào); 步驟二�����、遍歷取出完整檢測(cè)規(guī)則; 步驟三�����、判斷遍歷是否完成:如果是�,則檢測(cè)失敗��,返回步驟一;如果否��,則進(jìn)入步驟四; 步驟四、判斷步驟一提取出的國(guó)家編號(hào)是否和配置的國(guó)家編號(hào)一致:如果否��,則返回步驟二;如果是,則進(jìn)入步驟五; 步驟五、解碼并提取檢測(cè)規(guī)則的數(shù)據(jù)包檢測(cè)內(nèi)容; 步驟六��、判斷待檢測(cè)的數(shù)據(jù)包內(nèi)容是否與檢測(cè)規(guī)則的數(shù)據(jù)包內(nèi)容規(guī)則匹配:如果否���,則返回步驟二;如果是���,則檢測(cè)成功。2.根據(jù)權(quán)利要求1所述的一種基于國(guó)家編號(hào)的數(shù)據(jù)包檢測(cè)方法����,其特征在于:所述完整檢測(cè)規(guī)則包括數(shù)據(jù)包國(guó)家編號(hào)規(guī)則和數(shù)據(jù)包內(nèi)容檢測(cè)規(guī)則。3.根據(jù)權(quán)利要求2所述的一種基于國(guó)家編號(hào)的數(shù)據(jù)包檢測(cè)方法�����,其特征在于:所述國(guó)家編號(hào)規(guī)則是:采用0?255的整數(shù)來(lái)表示不同的國(guó)家。4.根據(jù)權(quán)利要求2所述的一種基于國(guó)家編號(hào)的數(shù)據(jù)包檢測(cè)方法���,其特征在于:所述數(shù)據(jù)包內(nèi)容檢測(cè)規(guī)則是基于對(duì)數(shù)據(jù)包解碼關(guān)鍵字得來(lái)的��。5.根據(jù)權(quán)利要求1所述的一種基于國(guó)家編號(hào)的數(shù)據(jù)包檢測(cè)方法,其特征在于:步驟四所述步驟一提取出的國(guó)家編號(hào)和配置的國(guó)家編號(hào)一致的判斷標(biāo)準(zhǔn)是:源和目標(biāo)國(guó)家編號(hào)滿足其一則視為一致。
【專利摘要】本發(fā)明公開(kāi)了一種基于國(guó)家編號(hào)的數(shù)據(jù)包檢測(cè)方法�����,通過(guò)提取出數(shù)據(jù)包的源和目標(biāo)IP的國(guó)家編號(hào)����;遍歷取出完整檢測(cè)規(guī)則���;判斷遍歷是否完成:如果是,則檢測(cè)失敗;如果否,則判斷步驟一提取出的國(guó)家編號(hào)是否和配置的國(guó)家編號(hào)一致,如果一致����,則解碼并提取檢測(cè)規(guī)則的數(shù)據(jù)包檢測(cè)內(nèi)容�����;判斷待檢測(cè)的數(shù)據(jù)包內(nèi)容是否與檢測(cè)規(guī)則的數(shù)據(jù)包內(nèi)容規(guī)則匹配,如果匹配,則檢測(cè)成功。本發(fā)明的積極效果是:可以使用GeoIP查詢網(wǎng)絡(luò)數(shù)據(jù)包IP地址的國(guó)家編號(hào)�,然后提供基于數(shù)據(jù)包內(nèi)容的配置檢測(cè)方法,就可以實(shí)現(xiàn)對(duì)某些國(guó)家的特殊數(shù)據(jù)包做檢測(cè)�,對(duì)網(wǎng)絡(luò)的安全進(jìn)行監(jiān)控���。
【IPC分類】H04L29/06
【公開(kāi)號(hào)】CN105491014
【申請(qǐng)?zhí)枴緾N201510815455
【發(fā)明人】羅鷹, 王偉旭, 林康
【申請(qǐng)人】成都科來(lái)軟件有限公司
【公開(kāi)日】2016年4月13日
【申請(qǐng)日】2015年11月20日