技術領域

本發明通常涉及數據傳輸網絡，例如因特網。更具體地，它涉及用于執行穿透(cut-through)，即，切入式(in-line)字節流分析的設備。這種分析可用于檢測應用層即，在傳輸層之上的攻擊。

背景技術

傳輸控制協議(“TCP”)是因特網基礎協議中的一個，在因特網工程任務組(Internet?Engineering?Task?Force，IETF)的請求注解(Request?for?Comments，RFC)793中作了定義。

TCP的一個本質特征就是允許次序混亂的片段(發送得晚，到達得早)，這些片段需要在它們被傳送到TCP以上的邏輯層的應用之前重新組合成正確的順序。因此TCP的典型實施假設，數據接收器在等待接收任何丟失的片段期間，將次序混亂的數據保存在重新組緩沖器中。該接收器為每個沒按次序接收到的片段發送確認(“ACK”)消息，并指示最后有效接收到的序列號(SeqNo)。在發送方，沒有確認的片段則被放在一個重傳緩沖器里。該過程使得發送方可以快速地重傳在傳輸中丟失的片段，因為這些片段沒有被確認。

現代數據傳輸系統受到越來越高級的攻擊，例如數據插入類型的攻擊。這些攻擊的原理如下。一個真實的數據包被發送，然而校驗和參數已被更改成具有錯誤值，由此該數據包保持有效，然而在接收方會被丟棄。然后第二個數據包被發送，該數據包有相同的數據包號，即，從TCP協議的觀點來看是相同的序列號，但是具有已被破壞的有效負載。因此該第二個數據包可以饒過網絡出口處設置的保護機制。

已經做了很多努力來防止或至少限制來自對手的破壞，這導致如IDS(“侵入檢測系統”)或IPS(“侵入阻止系統”)的已知的答案。侵入檢測系統是純粹的被動形式，因為它們只能警告接收器惡意行為的存在，然而侵入阻止系統切入式(即穿透)地運行，也就是說分析網絡流通量中流。

從Proceedings?of?the?14^th?USENIX?Security?Symposium，2005年8月，65-80頁，Sarang?Dharmapurikar和Vern?Paxson寫的文章“Robust?TCP?StreamReassembly?In?the?Presence?of?Adversaries”，可知，一種可穩固地抵抗以其為目標的攻擊的基于硬件的高速TCP重組機制。該機制用作模塊，所述模塊用于構造多種網絡分析系統，尤其是侵入阻止系統。

發明內容

本發明的一個目的在于通過使設備變得更隱秘來進一步加強切入式內容分析器的攻擊復原能力。

本發明的目的在于提供一種饋送(feed)TCP字節流分析器的方法和設備，其可以在TCP字節流在目的地被重建之前對它們的內容進行檢查。

根據本發明的第一方面，因此提出一種用于使至少一個TCP數據片段流受到切入式內容分析的方法，該方法包括：

從TCP發送器接收第一TCP數據片段流，該片段流對應于TCP發送器和TCP接收器之間的給定TCP連接；

從該TCP片段流中提取并重組第一字節流；

將從第一字節流得到的第二字節流傳送到內容分析器，該分析器適用于對所述第二字節流執行內容分析；以及

將字節流內容與傳送到內容分析器的字節流完全一致的第二TCP數據片段流，中繼(relay)到TCP接收器。

根據發明的實施例，第二TCP數據片段流的數據片段數目與第一TCP數據段片流的相同，第二TCP數據片段流的全部片段大小一樣，并且具有與第一TCP數據片段流中相應片段相同的報頭。

本發明的第二方面涉及一種用于使至少一個TCP片段流受到切入式內容分析的設備，其包括用于實現根據第一方面的方法的裝置。

本發明的第三方面涉及計算機可讀介質，裝載一個或多個用于實現根據第一方面的方法的指令序列。

最后，本發明的第四方面涉及一種計算機程序產品，其包括一個或多個存儲的指令序列，這些指令序列可由處理器訪問，當通過處理器執行這些指令時，這些指令使處理器執行根據第一方面的方法。

應該注意的是，不像傳統的TCP重組器，根據本發明實施例的設備向接收器轉發(forward)相同數目的數據段，每個數據段大小相同并且具有與從發送器接收到的那些片段的報頭相同的報頭。無論何時最新接收到的分組數據與已接收數據交疊，被轉發的片段唯一可能的改變在于它們的內容。

附圖說明

本發明通過附圖的舉例闡明，而不是限制，附圖中相同的參考數字代表相同的元件，其中：