技術領域

本發明屬于網絡安全監控技術領域，具體涉及一種基于國家編號的數據包 檢測方法。

背景技術

日前，網絡數據包千變萬化，針對網絡數據包的檢測方法也層出不窮。

1.現在的網絡安全行為，主要是某些敏感國家想通過一系列的攻擊手段， 竊取我國信息，或者使我國的某些關鍵業務不能正常運行。信息時代國與國的 競爭日益劇烈，網絡信息的保護變得尤為重要，而某些國家想通過一系列的攻 擊手段獲取敏感信息。某些復雜的攻擊手段可能偽造IP地址，那么網絡中存 在的可疑通訊有兩種方式。一：利用自身IP偽造特征進行攻擊；二：偽造IP (偽造的IP地址國家編號是在網絡通訊中非常罕見的國家)進行攻擊。

2.根據業界描述傳統的檢測方法，可以叫做“有的放矢”，同理，這種檢 測方法，只能針對當前發現的某種固定特征的網絡安全行為進行檢測。如果有 點新的攻擊行為發生，并不能馬上配置進行檢測，需要編碼人員經過編碼才能 實現新行為的檢測。

本發明，能針對敏感國家由用戶配置相應的數據包內容特征進行立刻的檢 測，主要是利用國家+數據包內容特征進行檢測。

發明內容

為了克服現有技術的上述缺點，本發明提供了一種基于國家編號的數據包 檢測方法。

本發明解決其技術問題所采用的技術方案是：一種基于國家編號的數據包 檢測方法，包括如下步驟：

步驟一、提取出數據包的源和目標IP的國家編號；

步驟二、遍歷取出完整檢測規則；

步驟三、判斷遍歷是否完成：如果是，則檢測失敗，返回步驟一；如果否， 則進入步驟四；

步驟四、判斷步驟一提取出的國家編號是否和配置的國家編號一致：如果 否，則返回步驟二；如果是，則進入步驟五；

步驟五、解碼并提取檢測規則的數據包檢測內容；

步驟六、判斷待檢測的數據包內容是否與檢測規則的數據包內容規則匹 配：如果否，則返回步驟二；如果是，則檢測成功。

與現有技術相比，本發明的積極效果是：可以使用GeoIP查詢網絡數據包 IP地址的國家編號，然后提供基于數據包內容的配置檢測方法(如：數據包長 度<64)，就可以實現對某些國家的特殊數據包做檢測，對網絡的安全進行監控。 本發明是基于國家分組規則進行數據包的檢測，使用者可以通過自定義要判斷 數據包的哪些內容來對網絡安全進行檢測。

附圖說明

本發明將通過例子并參照附圖的方式說明，其中：

圖1是本發明的檢測流程圖。

具體實施方式

一種基于國家編號的數據包檢測方法，如圖1所示，包括如下步驟：

步驟一、提取出數據包的源和目標IP的國家編號：

用戶自定義需要重點關注的國家名稱和相應需要檢測的數據包內容檢測 規則。然后根據GeoIP(ip地址地理位置庫)提供的國家編號信息，查詢出源 和目標IP的國家編號。

GeoIP是一款查詢IP地址地理位置信息的開源庫，它能查詢出IP地址對 應的國家編號，并且定義了國家名稱和國家編號的對應關系。所以我們只需要 提供IP地址，就能查詢到該IP地址所在國家名稱。

步驟二、遍歷取出完整檢測規則(數據包國家編號和數據包內容檢測規 則)；

數據包內容規則是基于對數據包解碼關鍵字得來的。比如對數據包解碼能 得到TCP數據包的SYN標志位，端口，IP地址等，能從界面中獲取到內容數據。 基于這種關鍵字，可以配置相關的條件(如端口等于80等)作為自定義的檢 測規則。(數據包內容規則是通過數據包本身，從數據包中能獲取的信息，用 戶可以通過判斷這些信息是否對國家安全有危害而定義相應的數據包內容規 則。)

步驟三、判斷遍歷是否完成：如果是，則檢測失敗，返回步驟一；如果否， 則進入步驟四；

步驟四、判斷步驟一提取出的國家編號是否和配置的國家編號一致(源和 目標國家編號滿足其一即可)：如果否，則返回步驟二；如果是，則進入步驟 五；

所述國家編號規則是：采用0～255的整數來表示不同的國家。

步驟五、解碼并提取檢測規則的數據包檢測內容：

此處專利使用者可以自定義支持的方法表達式。如支持“與”“或”，四則 運算，比較符等。如：端口>80與數據包長度<128。

步驟六、判斷待檢測的數據包內容是否與檢測規則的數據包內容規則匹 配：如果否，則返回步驟二；如果是，則檢測成功。