本發(fā)明實(shí)施例提供了一種報(bào)文處理方法及裝置，應(yīng)用于深度報(bào)文檢測(cè)設(shè)備中，該方法包括：接收SYN報(bào)文；利用PBAR識(shí)別所述SYN報(bào)文所屬的第一應(yīng)用；將所述第一應(yīng)用記錄為利用所述SYN報(bào)文建立的會(huì)話對(duì)應(yīng)的應(yīng)用，且標(biāo)記為無效；接收業(yè)務(wù)報(bào)文；若所述業(yè)務(wù)報(bào)文所屬的會(huì)話對(duì)應(yīng)的應(yīng)用標(biāo)記為無效，則利用NBAR識(shí)別所述業(yè)務(wù)報(bào)文所屬的第二應(yīng)用；在所述第二應(yīng)用為預(yù)設(shè)的指定應(yīng)用時(shí)，對(duì)基于所述業(yè)務(wù)報(bào)文所屬的會(huì)話發(fā)送的業(yè)務(wù)報(bào)文進(jìn)行數(shù)據(jù)過濾。應(yīng)用本發(fā)明實(shí)施例，可以提高設(shè)備間報(bào)文交互的安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及報(bào)文檢測(cè)技術(shù)領(lǐng)域，特別是涉及一種報(bào)文處理方法及裝置。

背景技術(shù)

深度報(bào)文檢測(cè)(DPI，Deep Packet Inspection)技術(shù)是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)，針對(duì)不同的網(wǎng)絡(luò)應(yīng)用層載荷，例如超文本傳輸協(xié)議(HTTP，HyperTextTransfer Protocol，)、域名系統(tǒng)(DNS，DomainNameSystem)等，進(jìn)行深度檢測(cè)，通過對(duì)報(bào)文的有效載荷檢測(cè)決定其合法性。深度報(bào)文檢測(cè)是入侵檢測(cè)系統(tǒng)(IDS，Intrusion DetectionSystems，)/入侵防御系統(tǒng)(IPS，Intrusion Prevention System，)、應(yīng)用識(shí)別、網(wǎng)絡(luò)監(jiān)控、內(nèi)容審計(jì)等應(yīng)用中的一項(xiàng)重要技術(shù)。

現(xiàn)有DPI設(shè)備有兩種識(shí)別應(yīng)用的方法，一種是基于端口的應(yīng)用識(shí)別(PBAR，PortBased Application Recognition)，其是根據(jù)端口與應(yīng)用的映射關(guān)系識(shí)別報(bào)文所屬的應(yīng)用，PBAR可以包括預(yù)定義PBAR和/或自定義PBAR，其中，預(yù)定義PBAR是根據(jù)預(yù)定義的端口與應(yīng)用的映射關(guān)系識(shí)別報(bào)文所屬的應(yīng)用，自定義PBAR是根據(jù)用戶自定義的端口與應(yīng)用的映射關(guān)系識(shí)別報(bào)文所屬的應(yīng)用；另一種是基于內(nèi)容特征的應(yīng)用識(shí)別(NBAR，Network BasedApplication Recognition)，其是從報(bào)文中提取報(bào)文特征，通過將提取出的報(bào)文特征與特征庫中的特征項(xiàng)進(jìn)行匹配來識(shí)別報(bào)文所屬的應(yīng)用。

PBAR通常用于識(shí)別TCP/IP協(xié)議中的用于三次握手的報(bào)文(如，SYN報(bào)文)所屬的應(yīng)用。NBAR通常用于識(shí)別在經(jīng)過三次握手成功建立會(huì)話后，基于該會(huì)話發(fā)送的業(yè)務(wù)報(bào)文所屬的應(yīng)用。DPI設(shè)備識(shí)別應(yīng)用的具體過程如下：

在DPI設(shè)備利用PBAR識(shí)別SYN報(bào)文所屬的應(yīng)用時(shí)，可分為兩種情況：

情況一，如果是利用預(yù)定義PBAR識(shí)別出來的，那么識(shí)別出來的應(yīng)用不添加到基于該SYN報(bào)文建立的會(huì)話對(duì)應(yīng)的會(huì)話信息中。在該會(huì)話建立成功后，接收到基于該會(huì)話發(fā)送的業(yè)務(wù)報(bào)文時(shí)，利用NBAR識(shí)別該業(yè)務(wù)報(bào)文所屬的應(yīng)用，然后將利用NBAR識(shí)別出來的應(yīng)用記錄在該會(huì)話對(duì)應(yīng)的會(huì)話信息中；

情況二，如果是利用自定義PBAR識(shí)別出來的，那么將識(shí)別出來的應(yīng)用添加到基于該SYN報(bào)文建立的會(huì)話對(duì)應(yīng)的會(huì)話信息中。這樣，在該會(huì)話建立成功后，接收到基于該會(huì)話發(fā)送的業(yè)務(wù)報(bào)文時(shí)，不會(huì)利用NBAR對(duì)該業(yè)務(wù)報(bào)文進(jìn)行應(yīng)用識(shí)別。這是因?yàn)椋ǔＧ闆r下自定義PBAR的優(yōu)先級(jí)高于NBAR，所以如果該SYN報(bào)文所屬的應(yīng)用是利用自定義PBAR識(shí)別出來的，則不會(huì)再利用NBAR識(shí)別基于該會(huì)話發(fā)送的業(yè)務(wù)報(bào)文所屬的應(yīng)用。

然而，DPI設(shè)備只對(duì)利用NBAR識(shí)別出應(yīng)用的業(yè)務(wù)報(bào)文進(jìn)行數(shù)據(jù)過濾，也就是說，DPI設(shè)備無法對(duì)基于上述情況二中建立的會(huì)話發(fā)送的業(yè)務(wù)報(bào)文進(jìn)行數(shù)據(jù)過濾。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例的目的在于提供一種報(bào)文處理方法及裝置，以提高設(shè)備間報(bào)文交互的安全性。具體技術(shù)方案如下：

第一方面，本發(fā)明實(shí)施例提供了一種報(bào)文處理方法，應(yīng)用于深度報(bào)文檢測(cè)設(shè)備中，該方法包括：

接收SYN報(bào)文；

利用PBAR識(shí)別所述SYN報(bào)文所屬的第一應(yīng)用；

將所述第一應(yīng)用記錄為利用所述SYN報(bào)文建立的會(huì)話對(duì)應(yīng)的應(yīng)用，且標(biāo)記為無效；