本申請?zhí)峁┮环N基于TCP分段的入侵防御檢測方法及裝置，所述方法應(yīng)用于交換設(shè)備，所述交換設(shè)備搭載了入侵防御系統(tǒng)；所述入侵防御系統(tǒng)包括對應(yīng)不同的入侵防御策略的若干子系統(tǒng)；所述方法包括：通過TCP會(huì)話接收到首個(gè)分段報(bào)文時(shí)，迭代執(zhí)行以下步驟，直到所述若干子系統(tǒng)均完成對所述TCP會(huì)話的入侵防御檢測：從所述若干子系統(tǒng)中確定目標(biāo)子系統(tǒng)，并查找預(yù)設(shè)深度表，確定與所述目標(biāo)子系統(tǒng)和所述分段報(bào)文的會(huì)話方向?qū)?yīng)的深度值N；其中，所述預(yù)設(shè)深度表包括所述入侵防御系統(tǒng)中的子系統(tǒng)、分段報(bào)文的會(huì)話方向與深度值N的對應(yīng)關(guān)系；基于所述目標(biāo)子系統(tǒng)對所述TCP會(huì)話的所述會(huì)話方向上的前N個(gè)分段報(bào)文進(jìn)行入侵防御檢測。

技術(shù)領(lǐng)域

本申請涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于TCP分段的入侵防御檢測方法及裝置。

背景技術(shù)

當(dāng)傳輸層采用TCP協(xié)議進(jìn)行報(bào)文傳輸時(shí)，通常用MSS(Max Segment Size，最大分段大小)值來表示通過TCP連接傳輸?shù)膱?bào)文的最大分段大小。例如，IPv4協(xié)議中常規(guī)MSS值為1460，IPv6協(xié)議中常規(guī)MSS值為1440。類似的，當(dāng)數(shù)據(jù)鏈路層進(jìn)行報(bào)文傳輸時(shí)，通常用MTU(Maximum Transmission Unit，最大傳輸單元)值來表示數(shù)據(jù)鏈路層中傳輸?shù)囊蕴W(wǎng)幀的最大傳輸單元。

其中，當(dāng)傳輸層中傳輸?shù)膱?bào)文的大小符合上述MSS值時(shí)，數(shù)據(jù)鏈路層中傳輸?shù)囊蕴W(wǎng)幀的大小通常也符合上述MTU值；因此，為了確保數(shù)據(jù)鏈路層中傳輸?shù)囊蕴W(wǎng)幀的大小符合數(shù)據(jù)鏈路層的MTU值，通常可以提前在傳輸層按照TCP連接的MSS值，對報(bào)文進(jìn)行TCP分段。

在實(shí)際應(yīng)用中，交換設(shè)備搭載的IPS(Intrusion Prevention System，入侵防御系統(tǒng))對TCP會(huì)話進(jìn)行入侵防御檢測；如果與被檢測的TCP會(huì)話對應(yīng)的TCP連接的MSS值過小，則通過上述TCP會(huì)話接收到的報(bào)文，會(huì)被TCP分段為過多的分段報(bào)文。在這種情況下，交換設(shè)備搭載的IPS需要對各個(gè)分段報(bào)文分別進(jìn)行入侵防御檢測，勢必導(dǎo)致交換設(shè)備的入侵防御檢測性能和報(bào)文傳輸性能降低。

發(fā)明內(nèi)容

有鑒于此，本申請?zhí)峁┮环N基于TCP分段的入侵防御檢測方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，以解決在交換設(shè)備中搭載的IPS對通過TCP會(huì)話接收到的分段報(bào)文進(jìn)行入侵防御檢測的場景中，交換設(shè)備的入侵防御檢測性能和報(bào)文傳輸性能降低的問題。

本申請?zhí)峁┮环N基于TCP分段的入侵防御檢測方法，所述方法應(yīng)用于交換設(shè)備，所述交換設(shè)備搭載了入侵防御系統(tǒng)；所述入侵防御系統(tǒng)包括對應(yīng)不同的入侵防御策略的若干子系統(tǒng)；所述方法包括：

通過TCP會(huì)話接收到首個(gè)分段報(bào)文時(shí)，迭代執(zhí)行以下步驟，直到所述若干子系統(tǒng)均完成對所述TCP會(huì)話的入侵防御檢測：

從所述若干子系統(tǒng)中確定目標(biāo)子系統(tǒng)，并查找預(yù)設(shè)深度表，確定與所述目標(biāo)子系統(tǒng)和所述分段報(bào)文的會(huì)話方向?qū)?yīng)的深度值N；其中，所述預(yù)設(shè)深度表包括所述入侵防御系統(tǒng)中的子系統(tǒng)、分段報(bào)文的會(huì)話方向與深度值N的對應(yīng)關(guān)系；

基于所述目標(biāo)子系統(tǒng)對所述TCP會(huì)話的所述會(huì)話方向上的前N個(gè)分段報(bào)文進(jìn)行入侵防御檢測。

可選的，所述預(yù)設(shè)深度表還包括分段報(bào)文的傳輸協(xié)議與所述入侵防御系統(tǒng)中的子系統(tǒng)、分段報(bào)文的會(huì)話方向、深度值N的對應(yīng)關(guān)系；

所述查找預(yù)設(shè)深度表，確定與所述目標(biāo)子系統(tǒng)和所述分段報(bào)文的會(huì)話方向?qū)?yīng)的深度值N，包括：

查找所述預(yù)設(shè)深度表，確定與所述分段報(bào)文的傳輸協(xié)議、所述目標(biāo)子系統(tǒng)和所述分段報(bào)文的會(huì)話方向?qū)?yīng)的深度值N。

可選的，所述方法還包括：

檢測所述TCP會(huì)話的MSS值是否小于與所述目標(biāo)子系統(tǒng)對應(yīng)的默認(rèn)MSS值；其中，所述入侵防御系統(tǒng)中不同的子系統(tǒng)分別對應(yīng)不同的默認(rèn)MSS值；