一种基于国家编号的数据包检测方法
一种基于国家编号的数据包检测方法
【技术领域】
[0001]本发明属于网络安全监控技术领域,具体涉及一种基于国家编号的数据包检测方法。
【背景技术】
[0002]日前,网络数据包千变万化,针对网络数据包的检测方法也层出不穷。
[0003]1.现在的网络安全行为,主要是某些敏感国家想通过一系列的攻击手段,窃取我国信息,或者使我国的某些关键业务不能正常运行。信息时代国与国的竞争日益剧烈,网络信息的保护变得尤为重要,而某些国家想通过一系列的攻击手段获取敏感信息。某些复杂的攻击手段可能伪造IP地址,那么网络中存在的可疑通讯有两种方式。一:利用自身IP伪造特征进行攻击;二:伪造IP(伪造的IP地址国家编号是在网络通讯中非常罕见的国家)进行攻击。
[0004]2.根据业界描述传统的检测方法,可以叫做“有的放矢”,同理,这种检测方法,只能针对当前发现的某种固定特征的网络安全行为进行检测。如果有点新的攻击行为发生,并不能马上配置进行检测,需要编码人员经过编码才能实现新行为的检测。
[0005]本发明,能针对敏感国家由用户配置相应的数据包内容特征进行立刻的检测,主要是利用国家+数据包内容特征进行检测。
【发明内容】
[0006]为了克服现有技术的上述缺点,本发明提供了一种基于国家编号的数据包检测方法。
[0007]本发明解决其技术问题所采用的技术方案是:一种基于国家编号的数据包检测方法,包括如下步骤:
[0008]步骤一、提取出数据包的源和目标IP的国家编号;
[0009]步骤二、遍历取出完整检测规则;
[0010]步骤三、判断遍历是否完成:如果是,则检测失败,返回步骤一;如果否,则进入步骤四;
[0011]步骤四、判断步骤一提取出的国家编号是否和配置的国家编号一致:如果否,则返回步骤二;如果是,则进入步骤五;
[0012]步骤五、解码并提取检测规则的数据包检测内容;
[0013]步骤六、判断待检测的数据包内容是否与检测规则的数据包内容规则匹配:如果否,则返回步骤二;如果是,则检测成功。
[0014]与现有技术相比,本发明的积极效果是:可以使用GeoIP查询网络数据包IP地址的国家编号,然后提供基于数据包内容的配置检测方法(如:数据包长度〈64),就可以实现对某些国家的特殊数据包做检测,对网络的安全进行监控。本发明是基于国家分组规则进行数据包的检测,使用者可以通过自定义要判断数据包的哪些内容来对网络安全进行检测。
【附图说明】
[0015]本发明将通过例子并参照附图的方式说明,其中:
[0016]图1是本发明的检测流程图。
【具体实施方式】
[0017]—种基于国家编号的数据包检测方法,如图1所示,包括如下步骤:
[0018]步骤一、提取出数据包的源和目标IP的国家编号:
[0019]用户自定义需要重点关注的国家名称和相应需要检测的数据包内容检测规则。然后根据GeoIP(ip地址地理位置库)提供的国家编号信息,查询出源和目标IP的国家编号。
[0020]GeoIP是一款查询IP地址地理位置信息的开源库,它能查询出IP地址对应的国家编号,并且定义了国家名称和国家编号的对应关系。所以我们只需要提供IP地址,就能查询到该IP地址所在国家名称。
[0021]步骤二、遍历取出完整检测规则(数据包国家编号和数据包内容检测规则);
[0022]数据包内容规则是基于对数据包解码关键字得来的。比如对数据包解码能得到TCP数据包的SYN标志位,端口,IP地址等,能从界面中获取到内容数据。基于这种关键字,可以配置相关的条件(如端口等于80等)作为自定义的检测规则。(数据包内容规则是通过数据包本身,从数据包中能获取的信息,用户可以通过判断这些信息是否对国家安全有危害而定义相应的数据包内容规则。)
[0023]步骤三、判断遍历是否完成:如果是,则检测失败,返回步骤一;如果否,则进入步骤四;
[0024]步骤四、判断步骤一提取出的国家编号是否和配置的国家编号一致(源和目标国家编号满足其一即可):如果否,则返回步骤二;如果是,则进入步骤五;
[0025]所述国家编号规则是:采用0?255的整数来表示不同的国家。
[0026]步骤五、解码并提取检测规则的数据包检测内容:
[0027]此处专利使用者可以自定义支持的方法表达式。如支持“与”“或”,四则运算,比较符等。如:端口 >80与数据包长度〈128。
[0028]步骤六、判断待检测的数据包内容是否与检测规则的数据包内容规则匹配:如果否,则返回步骤二;如果是,则检测成功。
【主权项】
1.一种基于国家编号的数据包检测方法,其特征在于:包括如下步骤: 步骤一、提取出数据包的源和目标IP的国家编号; 步骤二、遍历取出完整检测规则; 步骤三、判断遍历是否完成:如果是,则检测失败,返回步骤一;如果否,则进入步骤四; 步骤四、判断步骤一提取出的国家编号是否和配置的国家编号一致:如果否,则返回步骤二;如果是,则进入步骤五; 步骤五、解码并提取检测规则的数据包检测内容; 步骤六、判断待检测的数据包内容是否与检测规则的数据包内容规则匹配:如果否,则返回步骤二;如果是,则检测成功。2.根据权利要求1所述的一种基于国家编号的数据包检测方法,其特征在于:所述完整检测规则包括数据包国家编号规则和数据包内容检测规则。3.根据权利要求2所述的一种基于国家编号的数据包检测方法,其特征在于:所述国家编号规则是:采用0?255的整数来表示不同的国家。4.根据权利要求2所述的一种基于国家编号的数据包检测方法,其特征在于:所述数据包内容检测规则是基于对数据包解码关键字得来的。5.根据权利要求1所述的一种基于国家编号的数据包检测方法,其特征在于:步骤四所述步骤一提取出的国家编号和配置的国家编号一致的判断标准是:源和目标国家编号满足其一则视为一致。
【专利摘要】本发明公开了一种基于国家编号的数据包检测方法,通过提取出数据包的源和目标IP的国家编号;遍历取出完整检测规则;判断遍历是否完成:如果是,则检测失败;如果否,则判断步骤一提取出的国家编号是否和配置的国家编号一致,如果一致,则解码并提取检测规则的数据包检测内容;判断待检测的数据包内容是否与检测规则的数据包内容规则匹配,如果匹配,则检测成功。本发明的积极效果是:可以使用GeoIP查询网络数据包IP地址的国家编号,然后提供基于数据包内容的配置检测方法,就可以实现对某些国家的特殊数据包做检测,对网络的安全进行监控。
【IPC分类】H04L29/06
【公开号】CN105491014
【申请号】CN201510815455
【发明人】罗鹰, 王伟旭, 林康
【申请人】成都科来软件有限公司
【公开日】2016年4月13日
【申请日】2015年11月20日
【技术领域】
[0001]本发明属于网络安全监控技术领域,具体涉及一种基于国家编号的数据包检测方法。
【背景技术】
[0002]日前,网络数据包千变万化,针对网络数据包的检测方法也层出不穷。
[0003]1.现在的网络安全行为,主要是某些敏感国家想通过一系列的攻击手段,窃取我国信息,或者使我国的某些关键业务不能正常运行。信息时代国与国的竞争日益剧烈,网络信息的保护变得尤为重要,而某些国家想通过一系列的攻击手段获取敏感信息。某些复杂的攻击手段可能伪造IP地址,那么网络中存在的可疑通讯有两种方式。一:利用自身IP伪造特征进行攻击;二:伪造IP(伪造的IP地址国家编号是在网络通讯中非常罕见的国家)进行攻击。
[0004]2.根据业界描述传统的检测方法,可以叫做“有的放矢”,同理,这种检测方法,只能针对当前发现的某种固定特征的网络安全行为进行检测。如果有点新的攻击行为发生,并不能马上配置进行检测,需要编码人员经过编码才能实现新行为的检测。
[0005]本发明,能针对敏感国家由用户配置相应的数据包内容特征进行立刻的检测,主要是利用国家+数据包内容特征进行检测。
【发明内容】
[0006]为了克服现有技术的上述缺点,本发明提供了一种基于国家编号的数据包检测方法。
[0007]本发明解决其技术问题所采用的技术方案是:一种基于国家编号的数据包检测方法,包括如下步骤:
[0008]步骤一、提取出数据包的源和目标IP的国家编号;
[0009]步骤二、遍历取出完整检测规则;
[0010]步骤三、判断遍历是否完成:如果是,则检测失败,返回步骤一;如果否,则进入步骤四;
[0011]步骤四、判断步骤一提取出的国家编号是否和配置的国家编号一致:如果否,则返回步骤二;如果是,则进入步骤五;
[0012]步骤五、解码并提取检测规则的数据包检测内容;
[0013]步骤六、判断待检测的数据包内容是否与检测规则的数据包内容规则匹配:如果否,则返回步骤二;如果是,则检测成功。
[0014]与现有技术相比,本发明的积极效果是:可以使用GeoIP查询网络数据包IP地址的国家编号,然后提供基于数据包内容的配置检测方法(如:数据包长度〈64),就可以实现对某些国家的特殊数据包做检测,对网络的安全进行监控。本发明是基于国家分组规则进行数据包的检测,使用者可以通过自定义要判断数据包的哪些内容来对网络安全进行检测。
【附图说明】
[0015]本发明将通过例子并参照附图的方式说明,其中:
[0016]图1是本发明的检测流程图。
【具体实施方式】
[0017]—种基于国家编号的数据包检测方法,如图1所示,包括如下步骤:
[0018]步骤一、提取出数据包的源和目标IP的国家编号:
[0019]用户自定义需要重点关注的国家名称和相应需要检测的数据包内容检测规则。然后根据GeoIP(ip地址地理位置库)提供的国家编号信息,查询出源和目标IP的国家编号。
[0020]GeoIP是一款查询IP地址地理位置信息的开源库,它能查询出IP地址对应的国家编号,并且定义了国家名称和国家编号的对应关系。所以我们只需要提供IP地址,就能查询到该IP地址所在国家名称。
[0021]步骤二、遍历取出完整检测规则(数据包国家编号和数据包内容检测规则);
[0022]数据包内容规则是基于对数据包解码关键字得来的。比如对数据包解码能得到TCP数据包的SYN标志位,端口,IP地址等,能从界面中获取到内容数据。基于这种关键字,可以配置相关的条件(如端口等于80等)作为自定义的检测规则。(数据包内容规则是通过数据包本身,从数据包中能获取的信息,用户可以通过判断这些信息是否对国家安全有危害而定义相应的数据包内容规则。)
[0023]步骤三、判断遍历是否完成:如果是,则检测失败,返回步骤一;如果否,则进入步骤四;
[0024]步骤四、判断步骤一提取出的国家编号是否和配置的国家编号一致(源和目标国家编号满足其一即可):如果否,则返回步骤二;如果是,则进入步骤五;
[0025]所述国家编号规则是:采用0?255的整数来表示不同的国家。
[0026]步骤五、解码并提取检测规则的数据包检测内容:
[0027]此处专利使用者可以自定义支持的方法表达式。如支持“与”“或”,四则运算,比较符等。如:端口 >80与数据包长度〈128。
[0028]步骤六、判断待检测的数据包内容是否与检测规则的数据包内容规则匹配:如果否,则返回步骤二;如果是,则检测成功。
【主权项】
1.一种基于国家编号的数据包检测方法,其特征在于:包括如下步骤: 步骤一、提取出数据包的源和目标IP的国家编号; 步骤二、遍历取出完整检测规则; 步骤三、判断遍历是否完成:如果是,则检测失败,返回步骤一;如果否,则进入步骤四; 步骤四、判断步骤一提取出的国家编号是否和配置的国家编号一致:如果否,则返回步骤二;如果是,则进入步骤五; 步骤五、解码并提取检测规则的数据包检测内容; 步骤六、判断待检测的数据包内容是否与检测规则的数据包内容规则匹配:如果否,则返回步骤二;如果是,则检测成功。2.根据权利要求1所述的一种基于国家编号的数据包检测方法,其特征在于:所述完整检测规则包括数据包国家编号规则和数据包内容检测规则。3.根据权利要求2所述的一种基于国家编号的数据包检测方法,其特征在于:所述国家编号规则是:采用0?255的整数来表示不同的国家。4.根据权利要求2所述的一种基于国家编号的数据包检测方法,其特征在于:所述数据包内容检测规则是基于对数据包解码关键字得来的。5.根据权利要求1所述的一种基于国家编号的数据包检测方法,其特征在于:步骤四所述步骤一提取出的国家编号和配置的国家编号一致的判断标准是:源和目标国家编号满足其一则视为一致。
【专利摘要】本发明公开了一种基于国家编号的数据包检测方法,通过提取出数据包的源和目标IP的国家编号;遍历取出完整检测规则;判断遍历是否完成:如果是,则检测失败;如果否,则判断步骤一提取出的国家编号是否和配置的国家编号一致,如果一致,则解码并提取检测规则的数据包检测内容;判断待检测的数据包内容是否与检测规则的数据包内容规则匹配,如果匹配,则检测成功。本发明的积极效果是:可以使用GeoIP查询网络数据包IP地址的国家编号,然后提供基于数据包内容的配置检测方法,就可以实现对某些国家的特殊数据包做检测,对网络的安全进行监控。
【IPC分类】H04L29/06
【公开号】CN105491014
【申请号】CN201510815455
【发明人】罗鹰, 王伟旭, 林康
【申请人】成都科来软件有限公司
【公开日】2016年4月13日
【申请日】2015年11月20日
最新回复(0)