CN108924159A - 一种报文特征识别库的验证方法与装置 - Google Patents
一种报文特征识别库的验证方法与装置 Download PDFInfo
- Publication number
- CN108924159A CN108924159A CN201810858120.3A CN201810858120A CN108924159A CN 108924159 A CN108924159 A CN 108924159A CN 201810858120 A CN201810858120 A CN 201810858120A CN 108924159 A CN108924159 A CN 108924159A
- Authority
- CN
- China
- Prior art keywords
- message
- application
- characteristic
- verified
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供一种报文特征识别库的验证方法,所述方法应用于测试设备,所述测试设备可经网关设备和应用服务器通信,所述方法包括:基于待验证的特征识别库中的应用报文特征生成对应的报文匹配规则,其中该报文匹配规则包括应用报文特征以及阻断动作;将该报文匹配规则配置到网关设备;基于特征识别库中的应用标识触发对应的应用向所述应用服务器发送应用请求报文,并缓存所述应用请求报文;若收到所述应用服务器的应用回应报文,则确定该应用请求报文或应用回应报文所对应的应用报文特征的验证结果为未通过。应用本公开实施例可以实现在海量报文特征识别库需要被验证的场景下,提高验证效率,减少测试人员的工作量。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种报文特征识别库的验证方法与装置。
背景技术
随着IT(Information Technology,信息技术)行业的不断发展,对网络设备的需求越来越多。客户对网络设备的安全性、可管理性提出了越来越高的要求。在这种时代背景下,DPI:即DPI(Deep Packet Inspection)深度包检测技术应运而生,网关设备通过该技术,实现入侵检测、防病毒、防攻击等多种功能,可以为企业和用户提供全面、灵活的网络应用管理,基于DPI技术,根据报文特征识别对应应用,通过分析应用访问行为,可提供针对应用访问控制功能,例如针对P2P下载、即时通讯、远程控制、网络游戏、网络电视、代理服务、社交等应用,可根据需求设置阻止其网络访问或者允许其网络访问,从而有效管控网络资源和用户网络行为。
然而,伴随互联网经过十几年的高速发展,当下存在海量的应用程序,并且应用程序版本及后台应用服务器版本,也在不断迭代和更新,这就导致应用的报文特征也不断变化增多,通过人工配置报文匹配规则,定期检查的验证海量应用的报文特征识别库,效率低下并且容易出错。
发明内容
有鉴于此,本申请提供一种报文特征识别库的验证方法与装置,用以解决在海量的应用程序及其版本的场景下,通过人工定期检查报文特征识别库,存在效率低下并且容易出错的问题。
具体地,本申请是通过如下技术方案实现的:
本公开第一方面,一种报文特征识别库的验证方法,所述方法应用于测试设备,所述测试设备可经网关设备和应用服务器通信,包括:
所述测试设备,基于待验证的特征识别库中的应用报文特征生成对应的报文匹配规则,其中该报文匹配规则包括应用报文特征以及阻断动作;将该报文匹配规则配置到网关设备;基于特征识别库中的应用标识触发对应的应用向所述应用服务器发送应用请求报文,并缓存所述应用请求报文;若收到所述应用服务器的应用回应报文,则确定该应用请求报文或应用回应报文所对应的应用报文特征的验证结果为未通过。
结合第一方面,在第一种可能的实现方式中,其中所述应用基于C/S架构或B/S架构,基于所述应用标识触发该应用向所述应用服务器发送应用请求报文,还包括:
若所述应用为C/S架构,所述测试设备则基于所述应用,获取并更新其对应客户端程序的最新版本;
若所述应用为B/S架构,所述测试设备则基于所述应用提供的URL地址;其中所述发送应用请求报文具体包括:按照预定周期,访问所述URL地址的应用请求报文。
结合第一方面,在第二种可能的实现方式中,其中若收到所述应用服务器的应用回应报文,还包括:
所述测试设备缓存所述应用请求报文所对应的应用回应报文;
所述测试设备获取包含所述待验证应用报文特征的报文匹配规则;
所述测试设备基于已缓存应用报文与所述报文匹配规则的待验证应用报文特征对比,提取特征差异并保存记录。
结合第一方面的第二种可能的实现方式,在第三种可能的实现方式中,其中所述提取特征差异,包括:
所述测试设备基于待验证应用报文特征的相应协议属性,获取所述已缓存应用报文中对应存在内容差异的起止位置,其中所述协议属性至少包括协议类型、协议版本、协议方法、状态码、状态信息中的一种或多种的组合。
结合第一方面的第三种可能的实现方式,在第四种可能的实现方式中,还包括:
所述测试设备若未收到所述应用服务器的应用回应报文,且在报文匹配规则未配置到网关设备或者被取消的情况下能收到应用服务器的应用回应报文,则确定该待验证的应用报文特征的验证结果为通过,释放缓存中对应的应用请求报文;否则验证结果为待定。
本公开第二方面,提供一种报文特征识别库的验证装置,所述装置应用于测试设备,所述测试设备可经网关设备和应用服务器通信,该装置包括:
配置模块,基于待验证的特征识别库中的应用报文特征生成对应的报文匹配规则,其中该报文匹配规则包括应用报文特征以及阻断动作;将该报文匹配规则配置到网关设备;
检测模块,基于特征识别库中的应用标识触发对应的应用向所述应用服务器发送应用请求报文,并缓存所述应用请求报文;若收到所述应用服务器的应用回应报文,则确定该应用请求报文或应用回应报文所对应的应用报文特征的验证结果为未通过。
结合第二方面,在第一种可能的实现方式中,其中所述应用基于C/S架构或B/S架构,基于所述应用标识触发该应用向所述应用服务器发送应用请求报文,所述装置还包括:
若所述应用为C/S架构,所述配置模块,则基于所述应用,获取并更新其对应客户端程序的最新版本;
若所述应用为B/S架构,所述配置模块,则基于所述应用提供的URL地址;其中所述发送应用请求报文具体包括:按照预定周期,访问所述URL地址的应用请求报文。
结合第二方面,在第二种可能的实现方式中,其中若收到所述应用服务器的应用回应报文,所述装置还包括:
所述检测模块,缓存所述应用请求报文所对应的应用回应报文;
所述配置模块,获取包含所述待验证应用报文特征的报文匹配规则;
所述检测模块,基于已缓存应用报文与所述报文匹配规则的待验证应用报文特征对比,提取特征差异并保存记录。
结合第二方面的第二种可能的实现方式,在第三种可能的实现方式中,其中所述提取特征差异,所述装置包括:
所述检测模块,基于待验证应用报文特征的相应协议属性,获取所述已缓存应用报文中对应存在内容差异的起止位置,其中所述协议属性至少包括协议类型、协议版本、协议方法、状态码、状态信息中的一种或多种的组合。
结合第二方面的第三种可能的实现方式,在第四种可能的实现方式中,所述装置还包括:
所述检测模块,若未收到所述应用服务器的应用回应报文,且在报文匹配规则未配置到网关设备或者被取消的情况下能收到应用服务器的应用回应报文,则确定该待验证的应用报文特征的验证结果为通过,释放缓存中对应的应用请求报文;否则验证结果为待定。
本公开第三方面,提供一种数据处理装置,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接。所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行前述的方法。
本公开第四方面,提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现本公开第一方面所述的方法。
本公开中,提供一种报文特征识别库的验证方法应用于测试设备,测试设备可经网关设备和应用服务器通信,该方法包括:基于待验证的特征识别库中的应用报文特征生成对应的报文匹配规则,其中该报文匹配规则包括应用报文特征以及阻断动作;将该报文匹配规则配置到网关设备;基于特征识别库中的应用标识触发对应的应用向所述应用服务器发送应用请求报文,并缓存所述应用请求报文;若收到所述应用服务器的应用回应报文,则确定该应用请求报文或应用回应报文所对应的应用报文特征的验证结果为未通过。应用本公开实施例可以实现在海量报文特征识别库需要被验证的场景下,提高验证效率,减少测试人员的工作量。
附图说明
图1是本公开实施例提供的测试组网示意图;
图2是本公开实施例提供的报文特征识别库验证方法流程图;
图3是本公开实施例提供的报文特征识别库验证交互过程示意图;
图4是本公开提供的装置功能模块框图;
图5是本公开提供的图4所示装置的硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了使本技术领域的人员更好地理解本公开实施例中的技术方案,下面先对本公开实施例适用的***架构进行简单说明。
请参见图1所示例的测试组网,该组网包括测试设备、待测的网关设备即DUT(Device Under Test)以及位于互联网的多个不同应用的应用服务器,其中测试设备可经网关设备和位于互联网的多个应用服务器通信,图1中仅仅示例了一台DUT设备,但事实上一个测试环境可以存在更多DUT设备。换一个角度来说,在测试环境中,一个测试设备可以验证测试多台DUT设备,这依赖于组网设备环境需要及管理员的手动设定。请参见图1所示的多个应用服务器,可以是某个应用程序对应的应用服务器,比如支付宝APP的后台服务器,也可以一个网站服务器,比如www.***.com网址对应的Web服务器,具体应用种类很多,不再一一枚举。
在测试环境搭建好后,通常测试过程包括:首先测试人员获取到最新的报文特征识别库文件,然后手工通过命令行或Web等远程方式,连接上DUT设备,上传最新的报文特征识别库,之后通过命令行或Web配置应用报文特征的报文匹配规则。所述报文匹配规则,就是针对某个应用的一条报文特征匹配后,DUT执行的操作,具体可以是阻断即禁止该报文通过或允许该报文通过,最后测试人员在测试设备上手工下载应用的最新APP或者访问Web网址,手工操作触发应用的某个操作业务,比如登录QQ、微信、访问新浪网站。以上应用操作对应触发的报文会经过DUT(待测网关设备)发送到相应位于互联网的应用服务器。如果配置某个应用的一个操作禁止,比如禁止QQ登录,则DUT根据配置的报文匹配规则,识别报文,如果识别到QQ登录报文,则验证当前报文特征有效,此时用户无法登录QQ成功;如果过未识别到QQ登录报文,则验证当前报文特征失效。针对失效的情况,需要用户再手工去通过抓包工具,比如TcpDump或WireShark,重新构造一次测试场景,再进行报文捕获。
然而,伴随互联网经过十几年的高速发展,当下存在海量的应用程序,并且应用程序版本及后台应用服务器版本,也在不断迭代和更新,这就导致即使单个应用的报文特征也不断变化增多,以数十数百计,如果是海量应用的报文特征就会更多,通过人工配置报文匹配规则,定期检查的验证海量应用的报文特征识别库及手工重复测试捕获特征失效报文,效率低下并且容易出错。
本公开提供的一种报文特征识别库的验证方法,应用于测试设备,其可经网关设备和应用服务器通信,其通过自动更新特征识别库,自动配置报文匹配规则及默认阻断的验证方式大幅度提高验证效率,减少测试人员的工作量,为实现本公开提供的方法,下面结合附图对本公开实施例中技术方案作进一步详细的说明。请参见图2,为本公开提供的报文特征识别库验证处理过程的方法流程图,可包括以下步骤:
步骤201、测试设备基于待验证的特征识别库中的应用报文特征生成对应的报文匹配规则,其中该报文匹配规则包括应用报文特征以及阻断动作,请参见表1示例:
| 序号 | 应用报文特征 | 应用标识 | 匹配动作 |
| 1 | 例如:支付宝登录报文特征 | 例如:支付宝 | 例如:阻断 |
| 2 | 例如:支付宝支付报文特征 | 例如:支付宝 | 例如:阻断 |
表1
一个应用比如支付宝,在业务执行过程中,可以触发多个应用报文,针对包含一个应用及其多个应用报文特征或多个应用及其每个应用的多个报文特征的集合,称之为特征识别库。针对特征识别库中的每个应用特征,所配置对应匹配后执行动作,参见表1示例的每一条记录,称之为报文匹配规则。
步骤202、测试设备将上述该报文匹配规则配置到网关设备。
步骤203、测试设备基于特征识别库中的应用标识触发对应的应用向所述应用服务器发送应用请求报文,并缓存所述应用请求报文;若收到所述应用服务器的应用回应报文,则确定该应用请求报文或应用回应报文所对应的应用报文特征的验证结果为未通过。
至此,完成图2所示的流程。
通过图2所示的流程可以看出,测试设备基于待验证的特征识别库中的应用报文特征生成对应的报文匹配规则,其中该报文匹配规则包括应用报文特征以及阻断动作;将该报文匹配规则配置到网关设备;基于特征识别库中的应用标识触发对应的应用向所述应用服务器发送应用请求报文,并缓存所述应用请求报文;若收到所述应用服务器的应用回应报文,则确定该应用请求报文或应用回应报文所对应的应用报文特征的验证结果为未通过。应用本公开实施例可以实现在海量报文特征识别库需要被验证的场景下,提高验证效率,减少测试人员的工作量。
更具体来说,测试设备触发某个应用请求报文,若收到所述应用服务器的应用回应报文,则确定该待验证的应用报文特征的验证结果为未通过,并且预先缓存应用请求及应用回应报文,用于后续识别失效报文特征收集及分析,通过上述机制可以有效规避海量报文特征验证时,需要手工配置多种报文匹配规则,配置繁琐,导致效率低下和易出错的问题。
为了使本领域技术人员更好地理解本公开实施例提供的技术方案,下面结合具体应用场景对本公开实施例提供的技术方案进行说明。请参见图3,为本公开实施例提供的一种报文特征识别库验证检测过程示意图。
测试设备,假设其进行以下配置以及具备以下初始条件:
1)测试设备IP地址及掩码为192.168.1.100/24。
2)待验证的特征识别库ToVeryFID(特征识别库FID:Feature IdentificationData),存放在固定位置,比如共享文件夹ShareFolder目录下。
3)待验证的特征识别库ToVeryFID,包含多条待验证的特征,请参见表2示例:
| 序号 | 应用报文特征 | 应用标识 |
| 1 | 支付宝登录报文特征 | 支付宝 |
| 2 | 支付宝支付报文特征 | 支付宝 |
| 3 | 支付宝转账报文特征 | 支付宝 |
| 4 | 天涯博客登录报文特征 | blog.tianya.cn |
| 5 | 天涯博客搜索报文特征 | blog.tianya.cn |
| 6 | 天涯博客发表博文报文特征 | blog.tianya.cn |
| 7 | 支付宝登录回应报文特征 | 支付宝 |
表2
其中,支付宝应用以及天涯博客网站对外提供应用接口,外部程序可以通过调用应用接口,实现业务操作,比如支付宝用户登录、转账及支付等。
网关设备(DUT),假设其进行以下配置以及具备以下初始条件:
1)网关设备具有双网络接入能力,其中和测试设备通信的IP地址及掩码为为192.168.1.200/24;和应用服务器通信的公网IP地址及掩码为115.197.242.100/24。
2)网关设备包含默认初始的特征识别库DefaultFID,并且没有任何报文匹配规则,即允许测试设备所有报文,经网关设备可以访问互联网。
3)网关设备支持对外提供命令行或Web访问接口。
应用服务器,假设其进行以下配置以及具备以下初始条件:
1)应用服务器位于互联网,其可以是一个网站后台服务器,比如www.***.com网址对应的Web服务器;也可以是某个应用程序对应的应用服务器,比如支付宝APP对应的后台服务器。
基于上述配置,测试设备可经网关设备和应用服务器通信,进行报文特征验证时,可以执行如图3所示的验证交互过程:
步骤S301、测试设备更新所述网关设备的特征识别库,包括:
a)测试设备从共享文件夹ShareFolder获取待验证的特征识别库ToVeryFID,通过网关设备支持对外提供命令行或Web访问接口,上传到网关设备,使其覆盖网关设备默认初始的特征识别库DefaultFID。
b)网关设备上更新后的特征识别库ToVeryFID至少包括一条待验证的应用报文特征,具体内容请参见表2示例。
在一种优选的方式中,本公开还提供了一种获取待验证应用版本的方法,保证测试环境中的待测应用版本及时得到更新。请参见表2示例,待验证的应用程序有两个:支付宝和天涯博客网站(blog.tianya.cn),其中支付宝应用为C/S架构,测试设备通过调用支付宝客户端的应用接口,获取并更新其客户端程序的最新版本,比如其最新版本的版本号10.1.25,后续则基于最新版本10.1.25的支付宝客户端,触发各种业务请求报文。
对于天涯博客网站(blog.tianya.cn)来说,该应用为B/S架构,由于测试设备无法通过类似支付宝应用那样的C/S架构更新客户端程序,所以测试设备则后续基于所述应用提供的URL地址即blog.tianya.cn,按照预定周期,比如为10秒,访问所述URL地址即blog.tianya.cn的网站服务,触发各种业务请求报文,用以保证触发业务时对应网站后台服务器的版本是最新的。
步骤S302、测试设备为网关设备配置至少一条报文匹配规则,其中该报文匹配规则包括待验证的应用报文特征,对应的应用标识以及阻断动作,其中所述阻断动作,就是针对某个应用的一条报文特征匹配后,DUT执行的操作即禁止该报文通过,请参见表3示例:
表3
测试设备为待验证的应用:支付宝和天涯博客网站(blog.tianya.cn),配置了相关应用报文特征的报文匹配规则,其中报文特征匹配识别后执行的动作都是阻断,其中的报文可以是应用请求报文,比如:支付宝用户登录请求报文,也可以是应用回应报文,比如:支付宝后台服务器针对用户登录的回应报文。
步骤S303、测试设备基于所述应用标识触发对应的应用向所述应用服务器发送应用请求报文,并缓存所述应用请求报文。以应用是支付宝为例,包括:
a)测试设备调用支付宝应用接口,执行用户登录操作,此操作对应会触发一个用户登录支付宝服务器的请求报文,该报文需要经过网关发送给支付宝服务器。
b)测试设备通过调用报文捕获函数,捕获该请求报文并缓存。
步骤S304、网关设备根据特征识别库尝试识别应用请求报文,若识别不到,则放行该报文。以应用是支付宝为例,包括:网关设备收到支付宝用户登录请求报文后,依据特征识别库ToVeryFID进行报文识别,并按照报文匹配规则执行,请参见表3示例。如果网关设备未识别支付宝应用请求报文特征,则放行该报文,将其转发给位于互联网中的支付宝服务器。
步骤S305、应用服务器收到所述应用请求报文。以应用是支付宝为例,包括:支付宝服务器收到支付宝客户端的用户登录请求报文后,根据预设的规则检测,假设用户登录行为合法,则允许用户登录。
步骤S306、应用服务器向所述应用发送应用回应报文。以应用是支付宝为例,包括:支付宝服务器将向支付宝客户端(由测试设备调用支付宝应用接口所模拟),发送该用户成功登录回应报文。
步骤S307、网关设备根据特征识别库,尝试识别应用回应报文,若识别不到,则放行该报文。以应用是支付宝为例,包括:网关设备收到支付宝用户成功登录回应报文后,依据特征识别库ToVeryFID进行报文识别,并按照报文匹配规则执行,请参见表3示例。如果网关设备未识别支付宝应用回应报文特征,则放行该报文,将其转发给测试服务器(支付宝客户端模拟)。
步骤S308、测试设备若收到所述应用服务器的应用回应报文,则确定该待验证的应用报文特征的验证结果为未通过。以应用是支付宝为例,包括:测试设备收到支付宝用户成功登录回应报文后,则确定该待验证的应用报文特征的验证结果为未通过,请参见表3示例,即该待验证的报文应用报文特征可以是支付宝登录请求即表3中的第一条或支付宝登录回应即表3中的的第六条。
步骤S309、测试设备从网关设备获取包含所述待验证应用报文特征的报文匹配规则。以应用是支付宝为例,请参见表3示例,测试设备获取支付宝待验证的应用报文特征,其可以是单条,比如支付宝登录请求或支付宝登录回应或在天涯博客发表博文,或者是多条,比如:包括支付宝登录请求和支付宝登录回应。
步骤S310、测试设备基于已缓存应用报文包括应用请求报文和\或应用回应报文,将其与所述报文匹配规则的待验证应用报文特征对比,提取特征差异并保存记录。以应用是天涯博客网站(blog.tianya.cn)为例,包括:
假定测试设备基于天涯博客网站(blog.tianya.cn)提供应用访问接口,执行接口调用,执行业务包括:用户user1登录blog.tianya.cn;user1发表一篇博文,博文的标题为“Test”。网关设备针对以上业务过程中的应用报文,请参见表3示例,按照第六条报文匹配规则对应配置-即应阻断用户在天涯博客发表博文的行为。实际上,网关设备依据特征识别库ToVeryFID,未识别到此应用请求以及回应报文,导致该特征识别失败。
测试设备基于已缓存应用报文,与表3示例中的第六条报文匹配规则对应配置的待验证应用报文特征即“天涯博客发表博文”的应用报文特征,按协议属性特征进行对比,对于表3中的每条报文识别特征所对应的协议属性特征,请参见表4示例:
表4
测试设备从网关设备获取如表4所示内容,根据表4中第六条记录,获取到此应用报文的协议属性,其中所述协议属性至少包括协议类型、协议版本、协议方法、状态码、状态信息中的一种或多种的组合,比如请参见表4示例,获取“天涯博客发表博文”的详细报文特征为:报文协议类型为HTTP、协议版本为1.1、协议方法为POST、状态码为200、状态信息为OK。
测试设备基于该应用报文特征的相应协议属性,获取所述已缓存应用报文中对应存在内容差异的起止位置,比如:针对已缓存应用报文,按上述协议属性获取的内容为:报文协议类型为HTTP、协议版本为1.0、协议方法为POST、状态码为200、状态信息为FAIL。通过与所述报文匹配规则的待验证应用报文特征对比,可以发现未被阻断的应用报文特征和特征识别库特征区别在于,协议类型存在差异DIFF1:分别1.0和1.1;状态信息存在差异DIFF2:分别为OK和FAIL。
基于以上过程,测试设备提取两者报文之间特征内容差异部分即DIFF1和DIFF2,获取差异报文相对于报文头的位置和长度,比如:DIFF1相对报文头为100个字节,差异报文长度为2;DIFF1相对报文头位置偏移为为200个字节长度处,差异报文长度为4,保存并记录。
上述过程仅仅是一个可能的实现方式,基于单个或多个协议属性组合,测试设备还可以识别其他应用业务行为,比如该报文是应用请求报文还是应用回应报文等等。通过上述方式,可以快速提取识别失效的报文特征以及标识该报文差异位置及差异长度,用于实现在海量报文特征识别库需要被验证的场景下,提高验证效率,减少测试人员的工作量。
作为步骤S304至步骤S310的另外一种可能的实现方式中,如图3步骤S304-2-step1、S304-2-step2、S304-2-step3所示:
S304-2-step1、网关设备根据特征识别库ToVeryFID,尝试识别应用请求报文,假设识别到,请参见表3,则按照第六条报文匹配规则,成功阻断该报文。
S304-2-step2、测试设备若未收到所述应用服务器的应用回应报文,且在报文匹配规则未配置到网关设备或者被取消的情况下能收到应用服务器的应用回应报文,则确定该待验证的应用报文特征的验证结果为通过,释放缓存中对应的应用请求报文,用于节约缓存空间。
S304-2.step3、否则验证结果为待定,即测试设备若未收到所述应用服务器的应用回应报文,且在报文匹配规则未配置到网关设备或者被取消的情况下,未能收到应用服务器的应用回应报文。验证结果为待定,意味着此时网关设备或应用服务器可能出现异常情况,比如:宕机或网络中断,需要记录此时的测试结果,便于后续测试或开发人员分析定位。
步骤S311、基于上述验证过程,测试设备生成相应的验证报告。以应用是天涯博客网站(blog.tianya.cn)为例,包括:
测试设备生成上述述报文匹配规则相应的验证报告,所述验证报告包括:报文匹配规则及待验证应用报文特征即表3中的第六条报文匹配规则;对应待验证应用报文特征的验证结果,可以是通过或未通过或待定,比如:在如步骤S304至步骤S310的示例中为未通过,步骤S304-2-step1至S304-2-step3验证结果可能为通过或待定;若验证结果为未通过,测试报告还包括如步骤S310中所述的特征差异记录、已缓存应用报文即应用请求报文和\或应用回应报文。
测试设备通过预设的邮箱地址,通过邮件自动触发把对应待验证的报文特征库的验证报告发送给相应测试或开发人员,用于报文识别特征库进一步分析确认、提取及更新。
以上对本公开提供的方法进行了描述。下面对本公开提供的装置进行描述。
请参见图4,为本公开提供的一种报文特征识别库的验证装置,所述装置应用于测试设备,所述测试设备可经网关设备和应用服务器通信,如图4所示,该装置包括:
配置模块,基于待验证的特征识别库中的应用报文特征生成对应的报文匹配规则,其中该报文匹配规则包括应用报文特征以及阻断动作;将该报文匹配规则配置到网关设备;
检测模块,基于特征识别库中的应用标识触发对应的应用向所述应用服务器发送应用请求报文,并缓存所述应用请求报文;若收到所述应用服务器的应用回应报文,则确定该应用请求报文或应用回应报文所对应的应用报文特征的验证结果为未通过。
在其中一种实施方式中,其中所述应用基于C/S架构或B/S架构,基于所述应用标识触发该应用向所述应用服务器发送应用请求报文,若所述应用为C/S架构,所述配置模块,则基于所述应用,获取并更新其对应客户端程序的最新版本;若所述应用为B/S架构,所述配置模块,则基于所述应用提供的URL地址;其中所述发送应用请求报文具体包括:按照预定周期,访问所述URL地址的应用请求报文。
在其中一种实施方式中,其中若收到所述应用服务器的应用回应报文,所述检测模块,缓存所述应用请求报文所对应的应用回应报文;所述配置模块,获取包含所述待验证应用报文特征的报文匹配规则;所述检测模块,基于已缓存应用报文与所述报文匹配规则的待验证应用报文特征对比,提取特征差异并保存记录。
在其中一种实施方式中,其中所述提取特征差异为:所述检测模块基于待验证应用报文特征的相应协议属性,获取所述已缓存应用报文中对应存在内容差异的起止位置,其中所述协议属性至少包括协议类型、协议版本、协议方法、状态码、状态信息中的一种或多种的组合。
在其中一种实施方式中,所述检测模块,若未收到所述应用服务器的应用回应报文,且在报文匹配规则未配置到网关设备或者被取消的情况下能收到应用服务器的应用回应报文,则确定该待验证的应用报文特征的验证结果为通过,释放缓存中对应的应用请求报文;否则验证结果为待定。
至此,完成图4所示装置的描述。
对应地,本公开还提供了图4所示装置的一种测试设备的硬件结构,参见图5,图5为本公开提供的一种测试设备的硬件结构示意图。该设备包含:通信接口501、处理器502、内存503、非易失性存储器504和总线505;其中,通信接口501、处理器502、内存503、非易失性存储器504通过总线505完成相互间的通信。
其中,通信接口501,用于发送和接收报文。处理器502可以是一个中央处理器(CPU),内存503可以从非易失性存储器504中读取存储有机器可读指令,处理器502可以执行内存503中存储的机器可读指令,以实现上述图2所示的方法。
本文中提到的内存503可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器,或者类似的存储介质,或者它们的组合。本文中提到的非易失性存储器504可以是任何非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
至此,完成图5所示的硬件结构描述。
此外,本申请实施例还提供了一种包括机器可执行指令的机器可读存储介质,例如图5中的机器可读内存503及非易失性存储器504,所述机器可执行指令可由数据处理装置中的处理器501及处理器502执行以实现以上描述的数据处理方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种报文特征识别库的验证方法,所述方法应用于测试设备,所述测试设备可经网关设备和应用服务器通信,其特征在于,包括:
基于待验证的特征识别库中的应用报文特征生成对应的报文匹配规则,其中该报文匹配规则包括应用报文特征以及阻断动作;
将该报文匹配规则配置到网关设备;
基于特征识别库中的应用标识触发对应的应用向所述应用服务器发送应用请求报文,并缓存所述应用请求报文;若收到所述应用服务器的应用回应报文,则确定该应用请求报文或应用回应报文所对应的应用报文特征的验证结果为未通过。
2.根据权利要求1所述的方法,其特征在于,其中所述应用基于C/S架构或B/S架构,基于所述应用标识触发该应用向所述应用服务器发送应用请求报文,还包括:
若所述应用为C/S架构,则基于所述应用标识,获取并更新其对应客户端程序的最新版本;
若所述应用为B/S架构,则基于所述应用提供的URL地址;其中所述发送应用请求报文具体包括:按照预定周期发送访问所述URL地址的应用请求报文。
3.根据权利要求1所述的方法,其特征在于,还包括:
缓存所述应用请求报文所对应的应用回应报文;
获取包含所述待验证应用报文特征的报文匹配规则;
将已缓存应用报文与所述待验证应用报文特征对比,提取特征差异并保存记录。
4.根据权利要求3所述的方法,其特征在于,其中所述提取特征差异包括:
基于待验证应用报文特征的相应协议属性,获取所述已缓存应用报文中对应存在内容差异的起止位置,其中所述协议属性至少包括协议类型、协议版本、协议方法、状态码、状态信息中的一种或多种的组合。
5.根据权利要求4所述的方法,其特征在于,还包括:
若未收到所述应用服务器的应用回应报文,且在报文匹配规则未配置到网关设备或者被取消的情况下能收到应用服务器的应用回应报文,则确定该待验证的应用报文特征的验证结果为通过,释放缓存中对应的应用请求报文;否则验证结果为待定。
6.一种报文特征识别库的验证装置,所述装置应用于测试设备,所述测试设备可经网关设备和应用服务器通信,其特征在于,该装置包括:
配置模块,基于待验证的特征识别库中的应用报文特征生成对应的报文匹配规则,其中该报文匹配规则包括应用报文特征以及阻断动作;将该报文匹配规则配置到网关设备;
检测模块,基于特征识别库中的应用标识触发对应的应用向所述应用服务器发送应用请求报文,并缓存所述应用请求报文;若收到所述应用服务器的应用回应报文,则确定该应用请求报文或应用回应报文所对应的应用报文特征的验证结果为未通过。
7.根据权利要求6所述的装置,其特征在于,其中所述应用基于C/S架构或B/S架构,基于所述应用标识触发该应用向所述应用服务器发送应用请求报文,还包括:
若所述应用为C/S架构,所述配置模块,则基于所述应用,获取并更新其对应客户端程序的最新版本;
若所述应用为B/S架构,所述配置模块,则基于所述应用提供的URL地址;其中所述发送应用请求报文具体包括:按照预定周期,访问所述URL地址的应用请求报文。
8.根据权利要求6所述的装置,其特征在于,其中若收到所述应用服务器的应用回应报文,还包括:
所述检测模块,缓存所述应用请求报文所对应的应用回应报文;
所述配置模块,获取包含所述待验证应用报文特征的报文匹配规则;
所述检测模块,基于已缓存应用报文与所述报文匹配规则的待验证应用报文特征对比,提取特征差异并保存记录。
9.根据权利要求8所述的装置,其特征在于,其中所述提取特征差异,包括:
所述检测模块,基于待验证应用报文特征的相应协议属性,获取所述已缓存应用报文中对应存在内容差异的起止位置,其中所述协议属性至少包括协议类型、协议版本、协议方法、状态码、状态信息中的一种或多种的组合。
10.根据权利要求9所述的装置,其特征在于,还包括:
所述检测模块,若未收到所述应用服务器的应用回应报文,且在报文匹配规则未配置到网关设备或者被取消的情况下能收到应用服务器的应用回应报文,则确定该待验证的应用报文特征的验证结果为通过,释放缓存中对应的应用请求报文;否则验证结果为待定。
11.一种数据处理装置,其特征在于,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行如权利要求1至5任一项所述的方法。
12.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,所述机器可读指令促使所述处理器实现权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810858120.3A CN108924159B (zh) | 2018-07-31 | 2018-07-31 | 一种报文特征识别库的验证方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810858120.3A CN108924159B (zh) | 2018-07-31 | 2018-07-31 | 一种报文特征识别库的验证方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108924159A true CN108924159A (zh) | 2018-11-30 |
| CN108924159B CN108924159B (zh) | 2020-10-09 |
Family
ID=64393260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810858120.3A Active CN108924159B (zh) | 2018-07-31 | 2018-07-31 | 一种报文特征识别库的验证方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108924159B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109743231A (zh) * | 2019-02-22 | 2019-05-10 | 杭州迪普科技股份有限公司 | 一种acl功能测试方法和装置 |
| CN111917783A (zh) * | 2020-08-06 | 2020-11-10 | 吉林亿联银行股份有限公司 | 一种通用报文的验证方法、装置及存储介质 |
| CN113362173A (zh) * | 2021-06-03 | 2021-09-07 | 中国工商银行股份有限公司 | 防重机制验证方法、验证***、电子设备及存储介质 |
| US20210406155A1 (en) * | 2020-06-28 | 2021-12-30 | Baidu Online Network Technology (Beijing) Co., Ltd. | Methods for configuring device debugging environment and configuration server |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447898A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 一种用于网络安全产品的测试***及测试方法 |
| CN101478458A (zh) * | 2009-01-20 | 2009-07-08 | ***电信传输研究所 | 一种sip协议安全性测试方法 |
| CN101764720A (zh) * | 2009-11-24 | 2010-06-30 | 福建星网锐捷网络有限公司 | 过滤性能测试方法和*** |
| CN104751056A (zh) * | 2014-12-19 | 2015-07-01 | 中国航天科工集团第二研究院七〇六所 | 一种基于攻击库的漏洞验证***与方法 |
| CN106603328A (zh) * | 2016-12-01 | 2017-04-26 | 杭州迪普科技股份有限公司 | 一种测试流控设备协议识别能力的方法及装置 |
| CN107360062A (zh) * | 2017-08-28 | 2017-11-17 | 上海国云信息科技有限公司 | Dpi设备识别结果的验证方法、***及dpi设备 |
| CN107426202A (zh) * | 2017-07-13 | 2017-12-01 | 北京知道未来信息技术有限公司 | 一种自动化测试waf拦截规则的方法 |
| CN107634964A (zh) * | 2017-10-13 | 2018-01-26 | 杭州迪普科技股份有限公司 | 一种针对waf的测试方法及装置 |
-
2018
- 2018-07-31 CN CN201810858120.3A patent/CN108924159B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447898A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 一种用于网络安全产品的测试***及测试方法 |
| CN101478458A (zh) * | 2009-01-20 | 2009-07-08 | ***电信传输研究所 | 一种sip协议安全性测试方法 |
| CN101764720A (zh) * | 2009-11-24 | 2010-06-30 | 福建星网锐捷网络有限公司 | 过滤性能测试方法和*** |
| CN104751056A (zh) * | 2014-12-19 | 2015-07-01 | 中国航天科工集团第二研究院七〇六所 | 一种基于攻击库的漏洞验证***与方法 |
| CN106603328A (zh) * | 2016-12-01 | 2017-04-26 | 杭州迪普科技股份有限公司 | 一种测试流控设备协议识别能力的方法及装置 |
| CN107426202A (zh) * | 2017-07-13 | 2017-12-01 | 北京知道未来信息技术有限公司 | 一种自动化测试waf拦截规则的方法 |
| CN107360062A (zh) * | 2017-08-28 | 2017-11-17 | 上海国云信息科技有限公司 | Dpi设备识别结果的验证方法、***及dpi设备 |
| CN107634964A (zh) * | 2017-10-13 | 2018-01-26 | 杭州迪普科技股份有限公司 | 一种针对waf的测试方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109743231A (zh) * | 2019-02-22 | 2019-05-10 | 杭州迪普科技股份有限公司 | 一种acl功能测试方法和装置 |
| US20210406155A1 (en) * | 2020-06-28 | 2021-12-30 | Baidu Online Network Technology (Beijing) Co., Ltd. | Methods for configuring device debugging environment and configuration server |
| CN111917783A (zh) * | 2020-08-06 | 2020-11-10 | 吉林亿联银行股份有限公司 | 一种通用报文的验证方法、装置及存储介质 |
| CN113362173A (zh) * | 2021-06-03 | 2021-09-07 | 中国工商银行股份有限公司 | 防重机制验证方法、验证***、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108924159B (zh) | 2020-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10108801B2 (en) | Web application vulnerability scanning | |
| US9565177B2 (en) | Network application security utilizing network-provided identities | |
| US10430487B2 (en) | System and method to share content utilizing universal link format | |
| CN111400722B (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
| CN108924159A (zh) | 一种报文特征识别库的验证方法与装置 | |
| US9350726B2 (en) | Recovery from rolling security token loss | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| CN109842617A (zh) | 广告拦截方法、装置和存储介质 | |
| CN107465651A (zh) | 网络攻击检测方法及装置 | |
| US20180054456A1 (en) | Website security tracking across a network | |
| US8250138B2 (en) | File transfer security system and method | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN108696481A (zh) | 漏洞检测方法和装置 | |
| CN107682361A (zh) | 网站漏洞扫描方法、装置、计算机设备及存储介质 | |
| US11489854B2 (en) | Techniques for incentivized intrusion detection system | |
| US20210258305A1 (en) | Probe-based risk analysis for multi-factor authentication | |
| Dabrowski et al. | Browser history stealing with captive Wi-Fi portals | |
| CN108028843A (zh) | 被动式web应用防火墙 | |
| Kemp et al. | Professional Heroku Programming | |
| CN105184559B (zh) | 一种支付***及方法 | |
| CN107391714A (zh) | 一种截图方法、截图服务器、截图服务***及介质 | |
| Su et al. | AndroGenerator: An automated and configurable android app network traffic generation system | |
| CN110061864A (zh) | 一种域名配置自动化验证的方法和*** | |
| Senol et al. | Unveiling the Impact of User-Agent Reduction and Client Hints: A Measurement Study | |
| CN117150514B (zh) | 基于代码疫苗iast探针的漏洞主动验证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |