一种数据的安全检测方法、装置、存储介质及电子设备与流程

文档序号：24539405发布日期：2021-04-02 10:22阅读：68来源：国知局

本公开涉及网络安全领域，特别涉及一种数据的安全检测方法、装置、存储介质及电子设备。

背景技术：

随着移动互联网的不断发展，移动互联网端(简称移动终端)不管是在设备持有量，还是在用户数量上，都已经超越了传统pc端，成为第一大入口端。移动互联网的普及性、开放性和互联性的特点，使得移动终端正在面临传统的互联网安全问题，如安全漏洞、恶意代码、钓鱼欺诈和垃圾信息等。同时，由于移动终端更多地涉及个人信息，其隐私性更强，也面临诸多新的问题。因此，加强对移动安全领域的关注，提高移动终端的安全等级是很有必要的。

gtp(gprs隧道协议)是移动数据漫游的关键技术。通过在用户设备和移动网络之间创建ip隧道来让不同网络互连，用于管理2g、3g和4g等网络上的数据流量；它还是gprs核心网络及其后继的演进式分组核心(epc)的基础，允许2g、3g和wcdma移动网络发送ip数据包到外部网络，随着4g、5g网络越来越普及，网络中gtp协议流量也越来越大，也有越来越多的gtp协议，面临越来越多的安全威胁。

现有防火墙/网关设备部署于gprs核心网内传输ggsn(网关gprs支持结点)和sgsn(服务gprs支持结点)之间，或者，部署于sgsn和rnc之间的iu-ps接口或者sgsn和目的sgsn之间，为gtp协议提供流量审计功能。gtp协议分为gtp-c、gtp-u和gtp’,其中，gtp-c走信令协议，gtp-u承载有效的用户数据。

现在防火墙/网关设备作为安全防护的基础设备，已经得到非常广泛的应用，现有防火墙/网关设备虽然设置了安全策略，但现有安全策略却并不支持gtp协议流量的安全检测，用户系统仍然存在较大的安全隐患。

技术实现要素：

有鉴于此，本公开实施例提出了一种数据的安全检测方法、装置、存储介质及电子设备，用以解决现有技术的如下问题：现有防火墙/网关设备虽然设置了安全策略，但现有安全策略却并不支持gtp协议流量的安全检测，用户系统仍然存在较大的安全隐患。

一方面，本公开实施例提出了一种数据的安全检测方法，包括：对接收到数据包进行第一次协议解析，以检测接收到的数据包是否为gtp-u协议数据；在是gtp-u协议数据的情况下，将gtp协议头部信息从解析后的gtp-u协议数据中拆分，以得到不包括gtp协议头部信息的内层数据，其中，所述内层数据至少包括：用户层ip、端口信息及应用层数据；将所述内层数据进行第二次协议解析，并按照预定安全策略对解析后的所述内层数据进行安全检测；根据所述安全检测的结果处理所述数据包。

在一些实施例中，将gtp协议头部信息从解析后的gtp-u协议数据中拆分，以得到不包括gtp协议头部信息的内层数据之后，还包括：将拆分后的外层数据进行缓存，并记录数据包从链路层到gtp协议头部信息结束位置的偏移量，其中，所述外层数据包括：所述第一次协议解析得到的除所述内层数据之外的其它数据。

在一些实施例中，所述根据所述安全检测的结果处理所述数据包，包括：在确定所述内层数据通过所述安全检测的情况下，根据缓存的所述外层数据及所述偏移量还原接收到的所述数据包，并按照预定路径转发还原后的所述数据包；在确定所述内层数据未通过所述安全检测的情况下，丢弃所述数据包，或者，发送阻断报文。

在一些实施例中，所述协议解析包括：链路层、网络层、传输层及应用层解析。

另一方面，本公开实施例提出了一种数据的安全检测装置，包括：协议解析模块，用于对接收到数据包进行第一次协议解析，以检测接收到的数据包是否为gtp-u协议数据；拆分模块，用于在是gtp-u协议数据的情况下，将gtp协议头部信息从解析后的gtp-u协议数据中拆分，以得到不包括gtp协议头部信息的内层数据，其中，所述内层数据至少包括：用户层ip、端口信息及应用层数据；所述协议解析模块，还用于将所述内层数据进行第二次协议解析，并按照预定安全策略对解析后的所述内层数据进行安全检测；处理模块，用于根据所述安全检测的结果处理所述数据包。

在一些实施例中，还包括：缓存模块，用于将拆分后的外层数据进行缓存，并记录数据包从链路层到gtp协议头部信息结束位置的偏移量，其中，所述外层数据包括：所述第一次协议解析得到的除所述内层数据之外的其它数据。

在一些实施例中，所述处理模块包括：第一处理单元，用于在确定所述内层数据通过所述安全检测的情况下，根据缓存的所述外层数据及所述偏移量还原接收到的所述数据包，并按照预定路径转发还原后的所述数据包；第二处理单元，用于在确定所述内层数据未通过所述安全检测的情况下，丢弃所述数据包，或者，发送阻断报文。

在一些实施例中，所述协议解析包括：链路层、网络层、传输层及应用层解析。

另一方面，本公开实施例提出了一种存储介质，存储有计算机程序，计算机程序被处理器执行时实现本公开任意实施例提供的方法。

另一方面，本公开实施例提出了一种电子设备，至少包括存储器、处理器，存储器上存储有计算机程序，处理器在执行存储器上的计算机程序时实现本公开任意实施例提供的方法。

本公开实施例将现有的gtp-u协议数据进行两次协议解析，第一次协议解析后得到用户层未被解析的内层数据，第二次协议解析即对内层数据解析，进而能够通过解析得到的用户层数据进行数据的安全检测，该方法能够高效且准确的对gtp-u协议数据进行安全检测，实施简单，对现有防火墙/网关设备改动较小，并能应用防火墙/网关设备上原有的多种安全策略对gtp协议的流量进行审计，安装部署简单方便，对原有系统影响较小。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本公开第一实施例提供的数据的安全检测方法的流程图；

图2为本公开第一实施例提供的数据的安全检测方法的实现流程图；

图3为本公开第二实施例提供的数据的安全检测装置的结构示意图；

图4为本公开第四实施例提供的电子设备的结构示意图。

具体实施方式

为了使得本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例的附图，对本公开实施例的技术方案进行清楚、完整地描述。显然，所描述的实施例是本公开的一部分实施例，而不是全部的实施例。基于所描述的本公开的实施例，本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例，都属于本公开保护的范围。

除非另外定义，本公开使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

为了保持本公开实施例的以下说明清楚且简明，本公开省略了已知功能和已知部件的详细说明。

本公开第一实施例提供了一种数据的安全检测方法，该方法的流程如图1所示，包括步骤s101至s104：

s101，对接收到数据包进行第一次协议解析，以检测接收到的数据包是否为gtp-u协议数据。

其中，上述协议解析就是正常数据包的协议解析，即依次包括链路层、网络层、传输层及应用层等解析，解析后，就可以得知是否存在gtp协议头部信息，进而知晓该数据包是否为gtp-u协议数据。

s102，在是gtp-u协议数据的情况下，将gtp协议头部信息从解析后的gtp-u协议数据中拆分，以得到不包括gtp协议头部信息的内层数据，其中，内层数据至少包括：用户层ip、端口信息及应用层数据。

本公开实施例是针对gtp-u协议数据进行的处理，因此，不是gtp-u协议数据的其它数据则可以按照现有的安全策略进行安全检测，如果是gtp-u协议数据，则采用本公开实施例的方案进行安全检测。

在是gtp-u协议数据的情况下，为了获取真正的用户层数据，需要将非用户层数据的内容均进行剥离，得到内层数据(也就是未被解析过的用户层数据)，即将从链路层开始解析完成的数据及gtp协议头部信息均从接收到的数据包中剥离，只留下内层数据。

s103，将内层数据进行第二次协议解析，并按照预定安全策略对解析后的内层数据进行安全检测。

当只剩下内层数据时，为了能够对内层数据进行安全检测，就需要对内层数据进行协议解析，该协议解析和上述协议解析过程一致，第二次协议解析是对内层数据进行的解析，与第一次协议解析对外层数据进行协议解析不同，只有经过第二次协议解析，内层数据才可以变成能够创建对话的用户层数据，才能够使用现有的安全策略进行安全检测。

上述预定安全策略可以是ips(入侵防御系统，intrusionpreventionsystem)、waf(网站应用级入侵防御系统，webapplicationfirewall)、僵木蠕等中的一种或多种，当然，还可以是其它安全策略，此处仅为一种示例。

s104，根据安全检测的结果处理数据包。

在确定内层数据通过安全检测(即安全检测的结果为通过)的情况下，可以实现对数据包的转发；在确定内层数据未通过安全检测(即安全检测的结果为未通过)的情况下，可以丢弃数据包或者发送阻断报文。

由于接收到的数据包已经被解析，为了能够再将该数据包完整的进行转发，需要对该数据包进行重新封装。基于转发需求在得到不包括gtp协议头部信息的内层数据之后，还可以将拆分后的外层数据进行缓存，并记录数据包从链路层到gtp协议头部信息结束位置的偏移量，其中，外层数据包括：第一次协议解析得到的除内层数据之外的其它数据。进而，在确定内层数据通过所述安全检测的情况下，根据缓存的外层数据及偏移量还原接收到的数据包，并按照预定路径转发还原后的数据包。

下面，结合图2及具体实例对上述过程进行详细说明。

gtp协议是一种隧道协议，防火墙/网关设备一般会根据隧道外层ip和端口建立会话表，之后获取传输层之上的应用层数据，由于gtp-u协议隧道传输层里面是gtp协议头部信息及承载的用户ip报文信息，普通防火墙/网关设备未对内层用户的ip报文信息做详细解析，无法获取有效的用户层ip、端口信息以及应用层数据，后续的ips、waf、僵木蠕等安全策略也就无法发挥正常的检测功能。本公开实施例的方案将gtp-u数据包外层数据缓存起来，例如存放在会话中(并不是依据外层ip和端口建立会话)，将内层网络层、传输层数据解析并建立会话，应用层数据解析后，进行安全检测，检测结束后将缓存数据封装回来再通过虚拟线模式转发出去。其详细处理流程如下：

数据报文经由网卡被接收到，经过链路层、网络层、传输层解析后进行应用层解析，如果是gtp协议数据，则解析并剥离gtp协议头部信息，计算数据包从链路层到gtp协议头部信息结束部分的偏移量，将该偏移部分数据进行缓存，或者记录偏移量，方便后续安全检测结束后进行数据包恢复。将偏移后的数据包再次进入链路层、网络层、传输层及应用层解析，此时解析的是gtp协议包含的内层用户数据，依据ip端口等信息建立会话。应用层协议识别后进行安全检测，此时则可实现对用户层数据进行正常的安全检测。根据检测的结果执行相应的阻断或者告警等策略。如果执行策略为通过，则在安全检测完成后根据之前缓存的gtp数据的外层数据和协议头部信息和外层数据偏移量进行gtp协议再封装，之后数据包通过虚拟线模式进行出口转发。

如图2所示，本公开实施例部署在接入了gtp流量的防火墙/网关设备上，上述过程包括如下步骤s201至s210：

s201，网卡接收到数据报文。

s202，对数据报文进行链路层、网络层和传输层数据解析。

s203，应用层协议识别确定是否为gtp-u协议数据。如果是，则执行s204，否则执行s205。

上述s202和s203即是协议解析以检测接收到的数据包是否为gtp-u协议数据的过程，

s204，如果是gtp-u协议数据，则拆分gtp-u协议数据，将外层数据以及gtp协议头部信息存入缓存中，并记录链路层开始位置到gtp协议头部信息结束位置的偏移量，之后再进入步骤s202，再次对拆分后的gtp-u协议数据进行协议解析，此时，由于已经不存在gtp协议头部信息，因此，确定再次解析的数据并非是gtp-u协议数据，则直接执行s205。

s205，如果不是gtp协议数据，则进行后续的数据安全检测功能，即采用预定安全策略进行安全检测。

gtp协议承载的用户层数据经过ips、waf、僵木蠕等模块进行安全检测。ips可以根据预先设定的安全策略，对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等)，如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施。waf是通过执行一系列针对http/https的安全策略来专门为web应用提供保护的一套策略，主要用于防御针对网络应用层的攻击，像sql注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。僵木蠕检测可以根据内置特征库，识别网络数据流中的蠕虫、僵尸网络、木马等。

s206，根据安全检测的结果确定是否丢弃或阻断。如果是，则执行s207，否则，执行s208。

s207，丢弃或发送阻断报文。如果需要发送阻断报文，则进行阻断报文构造，然后将之前缓存的外层数据进行ip地址、mac地址以及端口等数据调换，再进行数据转发。

s208，在不需要丢弃或阻断的情况下，需要将该数据进行后续转发，此时需要确定数据包是否为gtp协议数据，即根据之前缓存的数据即可知晓。如果不是gtp协议数据，则执行s210，否则执行s209。

s209，如果该数据包为gtp协议数据包，则需要根据缓存的外层数据和gtp协议头部信息进行封装，并根据记录的偏移量将指针偏移移回外层ip头位置。随后执行s210。

s210，数据包转发，即将非gtp协议数据包或者还原的gtp协议数据包进行正常虚拟线模式的透明转发。

本公开实施例通过一种应用防火墙/网关设备的现有策略，实现了防火墙/网关设备对于移动互联网gtp协议的安全审计，并可进行虚拟线模式的透明转发。本公开实施例通过缓存gtp的外层数据，让防火墙/网关设备可以解析内层gtp协议承载的用户层数据，从而对gtp协议承载的用户层数据进行有效的安全检测，防火墙/网关设备上原有的ips、waf、僵木蠕ads等模块功能不需要做调整就可以对gtp承载的用户层数据进行安全检测，从而实现防火墙/网关设备对gtp协议流量既可以进行安全检测又可以进行数据转发。策略实施简单，对防火墙/网关设备原有功能改动较小，并能应用防火墙/网关设备上原有的多种安全策略对gtp协议的流量进行审计，具有安装部署简单方便，对原有系统影响较小的特点。

本公开第二实施例提供了一种数据的安全检测装置，该装置的结构示意如图3所示，包括：

协议解析模块10，用于对接收到数据包进行第一次协议解析，以检测接收到的数据包是否为gtp-u协议数据；拆分模块20，与协议解析模块10耦合，用于在是gtp-u协议数据的情况下，将gtp协议头部信息从解析后的gtp-u协议数据中拆分，以得到不包括gtp协议头部信息的内层数据，其中，内层数据至少包括：用户层ip、端口信息及应用层数据；协议解析模块10，还用于将内层数据进行第二次协议解析，并按照预定安全策略对解析后的内层数据进行安全检测；处理模块30，与协议解析模块10耦合，用于根据安全检测的结果处理数据包。

上述协议解析就是正常数据包的协议解析，即依次包括链路层、网络层、传输层及应用层等解析，解析后，就可以得知是否存在gtp协议头部信息，进而知晓该数据包是否为gtp-u协议数据。

本公开实施例是针对gtp-u协议数据进行的处理，因此，不是gtp-u协议数据的其它数据，则可以按照现有的安全策略进行安全检测，如果是gtp-u协议数据，则采用本公开实施例的方案进行安全检测。

在确定内层数据通过安全检测的情况下，可以实现对数据包的转发；在确定内层数据未通过安全检测的情况下，可以丢弃数据包或者发送阻断报文。

由于接收到的数据包已经被解析，为了能够再将该数据包完整的进行转发，需要对该数据包进行重新封装。本公开实施例还包括缓存模块40，与拆分模块20和处理模块30耦合，用于将拆分后的外层数据进行缓存，并记录数据包从链路层到gtp协议头部信息结束位置的偏移量，其中，外层数据包括：第一次协议解析得到的除内层数据之外的其它数据。

相对应的，处理模块30具体可以包括：第一处理单元，用于在确定内层数据通过安全检测的情况下，根据缓存的外层数据及偏移量还原接收到的数据包，并按照预定路径转发还原后的数据包；第二处理单元，用于在确定内层数据未通过安全检测的情况下，丢弃数据包，或者发送阻断报文。

本公开第三实施例提供了一种存储介质，该存储介质为计算机可读介质，存储有计算机程序，该计算机程序被处理器执行时实现本公开任意实施例提供的方法，包括如下步骤s11至s14：

s11，对接收到数据包进行第一次协议解析，以检测接收到的数据包是否为gtp-u协议数据；

s12，在是gtp-u协议数据的情况下，将gtp协议头部信息从解析后的gtp-u协议数据中拆分，以得到不包括gtp协议头部信息的内层数据，其中，内层数据至少包括：用户层ip、端口信息及应用层数据；

s13，将内层数据进行第二次协议解析，并按照预定安全策略对解析后的内层数据进行安全检测；

s14，根据安全检测的结果处理数据包。

上述协议解析包括：链路层、网络层、传输层及应用层解析。

计算机程序被处理器执行将gtp协议头部信息从解析后的gtp-u协议数据中拆分，以得到不包括gtp协议头部信息的内层数据的步骤之后，还被处理器执行如下步骤：将拆分后的外层数据进行缓存，并记录数据包从链路层到gtp协议头部信息结束位置的偏移量，其中，外层数据包括：第一次协议解析得到的除内层数据之外的其它数据。

计算机程序被处理器执行根据安全检测的结果处理数据包的步骤时，具体被处理器执行如下步骤：在确定内层数据通过安全检测的情况下，根据缓存的外层数据及偏移量还原接收到的数据包，并按照预定路径转发还原后的数据包；在确定内层数据未通过安全检测的情况下，丢弃数据包，或者，发送阻断报文。

可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行上述实施例记载的方法步骤。可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。显然，本领域的技术人员应该明白，上述的本公开的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本公开不限制于任何特定的硬件和软件结合。

本公开第四实施例提供了一种电子设备，该电子设备的结构示意图可以如图4所示，至少包括存储器901和处理器902，存储器901上存储有计算机程序，处理器902在执行存储器901上的计算机程序时实现本公开任意实施例提供的方法。示例性的，电子设备计算机程序步骤如下s21至s24：

s21，对接收到数据包进行第一次协议解析，以检测接收到的数据包是否为gtp-u协议数据；

s22，在是gtp-u协议数据的情况下，将gtp协议头部信息从解析后的gtp-u协议数据中拆分，以得到不包括gtp协议头部信息的内层数据，其中，内层数据至少包括：用户层ip、端口信息及应用层数据；

s23，将内层数据进行第二次协议解析，并按照预定安全策略对解析后的内层数据进行安全检测；

s24，根据安全检测的结果处理数据包。

上述协议解析包括：链路层、网络层、传输层及应用层解析。

处理器在执行存储器上存储的将gtp协议头部信息从解析后的gtp-u协议数据中拆分，以得到不包括gtp协议头部信息的内层数据的计算机程序之后，还执行如下计算机程序：将拆分后的外层数据进行缓存，并记录数据包从链路层到gtp协议头部信息结束位置的偏移量，其中，外层数据包括：第一次协议解析得到的除内层数据之外的其它数据。

处理器在执行存储器上存储的根据安全检测的结果处理数据包的计算机程序时，具体执行如下计算机程序：在确定内层数据通过安全检测的情况下，根据缓存的外层数据及偏移量还原接收到的数据包，并按照预定路径转发还原后的数据包；在确定内层数据未通过安全检测的情况下，丢弃数据包，或者，发送阻断报文。

此外，尽管已经在本文中描述了示例性实施例，其范围包括任何和所有基于本公开的具有等同元件、修改、省略、组合(例如，各种实施例交叉的方案)、改编或改变的实施例。权利要求书中的元件将被基于权利要求中采用的语言宽泛地解释，并不限于在本说明书中或本申请的实施期间所描述的示例，其示例将被解释为非排他性的。因此，本说明书和示例旨在仅被认为是示例，真正的范围和精神由以下权利要求以及其等同物的全部范围所指示。

以上描述旨在是说明性的而不是限制性的。例如，上述示例(或其一个或更多方案)可以彼此组合使用。例如本领域普通技术人员在阅读上述描述时可以使用其它实施例。另外，在上述具体实施方式中，各种特征可以被分组在一起以简单化本公开。这不应解释为一种不要求保护的公开的特征对于任一权利要求是必要的意图。相反，本公开的主题可以少于特定的公开的实施例的全部特征。从而，以下权利要求书作为示例或实施例在此并入具体实施方式中，其中每个权利要求独立地作为单独的实施例，并且考虑这些实施例可以以各种组合或排列彼此组合。本公开的范围应参照所附权利要求以及这些权利要求赋权的等同形式的全部范围来确定。

以上对本公开多个实施例进行了详细说明，但本公开不限于这些具体的实施例，本领域技术人员在本公开构思的基础上，能够做出多种变型和修改实施例，这些变型和修改都应落入本公开所要求保护的范围之内。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：徐自全
技术所有人：北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。