[发明专利]一种数据包篡改检测方法、装置及系统

权利要求书

1.一种数据包篡改检测方法，其特征在于，应用于网络中间设备，所述网络中间设备包括进端口和出端口，所述方法包括：

获取数据包集合，所述数据包集合包括流经所述进端口和所述出端口的数据包；

将所述数据包集合中传输标识一致的数据包进行比对，得到数据比对结果；

依据所述数据比对结果，生成篡改检测结果。

2.根据权利要求1所述的方法，其特征在于，预先设置当前缓存，其中，所述获取数据包集合包括：

对流经所述进端口和所述出端口的数据包进行采集；

判断采集到的数据包是否满足预设的IP数据包格式，如果是，判断所述当前缓存中是否含有空闲存储空间，否则，丢弃所述数据包，返回执行所述对流经所述进端口和所述出端口的数据包进行采集；

若所述当前缓存中含有空闲存储空间，将所述数据包置入所述当前缓存中，返回执行所述对流经所述进端口和所述出端口的数据包进行采集，否则，获取所述当前缓存中的数据包集合并清空所述当前缓存。

3.根据权利要求1或2所述的方法，其特征在于，预先设置流表，所述将所述数据包集合中传输标识一致的数据包进行比对，得到数据比对结果，包括：

选取所述数据包集合中的一个数据包作为当前数据包；

提取所述当前数据包的传输标识；

依据所述传输标识，生成与所述当前数据包相对应的当前流数据；

在所述流表中查询是否含有与所述当前流数据具有同一传输标识的目标流数据，如果是，将所述当前流数据与所述目标流数据进行比对，得到数据比对结果，判断所述数据比对结果是否表明所述当前流数据与所述目标流数据一致，若所述数据比对结果表明所述当前流数据与所述目标流数据一致，选取所述数据包集合内未被选取的数据包中所述当前数据包的下一个数据包作为当前数据包，返回执行所述提取所述当前数据包的传输标识，直到所述数据包集合中的所有数据包均被选取，若所述数据比对结果表明所述当前流数据与所述目标流数据不一致，将所述数据包集合中流数据不一致对应的数据包进行保存；

若在所述流表中未查询到与所述当前流数据具有同一传输标识的目标流数据，在所述流表创建与所述当前流数据相对应的流，选取所述数据包集合内未被选取的数据包中所述当前数据包的下一个数据包作为当前数据包，返回执行所述提取所述当前数据包的传输标识，直到所述数据包集合中的所有数据包均被选取。

4.根据权利要求3所述的方法，其特征在于，所述传输标识包括数据包的源IP地址信息、目的IP地址信息、源端口信息和目的端口信息。

5.一种数据包篡改检测装置，其特征在于，应用于网络中间设备，所述网络中间设备包括进端口和出端口，所述装置包括：

数据包获取模块，用于获取数据包集合，所述数据包集合包括流经所述进端口和出端口的数据包；

数据包比对模块，用于将所述数据包集合中传输标识一致的数据包进行比对，得到数据比对结果；

检测结果生成模块，用于依据所述数据比对结果，生成篡改检测结果。

6.根据权利要求5所述的装置，其特征在于，预先设置当前缓存，其中，所述数据包获取模块包括：

数据包采集子模块，用于对流经所述进端口和所述出端口的数据包进行采集；

格式判断子模块，用于判断采集到的数据包是否满足预设的IP数据包格式，如果是，触发空闲判断子模块，否则触发数据包丢弃子模块；

空闲判断子模块，用于判断所述当前缓存中是否含有空闲存储空间，如果是，触发数据包置入子模块，否则，触发集合获取子模块；

数据包丢弃子模块，用于丢弃所述数据包，触发所述数据包采集子模块重新对流经所述进端口和所述出端口的数据包进行采集；

数据包置入子模块，用于将所述数据包置入所述当前缓存中，触发所述数据包采集子模块重新对流经所述进端口和所述出端口的数据包进行采集；

集合获取子模块，用于获取所述当前缓存中的数据包集合并清空所述当前缓存。