[发明专利]一种应用层网关的报文关联方法及装置

权利要求书

1.一种应用层网关的报文关联方法，其特征在于，包括：

获取流量探针接入的第一网络流量和第二网络流量，其中，所述第一网络流量为经网络地址转换和/或应用层网关处理之前的原报文，所述第二网络流量为经网络地址转换和/或应用层网关处理之后的转换报文；

分别读取所述第一网络流量和所述第二网络流量的至少一种报文特征信息；

对所述第一网络流量和所述第二网络流量对应的应用层协议进行解析，确定报文类型报文应用层协议类型；

针对不同的报文应用层协议类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文。

2.根据权利要求1所述的应用层网关的报文关联方法，其特征在于，所述流量探针的上一个接口接入所述第一网络流量，所述流量探针的下一个接口接入所述第二网络流量。

3.根据权利要求1所述的应用层网关的报文关联方法，其特征在于，所述至少一种报文特征信息包括第一五元组信息、第一方向信息、第一时间信息、第二五元组信息、第二方向信息、第二时间信息、TCP包的SEQ序号、UDP包数据载荷的MD5值中的至少一种，所述分别读取所述第一网络流量和所述第二网络流量的至少一种报文特征信息，包括：

读取所述第一网络流量的第一五元组信息、第一方向信息、第一时间信息；

读取所述第二网络流量的第二五元组信息、第二方向信息、第二时间信息，其中，所述第一五元组信息和所述第二五元组信息用于记录源IP、源端口、目的IP、目的端口、协议类型，所述第一方向信息和所述第二方向信息用于记录报文从内网到外网还是从外网到内网的方向，所述第一时间信息和所述第二时间信息用于记录收到报文的时间；

若所述第一网络流量或所述第一网络流量属于TCP流量，则还读取TCP包的SEQ序号；

若所述第一网络流量或所述第一网络流量属于UDP流量，则还读取根据UDP包数据载荷进行计算得到的MD5值。

4.根据权利要求1所述的应用层网关的报文关联方法，其特征在于，所述对所述第一网络流量和所述第二网络流量对应的应用层协议进行解析，确定报文应用层协议类型，包括：

对所述第一网络流量和所述第二网络流量对应的应用层协议进行解析，确定所述第一网络流量和所述第二网络流量属于单一的经网络地址转换的第一报文类别，还是经网络地址转换和应用层网关处理之后的第二报文类别。

5.根据权利要求1所述的应用层网关的报文关联方法，其特征在于，所述报文应用层协议类型包括第一报文类别；所述针对不同的报文应用层协议类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文，包括：

针对所述第一报文类别的所述第二网络流量，在预存数据库进行查询；

若查询到与所述第二网络流量关联的报文记录，则读取对应的关联结果，确定与所述第二网络流量关联的关联报文；

若未查询到与所述第二网络流量关联的报文记录，则根据对比第一五元组信息和第二五元组信息、所述第一网络流量和所述第二网络流量的TCP包的SEQ序号和/或UDP包数据载荷的MD5值、第一时间信息和第二时间信息判断是否满足关联条件，若满足，则确定所述第一网络流量为所述第二网络流量的关联报文。

6.根据权利要求5所述的应用层网关的报文关联方法，其特征在于，在所述若都对比结果一致，则确定所述第一网络流量为所述第二网络流量的关联报文之后，还包括：分别将所述第一网络流量和所述第二网络流量的至少一种报文特征信息添加至所述预存数据库，作为关联报文组。

7.根据权利要求1所述的应用层网关的报文关联方法，其特征在于，所述报文应用层协议类型包括第二报文类别；所述针对不同的报文应用层协议类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文，包括：

针对所述第二报文类别的所述第二网络流量，判断所属的连接类型；

针对不同的连接类型，根据所述至少一种报文特征信息，判断所述第一网络流量和所述第二网络流量是否属于同一报文。