CN102035725B - 一种非对称路由下单向流uri的关联技术系统及其方法 - Google Patents
一种非对称路由下单向流uri的关联技术系统及其方法 Download PDFInfo
- Publication number
- CN102035725B CN102035725B CN 201010249706 CN201010249706A CN102035725B CN 102035725 B CN102035725 B CN 102035725B CN 201010249706 CN201010249706 CN 201010249706 CN 201010249706 A CN201010249706 A CN 201010249706A CN 102035725 B CN102035725 B CN 102035725B
- Authority
- CN
- China
- Prior art keywords
- uri
- node
- gateway node
- query requests
- central dispatching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种非对称路由下单向流的唯一资源标注(URI)的查找与关联方法,其中网络包括多个对等的网关节点(A,B,C,D),其上运行基于内容扫描的网络安全系统,还包括一台中心调度节点(S),其上运行URI关联中心调度系统,用于调度各网关节点来解决URL关联问题。所述多个网关节点(A,B,C,D)之间是对等关系,任一网关节点均可作为URI查询请求网关节点,发起URI查询请求给中心调度节点(S);也可作为URI查询应答网关节点来处理URI查询请求,搜索本地URI散列表,将相关联的URI返回给中心调度节点(S)。本发明通过中心调度器来收集查询请求消息,并定时批量地将查询请求消息扩散到其他节点上,从而提高URI查询的效率,降低了网关节点策略实现的逻辑复杂性。
Description
技术领域
本发明涉及非对称路由,网络流识别、多机HTTP会话中请求流与应答流的关联以及URI信息的快速共享等技术领域。更具体而言涉及在大规模的边界网络中,对由非对称路由引起的单向HTTP流量的识别以及其请求流与应答流的关联,进而找出与应答流关联的URI。
背景技术
目前,网络流识别技术成为关注的焦点,准确、快速的识别网络流应用层协议的类别,对当前网络的运行和管理而言具有重大的现实意义,诸如有助于深化网络流工程学、网络容量设计和分配、服务质量(QoS)控制、网络性能监控、异常根源分析和安全监控等的研究。在网络流量分配的应用的期间,可以在完成协议识别的基础上控制各种应用协议的使用带宽,保证关键应用,抑制不希望出现的应用,例如针对HTTP、SMTP、FTP、MSN、QQ和BT等协议实现不同的流量带宽限制、或者是禁止使用。
在一般的异常检测系统中,普遍使用正则表达式规则来对一场流量进行检测,而内容扫描引擎多采用有限自动机,如Snort使用正规表示式来表示其规则,如果检测的结果指示该链接存在异常行为,则调用动作模块,阻止该链接继续通信。这种异常检测系统的性能关键在于自动机扫描的开销以及规则集规模的大小。
在针对HTTP流量的检测中,如果检测到某个会话的响应流中包含异常行为的流量,该链接被终止。这种应用模式的缺点是无法记忆上一次的扫描结果,对同一个资源的访问产生的通信流量必须每次都无条件调用自动机扫描,而在WEB网络中,同一资源有其在互联网中的唯一资源标注URI,因此,系统能辨别出对同一个资源的两次访问过程。如果能利用上一次扫描结果对该资源的有害性进行标注并存储资源的URI和有害性标记,则在每次访问该资源时都能根据该资源的有害性属性决定阻止还是放行该链接。这种策略可以避免对同一资源的多次扫描,极大缓解了对异常检测系统压力,本质上,这种记录上次扫描结果的机制属于一种黑白名单机制,黑白名单机制已经被广泛应用到各种信息安全系统中。
本发明不涉及到黑白名单机制的原理和实现,而涉及到其中一种黑白名单机制中的有效性问题,即URI黑白名单的有效性。在大规模的边界网络中,网络流的出入流并不一定在同一台路由器或者网关上。这种情况由互联网上的非对称路由引起,例如从主机A到主机E的报文可能经历的路径为A=>B=>E,而从E回来的报文可能经历的路径为E=>C=>A。如果B,C为边界网络上的两个网关,那么在B,C上部署的网络安全系统就会遇到上述URI黑白名单有效性的问题。Http会话的请求流经过网关B,而响应流经过网关C,这导致基于内容扫描的网络安全系统、异常检测系统的URI黑白名单机制完全失效,安全系统必须对相同资源的每次通信流量进行内容扫描,以确定本次访问是否正常。
有鉴于此,亟待提出一种行之有效的方法,并针对此方法建立通信的体系架构。
发明内容
为了解决上述问题,本发明的目的是提供一种非对称路由下单向流的唯一资源标注(URI)的查找与关联方法。
本发明解决其技术问题所采取的技术方案是:
为了解决在边界网关多服务器间单向流的URI关联问题,本发明提供了一种查找和关联策略,并为此策略的实施建立一套通信交互的体系架构,确定了通信协议格式。
根据本发明的一个方面,提供一套URI查找与关联的策略,包含如下步骤:
1)A(某台网关服务器)识别HTTP网络流,并标注TCP链接的方向,TCP链接方向定义有三种:C2S(客户端到服务器的单向流);S2C(服务器到客户端的单向流);DOUBLE(双向流);
2)设置URI散列表,其Key为五元组(protocol,src_ip,src_port,dst_ip,dst_port),Value为URI字符串;
3)A对HTTP流进行内容解析和内容扫描处理;
4)对于C2S流:根据当前TCP流的五元组信息和HTTP流的URI更新URI散列表;
5)对于S2C流:构造URI查询请求,请求中包含TCP流的五元组信息;
6)假如B接收到该条请求,根据请求中的五元组信息,B搜索自己的URI散列表;
7)如果B在自己的URI散列表中搜索到关联的URI,返回该URI;
8)A接收到相关URI,根据内容扫描结果更新URI黑白名单;
根据本发明的另一方面,还提供一种非对称路由下单向流的唯一资源标注(URI)的查找与关联系统,该系统包括多个对等的网关节点(A,B,C,D),其上运行基于内容扫描的网络安全系统,还包括一台中心调度节点(S),其上运行URI关联中心调度系统,用于调度各网关节点来解决URI关联问题,其特征在于:
所述多个网关节点(A,B,C,D)之间是对等关系,任一网关节点均可作为URI查询请求网关节点,发起URI查询请求给中心调度节点(S),并接收中心调度节点(S)返回的URI查询响应来更新本地的URI黑白名单;也可作为URI查询应答网关节点来处理经由中心调度节点(S)扩散的URI查询请求,搜索本地URI散列表,将相关联的URI返回给中心调度节点(S);
中心调度节点(S)用于接收请求网关节点的URI查询请求,缓冲该URI查询请求,并定时将URI查询请求扩散给应答网关节点。
根据本发明的又一方面,提供一种非对称路由下单向流的唯一资源标注(URI)的查找与关联方法,其网络架构包括多个对等的网关节点(A,B,C,D),其上运行基于内容扫描的网络安全系统,还包括一台中心调度节点(S),其上运行URI关联中心调度系统,用于调度各网关节点来解决URI关联问题;
当其中任一网关节点(A)发起查询URI的请求时,此时该网关节点(A)作为请求网关节点,其他所有网关节点(B,C,D)均作为应答网关节点,其特征在于该方法包括如下步骤:
1)请求网关节点(A)识别HTTP会话,并标注承载该HTTP会话的TCP流的方向属性;
2)请求网关节点(A)设置URI散列表,其键值为五元组,对象值为URI字符串;
3)请求网关节点(A)对HTTP会话进行内容解析和内容扫描处理,记录其有害性属性;
4)请求网关节点(A)根据TCP流的方向属性判定是否发送URI查询请求给中心调度节点(S),并且根据TCP流的方向属性来更新本地的URI散列表。
根据本发明的优选实施例,其中所述TCP流的方向属性定义有三种:客户端到服务器的单向流(C2S);服务器到客户端的单向流(S2C);双向流(DOUBLE)。
根据本发明的优选实施例,其中在步骤4)中,如果请求网关节点(A)判定TCP流的方向为客户端到服务器的单向流(C2S),则请求网关节点(A)不发送URI查询请求给中心调度节点(S);而是根据该TCP流的五元组信息,以及其承载的HTTP会话的URI信息来更新URI散列表。
根据本发明的优选实施例,其中所述在步骤4)中,如果请求网关节点(A)判定TCP流的方向为服务器到客户端的单向流(S2C),则请求网关节点(A)构造URI查询请求,并发送URI查询请求给中心调度节点(S);并根据中心调度节点(S)返回的URI查询响应更新本地的URI黑白名单。
根据本发明的优选实施例,其中所述五元组为(protocol,src_ip,src_port,dst_ip,dst_port)。
根据本发明的优选实施例,其中所述URI查询请求中包含TCP流的五元组信息。
根据本发明的优选实施例,还包括以下步骤:
5-1)中心调度节点(S)接收到URI查询请求后,首先缓冲该URI查询请求,并定时将URI查询请求扩散给应答网关节点(B,C,D);
5-2)所述应答网关节点(B,C,D)接收所述URI查询请求,根据该URI查询请求中的所述五元组信息,所述应答网关节点(B,C,D)搜索本机的URI散列表;
5-3)如果至少一个应答网关节点(B)在本机的URI散列表中搜索到相关联的URI,则返回该关联URI给中心调度节点(S)。
根据本发明的优选实施例,还包括以下步骤:
6-1)中心调度节点(S)将应答网关节点(B)返回的关联URI转发给查询的请求网关节点(A);
6-2)请求网关节点(A)接收关联URI,进行内容扫描,并根据关联URI的敏感属性来更新本地的URI黑白名单。
根据本发明的优选实施例,在所述步骤1)之前还包括:每个网关节点(A,B,C,D)处理流经该网关的所有网络流量,进行IP/TCP协议的重组与还原,处理IP分片情况,按TCP状态转换自动机建立正确的TCP流,分配和管理TCP链接表,并解析HTTP会话细节。
根据本发明的优选实施例,其中所述HTTP会话细节包括URI信息。
由于采用了上述的技术方案,本发明所具有的有益效果是:
就功能上的考虑而言,在通信过程中,中心调度系统只是承担了消息转发的功能,在本发明中,中心调度服务器的只扮演了消息转发者的功能,但这样设计是有其他好处的。在大型的网络信息安全系统中,URI黑白名单不是局部有效,而是全局有效,特别对非对称路由而言,请求流中并不含有非法信息,但含有非法的URI信息,如果我们在URI阶段就判别其有害性,则无需在响应流经过的节点上对内容进行扫描。这也正是URI黑白名单的用途。URI黑白名单的全局扩散将确保每个节点上保存有最新的URI黑白名单,而这种全局扩散机制需要一个中心服务器来实现,而本发明中的中心调度服务器正可担当此角色。
就性能上的考虑而言,在实际情况中,大型的边界网关上有大量的单向流情况存在。因此,在本策略中,URI关联查询请求消息的数量会比较大,为了提高查询的效率,中心调度器会收集所有网关节点的查询请求消息,并定时批量地将查询请求消息扩散到其他节点上,这降低了网关节点策略实现的逻辑复杂性,也提供了处理的效率。
在搜索URI散列表的操作中,为了提高检索效率,在五元组的结构体上定义一个比较函数,利用缓冲区位比较作为比较函数的基本操作。缓冲区按位比较操作操作简单,也能保证不同五元组对应不同的URI,既保证效率又保证正确性。
虽然在下文中将结合一些示例性实施及使用方法来描述本发明,但本领域技术人员应当理解,并不旨在将本发明限制于这些实施例。反之,旨在覆盖包含在所附的权利要求书所定义的本发明的精神与范围内的所有替代品、修正及等效物。
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书,权利要求书,以及附图中所特别指出的结构来实现和获得。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步的详细描述,其中:
图1示出了本发明的通信体系框架;
图2示出了本发明的消息通信格式;
图3示出了通信过程示例;
图4示出了根据本发明的网关节点处理流程图;以及
图5为根据本发明的中心调度系统其处理流程图。
具体实施方式
下面结合附图和实施例对本发明的具体实施方式作进一步说明。需要注意的是,根据本发明的非对称路由下单向流URI的关联技术的实施方式仅仅作为例子,但本发明不限于该具体实施方式。
本发明涉及到一种网络通信模型,从功能上来分有两个不同的网络实体:大量网关节点和一个中心调度系统。网关节点上部署网络安全系统,它们利用中心调度彼此互相通信,查找自己所需的单向流的URI信息。
图1示出了通信的体系架构图。如图1所示,有多个相同的网关服务器(网关A、B都是其中某台网关服务器),其上运行基于内容扫描的网络安全系统,有一台中心调度服务器C,其上运行URI关联中心调度系统。
本发明的网络架构包括多个对等的网关节点(A,B,C,D),其上运行基于内容扫描的网络安全系统,还包括一台中心调度节点(S),其上运行URI关联中心调度系统,用于调度各网关节点来解决URI关联问题,其特征在于:
所述多个网关节点(A,B,C,D)之间是对等关系,任一网关节点均可作为URI查询请求网关节点,发起URI查询请求给中心调度节点(S),并接收中心调度节点(S)返回的URI查询响应来更新本地的URI黑白名单;也可作为URI查询应答网关节点来处理经由中心调度节点(S)扩散的URI查询请求,搜索本地URI散列表,将相关联的URI返回给中心调度节点(S);
中心调度节点(S)用于接收请求网关节点的URI查询请求,缓冲该URI查询请求,并定时将URI查询请求扩散给应答网关节点。
图2示出了本发明的通信格式定义。如图2所示,所有通信过程均采用UDP通信,所有数据部分都采用Big_Endian格式。UDP负载数据又分为两个部分,应用消息头和应用消息体。应用消息头固定长为八个字节。前两个字节为魔数,用来精确识别协议,取固定值0x4356;第三个字节为消息类型,0x01为URI关联查询请求消息,0x02为URI关联响应消息;第四个字节保留,第五至第八个字节指明消息体的长度。应用消息体按消息类型有不同的消息格式。URI关联查询请求消息的消息体包含五元组信息,分别为源IP地址4字节,目的IP地址4字节,源端口2字节,目的端口2字节,协议类型1字节。URI关联响应消息的消息体也包含五元组信息,随后紧跟着URI的内容,其长度由消息头的长度字段与五元组固定信息字段长度的差来确定。
根据本发明的实施例,通信过程的示意图如图3所示。某个节点A发出查询请求消息,这个消息被送到中心调度系统,然后被扩散到其他节点B、C、D等。如果D在其局部URI散列表中查找到对应的URI,一个响应消息将被返回到中心调度系统。中心调度系统会将结果返回给请求节点A。
就本发明一些功能上的考虑而言,在通信过程中,我们注意到中心调度系统只是承担了消息转发的功能,在本发明中,中心调度服务器的只扮演了消息转发者的功能,但这样设计是有其他好处的。在大型的网络信息安全系统中,URI黑白名单不是局部有效,而是全局有效,特别对非对称路由而言,请求流中并不含有非法信息,但含有非法的URI信息,如果我们在URI阶段就判别其有害性,则无需在响应流经过的节点上对内容进行扫描。这也正是URI黑白名单的用途。URI黑白名单的全局扩散将确保每个节点上保存有最新的URI黑白名单,而这种全局扩散机制需要一个中心服务器来实现,而本发明中的中心调度服务器正可担当此角色。
就本发明一些性能上的考虑而言,在实际情况中,大型的边界网关上有大量的单向流情况存在。因此,在本策略中,URI关联查询请求消息的数量会比较大,为了提高查询的效率,中心调度器会收集所与地查询请求消息,并定时批量地将查询请求消息扩散到其他节点上,这降低了网关节点策略实现的逻辑复杂性,也提供了处理的效率。
在搜索URI散列表的操作中,为了提高检索效率,我们在五元组的结构体上定义一个比较函数,利用缓冲区位比较作为比较函数的基本操作。缓冲区按位比较操作操作简单,也能保证不同五元组对应不同的URI,既保证效率又保证正确性。
图4示出了本发明网关节点的实施步骤如下:
(1)网关节点对网络流量进行IP/TCP协议还原处理,标注每个TCP流的方向属性;
网关节点处理网络流量,进行IP/TCP协议的重组与还原,处理IP分片情况,按TCP状态转换自动机建立正确的TCP流,分配和管理TCP链接表。标注TCP流的方向属性,在处理TCP三次握手协议中,对于只看到Client发向Server的报文SYN,ACK,标注这样的TCP流方向属性为C2S;对于只看到Server发向Client的报文SYN|ACK,标注这样的TCP流方向属性为S2C;对于看到完整的Client和Server的三次握手过程,有SYN、SYN|ACK、ACK报文,标注这样的TCP流方向属性为DOUBLE。
(2)网关节点识别网络流量中HTTP流,并对内容进行扫描
在TCP流处理完成之后,根据端口和内容来识别HTTP流,端口号识别的特诊为服务器端口为80;内容特征如下:当是流的方向属性为C2S或者DOUBLE,会话的前几个字节为“GET”或者“POST”或者“HEAD”,其他请求类型暂不考虑。当流的方向属性为S2C时,会话的前几个字节应该为“HTTP/1.0”或者“HTTP/1.1”。对于C2S和DOUBLE方向的流,提取其URI,URI字段由HTTP会话的请求头中“HOST”字段的值加上请求的相对路径地址。
对HTTP请求或者响应部分的数据内容进行内容扫描。记录其有害性属性。
(3)根据流的方向属性更新本地的URI散列表;
如果流的方向为C2S,更新本地URI散列表。
(4)根据流的方向属性决定是否发送URI查询请求;
如果流的方向为S2C,构造URI查询,发送到中心调度系统。
(5)根据URI查询请求的结果更新本地的URI黑白名单;
开启一个监听线程,接收来自中心调度系统的URI查询响应消息。申请一个UDP类型的Socket,在指定端口上监听,有数据报文过来时,如果消息类型为响应消息,按响应报文格式解析数据,如果错误,返回,否则根据五元组信息找到相应的HTTP会话,及其扫描的结果。标志URI的黑白属性,更新如本地的URI黑白名单。
(6)处理来自其他节点的URI查询请求;
开启一个监听线程(可以使用前一个线程),接收来自中心调度系统的URI查询请求消息。有数据报文过来时,如果消息类型为请求消息,按请求报文格式解析数据,如果错误,返回。否则根据五元组在本机的TCP链接表中查找相应的TCP链接,没有找到,返回。如果找到TCP链接,进一步找到其HTTP会话数据结构,如果有URI信息,生成一个URI查询响应消息,回填五元组信息和URI信息,返回给中心调度系统。
图5示出了本发明的中心调度系统的实施步骤如下:
(1)收集来自网关节点的URI查询请求;
开启一个监听线程,接收来自各个网关服务器的查询请求。申请一个UDP类型的Socket,在指定端口上监听数据。有数据报文过来时,如果消息类型为请求消息,按请求报文格式解析数据,如果错误,返回。否则,缓冲请求者的请求消息,将请求消息加入到请求者的请求消息队列中。中心调度系统为每个网关服务器建立一个请求消息队列。
(2)定时批量扩散URI查询请求;
当请求消息队列的消息数量超过预定阈值Y(可以根据实际情况调整,一般取1000)时,或者当发送间隔超过T(也可以根据实际情况调整,一般取5s)时,将一个请求者的请求消息扩散给其他所有节点上。
(3)收集来自网关节点的URI查询响应,转发给相关的请求节点
开启一个监听线程(可以使用1)中的开启的线程),接收来自各个网关节点的查询响应。有数据报文过来时,如果消息类型为请求消息,按请求报文格式解析数据,如果错误,返回。根据五元组找到相应的请求者,将该消息转发给请求节点。
在本发明中,当其中任一网关节点(A)发起查询URI的请求时,此时该网关节点(A)作为请求网关节点,其他所有网关节点(B,C,D)均作为应答网关节点。在图3中仅仅以网关节点(A)作为请求网关节点为例进行了说明,需要强调的是,任一网关节点均为对等的关系,也就是说,每一个网关节点均可以作为请求网关节点发起URI查询请求,此时其他所有网关节点均作为应答网关节点。例如,假如网关节点(B)发起查询URI的请求时,此时该网关节点(B)就作为请求网关节点,其他所有网关节点(A,C,D)均作为应答网关节点,依此类推。
1)请求网关节点(A)识别HTTP会话,并标注承载该HTTP会话的TCP流的方向属性;
2)请求网关节点(A)设置URI散列表,其键值(Key)为五元组(protocol,src_ip,src_port,dst_ip,dst_port),对象值(Value)为URI字符串;
3)请求网关节点(A)对HTTP会话进行内容解析和内容扫描处理,记录其有害性属性;
4)请求网关节点(A)根据TCP流的方向属性判定是否发送URI查询请求给中心调度节点(S),并且根据TCP流的方向属性来更新本地的URI散列表。
根据本发明的优选实施例,其中所述TCP流的方向属性定义有三种:客户端到服务器的单向流(C2S);服务器到客户端的单向流(S2C);双向流(DOUBLE)。
根据本发明的优选实施例,其中在步骤4)中,如果请求网关节点(A)判定TCP流的方向为客户端到服务器的单向流(C2S)或者为双向流(DOUBLE),则请求网关节点(A)不发送URI查询请求给中心调度节点(S);而是根据该TCP流的五元组信息,以及其承载的HTTP会话的URI信息来更新URI散列表。
根据本发明的优选实施例,其中所述在步骤4)中,如果请求网关节点(A)判定TCP流的方向为服务器到客户端的单向流(S2C),则请求网关节点(A)构造URI查询请求,并发送URI查询请求给中心调度节点(S);并根据中心调度节点(S)返回的URI查询响应更新本地的URI黑白名单。根据本发明的优选实施例,其中所述URI查询请求中包含TCP流的五元组信息。
根据本发明的优选实施例,还包括以下步骤:
5-1)中心调度节点(S)接收到URI查询请求后,首先缓冲该URI查询请求,并定时将URI查询请求扩散给应答网关节点(B,C,D);
5-2)所述应答网关节点(B,C,D)接收所述URI查询请求,根据该URI查询请求中的所述五元组信息,所述应答网关节点(B,C,D)搜索本机的URI散列表;
5-3)如果至少一个应答网关节点(B)在本机的URI散列表中搜索到相关联的URI,则返回该关联URI给中心调度节点(S)。
根据本发明的优选实施例,还包括以下步骤:
6-1)中心调度节点(S)将应答网关节点(B)返回的关联URI转发给查询的请求网关节点(A);
6-2)请求网关节点(A)接收关联URI,进行内容扫描,并根据关联URI的敏感属性来更新本地的URI黑白名单。
根据本发明的优选实施例,在所述步骤1)之前还可以包括:每个网关节点(A,B,C,D)处理流经该网关的所有网络流量,进行IP/TCP协议的重组与还原,处理IP分片情况,按TCP状态转换自动机建立正确的TCP流,分配和管理TCP链接表,并解析HTTP会话细节(包括URI信息)。
尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于具体实施例和附图所公开的内容。
Claims (9)
1.一种非对称路由下单向流的唯一资源标注(URI)的查找与关联系统,该系统包括多个对等的网关节点(A,B,C,D),其上运行基于内容扫描的网络安全系统,还包括一台中心调度节点(S),其上运行URI关联中心调度系统,用于调度各网关节点来解决URI关联问题,其特征在于:
所述多个网关节点(A,B,C,D)之间是对等关系,任一网关节点均可作为URI查询请求网关节点,发起URI查询请求给中心调度节点(S),并接收中心调度节点(S)返回的URI查询响应来更新本地的URI黑白名单;也可作为URI查询应答网关节点来处理经由中心调度节点(S)扩散的URI查询请求,搜索本地URI散列表,将相关联的URI返回给中心调度节点(S);
中心调度节点(S)用于接收请求网关节点的URI查询请求,缓冲该URI查询请求,并定时将URI查询请求扩散给应答网关节点。
2.一种非对称路由下单向流的唯一资源标注(URI)的查找与关联方法,其网络架构包括多个对等的网关节点(A,B,C,D),其上运行基于内容扫描的网络安全系统,还包括一台中心调度节点(S),其上运行URI关联中心调度系统,用于调度各网关节点来解决URI关联问题;
当其中任一网关节点(A)发起查询URI的请求时,此时该网关节点(A)作为请求网关节点,其他所有网关节点(B,C,D)均作为应答网关节点,其特征在于该方法包括如下步骤:
1)请求网关节点(A)识别HTTP会话,并标注承载该HTTP会话的TCP流的方向属性;所述TCP流的方向属性定义有三种:客户端到服务器的单向流(C2S);服务器到客户端的单向流(S2C);双向流(DOUBLE);
2)请求网关节点(A)设置URI散列表,其键值为五元组,对象值为URI字符串;
3)请求网关节点(A)对HTTP会话进行内容解析和内容扫描处理,记录其有害性属性;
4)请求网关节点(A)根据TCP流的方向属性判定是否发送URI查询请求给中心调度节点(S),并且根据TCP流的方向属性来更新本地的URI散列表;
在步骤4)中,如果请求网关节点(A)判定TCP流的方向为服务器到客户端的单向流(S2C),则请求网关节点(A)构造URI查询请求,并发送URI查询请求给中心调度节点(S);并根据中心调度节点(S)返回的URI查询响应更新本地的URI黑白名单。
3.根据权利要求2的查找与关联方法,其特征在于在步骤4)中,如果请求网关节点(A)判定TCP流的方向为客户端到服务器的单向流(C2S)或者为双向流(DOUBLE),则请求网关节点(A)不发送URI查询请求给中心调度节点(S);而是根据该TCP流的五元组信息,以及其承载的HTTP会话的URI信息来更新URI散列表。
4.根据权利要求2的查找与关联方法,所述五元组为(protocol,src_ip,src_port,dst_ip,dst_port)。
5.根据权利要求2的查找与关联方法,其特征在于在所述URI查询请求中包含TCP流的五元组信息。
6.根据权利要求2的查找与关联方法,其特征在于:
6-1)中心调度节点(S)接收到URI查询请求后,首先缓冲该URI查询请求,并定时将URI查询请求扩散给应答网关节点(B,C,D);
6-2)所述应答网关节点(B,C,D)接收所述URI查询请求,根据该URI查询请求中的所述五元组信息,所述应答网关节点(B,C,D)搜索本机的URI散列表;
6-3)如果至少一个应答网关节点(B)在本机的URI散列表中搜索到相关联的URI,则返回该关联URI给中心调度节点(S)。
7.根据权利要求6的查找与关联方法,其特征在于:
7-1)中心调度节点(S)将应答网关节点(B)返回的关联URI转发给查询的请求网关节点(A);
7-2)请求网关节点(A)接收关联URI,进行内容扫描,并根据关联URI的敏感属性来更新本地的URI黑白名单。
8.根据权利要求2-7任一项的查找与关联方法,其特征在于所述步骤1)之前还包括:每个网关节点(A,B,C,D)处理流经该网关的所有网络流量,进行IP/TCP协议的重组与还原,处理IP分片情况,按TCP状态转换自动机建立正确的TCP流,分配和管理TCP链接表,并解析HTTP会话细节。
9.根据权利要求8的查找与关联方法,其特征在于所述HTTP会话细节包括URI信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010249706 CN102035725B (zh) | 2010-08-10 | 2010-08-10 | 一种非对称路由下单向流uri的关联技术系统及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010249706 CN102035725B (zh) | 2010-08-10 | 2010-08-10 | 一种非对称路由下单向流uri的关联技术系统及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102035725A CN102035725A (zh) | 2011-04-27 |
| CN102035725B true CN102035725B (zh) | 2013-01-02 |
Family
ID=43888082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010249706 Expired - Fee Related CN102035725B (zh) | 2010-08-10 | 2010-08-10 | 一种非对称路由下单向流uri的关联技术系统及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102035725B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109787848A (zh) * | 2019-04-02 | 2019-05-21 | 浙江数值跳跃网络科技有限公司 | 一种通过内网穿透技术组建去中心化网络架构技术 |
| CN114793245B (zh) * | 2022-06-22 | 2022-09-27 | 杭州又拍云科技有限公司 | 一种灵活可配置的流式信息处理方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1555170A (zh) * | 2003-12-23 | 2004-12-15 | 沈阳东软软件股份有限公司 | 流过滤防火墙 |
| EP1561333A1 (en) * | 2002-11-15 | 2005-08-10 | International Business Machines Corporation | Network traffic control in peer-to-peer environments |
-
2010
- 2010-08-10 CN CN 201010249706 patent/CN102035725B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1561333A1 (en) * | 2002-11-15 | 2005-08-10 | International Business Machines Corporation | Network traffic control in peer-to-peer environments |
| CN1555170A (zh) * | 2003-12-23 | 2004-12-15 | 沈阳东软软件股份有限公司 | 流过滤防火墙 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102035725A (zh) | 2011-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200177461A1 (en) | Configuration Management Method and Apparatus, and Device | |
| US11411897B2 (en) | Communication method and communication apparatus for message queue telemetry transport | |
| US6546420B1 (en) | Aggregating information about network message flows | |
| Slabicki et al. | Performance evaluation of CoAP, SNMP and NETCONF protocols in fog computing architecture | |
| US8619768B2 (en) | Method for dynamic sensor network processing | |
| US7457870B1 (en) | Methods, apparatuses and systems facilitating classification of web services network traffic | |
| US7774456B1 (en) | Methods, apparatuses and systems facilitating classification of web services network traffic | |
| JP7336472B2 (ja) | 通信ネットワークを介したネットワークトラフィックのトレーサビリティの決定 | |
| WO2023087605A1 (zh) | 服务编排方法、装置、系统及存储介质 | |
| WO2018223825A1 (zh) | 数据流的处理方法和设备 | |
| Elmangoush et al. | Application-derived communication protocol selection in M2M platforms for smart cities | |
| Hamid et al. | Survey on IoT application layer protocols | |
| JP2005295457A (ja) | P2pトラフィック対応ルータ及びそれを用いたp2pトラフィック情報共有システム | |
| Giambona et al. | Mqtt+ enhanced syntax and broker functionalities for data filtering, processing and aggregation | |
| CN102035725B (zh) | 一种非对称路由下单向流uri的关联技术系统及其方法 | |
| CN101127690A (zh) | 一种下一代网络业务流量识别方法 | |
| Moritz et al. | Devices profile for web services in wireless sensor networks: Adaptations and enhancements | |
| JP6139705B2 (ja) | 複数のネットワークフローを処理するためのセキュリティデバイスおよびその方法 | |
| KR20220029142A (ko) | Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법 | |
| CN101510878A (zh) | 一种对等网络监控方法、装置和设备 | |
| CN111385146A (zh) | 一种基于Kong的API网关路由实体配置方法及系统 | |
| EP2605480B1 (en) | Apparatus and method for HTTP analysis | |
| Bansal et al. | Enhancing constrained application protocol using message options for internet of things | |
| CN116458120A (zh) | 保护网络资源免受已知威胁 | |
| KR101003505B1 (ko) | 망 부하에 따른 트래픽의 동적 제어방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: INST. OF COMPUTING TECHNOLOGY, CHINESE ACADEMY OF Owner name: STATE COMPUTER NETWORK AND INFORMATION SAFETY MANA Free format text: FORMER OWNER: INST. OF COMPUTING TECHNOLOGY, CHINESE ACADEMY OF SCIENCES Effective date: 20110907 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100190 HAIDIAN, BEIJING TO: 100029 CHAOYANG, BEIJING |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20110907 Address after: 100029 Beijing city Chaoyang District Yumin Road No. 3 Applicant after: State Computer Network and Information Safety Management Center Co-applicant after: Institute of Computing Technology, Chinese Academy of Sciences Address before: 100190 Haidian District, Zhongguancun Academy of Sciences, South Road, No. 6, No. Applicant before: Institute of Computing Technology, Chinese Academy of Sciences |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130102 Termination date: 20180810 |