CN102594819A - 基于单次解析扫描的方法和装置 - Google Patents
基于单次解析扫描的方法和装置 Download PDFInfo
- Publication number
- CN102594819A CN102594819A CN2012100348557A CN201210034855A CN102594819A CN 102594819 A CN102594819 A CN 102594819A CN 2012100348557 A CN2012100348557 A CN 2012100348557A CN 201210034855 A CN201210034855 A CN 201210034855A CN 102594819 A CN102594819 A CN 102594819A
- Authority
- CN
- China
- Prior art keywords
- packet
- condition code
- business
- module
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明揭示了一种基于单次解析扫描的方法和装置,该方法包括步骤:网络安全装置接收数据包;根据预设的特征码集匹配所述数据包,所述特征码集包括多个业务的特征码;调用与所述数据包相匹配的特征码所属的业务对所述数据包进行业务处理。本发明提供的一种基于单次解析扫描的方法和装置,对所有网络安全装置的业务模块对应的特征码进行集中匹配,依次处理,提高网络安全装置的性能。
Description
技术领域
本发明涉及到网络安全领域,尤其涉及到一种基于单次解析扫描的方法和装置。
背景技术
防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL(Access Control List,访问控制列表)、NAT(Network Address Translation,网络地址转换)策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。2009年10月Gartner提出的“Defining the Next-Generation Firewall”一文,重新定义了下一代防火墙。
IDC(Internet Data Center,互联网数据中心)提出“统一威胁管理”的概念,即将防病毒、入侵检测和防火墙安全设备划归UTM(Unified ThreatManagement,统一威胁管理)这一新类别。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中,该概念引起了业界的广泛重视,并推动了以整合式安全设备为代表的市场细分的诞生。
NGAF中包含IPS(Internet Protocol Suite,互联网协议群)策略、WAF(Web Application Firewall,Web应用防护系统)策略、URL(Uniform/Universal Resource Locator,统一资源定位符)防护、应用识别、AV(Anti-Virus,防病毒)等业务,而这些业务无一例外涉及到特征码匹配操作。如图1所示,目前的作法是网络安全装置拦截数据流,将数据流与各业务模块所对应的特征码依次匹配,再依次进行业务处理,这种串行处理方法,使得网络安全装置需要一次性调用大量功能模块导致性能大大下降。
发明内容
本发明的主要目的为提供一种基于单次解析扫描的方法和装置,对所有网络安全装置的业务模块对应的特征码进行集中匹配,依次处理,提高网络安全装置的性能。
本发明一种基于单次解析扫描的方法,包括步骤:
网络安全装置接收数据包;
根据预设的特征码集匹配所述数据包,所述特征码集包括多个业务的特征码;
调用与所述数据包相匹配的特征码所属的业务对所述数据包进行业务处理。
优选地,所述根据预设的特征码集匹配所述数据包包括:
解析所述数据包,得到所述数据包的多个参数;
将各特征码与对应的参数进行比对;
当某一特征码与对应的参数比对一致时,将所述数据包打上该特征码所属业务的业务标记。
优选地,所述解析所述数据包包括:
根据所述数据包的协议特征解析所述数据包。
优选地,所述调用与所述数据包相匹配的特征码所属的业务对所述数据包进行业务处理包括:
根据所述数据包的业务标记,调用相应的业务依次对所述数据包进行业务处理。
优选地,在执行接收数据包之前,还包括:
将各业务需要识别的特征码分别打上对应的业务标记;
将所述打上业务标记的特征码编译成特征码集。
本发明还提出一种基于单次解析扫描的装置,包括:
接收模块,用于接收数据包;
匹配模块,用于根据预设的特征码集匹配所述数据包,所述特征码集包括多个业务的特征码;
调用模块,用于调用与所述数据包相匹配的特征码所属的业务对所述数据包进行业务处理。
优选地,所述匹配模块包括:
解析单元,用于解析所述数据包,得到所述数据包的多个参数;
比对单元,用于将各特征码与对应的参数进行比对;
第一标记单元,用于当某一特征码与对应的参数比对一致时,将所述数据包打上该特征码所属业务的业务标记。
优选地,所述解析单元具体用于根据所述数据包的协议特征解析所述数据包。
优选地,所述调用模块具体用于:
根据所述数据包的业务标记,调用相应的业务依次对所述数据包进行业务处理。
优选地,所述装置还包括:
设置模块,用于将各业务需要识别的特征码分别打上对应的业务标记;以及将所述打上业务标记的特征码编译成特征码集。
本发明提出的一种基于单次解析扫描的方法和装置,针对目前网络安全装置在处理接收数据包时需要开启所有业务模块,各业务模块对数据包进行串行匹配及处理,导致增加了匹配数据包的消耗的问题,提出一种单次解析匹配的方法,将匹配数据包统一并行进行,再根据匹配结果分发给各功能模块处理,将匹配的串行处理变成并行处理,提高处理速度,极大提高网络安全装置的产品性能。
附图说明
图1为现有技术网络安全装置特征码匹配方法的流程示意图;
图2为本发明基于单次解析扫描的方法一实施例的流程示意图;
图3为本发明基于单次解析扫描的装置一实施例的结构示意图;
图4为本发明基于单次解析扫描的装置一实施例中匹配模块的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图2,提出本发明基于单次解析扫描的方法一实施例,包括:
步骤S10、将各业务需要识别的特征码分别打上对应的业务标记;以及将所述打上业务标记的特征码编译成特征码集;
在接收数据包并对数据包进行统一解析扫描之前,需要预先将IPS模块、WAF模块、URL模块等各业务模块所需要识别的特征码集合编译成可供网络安全装置识别的特征码集,并且在各业务模块的特征码上标注所属的业务模块的业务标记,此处做业务标记的目的在于在后续数据包的匹配及业务处理上进行识别。
将编译好后的特征码集下发,并将各依赖特征码扫描的业务模块注册到网络安全装置中。
步骤S11、网络安全装置接收数据包;
步骤S12、根据预设的特征码集匹配所述数据包,所述特征码集包括多个业务的特征码;
由于网络安全装置可适用于复合型网络(异构网络)或单一协议的网络中,当网络安全装置接收来自复合型网络传来的数据包时,数据包通常带有多种协议,如HTTP协议(HyperText Transfer Protocol,超文本传输协议)或FTP协议(File Transfer Protocol,文本传输协议)等,通过各协议的协议特征对接收的数据包进行识别。
根据识别出的协议以及上述特征集,对接收的数据包进行特征码匹配。以HTTP协议为例,将数据包解析为Head、Body、Uri和Cookie等参数,不同的业务模块其特征码体现在不同的参数中,将各业务模块的特征码与对应的参数比对,查找对应的参数中是否存在各业务模块的特征码,如当出现“User-Agent:BitTorrent”、“GET/announce?info_hash=”、“GET/scrape?info_hash”的字符串时,表现该数据包为比特湍流数据包,则符合应用识别业务模块的特征码,又如WAF模块中有防sql注入的规则,则在参数Uri中查找是否存在sql注入类型的特征码即and 1=1,and 1=2等特征,如果发现,则将该数据包打上WAF模块的业务标识。
当存在符合某一业务模块的特征码时,将该数据包打上该业务模块的业务标记。当打上所有与数据包相匹配的业务模块的业务标记后,即完成网络安全装置的单次扫描,统一将所有在网络安全装置注册的业务模块的特征码匹配工作一次完成。
步骤S13、调用与所述数据包相匹配的特征码所属的业务对所述数据包进行业务处理。
根据特征码集匹配数据包后,得到了已打上匹配成功的特征码所属的业务模块的业务标记之数据包,然后根据上述业务标记顺序回调各业务模块对该数据包进行相应的业务处理。
本实施例针对目前网络安全装置在处理接收数据包时需要开启所有业务模块,各业务模块对数据包进行串行匹配及处理,导致增加了匹配数据包的消耗的问题,提出一种单次解析匹配的方法,将匹配数据包统一并行进行,再根据匹配结果分发给各功能模块处理,将匹配的串行处理变成并行处理,提高处理速度,极大提高网络安全装置的产品性能。
参照图3,提出本发明基于单次解析扫描的装置一实施例,包括:
设置模块10,用于将各业务需要识别的特征码分别打上对应的业务标记;以及将所述打上业务标记的特征码编译成特征码集。
接收模块20,用于接收数据包;
匹配模块30,用于根据预设的特征码集匹配所述数据包,所述特征码集包括多个业务的特征码;
调用模块40,用于调用与所述数据包相匹配的特征码所属的业务对所述数据包进行业务处理。
参照图4,匹配模块30包括:
解析单元31,用于解析所述数据包,得到所述数据包的多个参数;
比对单元32,用于将各特征码与对应的参数进行比对;
第一标记单元33,用于当某一特征码与对应的参数比对一致时,将所述数据包打上该特征码所属业务的业务标记。
本实施例的基于单次解析扫描的装置可以是网络安全装置本身。在基于单次解析扫描的装置的接收模块20接收数据包并对数据包进行统一解析扫描之前,设置模块10需要预先将IPS模块、WAF模块、URL模块等各业务模块所需要识别的特征码集合编译成可供网络安全装置识别的特征码集,并且在各业务模块的特征码上标注所属的业务模块的业务标记,此处做业务标记的目的在于在后续数据包的匹配及业务处理上进行识别。
设置模块10将编译好后的特征码集下发,并将各依赖特征码扫描的业务模块注册到网络安全装置中。
由于网络安全装置可适用于复合型网络(异构网络)或单一协议的网络中,当网络安全装置接收来自复合型网络传来的数据包时,数据包通常带有多种协议,如HTTP协议或FTP协议等,解析单元31通过各协议的协议特征对接收的数据包进行识别。
根据识别出的协议以及上述特征集,匹配模块30对接收的数据包进行特征码匹配。以HTTP协议为例,解析单元31将数据包解析为Head、Body、Uri和Cookie等参数,不同的业务模块其特征码体现在不同的参数中,比对单元32将各业务模块的特征码与对应的参数比对,查找对应的参数中是否存在各业务模块的特征码,例如当出现“User-Agent:BitTorrent”、“GET/announce?info_hash=”、“GET/scrape?info_hash”的字符串时,表示该数据包为比特湍流数据包,则符合应用识别业务模块的特征码,又如WAF模块中有防sql注入的规则,则在参数Uri中查找是否存在sql注入类型的特征码即and 1=1,and 1=2等特征,如果发现,则将该数据包打上WAF模块的业务标识。
当存在符合某一业务模块的特征码时,第一标记单元33将该数据包打上该业务模块的业务标记。当打上所有与数据包相匹配的业务模块的业务标记后,即完成网络安全装置的单次扫描,统一将所有在网络安全装置注册的业务模块的特征码匹配工作一次完成。
根据特征码集匹配数据包后,得到了已打上匹配成功的特征码所属的业务模块的业务标记之数据包,然后调用模块40根据上述业务标记顺序回调各业务模块对该数据包进行相应的业务处理。
本实施例针对目前网络安全装置在处理接收数据包时需要开启所有业务模块,各业务模块对数据包进行串行匹配及处理,导致增加了匹配数据包的消耗的问题,提出一种单次解析匹配的装置,将匹配数据包统一并行处理,再根据匹配结果分发给各功能模块处理,将匹配的串行处理变成并行处理,提高处理速度,极大提高网络安全装置的产品性能。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于单次解析扫描的方法,其特征在于,包括步骤:
网络安全装置接收数据包;
根据预设的特征码集匹配所述数据包,所述特征码集包括多个业务的特征码;
调用与所述数据包相匹配的特征码所属的业务对所述数据包进行业务处理。
2.如权利要求1所述的方法,其特征在于,所述根据预设的特征码集匹配所述数据包包括:
解析所述数据包,得到所述数据包的多个参数;
将各特征码与对应的参数进行比对;
当某一特征码与对应的参数比对一致时,将所述数据包打上该特征码所属业务的业务标记。
3.如权利要求2所述的方法,其特征在于,所述解析所述数据包包括:
根据所述数据包的协议特征解析所述数据包。
4.如权利要求2所述的方法,其特征在于,所述调用与所述数据包相匹配的特征码所属的业务对所述数据包进行业务处理包括:
根据所述数据包的业务标记,调用相应的业务依次对所述数据包进行业务处理。
5.如权利要求1至4中任一项所述的方法,其特征在于,在执行接收数据包之前,还包括:
将各业务需要识别的特征码分别打上对应的业务标记;
将所述打上业务标记的特征码编译成特征码集。
6.一种基于单次解析扫描的装置,其特征在于,包括:
接收模块,用于接收数据包;
匹配模块,用于根据预设的特征码集匹配所述数据包,所述特征码集包括多个业务的特征码;
调用模块,用于调用与所述数据包相匹配的特征码所属的业务对所述数据包进行业务处理。
7.如权利要求6所述的装置,其特征在于,所述匹配模块包括:
解析单元,用于解析所述数据包,得到所述数据包的多个参数;
比对单元,用于将各特征码与对应的参数进行比对;
第一标记单元,用于当某一特征码与对应的参数比对一致时,将所述数据包打上该特征码所属业务的业务标记。
8.如权利要求7所述的装置,其特征在于,所述解析单元具体用于根据所述数据包的协议特征解析所述数据包。
9.如权利要求7所述的装置,其特征在于,所述调用模块具体用于:
根据所述数据包的业务标记,调用相应的业务依次对所述数据包进行业务处理。
10.如权利要求6至9中任一项所述的装置,其特征在于,还包括:
设置模块,用于将各业务需要识别的特征码分别打上对应的业务标记;以及将所述打上业务标记的特征码编译成特征码集。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210034855.7A CN102594819B (zh) | 2012-02-16 | 2012-02-16 | 基于单次解析扫描的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210034855.7A CN102594819B (zh) | 2012-02-16 | 2012-02-16 | 基于单次解析扫描的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102594819A true CN102594819A (zh) | 2012-07-18 |
CN102594819B CN102594819B (zh) | 2016-04-06 |
Family
ID=46483020
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210034855.7A Active CN102594819B (zh) | 2012-02-16 | 2012-02-16 | 基于单次解析扫描的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102594819B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105429779A (zh) * | 2015-10-28 | 2016-03-23 | 上海熙菱信息技术有限公司 | 一种网络业务数据自动识别系统及方法 |
CN110493144A (zh) * | 2019-07-31 | 2019-11-22 | 华为技术有限公司 | 一种数据处理方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1741504A (zh) * | 2005-08-29 | 2006-03-01 | 杭州华为三康技术有限公司 | 基于应用的流量控制方法及进行应用流量控制的网络设备 |
CN101119321A (zh) * | 2007-09-29 | 2008-02-06 | 杭州华三通信技术有限公司 | 网络流量分类处理方法及网络流量分类处理装置 |
US20080148226A1 (en) * | 2006-12-13 | 2008-06-19 | Institute For Information Industry | Apparatus, method, and computer readable medium thereof for generating and utilizing a feature code to monitor a program |
CN101789904A (zh) * | 2010-02-04 | 2010-07-28 | 杭州华三通信技术有限公司 | 流量控制的方法及设备 |
CN101815015A (zh) * | 2010-02-22 | 2010-08-25 | 浪潮通信信息系统有限公司 | 面向内容的网络流量快速安检引擎 |
-
2012
- 2012-02-16 CN CN201210034855.7A patent/CN102594819B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1741504A (zh) * | 2005-08-29 | 2006-03-01 | 杭州华为三康技术有限公司 | 基于应用的流量控制方法及进行应用流量控制的网络设备 |
US20080148226A1 (en) * | 2006-12-13 | 2008-06-19 | Institute For Information Industry | Apparatus, method, and computer readable medium thereof for generating and utilizing a feature code to monitor a program |
CN101119321A (zh) * | 2007-09-29 | 2008-02-06 | 杭州华三通信技术有限公司 | 网络流量分类处理方法及网络流量分类处理装置 |
CN101789904A (zh) * | 2010-02-04 | 2010-07-28 | 杭州华三通信技术有限公司 | 流量控制的方法及设备 |
CN101815015A (zh) * | 2010-02-22 | 2010-08-25 | 浪潮通信信息系统有限公司 | 面向内容的网络流量快速安检引擎 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105429779A (zh) * | 2015-10-28 | 2016-03-23 | 上海熙菱信息技术有限公司 | 一种网络业务数据自动识别系统及方法 |
CN105429779B (zh) * | 2015-10-28 | 2019-05-03 | 上海熙菱信息技术有限公司 | 一种网络业务数据自动识别系统及方法 |
CN110493144A (zh) * | 2019-07-31 | 2019-11-22 | 华为技术有限公司 | 一种数据处理方法及装置 |
CN110493144B (zh) * | 2019-07-31 | 2023-03-10 | 华为技术有限公司 | 一种数据处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102594819B (zh) | 2016-04-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10091167B2 (en) | Network traffic analysis to enhance rule-based network security | |
US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
CN105099821B (zh) | 基于云的虚拟环境下流量监控的方法和装置 | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
CN103795709A (zh) | 一种网络安全检测方法和系统 | |
CN105429963A (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
US20150143454A1 (en) | Security management apparatus and method | |
CN104579818A (zh) | 智能变电站网络异常报文检测方法 | |
US9338657B2 (en) | System and method for correlating security events with subscriber information in a mobile network environment | |
US20210092610A1 (en) | Method for detecting access point characteristics using machine learning | |
CN103095709B (zh) | 安全防护方法及装置 | |
CN103209170A (zh) | 文件类型识别方法及识别系统 | |
CN105357179A (zh) | 网络攻击的处理方法及装置 | |
CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
Anitha et al. | A packet marking approach to protect cloud environment against DDoS attacks | |
CN103944788A (zh) | 基于网络通信行为的未知木马检测方法 | |
WO2016008212A1 (zh) | 一种终端及检测终端数据交互的安全性的方法、存储介质 | |
CN102594819A (zh) | 基于单次解析扫描的方法和装置 | |
Kang et al. | Whitelists based multiple filtering techniques in SCADA sensor networks | |
CN103001966A (zh) | 一种私网ip的处理、识别方法及装置 | |
US11159548B2 (en) | Analysis method, analysis device, and analysis program | |
CN105049437A (zh) | 一种网络应用层数据过滤方法 | |
CN105429980A (zh) | 网络安全处理方法及装置 | |
Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
CN103685320A (zh) | 网络数据包的特征匹配方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20200608 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SANGFOR TECHNOLOGIES Inc. Address before: 518000 Nanshan Science and Technology Pioneering service center, No. 1 Qilin Road, Guangdong, Shenzhen 418, 419, Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd. |
|
TR01 | Transfer of patent right |