CN103051532A - 路由方法及装置 - Google Patents
路由方法及装置 Download PDFInfo
- Publication number
- CN103051532A CN103051532A CN2012105551849A CN201210555184A CN103051532A CN 103051532 A CN103051532 A CN 103051532A CN 2012105551849 A CN2012105551849 A CN 2012105551849A CN 201210555184 A CN201210555184 A CN 201210555184A CN 103051532 A CN103051532 A CN 103051532A
- Authority
- CN
- China
- Prior art keywords
- risk identification
- packet
- identification rule
- link
- body matter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种路由方法,包括:获取数据包;获取风险识别规则;根据所述风险识别规则获取与所述数据包匹配的链路;通过所述链路转发所述数据包。此外,还包括一种路由装置。上述路由方法及装置可以提高安全性。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种路由方法及装置。
背景技术
现有的路由技术通常根据数据包的目的IP地址信息等地址信息完成路由。传统技术中的路由装置总是根据数据包的目标IP地址将数据包转发到不同的链路上。
然而,传统技术中的路由装置只是仅仅根据上述地址信息将数据包进行转发,而不能对数据包的安全性进行评估,因此,传统技术中的路由方法安全性不足。
发明内容
基于此,有必要提供一种能提高安全性的路由方法。
一种路由方法,包括:
获取数据包;
获取风险识别规则;
根据所述风险识别规则获取与所述数据包匹配的链路;
通过所述链路转发所述数据包。
在其中一个实施例中,所述方法还包括:
获取风险识别规则配置请求;
根据所述风险识别规则配置请求生成风险识别规则。
在其中一个实施例中,所述根据所述风险识别规则获取与所述数据包匹配的链路的步骤包括:
获取所述数据包对应的包头内容和/或正文内容;
根据所述风险识别规则获取与所述包头内容和/或正文内容匹配的链路。
在其中一个实施例中,所述根据所述风险识别规则获取与所述包头内容和/或正文内容匹配的链路的步骤为:
根据所述风险识别规则通过比对字符串获取与所述包头内容和/或正文内容匹配的链路。
在其中一个实施例中,所述根据所述风险识别规则获取与所述数据包匹配的链路的步骤还包括:
获取所述数据包对应的行为模式;
根据所述风险识别规则获取与所述行为模式匹配的链路。
此外,还有必要提供一种能提高安全性的路由装置。
一种路由装置,包括:
数据包获取模块,用于获取数据包;
规则获取模块,用于获取风险识别规则;
匹配模块,用于根据所述风险识别规则获取与所述数据包匹配的链路;
转发模块,用于通过所述链路转发所述数据包。
在其中一个实施例中,所述装置还包括风险识别规则定义模块,用于获取风险识别规则配置请求,根据所述风险识别规则配置请求生成风险识别规则。
在其中一个实施例中,所述匹配模块还用于获取所述数据包对应的包头内容和/或正文内容;
根据所述风险识别规则获取与所述包头内容和/或正文内容匹配的链路。
在其中一个实施例中,所述匹配模块还用于根据所述风险识别规则通过比对字符串获取与所述包头内容和/或正文内容匹配的链路。
在其中一个实施例中,所述匹配模块还用于获取所述数据包对应的行为模式,根据所述风险识别规则获取与所述行为模式匹配的链路。
上述路由方法及装置中,获取数据包之后,通过匹配风险识别规则和数据包的相关信息来选择转发数据包的链路,相较于传统技术,可预先判断数据包存在的安全风险,从而提高了安全性。
附图说明
图1为一个实施例中路由方法的流程图;
图2为一个实施例中数据包的正文内容的示例图;
图3为一个实施例中路由装置的结构示意图;
图4为另一个实施例中路由装置的结构示意图。
具体实施方式
在一个实施例中,如图1所示,一种路由方法,包括如下步骤:
步骤S102,获取数据包。
数据包包括包头部分和正文部分,数据包的正文内容即数据包的正文部分。传统技术中的路由装置参考的MAC(MediaAccess Control)地址、目标IP地址信息存储在数据包的包头部分中。而数据包对应的应用层协议头、应用层数据内容均存储在数据包的正文内容中。
步骤S104,获取风险识别规则。
步骤S106,根据风险识别规则获取与数据包匹配的链路。
风险识别规则中定义了与数据包匹配的链路信息。可根据风险识别规则将不同安全风险程度的数据包转发至相应的链路。
在一个实施例中,根据风险识别规则获取与数据包匹配的链路的步骤可具体为:获取所述数据包对应的包头内容和/或正文内容,根据风险识别规则获取与包头内容和/或正文内容匹配的链路。
数据包的包头内容即数据包的包头部分包含的内容,数据包的正文内容即数据包的正文部分包含的内容。
在本实施例中,根据风险识别规则获取与包头内容和/或正文内容匹配的链路的步骤可具体为:
根据风险识别规则通过比对字符串获取与包头内容和/或正文内容匹配的链路。
例如,如图2所示,获取到的数据包的正文内容中包括HTTP(HypertextTransport Protocol,超文本传输协议)协议的头部。其中,User-Agent属性为IdKiller/2.0。风险识别规则中可定义特征关键字为“Internet Explorer”、“Netscape”、“Mozilla”和“Opera”。由于数据包的正文内容中的User-Agent属性不为上述风险识别规则中定义的特征关键字中的任意一个,则可判定该数据包由网络爬虫发出,属于机器人程序,并非由用户手动浏览网页的操作行为发出,因此可获取与专门用于服务机器人程序的服务器对应的链路。
获取到的数据包的正文内容中还可包括访问地址的URL(Uniform/Universal Resource Locator,统一资源定位符),其中,URL内包含有SQL(Structured Query Language,结构化查询语言)注入代码。风险识别规则中可定义特征关键字为“SELECT”、“FROM”、“INSERT”和“WHERE”等,由于正常的URL通常不会附加上述特征关键字,只有包含了SQL注入代码的URL才会包含上述特征关键字中的一种或多种,因此可判定该数据包具有SQL注入入侵的风险,可获取与具有SQL安全防护功能的服务器对应的链路。
进一步的,根据风险识别规则通过比对字符串获取与包头内容和/或正文内容匹配的链路的步骤还可具体为:根据风险识别规则通过匹配正则表达式获取与包头内容和/或正文内容匹配的链路。
可从风险识别规则中提取正则表达式,根据正则表达式匹配包头内容和/或正文内容的字符串信息,若匹配成功,则在风险识别规则中获取与该正则表达式对应的链路。
在一个实施例中,根据风险识别规则获取与数据包匹配的链路的步骤还包括:获取数据包对应的行为模式,根据风险识别规则获取与行为模式匹配的链路。
数据包的行为模式,即数据包在互联网中转发的记录信息。可通过数据包的行为模式判断数据包是否具有安全风险。例如,在DDOS(Distributed Denial ofService,分布式拒绝服务攻击)攻击中,具有相同目标网络地址的数据包在单位时间内会被转发多次。再例如,若数据包的转发记录中包含了安全风险较高的地址。
在本实施例中,可设置与链路对应的阈值区间。当数据包的行为模式中单位时间内被转发的次数属于阈值区间时,则获取与该阈值区间对应的链路。还可设置风险地址,并设置与风险地址对应的链路,当数据包的行为模式中转发地址包含风险地址时,则获取风险地址对应的链路。
在本实施例中,路由方法还可包括获取风险识别规则配置请求,根据风险识别规则配置请求生成风险识别规则的步骤。
也就是说,风险识别规则可由用户预先设置。例如,前述的正则表达式可由用户通过风险识别规则配置请求预先配置。
步骤S108,通过链路转发数据包。
在本实施例中,通过链路转发数据包的步骤还可具体为:获取链路对应的连接池,在连接池中获取空闲连接,通过空闲连接转发数据包。
例如,可针对每条链路对应的服务器建立连接池,连接池中预先建立了多个连接。在需要转发数据包时,则从链路对应的连接池中查找空闲连接,然后将数据包转发。采用连接池转发数据包,可以防止连接频发建立和销毁,从而提高处理效率。
在一个实施例中,如图3所示,一种虚拟机控制装置,包括数据包获取模块102、规则获取模块104、匹配模块106和转发模块108,其中:
数据包获取模块102,用于获取数据包。
数据包包括包头部分和正文部分。传统技术中的路由装置参考的MAC地址、目标IP地址信息存储在数据包的包头部分中。而数据包对应的应用层协议头、应用层数据内容均存储在数据包的正文部分中。
风险识别规则获取模块104,用于获取风险识别规则。
匹配模块106,用于根据风险识别规则获取与数据包匹配的链路。
风险识别规则中定义了与数据包匹配的链路信息。可根据风险识别规则将不同安全风险程度的数据包转发至相应的链路。
在一个实施例中,匹配模块106可用于获取数据包对应的包头内容和/或正文内容,根据风险识别规则获取与包头内容和/或正文内容匹配的链路。
数据包的包头内容即数据包的包头部分包含的内容,数据包的正文内容即数据包的正文部分包含的内容。
在本实施例中,匹配模块106还可用于根据风险识别规则通过比对字符串获取与包头内容和/或正文内容匹配的链路。
例如,如图2所示,获取到的数据包的正文内容中包括HTTP协议的头部。其中,User-Agent属性为IdKiller/2.0。风险识别规则中可定义特征关键字为“Internet Explorer”、“Netscape”、“Mozilla”和“Opera”。由于数据包的正文内容中的User-Agent属性不为上述风险识别规则中定义的特征关键字中的任意一个,则可判定该数据包由网络爬虫发出,属于机器人程序,并非由用户手动浏览网页的操作行为发出,因此可获取与专门用于服务机器人程序的服务器对应的链路。
获取到的数据包的正文内容中还可包括访问地址的URL,其中,URL内包含有SQL注入代码。风险识别规则中可定义特征关键字为“SELECT”、“FROM”、“INSERT”和“WHERE”等,由于正常的URL通常不会附加上述特征关键字,只有包含了SQL注入代码的URL才会包含上述特征关键字中的一种或多种,因此可判定该数据包具有SQL注入入侵的风险,可获取与具有SQL安全防护功能的服务器对应的链路。
进一步的,匹配模块106还可用于根据风险识别规则通过匹配正则表达式获取与包头内容和/或正文内容匹配的链路。
匹配模块106还可用于从风险识别规则中提取正则表达式,根据正则表达式匹配包头内容和/或正文内容的字符串信息,若匹配成功,则在风险识别规则中获取与该正则表达式对应的链路。
在一个实施例中,匹配模块106还可用于获取数据包对应的行为模式,根据风险识别规则获取与行为模式匹配的链路。
数据包的行为模式,即数据包在互联网中转发的记录信息。可通过数据包的行为模式判断数据包是否具有安全风险。例如,在DDOS(Distributed Denial ofService,分布式拒绝服务攻击)攻击中,具有相同目标网络地址的数据包在单位时间内会被转发多次。再例如,若数据包的转发记录中包含了安全风险较高的地址。
在本实施例中,可设置与链路对应的阈值区间。当数据包的行为模式中单位时间内被转发的次数属于阈值区间时,则获取与该阈值区间对应的链路。还可设置风险地址,并设置与风险地址对应的链路,当数据包的行为模式中转发地址包含风险地址时,则获取风险地址对应的链路。
在本实施例中,如图4所示,路由装置还包括风险识别规则定义模块110,用于获取风险识别规则配置请求,根据风险识别规则配置请求生成风险识别规则。
也就是说,风险识别规则可由用户预先设置。例如,前述的特征关键字可由用户通过风险识别规则配置请求预先配置。
转发模块108,用于通过链路转发数据包。
在本实施例中,转发模块108可用于获取链路对应的连接池,在连接池中获取空闲连接,通过空闲连接转发数据包。
例如,可针对每条链路对应的服务器建立连接池,连接池中预先建立了多个连接。在需要转发数据包时,则从链路对应的连接池中查找空闲连接,然后将数据包转发。采用连接池转发数据包,可以防止连接频发建立和销毁,从而提高处理效率。
上述路由方法及装置中,获取数据包之后,通过匹配风险识别规则和数据包的相关信息来选择转发数据包的链路,相较于传统技术,可预先判断数据包存在的安全风险,从而提高了安全性。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种路由方法,包括:
获取数据包;
获取风险识别规则;
根据所述风险识别规则获取与所述数据包匹配的链路;
通过所述链路转发所述数据包。
2.根据权利要求1所述的路由方法,其特征在于,所述方法还包括:
获取风险识别规则配置请求;
根据所述风险识别规则配置请求生成风险识别规则。
3.根据权利要求1所述的路由方法,其特征在于,所述根据所述风险识别规则获取与所述数据包匹配的链路的步骤包括:
获取所述数据包对应的包头内容和/或正文内容;
根据所述风险识别规则获取与所述包头内容和/或正文内容匹配的链路。
4.根据权利要求1所述的路由方法,其特征在于,所述根据所述风险识别规则获取与所述包头内容和/或正文内容匹配的链路的步骤为:
根据所述风险识别规则通过比对字符串获取与所述包头内容和/或正文内容匹配的链路。
5.根据权利要求4所述的路由方法,其特征在于,所述根据所述风险识别规则获取与所述数据包匹配的链路的步骤还包括:
获取所述数据包对应的行为模式;
根据所述风险识别规则获取与所述行为模式匹配的链路。
6.一种路由装置,其特征在于,包括:
数据包获取模块,用于获取数据包;
规则获取模块,用于获取风险识别规则;
匹配模块,用于根据所述风险识别规则获取与所述数据包匹配的链路;
转发模块,用于通过所述链路转发所述数据包。
7.根据权利要求6所述的路由装置,其特征在于,所述装置还包括风险识别规则定义模块,用于获取风险识别规则配置请求,根据所述风险识别规则配置请求生成风险识别规则。
8.根据权利要求6所述的路由装置,其特征在于,所述匹配模块还用于获取所述数据包对应的包头内容和/或正文内容;
根据所述风险识别规则获取与所述包头内容和/或正文内容匹配的链路。
9.根据权利要求6所述的路由装置,其特征在于,所述匹配模块还用于根据所述风险识别规则通过比对字符串获取与所述包头内容和/或正文内容匹配的链路。
10.根据权利要求9所述的路由装置,其特征在于,所述匹配模块还用于获取所述数据包对应的行为模式,根据所述风险识别规则获取与所述行为模式匹配的链路。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210555184.9A CN103051532B (zh) | 2012-12-20 | 2012-12-20 | 路由方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210555184.9A CN103051532B (zh) | 2012-12-20 | 2012-12-20 | 路由方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103051532A true CN103051532A (zh) | 2013-04-17 |
| CN103051532B CN103051532B (zh) | 2016-09-14 |
Family
ID=48064037
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210555184.9A Active CN103051532B (zh) | 2012-12-20 | 2012-12-20 | 路由方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103051532B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753752A (zh) * | 2013-12-30 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种适用于vpn的按需连接方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102468899A (zh) * | 2010-11-08 | 2012-05-23 | 普华基础软件股份有限公司 | 通道化stm-1接入分发方法与系统 |
-
2012
- 2012-12-20 CN CN201210555184.9A patent/CN103051532B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102468899A (zh) * | 2010-11-08 | 2012-05-23 | 普华基础软件股份有限公司 | 通道化stm-1接入分发方法与系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753752A (zh) * | 2013-12-30 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种适用于vpn的按需连接方法 |
| CN104753752B (zh) * | 2013-12-30 | 2019-05-07 | 格尔软件股份有限公司 | 一种适用于vpn的按需连接方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103051532B (zh) | 2016-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103825887B (zh) | 基于https加密的网站过滤方法和系统 | |
| CN101834866B (zh) | 一种cc攻击防护方法及其系统 | |
| CN104702584B (zh) | 一种基于自学习规则的Modbus通信访问控制方法 | |
| CN103220371B (zh) | 内容适配方法及系统 | |
| CN101895516B (zh) | 一种跨站脚本攻击源的定位方法及装置 | |
| CN104601540B (zh) | 一种跨站脚本XSS攻击防御方法及Web服务器 | |
| CN102664935B (zh) | 一种web类用户行为和用户信息的关联输出方法及系统 | |
| CN102065145B (zh) | 一种信息投放方法、装置和系统 | |
| CN102316087A (zh) | 网络应用攻击的检测方法 | |
| CN102413105A (zh) | 防范cc攻击的方法和装置 | |
| CN103179132A (zh) | 一种检测和防御cc攻击的方法及装置 | |
| CN103401850A (zh) | 一种报文过滤方法及装置 | |
| CN105635064B (zh) | Csrf攻击检测方法及装置 | |
| CN103067389B (zh) | 基于短网址的高安全性文件传输方法 | |
| CN101262353A (zh) | 过滤网址的通信方法、装置及系统 | |
| CN102523196B (zh) | 一种信息识别方法、装置及系统 | |
| CN103957207B (zh) | 一种会话保持方法和装置 | |
| CN101651711B (zh) | 基于串口通信的http网络访问实现方法 | |
| CN103152387B (zh) | 一种获取http用户行为轨迹的装置与方法 | |
| CN102754488A (zh) | 用户访问的控制方法、装置及系统 | |
| CN102957707A (zh) | 一种Web应用防火墙的防护方法及装置 | |
| CN103051532A (zh) | 路由方法及装置 | |
| CN103227815B (zh) | 控制浏览器缓存的方法及装置 | |
| CN102299869A (zh) | 即时通信中对网络链接进行存储的方法、客户端及系统 | |
| CN106940719B (zh) | 一种页面跳转方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200612 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SANGFOR TECHNOLOGIES Inc. Address before: 518051 room 410, technology innovation service center, 1 Qilin Road, Shenzhen, Guangdong, Nanshan District Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd. |