CN103812875A - 用于网关设备的数据处理方法和装置 - Google Patents
用于网关设备的数据处理方法和装置 Download PDFInfo
- Publication number
- CN103812875A CN103812875A CN201410083752.9A CN201410083752A CN103812875A CN 103812875 A CN103812875 A CN 103812875A CN 201410083752 A CN201410083752 A CN 201410083752A CN 103812875 A CN103812875 A CN 103812875A
- Authority
- CN
- China
- Prior art keywords
- packet
- gateway device
- data
- data processing
- abnormal data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于网关设备的数据处理方法和装置。其中,用于网关设备的数据处理方法包括:网关设备接收来自互联网的数据包;网关设备对数据包进行检测,得到检测结果;网关设备根据检测结果判断数据包是否为异常数据;如果网关设备判断出数据包为异常数据,则网关设备建立数据包对应的会话信息;以及当再次接收数据包时,网关设备根据数据包对应的会话信息丢弃数据包。通过本发明,达到了提高网关设备对于异常数据的处理效率的效果。
Description
技术领域
本发明涉及计算机网络领域,具体而言,涉及一种用于网关设备的数据处理方法和装置。
背景技术
网关设备用于隔离本地计算机与外界网络,是本地计算机与外界网络之间的一道防御系统。网关设备对流经它的网络数据流量进行过滤,把安全合法的数据流量正常转发,把异常的不合法的数据流量即异常数据丢弃,从而最大限度地阻止网络中的黑客对本地计算机的攻击。即安全网关设备既要实现数据流量的正常转发,又要最大限度地阻止网络攻击。
为了实现数据的快速转发,现有的技术是建立会话session表(也称快速转发表)来记录数据信息,通过session表中记录的数据信息实现数据的快速转发。Session表中包括数据的源IP、目的IP、源端口、目的端口和协议信息等五个元素,又名五元组,用来唯一的描述一组数据流(即数据包)。在session表建立以后,后续的数据包经过安全网关的时候就会对比session表里的信息,进而实现转发或是丢弃。采用上述数据转发技术,大大缩减了IP报文的排队流程,减少了报文的转发时间,提高了IP报文的转发吞吐量,提高了安全网关的性能。具体地,现有的数据转发技术在安全网关设备接收到数据包之后,先将数据包的属性信息(例如数据的五元组)去匹配session表中的信息,如果匹配到session表中的信息则进入匹配转发流程,即,对数据包直接进行转发;否则进入慢速转发流程,即,获取该数据包的属性信息,判断该数据包的属性信息是否合法,依据判断结果确定对该数据包是否进行转发。然而,当网关设备接收到的数据为异常数据时,都会进入慢速转发流程,但是匹配结果通常都为丢弃,且慢速转发流程会占用中央处理器CPU,从而浪费CPU的利用率,降低了数据处理的效率。
针对现有技术中网关设备对于异常数据的处理效率低的问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种用于网关设备的数据处理方法和装置,以解决网关设备对于异常数据的处理效率低的问题。
为了实现上述目的,根据本发明的一个方面,提供了一种用于网关设备的数据处理方法。根据本发明的用于网关设备的数据处理方法包括:网关设备接收来自互联网的数据包;网关设备对数据包进行检测,得到检测结果;网关设备根据检测结果判断数据包是否为异常数据;如果网关设备判断出数据包为异常数据,则网关设备建立数据包对应的会话信息;以及当再次接收数据包时,网关设备根据数据包对应的会话信息丢弃数据包。
进一步地,在网关设备建立数据包对应的会话信息之后,数据处理方法还包括:网关设备将数据包对应的会话信息添加到的会话表中,网关设备根据数据包对应的会话信息丢弃数据包包括:网关设备获取数据包的属性信息;网关设备将数据包的属性信息与会话表中的信息进行匹配;如果数据包的属性信息匹配到存储在会话表中的数据包对应的会话信息,则网关设备将数据包丢弃。
进一步地,网关设备对数据包进行检测,得到检测结果包括:网关设备确定数据包对应的执行动作,执行动作为用于对数据包的处理动作;网关设备判断执行动作是否为执行拒绝动作,其中,执行拒绝动作用于对数据包执行丢弃处理,其中,如果网关设备判断出执行动作为执行拒绝动作,则确定数据包为异常数据。
进一步地,在确定数据包为异常数据之后,数据处理方法还包括:网关设备设置异常数据的超时时间为预设超时时间,其中,预设超时时间小于非异常数据的超时时间。
进一步地,在网关设备接收来自互联网的数据包之后,数据处理方法还包括:网关设备获取数据包的属性信息;网关设备将属性信息与网关设备的会话表中的信息进行匹配;以及如果属性信息与网关设备的会话表中的信息匹配,则网关设备转发数据包。
为了实现上述目的,根据本发明的另一方面,提供了一种用于网关设备的数据处理装置。根据本发明的用于网关设备的数据处理装置包括:接收单元,用于使得网关设备接收来自互联网的数据包;检测单元,用于使得网关设备对数据包进行检测,得到检测结果;判断单元,用于使得网关设备根据检测结果判断数据包是否为异常数据;建立单元,用于当网关设备判断出数据包为异常数据时,使得网关设备建立数据包对应的会话信息;以及丢弃单元,用于当再次接收数据包时,使得网关设备根据数据包对应的会话信息丢弃数据包。
进一步地,数据处理装置还包括:添加单元,用于在网关设备建立数据包对应的会话信息之后,使得网关设备将数据包对应的会话信息添加到的会话表中,丢弃单元包括:获取模块,用于使得网关设备获取数据包的属性信息;匹配模块,用于使得网关设备将数据包的属性信息与会话表中的信息进行匹配;丢弃模块,用于当数据包的属性信息匹配到存储在会话表中的数据包对应的会话信息时,使得网关设备将数据包丢弃。
进一步地,检测单元包括:确定模块,用于使得网关设备确定数据包对应的执行动作,执行动作为用于对数据包的处理动作;判断模块,用于使得网关设备判断执行动作是否为执行拒绝动作,其中,执行拒绝动作用于对数据包执行丢弃处理,其中,如果网关设备判断出执行动作为执行拒绝动作,则确定数据包为异常数据。
进一步地,数据处理装置还包括:设置单元,用于在确定数据包为异常数据之后,使得网关设备设置异常数据的超时时间为预设超时时间,其中,预设超时时间小于非异常数据的超时时间。
进一步地,数据处理装置还包括:获取单元,用于在网关设备接收来自互联网的数据包之后,使得网关设备获取数据包的属性信息;匹配单元,用于使得网关设备将属性信息与网关设备的会话表中的信息进行匹配;以及转发单元,用于当属性信息与网关设备的会话表中的信息匹配,使得网关设备转发数据包。
通过本发明,在判断出接收的数据包为异常数据时,如果网关设备初次接收到该数据包,则建立该数据包对应的session信息,如果再次接收到该数据包时,可以直接匹配该session信息,对数据包执行丢弃操作,无需经过CPU处理,避免每次接收到相同的异常数据时,都经过CPU进行处理,解决了网关设备对于异常数据的处理效率低的问题,达到了提高网关设备对于异常数据的处理效率的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明第一实施例的用于网关设备的数据处理装置的示意图;
图2是根据本发明第二实施例的用于网关设备的数据处理装置的示意图;
图3是根据本发明第一实施例的用于网关设备的数据处理方法的流程图;
图4是根据本发明第二实施例的用于网关设备的数据处理方法的流程图;
图5是根据本发明实施例的第一测试环境的示意图;以及
图6是根据本发明实施例的第二测试环境的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供了一种用于网关设备的数据处理装置,该装置可以通过网关设备实现其功能。
图1是根据本发明第一实施例的用于网关设备的数据处理装置的示意图。如图1所示,该用于网关设备的数据处理装置包括接收单元10、检测单元20、判断单元30、建立单元40和丢弃单元50。
接收单元10用于使得网关设备接收来自互联网的数据包。
接收单元10可以是设置在网关设备中的单元。互联网可以是包括本地计算机和外界网络在内的互联网,其中,数据包可以是外界网络发送到本地计算机的数据包,也可以是本地计算机发送到外界网络的数据包。在数据包传递的过程中,数据包先经过网关设备,网关设备接收该数据包,以便于对数据包进行检测和过滤等处理。数据包也可以称为数据流量、网络流量等。
在网关设备接收来自互联网的数据包之后,网关设备获取该数据包的属性信息,如数据包的源IP、目的IP、源端口、目的端口和协议信息等,将数据包的属性信息与存储在网关设备的会话表即session表进行匹配,如果匹配到session表中的表项,则可以确定该数据包为正常数据,即非异常数据,直接将数据包转发。其中,session表中的表项即为session表中的session信息项。如果未匹配到session表中的表项,则可以对该数据包进行检测,以便于判断数据包是否为异常数据。
检测单元20用于使得网关设备对数据包进行检测,得到检测结果。
检测单元20可以是设置在网关设备中的单元。在网关设备接收来自互联网的数据包之后,网关设备对数据包进行检测,以便于基于检测结果判断该数据包是否为异常数据。具体地,可以是对数据包进行安全策略检测,其中,安全策略是指在某个网络安全区域,用于所有与安全相关活动的一套规则,这些规则是由此安全区域中所设立的一个安全权力机构建立的,并由安全控制机构来描述、实施和实现的。通过对数据包进行检测,判断该数据包对应的执行动作,例如执行拒绝动作或者执行允许动作,从而判断该数据包是否为异常数据。
判断单元30用于使得网关设备根据检测结果判断数据包是否为异常数据。
判断单元30可以是设置在网关设备中的单元。在得到检测结果之后,网关设备根据检测结果判断数据包是否异常,是否为异常数据如攻击数据。例如,网关设备对数据包进行安全策略检测,如果检测到数据包对应的执行动作为执行允许动作,则可以确定该数据包为正常数据。如果检测到数据包对应的执行动作为执行拒绝动作,则可以确定该数据包为异常数据。
建立单元40用于当网关设备判断出数据包为异常数据时,使得网关设备建立数据包对应的会话信息。
建立单元40可以是设置在网关设备中的单元。在网关设备判断出数据包为异常数据时,如果网关设备是初次接受到该数据包,在建立该异常的数据包对应的会话信息即session信息,由于数据包为异常数据,建立数据包的session信息之后,可以将该session信息添加到session表中,以便于以后再次接收到该数据包时,可以直接将数据包与session表进行匹配,实现快速转发。
丢弃单元50用于当再次接收数据包时,使得网关设备根据数据包对应的会话信息丢弃数据包。
丢弃单元50可以是设置在网关设备中的单元。当再次接收到异常数据的数据包时,网关设备可以将该数据包与存储在网关设备的session表进行匹配。由于网关设备初次接收到该数据包时,建立数据包的session信息,在再次接收到相同的数据包时,可以直接匹配预先建立的session信息,对该数据包执行丢弃操作,无需再对数据包进行检测等处理。
根据本发明实施例,在判断出接收的数据包为异常数据时,如果网关设备初次接收到该数据包,则建立该数据包对应的session信息,如果再次接收到该数据包时,可以直接匹配该session信息,对数据包执行丢弃操作,无需经过CPU处理,避免每次接收到相同的异常数据时,都经过CPU进行处理,解决了网关设备对于异常数据的处理效率低的问题,达到了提高网关设备对于异常数据的处理效率的效果。
图2是根据本发明第二实施例的用于网关设备的数据处理装置的示意图。如图2所示,该用于网关设备的数据处理装置包括接收单元10、检测单元20、判断单元30、建立单元40和丢弃单元50,其中,数据处理装置还包括添加单元60,丢弃单元50包括获取模块501、匹配模块502和丢弃模块503。
添加单元60用于在网关设备建立数据包对应的会话信息之后,使得网关设备将数据包对应的会话信息添加到的会话表中。
在建立数据包对应的session信息之后,其中,数据包为异常数据,将该异常数据对应的session信息添加到网关设备的session表中,以便于再次接受到该异常数据时,可以直接匹配session表中的session信息。
获取模块501用于使得网关设备获取数据包的属性信息。
数据包属性信息可以是数据包的源IP、目的IP、源端口、目的端口和协议信息等,该数据包为异常数据,获取到数据包的属性信息,以便于将该数据包的属性信息与session表进行匹配,从而可以快速地确定该数据包为异常数据。
匹配模块502用于使得网关设备将数据包的属性信息与会话表中的信息进行匹配。
由于在初次接收到异常数据之后,网关设备建立异常数据的session信息,并将该session信息添加到session表中,将获取到数据包的属性信息与session表中的信息进行匹配,即,判断数据包在session表中是否存在session信息,匹配到的话,可以直接丢弃该数据包。
丢弃模块503用于当数据包的属性信息匹配到存储在会话表中的数据包对应的会话信息时,使得网关设备将数据包丢弃。
如果数据包的属性信息匹配到session表中的数据包对应的session信息,则直接将数据包丢弃。例如,网关设备接收到数据包A,并判断出数据包A为异常数据,则建立数据包A的session信息A-1,并将session信息A-1添加到session表中。当再次接收到数据包A时,将数据包A与session表进行匹配,如果匹配到session表中的session信息A-1,则直接将数据包A丢弃。
根据本发明实施例,通过将数据包对应的会话信息添加到的会话表中,当再次接收到数据包时,将数据包与session表进行匹配,从而使得网关设备接收到正常数据或者异常数据时,均可以通过与session表进行匹配,实现数据包的转发和丢弃操作,进一步提高了转发处理的效率。
本发明实施例中,检测单元包括确定模块和判断模块。
确定模块用于使得网关设备确定数据包对应的执行动作,执行动作为用于对数据包的处理动作。
执行动作为用于对数据包的处理动作。具体地,可以是对数据包进行安全策略检测,从安全策略中确定数据包对应的执行动作,该执行动作包括执行拒绝动作和执行允许动作。
判断模块用于使得网关设备判断执行动作是否为执行拒绝动作,其中,执行拒绝动作用于对数据包执行丢弃处理,其中,如果网关设备判断出执行动作为执行拒绝动作,则确定数据包为异常数据。如果网关设备判断出安全策略为执行允许动作,则确定数据包为正常数据。
根据本发明实施例,通过对数据包的进行安全策略检测,从而确定数据包是否为异常数据,提高了网关设备数据处理的效率。
优选地,数据处理装置还包括设置单元,该设置单元用于在确定数据包为异常数据之后,使得网关设备设置异常数据的超时时间为预设超时时间,其中,预设超时时间小于非异常数据的超时时间。
预设超时时间可以根据需要进行设置,可以设置比较短的时间如30s,预设超时时间小于非异常数据的超时时间,即,异常数据的超时时间小于非异常数据的超时时间,非异常数据即为正常数据。通过设置异常数据的超时时间为较短的时间,可以避免分步攻击的异常数据对本地计算机的伤害,阻止网络中的分步攻击,提高了网络的安全性。
本发明实施例中,数据处理装置还包括获取单元、匹配单元和转发单元。
获取单元用于在网关设备接收来自互联网的数据包之后,使得网关设备获取数据包的属性信息;匹配单元用于使得网关设备将属性信息与网关设备的会话表中的信息进行匹配;以及转发单元用于当属性信息与网关设备的会话表中的信息匹配,使得网关设备转发数据包。其中,如果属性信息与网关设备的会话表中的信息不匹配,则可以数据包进行检测,以判断该数据包是否为异常数据。
具体地,在接收到数据包之后,均将数据包与session表进行匹配,如果未匹配到session项,则可以建立数据包的session信息,无论数据包为异常数据还是正常数据,当数据包为异常数据时,建立异常数据的session信息,如果接收到的数据包为正常数据,则建立正常数据的session信息。在将数据包与session表进行匹配之后,如果数据包匹配到正常数据的session信息,则将数据包转发;如果数据包匹配到异常数据的session信息,则将数据包丢弃;如果未匹配到,则可以对该数据包进行检测,判断其为异常数据还是正常数据,在确定数据包为异常数据或者正常数据之后,可以建立数据包相应的session信息,并添加到session表中,以便于下次加收到相同的数据包时,可以直接将该数据包与session表进行匹配。由此可知,网关设备的session表中的表项是不断增加的。
优选地,在建立数据包的session信息之后,如果数据包为异常数据,则可以向session信息添加丢弃标记drop;如果数据包为异常数据,则可以向session信息添加转发标记foreward。在数据包匹配到session信息之后,可以查询session信息的标记信息,从而快速确定转发还是丢弃数据包,进一步提高数据处理的效率。
本发明实施例还提供了一种用于网关设备的数据处理方法。该方法运行在网关设备上。需要说明的是,本发明实施例的用于网关设备的数据处理方法可以通过本发明实施例所提供的用于网关设备的数据处理装置来执行,本发明实施例的用于网关设备的数据处理装置也可以用于执行本发明实施例所提供的用于网关设备的数据处理方法。
图3是根据本发明第一实施例的用于网关设备的数据处理方法的流程图。如图3所示,该用于网关设备的数据处理方法包括步骤如下:
步骤S302,网关设备接收来自互联网的数据包。
互联网可以是包括本地计算机和外界网络在内的互联网,其中,数据包可以是外界网络发送到本地计算机的数据包,也可以是本地计算机发送到外界网络的数据包。在数据包传递的过程中,数据包先经过网关设备,网关设备接收该数据包,以便于对数据包进行检测和过滤等处理。数据包也可以称为数据流量、网络流量等。
在网关设备接收来自互联网的数据包之后,网关设备获取该数据包的属性信息,如数据包的源IP、目的IP、源端口、目的端口和协议信息等,将数据包的属性信息与存储在网关设备的会话表即session表进行匹配,如果匹配到session表中的表项,则可以确定该数据包为正常数据,即非异常数据,直接将数据包转发。其中,session表中的表项即为session表中的session信息项。如果未匹配到session表中的表项,则可以对该数据包进行检测,以便于判断数据包是否为异常数据。
步骤S304,网关设备对数据包进行检测,得到检测结果。
在网关设备接收来自互联网的数据包之后,网关设备对数据包进行检测,以便于基于检测结果判断该数据包是否为异常数据。具体地,可以是对数据包进行安全策略检测,其中,安全策略是指在某个网络安全区域,用于所有与安全相关活动的一套规则,这些规则是由此安全区域中所设立的一个安全权力机构建立的,并由安全控制机构来描述、实施和实现的。通过对数据包进行检测,判断该数据包对应的执行动作,例如执行拒绝动作或者执行允许动作,从而判断该数据包是否为异常数据。
步骤S306,网关设备根据检测结果判断数据包是否为异常数据。
在得到检测结果之后,网关设备根据检测结果判断数据包是否异常,是否为异常数据如攻击数据。例如,网关设备对数据包进行安全策略检测,如果检测到数据包对应的执行动作为执行允许动作,则可以确定该数据包为正常数据。如果检测到数据包对应的执行动作为执行拒绝动作,则可以确定该数据包为异常数据。
步骤S308,如果网关设备判断出数据包为异常数据,则网关设备建立数据包对应的会话信息。
在网关设备判断出数据包为异常数据时,如果网关设备是初次接受到该数据包,在建立该异常的数据包对应的会话信息即session信息,由于数据包为异常数据,建立数据包的session信息之后,可以将该session信息添加到session表中,以便于以后再次接收到该数据包时,可以直接将数据包与session表进行匹配,实现快速转发。
步骤S310,当再次接收数据包时,网关设备根据数据包对应的会话信息丢弃数据包。
当再次接收到异常数据的数据包时,网关设备可以将该数据包与存储在网关设备的session表进行匹配。由于网关设备初次接收到该数据包时,建立数据包的session信息,在再次接收到相同的数据包时,可以直接匹配预先建立的session信息,对该数据包执行丢弃操作,无需再对数据包进行检测等处理。
根据本发明实施例,在判断出接收的数据包为异常数据时,如果网关设备初次接收到该数据包,则建立该数据包对应的session信息,如果再次接收到该数据包时,可以直接匹配该session信息,对数据包执行丢弃操作,无需经过CPU处理,避免每次接收到相同的异常数据时,都经过CPU进行处理,解决了网关设备对于异常数据的处理效率低的问题,达到了提高网关设备对于异常数据的处理效率的效果。
图4是根据本发明第二实施例的用于网关设备的数据处理方法的流程图。该实施例的用于网关设备的数据处理方法可以是上述实施例的用于网关设备的数据处理方法的一种优选实施方式。如图4所示,该用于网关设备的数据处理方法包括步骤如下:
步骤S402、步骤S404、步骤S406和步骤S408分别与图3所示的步骤S302、步骤S304、步骤S306和步骤S308相同,这里不做赘述。
步骤S410,网关设备将数据包对应的会话信息添加到会话表中。
在建立数据包对应的session信息之后,其中,数据包为异常数据,将该异常数据对应的session信息添加到网关设备的session表中,以便于再次接受到该异常数据时,可以直接匹配session表中的session信息。
步骤S412,当再次接收到数据包时,网关设备获取数据包的属性信息。
数据包属性信息可以是数据包的源IP、目的IP、源端口、目的端口和协议信息等,该数据包为异常数据,获取到数据包的属性信息,以便于将该数据包的属性信息与session表进行匹配,从而可以快速地确定该数据包为异常数据。
步骤S414,网关设备将数据包的属性信息与会话表中的信息进行匹配。
由于在初次接收到异常数据之后,网关设备建立异常数据的session信息,并将该session信息添加到session表中,将获取到数据包的属性信息与session表中的信息进行匹配,即,判断数据包在session表中是否存在session信息,匹配到的话,可以直接丢弃该数据包。
步骤S416,如果数据包的属性信息匹配到存储在会话表中的数据包对应的会话信息,则网关设备将数据包丢弃。
如果数据包的属性信息匹配到session表中的数据包对应的session信息,则直接将数据包丢弃。例如,网关设备接收到数据包A,并判断出数据包A为异常数据,则建立数据包A的session信息A-1,并将session信息A-1添加到session表中。当再次接收到数据包A时,将数据包A与session表进行匹配,如果匹配到session表中的session信息A-1,则直接将数据包A丢弃。
根据本发明实施例,通过将数据包对应的会话信息添加到的会话表中,当再次接收到数据包时,将数据包与session表进行匹配,从而使得网关设备接收到正常数据或者异常数据时,均可以通过与session表进行匹配,实现数据包的转发和丢弃操作,进一步提高了转发处理的效率。
本发明实施例中,在网关设备接收来自互联网的数据包之后,网关设备获取数据包的属性信息;网关设备将属性信息与网关设备的会话表中的信息进行匹配;以及如果属性信息与网关设备的会话表中的信息匹配,则网关设备转发数据包。其中,如果属性信息与网关设备的会话表中的信息不匹配,则可以数据包进行检测,以判断该数据包是否为异常数据。
具体地,在接收到数据包之后,均将数据包与session表进行匹配,如果未匹配到session项,则可以建立数据包的session信息,无论数据包为异常数据还是正常数据,当数据包为异常数据时,建立异常数据的session信息,如果接收到的数据包为正常数据,则建立正常数据的session信息。在将数据包与session表进行匹配之后,如果数据包匹配到正常数据的session信息,则将数据包转发;如果数据包匹配到异常数据的session信息,则将数据包丢弃;如果未匹配到,则可以对该数据包进行检测,判断其为异常数据还是正常数据,在确定数据包为异常数据或者正常数据之后,可以建立数据包相应的session信息,并添加到session表中,以便于下次加收到相同的数据包时,可以直接将该数据包与session表进行匹配。由此可知,网关设备的session表中的表项是不断增加的。
优选地,在建立数据包的session信息之后,如果数据包为异常数据,则可以向session信息添加丢弃标记drop;如果数据包为异常数据,则可以向session信息添加转发标记foreward。在数据包匹配到session信息之后,可以查询session信息的标记信息,从而快速确定转发还是丢弃数据包,进一步提高数据处理的效率。
优选地,网关设备根据检测结果判断数据包是否为异常数据包括以下步骤:
第一步,网关设备确定数据包对应的执行动作。
执行动作为用于对数据包的处理动作。具体地,可以是对数据包进行安全策略检测,从安全策略中确定数据包对应的执行动作,该执行动作包括执行拒绝动作和执行允许动作。
第二步,网关设备判断执行动作是否为执行拒绝动作,其中,执行拒绝动作用于对数据包执行丢弃处理。其中,如果网关设备判断出安全策略为执行拒绝动作,则确定数据包为异常数据。如果网关设备判断出安全策略为执行允许动作,则确定数据包为正常数据。
根据本发明实施例,通过对数据包的进行安全策略检测,从而确定数据包是否为异常数据,提高了网关设备数据处理的效率。
优选地,在确定数据包为异常数据之后,数据处理方法还包括:网关设备设置异常数据的超时时间为预设超时时间,其中,预设超时时间小于非异常数据的超时时间。
预设超时时间可以根据需要进行设置,可以设置比较短的时间如30s,预设超时时间小于非异常数据的超时时间,即,异常数据的超时时间小于非异常数据的超时时间,非异常数据即为正常数据。通过设置异常数据的超时时间为较短的时间,可以避免分步攻击的异常数据对本地计算机的伤害,阻止网络中的分步攻击,提高了网络的安全性。
下面提供了本发明实施例的一种优选的用于网关设备的数据处理方法。该实施例的用于网关设备的数据处理方法可以是上述实施例的用于网关设备的数据处理方法的一种优选实施方式。该用于网关设备的数据处理方法包括步骤如下:
步骤1,网关设备接收数据包。
步骤2,网关设备先将数据包与session表进行匹配,匹配成功以后则进入步骤3进入快速转发流程,匹配失败则进入步骤4进入慢速流程。其中,快速转发流程可以直接将数据包转发或者丢弃,慢速流程需要对数据进行检测。
步骤3,进入快速转发流程查询标记信息是否为drop,若为drop则直接丢弃,反之则进行转发处理。
步骤4,进入慢速流程,判断数据包在安全策略检测之前是否丢弃,若被丢弃,直接执行丢弃处理,若不被丢弃,则检查安全策略行为。
步骤5,若安全策略是执行允许动作则添加标记为foreward的session信息,若是执行拒绝动作依然会添加标记为drop的session信息,但是标记为drop的session信息的超时时间设置比较短,如30秒。然后再进行步骤3执行转发或是丢弃动作。
根据本发明实施例,通过添加了对丢弃数据的session表项的建立机制,实现了对后续这组数据包的快速丢弃。建立异常数据的session表项,快速转发后续的这组数据,实现节省网络资源,提高数据转发吞吐量,进而提高安全网关的性能。
本发明实施例中,当检测到数据通信时,会建立关于该数据的session信息(快速转发表),正常数据正常转发,但是当检测到数据流量为异常数据时,如攻击数据,依然会建立该数据的session信息,只不过会把该数据的session信息的行为标记为drop并且超时时间会设置较短,如30秒,再此段时间内若是接收并检测到符合该session的数据包时,就会走快速转发流程直接丢弃该数据包,节省资源的同时提高安全网关的性能。
为更进一步阐述本发明为达成预定目的所采用的技术手段及功效,下面结合测试结果,对本发明实施例的技术方案作进一步详细描述。选择两个安全网关设备分别为设备1和设备2,其中设备1采用现有的数据转发技术,设备2采用本发明实施例的数据转发技术,通过测试两种设备在正常数据和遭受攻击时的性能数据对比,体现本发明实施例的数据转发技术的优势。
首先,按照图5搭建环境,测试的设备统称为DUT设备,测试仪器模拟正常数据包发送到DUT设备,分别测试现有的转发技术和本发明实施例的转发技术的新建能力,CPU利用率。新建连接速率的测试方法可以选择HTTP1.0协议版本连接,通过发起三次握手,GET页面大小为1byte的测试文件并使用RST方式关闭连接请求,测试待测设备的新建连接速率。测试结果如表1所示。
表1:
| DUT性能指标 | 新建能力 | Cpu利用率 |
| 设备1 | 3.0万/秒 | 7.5% |
| 设备2 | 3.2万/秒 | 8% |
然后,按照图6搭建测试环境,分别测试现有的转发技术和本发明实施例的转发技术在相同的正常HTTP的背景流量以及相同的攻击流量的状态下的新建能力,CPU利用率,攻击检出率。测试结果表2所示。
表2:
| DUT性能指标 | 新建能力 | Cpu利用率 | 攻击检出率 |
| 设备1 | 5000/秒 | 70% | 74% |
| 设备2 | 2.8万/秒 | 30% | 77% |
从上述测试结果可以看出:在开启攻击流量的情况下,采用现有的转发技术的DUT设备比本发明实施例的转发技术的DUT设备的CPU利用率要上升的多。在开启攻击流量的情况下,现有的转发技术比本发明实施例的转发技术的新建能力要下降的多。在开启攻击流量的情况下,现有的转发技术的drop检出率要明显低于本发明实施例的转发技术。
综上所述,本发明实施例的转发技术,在面对异常流量如攻击流量时,在影响正常数据转发速率不大的基础上,能够快速丢弃异常数据,实现在节省资源的基础上快速转发数据。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、移动终端、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种用于网关设备的数据处理方法,其特征在于,包括:
网关设备接收来自互联网的数据包;
所述网关设备对所述数据包进行检测,得到检测结果;
所述网关设备根据所述检测结果判断所述数据包是否为异常数据;
如果所述网关设备判断出所述数据包为异常数据,则所述网关设备建立所述数据包对应的会话信息;以及
当再次接收所述数据包时,所述网关设备根据所述数据包对应的会话信息丢弃所述数据包。
2.根据权利要求1所述的数据处理方法,其特征在于,
在所述网关设备建立所述数据包对应的会话信息之后,所述数据处理方法还包括:所述网关设备将所述数据包对应的会话信息添加到的会话表中,
所述网关设备根据所述数据包对应的会话信息丢弃所述数据包包括:所述网关设备获取所述数据包的属性信息;所述网关设备将所述数据包的属性信息与所述会话表中的信息进行匹配;如果所述数据包的属性信息匹配到存储在所述会话表中的所述数据包对应的会话信息,则所述网关设备将所述数据包丢弃。
3.根据权利要求1所述的数据处理方法,其特征在于,所述网关设备对所述数据包进行检测,得到检测结果包括:
所述网关设备确定所述数据包对应的执行动作,所述执行动作为用于对所述数据包的处理动作;
所述网关设备判断所述执行动作是否为执行拒绝动作,其中,所述执行拒绝动作用于对所述数据包执行丢弃处理,
其中,如果所述网关设备判断出所述执行动作为所述执行拒绝动作,则确定所述数据包为异常数据。
4.根据权利要求3所述的数据处理方法,其特征在于,在确定所述数据包为异常数据之后,所述数据处理方法还包括:
所述网关设备设置异常数据的超时时间为预设超时时间,其中,所述预设超时时间小于非异常数据的超时时间。
5.根据权利要求1所述的数据处理方法,其特征在于,在网关设备接收来自互联网的数据包之后,所述数据处理方法还包括:
所述网关设备获取所述数据包的属性信息;
所述网关设备将所述属性信息与所述网关设备的会话表中的信息进行匹配;以及
如果所述属性信息与所述网关设备的会话表中的信息匹配,则所述网关设备转发所述数据包。
6.一种用于网关设备的数据处理装置,其特征在于,包括:
接收单元,用于使得网关设备接收来自互联网的数据包;
检测单元,用于使得所述网关设备对所述数据包进行检测,得到检测结果;
判断单元,用于使得所述网关设备根据所述检测结果判断所述数据包是否为异常数据;
建立单元,用于当所述网关设备判断出所述数据包为异常数据时,使得所述网关设备建立所述数据包对应的会话信息;以及
丢弃单元,用于当再次接收所述数据包时,使得所述网关设备根据所述数据包对应的会话信息丢弃所述数据包。
7.根据权利要求6所述的数据处理装置,其特征在于,
所述数据处理装置还包括:添加单元,用于在所述网关设备建立所述数据包对应的会话信息之后,使得所述网关设备将所述数据包对应的会话信息添加到的会话表中,
所述丢弃单元包括:获取模块,用于使得所述网关设备获取所述数据包的属性信息;匹配模块,用于使得所述网关设备将所述数据包的属性信息与所述会话表中的信息进行匹配;丢弃模块,用于当所述数据包的属性信息匹配到存储在所述会话表中的所述数据包对应的会话信息时,使得所述网关设备将所述数据包丢弃。
8.根据权利要求6所述的数据处理装置,其特征在于,所述检测单元包括:
确定模块,用于使得所述网关设备确定所述数据包对应的执行动作,所述执行动作为用于对所述数据包的处理动作;
判断模块,用于使得所述网关设备判断所述执行动作是否为执行拒绝动作,其中,所述执行拒绝动作用于对所述数据包执行丢弃处理,其中,如果所述网关设备判断出所述执行动作为所述执行拒绝动作,则确定所述数据包为异常数据。
9.根据权利要求8所述的数据处理装置,其特征在于,所述数据处理装置还包括:
设置单元,用于在确定所述数据包为异常数据之后,使得所述网关设备设置异常数据的超时时间为预设超时时间,其中,所述预设超时时间小于非异常数据的超时时间。
10.根据权利要求6所述的数据处理装置,其特征在于,所述数据处理装置还包括:
获取单元,用于在网关设备接收来自互联网的数据包之后,使得所述网关设备获取所述数据包的属性信息;
匹配单元,用于使得所述网关设备将所述属性信息与所述网关设备的会话表中的信息进行匹配;以及
转发单元,用于当所述属性信息与所述网关设备的会话表中的信息匹配,使得所述网关设备转发所述数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410083752.9A CN103812875A (zh) | 2014-03-07 | 2014-03-07 | 用于网关设备的数据处理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410083752.9A CN103812875A (zh) | 2014-03-07 | 2014-03-07 | 用于网关设备的数据处理方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103812875A true CN103812875A (zh) | 2014-05-21 |
Family
ID=50709076
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410083752.9A Pending CN103812875A (zh) | 2014-03-07 | 2014-03-07 | 用于网关设备的数据处理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103812875A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105207977A (zh) * | 2014-06-24 | 2015-12-30 | 阿里巴巴集团控股有限公司 | Tcp数据包处理方法及装置 |
| CN106470127A (zh) * | 2015-08-18 | 2017-03-01 | 中兴通讯股份有限公司 | 一种网络异常流量的检测方法及系统 |
| CN107888624A (zh) * | 2017-12-22 | 2018-04-06 | 杭州迪普科技股份有限公司 | 一种防护网络安全的方法和装置 |
| CN108134748A (zh) * | 2017-12-11 | 2018-06-08 | 杭州迪普科技股份有限公司 | 一种基于快速转发表项的丢包方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227467A (zh) * | 2008-01-08 | 2008-07-23 | 中兴通讯股份有限公司 | 黑名单管理方法和装置 |
| CN101304389A (zh) * | 2008-06-20 | 2008-11-12 | 华为技术有限公司 | 报文处理方法、装置和系统 |
| CN101459583A (zh) * | 2007-12-13 | 2009-06-17 | 华为技术有限公司 | 报文处理方法和装置、以及报文发送方法和装置 |
| CN103237039A (zh) * | 2013-05-10 | 2013-08-07 | 汉柏科技有限公司 | 一种报文转发方法及设备 |
-
2014
- 2014-03-07 CN CN201410083752.9A patent/CN103812875A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459583A (zh) * | 2007-12-13 | 2009-06-17 | 华为技术有限公司 | 报文处理方法和装置、以及报文发送方法和装置 |
| CN101227467A (zh) * | 2008-01-08 | 2008-07-23 | 中兴通讯股份有限公司 | 黑名单管理方法和装置 |
| CN101304389A (zh) * | 2008-06-20 | 2008-11-12 | 华为技术有限公司 | 报文处理方法、装置和系统 |
| CN103237039A (zh) * | 2013-05-10 | 2013-08-07 | 汉柏科技有限公司 | 一种报文转发方法及设备 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105207977A (zh) * | 2014-06-24 | 2015-12-30 | 阿里巴巴集团控股有限公司 | Tcp数据包处理方法及装置 |
| CN106470127A (zh) * | 2015-08-18 | 2017-03-01 | 中兴通讯股份有限公司 | 一种网络异常流量的检测方法及系统 |
| CN108134748A (zh) * | 2017-12-11 | 2018-06-08 | 杭州迪普科技股份有限公司 | 一种基于快速转发表项的丢包方法和装置 |
| CN107888624A (zh) * | 2017-12-22 | 2018-04-06 | 杭州迪普科技股份有限公司 | 一种防护网络安全的方法和装置 |
| CN107888624B (zh) * | 2017-12-22 | 2021-12-24 | 杭州迪普科技股份有限公司 | 一种防护网络安全的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11902096B2 (en) | Collection of error packet information for network policy enforcement | |
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| EP3013086B1 (en) | Method, apparatus and electronic device for connection management | |
| US9444821B2 (en) | Management server, communication cutoff device and information processing system | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| CN105142146B (zh) | 一种wifi热点接入的认证方法、装置及系统 | |
| Jmila et al. | A survey of smart home iot device classification using machine learning-based network traffic analysis | |
| US9467360B2 (en) | System, device and method for managing network traffic by using monitoring and filtering policies | |
| KR20220002602A (ko) | 네트워크 이상 검출 | |
| CN107800663B (zh) | 流量离线文件的检测方法及装置 | |
| JP2015511047A (ja) | マルウェアを検出するコンピューティングデバイス | |
| CN106330944A (zh) | 恶意系统漏洞扫描器的识别方法和装置 | |
| CN103259699B (zh) | 测试方法、系统及客户端和服务端 | |
| CN103812875A (zh) | 用于网关设备的数据处理方法和装置 | |
| WO2015081693A1 (zh) | 一种网络共享用户识别方法及装置 | |
| CN111049781A (zh) | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 | |
| US10296746B2 (en) | Information processing device, filtering system, and filtering method | |
| CN112804263A (zh) | 一种面向物联网的漏洞扫描方法、系统及设备 | |
| CN111079140B (zh) | 用于防作弊的方法、设备和系统 | |
| WO2020113401A1 (zh) | 数据检测方法、装置及设备 | |
| CN110381016A (zh) | Cc攻击的防护方法及装置、存储介质、计算机设备 | |
| CN111079144B (zh) | 一种病毒传播行为检测方法及装置 | |
| TWI741698B (zh) | 察覺惡意攻擊的方法及網路安全管理裝置 | |
| JP6219621B2 (ja) | 通信照合装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140521 |
|
| RJ01 | Rejection of invention patent application after publication |