CN104184746B - 网关处理数据的方法和装置 - Google Patents
网关处理数据的方法和装置 Download PDFInfo
- Publication number
- CN104184746B CN104184746B CN201410466775.8A CN201410466775A CN104184746B CN 104184746 B CN104184746 B CN 104184746B CN 201410466775 A CN201410466775 A CN 201410466775A CN 104184746 B CN104184746 B CN 104184746B
- Authority
- CN
- China
- Prior art keywords
- data stream
- gateway
- time period
- source
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网关处理数据的方法及装置。其中,该方法包括:使用多个安全检测模块对网关接收到的数据流依次进行安全性检测,确定数据流的类型,数据流的类型包括:安全数据流和非法数据流;如果网关接收到的数据流为安全数据流的情况下,将数据流的来源IP地址的可信权重值进行累加,直至可信权重值大于第一阈值的情况下,将数据流的来源IP地址写入白名单;如果网关接收到的数据流为非法数据流的情况下,将数据流的来源IP地址的黑名单权重值进行累加,直至黑名单权重值大于第二阈值的情况下,将数据流的来源IP地址写入黑名单。通过本发明,解决了现有技术中网关设备中多个安全模块在工作时无联动的情况导致网关处理数据效率低的问题。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种网关处理数据的方法和装置。
背景技术
传统的网关设备,例如UTM中有多个安全模块,当网关设备检测数据流时,多个安全模块对数据流进行安全性检测,确保通过网关设备的数据无攻击或异常。
这里需要说明的是,在传统网关设备对数据流的安全性检测性的方式中,多个安全模块例如抗攻击模块、IPS检测模块和防病毒等模块之间通常没有任何联动,都是各自为战,多个安全模块之间没有及时交互,同时开启多个安全模块时,由于无法区分可信主机和不可信主机,只能处理所有主机的数据流,导致网关处理数据的效率低。
针对现有技术中网关设备中多个安全模块在工作时无联动的情况导致网关处理数据效率低的问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种网关处理数据的方法及装置,以解决现有技术中网关设备中多个安全模块在工作时无联动的情况导致网关处理数据效率低的问题。
为了实现上述目的,根据本发明实施例的一个方面,提供了一种网关处理数据的方法。该方法包括:使用多个安全检测模块对网关接收到的数据流依次进行安全性检测,确定数据流的类型,数据流的类型包括:安全数据流和非法数据流;如果网关接收到的数据流为安全数据流的情况下,将数据流的来源IP地址的可信权重值进行累加,直至可信权重值大于第一阈值的情况下,将数据流的来源IP地址写入白名单;如果网关接收到的数据流为非法数据流的情况下,将数据流的来源IP地址的黑名单权重值进行累加,直至黑名单权重值大于第二阈值的情况下,将数据流的来源IP地址写入黑名单。
为了实现上述目的,根据本发明实施例的另一方面,提供了一种网关处理数据的装置。该装置包括:检测单元,用于使用多个安全检测模块对网关接收到的数据流依次进行安全性检测,确定数据流的类型,数据流的类型包括:安全数据流和非法数据流;处理单元,用于如果网关接收到的数据流为安全数据流的情况下,将数据流的来源IP地址的可信权重值进行累加,直至可信权重值大于第一阈值的情况下,将数据流的来源IP地址写入白名单;如果网关接收到的数据流为非法数据流的情况下,将数据流的来源IP地址的黑名单权重值进行累加,直至黑名单权重值大于第二阈值的情况下,将数据流的来源IP地址写入黑名单。
根据发明实施例,通过使用多个安全检测模块对网关接收到的数据流依次进行安全性检测,确定数据流的类型,数据流的类型包括:安全数据流和非法数据流;如果网关接收到的数据流为安全数据流的情况下,将数据流的来源IP地址的可信权重值进行累加,直至可信权重值大于第一阈值的情况下,将数据流的来源IP地址写入白名单;如果网关接收到的数据流为非法数据流的情况下,将数据流的来源IP地址的黑名单权重值进行累加,直至黑名单权重值大于第二阈值的情况下,将数据流的来源IP地址写入黑名单,解决了现有技术中网关设备中多个安全模块在工作时无联动的情况导致网关处理数据效率低的问题。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例一的网关处理数据的方法的流程图;
图2是根据本发明实施例二的网关处理数据的装置的示意图;以及
图3是根据本发明实施例二的优选的网关处理数据的装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
本发明实施例提供了一种网关处理数据的方法。如图1所示,该方法包括步骤如下:
步骤S101,使用多个安全检测模块对网关接收到的数据流依次进行安全性检测,确定数据流的类型,数据流的类型包括:安全数据流和非法数据流。
具体的,上述多个安全检测模块可以是网关设备内部的组成部分,上述数据流可以是任意第三方终端向网关发送的数据流,上述数据流可以携带有第三方终端的IP地址。
步骤S1031,如果网关接收到的数据流为安全数据流的情况下,将数据流的来源IP地址的可信权重值进行累加,直至可信权重值大于第一阈值的情况下,将数据流的来源IP地址写入白名单。
具体的,上述数据流的来源IP地址的可信权重值可以为confirm_weight,confirm_weight的默认值可以是0,上述第一阈值可以预设为1000,例如,第三方终端向网关发送的数据流,所述网关中多个安全检测模块依次对所述数据流进行检测后,如果上述数据流的类型被确定为安全类型,则confirm_weight加1,当第三方终端再次向网关发送的数据流,所述网关中多个安全检测模块依次对所述数据流进行检测后,如果上述数据流的类型再次被确定为安全类型,则confirm_weight再加1,依次类推,当confirm_weight大于1000,即所述数据流的来源IP地址的第三方终端向网关发送的多次数据流中,有超过1000次被网关确定为安全类型,则所述网关将上述数据流的来源IP地址即第三方终端的IP地址写入白名单。
可选的,在confirm_weight小于1000的时候,上述网关仍然对上述数据流进行多个安全模块的检查,以累积验证这个主机及第三方终端的可信程度。
步骤S1032,如果网关接收到的数据流为非法数据流的情况下,将数据流的来源IP地址的黑名单权重值进行累加,直至黑名单权重值大于第二阈值的情况下,将数据流的来源IP地址写入黑名单。
具体的,上述数据流的来源IP地址的黑名单权重值可以为blcok_weight,block_weight的默认值可以是0,上述第二阈值可以预设为3,例如,第三方终端向网关发送的数据流,所述网关中多个安全检测模块依次对所述数据流进行检测后,如果上述数据流的类型被确定为非法数据流,则block_weight加1,当第三方终端再次向网关发送的数据流,所述网关中多个安全检测模块依次对所述数据流进行检测后,如果上述数据流的类型再次被确定为非法数据流,则block_weight再加1,依次类推,当block_weight大于3,即所述数据流的来源IP地址的第三方终端向网关发送的多次数据流中,有超过3次被网关确定为非法数据流,则所述网关将上述数据流的来源IP地址即第三方终端的IP地址写入黑名单。
本实施例通过网关设备内多个安全检测模块联合依次对网关接收到的数据流进行安全性检测,在确定上述数据流是安全数据流或非法数据流的情况下,累加上述数据流的来源IP地址的可信权重值或黑名单权重值,并在可信权重值或黑名单权重值超过第一阈值或第二阈值的情况下将数据流的来源IP地址写入白名单或黑名单,解决了现有技术中网关设备中多个安全模块在工作时无联动的情况导致网关处理数据效率低的问题。
优选的,步骤S101中的多个安全检测模块可以包括以下至少一个:抗攻击检测模块、IPS检测模块和防病毒模块。步骤S101中的使用多个安全检测模块对网关接收到的数据流依次进行安全性检测,确定数据流的类型的步骤还可以包括:
步骤S201,采用抗攻击检测模块、IPS检测模块和防病毒模块依次对数据流进行安全检测。具体的,本方法可以包含两个方案:
方案一:
在数据流没有被抗攻击检测模块、IPS检测模块和防病毒模块检测出攻击或异常的情况下,确定数据流为安全数据流。
方案二:
在数据流被抗攻击检测模块、IPS检测模块和防病毒模块检测出攻击或异常的情况下,确定数据流为非法数据流。
优选的,上述步骤S1031中的将数据流的来源IP地址写入白名单之后,本实施例提供的网关处理数据的方法还可以包括:
步骤S301,针对数据流的来源IP地址设置免检时间段,或通过第一运算规则来计算免检时间段,其中,在免检时间段内,控制网关在免检时间段内对数据流不进行安全检测。
具体的,上述网关将上述数据流的来源IP地址写入白名单之后,上述网关针对上述数据流的来源IP地址设置免检时间段,例如,第三终端向上述网关多次发送数据流,上述网关内各个安全检测模块也多次对上述数据流进行安全检测,如果上述网关将上述数据流的来源IP地址写入白名单,网关则针对数据流的来源IP地址设置免检时间段,即在该免检时间段内,上述第三终端再向上述网关发送数据流,上述网关内部的安全检测模块不对上述数据流进行例如抗攻击、IPS/防病毒的检测,以减轻网关负担。
优选的,上述免检时间段可以设置为5秒,即在上述数据流的来源IP地址被写入白名单后的5秒钟内,网关对上述IP地址的第三终端发送的数据流不做检测。上述时间段也可以通过第一运算规则来计算。上述第一运算规则可以为:
免检时间段=默认免检时间段+第一参数*可信次数,其中,所述默认免检时间段为用户预设的时间段;所述第一参数为所述用户预设的常数;所述可信次数为所述数据流的源IP地址写入白名单的累加次数。
具体的,上述默认免检时间段可以设置为5秒,第一参数可以设置为2秒,上述可信次数可以采用confirm_count来表示,confirm_count的默认值可以为0,当所述数据流的来源IP地址被写入白名单后,可信次数则进行加1,例如,第三终端向上述网关多次发送数据流,第三终端的IP地址被网关写入3次白名单,则可信次数confirm_count的累加次数为3,通过上述第一运算规则可以算得免检时间段=11秒,即在上述数据流的来源IP地址被写入白名单后的11秒钟内,上述网关对上述第三终端发送的数据流不做检测。
优选的,上述步骤S1032中的将数据流的来源IP地址写入黑名单之后,本实施例提供的网关处理数据的方法还可以包括:
步骤S401,针对数据流的来源IP地址设置阻塞时间段,或通过第二运算规则来计算阻塞时间段,其中,在阻塞时间段内,控制网关在阻塞时间段内将数据流丢弃。
具体的,上述网关将上述数据流的来源IP地址写入黑名单之后,上述网关针对上述数据流的来源IP地址设置阻塞时间段,例如,第三终端向上述网关多次发送数据流,上述网关内各个安全检测模块也多次对上述数据流进行安全检测,如果上述网关将上述数据流的来源IP地址写入黑名单,网关则针对数据流的来源IP地址设置阻塞时间段,即在该阻塞时间段内,上述第三终端再向上述网关发送数据流,上述网关直接将所述数据流丢弃。
优选的,上述阻塞时间段可以设置为5秒,即在上述数据流的来源IP地址被写入黑名单后的5秒钟内,网关对上述IP地址的第三终端发送的数据流直接丢弃。上述时间段也可以通过第二运算规则来计算。上述第二运算规则可以为:
阻塞时间段=默认阻塞时间段+第二参数*不可信次数,其中,所述默认免检时间段为用户预设的时间段;所述第二参数为所述用户预设的常数;所述不可信次数为所述数据流的源IP地址写入黑名单的累加次数。
具体的,上述默认阻塞时间段可以设置为5秒,第二参数可以设置为2秒,上述不可信次数可以采用block_count来表示,block_count的默认值可以为0,当所述数据流的来源IP地址被写入黑名单后,不可信次数则进行加1,例如,第三终端向上述网关多次发送数据流,第三终端的IP地址被网关写入3次黑名单,则可信次数block_count的累加次数为3,通过上述第二运算规则可以算得阻塞时间段=11秒,即在上述数据流的来源IP地址被写入黑名单后的11秒钟内,上述网关对上述第三终端发送的数据流直接丢弃。
由上述两个运算规则可见,可信次数或不可信次数越多,对应的免检时间或阻塞时间就越长。即可信次数多,免检时间段有累计奖励,不可信次数多,阻塞时间段有累计惩罚。
可选的,可以人工规定上述阻塞时间段和免检时间段最长不超过60秒,以保证网关设备高效率、灵活的处理数据。
可选的,在网关查询安全规则之间,网关可以取数据流的来源IP地址在黑名单中进行查询,如果匹配,并且该IP地址仍然在阻塞时间段内,网关则对数据流直接丢弃,同时更新阻塞时间。
本发明结合具体应用场景例描述:
本申请主要通过以下方法来实现联动:
1、在网关数据包入口处理添加黑名单阻塞处理:
如果源IP在黑名单中,并且在阻塞周期内,将对这个源IP发起的任何连接,直接做丢弃处理。无需再进行后续的处理,减轻网关压力,同时提高攻击阻挡的及时性。
2、在安全策略检查后,添加可信名单检查,同时在状态表中扩展可信标记位,这样在后续进入抗攻击、IPS或防病毒模块前,通过检查可信名单标记位来决定是否进入这些安全模块做处理。
如果源IP在可信名单中,并在可信周期内,对这个IP发起的请求,可以不用再做异常流量检测、抗攻击、IPS安全模块的处理。
3、在网关各安全模块中,添加可信/不可信权重的计算,增加联动信息(可信名单,不可信名单)的处理。主要包括:不可信名单:可以是单个源IP,也可以是更具体的流信息,根据实际情况可以进行选择。DATA部分主要是阻塞的时间信息,比如对某个源IP阻塞5分钟。数据结构如下:
可信名单的信息结构与不可信(黑)名单类似:
实施例2
本发明实施例还提供了一种网关处理数据的装置,如图2所示,该装置可以包括:
检测单元202,用于使用多个安全检测模块对网关接收到的数据流依次进行安全性检测,确定数据流的类型,数据流的类型包括:安全数据流和非法数据流。
具体的,上述多个安全检测模块可以是网关设备内部的组成部分,上述数据流可以是任意第三方终端向网关发送的数据流,上述数据流可以携带有所述第三方终端的IP地址。
处理单元204,用于如果网关接收到的数据流为安全数据流的情况下,将数据流的来源IP地址的可信权重值进行累加,直至可信权重值大于第一阈值的情况下,将数据流的来源IP地址写入白名单;如果网关接收到的数据流为非法数据流的情况下,将数据流的来源IP地址的黑名单权重值进行累加,直至黑名单权重值大于第二阈值的情况下,将数据流的来源IP地址写入黑名单。
具体的,上述数据流的来源IP地址的可信权重值可以为confirm_weight,confirm_weight的默认值可以是0,上述第一阈值可以预设为1000,例如,第三方终端向网关发送的数据流,所述网关中多个安全检测模块依次对所述数据流进行检测后,如果上述数据流的类型被确定为安全类型,则confirm_weight加1,当第三方终端再次向网关发送的数据流,所述网关中多个安全检测模块依次对所述数据流进行检测后,如果上述数据流的类型再次被确定为安全类型,则confirm_weight再加1,依次类推,当confirm_weight大于1000,即所述数据流的来源IP地址的第三方终端向网关发送的多次数据流中,有超过1000次被网关确定为安全类型,则所述网关将上述数据流的来源IP地址即第三方终端的IP地址写入白名单。
可选的,可以使confirm_weight小于1000的时候,上述网关仍然对上述数据流进行多个安全模块的检查,以累积验证这个主机及第三方终端的可信程度。
具体的,上述数据流的来源IP地址的黑名单权重值可以为blcok_weight,block_weight的默认值可以是0,上述第二阈值可以预设为3,例如,第三方终端向网关发送的数据流,所述网关中多个安全检测模块依次对所述数据流进行检测后,如果上述数据流的类型被确定为非法数据流,则block_weight加1,当第三方终端再次向网关发送的数据流,所述网关中多个安全检测模块依次对所述数据流进行检测后,如果上述数据流的类型再次被确定为非法数据流,则block_weight再加1,依次类推,当block_weight大于3,即所述数据流的来源IP地址的第三方终端向网关发送的多次数据流中,有超过3次被网关确定为非法数据流,则所述网关将上述数据流的来源IP地址即第三方终端的IP地址写入黑名单。
本实施例通过网关设备内多个安全检测模块联合依次对网关接收到的数据流进行安全性检测,在确定上述数据流是安全数据流或非法数据流的情况下,累加上述数据流的来源IP地址的可信权重值或黑名单权重值,并在可信权重值或黑名单权重值超过第一阈值或第二阈值的情况下将数据流的来源IP地址写入白名单或黑名单,解决了现有技术中网关设备中多个安全模块在工作时无联动的情况导致网关处理数据效率低的问题。
优选的,如图3所示,上述检测单元202还可以包括:
检测模块302,用于采用抗攻击检测模块、IPS检测模块和防病毒模块依次对数据流进行安全检测。
处理模块304,用于在数据流没有被抗攻击检测模块、IPS检测模块和防病毒模块检测出攻击或异常的情况下,确定数据流为安全数据流;在数据流被抗攻击检测模块、IPS检测模块和防病毒模块检测出攻击或异常的情况下,确定数据流为非法数据流。
优选的,本实施例提供的装置还可以包括:
第一设置单元402,用于针对数据流的来源IP地址设置免检时间段,或通过第一运算规则来计算免检时间段,其中,在免检时间段内,控制网关在免检时间段内对数据流不进行安全检测。
具体的,上述网关将上述数据流的来源IP地址写入白名单之后,上述网关针对上述数据流的来源IP地址设置免检时间段,例如,第三终端向上述网关多次发送数据流,上述网关内各个安全检测模块也多次对上述数据流进行安全检测,如果上述网关将上述数据流的来源IP地址写入白名单,网关则针对数据流的来源IP地址设置免检时间段,即在该免检时间段内,上述第三终端再向上述网关发送数据流,上述网关内部的安全检测模块不对上述数据流进行例如抗攻击、IPS/防病毒的检测,以减轻网关负担。
优选的,上述免检时间段可以设置为5秒,即在上述数据流的来源IP地址被写入白名单后的5秒钟内,网关对上述IP地址的第三终端发送的数据流不做检测。上述时间段也可以通过第一运算规则来计算。上述第一运算规则可以为:
免检时间段=默认免检时间段+第一参数*可信次数,其中,所述默认免检时间段为用户预设的时间段;所述第一参数为所述用户预设的常数;所述可信次数为所述数据流的源IP地址写入白名单的累加次数。
具体的,上述默认免检时间段可以设置为5秒,第一参数可以设置为2秒,上述可信次数可以采用confirm_count来表示,confirm_count的默认值可以为0,当所述数据流的来源IP地址被写入白名单后,可信次数则进行加1,例如,第三终端向上述网关多次发送数据流,第三终端的IP地址被网关写入3次白名单,则可信次数confirm_count的累加次数为3,通过上述第一运算规则可以算得免检时间段=11秒,即在上述数据流的来源IP地址被写入白名单后的11秒钟内,上述网关对上述第三终端发送的数据流不做检测。
优选的,本实施例提供的装置还可以包括:
第二设置单元,用于针对数据流的来源IP地址设置阻塞时间段,或通过第二运算规则来计算阻塞时间段,其中,在阻塞时间段内,控制网关在阻塞时间段内将数据流丢弃。
具体的,上述网关将上述数据流的来源IP地址写入黑名单之后,上述网关针对上述数据流的来源IP地址设置阻塞时间段,例如,第三终端向上述网关多次发送数据流,上述网关内各个安全检测模块也多次对上述数据流进行安全检测,如果上述网关将上述数据流的来源IP地址写入黑名单,网关则针对数据流的来源IP地址设置阻塞时间段,即在该阻塞时间段内,上述第三终端再向上述网关发送数据流,上述网关直接将所述数据流丢弃。
优选的,上述阻塞时间段可以设置为5秒,即在上述数据流的来源IP地址被写入黑名单后的5秒钟内,网关对上述IP地址的第三终端发送的数据流直接丢弃。上述时间段也可以通过第二运算规则来计算。上述第二运算规则可以为:
阻塞时间段=默认阻塞时间段+第二参数*不可信次数,其中,所述默认免检时间段为用户预设的时间段;所述第二参数为所述用户预设的常数;所述不可信次数为所述数据流的源IP地址写入黑名单的累加次数。
具体的,上述默认阻塞时间段可以设置为5秒,第二参数可以设置为2秒,上述不可信次数可以采用block_count来表示,block_count的默认值可以为0,当所述数据流的来源IP地址被写入黑名单后,不可信次数则进行加1,例如,第三终端向上述网关多次发送数据流,第三终端的IP地址被网关写入3次黑名单,则可信次数block_count的累加次数为3,通过上述第二运算规则可以算得阻塞时间段=11秒,即在上述数据流的来源IP地址被写入黑名单后的11秒钟内,上述网关对上述第三终端发送的数据流直接丢弃。
由上述两个运算规则可见,可信次数或不可信次数越多,对应的免检时间或阻塞时间就越长。即可信次数多,免检时间段有累计奖励,不可信次数多,阻塞时间段有累计惩罚。
可选的,可以人工规定上述阻塞时间段和免检时间段最长不超过60秒,以保证网关设备高效率、灵活的处理数据。
可选的,在网关查询安全规则之间,网关可以取数据流的来源IP地址在黑名单中进行查询,如果匹配,并且该IP地址仍然在阻塞时间段内,网关则对数据流直接丢弃,同时更新阻塞时间。
本发明结合具体应用场景例描述:
本申请主要通过以下方法来实现联动:
1、在网关数据包入口处理添加黑名单阻塞处理:
如果源IP在黑名单中,并且在阻塞周期内,将对这个源IP发起的任何连接,直接做丢弃处理。无需再进行后续的处理,减轻网关压力,同时提高攻击阻挡的及时性。
2、在安全策略检查后,添加可信名单检查,同时在状态表中扩展可信标记位,这样在后续进入抗攻击、IPS或防病毒模块前,通过检查可信名单标记位来决定是否进入这些安全模块做处理。
如果源IP在可信名单中,并在可信周期内,对这个IP发起的请求,可以不用再做异常流量检测、抗攻击、IPS安全模块的处理。
3、在网关各安全模块中,添加可信/不可信权重的计算,增加联动信息(可信名单,不可信名单)的处理。主要包括:不可信名单:可以是单个源IP,也可以是更具体的流信息,根据实际情况可以进行选择。DATA部分主要是阻塞的时间信息,比如对某个源IP阻塞5分钟。数据结构如下:
可信名单的信息结构与不可信(黑)名单类似:
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、移动终端、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种网关处理数据的方法,其特征在于,包括:
使用多个安全检测模块对网关接收到的数据流依次进行安全性检测,确定所述数据流的类型,所述数据流的类型包括:安全数据流和非法数据流;
如果所述网关接收到的所述数据流为所述安全数据流的情况下,将所述数据流的来源IP地址的可信权重值进行累加,直至所述可信权重值大于第一阈值的情况下,将所述数据流的来源IP地址写入白名单;
如果所述网关接收到的所述数据流为所述非法数据流的情况下,将所述数据流的来源IP地址的黑名单权重值进行累加,直至所述黑名单权重值大于第二阈值的情况下,将所述数据流的来源IP地址写入黑名单;
在网关数据包入口处添加黑名单阻塞处理:如果来源IP在黑名单中,并且在阻塞周期内,将对这个来源IP发起的任何连接,直接做丢弃处理,无需再进行后续的处理,减轻网关压力,同时提高攻击阻挡的及时性;
在安全策略检查后,添加可信名单检查,同时在状态表中扩展可信标记位,这样在后续进入抗攻击检测模块、IPS检测模块或防病毒检测模块前,通过检查可信名单标记位来决定是否进入这些安全监测模块做处理;如果来源IP在可信名单中,并在可信周期内,对这个IP发起的请求,可以不用再做抗攻击检测、IPS检测和防病毒检测的处理。
2.根据权利要求1所述的方法,其特征在于,所述多个安全检测模块包括以下至少一个:抗攻击检测模块、IPS检测模块和防病毒模块;其中,使用所述多个安全检测模块对网关接收到的数据流依次进行安全性检测,确定所述数据流的类型的步骤包括:
采用所述抗攻击检测模块、IPS检测模块和防病毒模块依次对所述数据流进行安全检测;
在所述数据流没有被所述抗攻击检测模块、IPS检测模块和防病毒模块检测出攻击或异常的情况下,确定所述数据流为安全数据流;
在所述数据流被所述抗攻击检测模块、IPS检测模块和防病毒模块检测出攻击或异常的情况下,确定所述数据流为非法数据流。
3.根据权利要求1或2所述的方法,其特征在于,将所述数据流的来源IP地址写入白名单之后,所述方法还包括:
针对所述数据流的来源IP地址设置免检时间段,或通过第一运算规则来计算免检时间段,其中,在所述免检时间段内,控制所述网关在所述免检时间段内对所述数据流不进行安全检测。
4.根据权利要求1或2所述的方法,其特征在于,将所述数据流的来源IP地址写入黑名单之后,所述方法还包括:
针对所述数据流的来源IP地址设置阻塞时间段,或通过第二运算规则来计算阻塞时间段,其中,在所述阻塞时间段内,控制所述网关在所述阻塞时间段内将所述数据流丢弃。
5.根据权利要求3所述的方法,其特征在于,所述第一运算规则为:
免检时间段=默认免检时间段+第一参数*可信次数,其中,所述默认免检时间段为用户预设的时间段;所述第一参数为所述用户预设的常数;所述可信次数为所述数据流的来源IP地址写入白名单的累加次数。
6.根据权利要求4所述的方法,其特征在于,所述第二运算规则为:
阻塞时间段=默认阻塞时间段+第二参数*不可信次数,其中,所述默认阻塞时间段为用户预设的时间段;所述第二参数为所述用户预设的常数;所述不可信次数为所述数据流的来源IP地址写入黑名单的累加次数。
7.一种网关处理数据的装置,其特征在于,包括:
检测单元,用于使用多个安全检测模块对网关接收到的数据流依次进行安全性检测,确定所述数据流的类型,所述数据流的类型包括:安全数据流和非法数据流;
处理单元,用于如果所述网关接收到的所述数据流为所述安全数据流的情况下,将所述数据流的来源IP地址的可信权重值进行累加,直至所述可信权重值大于第一阈值的情况下,将所述数据流的来源IP地址写入白名单;如果所述网关接收到的所述数据流为所述非法数据流的情况下,将所述数据流的来源IP地址的黑名单权重值进行累加,直至所述黑名单权重值大于第二阈值的情况下,将所述数据流的来源IP地址写入黑名单;
在网关数据包入口处添加黑名单阻塞处理:如果来源IP在黑名单中,并且在阻塞周期内,将对这个来源IP发起的任何连接,直接做丢弃处理,无需再进行后续的处理,减轻网关压力,同时提高攻击阻挡的及时性;
在安全策略检查后,添加可信名单检查,同时在状态表中扩展可信标记位,这样在后续进入抗攻击检测模块、IPS检测模块或防病毒检测模块前,通过检查可信名单标记位来决定是否进入这些安全检测模块做处理;如果来源IP在可信名单中,并在可信周期内,对这个IP发起的请求,可以不用再做抗攻击检测、IPS检测和防病毒检测的处理。
8.根据权利要求7所述的装置,其特征在于,所述多个安全检测模块包括以下至少一个:抗攻击检测模块、IPS检测模块和防病毒模块;其中,所述检测单元包括:
检测模块,用于采用所述抗攻击检测模块、IPS检测模块和防病毒模块依次对所述数据流进行安全检测;
处理模块,用于在所述数据流没有被所述抗攻击检测模块、IPS检测模块和防病毒模块检测出攻击或异常的情况下,确定所述数据流为安全数据流;在所述数据流被所述抗攻击检测模块、IPS检测模块和防病毒模块检测出攻击或异常的情况下,确定所述数据流为非法数据流。
9.根据权利要求7或8所述的装置,其特征在于,所述装置还包括:
第一设置单元,用于针对所述数据流的来源IP地址设置免检时间段,或通过第一运算规则来计算免检时间段,其中,在所述免检时间段内,控制所述网关在所述免检时间段内对所述数据流不进行安全检测。
10.根据权利要求7或8所述的装置,其特征在于,所述装置还包括:
第二设置单元,用于针对所述数据流的来源IP地址设置阻塞时间段,或通过第二运算规则来计算阻塞时间段,其中,在所述阻塞时间段内,控制所述网关在所述阻塞时间段内将所述数据流丢弃。
11.根据权利要求9所述的装置,其特征在于,所述第一运算规则为:
免检时间段=默认免检时间段+第一参数*可信次数,其中,所述默认免检时间段为用户预设的时间段;所述第一参数为所述用户预设的常数;所述可信次数为所述数据流的来源IP地址写入白名单的累加次数。
12.根据权利要求10所述的装置,其特征在于,所述第二运算规则为:
阻塞时间段=默认阻塞时间段+第二参数*不可信次数,其中,所述默认阻塞时间段为用户预设的时间段;所述第二参数为所述用户预设的常数;所述不可信次数为所述数据流的来源IP地址写入黑名单的累加次数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410466775.8A CN104184746B (zh) | 2014-09-12 | 2014-09-12 | 网关处理数据的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410466775.8A CN104184746B (zh) | 2014-09-12 | 2014-09-12 | 网关处理数据的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104184746A CN104184746A (zh) | 2014-12-03 |
CN104184746B true CN104184746B (zh) | 2019-12-31 |
Family
ID=51965488
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410466775.8A Active CN104184746B (zh) | 2014-09-12 | 2014-09-12 | 网关处理数据的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104184746B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104618404A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 防止网络攻击Web服务器的处理方法、装置及系统 |
CN105187424A (zh) * | 2015-08-31 | 2015-12-23 | 广州市优普计算机有限公司 | 一种网络安全检测方法及装置 |
CN108881339B (zh) * | 2017-05-11 | 2022-05-13 | 腾讯科技(深圳)有限公司 | 推送方法、用户标签的生成方法、装置及设备 |
CN107819761B (zh) * | 2017-11-06 | 2021-05-21 | 成都西加云杉科技有限公司 | 数据处理方法、装置及可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101296182A (zh) * | 2008-05-20 | 2008-10-29 | 华为技术有限公司 | 一种数据传输控制方法以及数据传输控制装置 |
CN101917733A (zh) * | 2010-08-06 | 2010-12-15 | 深圳市兆讯达科技实业有限公司 | 无线自组织网络路由查询泛洪攻击的检测方法 |
CN102427460A (zh) * | 2011-12-29 | 2012-04-25 | 深信服网络科技(深圳)有限公司 | 针对arp欺骗的多级检测和防御方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9705899B2 (en) * | 2010-01-26 | 2017-07-11 | Bae Systems Information And Electronic Systems Integration Inc. | Digital filter correlation engine |
-
2014
- 2014-09-12 CN CN201410466775.8A patent/CN104184746B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101296182A (zh) * | 2008-05-20 | 2008-10-29 | 华为技术有限公司 | 一种数据传输控制方法以及数据传输控制装置 |
CN101917733A (zh) * | 2010-08-06 | 2010-12-15 | 深圳市兆讯达科技实业有限公司 | 无线自组织网络路由查询泛洪攻击的检测方法 |
CN102427460A (zh) * | 2011-12-29 | 2012-04-25 | 深信服网络科技(深圳)有限公司 | 针对arp欺骗的多级检测和防御方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104184746A (zh) | 2014-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10110627B2 (en) | Adaptive self-optimzing DDoS mitigation | |
CN105409164B (zh) | 通过使用硬件资源来检测网络业务中的矛盾的根套件检测 | |
US9130983B2 (en) | Apparatus and method for detecting abnormality sign in control system | |
US8458785B2 (en) | Information security protection host | |
US9800594B2 (en) | Method and system for detecting unauthorized access attack | |
CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
CN106161451A (zh) | 防御cc攻击的方法、装置及系统 | |
CN104184746B (zh) | 网关处理数据的方法和装置 | |
CN111434090A (zh) | 用于向车载网络提供安全性的系统及方法 | |
US9661006B2 (en) | Method for protection of automotive components in intravehicle communication system | |
WO2016191232A1 (en) | Mitigation of computer network attacks | |
US10834125B2 (en) | Method for defending against attack, defense device, and computer readable storage medium | |
CN109657463B (zh) | 一种报文洪泛攻击的防御方法及装置 | |
US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
CN107682341A (zh) | Cc攻击的防护方法及装置 | |
KR101308085B1 (ko) | 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법 | |
EP3036880B1 (en) | Method and apparatus for monitoring and filtering universal serial bus network traffic | |
KR20070119382A (ko) | 침입방지시스템 및 그 제어방법 | |
CN107528859B (zh) | 一种DDoS攻击的防御方法及设备 | |
CN115603985A (zh) | 入侵检测方法及电子设备、存储介质 | |
US20170346844A1 (en) | Mitigating Multiple Advanced Evasion Technique Attacks | |
KR101606090B1 (ko) | 네트워크 보호 장치 및 방법 | |
KR101701310B1 (ko) | DDoS 공격 탐지 장치 및 방법 | |
KR101686472B1 (ko) | 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 2nd Floor, Building 1, Yard 26, Xizhimenwai South Road, Xicheng District, Beijing, 100032 Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Patentee after: Legendsec Technology (Beijing) Co.,Ltd. Address before: 100085 1st floor, Section II, No.7 Kaifa Road, Shangdi Information Industry base, Haidian District, Beijing Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee before: Legendsec Technology (Beijing) Co.,Ltd. |
|
CP03 | Change of name, title or address |