CN105763390A - 一种网络异常流量的检测和控制方法、装置和系统 - Google Patents
一种网络异常流量的检测和控制方法、装置和系统 Download PDFInfo
- Publication number
- CN105763390A CN105763390A CN201410783943.6A CN201410783943A CN105763390A CN 105763390 A CN105763390 A CN 105763390A CN 201410783943 A CN201410783943 A CN 201410783943A CN 105763390 A CN105763390 A CN 105763390A
- Authority
- CN
- China
- Prior art keywords
- message
- opposite end
- signature
- network
- end message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种网络异常流量的检测和控制方法、装置和系统。该方法包括:接收报文;当报文为本端报文时,先对本端报文进行签名处理,再将签名处理后的本端报文发送到第二网络;当报文为对端报文时,对对端报文进行签名校验;其中,如果对端报文签名校验通过,则将对端报文发送至第一网络;如果对端报文签名校验不通过,则根据预设的异常流量控制策略,处理对端报文。本发明利用签名的思想,对报文进行签名,进而在检查签名是否正确时,实现对网络异常流量的检测,并且针对网络异常流量,根据需求决定是否阻断控制,防止网络泄密。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种网络异常流量的检测和控制方法、装置和系统。
背景技术
随着互联网技术的迅速发展,网络的安全性越来越受到人们的重视,如何保证网络中的信息不被窃取、泄密,如何增强网络的安全性,已经成为本领域技术人员亟待解决的问题。
交换机和路由器等网络设备可能存在异常流量问题,该问题一直为人们所诟病。由于网络设备异常流量具有隐秘性,因此,异常流量往往不容易被鉴别,这样,也就谈不上对网络异常流量进行控制了。
网络异常流量可以理解为网络设备篡改或自发的报文流量。这样,在产生网络异常流量时,容易造成信息泄密,然而现有技术中不具备检测异常流量的方法,只是对报文进行加密保护防止泄密,但是,也无法完全杜绝被窃取破解泄密的可能性。
因此,提供一种网络异常流量的检测和控制方式,已经成为本领域技术人员亟待解决的问题。
发明内容
本发明要解决的技术问题是提供一种网络异常流量的检测和控制方法,用以解决现有技术中无法检测和控制网络设备异常流量的问题。
为解决上述技术问题,本发明是通过以下技术方案来解决的。
本发明提供了一种网络异常流量的检测和控制方法,包括:接收报文;当所述报文为本端报文时,先对所述本端报文进行签名处理,再将签名处理后的本端报文发送到第二网络;当所述报文为对端报文时,对所述对端报文进行签名校验;其中,如果所述对端报文签名校验通过,则将所述对端报文发送至第一网络;如果所述对端报文签名校验不通过,则根据预设的异常流量控制策略,处理所述对端报文。
其中,对所述本端报文进行签名处理,包括:使用预设的签名算法,对所述本端报文中的第一特征值进行签名处理;对所述对端报文进行签名校验,包括:使用预设的校验算法,对所述对端报文中的第二特征值进行签名校验;其中,所述签名算法和所述校验算法相同。
其中,所述对端报文签名校验通过,表示所述对端报文在从第三网络发出后已经被执行过签名处理;其中,在签名处理过程中,获得的签名信息,被存储在所述对端报文中的预设位置;在所述对端报文签名校验通过之后,将所述对端报文发送至第一网络之前,还包括:根据签名信息在所述对端报文中所处的位置,对所述对端报文进行相应的解签名处理。
其中,如果所述对端报文签名校验不通过,则根据预设的异常流量控制策略,处理所述对端报文,所述处理至少包括以下方式之一:丢弃所述对端报文;向监控网络设备发送所述对端报文的摘要信息,由所述监控网络设备来判断是否进行网络阻断、以及在判定进行网络阻断时,由所述监控网络设备确定针对所述对端报文的源地址或目的地址进行网络阻断;如果源地址相同的对端报文连续不通过签名校验的次数大于预设的次数阈值,则针对所述源地址执行网络阻断。
其中,接收报文,包括:采用透明模式,接收报文;其中,所述透明模式是指,在不配置IP地址的前提下,在两个网络之间的通路上接收报文。
本发明提供了一种网络异常流量的检测和控制装置,包括:接收模块,用于接收报文;签名模块,用于当所述报文为本端报文时,对所述本端报文进行签名处理;第一发送模块,用于将签名处理后的本端报文发送到第二网络;校验模块,用于当所述报文为对端报文时,对所述对端报文进行签名校验;第二发送模块,用于在所述对端报文签名校验通过的情况下,将所述对端报文发送至第一网络;处理模块,用于在所述对端报文签名校验不通过的情况下,根据预设的异常流量控制策略,处理所述对端报文。
其中,所述签名模块,用于使用预设的签名算法,对所述本端报文中的第一特征值进行签名处理;所述校验模块,用于使用预设的校验算法,对所述对端报文中的第二特征值进行签名校验;其中,所述签名模块使用的签名算法和所述校验模块使用的校验算法相同。
其中,所述对端报文签名校验通过,表示所述对端报文在从第三网络发出后已经被执行过签名处理;其中,在签名处理过程中,获得的签名信息,被存储在所述对端报文中的预设位置;在所述对端报文签名校验通过之后,将所述对端报文发送至第一网络之前,所述校验模块,还用于:根据签名信息在所述对端报文中所处的位置,对所述对端报文进行相应的解签名处理。
其中,所述处理模块根据预设的异常流量控制策略,采用以下方式之一处理所述对端报文:丢弃所述对端报文;向监控网络设备发送所述对端报文的摘要信息,由所述监控网络设备来判断是否进行网络阻断、以及在判定进行网络阻断时,由所述监控网络设备确定针对所述对端报文的源地址或目的地址进行网络阻断;如果源地址相同的对端报文连续不通过签名校验的次数大于预设的次数阈值,则针对所述源地址执行网络阻断。
其中,所述接收模块用于:采用透明模式,接收报文;其中,所述透明模式是指,在不配置IP地址的前提下,所述装置在两个网络之间的通路上接收报文。
本发明还提供了一种网络异常流量的检测和控制系统,所述系统包括:第一边缘功能实体和第二边缘功能实体;其中,第一边缘功能实体接收报文;当所述报文为本端报文时,第一边缘功能实体先对所述本端报文进行签名处理,再将签名处理后的本端报文发送到第二边缘功能实体;当所述报文为对端报文时,第一边缘功能实体对所述对端报文进行签名校验;其中,如果所述对端报文签名校验通过,则第一边缘功能实体将所述对端报文发送至第一网络;如果所述对端报文签名校验不通过,则第一边缘功能实体根据预设的异常流量控制策略,处理所述对端报文。
其中,第一边缘功能实体采用预设的签名算法对所述对端报文进行签名;第二边缘功能实体采用预设的校验算法,对接收到的经第一边缘功能实体签名处理后的本端报文进行校验;所述第一边缘功能实体采用的签名算法和第二边缘功能实体采用的校验算法相同。
其中,所述系统还包括:如果校验通过,则第一边缘功能实体先将所述对端报文进行相应解签名处理,再向第一网络发送。
其中,第一边缘功能实体根据预设的异常流量控制策略,处理所述签名后的报文,所述处理包括以下方式之一:丢弃所述对端报文;向监控网络设备发送所述对端报文的摘要信息,由所述监控网络设备来判断是否进行网络阻断、以及在判定进行网络阻断时,由所述监控网络设备确定针对所述对端报文的源地址或目的地址进行网络阻断;如果源地址相同的对端报文连续不通过签名校验的次数大于预设的次数阈值,则针对所述源地址执行网络阻断。
其中,所述系统还包括:不为所述第一边缘功能实体和第二边缘功能实体配置IP地址。
本发明有益效果如下:
本发明利用签名的思想,对报文进行签名,进而在检查签名是否正确时,实现对网络异常流量的检测,同时,在检测到网络异常流量后,并根据需求决定是否阻断控制,防止网络泄密。
附图说明
图1是根据本发明一实施例的网络异常流量的检测和控制方法的流程图;
图2是根据本发明一实施例的网络异常流量的检测和控制装置的结构图;
图3是根据本发明一实施例的网络异常流量的检测和控制系统的结构图;
图4是根据本发明第一实施例的签名处理方式的示意图;
图5是根据本发明第二实施例的签名处理方式的示意图;
图6是根据本发明第一实施例的签名信息存储位置的示意图;
图7是根据本发明第二实施例的签名信息存储位置的示意图;
图8是根据本发明第三实施例的签名信息存储位置的示意图;
图9是根据本发明第四实施例的签名信息存储位置的示意图。
具体实施方式
本发明的主要思想在于,在网络设备的网络接口部署边缘功能实体,边缘功能实体对网络设备发送的报文签名,对网络设备接收的报文校验,进而实现对网络异常流量进行检测和控制,增加了网络的安全性。进一步地,边缘功能实体接收报文;当报文为本端报文时,先对本端报文进行签名处理,再将签名处理后的本端报文发送到第二网络;当报文为对端报文时,对对端报文进行签名校验;其中,如果对端报文签名校验通过,则将对端报文发送至第一网络;如果对端报文签名校验不通过,则根据预设的异常流量控制策略,处理对端报文。更进一步地,边缘功能实体采用透明模式,即不设置IP地址,这样边缘功能实体可以被直接设置在网络中,而不影响现有网络规划拓扑,保证边缘功能实体能够很好地融合到现有网络中,从而增强了本发明的可实施性。
以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
本发明提供了一种网络异常流量的检测和控制方法。
如图1所示,为根据本发明一实施例的网络异常流量的检测和控制方法的流程图。
步骤S110,接收报文。
具体可以在第一网络,接收报文。该报文包括第一网络发出的报文和需要第一网络接收的报文。其中,第一网络中包括一个或多个网络设备。
在本实施例中,采用透明模式,接收报文。其中,透明模式是指,在不配置IP地址的前提下,在两个网络之间的通路上接收报文。
步骤S120,识别接收到的报文的类型。报文的类型包括:本端报文和对端报文。如果是本端报文,则执行步骤S130;如果是对端报文,则执行步骤S140。
本端报文是指第一网络向第二网络发送的报文。
对端报文是指需要第一网络接收的报文。进一步地,对端报文是指第三网络向第一网络发送的报文。其中,第二网络和第三网络可以是相同的网络,且网络中包括一个或多个网络设备。
步骤S130,先对本端报文进行签名处理,再将签名处理后的本端报文发送到第二网络。
具体而言,对本端报文进行签名处理,包括:使用预设的签名算法,对本端报文中的第一特征值进行签名处理;对第一特征值签名后,获得的签名信息,存储在本端报文的预设位置中,随本端报文一同发送到第二网络。
签名算法包括但不限于:消息摘要算法第五版(MessageDigestAlgorithm,简称MD5)算法。
第一特征值包括:本端报文中的地址信息和有效载荷。地址信息的类型包括目的地址信息和源地址信息。可以根据具体的应用场景来选择目的地址信息或源地址信息,来组成第一特征值。进一步地,选择报文在传输中不发生改变的地址信息,来组成第一特征值。
例如:如果第一网络为内网中的终端,第二网络为互联网服务器,则地址信息选择目的地址信息;相反的,如果第一网络为互联网服务器,第二网络为内网中的终端,则地址信息选择源地址信息。这是因为在互联网服务器和终端之间存在中间网络设备,终端发送给互联网服务器的报文,会经过中间网络设备中的网络地址转换(NetworkAddressTranslation,简称NAT)设备进行NAT处理,使得报文中的源地址发生改变,互联网服务器发送给终端的报文,经NAT处理,使得报文中的目的地址发送改变,因此,选择不会发生改变的地址信息来组成第一特征值更为安全,且在后续的校验中更为准确。
第一特征值经签名算法计算,获得的值为签名信息。如:第一特征值经MD5计算,获得的散列值,为签名信息。
步骤S140,对对端报文进行签名校验。
对对端报文进行签名校验,包括:使用预设的校验算法,对对端报文中的第二特征值进行签名校验。
校验算法包括但不限于:MD5算法。进一步地,签名处理使用的签名算法和签名校验使用的校验算法相同。
第二特征值包括:对端报文中的地址信息和有效载荷。与本端报文相同,对端报文的地址信息类型也包括:目的地址信息和源地址信息;并且根据应用场景来选择合适的地址信息。
具体而言,如果对端报文是网络异常流量,则表示对端报文被中间网络设备篡改过,或者是中间网络设备自发的报文,进一步地,该网络异常流量的对端报文中可以包含签名信息,例如是被中间网络设备篡改的报文;也可以不包含签名信息,例如是中间网络设备自发的报文。如果对端报文是非网络异常流量,则表示对端报文在从第三网络发出后,就已经被执行过签名处理,并且途径中间网络设备时,对端报文未被非法修改。将对端报文看做:已经利用预设的签名算法,对对端报文中的第二特征值进行过签名处理,并携带有处理得到的签名信息;其中,签名信息,被存储在对端报文中的预设位置。
针对同一报文而言,签名校验的实质是在重复其签名处理的过程,将对端报文在第三网络侧签名处理时的签名算法,作为校验算法,再次对对端报文中的第二特征值进行签名处理,得到签名信息,将该签名信息与对端报文中携带的签名信息进行比较,如果相同,则表示签名校验通过,如果不同,则表示签名校验不通过。
进一步地,可以根据对端报文的来源确定被签名处理的特征值。例如:对端报文是互联网服务器发送给内网终端的,则该被签名处理的特征值包括源地址信息和有效载荷。又如:对端报文是内网终端发送到同一内网终端的,则被签名处理的特征值包括目的地址信息和有效载荷。
步骤S150,判断对端报文的签名校验是否通过。如果是,则执行步骤S160;如果否,则执行步骤S170。
步骤S160,将对端报文发送至第一网络。
步骤S170,根据预设的异常流量控制策略,处理对端报文。
异常流量控制策略,记录了签名校验不通过的对端报文的处理方式。处理方式包括以下之一:丢弃该对端报文;向监控网络设备发送所述对端报文的摘要信息,由所述监控网络设备来判断是否进行网络阻断、以及在判定进行网络阻断后,由所述监控网络设备确定针对所述对端报文的源地址或目的地址进行网络阻断;如果源地址相同的对端报文连续不通过签名校验的次数大于预设的次数阈值,则针对所述源地址执行网络阻断。进一步地,根据源地址判断校验次数的方式,只限于源地址未被NAT处理的报文。
监控网络设备为网管设备,用于根据接收的摘要信息,确定报文是否合法,如果合法,则不进行网络阻断,并且使报文正常发送,如果非法,则进行网络阻断。例如:如果对端报文是中间网络设备向第一网络发送的配置信息,则该对端报文合法,如果对端报文是中间网络设备篡改的报文,则该对端报文非法。监控网络设备还用于在判定针对非法报文进行网络阻断后,是对报文的源地址或目的地址进行阻断。例如:当源地址为可疑网络设备时,就对源地址进行网络阻断;当目的地址为可疑网络设备时,就对目的网络地址进行网络阻断。
本发明提供了一种网络异常流量的检测和控制装置。如图2所示,为根据本发明一实施例的网络异常流量的检测和控制装置的结构图。
所述装置包括:
接收模块210,用于接收报文。接收模块210用于采用透明模式,接收报文;其中,所述透明模式是指,在不配置IP地址的前提下,所述装置在两个网络之间的通路上接收报文。
签名模块220,用于当报文为本端报文时,对本端报文进行签名处理。
第一发送模块230,用于将签名处理后的本端报文发送到第二网络。
校验模块240,用于当报文为对端报文时,对对端报文进行签名校验。
第二发送模块250,用于在对端报文签名校验通过的情况下,将对端报文发送至第一网络。
处理模块260,用于在对端报文签名校验不通过的情况下,根据预设的异常流量控制策略,处理所述对端报文。
具体而言,
签名模块220,用于使用预设的签名算法,对所述本端报文中的第一特征值进行签名处理。
校验模块240,用于使用预设的校验算法,对所述对端报文中的第二特征值进行签名校验。
其中,签名模块220使用的签名算法和校验模块240使用的校验算法相同。
对端报文签名校验通过,表示所述对端报文在从第三网络发出后已经被执行过签名处理;其中,在签名处理过程中,获得的签名信息,被存储在对端报文中的预设位置。
在对端报文签名校验通过之后,将对端报文发送至第一网络之前,所述校验模块240,还用于:根据签名信息在所述对端报文中所处的位置,对所述对端报文进行相应的解签名处理。
处理模块260根据预设的异常流量控制策略,采用以下方式之一处理所述对端报文:丢弃所述对端报文;向监控网络设备发送所述对端报文的摘要信息,由所述监控网络设备来判断是否进行网络阻断、以及在判定进行网络阻断后,由所述监控网络设备确定针对所述对端报文的源地址或目的地址进行网络阻断;如果源地址相同的对端报文连续不通过签名校验的次数大于预设的次数阈值,则针对所述源地址执行网络阻断。
本实施例所述的装置的功能已经在图1所示的方法实施例中进行了描述,故本实施例的描述中未详尽之处,可以参见前述实施例中的相关说明,在此不做赘述。
上述网络异常流量的检测和控制装置可以应用于边缘功能实体中,以便对网络异常流量进行检测和控制。为了使边缘功能实体的工作过程更加清晰,网络异常流量的检测和控制更加容易理解,下面给出一种网络异常流量的检测和控制系统。
系统包括:网络互连的第二网络、中间网络设备和第一网络。在第一网络设置第一边缘功能实体;第一网络接收和发送的报文都先经过第一边缘功能实体处理。在第二网络设置第二边缘功能实体;第二网络接收和发送的报文都先经过第二边缘功能实体处理。
第一边缘功能实体和第二边缘功能实体都包含上述网络异常流量的检测和控制装置。
具体而言,第一边缘功能实体接收报文;当报文为本端报文时,第一边缘功能实体先对本端报文进行签名处理,再将签名处理后的本端报文发送到第二边缘功能实体;当报文为对端报文时,第一边缘功能实体对对端报文进行签名校验;其中,如果对端报文签名校验通过,则第一边缘功能实体将对端报文发送至第一网络;如果对端报文签名校验不通过,则第一边缘功能实体根据预设的异常流量控制策略,处理对端报文。
进一步地,如果校验通过,则第一边缘功能实体先将对端报文进行相应解签名处理,再向第一网络发送。第一边缘功能实体根据预设的异常流量控制策略,处理签名后的报文,处理包括以下方式之一:丢弃对端报文;向监控网络设备发送对端报文的摘要信息,由监控网络设备来判断是否进行网络阻断、以及在判定进行网络阻断后,由监控网络设备确定针对对端报文的源地址或目的地址进行网络阻断;如果源地址相同的对端报文连续不通过签名校验的次数大于预设的次数阈值,则针对源地址执行网络阻断。
第二边缘功能实体的功能与第一边缘功能实体相同,在此不作赘述。
第一边缘功能实体采用预设的签名算法对本端报文进行签名;第二边缘功能实体采用预设的校验算法,对接收到的经第一边缘功能实体签名处理后的本端报文进行校验;第一边缘功能实体采用的签名算法和第二边缘功能实体采用的校验算法相同。
在使用第二边缘功能实体与第一边缘功能实体的过程中,不为第一边缘功能实体和第二边缘功能实体配置IP地址。
如图3所示,图3是根据本发明一实施例的网络异常流量的检测和控制系统的结构图。
图3中,第一网络包括终端;第二网络包括互联网服务器;第一边缘功能实体为边缘功能实体1;第二边缘功能实体为边缘功能实体2。
在边缘功能实体的实现上,采用透明模式,以便边缘功能实体能够直接放入现有网络,不影响现有网络规划拓扑。实现透明模式的方法:在边缘功能实体上,不配置边缘功能实体的接口IP地址,实现接口一对一映射,或一对多映射,从一接口进,对应从另一接口出,或者,从一接口进,对应从多个接口中选择的出口出。
上行数据流的处理如下:
终端访问互联网服务器的上行报文,边缘功能实体1对上行报文进行签名处理。该签名处理针对网络传输过程中,上行报文中通常不改变的内容进行,例如:对上行报文中的目的地址和payload(有效载荷)进行签名,如图4所示的第一实施例的签名处理方式的示意图,进而获得签名信息。进一步地,将签名信息置标记位为内网。将签名信息和标记位存储在上行报文的预设位置中。
签名处理完成后,边缘功能实体1转发上行报文到边缘功能实体2。边缘功能实体2,根据标记位为内网,取上行报文中的目的地址和payload进行签名校验。校验通过,则边缘功能实体2将上行报文转发给互联网服务器;校验不通过,则说明上行报文是中间网络设备篡改或自发的报文,针对该上行报文可以丢弃,并且向监控网络设备发送报文的摘要信息,该摘要信息包括:报文的源地址、目的地址、协议号、源端口和目的端口等。在监控网络设备接收摘要信息后,可以根据摘要信息判断上行报文是否合法,使合法的上行报文正常发送至互联网服务器,针对非法的上行报文,确定网络阻断的网络地址,
例如:监控网络设备在得出上行报文是否合法的判定结果后,将判定结果发送到边缘功能实体2,边缘功能实体2根据该判断结果执行相应处理,即针对合法的上行报文进行转发,针对非法的上行报文,根据监控网络设备指示的网络地址进行网络阻断。
边缘功能实体1签名处理时采用的签名算法和边缘功能实体2签名校验时采用的校验算法相同。
下行数据流的处理如下:
互联网服务器响应终端的下行报文,由于下行报文会经中间网络设备里的NAT设备做NAT,使得下行报文里的目的地址进行改变,故不再对目的地址和payload进行签名处理,而是对不发生改变的源地址和payload进行签名处理。边缘功能实体2对报文中的源地址和payload进行签名,如图5所示第二实施例的签名处理方式的示意图,进而获得签名信息。进一步地,边缘功能实体2将签名信息置标记位为外网。边缘功能实体2将签名信息和标记位存储在报文的预设位置中。
签名处理完成后,边缘功能实体2转发下行报文到边缘功能实体1,边缘功能实体1根据标记位为外网,取报下行文中的源地址和payload进行相应的签名校验。校验通过,则边缘功能实体1将报文转发给终端;校验不通过,则说明报文为中间网络设备篡改或自发的报文,针对该报文而言,可以丢弃、向监控网络设备发送报文的摘要信息,根据监控网络设备的判断结果执行相应处理、或者如果连续收到该互联网服务器的报文都是校验不通过,且大于预设的次数阈值,则可以进行网络阻断。
边缘功能实体2签名处理时采用的签名算法和边缘功能实体1签名校验时采用的校验算法相同。
在上行数据流和下行数据流中,在签名处理过程中,边缘功能实体是对报文中的特征值进行签名,签名信息的存储位置,在报文中可以灵活存放,比如,可以存放在如下字段:payload末尾、option字段、IPSec常用的AH头和IP头的identification字段,分别如图6、图7、图8和图9所示签名信息存储位置的示意图,图中的Authentication表示签名信息。
在上行数据流中,在将上行报文转发给互联网服务器之前,以及在下行数据流中,在将下行报文转发给终端之前,边缘功能实体根据签名信息在报文中的位置,对报文进行解签名处理,从报文中去除签名信息或是将签名信息模糊化,以便报文在被非法获得后,使得非法用户不能从报文中获取签名信息,以此来增加网络的安全性。进一步地,若签名信息被存储在payload、option和AH等在报文中增加的位置处时,则直接将签名信息剥掉;若签名信息被存储在IP头的identification字段,则可以改变identification值,使签名信息不能被分析获得。
相比于现有技术,本发明并不着眼于签名本身,而是利用签名的思想,对报文的特征值进行签名,进而在检查签名是否正确时,实现对网络异常流量的检测,同时,在检测到网络异常流量后,并根据需求决定是否阻断控制,能够很好的防止网络泄密。进一步地,本方法增加了透明模式,保证了本方法中的边缘功能实体能够很好地融合到现有网络中,增强了方法的可实施性。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。
Claims (15)
1.一种网络异常流量的检测和控制方法,其特征在于,包括:
接收报文;
当所述报文为本端报文时,先对所述本端报文进行签名处理,再将签名处理后的本端报文发送到第二网络;
当所述报文为对端报文时,对所述对端报文进行签名校验;其中,
如果所述对端报文签名校验通过,则将所述对端报文发送至第一网络;
如果所述对端报文签名校验不通过,则根据预设的异常流量控制策略,处理所述对端报文。
2.如权利要求1所述的方法,其特征在于,
对所述本端报文进行签名处理,包括:使用预设的签名算法,对所述本端报文中的第一特征值进行签名处理;
对所述对端报文进行签名校验,包括:使用预设的校验算法,对所述对端报文中的第二特征值进行签名校验;
其中,所述签名算法和所述校验算法相同。
3.如权利要求1所述的方法,其特征在于,
所述对端报文签名校验通过,表示所述对端报文在从第三网络发出后已经被执行过签名处理;其中,在签名处理过程中,获得的签名信息,被存储在所述对端报文中的预设位置;
在所述对端报文签名校验通过之后,将所述对端报文发送至第一网络之前,还包括:
根据签名信息在所述对端报文中所处的位置,对所述对端报文进行相应的解签名处理。
4.如权利要求1所述的方法,其特征在于,如果所述对端报文签名校验不通过,则根据预设的异常流量控制策略,处理所述对端报文,所述处理至少包括以下方式之一:
丢弃所述对端报文;
向监控网络设备发送所述对端报文的摘要信息,由所述监控网络设备来判断是否进行网络阻断、以及在判定进行网络阻断后,由所述监控网络设备确定针对所述对端报文的源地址或目的地址进行网络阻断;
如果源地址相同的对端报文连续不通过签名校验的次数大于预设的次数阈值,则针对所述源地址执行网络阻断。
5.如权利要求1-4中任一项所述的方法,其特征在于,所述接收报文,包括:
采用透明模式,接收报文;其中,所述透明模式是指,在不配置IP地址的前提下,在两个网络之间的通路上接收报文。
6.一种网络异常流量的检测和控制装置,其特征在于,包括:
接收模块,用于接收报文;
签名模块,用于当所述报文为本端报文时,对所述本端报文进行签名处理;
第一发送模块,用于将签名处理后的本端报文发送到第二网络;
校验模块,用于当所述报文为对端报文时,对所述对端报文进行签名校验;
第二发送模块,用于在所述对端报文签名校验通过的情况下,将所述对端报文发送至第一网络;
处理模块,用于在所述对端报文签名校验不通过的情况下,根据预设的异常流量控制策略,处理所述对端报文。
7.如权利要求6所述的装置,其特征在于,
所述签名模块,用于使用预设的签名算法,对所述本端报文中的第一特征值进行签名处理;
所述校验模块,用于使用预设的校验算法,对所述对端报文中的第二特征值进行签名校验;
其中,所述签名模块使用的签名算法和所述校验模块使用的校验算法相同。
8.如权利要求6所述的装置,其特征在于,
所述对端报文签名校验通过,表示所述对端报文在从第三网络发出后已经被执行过签名处理;其中,在签名处理过程中,获得的签名信息,被存储在所述对端报文中的预设位置;
在所述对端报文签名校验通过之后,将所述对端报文发送至第一网络之前,所述校验模块,还用于:
根据签名信息在所述对端报文中所处的位置,对所述对端报文进行相应的解签名处理。
9.如权利要求6所述的装置,其特征在于,所述处理模块根据预设的异常流量控制策略,采用以下方式之一处理所述对端报文:
丢弃所述对端报文;
向监控网络设备发送所述对端报文的摘要信息,由所述监控网络设备来判断是否进行网络阻断、以及在判定进行网络阻断后,由所述监控网络设备确定针对所述对端报文的源地址或目的地址进行网络阻断;
如果源地址相同的对端报文连续不通过签名校验的次数大于预设的次数阈值,则针对所述源地址执行网络阻断。
10.如权利要求6-9中任一项所述的装置,其特征在于,所述接收模块用于:采用透明模式,接收报文;其中,所述透明模式是指,在不配置IP地址的前提下,所述装置在两个网络之间的通路上接收报文。
11.一种网络异常流量的检测和控制系统,其特征在于,所述系统包括:第一边缘功能实体和第二边缘功能实体;其中,
第一边缘功能实体在第一网络接收报文;
当所述报文为本端报文时,第一边缘功能实体先对所述本端报文进行签名处理,再将签名处理后的本端报文发送到第二边缘功能实体;
当所述报文为对端报文时,第一边缘功能实体对所述对端报文进行签名校验;其中,
如果所述对端报文签名校验通过,则第一边缘功能实体将所述对端报文发送至第一网络;
如果所述对端报文签名校验不通过,则第一边缘功能实体根据预设的异常流量控制策略,处理所述对端报文。
12.如权利要求11所述的系统,其特征在于,
第一边缘功能实体采用预设的签名算法对所述本端报文进行签名;
第二边缘功能实体采用预设的校验算法,对接收到的经第一边缘功能实体签名处理后的本端报文进行校验;
所述第一边缘功能实体采用的签名算法和第二边缘功能实体采用的校验算法相同。
13.如权利要求11所述的系统,其特征在于,所述系统还包括:
如果校验通过,则第一边缘功能实体先将所述对端报文进行相应的解签名处理,再向第一网络发送。
14.如权利要求11所述的系统,其特征在于,第一边缘功能实体根据预设的异常流量控制策略,处理所述签名后的报文,所述处理包括以下方式之一:
丢弃所述对端报文;
向监控网络设备发送所述对端报文的摘要信息,由所述监控网络设备来判断是否进行网络阻断、以及在判定进行网络阻断后,由所述监控网络设备确定针对所述对端报文的源地址或目的地址进行网络阻断;
如果源地址相同的对端报文连续不通过签名校验的次数大于预设的次数阈值,则针对所述源地址执行网络阻断。
15.如权利要求11-14中任一项所述的系统,其特征在于,所述系统还包括:不为所述第一边缘功能实体和第二边缘功能实体配置IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410783943.6A CN105763390A (zh) | 2014-12-16 | 2014-12-16 | 一种网络异常流量的检测和控制方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410783943.6A CN105763390A (zh) | 2014-12-16 | 2014-12-16 | 一种网络异常流量的检测和控制方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105763390A true CN105763390A (zh) | 2016-07-13 |
Family
ID=56339440
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410783943.6A Pending CN105763390A (zh) | 2014-12-16 | 2014-12-16 | 一种网络异常流量的检测和控制方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105763390A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017118413A1 (zh) * | 2016-01-06 | 2017-07-13 | 中兴通讯股份有限公司 | 一种检测报文的方法、装置和系统 |
| CN108111501A (zh) * | 2017-12-15 | 2018-06-01 | 百度在线网络技术(北京)有限公司 | 作弊流量的控制方法、装置和计算机设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101184000A (zh) * | 2007-12-14 | 2008-05-21 | 北京交通大学 | 基于报文采样和应用签名的互联网应用流量识别方法 |
| CN101562525A (zh) * | 2009-04-30 | 2009-10-21 | 北京飞天诚信科技有限公司 | 签名方法、设备及系统 |
| US7895649B1 (en) * | 2003-04-04 | 2011-02-22 | Raytheon Company | Dynamic rule generation for an enterprise intrusion detection system |
| CN101980500A (zh) * | 2010-11-08 | 2011-02-23 | 中国电信股份有限公司 | 基于数字签名的点对点流量控制方法与系统 |
| CN102196423A (zh) * | 2010-03-04 | 2011-09-21 | 腾讯科技(深圳)有限公司 | 一种安全数据中转方法及系统 |
| CN103906163A (zh) * | 2014-04-17 | 2014-07-02 | 上海电机学院 | 一种基于鱼眼域的安全点对点路由方法 |
-
2014
- 2014-12-16 CN CN201410783943.6A patent/CN105763390A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7895649B1 (en) * | 2003-04-04 | 2011-02-22 | Raytheon Company | Dynamic rule generation for an enterprise intrusion detection system |
| CN101184000A (zh) * | 2007-12-14 | 2008-05-21 | 北京交通大学 | 基于报文采样和应用签名的互联网应用流量识别方法 |
| CN101562525A (zh) * | 2009-04-30 | 2009-10-21 | 北京飞天诚信科技有限公司 | 签名方法、设备及系统 |
| CN102196423A (zh) * | 2010-03-04 | 2011-09-21 | 腾讯科技(深圳)有限公司 | 一种安全数据中转方法及系统 |
| CN101980500A (zh) * | 2010-11-08 | 2011-02-23 | 中国电信股份有限公司 | 基于数字签名的点对点流量控制方法与系统 |
| CN103906163A (zh) * | 2014-04-17 | 2014-07-02 | 上海电机学院 | 一种基于鱼眼域的安全点对点路由方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017118413A1 (zh) * | 2016-01-06 | 2017-07-13 | 中兴通讯股份有限公司 | 一种检测报文的方法、装置和系统 |
| CN108111501A (zh) * | 2017-12-15 | 2018-06-01 | 百度在线网络技术(北京)有限公司 | 作弊流量的控制方法、装置和计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8966609B2 (en) | Authentication method and apparatus for detecting and preventing source address spoofing packets | |
| CN110190955B (zh) | 基于安全套接层协议认证的信息处理方法及装置 | |
| US20170012978A1 (en) | Secure communication method and apparatus | |
| CN105635084B (zh) | 终端认证装置及方法 | |
| CN101789866B (zh) | 高可靠性安全隔离与信息交换方法 | |
| CN105262773B (zh) | 一种物联网系统的验证方法及装置 | |
| CN105119901A (zh) | 一种钓鱼热点的检测方法及系统 | |
| CN110113351B (zh) | Cc攻击的防护方法及装置、存储介质、计算机设备 | |
| CN105429945A (zh) | 一种数据传输的方法、装置及系统 | |
| US10911581B2 (en) | Packet parsing method and device | |
| CN108259460A (zh) | 设备控制方法和装置 | |
| US20110030054A1 (en) | Progressive wiretap | |
| CN106341819A (zh) | 基于蜜罐技术的钓鱼WiFi识别系统与方法 | |
| CN110971407A (zh) | 基于量子秘钥的物联网安全网关通信方法 | |
| CN104410580A (zh) | 可信安全WiFi路由器及其数据处理方法 | |
| CN109451504B (zh) | 物联网模组鉴权方法及系统 | |
| CN109194643B (zh) | 数据传输、报文解析方法、装置及设备 | |
| CN104994085B (zh) | 一种无线传感器网络中身份认证方法及系统 | |
| CN105763390A (zh) | 一种网络异常流量的检测和控制方法、装置和系统 | |
| CN105743863A (zh) | 一种对报文进行处理的方法及装置 | |
| CN113162885B (zh) | 一种工业控制系统的安全防护方法及装置 | |
| CN106537962B (zh) | 无线网络配置、接入和访问方法、装置及设备 | |
| CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| CN101115055B (zh) | 通信网络中报告隧道数据包中各级错误的装置及方法 | |
| CN113992387B (zh) | 资源管理方法、装置、系统、电子设备和可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160713 |
|
| WD01 | Invention patent application deemed withdrawn after publication |