CN108632258A - 一种访问报文处理方法及装置 - Google Patents
一种访问报文处理方法及装置 Download PDFInfo
- Publication number
- CN108632258A CN108632258A CN201810338725.XA CN201810338725A CN108632258A CN 108632258 A CN108632258 A CN 108632258A CN 201810338725 A CN201810338725 A CN 201810338725A CN 108632258 A CN108632258 A CN 108632258A
- Authority
- CN
- China
- Prior art keywords
- message
- source address
- sensitive data
- transmission rate
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种访问报文处理方法及装置。所述方法包括:在接收到针对敏感数据的访问报文时,以第一发送速率向访问报文的源地址对应的设备发送所述敏感数据,向预设地址发送第一验证请求,接收来自预设地址的针对第一验证请求的第一验证结果;当第一验证结果表明访问报文不合法时,停止发送敏感数据的剩余数据;当第一验证结果表明访问报文合法时,以第二发送速率向访问报文的源地址对应的设备发送敏感数据的剩余数据。其中,第一发送速率为根据敏感数据的数据量和预设的限定时长确定,第二发送速率大于第一发送速率。应用本申请实施例提供的方案,能够降低敏感数据泄露的概率,提高数据安全性。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种访问报文处理方法及装置。
背景技术
随着网络技术的发展,每个公司都会存在自身的核心资产,很多核心资产都以数据的形式存储于计算机或者服务器中。部分数据一旦泄露将对公司造成重大经济损失和名誉损失,这部分高度核心的数据可以称为敏感数据。对敏感数据的访问保护也显得非常重要。
在接收到针对敏感数据的访问报文时,通常是根据配置对该访问报文进行告警,以满足合法用户对敏感数据的访问。但是,当配置为告警时,并不能阻止非法用户设备对敏感数据的访问,可能导致敏感数据的泄露,数据安全性不够高。
发明内容
本申请实施例的目的在于提供了一种访问报文处理方法及装置,以降低敏感数据泄露的概率,提高数据安全性。
为了达到上述目的,在第一方面,本申请实施例提供了一种访问报文处理方法,该方法包括:
在接收到针对敏感数据的访问报文时,以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据,所述第一发送速率为根据所述敏感数据的数据量和预设的限定时长确定;
向预设地址发送第一验证请求,其中,所述第一验证请求携带第一标识和所述访问报文的特征信息,所述第一标识用于指示根据所述特征信息确定所述访问报文是否合法;
若接收到来自所述预设地址的针对所述第一验证请求的第一验证结果,则根据所述第一验证结果确定所述访问报文是否合法;
当所述第一验证结果表明所述访问报文不合法时,停止发送所述敏感数据的剩余数据;
当所述第一验证结果表明所述访问报文合法时,以第二发送速率向所述访问报文的源地址对应的设备发送所述敏感数据的剩余数据,所述第二发送速率大于所述第一发送速率。
在第二方面,本申请实施例提供了一种访问报文处理装置,该装置包括:
发送模块,用于在接收到针对敏感数据的访问报文时,以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据,所述第一发送速率为根据所述敏感数据的数据量和预设的限定时长确定;
所述发送模块,还用于向预设地址发送第一验证请求,其中,所述第一验证请求携带第一标识和所述访问报文的特征信息,所述第一标识用于指示根据所述特征信息确定所述访问报文是否合法;
接收模块,用于若接收到来自所述预设地址的针对所述第一验证请求的第一验证结果,则根据所述第一验证结果确定所述访问报文是否合法;
停止模块,用于当所述第一验证结果表明所述访问报文不合法时,停止发送所述敏感数据的剩余数据;
所述发送模块,还用于当所述第一验证结果表明所述访问报文合法时,以第二发送速率向所述访问报文的源地址对应的设备发送所述敏感数据的剩余数据,所述第二发送速率大于所述第一发送速率。
在第三方面,本申请实施例还提供了一种网络设备,该网络设备包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面中所述的访问报文处理方法。
在第四方面,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面中所述的访问报文处理方法。
本申请实施例提供的访问报文处理方法及装置,可以在接收到针对敏感数据的访问报文时,以较小的发送速率限时向访问报文的源地址对应的设备发送敏感数据,并向预设地址请求验证该访问报文的合法性。当验证得到该访问报文不合法时,停止发送敏感数据的剩余数据;当验证得到该访问报文合法时,以正常发送速率继续发送敏感数据的剩余数据。本申请实施例对敏感数据进行限时发送,既能够在用户请求访问敏感数据时不直接阻断,又能给管理员留出时间来验证访问报文的合法性,当不合法时停止发送剩余数据,因此能够降低敏感数据泄露的概率,提高数据安全性。当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的访问报文处理方法的一种流程示意图;
图2为本申请实施例提供的一种应用场景示意图;
图3为本申请实施例提供的访问报文处理装置的一种结构示意图;
图4为本申请实施例提供的网络设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了降低敏感数据泄露的概率,提高数据安全性,本申请实施例提供了一种访问报文处理方法及装置。上述敏感数据可以理解为核心数据或重要数据,该敏感数据可以由各个公司预先进行设定。下面通过具体实施例,对本申请进行详细说明。
图1为本申请实施例提供的访问报文处理方法的一种流程示意图。本方法实施例应用于电子设备。该电子设备可以为网络设备,例如路由器或交换机等;也可以为存储敏感数据的存储设备,例如存储服务器等。本方法实施例包括如下步骤S101~步骤S105:
步骤S101:在接收到针对敏感数据的访问报文时,以第一发送速率向访问报文的源地址对应的设备发送敏感数据。
其中,第一发送速率为根据上述敏感数据的数据量和预设的限定时长确定。限定时长可以预先根据经验值设定。当设定限定时长为T秒时,说明管理员拥有T秒的时间对访问报文进行人工验证,可以根据管理员对访问报文进行人工验证的经验时长设定限定时长。
电子设备在接收到报文时,可以在该报文具有预设的敏感数据下载特征时,将该报文确定为针对敏感数据的访问报文。具体的,敏感数据下载特征可以包括:待获取文件的类型为预设文件类型,和/或,待获取文件的文件名为指定文件名。其中,预设文件类型可以包括:数据库文件类型、数据库备份文件类型、服务器配置文件类型等。
上述敏感数据下载特征可以从厂商服务器中预先获取。
当电子设备为网络设备时,在接收到针对敏感数据的访问报文时,网络设备可以将访问报文发送至用于存储敏感数据的存储设备。存储设备接收到该访问报文时,可以获取上述敏感数据,并将携带敏感数据的应答报文发送至网络设备。网络设备接收到存储设备发送的应答报文时,可以从该应答报文中提取出敏感数据,并确定敏感数据的数据量。
当电子设备自身存储上述敏感数据时,即电子设备为上述存储设备时,存储设备接收到针对敏感数据的访问报文时,可以直接获取上述敏感数据,并确定敏感数据的数据量。
在确定上述敏感数据的数据量时,可以根据该敏感数据的数据量和预设的限定时长确定第一发送速率。具体的,可以将上述敏感数据的数据量与限定时长的比值确定为第一发送速率,也可以将上述比值乘以或者加上预设值,得到第一发送速率。
例如,敏感数据的数据量为N字节,限定时长为T秒,则第一发送速率可以为N/T字节每秒。
以第一发送速率向访问报文的源地址对应的设备发送敏感数据的步骤,具体可以为,以第一发送速率向访问报文的源地址对应的设备发送上述应答报文。上述应答报文携带敏感数据。
其中,上述源地址可以包括:源互联网协议(Internet Protocol,IP)地址,和/或,源媒体访问控制(Media Access Control,MAC)地址。
在接收到上述访问报文时,以第一发送速率向访问报文的源地址对应的设备发送敏感数据,可以既不直接阻断设备对敏感数据的访问,也不直接允许设备对敏感数据的访问,而是执行下述步骤S102,为管理员对访问报文合法性的验证留出时间。既不直接阻断设备对敏感数据的访问,能够在确定访问报文是否合法之前避免直接阻断正常用户的访问;也不直接允许设备对敏感数据的访问,能够尽可能避免非法用户的访问导致敏感数据泄露。
步骤S102:向预设地址发送第一验证请求。
其中,第一验证请求携带第一标识和访问报文的特征信息。第一标识用于指示根据上述特征信息确定访问报文是否合法。上述特征信息可以包括以下内容中的至少一种:源地址、源端口、目的地址、目的端口、访问报文携带的待获取文件类型和访问报文携带的待获取文件名。
预设地址可以为:邮件地址、客户端地址、主机地址等。主机地址可以为IP地址和/或MAC地址等。
当预设地址对应的终端设备接收到第一验证请求时,可以将该第一验证请求进行展示,并根据管理员的输入操作确定第一验证结果。终端设备可以将第一验证结果发送至电子设备。
步骤S103:若接收到来自预设地址的针对第一验证请求的第一验证结果,则根据第一验证结果确定访问报文是否合法。
步骤S104:当第一验证结果表明访问报文不合法时,停止发送敏感数据的剩余数据。
第一验证结果表明访问报文不合法时,认为本次访问行为是危险的,访问报文的源设备可能为恶意攻击者,因此停止继续发送敏感数据的剩余数据。
停止发送敏感数据的剩余数据之后,可以将敏感数据的剩余数据进行丢弃处理,以尽可能避免泄露敏感数据,提高敏感数据的安全性。
步骤S105:当第一验证结果表明访问报文合法时,以第二发送速率向访问报文的源地址对应的设备发送敏感数据的剩余数据。
其中,第二发送速率大于第一发送速率。第二发送速率可以理解为发送数据时的正常速率。
第一验证结果表明访问报文合法时,认为本次访问行为是安全的,访问报文的源设备可能为正常用户设备,因此可以以较快的发送速率发送敏感数据的剩余数据。
由上述内容可知,本实施例可以在接收到针对敏感数据的访问报文时,以较小的发送速率限时向访问报文的源地址对应的设备发送敏感数据,并向预设地址请求验证该访问报文的合法性。当验证得到该访问报文不合法时,停止发送敏感数据的剩余数据;当验证得到该访问报文合法时,以正常发送速率继续发送敏感数据的剩余数据。本申请实施例对敏感数据进行限时发送,既能够在用户请求访问敏感数据时不直接阻断,又能给管理员留出时间来验证访问报文的合法性,当不合法时停止发送剩余数据,因此能够降低敏感数据泄露的概率,提高数据安全性。
在本申请的另一实施例中,基于图1所示实施例,步骤S101,以第一发送速率向访问报文的源地址对应的设备发送敏感数据的步骤,具体可以包括:
当预设的白名单中不存在访问报文的源地址信息时,以第一发送速率向访问报文的源地址对应的设备发送敏感数据。
其中,白名单用于存储允许访问上述敏感数据的各个源地址信息。源地址信息可以包括:源IP地址或者源端口中的至少一种。
一种具体实施方式为,当预设的白名单中存在访问报文的源地址信息时,以第二发送速率向访问报文的源地址对应的设备发送敏感数据。
本实施例中,在以第一发送速率向访问报文的源地址对应的设备发送敏感数据之前,可以判断预设的白名单中是否存在访问报文的源地址信息,如果不存在,则认为不能确定该访问报文的访问行为是否安全,此时可以第一发送速率向访问报文的源地址对应的设备发送敏感数据;如果存在,则认为该访问报文的访问行为安全,此时可以第二发送速率向访问报文的源地址对应的设备发送敏感数据。
当以第二发送速率向访问报文的源地址对应的设备发送上述敏感数据或发送敏感数据的剩余数据时,可以认为该访问报文是安全的,此时可以将该访问报文的源地址信息添加至上述白名单。
本实施例中,根据预设的白名单对访问报文进行验证,当白名单中不存在访问报文的源地址信息时,以限时方式发送敏感数据,当白名单中存在访问报文的源地址信息时,以正常方式发送敏感数据,这种方式能够提高对访问报文处理时的准确性和安全性。
在本申请的另一实施例中,基于图1所示实施例,步骤S101,以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据的步骤,具体可以包括:
当预设的黑名单中不存在访问报文的源地址信息时,以第一发送速率向访问报文的源地址对应的设备发送敏感数据。
其中,上述黑名单可以用于存储存在安全威胁的源地址信息。本实施例中,黑名单存储在电子设备中,电子设备可以直接根据该黑名单对访问报文进行验证。上述存在安全威胁的源地址信息,可以是从检测到的存在攻击行为的报文中得到的。
一种具体实施方式为,当预设的黑名单中存在访问报文的源地址信息时,从预设的存在安全威胁的源地址信息与威胁等级的对应关系中,确定访问报文的源地址信息对应的目标威胁等级。
其中,上述对应关系可以为根据存在安全威胁的源地址信息的攻击来源、攻击的影响范围、攻击的可靠度等因素设定存在安全威胁的源地址信息对应的威胁等级。例如,当攻击报文存在结构化查询语言(SQL)注入攻击(针对数据库的攻击)时,由于该类攻击的影响较大,因此可以将该攻击报文的源地址信息的威胁等级设置为第一类等级;当攻击报文存在跨站脚本攻击(XSS攻击)时,由于该类攻击的影响较小,因此可以将该攻击报文的源地址信息的威胁等级设置为第二类等级。
当目标威胁等级为第一类等级时,拒绝向访问报文的源地址对应的设备发送敏感数据。
当目标威胁等级为第二类等级时,以第一发送速率向访问报文的源地址对应的设备发送敏感数据,继续执行步骤S102。其中,第一类等级高于第二类等级,第一类等级的危险程度高于第二类等级的危险程度。
例如,存在安全威胁的源地址信息与威胁等级的对应关系可以包括:IP地址1.1.1.1-端口80,以及IP地址2.2.2.2-端口80的威胁等级均为高级;IP地址3.3.3.3-端口100,以及IP地址4.4.4.4-端口120的威胁等级均为低级。当访问报文中的源IP地址为2.2.2.2,源端口为80时,该访问报文的目标威胁等级为高级,此时拒绝向访问报文的源地址对应的设备发送敏感数据。当访问报文中的源IP地址为3.3.3.3,源端口为100时,该访问报文的目标威胁等级为低级,以第一发送速率向访问报文的源地址对应的设备发送敏感数据。
本实施例中,在第一发送速率向访问报文的源地址对应的设备发送敏感数据之前,可以判断预设的黑名单中是否存在访问报文的源地址信息。如果不存在,则认为不能确定该访问报文的访问行为是否安全,此时可以以第一发送速率向访问报文的源地址对应的设备发送敏感数据。如果存在,则认为该访问报文的访问行为存在危险性,此时可以确定访问报文的源地址信息对应的目标威胁等级,根据该目标威胁等级进一步确定对访问报文的响应方式。
综上,本实施例中可以根据黑名单对访问报文进行验证,当黑名单中不存在访问报文的源地址信息时,以限时方式发送敏感数据,当黑名单中存在访问报文的源地址信息时,根据威胁等级选择以限时方式或以正常方式发送敏感数据,能够提高对访问报文处理时的安全性。同时,本实施例结合威胁等级对访问报文进行处理,这种多元化的处理方式能提高对访问报文进行处理时准确性。
在本申请的另一实施例中,基于图1所示实施例,在以第一发送速率向访问报文的源地址对应的设备发送敏感数据之前,还可以包括如下步骤1~步骤3:
步骤1:在接收到针对敏感数据的访问报文时,向云端情报中心发送第二验证请求。
其中,云端情报中心可以为云端服务器。第二验证请求携带第二标识和访问报文的源地址信息,第二标识用于指示云端情报中心根据预设的黑名单对访问报文的源地址信息进行验证。上述黑名单用于存储存在安全威胁的源地址信息。该黑名单可以理解为云端威胁情报库。云端情报中心可以存储内容更丰富的黑名单。
步骤2:接收云端情报中心发送的针对第二验证请求的第二验证结果。
步骤3:当第二验证结果表明上述黑名单中不存在访问报文的源地址信息时,以第一发送速率向访问报文的源地址对应的设备发送敏感数据。
由上述内容可知,本实施例可以在接收到针对敏感数据的访问报文时,请求云端情报中心对访问报文进行验证,当云端情报中心的黑名单中不存在访问报文的源地址信息时,以第一发送速率向访问报文的源地址对应的设备发送敏感数据。由于云端情报中心具有更强大的黑名单数据库,因此本实施例对访问报文的验证更准确。
在本申请的另一实施例中,当第二验证结果表明黑名单中存在访问报文的源地址信息时,第二验证结果还包含访问报文的源地址信息对应的目标威胁等级。该目标威胁等级为云端情报中心从预设的存在安全威胁的源地址信息与威胁等级的对应关系中确定。云端情报中心可以根据攻击来源、攻击的影响范围、攻击的可靠度等因素设定存在安全威胁的源地址信息对应的威胁等级。
本实施例还包括:
当第二验证结果表明黑名单中存在访问报文的源地址信息时,当目标威胁等级为第一类等级时,拒绝向访问报文的源地址对应的设备发送敏感数据。当目标威胁等级为第二类等级时,执行步骤S101,即以第一发送速率向访问报文的源地址对应的设备发送敏感数据。其中,第一类等级高于第二类等级。
本实施例可以结合云端情报中心发送的第二验证结果中的威胁等级,对访问报文进行处理时,提供了多元化的处理方式。
在本申请的另一实施例中,以第一发送速率向所述访问报文的源地址对应的设备发送敏感数据的步骤,具体可以为,以数据丢包的方式向访问报文的源地址对应的设备发送敏感数据,以使发送敏感数据的速率为第一发送速率。
在本申请的另一实施例中,步骤S103,若接收到来自预设地址的针对第一验证请求的第一验证结果,则根据第一验证结果确定访问报文是否合法的步骤,具体可以包括:
若在以第一发送速率向访问报文的源地址对应的设备发送敏感数据开始的预设时长内,接收到来自预设地址的针对第一验证请求的第一验证结果,则根据第一验证结果确定访问报文是否合法。
其中,上述预设时长不大于限定时长。
在另一种实施方式中,若在以第一发送速率向访问报文的源地址对应的设备发送敏感数据开始的预设时长内未接收到第一验证结果,则停止发送敏感数据的剩余数据。
例如,电子设备在10点10分24秒开始向访问报文的源地址对应的设备发送敏感数据,预设时长为30分钟,则如果电子设备在10点40分24秒之前接收到上述第一验证结果,并且第一验证结果表明访问报文合法,则以第二发送速率继续发送敏感数据的剩余数据。如果电子设备在10点40分24秒之前接收到上述第一验证结果,并且第一验证结果表明访问报文不合法,则停止发送敏感数据的剩余数据。如果电子设备在10点40分24秒之后接收到上述第一验证结果,则不管第一验证结果如何,均停止发送敏感数据的剩余数据。
本实施例中,结合预设时长、接收第一验证结果的时间以及第一验证结果的内容确定如何处理敏感数据的剩余数据,能够提高信息处理时的安全性。
下面结合具体实例对本申请再做详细说明。
图2为本申请实施例提供的一种具体应用场景示意图。其中,存储设备和网络设备存在于内网中,存储设备中存储有敏感数据data,用户设备可以通过网络设备向存储设备发送针对敏感数据的访问报文。网络设备可以与云端情报中心连接。
网络设备在接收到用户设备发送的敏感数据data的访问报文时,可以查找白名单中是否存在该访问报文的源地址。
如果白名单中存在,则将该访问报文发送至存储设备,在接收到存储设备向用户设备发送的携带敏感数据的应答报文时,以b B/s的第二速率向用户设备发送该应答报文。
如果白名单中不存在访问报文的源地址,则网络设备将访问报文的源地址发送至云端情报中心,由云端情报中心判断云端情报中心的黑名单中是否存在该访问报文的源地址。
网络设备在接收到云端情报中心发送的第二验证结果时,如果该第二验证结果表明黑名单中不存在访问报文的源地址,则将该访问报文发送至存储设备,在接收到存储设备向用户设备发送的携带敏感数据的应答报文时,以a B/s的第一速率向用户设备发送该应答报文。b大于a。
如果该第二验证结果表明黑名单中存在访问报文的源地址,且访问报文的源地址对应的威胁等级为第一类等级,则拒绝向用户设备发送敏感数据。
如果访问报文的源地址对应的威胁等级为第二类等级,则以a B/s的第一速率向用户设备发送上述应答报文。
在以a B/s的第一速率向用户设备发送上述应答报文时,网络设备可以向管理员的邮件地址发送第一验证请求。当接收到第一验证结果时,如果第一验证结果表明访问报文不合法,则停止发送敏感数据的剩余数据。如果第一验证结果表明访问报文合法,则以bB/s的第二速率向用户设备发送敏感数据的剩余数据。
本申请提供的各个实施例是基于同一发明构思得到的,各实施例之间的说明可以相互参照。
图3为本申请实施例提供的访问报文处理装置的一种结构示意图。本装置实施例应用于电子设备,该电子设备可以为网络设备,例如路由器或交换机等;也可以为存储敏感数据的存储设备,例如存储服务器等。本实施例与图1所述方法实施例相对应。本实施例的装置包括:
发送模块301,用于在接收到针对敏感数据的访问报文时,以第一发送速率向上述访问报文的源地址对应的设备发送上述敏感数据,第一发送速率为根据上述敏感数据的数据量和预设的限定时长确定;
发送模块301,还用于向预设地址发送第一验证请求,其中,第一验证请求携带第一标识和访问报文的特征信息,第一标识用于指示根据上述特征信息确定所述访问报文是否合法;
接收模块302,用于若接收到来自预设地址的针对第一验证请求的第一验证结果,则根据第一验证结果确定所述访问报文是否合法;
停止模块303,用于当第一验证结果表明上述访问报文不合法时,停止发送敏感数据的剩余数据;
发送模块301,还用于当第一验证结果表明上述访问报文合法时,以第二发送速率向上述访问报文的源地址对应的设备发送敏感数据的剩余数据,第二发送速率大于第一发送速率。
在本申请的另一实施例中,图3所示实施例中的发送模块301具体用于:
当预设的白名单中不存在上述访问报文的源地址信息时,以第一发送速率向上述访问报文的源地址对应的设备发送敏感数据;上述白名单用于存储允许访问敏感数据的各个源地址信息。
在本申请的另一实施例中,图3所示实施例中的发送模块301还用于:
当预设的白名单中存在上述访问报文的源地址信息时,以第二发送速率向上述访问报文的源地址对应的设备发送敏感数据。
在本申请的另一实施例中,图3所示实施例中发送模块301具体用于:
当预设的黑名单中不存在上述访问报文的源地址信息时,以第一发送速率向上述访问报文的源地址对应的设备发送敏感数据;上述黑名单用于存储存在安全威胁的源地址信息。
在本申请的另一实施例中,图3所示实施例中,上述装置还包括:
确定模块(图中未示出),用于当预设的黑名单中存在上述访问报文的源地址信息时,从预设的存在安全威胁的源地址信息与威胁等级的对应关系中,确定上述访问报文的源地址信息对应的目标威胁等级;
第一拒绝模块(图中未示出),用于当上述目标威胁等级为第一类等级时,拒绝向上述访问报文的源地址对应的设备发送敏感数据;
发送模块301,还用于当上述目标威胁等级为第二类等级时,以第一发送速率向访问报文的源地址对应的设备发送敏感数据;其中,第一类等级高于第二类等级。
在本申请的另一实施例中,图3所示实施例中,发送模块301还用于在以第一发送速率向访问报文的源地址对应的设备发送敏感数据之前,向云端情报中心发送第二验证请求,其中,第二验证请求携带第二标识和访问报文的源地址信息,第二标识用于指示云端情报中心根据预设的黑名单对访问报文的源地址信息进行验证;上述黑名单,用于存储存在安全威胁的源地址信息;
接收模块302,还用于接收云端情报中心发送的针对第二验证请求的第二验证结果;
发送模块301,具体用于当第二验证结果表明黑名单中不存在访问报文的源地址信息时,以第一发送速率向访问报文的源地址对应的设备发送敏感数据。
在本申请的另一实施例中,图3所示实施例中,当第二验证结果表明黑名单中存在访问报文的源地址信息时,第二验证结果还包含访问报文的源地址信息对应的目标威胁等级;目标威胁等级为云端情报中心根据预设的存在安全威胁的源地址信息与威胁等级的对应关系确定;上述装置还包括:
第二拒绝模块(图中未示出),用于当目标威胁等级为第一类等级时,拒绝向访问报文的源地址对应的设备发送敏感数据;
发送模块301,还用于当目标威胁等级为第二类等级时,以第一发送速率向访问报文的源地址对应的设备发送敏感数据;其中,第一类等级高于第二类等级。
在本申请的另一实施例中,图3所示实施例中,接收模块302具体用于:
若在以所述第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据开始的预设时长内,接收到来自预设地址的针对第一验证请求的第一验证结果,则根据第一验证结果确定上述访问报文是否合法;其中,所述预设时长不大于所述限定时长。
在本申请的另一实施例中,图3所示实施例中,停止模块303还用于:
若在以所述第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据开始的预设时长内未接收到所述第一验证结果,则停止发送所述敏感数据的剩余数据。
在本申请的另一实施例中,图3所示实施例中,发送模块301具体用于:
以数据丢包的方式向访问报文的源地址对应的设备发送敏感数据,以使发送敏感数据的速率为第一发送速率。
由于上述装置实施例是基于方法实施例得到的,与该方法具有相同的技术效果,因此装置实施例的技术效果在此不再赘述。对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
图4为本申请实施例提供的网络设备的一种结构示意图。该网络设备包括:处理器401和机器可读存储介质402,机器可读存储介质402存储有能够被处理器401执行的机器可执行指令,处理器401被机器可执行指令促使:实现本申请实施例提供的访问报文处理方法。该方法包括:
在接收到针对敏感数据的访问报文时,以第一发送速率向上述访问报文的源地址对应的设备发送上述敏感数据,第一发送速率为根据上述敏感数据的数据量和预设的限定时长确定;
向预设地址发送第一验证请求,其中,第一验证请求携带第一标识和所述访问报文的特征信息,第一标识用于指示根据所述特征信息确定所述访问报文是否合法;
若接收到来自预设地址的针对第一验证请求的第一验证结果,则根据第一验证结果确定访问报文是否合法;
当第一验证结果表明上述访问报文不合法时,停止发送敏感数据的剩余数据;
当第一验证结果表明上述访问报文合法时,以第二发送速率向上述访问报文的源地址对应的设备发送上述敏感数据的剩余数据,第二发送速率大于第一发送速率。
上述处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
综上,本实施例可以在接收到针对敏感数据的访问报文时,以较小的发送速率限时向访问报文的源地址对应的设备发送敏感数据,并向预设地址请求验证该访问报文的合法性;当验证得到该访问报文合法时,以正常发送速率继续发送敏感数据的剩余数据。本实施例对敏感数据进行限时发送,既能够在用户请求访问敏感数据时不直接阻断,又能给管理员留出时间来验证访问报文的合法性,当不合法时停止发送剩余数据,因此能够降低敏感数据泄露的概率,提高数据安全性。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,上述计算机程序被处理器执行时实现本申请实施例提供的访问报文处理方法。该方法包括:
在接收到针对敏感数据的访问报文时,以第一发送速率向上述访问报文的源地址对应的设备发送上述敏感数据,第一发送速率为根据上述敏感数据的数据量和预设的限定时长确定;
向预设地址发送第一验证请求,其中,第一验证请求携带第一标识和所述访问报文的特征信息,第一标识用于指示根据上述特征信息确定访问报文是否合法;
若接收到来自预设地址的针对第一验证请求的第一验证结果,则根据第一验证结果确定访问报文是否合法;
当第一验证结果表明上述访问报文不合法时,停止发送敏感数据的剩余数据;
当第一验证结果表明上述访问报文合法时,以第二发送速率向上述访问报文的源地址对应的设备发送上述敏感数据的剩余数据,第二发送速率大于第一发送速率。
综上,本实施例可以在接收到针对敏感数据的访问报文时,以较小的发送速率限时向访问报文的源地址对应的设备发送敏感数据,并向预设地址请求验证该访问报文的合法性;当验证得到该访问报文合法时,以正常发送速率继续发送敏感数据的剩余数据。本实施例对敏感数据进行限时发送,既能够在用户请求访问敏感数据时不直接阻断,又能给管理员留出时间来验证访问报文的合法性,当不合法时停止发送剩余数据,因此能够降低敏感数据泄露的概率,提高数据安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (22)
1.一种访问报文处理方法,其特征在于,所述方法包括:
在接收到针对敏感数据的访问报文时,以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据,所述第一发送速率为根据所述敏感数据的数据量和预设的限定时长确定;
向预设地址发送第一验证请求,其中,所述第一验证请求携带第一标识和所述访问报文的特征信息,所述第一标识用于指示根据所述特征信息确定所述访问报文是否合法;
若接收到来自所述预设地址的针对所述第一验证请求的第一验证结果,则根据所述第一验证结果确定所述访问报文是否合法;
当所述第一验证结果表明所述访问报文不合法时,停止发送所述敏感数据的剩余数据;
当所述第一验证结果表明所述访问报文合法时,以第二发送速率向所述访问报文的源地址对应的设备发送所述敏感数据的剩余数据,所述第二发送速率大于所述第一发送速率。
2.根据权利要求1所述的方法,其特征在于,所述以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据的步骤,包括:
当预设的白名单中不存在所述访问报文的源地址信息时,以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据;所述白名单,用于存储允许访问所述敏感数据的各个源地址信息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当预设的白名单中存在所述访问报文的源地址信息时,以所述第二发送速率向所述访问报文的源地址对应的设备发送所述敏感数据。
4.根据权利要求1所述的方法,其特征在于,所述以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据的步骤,包括:
当预设的黑名单中不存在所述访问报文的源地址信息时,以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据;所述黑名单,用于存储存在安全威胁的源地址信息。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
当预设的黑名单中存在所述访问报文的源地址信息时,从预设的存在安全威胁的源地址信息与威胁等级的对应关系中,确定所述访问报文的源地址信息对应的目标威胁等级;
当所述目标威胁等级为第一类等级时,拒绝向所述访问报文的源地址对应的设备发送所述敏感数据;
当所述目标威胁等级为第二类等级时,以所述第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据;其中,所述第一类等级高于第二类等级。
6.根据权利要求1所述的方法,其特征在于,在以所述第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据之前,还包括:
向云端情报中心发送第二验证请求,其中,所述第二验证请求携带第二标识和所述访问报文的源地址信息,所述第二标识用于指示所述云端情报中心根据预设的黑名单对所述访问报文的源地址信息进行验证;所述黑名单,用于存储存在安全威胁的源地址信息;
接收所述云端情报中心发送的针对所述第二验证请求的第二验证结果;
当所述第二验证结果表明所述黑名单中不存在所述访问报文的源地址信息时,以所述第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据。
7.根据权利要求6所述的方法,其特征在于,当所述第二验证结果表明所述黑名单中存在所述访问报文的源地址信息时,所述第二验证结果还包含所述访问报文的源地址信息对应的目标威胁等级;所述目标威胁等级为所述云端情报中心从预设的存在安全威胁的源地址信息与威胁等级的对应关系中确定;所述方法还包括:
当所述目标威胁等级为第一类等级时,拒绝向所述访问报文的源地址对应的设备发送所述敏感数据;
当所述目标威胁等级为第二类等级时,以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据;其中,所述第一类等级高于第二类等级。
8.根据权利要求1所述的方法,其特征在于,所述以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据的步骤,包括:
以数据丢包的方式向所述访问报文的源地址对应的设备发送所述敏感数据,以使发送所述敏感数据的速率为所述第一发送速率。
9.根据权利要求1所述的方法,其特征在于,所述若接收到来自所述预设地址的针对所述第一验证请求的第一验证结果,则根据所述第一验证结果确定所述访问报文是否合法的步骤,包括:
若在以所述第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据开始的预设时长内,接收到来自所述预设地址的针对所述第一验证请求的第一验证结果,则根据所述第一验证结果确定所述访问报文是否合法;其中,所述预设时长不大于所述限定时长。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
若在以所述第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据开始的预设时长内未接收到所述第一验证结果,则停止发送所述敏感数据的剩余数据。
11.一种访问报文处理装置,其特征在于,所述装置包括:
发送模块,用于在接收到针对敏感数据的访问报文时,以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据,所述第一发送速率为根据所述敏感数据的数据量和预设的限定时长确定;
所述发送模块,还用于向预设地址发送第一验证请求,其中,所述第一验证请求携带第一标识和所述访问报文的特征信息,所述第一标识用于指示根据所述特征信息确定所述访问报文是否合法;
接收模块,用于若接收到来自所述预设地址的针对所述第一验证请求的第一验证结果,则根据所述第一验证结果确定所述访问报文是否合法;
停止模块,用于当所述第一验证结果表明所述访问报文不合法时,停止发送所述敏感数据的剩余数据;
所述发送模块,还用于当所述第一验证结果表明所述访问报文合法时,以第二发送速率向所述访问报文的源地址对应的设备发送所述敏感数据的剩余数据,所述第二发送速率大于所述第一发送速率。
12.根据权利要求11所述的装置,其特征在于,所述发送模块,具体用于:
当预设的白名单中不存在所述访问报文的源地址信息时,以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据;所述白名单,用于存储允许访问所述敏感数据的各个源地址信息。
13.根据权利要求12所述的装置,其特征在于,所述发送模块,还用于:
当预设的白名单中存在所述访问报文的源地址信息时,以所述第二发送速率向所述访问报文的源地址对应的设备发送所述敏感数据。
14.根据权利要求11所述的装置,其特征在于,所述发送模块,具体用于:
当预设的黑名单中不存在所述访问报文的源地址信息时,以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据;所述黑名单,用于存储存在安全威胁的源地址信息。
15.根据权利要求14所述的装置,其特征在于,所述装置还包括:
确定模块,用于当预设的黑名单中存在所述访问报文的源地址信息时,从预设的存在安全威胁的源地址信息与威胁等级的对应关系中,确定所述访问报文的源地址信息对应的目标威胁等级;
第一拒绝模块,用于当所述目标威胁等级为第一类等级时,拒绝向所述访问报文的源地址对应的设备发送所述敏感数据;
所述发送模块,还用于当所述目标威胁等级为第二类等级时,以所述第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据;其中,所述第一类等级高于第二类等级。
16.根据权利要求11所述的装置,其特征在于,
所述发送模块,还用于在以所述第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据之前,向云端情报中心发送第二验证请求,其中,所述第二验证请求携带第二标识和所述访问报文的源地址信息,所述第二标识用于指示所述云端情报中心根据预设的黑名单对所述访问报文的源地址信息进行验证;所述黑名单,用于存储存在安全威胁的源地址信息;
所述接收模块,还用于接收所述云端情报中心发送的针对所述第二验证请求的第二验证结果;
所述发送模块,具体用于当所述第二验证结果表明所述黑名单中不存在所述访问报文的源地址信息时,以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据。
17.根据权利要求16所述的装置,其特征在于,当所述第二验证结果表明所述黑名单中存在所述访问报文的源地址信息时,所述第二验证结果还包含所述访问报文的源地址信息对应的目标威胁等级;所述目标威胁等级为所述云端情报中心从预设的存在安全威胁的源地址信息与威胁等级的对应关系中确定;所述装置还包括:
第二拒绝模块,用于当所述目标威胁等级为第一类等级时,拒绝向所述访问报文的源地址对应的设备发送所述敏感数据;
所述发送模块,还用于当所述目标威胁等级为第二类等级时,以第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据;其中,所述第一类等级高于第二类等级。
18.根据权利要求11所述的装置,其特征在于,所述发送模块,具体用于:
以数据丢包的方式向所述访问报文的源地址对应的设备发送所述敏感数据,以使发送所述敏感数据的速率为所述第一发送速率。
19.根据权利要求11所述的装置,其特征在于,所述接收模块,具体用于:
若在以所述第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据开始的预设时长内,接收到来自所述预设地址的针对所述第一验证请求的第一验证结果,则根据所述第一验证结果确定所述访问报文是否合法;其中,所述预设时长不大于所述限定时长。
20.根据权利要求19所述的装置,其特征在于,所述停止模块,还用于:
若在以所述第一发送速率向所述访问报文的源地址对应的设备发送所述敏感数据开始的预设时长内未接收到所述第一验证结果,则停止发送所述敏感数据的剩余数据。
21.一种网络设备,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-10任一所述的方法步骤。
22.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-10任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810338725.XA CN108632258B (zh) | 2018-04-16 | 2018-04-16 | 一种访问报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810338725.XA CN108632258B (zh) | 2018-04-16 | 2018-04-16 | 一种访问报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108632258A true CN108632258A (zh) | 2018-10-09 |
| CN108632258B CN108632258B (zh) | 2020-12-18 |
Family
ID=63705189
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810338725.XA Active CN108632258B (zh) | 2018-04-16 | 2018-04-16 | 一种访问报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108632258B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468531A (zh) * | 2014-11-18 | 2015-03-25 | 邱彼特 | 敏感数据的授权方法、装置和系统 |
| WO2017066120A1 (en) * | 2015-10-16 | 2017-04-20 | Microsoft Technology Licensing, Llc | Detection of bypass vulnerabilities |
| CN106850679A (zh) * | 2017-03-17 | 2017-06-13 | 烽火通信科技股份有限公司 | 一种检测wifi攻击的方法 |
| CN106921671A (zh) * | 2017-03-22 | 2017-07-04 | 杭州迪普科技股份有限公司 | 一种网络攻击的检测方法及装置 |
-
2018
- 2018-04-16 CN CN201810338725.XA patent/CN108632258B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468531A (zh) * | 2014-11-18 | 2015-03-25 | 邱彼特 | 敏感数据的授权方法、装置和系统 |
| WO2017066120A1 (en) * | 2015-10-16 | 2017-04-20 | Microsoft Technology Licensing, Llc | Detection of bypass vulnerabilities |
| CN106850679A (zh) * | 2017-03-17 | 2017-06-13 | 烽火通信科技股份有限公司 | 一种检测wifi攻击的方法 |
| CN106921671A (zh) * | 2017-03-22 | 2017-07-04 | 杭州迪普科技股份有限公司 | 一种网络攻击的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108632258B (zh) | 2020-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3481029B1 (en) | Internet defense method and authentication server | |
| KR20210045917A (ko) | 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| US9462011B2 (en) | Determining trustworthiness of API requests based on source computer applications' responses to attack messages | |
| CN105306534A (zh) | 一种基于开放平台的信息校验方法和开放平台 | |
| CN108259432A (zh) | 一种api调用的管理方法、设备及系统 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN105991595A (zh) | 网络安全防护方法及装置 | |
| US20170237749A1 (en) | System and Method for Blocking Persistent Malware | |
| KR20180048655A (ko) | 검증 정보 업데이트 방법 및 장치 | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| CN104333562A (zh) | 数据包传输方法及装置 | |
| CN110968848B (zh) | 基于用户的权限管理方法、装置及计算设备 | |
| KR102460696B1 (ko) | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| CN106161396B (zh) | 一种实现虚拟机网络访问控制的方法及装置 | |
| CN106878343A (zh) | 一种云计算环境下提供网络安全即服务的系统 | |
| CN112311769A (zh) | 安全认证的方法、系统、电子设备及介质 | |
| US20220182417A1 (en) | Distributed network resource security access management system and user portal | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN112910882B (zh) | 网络管理方法、装置、系统及计算机可读存储介质 | |
| KR101522139B1 (ko) | DNS 서버 선별 차단 및 Proxy를 이용한 DNS 주소 변경 방법 | |
| JP5110082B2 (ja) | 通信制御システム、通信制御方法および通信端末 | |
| CN109995759B (zh) | 一种物理机接入vpc的方法及相关装置 | |
| CN108632258A (zh) | 一种访问报文处理方法及装置 | |
| CN105791233B (zh) | 一种防病毒扫描方法及装置 | |
| KR101910496B1 (ko) | 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |