CN111163103B - 由计算设备执行的风险控制方法、装置、计算设备、介质 - Google Patents
由计算设备执行的风险控制方法、装置、计算设备、介质 Download PDFInfo
- Publication number
- CN111163103B CN111163103B CN201911425702.3A CN201911425702A CN111163103B CN 111163103 B CN111163103 B CN 111163103B CN 201911425702 A CN201911425702 A CN 201911425702A CN 111163103 B CN111163103 B CN 111163103B
- Authority
- CN
- China
- Prior art keywords
- data packets
- initial data
- data packet
- sent
- initial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000012954 risk control Methods 0.000 title claims abstract description 23
- 238000012545 processing Methods 0.000 claims abstract description 41
- 230000004044 response Effects 0.000 claims abstract description 20
- 230000007246 mechanism Effects 0.000 claims description 14
- 230000008569 process Effects 0.000 description 17
- 238000001514 detection method Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 14
- 238000001914 filtration Methods 0.000 description 11
- 239000003795 chemical substances by application Substances 0.000 description 10
- 238000004590 computer program Methods 0.000 description 10
- 241000700605 Viruses Species 0.000 description 9
- 230000015654 memory Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 230000009471 action Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 4
- 230000000295 complement effect Effects 0.000 description 4
- 238000004321 preservation Methods 0.000 description 3
- 230000008521 reorganization Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005111 flow chemistry technique Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000006798 recombination Effects 0.000 description 2
- 238000005215 recombination Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 101000958781 Homo sapiens N-alpha-acetyltransferase 80 Proteins 0.000 description 1
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 102100038333 N-alpha-acetyltransferase 80 Human genes 0.000 description 1
- 101150030531 POP3 gene Proteins 0.000 description 1
- 108010001267 Protein Subunits Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种由计算设备执行的风险控制方法,包括:获取第一设备要发送给第二设备的多个初始数据包;响应于多个初始数据包具有有序编号信息,基于预设规则处理多个初始数据包得到目标数据包;将目标数据包添加至有序队列中;从有序队列中获取多个待发送数据包;确定多个待发送数据包是否包括风险信息;以及响应于确定多个待发送数据包包括风险信息,禁止计算设备将多个待发送数据包发送给第二设备。本公开还提供了一种风险控制装置、一种计算设备以及一种介质。
Description
技术领域
本公开涉及计算机技术领域,更具体地,涉及一种由计算设备执行的风险控制方法、一种风险控制装置、一种计算设备以及一种计算机可读存储介质。
背景技术
随着网络技术持续发展,使得网络得到高速发展及广泛应用。伴随着网络广泛应用的同时,网络病毒不断升级换代,黑客技术不断发展,对网络通信的安全性提出各种挑战,人们对数据网络通信的安全要求更加苛刻。
在实现本公开构思的过程中,发明人发现相关技术中至少存在如下问题,相关技术的网络安全交换路由转发设备只能对来往的数据包进行粗略的解析转发,没有进行全面的分析,从而导致无法得知存在风险的数据包。在网络数据安全面前,相关技术的网络安全交换路由转发设备达不到更细致的需求,处理不灵活。因此,现有的网络已经不能及时满足人们对网络安全的需求。
发明内容
有鉴于此,本公开提供了一种优化的由计算设备执行的风险控制方法、一种风险控制装置、一种计算设备和一种计算机可读存储介质。
本公开的一个方面提供了一种由计算设备执行的风险控制方法,包括:获取第一设备要发送给第二设备的多个初始数据包,响应于所述多个初始数据包具有有序编号信息,基于预设规则处理所述多个初始数据包得到目标数据包,将所述目标数据包添加至有序队列中,从所述有序队列中获取多个待发送数据包,确定所述多个待发送数据包是否包括风险信息,响应于确定所述多个待发送数据包包括风险信息,禁止所述计算设备将所述多个待发送数据包发送给所述第二设备。
根据本公开实施例,上述基于预设规则处理所述多个初始数据包得到目标数据包包括:确定期望序号范围,基于所述多个初始数据包中每个初始数据包的序号,确定序号在所述期望序号范围之内的至少一个初始数据包作为所述目标数据包。
根据本公开实施例,上述基于预设规则处理所述多个初始数据包得到目标数据包还包括:丢弃所述多个初始数据包中序号在所述期望序号范围之外的至少一个初始数据包,其中,序号在所述期望序号范围之外的至少一个初始数据包包括已经接收过的数据包和超出接收期望的数据包中的至少一个。
根据本公开实施例,上述基于预设规则处理所述多个初始数据包得到目标数据包还包括:确定所述多个初始数据包是否按序到达,响应于确定所述多个初始数据包未按序到达,确定所述多个初始数据包中缺失的数据包的序号,从无序队列中获取与缺失的数据包的序号对应的补充数据包,确定所述多个初始数据包和所述补充数据包为所述目标数据包。
根据本公开实施例,上述计算设备中配置有代理机制,其中,所述确定所述多个待发送数据包是否包括风险信息包括:确定所述多个待发送数据包是否包括加密数据,响应于确定所述多个待发送数据包包括加密数据,利用所述代理机制对所述多个待发送数据包进行解密处理,利用所述代理机制对解密后的多个待发送数据包进行分析,以确定所述解密后的多个待发送数据包中是否包括所述风险信息。
根据本公开实施例,上述确定所述多个待发送数据包是否包括风险信息包括:处理所述多个待发送数据包,得到原始应用数据,确定所述原始应用数据是否包括所述风险信息。
根据本公开实施例,上述计算设备包括网卡和多个子处理器,其中,所述方法还包括在获取第一设备要发送给第二设备的多个初始数据包之后:将所述多个初始数据包添加至所述网卡的多个队列中,其中,所述多个队列中的每个队列对应一个所述子处理器,所述每个队列中的初始数据包通过与其对应的子处理器进行处理。
本公开的另一个方面提供了一种风险控制装置,包括:第一获取模块、处理模块、添加模块、第二获取模块、确定模块以及禁止模块。其中,第一获取模块,获取第一设备要发送给第二设备的多个初始数据包。处理模块,响应于所述多个初始数据包具有有序编号信息,基于预设规则处理所述多个初始数据包得到目标数据包。添加模块,将所述目标数据包添加至有序队列中。第二获取模块,从所述有序队列中获取多个待发送数据包。确定模块,确定所述多个待发送数据包是否包括风险信息。禁止模块,响应于确定所述多个待发送数据包包括风险信息,禁止所述计算设备将所述多个待发送数据包发送给所述第二设备。
根据本公开实施例,上述基于预设规则处理所述多个初始数据包得到目标数据包包括:确定期望序号范围,基于所述多个初始数据包中每个初始数据包的序号,确定序号在所述期望序号范围之内的至少一个初始数据包作为所述目标数据包。
根据本公开实施例,上述基于预设规则处理所述多个初始数据包得到目标数据包还包括:丢弃所述多个初始数据包中序号在所述期望序号范围之外的至少一个初始数据包,其中,序号在所述期望序号范围之外的至少一个初始数据包包括已经接收过的数据包和超出接收期望的数据包中的至少一个。
根据本公开实施例,上述基于预设规则处理所述多个初始数据包得到目标数据包还包括:确定所述多个初始数据包是否按序到达,响应于确定所述多个初始数据包未按序到达,确定所述多个初始数据包中缺失的数据包的序号,从无序队列中获取与缺失的数据包的序号对应的补充数据包,确定所述多个初始数据包和所述补充数据包为所述目标数据包。
根据本公开实施例,上述计算设备中配置有代理机制,其中,所述确定所述多个待发送数据包是否包括风险信息包括:确定所述多个待发送数据包是否包括加密数据,响应于确定所述多个待发送数据包包括加密数据,利用所述代理机制对所述多个待发送数据包进行解密处理,利用所述代理机制对解密后的多个待发送数据包进行分析,以确定所述解密后的多个待发送数据包中是否包括所述风险信息。
根据本公开实施例,上述确定所述多个待发送数据包是否包括风险信息包括:处理所述多个待发送数据包,得到原始应用数据,确定所述原始应用数据是否包括所述风险信息。
根据本公开实施例,上述计算设备包括网卡和多个子处理器,其中,所述方法还包括在获取第一设备要发送给第二设备的多个初始数据包之后:将所述多个初始数据包添加至所述网卡的多个队列中,其中,所述多个队列中的每个队列对应一个所述子处理器,所述每个队列中的初始数据包通过与其对应的子处理器进行处理。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的由计算设备执行的风险控制方法的应用场景;
图2示意性示出了根据本公开实施例的由计算设备执行的风险控制方法的流程图;
图3A示意性示出了根据本公开实施例的数据重组的示意图;
图3B示意性示出了根据本公开另一实施例的数据流处理总体流程图.
图4示意性示出了根据本公开实施例的风险控制装置的框图;以及
图5示意性示出了根据本公开实施例的适于风险控制的计算机系统的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开的实施例提供了一种由计算设备执行的风险控制方法,包括:获取第一设备要发送给第二设备的多个初始数据包,响应于多个初始数据包具有有序编号信息,基于预设规则处理多个初始数据包得到目标数据包。然后,将目标数据包添加至有序队列中,并从有序队列中获取多个待发送数据包。其后,可以确定多个待发送数据包是否包括风险信息,响应于确定多个待发送数据包包括风险信息,禁止计算设备将多个待发送数据包发送给第二设备。
图1示意性示出了根据本公开实施例的由计算设备执行的风险控制方法的应有场景。需要注意的是,图1所示仅为可以应用本公开实施例的应有场景的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,该应用场景100例如包括第一设备110、第二设备120以及计算设备130。其中,计算设备130例如可以是防火墙设备。
根据本公开实施例,当第一设备110为内网中的设备时,第二设备可以是外网中的设备。或者,当第一设备110为外网中的设备时,第二设备120可以是内外中的设备。为了保证内网设备和外网设备进行数据交互时的安全性,通常通过计算设备130进行数据监控。
例如,如果第一设备110要将数据发送给第二设备120,则计算设备130首先获取要发送的数据,并处理所要发送的数据以确定是否存在风险信息,如果存在风险信息,则计算设备130不再该数据继续发送给第二设备120。
以下结合图1和图2描述本公开实施例的由计算设备执行的风险控制方法。
图2示意性示出了根据本公开实施例的由计算设备执行的风险控制方法的流程图。
如图2所示,该方法包括操作S210~S260。
在操作S210,获取第一设备要发送给第二设备的多个初始数据包。
根据本公开实施例,计算设备例如可以是防火墙设备。其中,该计算设备例如接收来自第一设备的多个初始数据包,该多个初始数据包中的每个初始数据包具有相应的编号,该编号至少用于表征每个初始数据包在多个数据包中的序号。
根据本公开实施例,该防火墙设备中例如包括网卡和多个子处理器。网卡例如可以用于接收多个初始数据包。在网卡接收到第一设备要发送给第二设备的多个初始数据包之后,网卡可以将多个初始数据包添加至网卡的多个队列中。其中,多个队列中的每个队列对应一个子处理器,每个队列中的初始数据包可以通过与其对应的子处理器进行处理,例如由其对应的子处理器将多个初始数据包发送到链路层、网络层或者运输层中进行重组处理。其中,重组处理例如包括以下操作S220~S230。
根据本公开实施例,初始数据包例如从底层网卡收发,底层网卡的读写例如采用轮询方式而不是中断中断,这样能够大大减少cpu处理中断时执行上下文切换的数据开销,并以此实现将底层网卡的pcie总线带宽使用到极致,达到很高性能。另外,通过利用底层网卡的多队列功能,每个接收队列例如对应一个core(子处理器),从而进一步提高了数据收发的性能。在发送数据包的时候,并不需要每个数据包都触发寄存器发送,可以将数据包累积到一定数量,再通过写一次寄存器即可批量发送,从而可以减少对总线带宽的占用,进而提升性能。
根据本公开实施例,在数据包的转发处理上,按cpu数量配置相应数量的进程,每个进程例如附着到一个core(子处理器)上运行,每个子处理器的处理程序例如只处理该子处理器相应的数据转发部分,从而提高了数据转发的性能。
在操作S220,响应于多个初始数据包具有有序编号信息,基于预设规则处理多个初始数据包得到目标数据包。
在操作S230,将目标数据包添加至有序队列中。其中,有序队列中存储的多个数据包的序号例如是连续的,并且序号从大到小排列。例如,如果当前的有序队列中存储的数据包的序号为1~100,则目标数据包的序号例如与有序队列中存储的数据包的序号1~100连续。例如,目标数据包的序号可以为101~110。
根据本公开实施例,计算设备可以确定多个初始数据包中的每个初始数据包的编号。如果多个初始数据包的编号为有序编号,则可以确定多个初始数据包为有序数据。然后,可以根据预设规则处理该有序数据得到目标数据包,并将得到的目标数据包添加到有序队列中。如果多个初始数据包的编号为无序编号,则可以将该多个初始数据包添加到无序队列中。其中,根据预设规则处理该有序数据得到目标数据包的具体过程例如在图3A中描述。
在操作S240,从有序队列中获取多个待发送数据包。根据本公开实施例,有序队列中的数据包例如满足先入先出的规则。其中,先入有序队列的数据包的序号例如小于后入有序队列的数据包的序号。从有序队列中获取多个待发送数据包例如包括可以获取序号较小的数据包作为多个待发送数据包。例如,如果当前的有序队列中存储的数据包的序号为1~100,则可以将先入有序队列的序号为1~10的数据包作为多个待发送数据包。
在操作S250,确定多个待发送数据包是否包括风险信息。
在操作S260,响应于确定多个待发送数据包包括风险信息,禁止计算设备将多个待发送数据包发送给第二设备。
根据本公开实施例,计算设备多次将目标数据包存入有序队列中,使得有序队列中例如存储较多的待发送数据包。计算设备每次可以从有序队列中获取多个待发送数据包,并分析该多个待发送数据包中是否具有风险信息。其中,风险信息例如可以包括病毒信息。如果多个待发送数据包中具有风险信息,则计算设备不再将该多个待发送数据包发送给第二设备。其中,多个待发送数据包中例如可以包括部分目标数据包。例如,如果当前的有序队列中存储的数据包的序号为1~5,本次将序号为6~15的目标数据包存入有序队列中。然后,从有序队列中获取序号为1~10的待发送数据包。其中,待发送数据包中序号为6~10的数据包为部分目标数据包。
根据本公开实施例,确定待发送数据包中是否具有风险信息的一种方式包括:处理多个待发送数据包,得到原始应用数据,确定原始应用数据是否包括风险信息。
在本公开实施例中,原始应用数据例如可以是邮件、文档、图片、文件等等。通过将多个待发送数据包进行处理,以还原得到原始应用数据。然后,可以确定个原始应用数据中是否具有风险信息,如果该原始应用数据中具有风险信息,则计算设备不再将该原始应用数据发送给第二设备。例如,如果检测出原始应用数据带有病毒后,执行阻断操作,提前终结数据流,并上报告警记录日志。
图3A示意性示出了根据本公开实施例的数据重组的示意图。
如图3A所示,基于预设规则处理多个初始数据包得到目标数据包包括:确定期望序号范围,基于多个初始数据包中每个初始数据包的序号,确定序号在期望序号范围之内的至少一个初始数据包作为目标数据包。
其中,期望序号范围例如代表期望下次接收到的数据包的序号。例如,期望序号范围例如为Rcv_nxt至Rcv_nxt+wnd-1。Rcv_nxt例如代表期望下次收到的起始序号,Rcv_nxt+wnd-1代表期望接收的起始序号加上滑动窗口wnd。其中,可以通过动态改变滑动窗口wnd的大小来调节期望接收的数据大小。
例如,用户可以根据下一次希望接收到的初始数据包的数据大小来设定期望序号范围。期望序号范围例如可以表征下一次希望接收到的数据包个数。例如,如果当前的有序队列中存储的数据包的序号为1~100,如果用户希望下一次接收到10个初始数据包,则可以设定期望序号范围为101~110。但是,由于第一设备要发送给第二设备的多个初始数据包可能由于网络延时、传输信号差等原因,导致本次接收到的多个初始数据包的序号不满足期望序号范围。例如,本次接收到的多个初始数据包的序号例如为90~110,该多个初始数据包中序号为90~100的数据包理论上应该是上一次到达,但是由于网络延时使得序号为90~100的数据包本次才到达。因此,可以对序号为90~110的初始数据包进行处理以得到序号满足期望序号范围101~110的目标数据包。
根据本公开实施例,例如将多个初始数据包中序号在期望序号范围之内的至少一个初始数据包作为目标数据包。例如,如果期望序号范围为5~8。多个初始数据包例如包括6个数据包,该6个数据包的序号例如依次为4~9,则该6个数据包中序号为5~8的数据包为目标数据包。
根据本公开实施例,基于预设规则处理多个初始数据包得到目标数据包还包括:丢弃多个初始数据包中序号在期望序号范围之外的至少一个初始数据包,其中,序号在期望序号范围之外的至少一个初始数据包包括已经接收过的数据包和超出接收期望的数据包中的至少一个。
例如,多个初始数据包例如包括6个数据包,该6个数据包的序号例如依次为4~9。则序号为4的数据包为接收过的数据包,序号为9的数据包为超出接收期望的数据包。本公开实施例可以丢弃序号为4以及序号为9的数据包。
根据本公开实施例,基于预设规则处理多个初始数据包得到目标数据包还包括:确定多个初始数据包是否按序到达,响应于确定多个初始数据包未按序到达,确定多个初始数据包中缺失的数据包的序号,然后从无序队列中获取与缺失的数据包的序号对应的补充数据包,并确定多个初始数据包和补充数据包为目标数据包。
例如,期望序号范围为5~8。如果多个初始数据包的序号为7~8,则确定该序号为7~8的多个初始数据包未按序到达。确定该未按序到达的多个初始数据包中缺失的序号为5~6。然后,可以从无序队列中获取序号为5~6的补充数据包,并将该补充数据包5~6和多个初始数据包7~8作为目标数据包。
例如,无序队列包括序号不连续但是从小到大排列的数据包。例如,无序队列中序号为5~6的数据包为上一次提前到达的数据包。例如,上一次有序队列中包括序号为1~2的数据包,上一次希望接收到的期望序号范围为3~4。如果上一次接收到的初始数据包的序号为3~6,则表示该初始数据包中序号为5~6的数据包为提高到达的数据包,此时,可以将该序号为5~6的提前到达的数据包放入无序队列中,以便于之后将该序号为5~6的数据包作为补充数据包,之后可以将序号为5~6的补充数据包与之后的初始数据包共同作为目标数据包存入有序队列中。
更具体地地,如图3A所示,本公开实施例的多个初始数据包例如具有如下方式(1)~(7)。如下方式(1)~(7)例如对应图3A中的序号(1)~(7)。其中,Seq到Seq+len的数据块代表当前收到多个初始数据包。
(1)当接收的多个初始数据包全部都是接收过的数据包时,可以直接丢弃这部分数据包。
(2)当接收的多个初始数据包有一部分是接收过的数据包,同时另外一部分是按序到达的数据,则可以截取该多个初始数据包,把按序到达的数据包挂载到有序队列上。
(3)当接收的多个初始数据包有一部分是接收过的数据包,同时另外一部分是按序到达的数据包,还有超过窗口的数据包,此时可以将按序到达的数据挂载到有序队列上,接收过的部分和超出窗口的部分可以直接丢弃。
(4)数据包按序到达,可以同时比较无序队列里的数据包,比较无序队列里是否有补充的部分,如果有,可以截取无序队列里补充的部分与按序到达的数据包进行组合。
(5)数据包按序到达,可以同时比较无序队列里的数据包,比较无序队列里是否有补充的部分,如果有,可以截取无序队列里补充的部分并与按序到达的数据包进行组合,超出窗口大小的数据包可以丢弃。
(6)数据包未按序到达,并缺失部分数据包,此时可以遍历无序队列(存放无序到达数据包的数据结构),并尝试在无序队列找到补充的数据包,补充的数据包的序列与缺失部分数据包的序列相匹配。将未按序到达的数据包和补充的数据包组合并挂载到有序队列(存放保序或排好序后数据包的数据结构)上。
(7)数据包未按序到达,并缺失部分数据包,类似(6),可以从无序队列里找到补充的数据包,补充的数据包的序列与缺失部分数据包的序列相匹配。将未按序到达的数据包和补充的数据包组合并挂载到有序队列(存放保序或排好序后数据包的数据结构)上,超出窗口大小的部分可以直接丢弃。
本公开实施例经过高性能数据重组处理后,能够达到数据包保序(保持数据包序号连续以及一致)的效果。重组后的数据包可以直接递交上层应用进行安全检测,以便提前终结有安全隐患的数据包。其中,安全检测例如可以包括av(防病毒)、ips(入侵防御)等检查。可以理解,本公开实施例通过对重组的数据包进行安全检测,从而可以提前终结不安全的数据,达到阻断含有病毒的数据包的目的。并在一定程度上满足高速率、高吞吐量、安全稳定可靠的网络数据通信。
图3B示意性示出了根据本公开另一实施例的数据流处理总体流程图。
如图3B所示,数据流处理流程例如包括操作S501~S513。
在操作S501,接收数据流。其中,数据流可以包括用于实现握手的数据流和应用数据。其中,数据流例如可以是TCP(TransmissionControl Protocol)数据流。例如首先接收用于实现握手的数据流,基于用于实现握手的数据流进行TCP的三次握手。接下来是接收实际有效应用数据(例如可以是本公开实施例的初始数据包)。可以理解,在接收数据时计算设备(例如包括防火墙设备)能够识别出该数据流是属于哪些应用协议的,例如是属于SMTP(SimpleMailTransferProtocol)、HTTP(Hyper Text Transfer Protocol)、FTP(FileTransfer Protocol)等。其中,所识别出数据流所属于的协议类型的识别结果可以供操作S507中应用层协议数据解析时使用。
在操作S502,确定是否需要TCP协议交互代理。如果不需要进入操作S503,如果需要进入操作504。
在操作S503,进行数据流重组。具体过程如上面所提及的实施例中描述,在此不再赘述。
在操作S504,回复源端设备(例如可以是第一设备)TCP连接状态交互报文。例如,TCP代理可以对TCP流的TCP三次握手以及后续的有效应用数据的交互进行代理。例如代理目的端设备(例如可以是第二设备)回复源端设备ACK(Acknowledge)确认信息等,也可以代理源端设备给目的端设备发送TCP SYN(Synchronize Sequence Numbers)、ACK等TCP包。
在操作S505,确定是否应用解码。如果需要则进入操作S506,如果不需要则进入操作S507。
在操作S506,解码分析。
在操作S507,应用层协议解析。例如,从有序队列中获取排好序的数据包进行相应的应用层数据解析。例如,在操作S501中识别出是HTTP协议就进行HTTP数据解析还原。如果是IMAP(Internet Mail Access Protocol)协议则进行邮件数据解码解析,还原出源端设备发送的实际有效应用数据。例如,如果是邮件相关协议(IMAP协议),可以还原出邮件的收发件人、标题、正文等,以便于在操作S508时进行安全检查过滤。即,应用层协议是在操作S501中识别出来的,供操作S507中使用。例如识别出的应用层协议还可以是SMTP、POP3(Post Office Protocol-Version 3)、FTP、SMB(Server Message Block)和HTTP等等,以在操作S507进行相应的应用层协议数据解码解析。
在操作S508,对应用层解析后的还原数据进行安全检测以及过滤。
在操作S509,确定数据是否有病毒,以便进行进行ips(入侵防御)、内容行为管控等。如果有则执行操作S510。如果没有则执行操作S511。
在操作S510,进行TCP数据流的提前终结,阻断数据并告警。具体地,如果发现病毒具有入侵或违规行为,则对数据流进行阻断,上报日志,产生告警动作,终结此数据流。本公开实施例的终结例如通过发送rst tcp包把数据流关闭掉。其中,rst tcp包例如为用于终止数据流的信号。例如,计算设备(例如包括防火墙设备)可以将rst tcp包发送给源端设备,源端设备接收到该rst tcp包后终止数据流。
在操作S511,确定是否代理。如果需要代理,则执行操作S512,如果不需要代理则执行操作S513。
在操作S512,代理目的端设备回复数据。例如防火墙代理目的端设备向源端设备回复数据。
在操作S513,例如由防火墙设备将数据流发送给目的端设备。
在本公开实施例中,防火墙设备在接收到的数据流后可以代理目的端设备做tcp连接的各种交互以及协议栈解析。经过数据流重组后,可以接收部分或者全部的应用数据并进行必要的解码。然后,应用分析检查,如果发现有问题,可以将不安全的数据流直接做tcp终结,达到阻断数据流到目的端设备的效果,从而达到提前安全防护的目的。当然在重组数据后,本公开实施例还可以根据用户配置实现代理上层应用处理。例如包括协议栈解析、代理tcp连接各种交互、数据流重组、应用解码、上层应用的各种检查过滤、部分及全部代理等功能实现等等,实现数据处理的灵活快捷精准性。
例如,针对FTP、SMB、HTTP协议,可以对上传方向、下载方向或双向开启病毒检测功能、ssl安全代理、NAT/NAT6代理转换及提前终结、http/https的web数据安全检查、smtp/pop3/imap邮件病毒检测与过滤等等。例如,对收发邮件进行病毒过滤,经过数据流重组,以及必要的缓存解码,接收部分或者全部数据来实现还原文件。对邮件的正文、附件内容进行安全检测,实现垃圾邮件过滤。如果发现问题,则进行拦截阻断,提前终结有威胁的数据流,并上报告警,记录日志等动作。
根据本公开实施例,防火墙设备中例如配置有代理机制,该代理机制可以用于代理加密数据和非加密数据,该代理机制例如可以包括SSL(Secure Socket Layer)代理。该SSL代理例如用于对重组得到的待发送数据包进行分析,以便确定多个待发送数据包是否包括风险信息。
例如以代理加密数据举例。具体地,SSL代理的过程可以包括:首先确定多个待发送数据包是否包括加密数据,如果确定多个待发送数据包包括加密数据,则可以利用代理机制对多个待发送数据包进行解密处理,最后,可以利用代理机制对解密后的多个待发送数据包进行分析,以确定解密后的多个待发送数据包中是否包括风险信息。
根据本公开实施例,SSL代理例如可以是在上层应用中进行。SSL代理服务器例如可以是计算设备(防火墙设备)。该SSL代理服务器例如分别于SSL客户端和SSL服务器端建立SSL连接。其中,SSL客户端例如可以是第一设备,SSL服务器例如可以是第二设备。计算设备能够对来自SSL客户端的重组后的SSL加密数(多个待发送数据)进行SSL解密,并进行深度内容安全检测后再对数进行加密,并将加密后的数据发送到SSL服务器。其中,在不影响SSL客户端与SSL服务器通信的情况下,SSL代理服务器可以通过镜像方式获取SSL加密数并进行SSL解密,再进行深度内容安全检测与防护。其中,安全检测与防护例如包括反病毒、漏洞防护、防间谍软件、URL过滤、文件过滤、内容过滤、邮件过滤、行为管控等行为。
具体地,SSL代理例如可以应用于多种场景。以下以三种场景举例。
(1)保护内网服务器。例如,利用高性能的数据流重组技术的设备(计算设备)保护内网的服务器不被恶意用户访问。例如,外网用户通过SSL加密方式访问内网服务器,访问数据到此计算设备后进行解密处理并进行安全检测。确认没有威胁的数据被加密后才进一步发给内网的服务器。
(2)保护内网用户。例如,利用高性能的数据流重组技术的设备(计算设备)保护内网用户不能访问恶意网站等外网服务器。例如内网用户的加密数据到达此计算设备后进行SSL解密,并进行安全检测,当检测到用户访问的网站为恶意网站时则中断SSL连接。
(3)SSL入站检查方式。其中,SSL入站检查方式主要用于旁路部署场景下对SSL数据进行解密。例如,使用高性能的数据流重组技术的设备可以旁挂在出口交换设备上,交换设备将数据镜像到此安全设备上。这种方式不影响SSL建立过程,只是对SSL镜像数据进行解密。
其中,SSL入站检查方式检测例如具体包括如下流程:
1、使用高性能的数据流重组技术的设备收到报文后先做安全策略的包过滤检查,命中安全策略,且动作为允许,则进行后面的检查。
2、检查安全策略是否开启了反病毒等高级检查或安全设备是否开启明文数据镜像,只有开启了高级检查或开启了明文数据镜像,才会进行SSL解密。
3、数据进行SSL解密后进行反病毒等威胁检测,并根据检测结果生成威胁日志,或者将解密后的明文通过镜像接口镜像出去。
根据本公开实施例,通过SSL入站检查方式进行解密SSL数据的前提是例如须在高性能的数据流重组技术的设备上导入该数据对应网站服务器的SSL证书。通过导入的证书对加密的HTTPS数据进行SSL解密,还原出数据明文,从而对数据进行威胁检测,从而发现数据中存在的威胁并生产威胁日志。当没有对应的SSL证书时,则SSL解密失败,生产对应的解密日志。
由于SSL协商过程的报文都会镜像到安全设备,且已经导入了服务器的私钥,所以可以解密SSL秘密消息并生成会话密钥,从而可以解密SSL加密数据。
其中,SSL加密协商的具体过程例如包括如下步骤。
(1)客户端发送hello报文以及发送本身支持的加密算法列表等信息,所发送的信息同时镜像到SSL入站式检查设备。
(2)服务器端回应hello报文,确定使用的加密算法等,并发送服务器端证书(包含身份和公钥),所发送的信息同时镜像到SSL入站式检查设备。
(3)客户端验证服务器端证书正确,生成密钥信息,使用服务器端公钥加密后发送,通知之后采用加密方式发送消息,所发送的信息同时镜像到SSL入站式检查设备。
(4)服务端收到密钥消息后使用自己的私钥解密,会话密钥协商成功,通知之后采用加密方式发送消息,所发送的信息同时镜像到SSL入站式检查设备。
(5)客户端采用加密算法和生成的密钥加密传输数据,所传输的信息同时镜像到SSL入站式检查设备。
(6)服务器端采用加密算法和生成的密钥加密传输数据,所传输的信息同时镜像到SSL入站式检查设备。
图4示意性示出了根据本公开实施例的风险控制装置的框图。
如图4所示,风险控制装置400例如包括第一获取模块410、处理模块420、添加模块430、第二获取模块440、确定模块450以及禁止模块460。
第一获取模块410可以用于获取第一设备要发送给第二设备的多个初始数据包。根据本公开实施例,第一获取模块410例如可以执行上文参考图2描述的操作S210,在此不再赘述。
处理模块420可以用于响应于多个初始数据包具有有序编号信息,基于预设规则处理多个初始数据包得到目标数据包。根据本公开实施例,处理模块420例如可以执行上文参考图2描述的操作S220,在此不再赘述。
添加模块430可以用于将目标数据包添加至有序队列中。根据本公开实施例,添加模块430例如可以执行上文参考图2描述的操作S230,在此不再赘述。
第二获取模块440可以用于从有序队列中获取多个待发送数据包。根据本公开实施例,第二获取模块440例如可以执行上文参考图2描述的操作S240,在此不再赘述。
确定模块450可以用于确定多个待发送数据包是否包括风险信息。根据本公开实施例,确定模块450例如可以执行上文参考图2描述的操作S250,在此不再赘述。
禁止模块460可以用于响应于确定多个待发送数据包包括风险信息,禁止计算设备将多个待发送数据包发送给第二设备。根据本公开实施例,禁止模块460例如可以执行上文参考图2描述的操作S260,在此不再赘述。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图5示意性示出了根据本公开实施例的适于风险控制的计算机系统的方框图。图5示出的计算机系统仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图5所示,根据本公开实施例的计算机系统500包括处理器501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。处理器501例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器501还可以包括用于缓存用途的板载存储器。处理器501可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 503中,存储有系统500操作所需的各种程序和数据。处理器501、ROM 502以及RAM 503通过总线504彼此相连。处理器501通过执行ROM 502和/或RAM 503中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 502和RAM 503以外的一个或多个存储器中。处理器501也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,系统500还可以包括输入/输出(I/O)接口505,输入/输出(I/O)接口505也连接至总线504。系统500还可以包括连接至I/O接口505的以下部件中的一项或多项:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被处理器501执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是计算机非易失性的计算机可读存储介质,例如可以可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 502和/或RAM 503和/或ROM 502和RAM 503以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (8)
1.一种由计算设备执行的风险控制方法,包括:
获取第一设备要发送给第二设备的多个初始数据包;
响应于所述多个初始数据包具有有序编号信息,基于预设规则处理所述多个初始数据包得到目标数据包,其中,基于预设规则处理所述多个初始数据包得到目标数据包包括,确定期望序号范围,以及基于所述多个初始数据包中每个初始数据包的序号,确定序号在所述期望序号范围之内的至少一个初始数据包作为所述目标数据包;
将所述目标数据包添加至有序队列中;
从所述有序队列中获取多个待发送数据包;
以确定所述多个待发送数据包是否包括风险信息;以及
响应于确定所述多个待发送数据包包括风险信息,禁止所述计算设备将所述多个待发送数据包发送给所述第二设备;
其中,所述获取第一设备要发送给第二设备的多个初始数据包之后,还包括:
响应于所述多个初始数据包为无序编号,将所述多个初始数据包添加到无序队列中,所述无序队列包括序号不连续但是从小到大排列的数据包;
所述基于预设规则处理所述多个初始数据包得到目标数据包还包括:
确定所述多个初始数据包是否按序到达;
响应于确定所述多个初始数据包未按序到达,确定所述多个初始数据包中缺失的数据包的序号;
从无序队列中获取与缺失的数据包的序号对应的补充数据包;以及
确定所述多个初始数据包和所述补充数据包为所述目标数据包。
2.根据权利要求1所述的方法,其中,所述基于预设规则处理所述多个初始数据包得到目标数据包还包括:
丢弃所述多个初始数据包中序号在所述期望序号范围之外的至少一个初始数据包,其中,序号在所述期望序号范围之外的至少一个初始数据包包括已经接收过的数据包和超出接收期望的数据包中的至少一个。
3.根据权利要求1或2所述的方法,其中,所述计算设备中配置有代理机制;
其中,所述确定所述多个待发送数据包是否包括风险信息包括:
确定所述多个待发送数据包是否包括加密数据;
响应于确定所述多个待发送数据包包括加密数据,利用所述代理机制对所述多个待发送数据包进行解密处理;以及
利用所述代理机制对解密后的多个待发送数据包进行分析,以确定所述解密后的多个待发送数据包中是否包括所述风险信息。
4.根据权利要求1所述的方法,其中,所述确定所述多个待发送数据包是否包括风险信息包括:
处理所述多个待发送数据包,得到原始应用数据;以及
确定所述原始应用数据是否包括所述风险信息。
5.根据权利要求1所述的方法,其中,所述计算设备包括网卡和多个子处理器;
其中,所述方法还包括在获取第一设备要发送给第二设备的多个初始数据包之后:
将所述多个初始数据包添加至所述网卡的多个队列中,
其中,所述多个队列中的每个队列对应一个所述子处理器,所述每个队列中的初始数据包通过与其对应的子处理器进行处理。
6.一种风险控制装置,包括:
第一获取模块,获取第一设备要发送给第二设备的多个初始数据包;
处理模块,响应于所述多个初始数据包具有有序编号信息,基于预设规则处理所述多个初始数据包得到目标数据包;
添加模块,将所述目标数据包添加至有序队列中;
第二获取模块,从所述有序队列中获取多个待发送数据包;
确定模块,确定所述多个待发送数据包是否包括风险信息;以及
禁止模块,响应于确定所述多个待发送数据包包括风险信息,禁止计算设备将所述多个待发送数据包发送给所述第二设备;
其中,所述获取第一设备要发送给第二设备的多个初始数据包之后,还包括:
响应于所述多个初始数据包为无序编号,将所述多个初始数据包添加到无序队列中,所述无序队列包括序号不连续但是从小到大排列的数据包;
所述基于预设规则处理所述多个初始数据包得到目标数据包还包括:
确定所述多个初始数据包是否按序到达;
响应于确定所述多个初始数据包未按序到达,确定所述多个初始数据包中缺失的数据包的序号;
从无序队列中获取与缺失的数据包的序号对应的补充数据包;以及
确定所述多个初始数据包和所述补充数据包为所述目标数据包。
7.一种计算设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~5中任一项所述的方法。
8.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911425702.3A CN111163103B (zh) | 2019-12-31 | 2019-12-31 | 由计算设备执行的风险控制方法、装置、计算设备、介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911425702.3A CN111163103B (zh) | 2019-12-31 | 2019-12-31 | 由计算设备执行的风险控制方法、装置、计算设备、介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111163103A CN111163103A (zh) | 2020-05-15 |
CN111163103B true CN111163103B (zh) | 2022-07-29 |
Family
ID=70560785
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911425702.3A Active CN111163103B (zh) | 2019-12-31 | 2019-12-31 | 由计算设备执行的风险控制方法、装置、计算设备、介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111163103B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111669371B (zh) * | 2020-05-18 | 2022-09-30 | 深圳供电局有限公司 | 一种适用于电力网络的网络攻击还原系统及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101854275A (zh) * | 2010-05-25 | 2010-10-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的方法及装置 |
CN103634306A (zh) * | 2013-11-18 | 2014-03-12 | 北京奇虎科技有限公司 | 网络数据的安全检测方法和安全检测服务器 |
CN104079578A (zh) * | 2014-07-08 | 2014-10-01 | 北京锐安科技有限公司 | 取证数据隐蔽传输的方法及系统 |
CN106685984A (zh) * | 2017-01-16 | 2017-05-17 | 东北大学 | 一种基于数据包捕获技术的网络威胁分析系统及方法 |
CN109560990A (zh) * | 2018-12-17 | 2019-04-02 | 同盾控股有限公司 | 一种互联网应用测试方法及装置 |
-
2019
- 2019-12-31 CN CN201911425702.3A patent/CN111163103B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101854275A (zh) * | 2010-05-25 | 2010-10-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的方法及装置 |
CN103634306A (zh) * | 2013-11-18 | 2014-03-12 | 北京奇虎科技有限公司 | 网络数据的安全检测方法和安全检测服务器 |
CN104079578A (zh) * | 2014-07-08 | 2014-10-01 | 北京锐安科技有限公司 | 取证数据隐蔽传输的方法及系统 |
CN106685984A (zh) * | 2017-01-16 | 2017-05-17 | 东北大学 | 一种基于数据包捕获技术的网络威胁分析系统及方法 |
CN109560990A (zh) * | 2018-12-17 | 2019-04-02 | 同盾控股有限公司 | 一种互联网应用测试方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111163103A (zh) | 2020-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10652210B2 (en) | System and method for redirected firewall discovery in a network environment | |
US11743297B2 (en) | Systems and methods for providing network security using a secure digital device | |
US9456002B2 (en) | Selective modification of encrypted application layer data in a transparent security gateway | |
US7313618B2 (en) | Network architecture using firewalls | |
KR101568713B1 (ko) | 호스트 및 게이트웨이를 인터로킹하기 위한 시스템 및 방법 | |
CN112333143B (zh) | 经代理安全会话的粒度卸载 | |
US8495739B2 (en) | System and method for ensuring scanning of files without caching the files to network device | |
US8595818B2 (en) | Systems and methods for decoy routing and covert channel bonding | |
US9794277B2 (en) | Monitoring traffic in a computer network | |
US20040128539A1 (en) | Method and apparatus for denial of service attack preemption | |
US10079838B2 (en) | Decryption of data between a client and a server | |
Mani et al. | An extensive evaluation of the internet's open proxies | |
CN111885209B (zh) | 一种基于单向光闸的消息队列同步方法、装置及系统 | |
CN111163103B (zh) | 由计算设备执行的风险控制方法、装置、计算设备、介质 | |
JP5181134B2 (ja) | パケット通信装置、パケット通信方法及びパケット通信プログラム | |
US10277562B1 (en) | Controlling encrypted traffic flows using out-of-path analysis devices | |
US10757078B2 (en) | Systems and methods for providing multi-level network security | |
RU2648949C1 (ru) | Способ защиты вычислительной сети от несанкционированного сканирования и блокирования сетевых служб | |
CN113726757B (zh) | Https协议客户端的验证方法及装置 | |
US11539755B1 (en) | Decryption of encrypted network traffic using an inline network traffic monitor | |
US12003423B1 (en) | System and method for scheduling transmission of network packets | |
CN116319935A (zh) | 交换机上的非对称应用标识检测 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |