CN112055020A - 报文筛选方法、装置及数据传输系统 - Google Patents
报文筛选方法、装置及数据传输系统 Download PDFInfo
- Publication number
- CN112055020A CN112055020A CN202010923762.4A CN202010923762A CN112055020A CN 112055020 A CN112055020 A CN 112055020A CN 202010923762 A CN202010923762 A CN 202010923762A CN 112055020 A CN112055020 A CN 112055020A
- Authority
- CN
- China
- Prior art keywords
- http message
- message
- http
- target
- target feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012216 screening Methods 0.000 title claims abstract description 62
- 230000005540 biological transmission Effects 0.000 title claims abstract description 58
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012546 transfer Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 10
- 230000004044 response Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 229910052799 carbon Inorganic materials 0.000 description 2
- 230000009133 cooperative interaction Effects 0.000 description 2
- 238000009792 diffusion process Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种报文筛选方法、装置及数据传输系统,本发明提供的报文筛选方法可以接收超文本传输协议HTTP报文。当确定HTTP报文具有目标特征集合中至少一个目标特征时,解析HTTP报文,得到解析后的HTTP报文,目标特征用于指示HTTP报文携带有非操作数据。对解析后的HTTP报文进行敏感词扫描。提高了敏感词扫描的效率。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种报文筛选方法、装置及数据传输系统。
背景技术
随着信息技术的发展,网络已成为日常办公、通讯交流和协作互动时所必备的途径。但是,伴随着网络发展带来的数据传输便捷性的同时,数据泄露和违规类数据扩散等问题也日益严重。因此,通过对网络中传输的超文本传输协议(Hypertext transferprotocol,HTTP)报文进行具有涉密或者涉嫌违规等指向性的敏感词扫描,将包含该敏感词的HTTP报文确定为涉密或者涉嫌违规等的问题数据,以便于及时有效地对问题数据进行阻断传输或者传输痕迹留存是解决上述问题的一种重要手段。
为了保证不遗漏任何包含敏感词的HTTP报文,目前通常对网络中传输的所有HTTP报文均进行敏感词扫描。这就使得较多不包括用户所需传输数据的HTTP报文(例如,仅携带有操作数据的报文)也需要进行敏感词扫描,导致敏感词扫描效率较低。
发明内容
有鉴于此,本发明旨在提出一种报文筛选方法、装置及数据传输系统,以解决敏感词扫描效率较低的问题。
为达到上述目的,本发明的技术方案是这样实现的:
一种报文筛选方法,所述方法包括:
接收超文本传输协议HTTP报文。当确定所述HTTP报文具有目标特征集合中至少一个目标特征时,解析所述HTTP报文,得到解析后的HTTP报文,所述目标特征用于指示HTTP报文携带有非操作数据。对所述解析后的HTTP报文进行敏感词扫描。
可选的,所述目标特征集合包括:第一特征,在HTTP报文具有所述第一目标特征时,所述HTTP报文包括目标字段集合中至少一个目标字段。
可选的,所述目标字段集合包括邮箱指示字段和文件指示字段,所述邮箱指示字段用于指示HTTP报文携带有通过网页邮箱传输的非操作数据,所述文件指示字段用于指示HTTP报文携带有通过上传文件方式传输的非操作数据。
可选的,在所述当确定所述HTTP报文具有目标字段集合中至少一个目标特征时,解析所述HTTP报文之前,所述方法还包括:
当确定所述HTTP报文不包括所述文件指示字段时,判断所述HTTP报文是否包括所述邮箱指示字段。当确定所述HTTP报文包括所述邮箱指示字段时,确定所述HTTP报文具有目标字段集合中至少一个目标特征。
可选的,所述目标特征集合还包括:第二目标特征,在HTTP报文具有所述第二目标特征时,所述HTTP报文不包括目标字段集合中每个目标字段,且所述HTTP报文的消息实体的传输长度大于长度阈值。
可选的,所述目标特征集合还包括:第三目标特征,在HTTP报文具有所述第三目标特征时,所述HTTP报文不包括目标字段集合中每个目标字段,所述HTTP报文的消息实体的传输长度大于长度阈值,且所述HTTP报文包括中文字符,或者,在HTTP报文具有所述第三目标特征时,所述HTTP报文不包括目标字段集合中每个目标字段,所述HTTP报文的消息实体的传输长度大于长度阈值,且所述HTTP报文包括特定字符。
可选的,确定所述HTTP报文具有目标特征集合中的至少一个目标特征为所述第一目标特征,在解析所述HTTP报文,得到解析后的HTTP报文之后,所述方法还包括:
确定所述解析后的HTTP报文的数据格式,采用所述数据格式对应的解析方式获取所述解析后的HTTP报文的邮件属性信息。
所述对所述解析后的HTTP报文进行敏感词扫描,包括:对所述解析后的HTTP报文的邮件属性信息进行敏感词扫描。
可选的,所述邮箱指示字段包括邮件字段,所述文件指示字段包括边界字段。
相对于现有技术,本发明所述的报文筛选方法具有以下优势:
本发明实施例提供的报文筛选方法,可以通过判断接收的HTTP报文是否具有指示HTTP报文携带有非操作数据的目标特征,以对接收的所有HTTP报文进行筛选。从而使得对具有目标特征的HTTP报文进行解析,并对解析后的HTTP报文进行敏感词扫描,相对于相关技术中,对网络中传输的所有HTTP报文均进行敏感词扫描,缩小了待扫描的HTTP报文的范围,提高了所需进行敏感词扫描的HTTP报文的精确度,避免了对较多不包括用户所需传输数据的HTTP报文的敏感词扫描,提高了敏感词扫描的效率。并且,由于缩小了待扫描的HTTP报文的范围,因此使得用户在访问网站时,减少了进行敏感词扫描的HTTP报文的数量,加快了网站访问速度,降低了资源消耗。
本发明的另一目的在于提出一种报文筛选装置,本发明的技术方案是这样实现的:
一种报文筛选装置,所述装置包括:
接收模块,用于接收超文本传输协议HTTP报文。
解析模块,用于当确定所述HTTP报文具有目标特征集合中至少一个目标特征时,解析所述HTTP报文,得到解析后的HTTP报文,所述目标特征用于指示HTTP报文携带有非操作数据。
扫描模块,用于对所述解析后的HTTP报文进行敏感词扫描。
所述报文筛选装置与上述报文筛选方法相对于现有技术所具有的优势相同,在此不再赘述。
本发明的另一目的在于提出另一种报文筛选装置,本发明的技术方案是这样实现的:一种报文筛选装置,所述装置包括:
处理器和与所述处理器连接的存储器,所述存储器中存储有指令,所述处理器用于在执行所述指令实现本发明提供的报文筛选方法。
所述报文筛选装置与上述报文筛选方法相对于现有技术所具有的优势相同,在此不再赘述。
本发明的另一目的在于提出另一种数据传输系统,本发明的技术方案是这样实现的:
一种数据传输系统,所述系统包括:依次连接的客户端、代理服务器、网络数据泄密防护设备和网页管理服务器,以及与所述代理服务器连接的服务器端,所述网络数据泄密防护设备用于本发明提供的报文筛选方法,或者所述网络数据泄密防护设备搭载本发明提供的报文筛选装置。
所述数据传输系统与上述报文筛选方法相对于现有技术所具有的优势相同,在此不再赘述。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是相关技术中的一种数据传输系统的结构示意图;
图2是本发明实施例提供的HTTP的请求报文的数据帧格式示意图;
图3是本发明实施例提供的一种数据传输系统的结构示意图;
图4是本发明实施例提供的一种报文筛选方法的流程示意图;
图5是本发明实施例提供的另一种报文筛选方法的流程示意图;
图6是本发明实施例提供的HTTP报文A的示意图;
图7是本发明实施例提供的又一种报文筛选方法的流程示意图;
图8是本发明实施例提供的一种报文筛选装置的结构示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
随着信息技术的发展,网络已成为日常办公、通讯交流和协作互动时所必备的途径。但是,伴随着网络发展带来的数据传输便捷性的同时,数据泄露和违规类数据扩散等问题也日益严重。因此,通过对网络中传输的超文本传输协议(Hypertext transferprotocol,HTTP)报文的数据帧基于HTTP协议进行解析,并对解析后的HTTP报文进行具有涉密或者涉嫌违规等指向性的敏感词扫描,将包含该敏感词的HTTP报文确定为涉密或者涉嫌违规等的问题数据,以便于及时有效地对问题数据进行阻断传输或者传输痕迹留存是解决上述问题的一种重要手段。基于此如何能够高效地从传输的HTTP报文中扫描到敏感词就显得尤为重要。
请参考图1,其示出了相关技术中的一种数据传输系统的结构示意图。该数据传输系统包括:客户端101、网络(Web)阻断器102、网络控制台103以及服务端104。客户端101、网络阻断器102和网络控制台103依次通过有线网络或者无线网络连接,网络阻断器102还通过因特网(Internet)与服务端104连接。其中,客户端101可以为电子设备,该电子设备可以为个人电脑(Personal Computer,PC)、手机、平板电脑或者可穿戴设备等等。服务端104可以为一个服务区,或者由多个服务器构成的服务器集群等。
客户端101可以用于通过网关与网络阻断器102通信,以便通过网络阻断器将HTTP报文发送至服务端104,该网关的互联网协议(Internet Protocol Address,IP)地址为网络阻断器102的带外IP地址。可选的,用户可以通过客户端101安装的网页浏览器加载的网站与服务端进行通信。示例的,用户可以通过客户端安装的网页浏览器加载的网页邮箱向服务端发送携带有邮件的HTTP报文。
网络控制台103用于向网络阻断器102下发扫描策略,该扫描策略包括:敏感词扫描规则以及包括多个敏感词的敏感词库。该敏感词库中多个敏感词可以是具有涉密或者涉嫌违规等指向性的敏感词,也可以是针对某一网站特定的敏感词等。敏感词规则可以是针对数据中各词与敏感词库中各敏感词的匹配规则。例如,该敏感词规则可以是基于正则表达式的匹配规则,或者也可以是基于多模式匹配算法的匹配规则等等。
网络阻断器102用于接收客户端发送所有HTTP报文,并对该所有HTTP报文分别进行解析得到解析后的HTTP报文。基于接收的扫描策略对解析后的HTTP报文进行敏感词扫描。并基于敏感词扫描结果确定是否对HTTP报文拦截,并上报至网络控制台。例如,当确定任一HTTP报文包含敏感词时,确定对该HTTP报文拦截,生成拦截事件并上报至网络控制台。该拦截事件中可以包括拦截的HTTP报文,拦截时间,扫描到的敏感词等等信息。当确定任一HTTP报文不包含敏感词时,确定对该HTTP报文放行,也即是将该HTTP报文发送至其对应的服务端。示例的,网络阻断器102基于接收的扫描策略对HTTP报文进行解析和敏感词扫描。之后基于敏感词扫描结果确定对HTTP报文拦截或者放行。
服务端104用于接收HTTP报文。
其中,网络阻断器将接收的所有HTTP报文进行敏感词扫描,虽然可以保证不遗漏任何包含敏感词的HTTP报文。但是,由于客户端发送的很多HTTP报文并不包括用户所需传输的数据,例如仅携带有操作数据的报文。而敏感词扫描主要用于判断用户所需传输的数据中是否包括敏感词,以确定用户是否涉及泄密或者涉及违规类数据传播。因此,敏感词扫描效率较低。例如,用户通过客户端安装的网页浏览器加载的网页邮箱向服务端发送邮件时,用户在触发写信指令时会产生许多,诸如携带有指示刷新跳转至写信页面等操作数据的报文。而真正所需进行敏感词扫描的报文为携带有用户发送邮件数据的报文。因此,若对所有HTTP报文均进行解析并敏感词扫描,则会产生无用报文的扫描,降低了敏感词扫描效率。
并且,由于对所有HTTP文件进行敏感词扫描所需的时间较长,因此也较大影响了网页的访问速度。
为了方便读者理解,本发明实施例在此对本发明涉及的多个词汇进行如下解释。
HTTP报文:HTTP为一个简单的请求-响应协议,其规定了万维网(world wide web,WWW)服务器与网页浏览器之间信息传递规范。其基于传输控制协议/网际协议(Transmission Control Protocol/Internet Protocol,TCP/IP)来传递数据。HTTP报文指的是基于HTTP协议交互的信息,其可以分别请求报文和响应报文。请求报文指的是请求端发送的基于HTTP协议的消息,响应报文指的是响应端发送的基于HTTP协议的消息。例如,客户端向服务端发送请求时,客户端发送的HTTP报文为请求报文,服务端响应于客户端请求时,服务端发送的HTTP报文为响应报文。本发明实施例所指的HTTP报文均指的是请求报文。
HTTP的请求报文的数据帧格式如图2所示。该请求报文包括:请求行(requestline)、请求头部(header)、空行和请求数据(request data)。请求行包括请求方法、空格、统一资源定位器(Uniform Resource Locators,URL)、空格、HTTP协议版本、空格、回车符和换行符。请求头部包括至少一组头部字段名称与该头部字段名称对应的数据值,每组可以包括头部字段名称、空格、数据值、回车符和换行符。空行包括回车符和换行符,用于分隔请求头部和请求数据。请求数据携带用户所需传输的数据。
BBS:英文全称为Bulletin Board System,中文为电子公告板,又叫做网络论坛。
Webmail:网页邮箱是一种基于万维网的电子邮件服务,其通过因特网上一种使用网页浏览器来阅读或发送电子邮件的服务系统。Webmail与使用微软(Microsoft)Outlook、雷鸟(Mozilla Thunderbird)等电子邮件客户端软件相对。
请参考图3,其示出了本发明实施例提供的一种数据传输系统的结构示意图。如图3所示,该数据传输系统包括:客户端301、代理服务器302、网络数据泄密防护(Dataleakage prevention,DLP)设备303、网页管理服务器304和服务端305。客户端301、代理服务器302、网络DLP设备303和网页管理服务器304依次通过有线网络或者无线网络连接。服务端305通过因特网与服务端305连接。其中,客户端301可以为电子设备,该电子设备可以为个人电脑(Personal Computer,PC)、手机、平板电脑或者可穿戴设备等等。服务端305可以为一个服务区,或者由多个服务器构成的服务器集群等。代理服务器302可以为HTTP透明代理服务器。可选的,代理服务器302的功能和网络DLP设备303的功能可以集成设置。例如,代理服务器302和网络DLP设备303可以集成为上述图1所示的网络阻断器。
客户端301可以用于通过代理服务器302和网络DLP设备303与服务端305通信。可选的,用户可以通过客户端安装的网页浏览器加载的网站与服务端进行通信。示例的,用户可以通过客户端安装的网页浏览器加载的网页邮箱向服务端发送携带有邮件的HTTP报文。
代理服务器302用于将从客户端301接收到的数据转发至网络DLP设备303。
网页管理服务器304用于向网络DLP设备303下发策略。该策略可以包括:敏感词扫描规则以及包括多个敏感词的敏感词库。该敏感词库中多个敏感词可以是具有涉密或者涉嫌违规等指向性的敏感词,也可以是针对某一网站特定的敏感词等。敏感词规则可以是针对数据中各词与敏感词库中各敏感词的匹配规则。例如,该敏感词规则可以是基于正则表达式匹配算法的匹配规则,或者也可以是基于多模式匹配算法的匹配规则等等,其中,正则表达式匹配算法指的是开发人员预先设置的用于对待扫描的数据(字符串)中的中英文和数字进行匹配的算法。多模式匹配算法指的是在待扫描的数据中查找的字典(一种敏感词库)中的字符串的算法。
网页管理服务器304还可以接收并存储网络DLP设备303上报的包含敏感词的报文,从而基于该包含敏感词的报文生成提示信息下发至网络DLP设备,使得网络DLP设备通过代理服务器将该提示信息发送至客户端,以提醒用户。
网络DLP设备303可以用于接收客户端通过代理服务器发送的所有HTTP报文,并根据本发明实施例提供的报文筛选方法对该所有HTTP报文进行解析并基于网络管理服务器下发的策略对解析后的HTTP报文进行敏感词扫描。基于敏感词扫描结果确定是否对HTTP报文拦截,并上报至网络管理服务器,或者对HTTP报文放行。
请参考图4,其示出了本发明实施例提供的一种报文筛选方法的流程图,其可以解决上述技术问题。该报文筛选方法可以应用于图3所示的数据传输系统,具体可以由图3所示的网络DLP设备执行。如图4所示,该报文筛选方法包括:
步骤401、接收HTTP报文。
网络DLP设备可以接收客户端通过代理服务器发送的HTTP报文,该HTTP报文为请求报文。可选的,网络DLP设备监听与代理服务器通信的端口,以实时接收其传输的HTTP报文。
步骤402、当确定HTTP报文具有目标特征集合中至少一个目标特征时,解析HTTP报文,得到解析后的HTTP报文。
目标特征集合包括一个或多个目标特征,每个目标特征用于指示HTTP报文携带有非操作数据。也即是,当HTTP报文具有目标特征集合中任一目标特征时,确定该HTTP报文携带有非操作数据,该非操作数据为用户所需传输的数据。
网络DLP设备可以判断接收的HTTP报文是否具有目标特征集合中任一目标特征。当确定接收的HTTP报文具有目标特征集合中至少一个目标特征时,表明该HTTP报文携带有用户所需传输的数据,该传输的数据有可能涉及密或者涉嫌违规等,该HTTP报文需要进行敏感词扫描。则网络DLP设备解析该HTTP报文,得到解析后的HTTP报文。当确定接收的HTTP报文不具有目标特征集合中每个目标特征时,表明该HTTP报文不携带有用户所需传输的数据,该HTTP报文无需进行敏感词扫描。则网络DLP设备可以不解析HTTP报文,直接对该HTTP报文放行,将其发送至服务端。
本发明实施例中,将客户端用户访问的网站分为三类网站。该三类网站分别为网页邮箱类、文件上传类以及BBS类。网页邮箱类指的是用户通过浏览器加载的各类网页邮箱。文件上传类指的是用户通过浏览器加载的各个可通过上传文件的方式传输数据的网站。BBS类指的是用户通过浏览器加载的各个论坛。例如,百度贴吧和电子发烧友论坛等等。可选的,目标特征集合可以包括与该三类网站分别对应的目标特征,该目标特征可以用于指示用户通过触发该目标特征对应的网站,使得客户端发送的HTTP报文携带有通过该对应的网站传输的非操作数据。
可选的,目标特征集合包括的目标特征可以是用户通过网站传输数据时触发的HTTP报文中具有独有字段的特征。目标特征集合可以包括:第一目标特征。在HTTP报文具有该第一目标特征时,该HTTP报文可以包括目标字段集合中至少一个目标字段,该目标字段可以用于指示HTTP报文携带非操作数据。相应的,网络DLP设备可以通过判断HTTP报文是否包括目标字段集合中任一目标字段,以在确定HTTP报文包括目标字段集合中任一目标字段时,确定该HTTP报文具有第一目标特征。
其中,目标字段集合可以包括的目标字段为邮箱指示字段和文件指示字段。也即是目标字段集合包括邮箱指示字段和文件指示字段。邮箱指示字段用于指示HTTP报文携带有通过网页邮箱传输的非操作数据。文件指示字段用于指示HTTP报文携带有通过上传文件方式传输的非操作数据。
示例的,邮箱指示字段可以为邮件字段(mail字段),文件指示字段可以为边界字段(boundary字段)。邮件字段为用户通过网页邮箱传输数据时触发的HTTP报文中具有独有字段,边界字段为用户通过上传文件方式传输数据时触发的HTTP报文中具有独有字段的特征。该mail字段和boundary字段通常存在于HTTP报文的URL中。网络DLP设备可以通过判断HTTP报文的URL中是否包括mail字段和boundary字段,以在确定HTTP报文的URL中包括mail字段或者boundary字段时,确定HTTP报文具有第一目标特征。其中,网络DLP设备在判断HTTP报文的URL中是否包括mail字段和boundary字段时,mail字段和boundary字段中任一字母均可以大写字母或者小写字母。
进一步可选的,目标特征集合还可以包括:第二目标特征。在HTTP报文具有第二特征时,该HTTP报文不包括目标字段集合中每个目标字段,且该HTTP报文的消息实体的运输长度大于长度阈值。相应的,网络DLP设备可以通过判断HTTP报文是否包括目标字段集合中任一目标字段,以及判断HTTP报文的消息实体的运输长度是否大于长度阈值,以在确定HTTP报文不包括目标字段集合中每个目标字段,且该HTTP报文的消息实体的运输长度大于长度阈值时,确定HTTP报文具有第二目标特征。
其中,HTTP报文的消息实体的运输长度可以通过获取HTTP报文中content-length属性确定,该属性值即为HTTP报文的消息实体的运输长度。长度阈值可以是人为根据经验配置的。例如,长度阈值可以是100字节。当HTTP报文的消息实体的运输长度大于100时,可以认为该HTTP报文携带有非操作数据。
进一步可选的,目标特征集合还可以包括:第三目标特征,在HTTP报文具有第三目标特征时,HTTP报文不包括目标字段集合中每个目标字段,HTTP报文的消息实体的传输长度大于长度阈值,且HTTP报文包括中文字符,或者,在HTTP报文具有第三目标特征时,HTTP报文不包括目标字段集合中每个目标字段,HTTP报文的消息实体的传输长度大于长度阈值,且HTTP报文包括特定字符。其中,该特定字符用于表征HTTP报文是否为加密信息。当HTTP报文包括特定字符时,表明该HTTP报文为非加密信息,则该HTTP包括可以解析且解析有效。当HTTP报文不包括特定字符时,表明该HTTP报文为加密信息,则该HTTP包括无法解析。示例的,特定字符可以包括{、<、&或%中的一个或多个。
可选的,网络DLP设备可以在解析HTTP报文后落地解析后的HTTP报文。也即是网络DLP设备可以将解析后的HTTP报文写入扫描文件中,方便后续网络DLP设备对该文件内的所有解析后的HTTP报文进行敏感词扫描。示例的,网络DLP设备可以将解析后的HTTP报文的请求数据(又称请求体,body)写入扫描文件中。
步骤403、对解析后的HTTP报文进行敏感词扫描。
可选的,网络DLP设备对解析后的HTTP报文进行敏感词扫描的过程可以包括:可以首先提取解析后的HTTP报文的请求数据中的每个字符,然后确定提取到的每个字符中的第一个字符为目标字符,判断敏感词库的多个敏感词中第一个字符是否包括目标字符。若敏感词库中不包括目标字符,则确定提取到的每个字符中的第二个字符为目标字符,判断敏感词库中多个敏感词中第一个字符是否包括目标字符;若敏感词库中包括目标字符,则确定提取到的每个字符中的第二个字符为目标字符,判断该敏感词库中以该目标字符为第一个字符的多个敏感词中的第二个字符,是否包括该目标字符。依次判断提取到的每个字符,直至确定敏感词库中某一敏感词包括的所有字符均命中,或者直至对提取到的每个字符均执行完判断操作,且未命中敏感词库中每个敏感词包括的所有字符。若确定敏感词库中某一敏感词包括的所有字符均命中,则确定该HTTP报文包括敏感词。此时网络DLP设备可以阻断该HTTP报文发送,并将该HTTP报文上报至网络管理服务器。若提取到的每个字符均执行完判断操作,且未命中敏感词库中每个敏感词包括的所有字符,则确定该该HTTP报文不包括敏感词。此时网络DLP设备可以放行该HTTP报文,将该HTTP报文发送至服务端。
需要说明的是,本发明实施例中网络DLP设备实现对解析后的HTTP报文进行敏感词扫描的方式还可以为其他方式,本发明实施例对此不做限定。此外,网络DLP设备在对解析后的HTTP报文进行敏感词扫描后,若确定该HTTP报文包含敏感词,则可以通过代理服务器向客户端发送提示信息以提示用户。示例的,该提示信息可以通过文字呈现,或者可以通过图像或者音频呈现。
综上所述,本发明实施例提供的报文筛选方法,可以通过判断接收的HTTP报文是否具有指示HTTP报文携带有非操作数据的目标特征,以对接收的所有HTTP报文进行筛选。从而使得对具有目标特征的HTTP报文进行解析,并对解析后的HTTP报文进行敏感词扫描,相对于相关技术中,对网络中传输的所有HTTP报文均进行敏感词扫描,缩小了待扫描的HTTP报文的范围,提高了所需进行敏感词扫描的HTTP报文的精确度,避免了对较多不包括用户所需传输数据的HTTP报文的敏感词扫描,提高了敏感词扫描的效率。并且,由于缩小了待扫描的HTTP报文的范围,因此使得用户在访问网站时,减少了进行敏感词扫描的HTTP报文的数量,加快了网站访问速度,降低了资源消耗。
请参考图5,其示出了本发明实施例提供的一种报文筛选方法的流程图,其可以解决上述技术问题。该报文筛选方法可以应用于图3所示的数据传输系统,具体可以由图3所示的网络数据泄密防护设备执行。本发明实施例以目标特征集合包括上述第一目标特征和第二目标特征,且目标字段集合包括文件指示字段和邮箱指示字段为例进行说明。如图5所示,该报文筛选方法包括:
步骤501、接收HTTP报文。
本实施例中,步骤501的解释可以参考上述步骤401,本发明实施例对此不做赘述。
步骤502、判断HTTP报文是否包括文件指示字段,若HTTP报文包括文件指示字段则执行步骤503;若HTTP报文不包括文件指示字段则执行步骤504。
可选的,网络DLP设备可以遍历HTTP报文中URL,确定URL中是否包括文件指示字段。在确定URL中包括文件指示字段时,表明HTTP报文中携带有非操作数据,确定HTTP报文包括文件指示字段。在确定URL中不包括文件指示字段时,确定HTTP报文不包括文件指示字段。
步骤503、确定HTTP报文具有目标字段集合中至少一个目标特征,解析HTTP报文,得到解析后的HTTP报文。执行步骤513。
目标特征包括第一目标特征和第二特征。在HTTP报文具有该第一目标特征时,该HTTP报文可以包括目标字段集合中至少一个目标字段,该目标字段可以用于指示HTTP报文携带非操作数据,目标字段集合可以包括文件指示字段和邮箱指示字段。在HTTP报文具有第二特征时,该HTTP报文不包括目标字段集合中每个目标字段,且该HTTP报文的消息实体的运输长度大于长度阈值。
网络DLP设备在确定HTTP报文包括文件指示字段时,确定HTTP报文具有第一目标特征,也即是HTTP报文具有目标字段集合中至少一个目标特征。网络DLP设备可以基于HTTP协议解析HTTP报文,得到解析后的HTTP报文,便于后续对解析后的HTTP报文进行敏感词扫描。
步骤504、判断HTTP报文是否包括邮箱指示字段,若HTTP报文包括邮箱指示字段则执行步骤505至步骤507;若HTTP报文不包括邮箱指示字段则执行步骤508。
可选的,网络DLP设备可以遍历HTTP报文中URL,确定URL中是否包括邮箱指示字段。在确定URL中包括邮箱指示字段时,表明HTTP报文中携带有非操作数据,确定HTTP报文包括邮箱指示字段。在确定URL中不包括邮箱指示字段时,确定HTTP报文不包括邮箱指示字段。
步骤505、确定HTTP报文具有目标字段集合中至少一个目标特征,解析HTTP报文,得到解析后的HTTP报文。
网络DLP设备在确定HTTP报文包括邮箱指示字段时,确定HTTP报文具有第一目标特征,也即是HTTP报文具有目标字段集合中至少一个目标特征。网络DLP设备可以基于HTTP协议解析HTTP报文,得到解析后的HTTP报文,便于后续对解析后的HTTP报文进行敏感词扫描。
本发明实施例中,由于通过文件上传方式传输的数据的范围相对于通过网页邮箱传输的数据范围较广,因此先判断HTTP报文是否包括文件指示字段,再判断HTTP报文是否包括邮箱指示字段,这一对HTTP报文进行筛选的过程,相对于先判断HTTP报文是否包括邮箱指示字段,再判断HTTP报文是否包括文件指示字段,这一对HTTP报文进行筛选的过程,可以较快的确定HTTP报文是否为携带有非操作数据的报文,提高了报文筛选的效率,进一步提高了敏感词扫描的效率。
步骤506、确定解析后的HTTP报文的数据格式。
网络DLP设备可以获取HTTP报文的属性中用于定义内容类型的字段,以根据该字段的赋值,确定解析后的HTTP报文的数据格式。示例的,网络DLP设备可以获取HTTP报文中content-type字段,该字段用于指示报文内容类型,其通常用于定义传输数据的类型和网页的编码,决定浏览器将以什么形式、什么编码读取这个文件。
其中,解析后的HTTP报文的数据格式通常包括json数据格式、xml数据格式以及x-www-form-urlencoded数据格式。当然,解析后的HTTP报文的数据格式也可以包括其他数据格式,本发明实施例对此不做限定。
步骤507、采用该数据格式对应的解析方式获取解析后的HTTP报文的邮件属性信息。执行步骤513。
HTTP报文的数据格式不同时,该HTTP报文的解析方式也可能不同。网络DLP设备可以采用确定的数据格式对应的解析方式获取解析后的HTTP报文的邮件属性信息。该邮件属性信息可以包括邮件的发送人信息、接收人信息、抄送人信息、暗送人信息、邮件的主题信息以及邮件的正文信息等。示例的,网络DLP设备可以通过提取sbj/subject字段,以提取邮件的主题信息;通过提取content字段以提取邮件的正文信息。
步骤508、判断HTTP报文的消息实体的传输长度是否大于长度阈值,若HTTP报文的消息实体的传输长度大于长度阈值则执行步骤509和步骤510;若HTTP报文的消息实体的传输长度小于或者等于长度阈值则执行步骤512。
在确定HTTP报文不包括目标字段集合中每个目标字段后,网络DLP设备可以比较HTTP报文的消息实体的传输长度与长度阈值的大小关系,从而确定该HTTP报文的消息实体的传输长度是否大于长度阈值。当确定HTTP报文不包括目标字段集合中每个目标字段,且HTTP报文的消息实体的传输长度大于长度阈值时,表明该HTTP报文携带有非操作数据。当确定HTTP报文不包括目标字段集合中每个目标字段,且HTTP报文的消息实体的传输长度小于或等于长度阈值时,表明该HTTP报文不携带有非操作数据。可选的,网络DLP设备可以获取报文的content-length属性值,得到HTTP报文的消息实体的传输长度,该HTTP报文的消息实体的传输长度可以认为是HTTP报文中请求数据(又称请求体,body)的长度。长度阈值可以是人为根据经验配置的。例如,长度阈值可以是100字节。
步骤509、判断HTTP报文是否包括中文字符,若HTTP报文包括中文字符则执行步骤511;若HTTP报文不包括中文字符则执行步骤512。
网络DLP设备可以遍历HTTP报文中每个字符,从而确认该HTTP报文是否包括中文字符。当HTTP报文包括中文字符时,表明该HTTP报文携带有非操作数据。当HTTP报文不包括中文字符时,表明该HTTP报文不携带有非操作数据。
步骤510、判断HTTP报文是否包括特定字符,若HTTP报文包括特定字符则执行步骤511;若HTTP报文不包括特定字符则执行步骤512。
网络DLP设备可以遍历HTTP报文中每个字符,从而确认该HTTP报文是否包括特定字符,该特定字符用于表征HTTP报文是否为加密信息。当HTTP报文包括特定字符时,表明该HTTP报文为非加密信息,则该HTTP包括可以解析且解析有效。当HTTP报文不包括特定字符时,表明该HTTP报文为加密信息,则该HTTP包括无法解析。示例的,特定字符可以包括{、<、&或%中的一个或多个。
例如,如图6所示,其示出了抓包得到的HTTP报文A的示意图。该HTTP报文A,由图可知,该该HTTP报文A并非包括上述特定字符({、<、&或者%)。
步骤511、确定HTTP报文具有目标字段集合中至少一个目标特征,解析HTTP报文,得到解析后的HTTP报文。执行步骤513。
网络DLP设备在确定HTTP报文不包括目标字段集合中每个目标字段,且HTTP报文的消息实体的传输长度大于长度阈值时,确定HTTP报文具有第二目标特征,也即是HTTP报文具有目标字段集合中至少一个目标特征。网络DLP设备可以基于HTTP协议解析HTTP报文,得到解析后的HTTP报文,便于后续对解析后的HTTP报文进行敏感词扫描。
步骤512、放行HTTP报文。
当确定HTTP报文不包括目标字段集合中每个目标字段,且HTTP报文的消息实体的传输长度小于或等于长度阈值时,表明该HTTP报文不携带有非操作数据,可以认为该HTTP报文无需敏感词扫描。则网络DLP设备可以放行该HTTP报文,将该HTTP报文发送至服务端。
步骤513、对解析后的HTTP报文进行敏感词扫描。
本实施例中,步骤513的解释可以参考上述步骤403,本发明对此不做赘述。需要说明的是,网络DLP设备执行步骤507结束后,网络DLP设备可以对解析后的HTTP报文中邮件属性信息进行敏感词扫描。从而不仅可以确定解析后的HTTP报文是否包括敏感词,还可以在该HTTP报文包括敏感词时,确定该敏感词具体属于的邮件属性信息。
需要说明的是,网络DLP设备在对解析后的HTTP报文进行敏感词扫描后,若确定该HTTP报文包含敏感词,则可以通过代理服务器向客户端发送提示信息以提示用户。示例的,该提示信息可以通过文字呈现,或者可以通过图像或者音频呈现。
综上所述,本发明实施例提供的报文筛选方法,可以通过判断接收的HTTP报文是否具有指示HTTP报文携带有非操作数据的目标特征,以对接收的所有HTTP报文进行筛选。从而使得对具有目标特征的HTTP报文进行解析,并对解析后的HTTP报文进行敏感词扫描,相对于相关技术中,对网络中传输的所有HTTP报文均进行敏感词扫描,缩小了待扫描的HTTP报文的范围,提高了所需进行敏感词扫描的HTTP报文的精确度,避免了对较多不包括用户所需传输数据的HTTP报文的敏感词扫描,提高了敏感词扫描的效率。并且,由于缩小了待扫描的HTTP报文的范围,因此使得用户在访问网站时,减少了进行敏感词扫描的HTTP报文的数量,加快了网站访问速度,降低了资源消耗。
请参考图7,其示出了本发明实施例提供的又一种报文筛选方法的流程图。该报文筛选方法可以应用于图3所示的数据传输系统,具体可以由图3所示的网络数据泄密防护设备执行。如图7所示,该方法包括:
步骤601、监听与代理服务器通信的端口,接收HTTP报文。
步骤601的解释可以参考上述步骤401或者步骤501,本发明实施例对此不做赘述。
步骤602、判断HTTP报文的URL中是否包括边界字段。若HTTP报文的URL中包括边界字段则执行步骤603和步骤604;若HTTP报文的URL中不包括边界字段则执行步骤605。
步骤602的解释可以参考上述步骤402或者步骤502,本发明实施例对此不做赘述。其中,图6中“是”表示HTTP报文的URL中包括边界字段;“否”表示HTTP报文的URL中不包括边界字段。
步骤603、进行文件上传类报文解析,得到解析后的文件上传类报文。
在确定HTTP报文的URL中包括边界字段时,该HTTP报文可以称为文件上传类报文。步骤603的解释可以参考上述步骤402或者步骤503,本发明实施例对此不做赘述。
步骤604、将解析后的文件上传类报文写入待扫描文件。
步骤605、判断HTTP报文的URL中是否包括邮件字段。若HTTP报文的URL中包括邮件字段则执行步骤606至步骤611;若HTTP报文的URL中不包括邮件字段则执行步骤612。
步骤605的解释可以参考上述步骤402或者步骤504,本发明实施例对此不做赘述。其中,图6中“是”表示HTTP报文的URL中包括邮件字段;“否”表示HTTP报文的URL中不包括邮件字段。
步骤606、进行网页邮箱类报文解析,得到解析后的网页邮箱类报文。
在确定HTTP报文的URL中包括邮件字段时,该HTTP报文可以称为网页邮箱类报文。步骤606的解释可以参考上述步骤402或者步骤505,本发明实施例对此不做赘述。
步骤607、将解析后的网页邮箱类报文中请求数据写入待扫描文件。
步骤608、判断解析后的网页邮箱类报文的数据格式是否为json数据格式、xml数据格式或者x-www-form-urlencoded数据格式。若网页邮箱类报文的数据格式为json数据格式则执行步骤609;若网页邮箱类报文的数据格式为xml数据格式则执行步骤610;若网页邮箱类报文的数据格式为x-www-form-urlencoded数据格式则执行步骤611。
网络DLP设备获取HTTP报文中content-type字段,确定解析后的网页邮箱类报文的数据格式,判断解析后的网页邮箱类报文的数据格式是否为json数据格式、xml数据格式或者x-www-form-urlencoded数据格式。步骤608的解释可以参考上述步骤506,本发明实施例对此不做赘述。
步骤609、采用json数据格式对应的解析方式获取网页邮箱类报文的属性。
步骤610、采用xml数据格式对应的解析方式获取网页邮箱类报文的属性。
步骤611、采用x-www-form-urlencoded数据格式对应的解析方式获取网页邮箱类报文的属性。
其中,步骤609、步骤610以及步骤611中网页邮箱类报文的属性指的是网页邮箱类报文的邮件属性信息。步骤609、步骤610以及步骤611可以参考上述步骤507,本发明实施例对此不做赘述。
步骤612、判断HTTP报文的消息实体的传输长度是否大于100。若HTTP报文的消息实体的传输长度大于100则执行步骤613和步骤614;若HTTP报文的消息实体的传输长度小于或者等于100则结束报文筛选步骤。
步骤612的解释可以参考上述步骤402或者步骤508,本发明实施例对此不做赘述。其中,图6中“是”表示HTTP报文的消息实体的传输长度大于100;“否”表示HTTP报文的消息实体的传输长度小于或者等于100。
步骤613、判断HTTP报文是否包括中文字符,若HTTP报文包括中文字符则执行步骤615;若HTTP报文不包括中文字符则结束报文筛选步骤。
步骤613的解释可以参考上述步骤402或者步骤509,本发明实施例对此不做赘述。其中,图6中“是”表示HTTP报文包括中文字符;“否”表示HTTP报文不包括中文字符。
步骤614、判断HTTP报文是否包括特定字符,若HTTP报文包括特定字符则执行步骤615;若HTTP报文不包括特定字符则结束报文筛选步骤。
步骤614的解释可以参考上述步骤402或者步骤510,本发明实施例对此不做赘述。其中,图6中“是”表示HTTP报文包括特定字符;“否”表示HTTP报文不包括特定字符。
步骤615、进行网络论坛类报文解析,得到解析后的网络论坛类报文。
在确定HTTP报文的URL中不包括邮件字段和边界字段,且HTTP报文的消息实体的传输长度大于100时,该HTTP报文可以称为网络论坛类报文。步骤613的解释可以参考上述步骤402或者步骤511,本发明实施例对此不做赘述。
步骤616、将解析后的网络论坛类报文中请求数据写入扫描文件。
综上所述,本发明实施例提供的报文筛选方法,可以通过判断接收的HTTP报文是否具有指示HTTP报文携带有非操作数据的目标特征,以对接收的所有HTTP报文进行筛选。从而使得对具有目标特征的HTTP报文进行解析,并对解析后的HTTP报文进行敏感词扫描,相对于相关技术中,对网络中传输的所有HTTP报文均进行敏感词扫描,缩小了待扫描的HTTP报文的范围,提高了所需进行敏感词扫描的HTTP报文的精确度,避免了对较多不包括用户所需传输数据的HTTP报文的敏感词扫描,提高了敏感词扫描的效率。并且,由于缩小了待扫描的HTTP报文的范围,因此使得用户在访问网站时,减少了进行敏感词扫描的HTTP报文的数量,加快了网站访问速度,降低了资源消耗。
请参考图8,其示出了本发明实施例提供的一种报文筛选装置的结构示意图。该报文筛选装置可以应用于上述网络DLP设备,该报文筛选装置中各个模块的原理和作用可以参考上述方法测实施例。如图8所示,报文筛选装置700包括:
接收模块701,用于接收超文本传输协议HTTP报文。
解析模块702,用于当确定HTTP报文具有目标特征集合中至少一个目标特征时,解析HTTP报文,得到解析后的HTTP报文,目标特征用于指示HTTP报文携带有非操作数据。
扫描模块703,用于对解析后的HTTP报文进行敏感词扫描。
可选的,目标特征集合包括:第一特征,在HTTP报文具有第一目标特征时,HTTP报文包括目标字段集合中至少一个目标字段。
可选的,目标字段集合包括邮箱指示字段和文件指示字段,邮箱指示字段用于指示HTTP报文携带有通过网页邮箱传输的非操作数据,文件指示字段用于指示HTTP报文携带有通过上传文件方式传输的非操作数据。
可选的,报文筛选装置700还包括:
确定模块,用于当确定HTTP报文不包括文件指示字段时,判断HTTP报文是否包括邮箱指示字段。当确定HTTP报文包括邮箱指示字段时,确定HTTP报文具有目标字段集合中至少一个目标特征。
可选的,目标特征集合还包括:第二目标特征,在HTTP报文具有第二目标特征时,HTTP报文不包括目标字段集合中每个目标字段,且HTTP报文的消息实体的传输长度大于长度阈值。
可选的,目标特征集合还包括:第三目标特征,在HTTP报文具有第三目标特征时,HTTP报文不包括目标字段集合中每个目标字段,HTTP报文的消息实体的传输长度大于长度阈值,且HTTP报文包括中文字符,或者,在HTTP报文具有第三目标特征时,HTTP报文不包括目标字段集合中每个目标字段,HTTP报文的消息实体的传输长度大于长度阈值,且HTTP报文包括特定字符。
可选的,确定HTTP报文具有目标特征集合中的至少一个目标特征为第一目标特征,解析模块,还用于:确定解析后的HTTP报文的数据格式,采用数据格式对应的解析方式获取解析后的HTTP报文的邮件属性信息。
扫描模块,还用于对解析后的HTTP报文的邮件属性信息进行敏感词扫描。
可选的,邮箱指示字段包括邮件字段,文件指示字段包括边界字段。
综上所述,本发明实施例提供的报文筛选装置,可以通过解析模块判断接收的HTTP报文是否具有指示HTTP报文携带有非操作数据的目标特征,以对接收的所有HTTP报文进行筛选。从而对具有目标特征的HTTP报文进行解析,并使得扫描模块对解析后的HTTP报文进行敏感词扫描,相对于相关技术中,对网络中传输的所有HTTP报文均进行敏感词扫描,缩小了待扫描的HTTP报文的范围,提高了所需进行敏感词扫描的HTTP报文的精确度,避免了对较多不包括用户所需传输数据的HTTP报文的敏感词扫描,提高了敏感词扫描的效率。并且,由于缩小了待扫描的HTTP报文的范围,因此使得用户在访问网站时,减少了进行敏感词扫描的HTTP报文的数量,加快了网站访问速度,降低了资源消耗。
本发明实施例提供的一种报文筛选装置的结构示意图。该报文筛选装置可以应用于上述网络DLP设备。报文筛选装置包括:处理器和与处理器连接的存储器。该存储器中存储有指令,处理器用于在执行本发明实施例提供的报文筛选方法。
本发明实施例提供的一种数据传输系统。该数据传输系统可以如3所示的数据传输系统。该数据传输系统可以包括:依次连接的客户端、代理服务器、网络数据泄密防护设备和网页管理服务器,以及与代理服务器连接的服务器端。网络数据泄密防护设备可以用于实现本发明实施例提供的报文筛选方法,或者网络数据泄密防护设备搭载本发明实施例提供的报文筛选装置。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种报文筛选方法,其特征在于,所述方法包括:
接收超文本传输协议HTTP报文;
当确定所述HTTP报文具有目标特征集合中至少一个目标特征时,解析所述HTTP报文,得到解析后的HTTP报文,所述目标特征用于指示HTTP报文携带有非操作数据;
对所述解析后的HTTP报文进行敏感词扫描。
2.根据权利要求1所述的方法,其特征在于,所述目标特征集合包括:第一特征,在HTTP报文具有所述第一目标特征时,所述HTTP报文包括目标字段集合中至少一个目标字段。
3.根据权利要求2所述的方法,其特征在于,所述目标字段集合包括邮箱指示字段和文件指示字段,所述邮箱指示字段用于指示HTTP报文携带有通过网页邮箱传输的非操作数据,所述文件指示字段用于指示HTTP报文携带有通过上传文件方式传输的非操作数据。
4.根据权利要求3所述的方法,其特征在于,在所述当确定所述HTTP报文具有目标字段集合中至少一个目标特征时,解析所述HTTP报文之前,所述方法还包括:
当确定所述HTTP报文不包括所述文件指示字段时,判断所述HTTP报文是否包括所述邮箱指示字段;
当确定所述HTTP报文包括所述邮箱指示字段时,确定所述HTTP报文具有目标字段集合中至少一个目标特征。
5.根据权利要求2-4任一所述的方法,其特征在于,所述目标特征集合还包括:第二目标特征,在HTTP报文具有所述第二目标特征时,所述HTTP报文不包括目标字段集合中每个目标字段,且所述HTTP报文的消息实体的传输长度大于长度阈值。
6.根据权利要求2-4任一所述的方法,其特征在于,所述目标特征集合还包括:第三目标特征,在HTTP报文具有所述第三目标特征时,所述HTTP报文不包括目标字段集合中每个目标字段,所述HTTP报文的消息实体的传输长度大于长度阈值,且所述HTTP报文包括中文字符,或者,在HTTP报文具有所述第三目标特征时,所述HTTP报文不包括目标字段集合中每个目标字段,所述HTTP报文的消息实体的传输长度大于长度阈值,且所述HTTP报文包括特定字符。
7.根据权利要求2-4任一所述的方法,其特征在于,确定所述HTTP报文具有目标特征集合中的至少一个目标特征为所述第一目标特征,在解析所述HTTP报文,得到解析后的HTTP报文之后,所述方法还包括:
确定所述解析后的HTTP报文的数据格式,
采用所述数据格式对应的解析方式获取所述解析后的HTTP报文的邮件属性信息;
所述对所述解析后的HTTP报文进行敏感词扫描,包括:
对所述解析后的HTTP报文的邮件属性信息进行敏感词扫描。
8.一种报文筛选装置,其特征在于,所述装置包括:
接收模块,用于接收超文本传输协议HTTP报文;
解析模块,用于当确定所述HTTP报文具有目标特征集合中至少一个目标特征时,解析所述HTTP报文,得到解析后的HTTP报文,所述目标特征用于指示HTTP报文携带有非操作数据;
扫描模块,用于对所述解析后的HTTP报文进行敏感词扫描。
9.一种报文筛选装置,其特征在于,所述装置包括:
处理器和与所述处理器连接的存储器,
所述存储器中存储有指令,所述处理器用于在执行所述指令实现所述权利要求1-7任一所述的报文筛选方法。
10.一种数据传输系统,其特征在于,所述系统包括:依次连接的客户端、代理服务器、网络数据泄密防护设备和网页管理服务器,以及与所述代理服务器连接的服务器端,所述网络数据泄密防护设备用于实现权利要求1-7任一所述的报文筛选方法,或者所述网络数据泄密防护设备搭载权利要求8或9所述的报文筛选装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010923762.4A CN112055020A (zh) | 2020-09-04 | 2020-09-04 | 报文筛选方法、装置及数据传输系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010923762.4A CN112055020A (zh) | 2020-09-04 | 2020-09-04 | 报文筛选方法、装置及数据传输系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112055020A true CN112055020A (zh) | 2020-12-08 |
Family
ID=73608147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010923762.4A Pending CN112055020A (zh) | 2020-09-04 | 2020-09-04 | 报文筛选方法、装置及数据传输系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112055020A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113821692A (zh) * | 2021-09-29 | 2021-12-21 | 平安银行股份有限公司 | 数据处理方法、装置、服务器及存储介质 |
Citations (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212419A (zh) * | 2006-12-25 | 2008-07-02 | 阿里巴巴公司 | 一种在即时通信系统中处理垃圾消息的方法 |
| US20080276316A1 (en) * | 2004-07-29 | 2008-11-06 | Roelker Daniel J | Intrusion detection strategies for hypertext transport protocol |
| CN101593200A (zh) * | 2009-06-19 | 2009-12-02 | 淮海工学院 | 基于关键词频度分析的中文网页分类方法 |
| CN102571922A (zh) * | 2011-12-13 | 2012-07-11 | 北京星网锐捷网络技术有限公司 | 一种数据流处理方法及装置 |
| CN102647351A (zh) * | 2012-04-01 | 2012-08-22 | 飞天诚信科技股份有限公司 | 一种处理xml报文的方法和装置 |
| CN102780619A (zh) * | 2012-07-23 | 2012-11-14 | 北京星网锐捷网络技术有限公司 | 一种处理报文的方法及装置 |
| CN102868693A (zh) * | 2012-09-17 | 2013-01-09 | 苏州迈科网络安全技术股份有限公司 | 针对http分片请求的url过滤方法及系统 |
| CN103067896A (zh) * | 2013-01-17 | 2013-04-24 | 中国联合网络通信集团有限公司 | 垃圾短信过滤方法及装置 |
| CN103139056A (zh) * | 2011-12-01 | 2013-06-05 | 北京天行网安信息技术有限责任公司 | 一种安全网关及一种网络数据的交互方法 |
| CN105516319A (zh) * | 2015-12-15 | 2016-04-20 | 华为技术有限公司 | 管理http报文的方法和装置 |
| CN105824884A (zh) * | 2016-03-10 | 2016-08-03 | 海信集团有限公司 | 一种用户上网信息处理方法及装置 |
| CN105959344A (zh) * | 2016-04-15 | 2016-09-21 | 杭州迪普科技有限公司 | 一种Web推送方法及装置 |
| CN106332027A (zh) * | 2016-09-26 | 2017-01-11 | 惠州Tcl移动通信有限公司 | 一种消息分析方法及可消息分析的智能终端 |
| CN106534243A (zh) * | 2015-09-14 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 基于http协议的缓存、请求、响应方法及相应装置 |
| CN106933924A (zh) * | 2015-12-31 | 2017-07-07 | 中国移动通信集团公司 | 一种信息识别方法及系统 |
| CN107895003A (zh) * | 2017-10-31 | 2018-04-10 | 山东浪潮云服务信息科技有限公司 | 一种数据质量检测方法和装置 |
| CN108600197A (zh) * | 2018-04-04 | 2018-09-28 | 四川长虹电器股份有限公司 | 可自动学习更新的特征码阻断文件上传防御系统及方法 |
| CN109714756A (zh) * | 2018-12-28 | 2019-05-03 | 东信和平科技股份有限公司 | Profile数据包处理方法及装置、嵌入式SIM卡 |
| CN110138610A (zh) * | 2019-05-10 | 2019-08-16 | 新华三信息安全技术有限公司 | 一种业务报文的发送方法及装置 |
| CN111092880A (zh) * | 2019-12-13 | 2020-05-01 | 支付宝(杭州)信息技术有限公司 | 一种网络流量数据提取方法及装置 |
| CN111245899A (zh) * | 2019-12-31 | 2020-06-05 | 航天信息股份有限公司广州航天软件分公司 | 一种web服务环境下非法报文的处理方法及系统 |
| CN111314164A (zh) * | 2019-12-13 | 2020-06-19 | 北京明朝万达科技股份有限公司 | 一种网络流量还原方法、装置和计算机可读存储介质 |
-
2020
- 2020-09-04 CN CN202010923762.4A patent/CN112055020A/zh active Pending
Patent Citations (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080276316A1 (en) * | 2004-07-29 | 2008-11-06 | Roelker Daniel J | Intrusion detection strategies for hypertext transport protocol |
| CN101212419A (zh) * | 2006-12-25 | 2008-07-02 | 阿里巴巴公司 | 一种在即时通信系统中处理垃圾消息的方法 |
| CN101593200A (zh) * | 2009-06-19 | 2009-12-02 | 淮海工学院 | 基于关键词频度分析的中文网页分类方法 |
| CN103139056A (zh) * | 2011-12-01 | 2013-06-05 | 北京天行网安信息技术有限责任公司 | 一种安全网关及一种网络数据的交互方法 |
| CN102571922A (zh) * | 2011-12-13 | 2012-07-11 | 北京星网锐捷网络技术有限公司 | 一种数据流处理方法及装置 |
| CN102647351A (zh) * | 2012-04-01 | 2012-08-22 | 飞天诚信科技股份有限公司 | 一种处理xml报文的方法和装置 |
| CN102780619A (zh) * | 2012-07-23 | 2012-11-14 | 北京星网锐捷网络技术有限公司 | 一种处理报文的方法及装置 |
| CN102868693A (zh) * | 2012-09-17 | 2013-01-09 | 苏州迈科网络安全技术股份有限公司 | 针对http分片请求的url过滤方法及系统 |
| CN103067896A (zh) * | 2013-01-17 | 2013-04-24 | 中国联合网络通信集团有限公司 | 垃圾短信过滤方法及装置 |
| CN106534243A (zh) * | 2015-09-14 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 基于http协议的缓存、请求、响应方法及相应装置 |
| CN105516319A (zh) * | 2015-12-15 | 2016-04-20 | 华为技术有限公司 | 管理http报文的方法和装置 |
| CN106933924A (zh) * | 2015-12-31 | 2017-07-07 | 中国移动通信集团公司 | 一种信息识别方法及系统 |
| CN105824884A (zh) * | 2016-03-10 | 2016-08-03 | 海信集团有限公司 | 一种用户上网信息处理方法及装置 |
| CN105959344A (zh) * | 2016-04-15 | 2016-09-21 | 杭州迪普科技有限公司 | 一种Web推送方法及装置 |
| CN106332027A (zh) * | 2016-09-26 | 2017-01-11 | 惠州Tcl移动通信有限公司 | 一种消息分析方法及可消息分析的智能终端 |
| CN107895003A (zh) * | 2017-10-31 | 2018-04-10 | 山东浪潮云服务信息科技有限公司 | 一种数据质量检测方法和装置 |
| CN108600197A (zh) * | 2018-04-04 | 2018-09-28 | 四川长虹电器股份有限公司 | 可自动学习更新的特征码阻断文件上传防御系统及方法 |
| CN109714756A (zh) * | 2018-12-28 | 2019-05-03 | 东信和平科技股份有限公司 | Profile数据包处理方法及装置、嵌入式SIM卡 |
| CN110138610A (zh) * | 2019-05-10 | 2019-08-16 | 新华三信息安全技术有限公司 | 一种业务报文的发送方法及装置 |
| CN111092880A (zh) * | 2019-12-13 | 2020-05-01 | 支付宝(杭州)信息技术有限公司 | 一种网络流量数据提取方法及装置 |
| CN111314164A (zh) * | 2019-12-13 | 2020-06-19 | 北京明朝万达科技股份有限公司 | 一种网络流量还原方法、装置和计算机可读存储介质 |
| CN111245899A (zh) * | 2019-12-31 | 2020-06-05 | 航天信息股份有限公司广州航天软件分公司 | 一种web服务环境下非法报文的处理方法及系统 |
Non-Patent Citations (3)
| Title |
|---|
| FAHAD ALQAHTANI: "CloudMonitor: Data Flow Filtering as a Service", 《2019 INTERNATIONAL CONFERENCE ON COMPUTATIONAL SCIENCE AND COMPUTATIONAL INTELLIGENCE (CSCI)》 * |
| 倪一涛等: "基于自动解混淆的恶意网页检测方法", 《信息网络安全》 * |
| 白磊等: "基于流抽样和LRU的高速网络大流检测算法", 《计算机应用与软件》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113821692A (zh) * | 2021-09-29 | 2021-12-21 | 平安银行股份有限公司 | 数据处理方法、装置、服务器及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| US20200252428A1 (en) | System and method for detecting cyberattacks impersonating legitimate sources | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| JP4977888B2 (ja) | ウェブアプリケーション攻撃の検知方法 | |
| US8595327B2 (en) | Obtaining instrumentation data | |
| US20100281311A1 (en) | Method and system for reconstructing error response messages under web application environment | |
| CN107124430B (zh) | 页面劫持监控方法、装置、系统和存储介质 | |
| CN108632219B (zh) | 一种网站漏洞检测方法、检测服务器、系统及存储介质 | |
| EP1891571A1 (en) | Resisting the spread of unwanted code and data | |
| CN111641658A (zh) | 一种请求拦截方法、装置、设备及可读存储介质 | |
| US9336396B2 (en) | Method and system for generating an enforceable security policy based on application sitemap | |
| US9251367B2 (en) | Device, method and program for preventing information leakage | |
| CN109862021B (zh) | 威胁情报的获取方法及装置 | |
| US8789177B1 (en) | Method and system for automatically obtaining web page content in the presence of redirects | |
| CN111817984B (zh) | 消息发送方法、装置、设备及存储介质 | |
| CN113660250B (zh) | 基于web应用防火墙的防御方法、装置、系统和电子装置 | |
| US10775751B2 (en) | Automatic generation of regular expression based on log line data | |
| CN115695043A (zh) | 漏洞扫描攻击检测方法、模型训练方法及装置 | |
| CN114978637A (zh) | 一种报文处理方法及装置 | |
| WO2022001577A1 (zh) | 一种基于白名单的内容锁防火墙方法及系统 | |
| CN112055020A (zh) | 报文筛选方法、装置及数据传输系统 | |
| Morovati et al. | Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques. | |
| CN105959344B (zh) | 一种Web推送方法及装置 | |
| CN111130993B (zh) | 一种信息提取的方法及装置、可读存储介质 | |
| CN105635225A (zh) | 移动终端访问基于移动互联网络的服务器的方法与系统及移动终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201208 |
|
| RJ01 | Rejection of invention patent application after publication |