CN112738110A - 一种旁路阻断方法、装置、电子设备和存储介质 - Google Patents
一种旁路阻断方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN112738110A CN112738110A CN202011612912.6A CN202011612912A CN112738110A CN 112738110 A CN112738110 A CN 112738110A CN 202011612912 A CN202011612912 A CN 202011612912A CN 112738110 A CN112738110 A CN 112738110A
- Authority
- CN
- China
- Prior art keywords
- blocking
- message
- rule
- service
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Abstract
本发明公开了一种旁路阻断方法、装置、电子设备和存储介质,该方法包括:获取当前会话中的业务报文;若业务报文与阻断规则成功匹配,则应用阻断规则阻断业务报文;其中,阻断规则是基于阻断学习规则,根据之前获取的当前会话中的攻击报文生成的。提高了阻断效率,降低了阻断设备和会话网络的负荷。
Description
技术领域
本发明涉及网络会话传输领域,特别涉及一种旁路阻断方法、装置、电子设备和存储介质。
背景技术
旁路阻断技术是采用旁路侦听的方式来获取通过防火墙设备的所有数据包,通过协议内容还原,分析识别还原内容中的非法信息,并进行相应的阻断。现有网络会话中的旁路阻断技术多采用旁路安全设备发送TCP(Transmission Control Protocol,传输控制协议)RST(Reset the connection,复位连接)报文来阻断TCP会话,或者,发送ICMP(InternetControl Message Protocol,互联网控制消息)端口不可达报文来干扰UDP(User DatagramProtocol,用户数据包报协议)会话的方式。
但是,上述阻断TCP会话的方式中,由于用户网络业务报文从交换设备镜像到旁路安全设备,到旁路安全设备收到并分析TCP会话报文,再到发送RST报文到用户业务网络,以及RST报文传输到TCP会话双方都需要一定的时间。而这段时间很可能使得当RST到达会话端点时,对应的TCP会话可能早已结束,从而导致会话阻断失败,造成阻断率低的问题。另外,即使RST报文在TCP会话结束前到达会话端点,RST报文的序列号也必须要在落在TCP会话的滑动窗口有效区间内才能被TCP协议栈认为是有效的报文,否则RST报文会被协议栈丢弃。而这往往要求安全设备在发送RST阻断报文时,需要对RST报文的序列号进行预测。为了提高RST报文序列号的有效性,安全设备往往会发送多个不同序列号的RST报文来实施阻断,并且还不能保证100%会阻断成功。RST报文只能针对当前会话进行阻断,而攻击者可能会持续对用户业务进行攻击,这样,造成设备负荷量大。
另外,上述阻断UDP会话的方式中,由于UDP的攻击者完全可以无视旁路安全设备发出的ICMP干扰报文,而选择继续攻击。因此,这种UDP旁路阻断方式基本无效。同时,这种阻断方式与和TCP的RST阻断方式一样,存在安全设备处理性能问题。
发明内容
本发明提供一种旁路阻断方法、装置、电子设备和存储介质,以解决相关技术中的旁路阻断技术中阻断效率低、阻断设备和会话网络负荷量大的问题。
第一方面,本申请实施例提供了一种旁路阻断方法,该方法包括:
获取当前会话中的业务报文;
若所述业务报文与阻断规则成功匹配,则应用阻断规则阻断所述业务报文;
其中,所述阻断规则是基于阻断学习规则,根据之前获取的当前会话中的攻击报文生成的。
本申请实施例中,通过将当前会话中的业务报文与阻断规则进行匹配,在匹配成功时进行阻断,对凡是符合阻断规则的业务报文均可以进行阻断,不会由于超时没收到阻断报文而阻断失败,可以提高阻断效率;另外,阻断报文无需传输到会话双方终端,也无需每次对业务报文进行安全性分析,这样可以降低阻断设备和会话网络的负荷。
在一些示例性的实施方式中,通过下述方式生成所述阻断规则:
根据获取的所述攻击报文生成对应的阻断报文;
应用阻断学习规则,识别所述阻断报文的特征,并根据识别的所述阻断报文的特征生成与所述阻断报文匹配的阻断规则。
上述实施例,应用阻断学习规则学习攻击报文对应的阻断报文的特征,生成对应的阻断规则。这样,阻断规则就可以用来阻断符合阻断规则的任何业务报文,而不局限与阻断某条报文。
在一些示例性的实施方式中,所述应用所述阻断学习规则,识别所述阻断报文的特征,并生成与所述阻断报文匹配的阻断规则,包括:
解析所述阻断学习规则中的标准匹配项;
识别所述阻断报文的特征中与各个所述标准匹配项对应的匹配项;
将各个所述匹配项添加至阻断规则匹配项中,生成与所述阻断报文匹配的阻断规则。
上述实施例,通过应用阻断学习规则中的标准匹配项来识别阻断报文的特征,这样使得生成的阻断规则中,包含了阻断操作所需的各个匹配项,以便应用阻断规则进行精准阻断。
在一些示例性的实施方式中,所述阻断规则匹配项包括下列中的部分或全部:
应用所述阻断学习规则中的匹配类型参数确定的报文阻断类型;
应用所述阻断学习规则中的源IP项、目的IP项和目的端口项确定的源IP、目的IP和目的端口;
应用所述阻断学习规则中的字段匹配项确定的所述阻断报文的协议匹配字段。
上述实施例,根据阻断规则中的报文阻断类型、源IP、目的IP、目的端口和协议匹配字段来进行阻断,不局限于会话类型,无论是TCP会话还是UDP会话,也无论是当前会话或者是同源IP、目的IP和目的端口发起的后续攻击会话都能取得非常好的阻断效果。
在一些示例性的实施方式中,所述获取当前会话中的业务报文之前,还包括:
若当前会话中不存在阻断规则,则分析当前获取的业务报文是否为攻击报文;
若是,则根据所述当前获取的业务报文生成对应的第一阻断报文;
应用预设的阻断学习规则,识别所述第一阻断报文的特征,确定与所述第一阻断报文匹配的第一阻断规则;
应用所述第一阻断规则阻断所述当前业务报文;
若所述当前获取的业务报文为非攻击报文,则将所述当前获取的业务报文按照预设转发路径进行转发。
上述实施例,在不存在阻断规则时,对当前业务报文进行分析后生成相应的阻断规则,这样避免了该条业务报文为攻击报文时阻断失败的情况发生。另外,对非攻击报文的业务报文也能正常转发,不会影响正常的会话流程。
在一些示例性的实施方式中,所述获取目标业务报文之后,还包括:
若所述业务报文与阻断规则匹配失败,则将所述业务报文按照预设转发路径进行转发。
上述实施例,与阻断规则匹配失败的业务报文为合法报文时,按照预设路径进行转发,保证了正常会话的进行。
在一些示例性的实施方式中,还包括:
若在预设时间内不存在与所述阻断规则成功匹配的业务报文,则删除所述阻断规则。
上述实施例,及时删除不用的阻断表,可以节约存储空间,使得其他阻断规则的添加更加快速也高效。
第二方面,本申请实施例提供了一种旁路阻断装置,该装置包括:
获取模块,用于获取当前会话中的业务报文;
阻断模块,用于在所述业务报文与阻断规则成功匹配时,应用阻断规则阻断所述业务报文;
其中,所述阻断规则是基于阻断学习规则,根据之前获取的当前会话中的攻击报文生成的。
在一些示例性的实施方式中,还包括阻断规则生成模块,用于通过下述方式生成所述阻断规则:
根据获取的所述攻击报文生成对应的阻断报文;
应用阻断学习规则,识别所述阻断报文的特征,并根据识别的所述阻断报文的特征生成与所述阻断报文匹配的阻断规则。
在一些示例性的实施方式中,所述阻断规则生成模块具体用于:
解析所述阻断学习规则中的标准匹配项;
识别所述阻断报文的特征中与各个所述标准匹配项对应的匹配项;
将各个所述匹配项添加至阻断规则匹配项中,生成与所述阻断报文匹配的阻断规则。
在一些示例性的实施方式中,所述阻断规则匹配项包括下列中的部分或全部:
应用所述阻断学习规则中的匹配类型参数确定的报文阻断类型;
应用所述阻断学习规则中的源IP项、目的IP项和目的端口项确定的源IP、目的IP和目的端口;
应用所述阻断学习规则中的字段匹配项确定的所述阻断报文的协议匹配字段。
在一些示例性的实施方式中,还包括初始阻断模块,用于在获取当前会话中的业务报文之前:
若当前会话中不存在阻断规则,则分析当前获取的业务报文是否为攻击报文;
若是,则根据所述当前获取的业务报文生成对应的第一阻断报文;
应用预设的阻断学习规则,识别所述第一阻断报文的特征,确定与所述第一阻断报文匹配的第一阻断规则;
应用所述第一阻断规则阻断所述当前业务报文;
若所述当前获取的业务报文为非攻击报文,则将所述当前获取的业务报文按照预设转发路径进行转发。
在一些示例性的实施方式中,还包括业务转发模块,用于在所述获取目标业务报文之后:
若所述业务报文与阻断规则匹配失败,则将所述业务报文按照预设转发路径进行转发。
在一些示例性的实施方式中,还包括删除模块,用于:
若在预设时间内不存在与所述阻断规则成功匹配的业务报文,则删除所述阻断规则。
第三方面,本申请实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行计算机程序时实现上述任一种方法的步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,该计算机程序指令被处理器执行时实现上述任一种方法的步骤。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种基于OVS交换机的TCP/UDP会话旁路阻断方案示意图;
图2为本申请实施例提供的一种旁路阻断方法的流程图;
图3为本申请实施例提供的一种旁路阻断装置的结构示意图;
图4为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
首先对本申请实施例应用到的相关术语或名词进行说明。
(1)客户端:网络会话的发起方,主动向服务器发起TCP或者UDP通信;
(2)服务器:网络会话的服务方,接收客户端的网络会话请求,并提供相应的网络服务。
(3)TCP RST报文:TCP协议中报文接收方用来通过TCP RST结束当前TCP连接的报文,简称RST报文。
(4)ICMP端口不可达报文:是ICMP协议中用来通过UDP客户端所发送报文的UDP目的端口不可到达的报文。
(5)OpenVSwitch交换机:简称OVS交换机,是一种支持基于Openflow流表进行转发的网络交换设备。
(6)虚拟安全设备:具备旁路阻断功能的网络安全设备,例如防火墙、入侵检测系统、入侵防护系统、WEB(World Wide Web,即全球广域网)应用防火墙等,虚拟安全设备旁路部署在OpenVSwitch交换设备之上。
现有网络会话旁路阻断技术多采用旁路安全设备发送TCP RST报文来阻断TCP会话,或者发送ICMP端口不可达报文来干扰UDP会话做法。而这两种方式通常都存在诸多缺陷和限制,比如,阻断率低且阻断设备以及会话网络负荷大,这样导致用户的正常业务的体验受到影响。
为了解决现有网络会话旁路阻断方式中存在的阻断效率低和阻断设备以及会话网络负荷大的缺陷,本申请实施例的思路是在当前会话中的业务请求报文与阻断规则成功匹配时,应用阻断规则阻断业务请求报文;而阻断规则是基于阻断学习规则,根据之前获取的当前会话中的攻击报文生成的。在一些示例性的实施方式中,阻断规则的展示形式可以是攻击报文阻断流表项的形式,阻断学习规则可以是阻断报文学习流表项的形式。
在一个具体的例子中,图1示出了一种基于OVS交换机的TCP/UDP会话旁路阻断方案示意,为了方便描述,将虚拟安全设备和OVS交换机区分开来,在实际的应用中,虚拟安全设备和OVS交换机均为虚拟设备,虚拟安全设备旁路部署在OVS交换机上。参考图1,OVS交换机镜像口连接到虚拟安全设备的镜像口,负载传送OVS交换机镜像到安全设备的网络业务镜像报文。OVS交换机阻断口连接到虚拟安全设备的阻断口,负载接收虚拟安全设备发送到OVS交换机的阻断报文。阻断报文学习流表项是添加在OVS交换机上用来匹配从交换机阻断口收到的阻断报文并进行自动生成和添加攻击报文阻断流表项的OVS流表项。
基于图1,本申请实施例的主要思路是,在OVS交换机上添加阻断报文学习流表项,通过该流表匹配旁挂在其之上的虚拟安全设备发送出来的阻断报文,比如RST报文或ICMP端口不可达报文,并根据阻断报文的特征自动在OVS交换机上生成和添加一条攻击报文阻断流表项来对网络攻击报文进行阻断丢弃的方法,来提高阻断效率并降低阻断设备和会话网络的负荷。
接下来应用各个实施例对本申请实施例的技术方案进行详细说明。
图2为本发明实施例提供的一种旁路阻断方法的流程图,如图3所示,该方法可以包括:
S201、获取当前会话中的业务报文。
S202、若业务报文与阻断规则成功匹配,则应用阻断规则阻断业务报文;其中,阻断规则是基于阻断学习规则,根据之前获取的当前会话中的攻击报文生成的。
本申请实施例中,通过将当前会话中的业务报文与阻断规则进行匹配,在匹配成功时进行阻断,对凡是符合阻断规则的业务报文均可以进行阻断,不会由于超时没收到阻断报文而阻断失败,可以提高阻断效率;另外,阻断报文无需传输到会话双方终端,也无需每次对业务报文进行安全性分析,这样可以降低阻断设备和会话网络的负荷。
另外,客户端向服务器发送的报文为业务请求报文,相应的,服务端向业务端发送的则为业务响应报文。而业务请求报文和业务响应报文均可能为攻击报文或者非法报文,因此,应用本申请实施例的方案,可以对来自客户端的业务请求报文和来自服务器的业务响应报文进行阻断,二者阻断方式和流程相同。下面以客户端向服务器发送业务请求报文为例,对阻断过程进行说明。
首先,涉及到S201,当客户端向服务器发送网络业务请求报文时,OVS交换机获取到当前会话中的业务请求报文。如果服务器能正常接收该业务请求报文,会生成一个业务响应报文,然后OVS交换机将该业务响应报文发送至客户端。
其次,涉及到S202,在本申请实施例中,OVS交换机获取到当前会话中的业务请求报文后,将其与预先存储的阻断规则进行匹配,如果匹配成功,表明该条业务请求报文为攻击报文,应用阻断规则将其进行阻断。通常情况下,该阻断规则是根据获取当前业务请求报文之前获取的当前会话中的攻击报文生成的。在一些示例性的实施方式中,阻断规则的展示形式可以是攻击报文阻断流表项的形式,阻断学习规则的展示形式可以是阻断报文学习流表项的形式。
以阻断报文学习流表项和攻击报文阻断流表项为例,说明阻断规则的生成过程。
根据获取的攻击报文生成对应的阻断报文;应用阻断学习规则,识别阻断报文的特征,并根据识别的阻断报文的特征生成与阻断报文匹配的阻断规则。具体的,由于业务请求报文可能是正常的、合法的业务请求报文,也有可能是非法的、恶意的攻击入侵报文,因此,如果获取到的业务请求报文是攻击报文,虚拟安全设备会产生对应的阻断报文,比如,业务请求报文为TCP报文,则对应的阻断报文为RST报文;业务请求报文为UDP报文,则对应的阻断报文为ICMP端口不可达报文。而用户通过网络控制平台,比如SDN(SoftwareDefined Network,软件定义网络)控制器,或者手动配置方式添加了阻断报文学习流表项。这样OVS交换机应用攻击报文阻断规则识别阻断报文的特征,生成与阻断报文匹配的攻击报文阻断流表项。
详细的,解析阻断报文学习流表项的标准匹配项;识别阻断报文的特征中与各个标准匹配项对应的匹配项;将各个匹配项添加至攻击报文阻断流表项的匹配项中,生成与阻断报文匹配的攻击报文阻断流表项。示例性的,攻击报文阻断流表项包括下列中的部分或全部:应用阻断报文学习流表项的匹配类型参数确定的报文阻断类型;应用阻断报文学习流表项中的源IP(Internet Protocol Address,互联网协议地址)项、目的IP项和目的端口项确定的源IP、目的IP和目的端口;应用阻断报文学习流表项中的字段匹配项确定的阻断报文的协议匹配字段。
接下来分别以TCP报文和UDP报文为例,对生成攻击报文阻断流表项的过程进行说明。
以TCP报文为例,阻断报文学习流表项的描述如下,该描述中包括了标准匹配项,参见表1。
表1 RST阻断报文对应的阻断报文学习流表项
表1中的阻断报文学习流表项的标准匹配项的含义如下:
i.所示in_port=<block_port>,指示流表匹项配从block_port输入的报文;
ii.所示TCP和TCP_flags=RST,指示流表项匹配TCP Rst报文;
iii.所示流表项的learn方法负载根据上述流表项所匹配到的报文学习并添加阻断流表,其中:
a)所示table=<block_table>,表示阻断流表项需要添加到的目标流表ID;<block_table>可以根据具体情况进行配置调整。
b)所示priority=<priority>,表示阻断流表项的匹配优先级;所示<priority>可以根据实际需求进行配置调整。
c)所示idle_timeout=<timeout>,表示阻断流表项在连续<timeout>时间内未匹配到报文后将自动删除;所示<timeout>可以根据实现需求进行配置调整。
d)所示eth_type=0x800,nw_proto=6表示流表匹配的是TCP报文;
e)所示NXM_OF_IP_SRC[]=NXM_OF_IP_SRC[]表示阻断流表项匹配的源IP为所匹配到的RST报文的源IP;
f)所示NXM_OF_IP_DST[]=NXM_OF_IP_DST[]表示阻断流表项匹配的目的IP为所匹配到的RST报文的目的IP;
g)所示NXM_OF_TCP_DST[]=NXM_OF_TCP_DST[]表示阻断流表项匹配的目的TCP端口为所匹配到的RST报文的目的端口;
h)所示drop表示生成的阻断流表项的action为drop,即丢弃阻断流表项所匹配到的报文。
i)所示learn方法中的drop字段并非OVS交换机支持的标准字段,本方案需要进行扩展实现。
iv.所示阻断报文学习流表项的drop方法指示阻断报文学习流表项将丢弃其匹配到的RST报文。
相应的,生成的TCP攻击报文对应的攻击报文阻断流表项表述如下:
表2 TCP攻击报文对应的攻击报文阻断流表项
具体的,RST阻断报文会通过RST阻断报文学习流表项中的TCP类型和TCP_flags=RST两个匹配项来匹配命中;进一步,RST阻断报文学习流表项会通过learn方法,学习RST报文中的源IP、目的IP和目的端口,并在<block_table>中添加一条TCP攻击报文阻断流表项。攻击报文阻断流表项所匹配的协议匹配字段为eth_type=0x800,nw_proto=6,即TCP报文,TCP报文的头部匹配字段为源IP、目的IP和目的端口。进一步,当攻击报文阻断流表项匹配到报文后,会通过其drop方法将报文丢弃。最终实现TCP攻击会话的阻断效果。阻断报文在学习流表执行完学习方法后会丢弃,因此不会对用户业务网络造成干扰。
另外,以UDP报文为例,阻断报文学习流表项的描述如下,该描述中包括了标准匹配项,参见表3。
表3 UDP端口不可达报文对应的阻断报文学习流表项
表3中的UDP端口不可达报文的描述如下:
i.所示in_port=<block_port>,指示流表匹配从<block_port>输入的阻断报文;
ii.所示ICMP,ICMP_type=3,指示流表匹配ICMP端口不可达报文;
iii.所示流表项的learn方法负载根据上述流表项所匹配到的报文学习并添加阻断流表,其中:
a)所示table=<block_table>,指示攻击报文阻断流表项需要添加到的目标流表ID;所示<block_table>可以实际实现进行配置指定。
b)所示priority=<priority>,表示阻断流表项的匹配优先级;所示<priority>可根据具体需求进行配置调整;
c)所示idle_timeout=<timeout>,表示阻断流表在连续<timeout>时间内未匹配到报文后将自动删除;所示<timeout>可根据具体需求进行配置调整;
d)所示eth_type=0x800,nw_proto=17表示报文阻断流表项匹配的是UDP报文;
e)所示NXM_OF_IP_SRC[]=NXM_OF_IP_SRC[]表示报文阻断流表项匹配的源IP为阻断报文流表项所匹配到的ICMP报文的源IP;
f)所示NXM_OF_IP_DST[]=NXM_OF_IP_DST[]表示阻断流表项匹配的目的IP为阻断报文流表项所匹配到的ICMP报文的目的IP;
g)所示NXM_OF_UNR_PORT[]=NXM_OF_TCP_DST[]表示报文阻断流表项匹配的目的UDP端口为阻断报文流表项所匹配到的ICMP报文的目的端口;
h)所示drop表示生成的阻断流表项的action为drop,即丢弃阻断流表项所匹配到的报文。
i)所示learn方法中的NXM_OF_UNR_PORT[]字段并非OVS交换机支持的标准字段,具体实现不进行限定。
j)所示learn方法中的drop字段并非OVS交换机支持的标准字段,具体实现不进行限定。
相应的,生成的攻击报文阻断流表项表述如下:
表4 UDP攻击报文对应的攻击报文阻断流表项
如上,这样根据阻断报文对应的学习流表项的描述,生成对应的阻断流表项,该阻断流表项可以用来对攻击报文进行阻断。
具体的,UDP阻断报文则通过ICMP端口不可达学习流表项中的ICMP,ICMP_type=3两个匹配项来匹配命中;进一步,ICMP端口不可达阻断报文学习流表项会通过learn方法,学习ICMP报文中的源IP、目的IP,以及ICMP端口不可达内存UDP报文的目的端口,并在<block_table>中添加一条UDP攻击报文阻断流表项。攻击报文阻断流表项所匹配的协议匹配字段为eth_type=0x800,nw_proto=18,即UDP报文,UDP报文的头部匹配字段为源IP、目的IP和目的端口。进一步,当攻击报文阻断流表项匹配到报文后,会通过其drop方法将报文丢弃。最终实现UDP攻击会话的阻断效果。阻断报文在学习流表执行完学习方法后会丢弃,因此不会对用户业务网络造成干扰。
另外,在实际的应用过程中,当前会话中可能有不存在攻击报文阻断流表项存在的状态,对于OVS交换机来讲,当不存在攻击报文阻断流表项时,将业务请求报文送去虚拟安全设备去分析,当存在攻击报文阻断流表项时,直接判断业务请求报文是否与攻击报文阻断流表项匹配来确定是否进行阻断。而上述当前会话中不存在攻击报文阻断流表项的原因通常有如下几种情况:第一种情况,当前会话中的首条业务请求报文发送时,还不存在攻击报文阻断流表项;第二种情况,当前会话中的非首条报文发送时,但是在此之前发送的业务请求报文仍未形成攻击报文阻断流表项。
上述两种情况时,应用OVS交换机通过端口镜像或者流表镜像的方式将客户端的业务请求报文从镜像口镜像到虚拟安全设备进行分析,当虚拟安全设备上部署的安全策略判定收到的业务请求报文为攻击报文时,会产生对应的阻断报文称为第一阻断报文,然后产生的第一阻断报文从虚拟安全设备的阻断口发送到OVS交换机。此时,OVS交换机根据当前获取的业务请求报文生成对应的第一阻断报文;应用预设的阻断学习规则,例如可以是预设的阻断报文学习流表项,识别第一阻断报文的特征,确定与第一阻断报文匹配的第一攻击报文阻断流表项;应用第一攻击报文阻断流表项阻断当前业务请求报文。如果虚拟安全设备分析结果中,当前获取的业务请求报文为非攻击报文,则将当前获取的业务请求报文按照预设转发路径转发至服务器。
涉及到S202时,还包括,若所业务请求报文与阻断规则成功匹配,表明该业务请求报文不仅是攻击报文,还是当前会话中攻击报文阻断流表项中明确阻断的攻击报文,此时,根据攻击报文阻断流表项中报文阻断类型、源IP、目的IP和目的端口和协议匹配字段对当前业务请求报文实施阻断。若业务请求报文与攻击报文阻断流表项匹配失败,表明该业务请求报文为合法报文,则将该业务请求报文按照预设转发路径进行转发至服务器。
另外,为了减少攻击报文对网络、安全设备和服务器带来的无效负荷,通过参数配置保证攻击报文阻断流表项可选择持续存在于OVS交换机中一段时间,并在这段时间内对相同客户端对相同服务器会话发起阶段就进行阻断。同时,为了不占用存储空间,提高阻断效率,如果在预设时间内不存在与当前攻击报文阻断流表项匹配的业务请求报文,表明当前会话可能已经结束,则删除当前攻击报文阻断流表项。该删除操作可以通过攻击报文阻断流表项中的<timeout>描述来实现。
因此,本申请实施例通过阻断报文学习流表项自动学习和添加攻击报文阻断流表项的方式中,无需控制器或者其第三方控制软件介入,阻断流表项添加快速且高效;通过攻击报文阻断流表项匹配攻击报文的TCP/IP头部字段特征来进行阻断,因此,无论是针对TCP会话还是UDP会话都能取得非常好的阻断效果;无论是针对当前攻击会话还是同源IP、目的IP和目的端口发起的后续攻击会话都能取得非常好的阻断效果;安全设备发送的阻断报文在OVS交换机被阻断报文学习流表项学习完成后会就地丢弃,不会再发送到用户的业务网络中而导致对业务网络传输性能造成副作用,降低了会话网络的负荷。
如图3所示,基于相同的发明构思,本申请实施例提供了一种旁路阻断装置30,包括获取模块301和阻断模块302。
获取模块301,用于获取当前会话中的业务报文;
阻断模块302,用于在业务报文与阻断规则成功匹配时,应用阻断规则阻断业务报文;
其中,阻断规则是基于阻断学习规则,根据之前获取的当前会话中的攻击报文生成的。
本申请实施例中,通过将当前会话中的业务报文与阻断规则进行匹配,在匹配成功时进行阻断,对凡是符合阻断规则的业务报文均可以进行阻断,不会由于超时没收到阻断报文而阻断失败,可以提高阻断效率;另外,阻断报文无需传输到会话双方终端,也无需每次对业务报文进行安全性分析,这样可以降低阻断设备和会话网络的负荷。
在一些示例性的实施方式中,还包括阻断规则生成模块,用于通过下述方式生成阻断规则:
根据获取的攻击报文生成对应的阻断报文;
应用阻断学习规则,识别阻断报文的特征,并根据识别的阻断报文的特征生成与阻断报文匹配的阻断规则。
在一些示例性的实施方式中,阻断规则生成模块具体用于:
解析阻断学习规则中的标准匹配项;
识别阻断报文的特征中与各个标准匹配项对应的匹配项;
将各个匹配项添加至阻断规则匹配项中,生成与阻断报文匹配的阻断规则。
在一些示例性的实施方式中,阻断规则匹配项包括下列中的部分或全部:
应用阻断学习规则中的匹配类型参数确定的报文阻断类型;
应用阻断学习规则中的源IP项、目的IP项和目的端口项确定的源IP、目的IP和目的端口;
应用阻断学习规则中的字段匹配项确定的阻断报文的协议匹配字段。
在一些示例性的实施方式中,还包括初始阻断模块,用于在获取当前会话中的业务报文之前:
若当前会话中不存在阻断规则,则分析当前获取的业务报文是否为攻击报文;
若是,则根据当前获取的业务报文生成对应的第一阻断报文;
应用预设的阻断学习规则,识别第一阻断报文的特征,确定与第一阻断报文匹配的第一阻断规则;
应用第一阻断规则阻断当前业务报文;
若当前获取的业务报文为非攻击报文,则将当前获取的业务报文按照预设转发路径进行转发。
在一些示例性的实施方式中,还包括业务转发模块,用于在获取目标业务报文之后:
若业务报文与阻断规则匹配失败,则将业务报文按照预设转发路径进行转发。
在一些示例性的实施方式中,还包括删除模块,用于:
若在预设时间内不存在与阻断规则成功匹配的业务报文,则删除阻断规则。
本申请实施例提的旁路阻断装置与上述旁路阻断方法采用了相同的发明构思,采用了相同的实现手段,能够取得相同的有益效果,在此不再赘述。
基于与上述旁路方法相同的发明构思,本申请实施例还提供了一种电子设备,该电子设备可以成为阻断设备,具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)、服务器,用来设置OVS交换机以及虚拟安全设备等,来执行本申请实施例提供的旁路阻断方法。如图4所示,该电子设备40可以包括处理器401和存储器402。
处理器401可以是通用处理器,例如中央处理器(CPU)、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器402作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random Access Memory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器402还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;上述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于:移动存储设备、随机存取存储器(RAM,Random Access Memory)、磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例方法的全部或部分。而前述的存储介质包括:移动存储设备、随机存取存储器(RAM,Random Access Memory)、磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等各种可以存储程序代码的介质。
以上实施例仅用以对本申请的技术方案进行了详细介绍,但以上实施例的说明只是用于帮助理解本申请实施例的方法,不应理解为对本申请实施例的限制。本技术领域的技术人员可轻易想到的变化或替换,都应涵盖在本申请实施例的保护范围之内。
Claims (10)
1.一种旁路阻断方法,其特征在于,该方法包括:
获取当前会话中的业务报文;
若所述业务报文与阻断规则成功匹配,则应用阻断规则阻断所述业务报文;
其中,所述阻断规则是基于阻断学习规则,根据之前获取的当前会话中的攻击报文生成的。
2.根据权利要求1所述的方法,其特征在于,通过下述方式生成所述阻断规则:
根据获取的所述攻击报文生成对应的阻断报文;
应用阻断学习规则,识别所述阻断报文的特征,并根据识别的所述阻断报文的特征生成与所述阻断报文匹配的阻断规则。
3.根据权利要求2所述的方法,其特征在于,所述应用所述阻断学习规则,识别所述阻断报文的特征,并生成与所述阻断报文匹配的阻断规则,包括:
解析所述阻断学习规则中的标准匹配项;
识别所述阻断报文的特征中与各个所述标准匹配项对应的匹配项;
将各个所述匹配项添加至阻断规则匹配项中,生成与所述阻断报文匹配的阻断规则。
4.根据权利要求3所述的方法,其特征在于,所述阻断规则匹配项包括下列中的部分或全部:
应用所述阻断学习规则中的匹配类型参数确定的报文阻断类型;
应用所述阻断学习规则中的源IP项、目的IP项和目的端口项确定的源IP、目的IP和目的端口;
应用所述阻断学习规则中的字段匹配项确定的所述阻断报文的协议匹配字段。
5.根据权利要求1所述的方法,其特征在于,所述获取当前会话中的业务报文之前,还包括:
若当前会话中不存在阻断规则,则分析当前获取的业务报文是否为攻击报文;
若是,则根据所述当前获取的业务报文生成对应的第一阻断报文;
应用预设的阻断学习规则,识别所述第一阻断报文的特征,确定与所述第一阻断报文匹配的第一阻断规则;
应用所述第一阻断规则阻断所述当前业务报文;
若所述当前获取的业务报文为非攻击报文,则将所述当前获取的业务报文按照预设转发路径进行转发。
6.根据权利要求1所述的方法,其特征在于,所述获取目标业务报文之后,还包括:
若所述业务报文与阻断规则匹配失败,则将所述业务报文按照预设转发路径进行转发。
7.根据权利要求1-6任意一项所述的方法,其特征在于,还包括:
若在预设时间内不存在与所述阻断规则成功匹配的业务报文,则删除所述阻断规则。
8.一种旁路阻断装置,其特征在于,该装置包括:
获取模块,用于获取当前会话中的业务报文;
阻断模块,用于在所述业务报文与阻断规则成功匹配时,应用阻断规则阻断所述业务报文;
其中,所述阻断规则是基于阻断学习规则,根据之前获取的当前会话中的攻击报文生成的。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,该计算机程序指令被处理器执行时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011612912.6A CN112738110A (zh) | 2020-12-30 | 2020-12-30 | 一种旁路阻断方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011612912.6A CN112738110A (zh) | 2020-12-30 | 2020-12-30 | 一种旁路阻断方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112738110A true CN112738110A (zh) | 2021-04-30 |
Family
ID=75611796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011612912.6A Pending CN112738110A (zh) | 2020-12-30 | 2020-12-30 | 一种旁路阻断方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112738110A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113381937A (zh) * | 2021-06-09 | 2021-09-10 | 烽火通信科技股份有限公司 | 一种信息状态上报方法和网络设备 |
| CN113965408A (zh) * | 2021-11-09 | 2022-01-21 | 北京锐安科技有限公司 | 一种http报文的提取方法、装置、介质及设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254338A (zh) * | 2016-07-29 | 2016-12-21 | 杭州华三通信技术有限公司 | 报文检测方法以及装置 |
| CN111741127A (zh) * | 2020-07-23 | 2020-10-02 | 杭州海康威视数字技术股份有限公司 | 通信连接阻断方法、装置、电子设备及存储介质 |
-
2020
- 2020-12-30 CN CN202011612912.6A patent/CN112738110A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254338A (zh) * | 2016-07-29 | 2016-12-21 | 杭州华三通信技术有限公司 | 报文检测方法以及装置 |
| CN111741127A (zh) * | 2020-07-23 | 2020-10-02 | 杭州海康威视数字技术股份有限公司 | 通信连接阻断方法、装置、电子设备及存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113381937A (zh) * | 2021-06-09 | 2021-09-10 | 烽火通信科技股份有限公司 | 一种信息状态上报方法和网络设备 |
| CN113381937B (zh) * | 2021-06-09 | 2022-09-13 | 烽火通信科技股份有限公司 | 一种信息状态上报方法和网络设备 |
| CN113965408A (zh) * | 2021-11-09 | 2022-01-21 | 北京锐安科技有限公司 | 一种http报文的提取方法、装置、介质及设备 |
| CN113965408B (zh) * | 2021-11-09 | 2023-01-20 | 北京锐安科技有限公司 | 一种http报文的提取方法、装置、介质及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8677473B2 (en) | Network intrusion protection | |
| US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
| US10771501B2 (en) | DDoS attack defense method, system, and related device | |
| US10587637B2 (en) | Processing network traffic to defend against attacks | |
| EP3337123B1 (en) | Network attack prevention method, apparatus and system | |
| US8661522B2 (en) | Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack | |
| CN110839017B (zh) | 代理ip地址识别方法、装置、电子设备及存储介质 | |
| US20070245417A1 (en) | Malicious Attack Detection System and An Associated Method of Use | |
| US7506372B2 (en) | Method and apparatus for controlling connection rate of network hosts | |
| US20120144487A1 (en) | Routing apparatus and method for detecting server attack and network using the same | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| US20170126714A1 (en) | Attack detection device, attack detection method, and attack detection program | |
| JP7171904B2 (ja) | パケット処理 | |
| US10834125B2 (en) | Method for defending against attack, defense device, and computer readable storage medium | |
| EP3334117A1 (en) | Method, apparatus and system for quantizing defence result | |
| US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| CN112738110A (zh) | 一种旁路阻断方法、装置、电子设备和存储介质 | |
| US20210185083A1 (en) | Packet fingerprinting for enhanced distributed denial of service protection | |
| KR20140122044A (ko) | 슬로우 리드 도스 공격 탐지 장치 및 방법 | |
| CN108667829B (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
| WO2019096104A1 (zh) | 攻击防范 | |
| CN107454065A (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| CN111131337B (zh) | UDP Flood攻击的检测方法及装置 | |
| JP2019152912A (ja) | 不正通信対処システム及び方法 | |
| CN110198298B (zh) | 一种信息处理方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |