CN112866238B - 会话控制方法及装置 - Google Patents
会话控制方法及装置 Download PDFInfo
- Publication number
- CN112866238B CN112866238B CN202110055536.3A CN202110055536A CN112866238B CN 112866238 B CN112866238 B CN 112866238B CN 202110055536 A CN202110055536 A CN 202110055536A CN 112866238 B CN112866238 B CN 112866238B
- Authority
- CN
- China
- Prior art keywords
- tcp
- message
- security detection
- session
- belong
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本说明书提供一种会话控制方法及装置,应用于安全检测设备,所述安全检测设备维护有至少一个安全检测会话,不同的安全检测会话对应于不同的通信连接,所述方法包括:对于获取到的任一传输控制协议TCP报文,执行:确定该TCP报文匹配的安全检测会话;在存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,则老化该安全检测会话;在不存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,或属于TCP支持的确认送达报文,则不新建安全检测会话。这样,可以提前老化会话,节约了会话资源。
Description
技术领域
本说明书涉及通信技术领域,尤其涉及一种会话控制方法及装置。
背景技术
两个通信设备之间为了进行某些业务交互,可以建立传输控制协议(Transmission Control Protocol,TCP)连接。有时,需要由安全检测设备(如网络审计设备、入侵检测设备等)对经由TCP连接传输的业务报文进行安全检测。
为了实现安全检测,通常需要安全检测设备能够识别经由不同TCP连接传输的业务报文流。为此,可以针对任一TCP连接,在监测到该TCP连接开始建立时,创建该TCP连接对应的会话。如此一来,安全检测设备能够将后续获取到的经由该TCP连接传输的每个业务报文,都匹配至同一会话(该 TCP连接对应的会话),从而可以识别经由不同TCP连接传输的业务报文流。
在实际应用中,安全检测设备上的会话资源是有限的,为了节省会话资源,会为每个会话设置老化时间。基于相关技术,需要一种更为有效的会话控制方法。
发明内容
为克服相关技术中存在节约会话资源的问题,本说明书提供了一种会话控制方法及装置。
根据本说明书实施例的第一方面,提供一种会话控制方法,应用于安全检测设备,所述安全检测设备维护有至少一个安全检测会话,不同的安全检测会话对应于不同的通信连接,所述方法包括:
对于获取到的任一传输控制协议TCP报文,执行:
确定该TCP报文匹配的安全检测会话;
在存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,则老化该安全检测会话;
在不存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP 报文属于TCP支持的关闭连接报文,或属于TCP支持的确认送达报文,则不新建安全检测会话。
根据本说明书实施例的第二方面,提供一种会话控制装置,应用于安全检测设备,所述安全检测设备维护有至少一个安全检测会话,不同的安全检测会话对应于不同的通信连接,所述装置针对获取到的任一TCP报文执行;所述装置包括:
会话匹配模块,用于确定该TCP报文匹配的安全检测会话;
会话老化模块,用于在存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,则老化该安全检测会话;
不新建会话模块,用于在不存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,或属于TCP支持的确认送达报文,则不新建安全检测会话。
根据本说明书实施例的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本说明书实施例第一方面所述的会话控制方法。
根据本说明书实施例的第四方面,提供一种安全检测设备,所述安全检测设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本说明书实施例第一方面所述的会话控制方法。
本说明书一个或多个实施例中,在安全检测设备确认安全检测会话不会再有业务报文交互的情况下(报文交互双方的一端确认关闭该会话对应的连接),安全检测设备将该TCP会话提前老化,并在收到TCP支持的关闭连接报文或者确认送达报文的情况下,不再新建会话。相较于相关技术,最后一个业务报文经过安全检测设备到会话老化的时间减少,节约了会话资源。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是本说明书示出的一种TCP四次挥手示意图。
图2是本说明书根据一示例性实施例示出的一种会话控制方法的流程图。
图3A是本说明书示出的一种安全检测设备旁路部署模式的示意图。
图3B是本说明书示出的一种安全检测设备在线透明部署模式的示意图。
图4是本说明书根据一具体实施例示出的一种会话控制方法的流程图。
图5是本说明书根据一示例性实施例示出的一种会话控制装置的框图。
图6本说明书根据一示例性实施例示出的一种会话控制装置所在安全检测设备的一种硬件结构图。
具体实施方式
两个通信设备之间为了进行某些业务交互,可以建立连接。有时,需要由安全检测设备(如网络审计设备、入侵检测设备等)对经由连接传输的业务报文进行安全检测,一般来说,大部分连接均为TCP连接。网络审计设备对报文的安全检测主要是验证报文数据的合规性、可靠性和有效性等,入侵检测设备对报文的安全检测主要是检测报文是否会威胁网络安全。
由于不同报文具有关联性,为了实现安全检测,通常需要安全检测设备能够识别经由不同连接传输的业务报文流。举例来说,当两个通信设备为客户端和服务时,客户端向服务器发送了一段信息,由于信息数据比较大,客户端将该信息分多个报文发出,在这种情况下,安全检测设备需要获取包括该信息的报文,统一对这些报文进行检测。为了可以让安全检测设备识别经由不同连接传输的业务报文流,可以针对任一连接,在监测到该连接开始建立时,创建该连接对应的会话。如此一来,安全检测设备能够将后续获取到的经由该TCP连接传输的每个业务报文,都匹配至同一会话(该连接对应的会话),从而可以识别经由不同连接传输的业务报文流。
在实际应用中,由于安全检测设备存储空间大小的限制,导致安全检测设备上不能不限量的存储会话,为了节省会话资源,会为每个会话设置老化时间,也就是说,在一段时间内,某一连接没有报文交互的情况下,会老化该会话对应的连接(也就是释放该会话占用的内存)。而发明人发现,对于占比较大的 TCP连接而言,在最后一次业务报文交互,到会话老化,仍要经过较长时间,这段时间内,存在不需要被业务报文匹配的会话被占用问题。
通过分析可知,发现TCP关闭连接的过程,需要较长的时间。具体而言, TCP连接是一个全双工连接(也就是由一端发往另一端,和从另一端发往一端的过程可以同时进行),正常关闭TCP连接的过程,一般需要经过“四次挥手”,如图1所示,以关闭客户端和服务器之间建立的TCP连接为例,“四次挥手”主要包括以下阶段:
第一次挥手,为客户端发往服务器的fin报文,该报文表示客户端已经没有信息需要发送给客户端了,需要关闭客户端向服务器方向的连接通道,在发送该fin报文后,客户端进入fin_wait_1状态,等待服务器的回复的ack报文。当然,第一次挥手也可以是服务器向客户端发fin报文,表示服务器已经没有信息要发送给客户端了,需要关闭客户端向服务器的连接通道,图1的示意图只是用客户端首先向服务器发送fin报文举例,服务器先向客户端发送fin报文的过程与图1类似,不再赘述。
第二次挥手,为服务器收到客户端发来的fin报文后,服务器向客户端发送的ack报文,该ack报文表示服务器确认关闭客户端向服务器方向的连接通道。客户端收到该ack报文后,确认关闭客户端向服务器方向的连接。由于TCP连接为全双工连接,在关闭客户端向服务器方向的连接后,仍要关闭服务器向客户端方向的连接。因此,客户端收到该ack报文后,进入fin_wait_2状态,等待服务器向客户端发送fin报文。
第三次挥手,为服务器向客户端发送fin报文,该报文表示服务器已经不需要向客户端发送数据了,请求关闭服务器向客户端方向的连接。
第四次挥手,为客户端收到服务器发来的请求关闭服务器向客户端方向的 fin报文后,发送给服务器的ack报文,该ack报文表示确认关闭服务器向客户端方向的连接通道,但是此时TCP连接并不是立刻关闭。在客户端发送该ack 报文后,进入time_wait状态,等待两倍的报文最大生存时间 (MaximumSegmentLifetime,MSL)后,TCP连接才会被客户端关闭。
MSL为技术人员认定的报文能在网络传输中存在的最大生存时间,一般为 30秒,1分钟,两分钟。而需要等待2倍的MSL才会关闭TCP连接,是因为第四次挥手的ack报文有可能在网络传输过程中丢包,为了防止丢包,需要等待2 倍的MSL在关闭会话。在服务器发送fin报文后经过MSL时间没有收到ack报文,服务器将重发该fin报文,也就是说,2倍的MSL内没有收到服务器重发的 fin报文,客户端将默认服务器已经收到ack报文并关闭了TCP连接。
为此,为了防止发生客户端实际未关闭TCP连接,而安全检测设备上该TCP 连接对应的会话已经被老化,系统设置time_wait状态的TCP会话的老化时间也为2倍的MSL。
但是考虑到:一般四次挥手的fin报文和ack报文都是不带负载的报文,对于安全检测设备来说,不需要检测不带负载的报文;大部分场景下,安全检测设备部署旁路部署,处理完报文后可将报文直接丢弃,一部分场景下,安全检测设备在线透明部署,在线透明部署模式下,该安全检测设备还需要转发报文,考虑到一般安全检测设备都在不存在网络地址转换(NAT)的场景中,不需要匹配会话也可以按照接口对正常转发报文,即报文从A口进,B口出,如果报文从B口进,将从A口出;且一般在第一次挥手后,客户端和服务器之间已经不会继续发送业务报文了;此外,现有的客户端在2倍MSL后再关闭TCP连接其实并不能完全解决ack报文丢失的问题,比如在服务器发送fin报文后,中间某一个转发设备出现故障,ack报文无法送至服务器,客户端也无法收到服务器再次发送的fin报文,这种情况下,其实还是会出现客户端已经关闭TCP连接,而服务器并未关闭该TCP连接的情况。
基于上述考虑,本说明书一个或多个实施例,提出了一种会话控制方法,在安全检测设备确认安全检测会话不会再有业务报文交互的情况下(报文交互双方的一端确认关闭该会话对应的连接),安全检测设备将该TCP会话提前老化,并在收到TCP支持的关闭连接报文或者确认送达报文,且匹配不到会话的情况下,不再新建会话。相较于相关技术,最后一个业务报文经过安全检测设备到会话老化的时间减少,节约了会话资源。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……的情况下”或“当……时”或“响应于确定”。
接下来对本说明书实施例进行详细说明。
本说明书的一个或多个实施例示出了一种会话控制方法,该方法应用于安全检测设备,所述安全检测设备维护有至少一个安全检测会话,不同的安全检测会话对应于不同的通信连接。
其中,安全检测设备可以是网络审计设备,也可以是入侵检测设备;如果安全检测设备还需要转发报文,那安全检测设备处于不需要NAT转换的场景中,安全检测设备不需要会话就可以正常转发报文。在安全检测设备的会话资源有限,且大部分安全检测会话为TCP会话的情况下,本说明书一个或多个实施例的方法将能发挥出更好的作用。
如图2所示,图2是本说明书根据一示例性实施例示出的一种会话控制方法的流程图,所述方法包括:
对于获取到的任一传输控制协议TCP报文,执行:
步骤202,确定该TCP报文匹配的安全检测会话。
本说明书的一个或多个实施例是针对TCP会话的改进,因为针对TCP 而言,关闭TCP连接需要四次挥手,而四次挥手的time_wait阶段老化时间较长,导致不需要被匹配的安全检测会话占用了空间。其他协议的会话不一定存在这个问题,比如用户数据报协议(User Datagram Protocol,UDP)会话,不需要四次挥手来关闭连接,并不存在本申请中所描述的问题。
一般在收到一个报文后,可以先为该报文匹配会话,也可以先查找该报文的通信协议,本说明书中并不限定确定会话匹配的安全检测会话,和确定报文的通信协议之间的顺序。获取TCP报文,可以是接收其他设备转发来的 TCP报文,也可以是监听转发设备有无收到报文,在转发设备收到报文的情况下,获取该报文的副本报文,以获取TCP报文。
安全检测会话,用于安全检测设备识别经由不同TCP连接转发的报文流。确定该TCP报文匹配的安全检测会话,可以是根据该TCP报文携带的五元组信息,查找会话表中的安全检测会话,找到存储有相同五元组的安全检测会话,并将该安全检测会话作为该TCP报文匹配的安全检测会话。
步骤204,在存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,则老化该安全检测会话。
其中,TCP支持的关闭连接报文,指的是一种类型的报文,并不是具体的报文,可以是TCP fin类型的报文,也可以是TCP reset类型的报文,TCPreset 报文表示该TCP连接异常终止。这些报文一般不携带负载。
存在该TCP报文匹配的安全检测会话,且该TCP报文为不带负载的 TCPfin报文,表明该TCP fin报文是第一次挥手的报文,也表明了该TCP连接将不会继续传输业务报文,这时,该安全检测会话即使老化,也不会影响该安全检测设备的正常处理,因此在这种情况下,选择老化该安全检测会话,也就是说释放该会话占用的内存空间。
此外,在存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文不属于TCP支持的关闭连接报文,可以根据匹配的安全检测会话,对该报文进行安全检测处理,并重置该会话的老化时间。
存在该TCP报文匹配的安全检测会话,说明两个通信设备中任一通信设备还未发送过TCPfin报文(如果发送过,该安全检测会话应该已经老化),这时,可以选择重置该安全检测会话的老化时间,并且如果该报文有负载,可以根据匹配到的安全检测会话,对该TCP报文进行安全检测处理。
步骤206,在不存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,或属于TCP支持的确认送达报文,则不新建安全检测会话。
其中,TCP支持的确认送达报文指的是一种类型的报文,一般是TCPack 类型的报文。不存在该TCP报文匹配的安全检测会话,表明该会话已经经过步骤204老化,这时收到了TCP支持的关闭连接报文或者确认送达报文,表明这是第二次、第三次或第四次挥手报文,这时,因为后续该TCP连接一般不会继续交互业务报文,此时为了节约会话资源,将不新建会话。
安全检测设备一般有两种部署模式,一种是旁路部署模式,一种是在线透明部署模式。如图3A所示,旁路部署模式下,安全检测设备并不参与报文转发,报文转发由专门的转发设备执行,安全检测设备收到的报文是转发设备发送来的镜像报文,这种情况下,在处理完报文后,可以将报文丢弃不转发,这样不会影响报文的正常转发。如图3B所示,在线透明部署模式下,安全检测设备既要完成对报文的安全检测,又要对报文进行转发,这种情况且在不存在NAT的场景下,处理完报文后,需要根据接口对配置,将该报文转发。
此外,在不存在该TCP报文匹配的安全检测会话的情况下,若判断出该 TCP报文不属于TCP支持的关闭连接报文,并且不属于TCP支持的确认送达报文,可以基于该TCP报文新建安全检测会话。
不存在该TCP报文匹配的安全检测会话,且该TCP报文不属于TCP支持的关闭连接报文,也不属于TCP支持的确认送达报文,说明该TCP报文可能是请求建立连接的报文,并且后续会有业务报文交互。这种情况下,可以选择新建安全检测会话,以使得后续的业务报文流可以匹配到同一安全检测会话。
接下来将从一具体实施例来描述本说明书中的会话控制方法。
如图4所示,图4是根据本说明书一实施例示出的会话控制方法,包括以下步骤:
步骤402,收到TCP报文。
步骤404,是否存在与该TCP报文匹配的安全检测会话,若存在于该 TCP报文匹配的安全检测会话,则执行步骤410,若不存在与该TCP报文匹配的安全检测会话,则执行步骤420.
步骤410,该TCP报文是否属于TCP fin报文或TCP reset报文,若该报文属于TCPfin报文或者TCP reset报文,则执行步骤412,若该报文不属于 TCP fin报文且不属于TCP reset报文,则执行步骤414。
步骤412,老化与该TCP报文匹配的安全检测会话。
步骤414,重置老化时间并处理该TCP报文。
步骤420,该TCP报文是否属于TCP fin报文或TCP ack报文,若该报文属于TCP fin报文或者TCP ack报文,则执行步骤422,若该报文不属于 TCP fin报文,且不属于TCP ack报文,则执行步骤424。
步骤422,不新建会话。
步骤424,新建会话并处理该TCP报文。
步骤406,转发或丢弃报文。在安全检测设备旁路部署的情况下,丢弃该TCP报文;在安全检测设备在线透明部署的情况下,转发该TCP报文。
本说明书一个或多个实施例,提出了一种会话控制方法,在安全检测设备确认安全检测会话不会再有业务报文交互的情况下(报文交互双方的一端确认关闭该会话对应的连接),安全检测设备将该TCP会话提前老化,并在收到TCP支持的关闭连接报文或者确认送达报文,且匹配不到会话的情况下,不再新建会话。相较于相关技术,最后一个业务报文经过安全检测设备到会话老化的时间减少,节约了会话资源。
与前述会话控制方法的实施例相对应,本说明书还提供了一种会话控制装置及其所应用的终端的实施例。
如图5所示,图5是本说明书根据一示例性实施例示出的一种会话控制装置的框图,所述装置应用于安全检测设备,所述安全检测设备维护有至少一个安全检测会话,不同的安全检测会话对应于不同的通信连接,所述装置针对获取到的任一TCP报文执行;所述装置包括:
会话匹配模块510,用于确定该TCP报文匹配的安全检测会话。
会话老化模块512,用于在存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,则老化该安全检测会话。
不新建会话模块514,用于在不存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,或属于TCP 支持的确认送达报文,则不新建安全检测会话。
报文处理模块516,用于在存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文不属于TCP支持的关闭连接报文,则根据匹配的安全检测会话,对该报文进行安全检测处理,并重置该会话的老化时间。
新建会话模块518,用于在不存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文不属于TCP支持的关闭连接报文,并且不属于 TCP支持的确认送达报文,则基于该TCP报文新建安全检测会话。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
如图6所示,图6示出了实施例会话控制装置所在安全检测设备的一种硬件结构图,该设备可以包括:处理器1010、存储器1020、输入/输出接口 1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/ 输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM (Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器 1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入 /输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本说明书实施例第一方面所述的会话控制方法。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (10)
1.一种会话控制方法,其特征在于,应用于安全检测设备,所述安全检测设备维护有至少一个安全检测会话,不同的安全检测会话对应于不同的通信连接,所述方法包括:
对于获取到的任一传输控制协议TCP报文,执行:
确定该TCP报文匹配的安全检测会话;
在存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,则老化该安全检测会话;
在不存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,或属于TCP支持的确认送达报文,则不新建安全检测会话。
2.如权利要求1所述方法,其特征在于,所述方法还包括:
在存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文不属于TCP支持的关闭连接报文,则根据匹配的安全检测会话,对该报文进行安全检测处理,并重置该会话的老化时间。
3.如权利要求1所述方法,其特征在于,所述方法还包括:
在不存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文不属于TCP支持的关闭连接报文,并且不属于TCP支持的确认送达报文,则基于该TCP报文新建安全检测会话。
4.如权利要求1所述方法,其特征在于,所述安全检测设备的部署模式为旁路部署模式;
所述方法还包括:
将该TCP报文丢弃。
5.如权利要求1所述方法,其特征在于,所述安全检测设备的部署模式为在线透明部署模式;
所述方法还包括:
转发该TCP报文。
6.一种会话控制装置,其特征在于,应用于安全检测设备,所述安全检测设备维护有至少一个安全检测会话,不同的安全检测会话对应于不同的通信连接,所述装置针对获取到的任一TCP报文执行;所述装置包括:
会话匹配模块,用于确定该TCP报文匹配的安全检测会话;
会话老化模块,用于在存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,则老化该安全检测会话;
不新建会话模块,用于在不存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文属于TCP支持的关闭连接报文,或属于TCP支持的确认送达报文,则不新建安全检测会话。
7.如权利要求6所述装置,其特征在于,所述装置还包括:
报文处理模块,用于在存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文不属于TCP支持的关闭连接报文,则根据匹配的安全检测会话,对该报文进行安全检测处理,并重置该会话的老化时间。
8.如权利要求6所述装置,其特征在于,所述装置还包括:
新建会话模块,用于在不存在该TCP报文匹配的安全检测会话的情况下,若判断出该TCP报文不属于TCP支持的关闭连接报文,并且不属于TCP支持的确认送达报文,则基于该TCP报文新建安全检测会话。
9.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如权利要求1至5中任一项所述的会话控制方法。
10.一种安全检测设备,其特征在于,所述安全检测设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至5中任一项所述的会话控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110055536.3A CN112866238B (zh) | 2021-01-15 | 2021-01-15 | 会话控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110055536.3A CN112866238B (zh) | 2021-01-15 | 2021-01-15 | 会话控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112866238A CN112866238A (zh) | 2021-05-28 |
| CN112866238B true CN112866238B (zh) | 2022-07-05 |
Family
ID=76006878
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110055536.3A Active CN112866238B (zh) | 2021-01-15 | 2021-01-15 | 会话控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112866238B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104348660A (zh) * | 2013-08-08 | 2015-02-11 | 华为技术有限公司 | 防火墙设备中检测引擎的升级方法及装置 |
| US9043472B1 (en) * | 2006-06-09 | 2015-05-26 | Cisco Technology, Inc. | Method and system for providing transmission control protocol dead connection detection |
| CN112165447A (zh) * | 2020-08-21 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 基于waf设备的网络安全监测方法、系统和电子装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7818786B2 (en) * | 2005-08-19 | 2010-10-19 | Electronics And Telecommunications Research Institute | Apparatus and method for managing session state |
-
2021
- 2021-01-15 CN CN202110055536.3A patent/CN112866238B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9043472B1 (en) * | 2006-06-09 | 2015-05-26 | Cisco Technology, Inc. | Method and system for providing transmission control protocol dead connection detection |
| CN104348660A (zh) * | 2013-08-08 | 2015-02-11 | 华为技术有限公司 | 防火墙设备中检测引擎的升级方法及装置 |
| CN112165447A (zh) * | 2020-08-21 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 基于waf设备的网络安全监测方法、系统和电子装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112866238A (zh) | 2021-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9015822B2 (en) | Automatic invocation of DTN bundle protocol | |
| US9331915B1 (en) | Dynamic network traffic mirroring | |
| CN112769651B (zh) | 一种tcp连接检测方法、装置及电子设备 | |
| CN108833950A (zh) | 一种弹幕消息下发方法、服务器、系统和存储介质 | |
| CN110224897B (zh) | 应用程序的弱网络测试方法、装置、移动设备及存储介质 | |
| CN104468265A (zh) | 局域网终端在线状态的检测方法和装置 | |
| US8948020B2 (en) | Detecting and isolating dropped or out-of-order packets in communication networks | |
| CN111092904B (zh) | 网络连接方法和装置 | |
| US10412778B2 (en) | Data transmission method and apparatus for data service | |
| CN113179295B (zh) | 报文处理方法及装置 | |
| CN111083014A (zh) | 通信连接确认方法、装置及用户终端 | |
| CN108989404B (zh) | 一种弹幕消息下发方法、服务器、系统和存储介质 | |
| CN112749015B (zh) | 负载均衡方法及装置 | |
| CN112866238B (zh) | 会话控制方法及装置 | |
| WO2017185632A1 (zh) | 数据传输的方法及电子设备 | |
| CN114285771B (zh) | 一种tcp连接的连接状态追踪方法及装置 | |
| CN111265852A (zh) | 一种基于udp的低延时信息传输方法及装置 | |
| CN114338477B (zh) | 一种通信链路监控方法、装置、设备及存储介质 | |
| CN109495330B (zh) | 一种实现udp拦截测试的方法及装置 | |
| WO2016184079A1 (zh) | 一种处理系统日志报文的方法和装置 | |
| CN114244758A (zh) | 安卓平台的网络诊断方法、存储介质、电子设备及系统 | |
| CN113852551A (zh) | 一种报文处理方法及装置 | |
| CN111163160A (zh) | 一种会话表项的保活方法及系统 | |
| CN108418852B (zh) | 访问控制方法、代理服务器及存储介质 | |
| CN118433083A (zh) | 一种网络连接检测方法、装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |