CN113595957B - 一种网络防御方法及安全检测设备 - Google Patents

一种网络防御方法及安全检测设备 Download PDF

Info

Publication number
CN113595957B
CN113595957B CN202010360350.4A CN202010360350A CN113595957B CN 113595957 B CN113595957 B CN 113595957B CN 202010360350 A CN202010360350 A CN 202010360350A CN 113595957 B CN113595957 B CN 113595957B
Authority
CN
China
Prior art keywords
security detection
message
detection
security
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010360350.4A
Other languages
English (en)
Other versions
CN113595957A (zh
Inventor
张镇伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202010360350.4A priority Critical patent/CN113595957B/zh
Priority to US17/244,396 priority patent/US20210344704A1/en
Priority to EP21171472.0A priority patent/EP3905634B1/en
Publication of CN113595957A publication Critical patent/CN113595957A/zh
Application granted granted Critical
Publication of CN113595957B publication Critical patent/CN113595957B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

涉及通信技术领域,公开了一种网络防御方法及安全检测设备,用以解决恶意流量在园区网中传播的问题。该方法包括:安全检测设备接收第一报文;当第一报文未完成安全检测,且安全检测设备的安全检测能力足以检测第一报文时,安全检测设备检测第一报文;当第一报文未完成安全检测,且安全检测设备的安全检测能力不足时,安全检测设备转发第一报文。

Description

一种网络防御方法及安全检测设备
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种网络防御方法及安全检测设备。
背景技术
随着信息与通信(information and communications technology,ICT)技术的发展,网络攻击事件层出不穷。对于园区网诸如企业内部网络来说,不仅需要抵制来自外网的网络攻击,还需防御发起于园区网内部的网络攻击。
目前,通常在园区网的用户接入侧部署检测点,对携带威胁网络安全的恶意流量进行防御。但仅依靠接入侧的检测点,防御性能较弱,无法有效的阻断恶意流量接入园区网,导致恶意流量在园区网中传播,对园区网的安全造成威胁。
发明内容
本申请实施例提供一种网络防御方法及安全检测设备,用以解决恶意流量在园区网中传播的问题。
第一方面,本申请实施例提供一种网络防御方法,包括:
安全检测设备接收第一报文;
当所述第一报文未完成安全检测,且所述安全检测设备的安全检测能力足以检测所述第一报文时,所述安全检测设备检测所述第一报文;
当所述第一报文未完成安全检测,且所述安全检测设备的安全检测能力不足时,所述安全检测设备转发所述第一报文。
本申请实施例中,安全检测设备在收到未完成安全检测的报文时,根据自身的安全检测能力确定检测报文或者转发报文交由其他安全检测设备进行检测。安全检测设备可以是园区网内的任一网络设备,通过调动多个网络设备的安全检测能力来对报文进行检测,能够有效避免恶意流量在园区网中传播,提升安全防御性能。
在一种可选的实现方式中,所述方法还包括:所述安全检测设备根据所述第一报文是否有检测标记确定所述第一报文是否完成安全检测。
本申请实施例中,对完成安全检测的报文加上检测标记,安全检测设备通过判断报文是否有检测标记,即可快速确定报文是否完成安全检测,有助于提升检测效率。
在一种可选的实现方式中,所述方法还包括:所述安全检测设备检查所述第一报文的指定字段的值是否为所述检测标记,所述指定字段与安全检测的类型关联。
本申请实施例中,在报文中配置指定字段用以指示相关类型的安全检测,安全检测设备可通过检查报文中指定字段的值是否为检测标记,能够确定该报文是否经由指定字段所指示相关类型的安全检测。
在一种可选的实现方式中,所述方法还包括:
在检测或转发所述第一报文前,如果所述第一报文所属的流的检测记录指示所述流不安全,则所述安全检测设备丢弃所述第一报文;
所述安全检测设备根据对所述第一报文的检测结果更新所述第一报文所属的流的检测记录。
在一种可选的实现方式中,当所述第一报文属于新流时,所述方法还包括:构建所述新流的流表项。
在一种可选的实现方式中,当所述第一报文未完成安全检测时且所述安全检测设备的安全检测能力足以检测所述第一报文时,所述安全检测设备检测所述第一报文,包括:
当所述第一报文完成第一类型安全检测但未完成第二类型安全检测且所述安全检测设备的安全检测能力足以对所述第一报文做所述第二类型安全检测时,所述安全检测设备对所述第一报文做所述第二类型安全检测。
第二方面,本申请实施例提供一种安全检测设备,包括:
接收模块,用于接收第一报文;
处理模块,用于当所述第一报文未完成安全检测,且所述安全检测设备的安全检测能力足以检测所述第一报文时,检测所述第一报文;当所述第一报文未完成安全检测,且所述安全检测设备的安全检测能力不足时,转发所述第一报文。
本申请实施例中,安全检测设备在收到未完成安全检测的报文时,根据自身的安全检测能力确定检测报文或者转发报文交由其他安全检测设备进行检测。安全检测设备可以是园区网内的任一网络设备,通过调动园区网内多个网络设备的安全检测能力来对报文进行检测,相较于现有技术仅在接入层部署检测点的方式,能够有效避免恶意流量在园区网中传播,提升安全防御性能。
在一种可选的实现方式中,所述处理模块,还用于根据所述第一报文是否有检测标记确定所述第一报文是否完成安全检测。
在一种可选的实现方式中,所述处理模块,还用于检查所述第一报文的指定字段的值是否为所述检测标记,所述指定字段与安全检测的类型关联。
本申请实施例中,在报文中配置指定字段用以指示相关类型的安全检测,安全检测设备可通过检查报文中指定字段的值是否为检测标记,能够确定该报文是否经由指定字段所指示相关类型的安全检测。
在一种可选的实现方式中,所述处理模块,还用于:
在检测或转发所述第一报文前,确定所述第一报文所属的流的检测记录指示所述流不安全,则丢弃所述第一报文;
根据对所述第一报文的检测结果更新所述第一报文所属的流的检测记录。
在一种可选的实现方式中,所述处理模块,还用于当所述第一报文完成第一类型安全检测但未完成第二类型安全检测且所述安全检测设备的安全检测能力足以对所述第一报文做所述第二类型安全检测时,对所述第一报文做所述第二类型安全检测。
本申请实施例中,安全检测设备根据自身的安全检测能力,对报文做其能够检测类型的安全检测。调动园区网中不同安全检测设备的安全检测能力,能够实现对报文进行一种或多种类型的安全检测。
第三方面,本申请实施例提供一种通信装置,包括:处理器和存储器;
所述存储器,用于存储计算机程序;所述处理器,用于执行所述存储器中存储的计算机程序,以使得第一方面任一可能的实现方式中的方法被执行。
第四方面,本申请实施例提供一种通信装置,包括:处理器和接口电路;所述接口电路,用于接收代码指令并传输至所述处理器;所述处理器用于运行所述代码指令以执行第一方面任一可能的实现方式中的方法。
第五方面,本申请实施例提供一种可读存储介质,所述可读存储介质存储有指令,当所述指令被执行时,使第一方面任一可能的实现方式中的方法被实现。
第六方面,本申请实施例提供了一种计算机程序产品,该计算机程序产品包括:计算机程序代码,当计算机程序代码被通信装置的处理器运行时,使得通信装置执行上述第一方面任一可能的实现方式中的方法。
附图说明
图1为本申请实施例提供的一种网络架构示意图;
图2为本申请实施例提供的一种通信系统的结构示意图;
图3为本申请实施例提供的一种网络防御方法的流程示意图;
图4为本申请实施例提供的另一种网络防御方法的流程示意图;
图5为本申请实施例提供的一种安全检测设备的结构示意图;
图6为本申请实施例提供的另一种安全检测设备的结构示意图;
图7为本申请实施例提供的一种通信装置的结构示意图;
图8为本申请实施例提供的另一种通信装置的结构示意图。
具体实施方式
以下对本申请中提供的部分用语进行解释说明,方便本领域技术人员理解:
(1)园区网
园区网(campus network)指机构的内部网络,诸如企业的内部网、大学的校园网,其路由结构由一个机构来管理。园区网的互联网出口位置通常会部署防火墙等安全产品以抵制来自外网的网络攻击。如图1示意的一种网络架构,园区网内部通常采用三层网络架构,包括接入层、汇聚层以及核心层;其中,接入层用于为网络应用提供本地终端到园区网的接入,汇聚层是核心层和接入层之间的分界;核心层用于提供区间传输,进行网络流量的接收和转发。
(2)网络流量
本申请实施例中的网络流量指在园区网内部传输的数据量,包括多个流的报文。对园区网的网络安全造成威胁的网络流量称为恶意流量。以接入园区网的本地终端之间的网络攻击,造成在园区网中传输恶意流量为例,本申请实施例在图1中还用带有箭头的虚线示意出了一种恶意流量在园区网中的转发路径,恶意流量由作为攻击源的本地终端1传输至园区网中,会经由接入层的网络设备->汇聚层的网络设备->核心层的网络设备->汇聚层的网络设备->接入层的网络设备,传输到被攻击的本地终端2处。其中,本地终端可以是通过无线接入点(access point,AP)以无线连接的方式接入园区网,也可以是以有线连接的方式接入园区网中。
(3)本申请中涉及的多个,是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,应当理解,尽管在本发明实施例中可能采用术语第一、第二等来描述各数据、但这些数据不应限于这些术语。这些术语仅用来将各数据彼此区分开。
本申请实施例提供的方法可应用于园区网内的通信系统,该通信系统包括部署在园区网的接入层、汇聚层以及核心层的网络设备,对于接入园区网的网络流量,基于该网络流量的转发路径所经过的网络设备的安全检测能力对该网络流量做安全检测。
如图2示例出一种本申请实施例提供的方法适用的通信系统200,该通信系统200包括部署于接入层的第一网络设备201、部署于汇聚层的第二网络设备202以及部署于核心层第三网络设备203。
其中,第一网络设备201,用于对于经由第一网络设备接入园区网的网络流量中的报文做安全检测。
第二网络设备202,用于根据自身的安全检测能力,对于由接入层或者核心层传输来的未完成安全检测的报文做安全检测或者转发。
第三网络设备203,用于根据自身的安全检测能力,对于由汇聚层传输来的未完成安全检测的报文做安全检测或者转发。
本申请实施例中,利用网络流量转发路径的纵深,调动园区网中不同层次的网络设备作为安全检测设备对网络流量做安全检测,能够提升园区网的安全防御能力。
下面对图3实施例的一些可选的实施方式进行说明。
参见图3,本申请实施例提供一种网络防御方法,该方法可应用于园区网中的作为安全检测设备的任一网络设备,以下称具有安全检测能力的网络设备为安全检测设备。该方法可以通过以下步骤来实现:
步骤S301,安全检测设备接收第一报文。
步骤S302,当第一报文未完成安全检测,且安全检测设备的安全检测能力足以检测第一报文时,安全检测设备检测第一报文。
步骤S303,当第一报文未完成安全检测,且安全检测设备的安全检测能力不足时,安全检测设备转发第一报文。
本申请实施例中,安全检测设备在收到未完成安全检测的报文时,根据自身的安全检测能力确定检测报文或者转发报文交由其他安全检测设备进行检测。安全检测设备可以是园区网内的任一网络设备,通过调动园区网内多个网络设备的安全检测能力来对报文进行安全检测,相较于现有技术仅在接入层部署检测点的方式,能够有效避免恶意流量在园区网中传播,提升安全防御性能。
在一种可选的实施方式中,可通过对报文添加检测标记以表示该报文完成安全检测。则安全检测设备可根据第一报文是否有检测标记确定第一报文是否完成安全检测。检测标记用于标记报文的检测结果为安全或者不安全。
本申请实施例中,对完成安全检测的报文加上检测标记,安全检测设备通过判断报文是否有检测标记,即可快速确定报文是否完成安全检测,有助于提升检测效率。
在一种可选的实施方式中,可在完成安全检测的报文中的指定字段添加检测标记。安全检测设备通过检查第一报文的指定字段的值是否为检测标记,即可确定第一报文是否完成安全检测。
其中,指定字段用于指示报文对应的安全检测,也可称为检测标记位。该指定字段在报文中所占的字节位可以是固定配置的,也可以是由园区网中安全检测设备共同协商配置的,在此并不进行限定。示例性的,在虚拟可扩展局域网(Virtual Extensible LocalArea Network,VXLAN)中,可采用如下表1所示的一种VXLAN报文头的8比特的保留位(Reserved)指示报文对应的安全检测;在传统的局域网中,可采用如下表2所示的一种网际协议(Internet Protocol version 4,IPv4)报文头的服务类型(type of service,Tos)字段中后两个比特位,即保留位(Reserved)指示报文对应的安全检测。
表1
Figure BDA0002474771240000051
其中,VXLAN Flags为VXLAN标志位,在VXLAN报文头中占16个比特位;Group ID为组标识(Identity document,ID),在VXLAN报文头中占16个比特位;VNI为VXLAN网络标识(VXLAN Network Identifier,VNI),在VXLAN报文头中占24个比特位;Reserved为保留位,在VXLAN报文头中占8个比特位。
表2
Figure BDA0002474771240000052
其中,DSCP为差分服务代码点(differentiated services code point,DSCP),占IPv4报文头的Tos字段中的前6个比特位;Reserved为保留位,占IPv4报文头的Tos字段中的后两个比特位。
在一种可选的实施方式中,对于报文的安全检测包括一种或多种类型的安全检测。则报文中可配置一个或多个指定字段,指定字段与安全检测的类型关联。例如,一个指定字段对应一种类型的安全检测。安全检测设备通过检查第一报文的一个或多个指定字段中任一指定字段的值是否为检测标记,进而确定第一报文是否完成该任一指定字段多关联类型的安全检测。
具体实施时,前述任一指定字段所占的字节位可根据实际情况设置,在此不进行限制。示例性的,以任一字段所占的字节位包括1个比特位(bit)为例,如下表3示意出在VXLAN报文头的8比特的保留位中划分出两个比特位配置为与入侵防御系统(intrusionprevention system,IPS)检测关联的第一指定字段,也即下表3中的IPS Flag(IPS标志位);以及与反病毒(anti-virus,AV)检测关联的第二指定字段,也即下表3中的AV Flag(AV标志位)。
表3
IPS Flag(1bit) AV Flag(1bit) Reserved(6bits)
示例性的,在任一指定字段所占的字节位包括1个比特位,检测标记取值为0或1的情况下,若任一指定字段的值不为检测标记,例如任一指定字段的值为空,则表示第一报文未完成该任一指定字段关联类型的安全检测;若任一指定字段的值为0,则表示第一报文完成该任一指定字段关联类型的安全检测,且检测结果为不安全;若任一指定字段的值为1,则表示第一报文完成该任一指定字段关联类型的安全检测,且检测结果为安全。
本申请实施例中,在报文中配置指定字段用以指示相关类型的安全检测,安全检测设备可通过检查报文中指定字段的值是否为检测标记,能够快速确定该报文是否完成指定字段所指示相关类型的安全检测。
在一种可选的实施方式中,对于第一报文的安全检测包括一种或多种类型的安全检测,若第一报文未完成一种或多种类型中至少一种类型的安全检测,则安全检测设备确定第一报文未完成安全检测。具体的,当第一报文的一个或多个指定字段中存在至少一个指定字段不为检测标记时,则安全检测设备确定第一报文未完成安全检测。
在一种可选的实施方式中,安全检测设备可根据安全检测设备的安全检测负荷和/或安全检测设备能够检测的安全检测的类型,判断安全检测设备的安全检测能力是否足以检测第一报文。
具体实施时,如果安全检测设备的安全检测负荷超载,则确定安全检测设备的安全检测能力不足以检测第一报文;或者,如果第一报文未完成的安全检测的类型,不属于安全检测设备能够检测的类型时,则确定安全检测设备的安全检测能力不足以检测第一报文。如果安全检测设备的安全检测负荷没有超载且安全检测设备能够对第一报文做其未完成的至少一种类型的安全检测,则确定安全检测设备的安全检测能力足以检测第一报文。
在一种可选的实施方式中,安全检测设备在确定第一报文未完成安全检测时,可先判断安全检测设备中是否存储有第一报文所属流的检测记录,如果是,则根据第一报文所属流的检测记录对第一报文添加检测标记;否则再判断安全检测设备的安全检测能力是否足以检测第一报文。
具体实施时,可在安全检测设备中设置检测流表,用以存储经由该安全检测设备检测的报文所属流的标识信息和检测记录,其中,流的标识信息可采用五元组信息所表示,五元组信息包括源IP地址,源端口,目的IP地址,目的端口和传输层协议;流的检测记录包括归属于该流的报文的检测结果。判断安全检测设备中是否存储有第一报文所属流的检测记录,可参照如下方式实施:根据第一报文所属流的表示信息,判断第一报文是否命中所属安全检测设备中的检测流表,也即判断第一报文所属流的标识信息是否与安全检测设备中检测流表存储的标识信息匹配。
在一种可选的实施方式中,当第一报文没有命中安全检测设备的检测流表,即第一报文属于新流时,安全检测设备创建新流对应的检测流表。
进一步,如图4所示,本申请实施例提供了另一种网络防御方法,该方法由安全检测设备来执行,包括如下步骤。
步骤S401,判断接收的第一报文是否完成安全检测;如果否,执行步骤S402;如果是,则不作任何操作,结束。
步骤S402,判断第一报文是否命中安全检测设备的检测流表;如果否,执行步骤S403;如果是,执行步骤S406。
步骤S403,判断安全检测设备的安全检测能力是否足以检测第一报文;如果是,执行步骤S404;如果否,则不作任何操作,结束。
步骤S404,创建第一报文对应的检测流表。
步骤S405,检测第一报文。
步骤S406,为第一报文添加检测标记。
具体实施时,若第一报文命中安全检测设备的检测流表,则根据检测流表中存储的检测记录确定第一报文的检测结果,进而根据检测结果,为第一报文添加检测标记;若第一报文没有命中安全检测设备的检测流表,在执行步骤405:检测第一报文确定出检测结果后,根据检测结果为第一报文添加检测标记。
在一种可选的实施方式中,安全检测设备可根据对第一报文的检测结果更新第一报文所属的流的检测记录。
在一种可选的实施方式中,当第一报文未完成安全检测时且安全检测设备的安全检测能力足以检测第一报文时,安全检测设备检测第一报文,包括:
当第一报文完成第一类型安全检测但未完成第二类型安全检测且安全检测设备的安全检测能力足以对第一报文做第二类型安全检测时,安全检测设备对第一报文做第二类型安全检测。
本申请实施例中,安全检测设备根据自身的安全检测能力,对报文做其能够检测类型的安全检测。调动园区网中不同安全检测设备的安全检测能力,能够实现对报文进行一种或多种类型的安全检测。
进一步,若安全检测设备对第一报文做第二类型安全检测后,安全检测设备的安全检测能力足以对第一报文做第三类型安全检测,则安全检测设备对第一报文做第三类型安全检测;若安全检测设备对第一报文做第二类型安全检测后,安全检测设备的安全检测能力不足以对第一报文做第三类型安全检测,则安全检测设备转发第一报文。
在一种可选的实施方式中,当接收的第一报文完成安全检测的检测结果为不安全时,若第一报文被指示丢弃,则安全检测设备丢弃第一报文;或者,当安全检测设备检测第一报文得到的检测结果为不安全时,若第一报文被指示丢弃,则安全检测设备丢弃第一报文。
在一种可选的实施方式中,在检测或转发第一报文前,如果第一报文所属的流的检测记录指示流不安全,则安全检测设备丢弃第一报文。具体实施时,若接收的第一报文命中安全检测设备中的检测流表,且若第一报文所属流的检测流表被配置有丢弃标记,则安全检测设备丢弃第一报文,其中,丢弃标记用于标记流不安全。
此外,为避免在园区网中传输经过网络设备较少,而导致对于报文的安全检测存在漏检的情况。在一种可选的实施方式中,可设置网络流量在园区网中传输需经过核心层的网络设备。则前述第一报文的转发路径包括目标园区网中核心层的网络设备。
基于相同的构思,参见图5,本申请实施例提供一种安全检测设备500,包括:
接收模块501,用于接收第一报文。
处理模块502,用于当第一报文未完成安全检测,且安全检测设备的安全检测能力足以检测第一报文时,检测第一报文;当第一报文未完成安全检测,且安全检测设备的安全检测能力不足时,转发第一报文。
本申请实施例中,安全检测设备在收到未完成安全检测的报文时,根据自身的安全检测能力确定检测报文或者转发报文交由其他安全检测设备进行检测。安全检测设备可以是园区网内的任一网络设备,通过调动园区网内多个网络设备的安全检测能力来对报文进行检测,相较于现有技术仅在接入层部署检测点的方式,能够有效避免恶意流量在园区网中传播,提升安全防御性能。
在一种可选的实施方式中,处理模块502,还用于根据第一报文是否有检测标记确定第一报文是否完成安全检测。检测标记用于标记报文的检测结果为安全或者不安全。
在一种可选的实施方式中,处理模块502,还用于检查第一报文的指定字段的值是否为检测标记,指定字段与安全检测的类型关联。
本申请实施例中,在报文中配置指定字段用以指示相关类型的安全检测,安全检测设备可通过检查报文中指定字段的值是否为检测标记,能够确定该报文是否经由指定字段所指示相关类型的安全检测。
在一种可选的实施方式中,处理模块502,还用于:
在检测或转发第一报文前,确定第一报文所属的流的检测记录指示流不安全,则丢弃第一报文;
根据对第一报文的检测结果更新第一报文所属的流的检测记录。
在一种可选的实施方式中,处理模块502,还用于当第一报文完成第一类型安全检测但未完成第二类型安全检测且安全检测设备的安全检测能力足以对第一报文做第二类型安全检测时,对第一报文做第二类型安全检测。
本申请实施例中,安全检测设备根据自身的安全检测能力,对报文做其能够检测类型的安全检测。调动园区网中不同安全检测设备的安全检测能力,能够实施对报文进行一种或多种类型的安全检测。
进一步,参见图6,本申请实施例还提供另一种安全检测设备600,包括网络接口601、转发芯片602、中央处理器(central processing unit,CPU)603以及随机存储器(random access memory,RAM)604;
网络接口601,用于接收第一报文。
随机存储器604,用于存储经由安全检测设备检测的报文所属流的检测流表。
转发芯片602,用于当第一报文没有检测标记时,确定第一报文是否命中随机存储器604中的检测流表。
中央处理器603,用于在第一报文没有命中随机存储器604中的检测流表时,基于自身的安全检测能力,对第一报文做安全检测。
转发芯片602,还用于在第一报文命中随机存储器604中的检测流表时,根据检测流表中流的检测记录,为第一报文添加检测标记;或者,在第一报文没有命中随机存储器604中的检测流表时,根据中央处理器603对第一报文做安全检测的检测结果,为第一报文添加检测标记。
本申请实施例中,首先通过转发芯片判断是否可根据已存储的检测流表为第一报文添加检测标记;在无法根据已存储的检测流表确定第一报文的检测结果时,再通过中央处理器对第一报文做安全检测,能够减轻中央处理器的负荷,有效提升中央处理器的处理性能。
基于相同的构思,如图7所示,为本申请提供的一种通信装置700。示例性地,通信装置700可以是芯片或芯片系统。可选的,在本申请实施例中芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
通信装置700可以包括至少一个处理器710,装置700还可以包括至少一个存储器720,用于存储计算机程序、程序指令和/或数据。存储器720和处理器710耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。处理器710可能和存储器720协同操作。处理器710可能执行存储器720中存储的计算机程序。可选的,所述至少一个存储器720中的至少一个可以包括于处理器710中。
通信装置700中还可以包括收发器730,通信装置700可以通过收发器730和其它设备进行信息交互。收发器730可以是电路、总线、收发器或者其它任意可以用于进行信息交互的装置。
在一种可能的实施方式中,该通信装置700可以应用于前述安全检测设备,具体通信装置700可以是前述安全检测设备,也可以是能够支持前述安全检测设备实施上述任一实施例的装置。存储器720保存实施上述任一实施例中的安全检测设备的功能的必要计算机程序、程序指令和/或数据。所述处理器710可执行所述存储器720存储的计算机程序,完成上述任一实施例中的方法。
本申请实施例中不限定上述收发器730、处理器710以及存储器720之间的具体连接介质。本申请实施例在图7中以存储器720、处理器710以及收发器730之间通过总线连接,总线在图7中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在本申请实施例中,处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实施或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
在本申请实施例中,存储器可以是非易失性存储器,比如硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)等,还可以是易失性存储器(volatilememory),例如随机存取存储器(random-access memory,RAM)。存储器还可以是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实施存储功能的装置,用于存储计算机程序、程序指令和/或数据。
基于以上实施例,参见图8,本申请实施例还提供另一种通信装置800,包括:接口电路810和处理器820;
接口电路810,用于接收代码指令并传输至所述处理器820;
处理器820,用于运行所述代码指令以执行上述任一实施例中的方法。
基于以上实施例,本申请实施例还提供一种可读存储介质,该可读存储介质存储有指令,当所述指令被执行时,使上述任一实施例中安全检测设备执行的方法被实施。该可读存储介质可以包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实施流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实施在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实施在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实施的处理,从而在计算机或其他可编程设备上执行的指令提供用于实施在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (9)

1.一种网络防御方法,其特征在于,包括:
安全检测设备接收第一报文;
所述安全检测设备检查所述第一报文的指定字段的值不为检测标记,确定所述第一报文未完成安全检测;其中,所述指定字段与安全检测的类型关联,所述安全检测的类型包括入侵防御系统IPS检测或反病毒AV检测;当所述第一报文未完成安全检测,且所述安全检测设备的安全检测能力足以检测所述第一报文时,所述安全检测设备检测所述第一报文;
当所述第一报文未完成安全检测,且所述安全检测设备的安全检测能力不足时,所述安全检测设备转发所述第一报文。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
在检测或转发所述第一报文前,如果所述第一报文所属的流的检测记录指示所述流不安全,则所述安全检测设备丢弃所述第一报文;
所述安全检测设备根据对所述第一报文的检测结果更新所述第一报文所属的流的检测记录。
3.如权利要求1或2所述的方法,其特征在于,当所述第一报文未完成安全检测时且所述安全检测设备的安全检测能力足以检测所述第一报文时,所述安全检测设备检测所述第一报文,包括:
当所述第一报文完成第一类型安全检测但未完成第二类型安全检测且所述安全检测设备的安全检测能力足以对所述第一报文做所述第二类型安全检测时,所述安全检测设备对所述第一报文做所述第二类型安全检测。
4.一种安全检测设备,其特征在于,包括:
接收模块,用于接收第一报文;
处理模块,用于检查所述第一报文的指定字段的值不为检测标记,确定所述第一报文未完成安全检测;其中,所述指定字段与安全检测的类型关联,所述安全检测的类型包括入侵防御系统IPS检测或反病毒AV检测;
所述处理模块,还用于当所述第一报文未完成安全检测,且所述安全检测设备的安全检测能力足以检测所述第一报文时,检测所述第一报文;当所述第一报文未完成安全检测,且所述安全检测设备的安全检测能力不足时,转发所述第一报文。
5.如权利要求4所述的安全检测设备,其特征在于,所述处理模块,还用于:
在检测或转发所述第一报文前,确定所述第一报文所属的流的检测记录指示所述流不安全,则丢弃所述第一报文;
根据对所述第一报文的检测结果更新所述第一报文所属的流的检测记录。
6.如权利要求4或5所述的安全检测设备,其特征在于,所述处理模块,还用于当所述第一报文完成第一类型安全检测但未完成第二类型安全检测且所述安全检测设备的安全检测能力足以对所述第一报文做所述第二类型安全检测时,对所述第一报文做所述第二类型安全检测。
7.一种通信装置,其特征在于,包括:处理器和存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述存储器中存储的计算机程序,以使得如权利要求1至3中任一项所述的方法被执行。
8.一种通信装置,其特征在于,包括:处理器和接口电路;
所述接口电路,用于接收代码指令并传输至所述处理器;
所述处理器用于运行所述代码指令以执行如权利要求1至3中任一项所述的方法。
9.一种可读存储介质,其特征在于,所述可读存储介质存储有指令,当所述指令被执行时,使如权利要求1至3中任一项所述的方法被实现。
CN202010360350.4A 2020-04-30 2020-04-30 一种网络防御方法及安全检测设备 Active CN113595957B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202010360350.4A CN113595957B (zh) 2020-04-30 2020-04-30 一种网络防御方法及安全检测设备
US17/244,396 US20210344704A1 (en) 2020-04-30 2021-04-29 Network Defense Method and Security Detection Device
EP21171472.0A EP3905634B1 (en) 2020-04-30 2021-04-30 Network defense method and security detection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010360350.4A CN113595957B (zh) 2020-04-30 2020-04-30 一种网络防御方法及安全检测设备

Publications (2)

Publication Number Publication Date
CN113595957A CN113595957A (zh) 2021-11-02
CN113595957B true CN113595957B (zh) 2022-11-08

Family

ID=75904749

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010360350.4A Active CN113595957B (zh) 2020-04-30 2020-04-30 一种网络防御方法及安全检测设备

Country Status (3)

Country Link
US (1) US20210344704A1 (zh)
EP (1) EP3905634B1 (zh)
CN (1) CN113595957B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114285633B (zh) * 2021-12-23 2024-03-29 深圳供电局有限公司 一种计算机网络安全监控方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167796A (zh) * 2018-09-30 2019-01-08 浙江大学 一种基于工业scada系统的深度包检测平台

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6658565B1 (en) * 1998-06-01 2003-12-02 Sun Microsystems, Inc. Distributed filtering and monitoring system for a computer internetwork
US7404015B2 (en) * 2002-08-24 2008-07-22 Cisco Technology, Inc. Methods and apparatus for processing packets including accessing one or more resources shared among processing engines
US20060075093A1 (en) * 2004-10-05 2006-04-06 Enterasys Networks, Inc. Using flow metric events to control network operation
JP2007243595A (ja) * 2006-03-08 2007-09-20 Fuji Xerox Co Ltd ネットワーク制御装置および制御方法
WO2009139170A1 (ja) * 2008-05-16 2009-11-19 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
US8782787B2 (en) * 2009-10-28 2014-07-15 Hewlett-Packard Development Company, L.P. Distributed packet flow inspection and processing
JP5625997B2 (ja) * 2011-02-23 2014-11-19 富士通株式会社 通信システムおよび伝送装置
CN102986194B (zh) * 2012-04-05 2015-08-19 华为技术有限公司 网络安全处理方法、系统和网卡
US9110721B2 (en) * 2012-12-28 2015-08-18 Telefonaktiebolaget L M Ericsson (Publ) Job homing
CN103763188B (zh) * 2014-01-22 2016-08-31 四川九洲空管科技有限责任公司 一种多类型报文实时处理方法及装置
US10091166B2 (en) * 2015-12-31 2018-10-02 Fortinet, Inc. Sequentially serving network security devices using a software defined networking (SDN) switch
US10797863B2 (en) * 2017-12-28 2020-10-06 Intel Corporation Multi-domain cascade convolutional neural network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167796A (zh) * 2018-09-30 2019-01-08 浙江大学 一种基于工业scada系统的深度包检测平台

Also Published As

Publication number Publication date
EP3905634B1 (en) 2023-12-20
EP3905634A1 (en) 2021-11-03
US20210344704A1 (en) 2021-11-04
CN113595957A (zh) 2021-11-02

Similar Documents

Publication Publication Date Title
CN105991655B (zh) 用于缓解基于邻居发现的拒绝服务攻击的方法和装置
US9258213B2 (en) Detecting and mitigating forwarding loops in stateful network devices
US20110026529A1 (en) Method And Apparatus For Option-based Marking Of A DHCP Packet
CN109657463B (zh) 一种报文洪泛攻击的防御方法及装置
CN113691490A (zh) 一种校验SRv6报文的方法及装置
Ahamad et al. Detection and defense mechanism against DDoS in MANET
US9455953B2 (en) Router chip and method of selectively blocking network traffic in a router chip
CN113595957B (zh) 一种网络防御方法及安全检测设备
CN113765849B (zh) 一种异常网络流量检测方法和装置
US7778250B2 (en) Method and apparatus for securing a layer II bridging switch/switch for subscriber aggregation
CN106059939B (zh) 一种报文转发方法及装置
CN116800469A (zh) 蜜罐防攻击方法、装置、设备及存储介质
CN111654558B (zh) Arp交互与内网流量转发方法、装置和设备
CN111654474B (zh) 一种安全检测的方法和装置
US10771391B2 (en) Policy enforcement based on host value classification
CN104348785B (zh) IPv6网中防止主机PMTU攻击的方法、装置与系统
EP3618389B1 (en) Systems and methods for operating a networking device
CN107888624B (zh) 一种防护网络安全的方法和装置
CN112804130A (zh) 报文处理方法及装置、系统、存储介质以及电子设备
KR102027438B1 (ko) Ddos 공격 차단 장치 및 방법
Yu et al. SDNDefender: a comprehensive DDoS defense mechanism using hybrid approaches over software defined networking
Bae et al. An efficient detection of TCP Syn flood attacks with spoofed IP addresses
CN117201199B (zh) 一种基于链路汇聚的路由安全防护方法及系统
KR102594137B1 (ko) DDoS 공격 탐지 방법 및 장치
KR102212316B1 (ko) 네트워크 노드의 주소할당방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant