CN113872953A - 一种访问报文处理方法及装置 - Google Patents
一种访问报文处理方法及装置 Download PDFInfo
- Publication number
- CN113872953A CN113872953A CN202111111786.0A CN202111111786A CN113872953A CN 113872953 A CN113872953 A CN 113872953A CN 202111111786 A CN202111111786 A CN 202111111786A CN 113872953 A CN113872953 A CN 113872953A
- Authority
- CN
- China
- Prior art keywords
- sequence
- message
- address
- suspicious
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 16
- 230000004044 response Effects 0.000 claims abstract description 112
- 238000000034 method Methods 0.000 claims abstract description 52
- 238000001914 filtration Methods 0.000 claims abstract description 31
- 238000012545 processing Methods 0.000 claims abstract description 29
- 239000003550 marker Substances 0.000 claims abstract description 21
- 238000004364 calculation method Methods 0.000 claims description 16
- 238000006243 chemical reaction Methods 0.000 claims description 15
- 238000004422 calculation algorithm Methods 0.000 claims description 10
- 238000012795 verification Methods 0.000 claims description 9
- 230000009471 action Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 5
- 238000011426 transformation method Methods 0.000 claims 1
- 230000008569 process Effects 0.000 abstract description 9
- 238000004891 communication Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000012067 mathematical method Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002715 modification method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本说明书提供一种访问报文处理方法及装置,应用于过滤服务器,在确定接收到可疑访问报文的情况下,将该可疑访问报文的源端口修改为标记序列,并将修改后的可疑访问报文转发给后端的内网服务器。在确定接收到内网服务器的响应报文的情况下,如果响应报文中目的端口包括标记序列,则证明该响应报文为可疑访问报文的响应报文,需要对该响应报文进行是否超过对应用户权限的判断,并做相应处理,以使得过滤服务器可以将准确处理每个访问请求,保护了数据安全的同时提升了用户的使用体验。
Description
技术领域
本说明书涉及通信技术领域,尤其涉及一种访问报文处理方法及装置。
背景技术
有些公司、学校或组织等为了保护自己的数据,一般会建立内部局域网,该内部局域网与外网之间配置有总交换机、用于过滤报文的过滤服务器和用于确认外网用户身份的认证服务器等。
在外网用户需要访问内部局域网的情况下,需要先通过认证服务器完成身份认证。不同的外网用户对于内部局域网有不同的访问权限,为了确保内部局域网的数据的安全,保证每个外网用户不会访问到超出该用户访问权限的数据。已认证的外网用户的访问报文到达内部局域网与外网之间的总交换机时,如果该访问报文是针对内网服务器的访问报文,总交换机会将已认证的外网用户的访问报文转发给过滤服务器,过滤服务器判断该访问报文是否超出该用户的访问权限,在没有超出该用户的访问权限的情况下,将该访问报文转发至后端的内网服务器;在超出该用户的访问权限的情况下,将该访问报文丢弃。
过滤服务器判断该访问报文是否超出该外网用户的访问权限,是根据访问报文的目的网际互连协议(Internet Protocol,IP)地址来判断的,不同目的IP地址对应于不同的内网服务器。在有些情况下,对于同一用户,某一IP地址对应的服务器,可能同时存储有超出该外网用户的访问权限的数据,和没超出该外网用户访问权限的数据,这种情况下,仅根据目的IP地址,无法确定该访问报文是否超出该外网用户的访问权限(这种访问报文称为可疑访问报文)。相关技术中为了保证数据安全,一般是将可疑访问报文统一丢弃,但是这种统一丢弃的方法,使得有些不存在数据泄露风险的访问报文得不到回应,用户体验较差。
发明内容
为克服相关技术中存在的用户体验较差的问题,本说明书提供了一种访问报文处理方法及装置。
根据本说明书实施例的第一方面,提供一种访问报文处理方法,应用于过滤服务器,所述方法包括:
在确定接收到可疑访问报文的情况下,将该可疑访问报文的源端口修改为标记序列;将修改后的可疑访问报文转发至内网服务器;
在确定接收到内网服务器的响应报文的情况下,判断该可疑访问报文的目的端口是否包括标记序列;在该可疑访问报文的目的端口包括标记序列的情况下,判断该响应报文是否超出对应用户的访问权限,并根据判断结果对应处理该响应报文。
根据本说明书实施例的第二方面,提供一种访问报文处理装置,应用于过滤服务器,所述装置包括:
访问报文处理模块,用于在确定接收到可疑访问报文的情况下,将该可疑访问报文的源端口修改为标记序列;将修改后的可疑访问报文转发至内网服务器;
响应报文处理模块,用于在确定接收到内网服务器的响应报文的情况下,判断该可疑访问报文的目的端口是否包括标记序列;在该可疑访问报文的目的端口包括标记序列的情况下,判断该响应报文是否超出对应用户的访问权限,并根据判断结果对应处理该响应报文。
根据本说明书实施例的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述的访问报文处理方法。
根据本说明书实施例的第四方面,提供一种计算机设备,所述计算机设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的访问报文处理方法。
本说明书一个或多个实施例中,在确定接收到可疑访问报文的情况下,将该可疑访问报文的源端口修改为标记序列,并将修改后的可疑访问报文转发给后端的内网服务器。在确定接收到内网服务器的响应报文的情况下,如果响应报文中目的端口包括标记序列,则证明该响应报文为可疑访问报文的响应报文,需要对该响应报文进行是否超过对应用户权限的判断,并做相应处理,以使得过滤服务器可以将准确处理每个访问请求,保护了数据安全的同时提升了用户的使用体验。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是本说明书根据一示例性实施例示出的一种访问报文处理方法的流程图。
图2是本说明书根据一示例性实施例示出的一种访问报文处理方法的应用场景图。
图3A是本说明书根据一具体实施例示出的一种标记序列转换的示意图。
图3B是本说明书根据一具体实施例示出的一种验证序列转换的示意图。
图4是本说明书根据一示例性实施例示出的一种访问报文处理装置的框图。
图5本说明书根据一示例性实施例示出的一种访问报文处理装置所在计算机设备的一种硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
相关技术中,总交换机内配置有访问控制列表(Access Control Lists,ACL),ACL的匹配条件是,目的IP地址为后端的特定的内网服务器的IP地址,执行动作为将和匹配条件匹配的报文转发至过滤服务器。这些特定的内网服务器存储着重要的内容,因此要由过滤服务器对发往这些内网服务器的请求进行过滤,判断这些访问报文是否存在信息泄露风险。
为了实现上述要求,相关技术中在总交换机收到已认证的外网用户的访问报文时,会根据总交换机内配置的ACL,将这些访问报文转发至过滤服务器,过滤服务器根据该访问报文对应的认证用户的权限,判断该访问报文的目的IP地址对应的内网服务器中,是否存在超出该认证用户的权限的内容。如果超出了,则将该访问报文丢弃,如果未超出,则将该访问报文正常转发给后端的内网服务器。但是有些情况下,对于某个认证用户而言,该认证用户的访问报文中包含的目的IP地址对应的内网服务器中,既包括该认证用户权限范围内的内容,又包括超出该认证用户权限范围的内容,仅根据IP地址无法确定该访问报文是否存在信息泄露风险(这种访问报文称为可疑访问报文),为了保护信息安全,相关技术中一般将所有的可疑访问报文都进行丢弃处理。
而相关技术的做法存在一些问题,可疑访问报文中存在一些不存在信息泄露风险的报文,将这些报文丢弃后,将会使得这些报文对应的认证用户收不到响应报文,使得这些认证用户体验较差。
为了解决上述问题,首先考虑到,虽然仅根据可疑访问报文的目的IP或者内容无法确定该访问报文是否存在信息泄露风险,但是过滤服务器可以根据响应报文的内容,确定该访问报文是否存在信息泄露风险,因此,可以考虑对内网服务器发送的响应报文进行过滤,判断每个响应报文是否超过该响应请求对应的认证用户的权限。
进一步又考虑到,如果对所有响应报文都进行权限是否超范围的判断,将大大降低过滤服务器的处理效率。为了减少判断的响应报文的数量,提高过滤服务器的处理效率,在过滤服务器确定接收到的访问报文为可疑访问报文的情况下,可以为该可疑访问报文加上特殊的标记,并使得该可疑访问报文对应的响应报文也携带有该特殊的标记,这样,过滤服务器在接收到响应报文时,可以只对携带有特殊标记的响应报文进行权限是否超范围的判断。
进一步地,为了使得响应报文中也携带有该特殊的标记,考虑到访问请求的源端口并不影响后端的内网服务器的报文处理,只要保证一个会话对应的所有报文的源端口都相同就可以,可以将特殊的标记添加在响应报文的源端口位置。
基于此,本说明书提供一种访问报文处理方法及装置,应用于过滤服务器,在确定接收到可疑访问报文的情况下,将该可疑访问报文的源端口修改为标记序列,并将修改后的可疑访问报文转发给后端的内网服务器。在确定接收到内网服务器的响应报文的情况下,如果响应报文中目的端口包括标记序列,则证明该响应报文为可疑访问报文的响应报文,需要对该响应报文进行是否超过对应用户权限的判断,并做相应处理,以使得过滤服务器可以将准确处理每个访问请求,保护了数据安全的同时提升了用户的使用体验。
接下来对本说明书实施例进行详细说明。
如图1所示,图1是本说明书根据一示例性实施例示出的一种访问报文处理方法的流程图,应用于过滤服务器,包括以下步骤:
步骤101,在确定接收到可疑访问报文的情况下,将该可疑访问报文的源端口修改为标记序列;将修改后的可疑访问报文转发至内网服务器。
步骤103,在确定接收到内网服务器的响应报文的情况下,判断该可疑访问报文的目的端口是否包括标记序列;在该可疑访问报文的目的端口包括标记序列的情况下,判断该响应报文是否超出对应用户的访问权限,并根据判断结果对应处理该响应报文。
首先需要说明的是,步骤101和步骤103并不是两个连续的步骤,而是过滤服务器在不同条件下所执行的两个非连续的步骤。此外,本说明书提供的方法是针对基于TCP/IP协议下的通信,在这种协议下,报文头部有源端口,才能使用本说明书提供的方法。
如图2所示,图2是本说明书示出的一种内网架构,其中,因特网代表外网;图中的网关作为内网与外网之间的桥梁;总交换机用于将外网发往内网的报文转发至内网,并将内网发往外网的报文转发至外网,换言之,总交换机用于内网和外网之间的报文交换;认证服务器用于对外网用户进行认证,认证完成后的外网认证用户,可以访问符合该用户权限的内网内容;对外服务器用于提供对外服务,换言之,外网用户无需认证即可访问到对外服务器上的内容。内网环境中包括若干个内网用户(即个人主机)和内网服务器。部分内网服务器中存储有较为重要的内容,需要对针对这些重要的内网服务器的内容进行监控与过滤。
接下来将以报文的传递路径,来对本说明书提供的访问报文处理方法进行说明。
外网认证用户在认证成功后,其针对内网服务器的访问报文将先通过网关防火墙等设备,在防火墙确认该访问报文安全后,该访问报文会先到达总交换机,总交换机内配置有ACL,所述ACL的匹配条件包括,目的IP地址或源IP地址为内网服务器的地址;所述ACL的执行动作包括,将匹配到的报文转发至过滤服务器。在过滤服务器接收到可疑访问报文和响应报文前,总交换机执行:在收到的报文与所述ACL的匹配条件相匹配的情况下,将该报文转发给过滤服务器。换言之,总交换机可以将针对重要的内网服务器的报文,和重要的内网服务器发出去的报文都转发到过滤设备进行过滤,保护了重要的内网服务器的信息安全。其中,该重要的内网服务器即为前文中所提及的特定的内网服务器,这些服务器上存储有内网的重要数据,要对这些数据加以维护。
如果报文命中了总交换机内配置的ACL,将被转发至过滤服务器。在报文到达过滤服务器后,过滤服务器会先根据该访问报文的目的IP地址中存储的大体内容,和用户的访问权限,判断该访问报文是否超出了对应用户的访问权限,在未超出对应用户的访问权限的情况下,即确定该访问报文对内网环境不会产生危害,将该访问报文直接转发至后端的内网服务器。在超出对应用户的访问权限的情况下,确定该访问报文会对内网的数据安全产生影响,即确定该访问报文对内网环境存在危害,那么将会将该访问报文直接丢弃。在该访问报文的目的IP对应的内网服务器中既存储有该用户可以访问的内容,又存储有该用户无法访问的内容时,将无法确定该访问报文是否对内网环境存在危害,即确定该访问报文为可以访问报文。
在确定接收到可疑访问报文的情况下,将会执行步骤101,即对可疑访问报文添加标记。
为报文添加标记是修改报文的源端口,主要考虑到:报文的源端口内修改不会影响内网服务器对报文的解析处理操作,只要在总交换机发出响应报文前,将响应报文的目的端口改回为对应的访问报文的源端口,也不会影响用户和内网服务器之间的通信。更改可疑访问报文的源端口,可以在不影响报文的正常处理的同时,完成对可疑访问报文的标记。
步骤101中,具体的可疑访问报文的源端口修改,可以是将所有的可疑访问报文的源端口都改为一个固定值,那么收到响应报文时,只需判断响应报文的目的端口是否为该固定值,就能确定该响应报文是否是可疑访问报文的响应报文。
进一步考虑到,上述方法中,在该响应报文不会泄露数据隐私的情况下,需要将该响应报文的目的端口,改回对应的可疑访问报文的源端口,那么就需要根据该响应报文的目的IP地址、源IP地址和源端口,从对应的会话列表中查找对应的源端口,这样查找起来较为麻烦。
为了解决上述问题,步骤101中,可以将目的端口转换为一个随机数,该随机数与其他会话的可疑访问报文目的端口转换成的随机数不同,并存储该随机数与可疑访问报文对应的会话之间的对应关系。但是这样的话,在确定响应报文是否为可疑访问报文的响应报文的情况下,需要查找预先存储的会话(五元组)和随机数的对应关系,在目的端口为存储的随机数之一,且五元组中其余的信息和存储的该随机数对应的五元组相同,才能确认该响应报文是可疑访问报文的响应报文,这样使得确认是否为可疑访问报文的过程变得复杂。
为了解决上述问题,考虑可以设置一种预设的转换方法,该转换方法可以是一种数学方法,这种数学方法使得同样的输入对应相同的输出,并通过该转换方法,将可疑访问报文的目的IP地址、源IP地址和目的端口按照一定顺序组成序列,并将序列输入预设的转换方法中,将得到的输出作为标记序列。在收到响应报文时,可以根据响应报文的目的IP地址、源IP地址和源端口,按照对应的顺序组成序列,输入预设的转换方法中,得到验证序列,这样判断验证序列和响应报文的目的端口是否相同便可以较为容易得确定该响应报文是否为可疑访问报文的响应报文。
具体的将该可疑访问报文的源端口修改为标记序列,包括:将该可疑访问报文的源IP地址、目的IP地址和目的端口按照第一预设顺序组成地址特征;将该可疑访问报文的源端口改为:根据预设的转换方法将组成的地址特征转换成的标记序列;其中,不同会话对应的标记序列不同。此外,相对应的步骤105中,判断该可疑访问报文的目的端口是否包括标记序列,包括:将该响应报文的目的IP地址、源IP地址和源端口按照第二预设顺序组成地址特征;根据预设的转换方法,将响应报文的地址特征转换成验证序列;判断转换成的验证序列和该响应报文的目的端口是否相同;若相同,则可疑访问报文的目的端口包括标记序列;若不同,则可疑访问报文的目的端口不包括标记序列;其中,不同的地址特征转换成的序列不同,相同的地址特征转换成的序列相同;源IP地址在第一预设顺序中的位置,和目的IP地址在第二预设顺序中的位置相同;目的IP地址在第一预设顺序中的位置,和源IP地址在第二预设顺序中的位置相同;目的端口在第一预设顺序中的位置,和源端口在第二预设顺序中的位置相同。
其中,上述所限定的位置相同,举例来说,第一预设顺序是源IP地址,目的IP地址和目的端口,那么第二预设顺序需要是目的IP地址,源IP地址和源端口,以此类推。
这样,为每个会话对应生成不同的标记序列,并存储标记序列和可疑访问报文的源端口之间的对应关系,这样需要将可疑访问报文的源端口改回对应的可疑访问报文的源端口的情况下,可以根据存储的标记序列和源端口之间的对应关系,快速查找到该可疑访问报文的源端口。此外,选择根据三元(源IP地址、目的IP地址和源端口/目的端口)来进行的转换的原因是,考虑到访问报文和响应报文中都会包括这三元,这样可以无需其他信息的帮助即可快速确定该响应报文是否为可疑响应报文。
其中,预设的转换方法可以是MD5信息摘要算法或哈希算法等等,本说明书在此不做限制。
接下来将以MD5信息摘要算法为预设的转换方法为例,对将地址特征转换为标记序列/验证序列的过程进行说明。将地址特征转换成序列的方法,包括:将地址特征补零得到512位的输入数据;根据MD5信息摘要算法,得到输入数据的计算结果;将计算结果的预设位置的16位数据作为地址特征转换成的序列。将地址特征转换为标记序列的示意图如图3A所示,将地址特征转换为验证序列的示意图如图3B所示,图中内容不代表对于转换方法的限定,三元(源IP地址、目的IP地址和源端口/目的端口)的填写顺序和在512位中的填写位置可以和图中示出的不同。
其中,需要补零的原因是,MD5信息摘要算法的输入一般为512位,且512位可以使得输出更加多样,不容易造成两个不同输入的输出相同情况。选择16位的原因是,报文的IP头中源端口目的端口的位数为16位。预设位置可以是计算结果的高16位,也可以是计算结果的低16位,也可以是计算结果的中间16位,本说明书在此不做限制。但是需要保证不同的序列是不同的计算结果的同一位置的数值,比如第一个序列为第一个计算结果的低16位,第二个序列为第二个计算结果的低16位;而不能在第一个序列为第一个计算结果的低16位的情况下,第二个序列取了第二个计算结果的高16位。
再进一步地,考虑到,可能存在两个可疑访问报文,其源IP地址、目的IP地址和目的端口相同。仅通过可疑访问报文的源IP地址、目的IP地址和目的端口可能不能区分两个会话。为了解决上述问题,可以通过在源端口中添加其他信息来区分不同的会话。
具体而言,在修改可疑访问报文的源端口前,所述方法还包括:存储转换得到的标记序列和该可疑访问报文所属会话之间的对应关系。具体的源端口修改方法为:将地址特征补零得到512位的输入数据;根据MD5信息摘要算法,得到输入数据的计算结果;将计算结果预设位置的N位数据作为第一序列;在存储的标记序列与会话之间的对应关系中,不存在包括该第一序列的标记序列情况下,生成一个M位的第二序列,将生成的第二序列和第一序列按照第三预设顺序组合,作为地址特征转换成的标记序列;在存储的标记序列与会话之间的对应关系中,存在包括该第一序列的标记序列情况下,判断包括该第一序列的标记序列对应的会话的五元组中,是否存在与该可疑访问报文的五元组相同的五元组;在不存在的情况下,生成一个M位的第二序列,生成的第二序列与任一包括该第一序列的标记序列中的第二序列不同;将第一序列和生成的第二序列按照第三预设顺序组合,作为地址特征转换成的标记序列;其中N+M=16;在存在的情况下,将与该可疑访问报文的五元组相同的五元组对应的标记序列,作为地址特征转换成的标记序列。
换言之,将通过MD5信息摘要算法或者其他方法转换成的序列作为第一序列,再生成随机数作为第二序列,不同的会话的第二序列不同,同一会话的不同可疑访问报文的第二序列相同。这样通过第一序列和第二序列组成的标记序列,即使三元(同上述的三元相同)相同,标记序列也是不同的,这样,后端内网服务器可以区分两个不同的会话,过滤服务器在收到可疑访问报文的响应报文时,也可以是根据不同的目的端口,确定如何修改。
其中,如果应用了上述方法,那么在判断响应报文是否为可疑访问报文的响应报文时,可以将响应报文的地址特征生成的验证序列,和目的端口固定位的第一序列相比,如果两者相同,则证明该响应报文为可疑访问报文的响应报文(即携带有标记序列),如果不同,则证明该响应报文非可疑访问报文的响应报文(即未携带有标记序列)。
其中,M的取值可以根据外网用户的数量和分布来确定,M的大小限定了:能同时访问内网的具有相同三元的外网认证用户的数量。实际使用中,M可以取6。
其中,上述提及的存储的标记序列和会话的对应关系,及会话的五元组,可以按照普通会话的五元组的老化时间进行老化。
上述过程叙述了如何确定某个响应报文是否包括标记序列,即某个响应报文是否为可疑访问报文的响应报文。在得到判断结果后,需要根据判断结果对应处理响应报文,具体的处理方法如下所述。
在修改可疑访问报文的源端口前,所述方法还包括:存储该可以访问报文对应的会话的五元组。所述判断该响应报文是否超出对应用户的访问权限,并根据判断结果对应处理该响应报文,包括:在该响应报文的内容超出对应用户的访问权限的情况下,将该响应报文丢弃;在该响应报文的内容超出对应用户的访问权限的情况下,根据存储的会话的五元组,以及该响应报文的源IP地址、源端口和目的IP地址,确定该响应报文对应的会话;将该响应报文的目的端口修改为确定的会话的源端口;将修改后的报文转发给总交换机。
换言之,如果该响应报文超出了对应用户的访问权限,则需要将其丢弃,不能转发给用户,以防数据泄露,如果该响应报文未超出对应用户的访问权限,则可以将其转发给外网用户。
此外,如果接收的响应报文不包含标记序列,则所述方法还包括:在该可疑访问报文的目的端口不包括标记序列的情况下,将该可疑访问报文转发出去。
与前述方法的实施例相对应,本说明书还提供了装置及其所应用的终端的实施例。
如图4所示,图4是本说明书根据一示例性实施例示出的一种访问报文处理装置的框图,应用于过滤服务器,所述装置包括:
访问报文处理模块410,用于在确定接收到可疑访问报文的情况下,将该可疑访问报文的源端口修改为标记序列;将修改后的可疑访问报文转发至内网服务器;
响应报文处理模块420,用于在确定接收到内网服务器的响应报文的情况下,判断该可疑访问报文的目的端口是否包括标记序列;在该可疑访问报文的目的端口包括标记序列的情况下,判断该响应报文是否超出对应用户的访问权限,并根据判断结果对应处理该响应报文。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
如图5所示,图5示出了实施例向交换芯片下发聚合链路配置的装置所在计算机设备的一种硬件结构图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述的访问报文处理方法。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (10)
1.一种访问报文处理方法,其特征在于,应用于过滤服务器,所述方法包括:
在确定接收到可疑访问报文的情况下,将该可疑访问报文的源端口修改为标记序列;将修改后的可疑访问报文转发至内网服务器;
在确定接收到内网服务器的响应报文的情况下,判断该可疑访问报文的目的端口是否包括标记序列;在该可疑访问报文的目的端口包括标记序列的情况下,判断该响应报文是否超出对应用户的访问权限,并根据判断结果对应处理该响应报文。
2.根据权利要求1所述方法,其特征在于,所述将该可疑访问报文的源端口修改为标记序列,包括:
将该可疑访问报文的源IP地址、目的IP地址和目的端口按照第一预设顺序组成地址特征;将该可疑访问报文的源端口改为:根据预设的转换方法将组成的地址特征转换成的标记序列;其中,不同会话对应的标记序列不同;
所述判断该可疑访问报文的目的端口是否包括标记序列,包括:
将该响应报文的目的IP地址、源IP地址和源端口按照第二预设顺序组成地址特征;根据预设的转换方法,将响应报文的地址特征转换成验证序列;判断转换成的的验证序列和该响应报文的目的端口是否相同;若相同,则可疑访问报文的目的端口包括标记序列;若不同,则可疑访问报文的目的端口不包括标记序列;
其中,不同的地址特征转换成的序列不同,相同的地址特征转换成的序列相同;源IP地址在第一预设顺序中的位置,和目的IP地址在第二预设顺序中的位置相同;目的IP地址在第一预设顺序中的位置,和源IP地址在第二预设顺序中的位置相同;目的端口在第一预设顺序中的位置,和源端口在第二预设顺序中的位置相同。
3.根据权利要求2所述方法,其特征在于,所述根据预设的转换方法,所述预设的转换方法为MD5信息摘要算法;
将地址特征转换成序列的方法,包括:
将地址特征补零得到512位的输入数据;
根据MD5信息摘要算法,得到输入数据的计算结果;
将计算结果的预设位置的16位数据作为地址特征转换成的序列。
4.根据权利要求2所述方法,其特征在于,在修改可疑访问报文的源端口前,所述方法还包括:存储转换得到的标记序列和该可疑访问报文所属会话之间的对应关系;
所述将该可疑访问报文的源端口改为:根据预设的转换方法将组成的地址特征转换成的标记序列,包括:
将地址特征补零得到512位的输入数据;根据MD5信息摘要算法,得到输入数据的计算结果;将计算结果预设位置的N位数据作为第一序列;
在存储的标记序列与会话之间的对应关系中,不存在包括该第一序列的标记序列情况下,生成一个M位的第二序列,将生成的第二序列和第一序列按照第三预设顺序组合,作为地址特征转换成的标记序列;
在存储的标记序列与会话之间的对应关系中,存在包括该第一序列的标记序列情况下,判断包括该第一序列的标记序列对应的会话的五元组中,是否存在与该可疑访问报文的五元组相同的五元组;
在不存在的情况下,生成一个M位的第二序列,生成的第二序列与任一包括该第一序列的标记序列中的第二序列不同;将第一序列和生成的第二序列按照第三预设顺序组合,作为地址特征转换成的标记序列;其中N+M=16;
在存在的情况下,将与该可疑访问报文的五元组相同的五元组对应的标记序列,作为地址特征转换成的标记序列。
5.根据权利要求1所述方法,其特征在于,在修改可疑访问报文的源端口前,所述方法还包括:存储该可疑访问报文对应的会话的五元组;
所述判断该响应报文是否超出对应用户的访问权限,并根据判断结果对应处理该响应报文,包括:
在该响应报文的内容超出对应用户的访问权限的情况下,将该响应报文丢弃;
在该响应报文的内容超出对应用户的访问权限的情况下,根据存储的会话的五元组,以及该响应报文的源IP地址、源端口和目的IP地址,确定该响应报文对应的会话;将该响应报文的目的端口修改为确定的会话的源端口;将修改后的报文转发给总交换机。
6.根据权利要求1所述方法,其特征在于,总交换机内配置有访问控制列表ACL,所述ACL的匹配条件包括,目的IP地址或源IP地址为内网服务器的地址;所述ACL的执行动作包括,将匹配到的报文转发至过滤服务器;
在过滤服务器接收到可疑访问报文和响应报文前,总交换机执行:
在收到的报文与所述ACL的匹配条件相匹配的情况下,将该报文转发给过滤服务器。
7.根据权利要求1所述方法,其特征在于,所述方法还包括:
在该可疑访问报文的目的端口不包括标记序列的情况下,将该可疑访问报文转发出去。
8.一种访问报文处理装置,其特征在于,应用于过滤服务器,所述装置包括:
访问报文处理模块,用于在确定接收到可疑访问报文的情况下,将该可疑访问报文的源端口修改为标记序列;将修改后的可疑访问报文转发至内网服务器;
响应报文处理模块,用于在确定接收到内网服务器的响应报文的情况下,判断该可疑访问报文的目的端口是否包括标记序列;在该可疑访问报文的目的端口包括标记序列的情况下,判断该响应报文是否超出对应用户的访问权限,并根据判断结果对应处理该响应报文。
9.一种计算机可读存储介质,其特征在于,存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的方法。
10.一种计算机设备,其特征在于,所述计算机设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111111786.0A CN113872953B (zh) | 2021-09-18 | 2021-09-18 | 一种访问报文处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111111786.0A CN113872953B (zh) | 2021-09-18 | 2021-09-18 | 一种访问报文处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113872953A true CN113872953A (zh) | 2021-12-31 |
CN113872953B CN113872953B (zh) | 2024-03-26 |
Family
ID=78993335
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111111786.0A Active CN113872953B (zh) | 2021-09-18 | 2021-09-18 | 一种访问报文处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113872953B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000261483A (ja) * | 1999-03-09 | 2000-09-22 | Hitachi Ltd | ネットワーク監視システム |
US20080320567A1 (en) * | 2007-06-20 | 2008-12-25 | Imperva, Inc. | System and method for preventing web frauds committed using client-scripting attacks |
CN101478546A (zh) * | 2009-01-23 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种保护网络安全的方法和网络安全保护设备 |
CN101741568A (zh) * | 2009-12-18 | 2010-06-16 | 成都市华为赛门铁克科技有限公司 | 上网方法、客户端、安全网关及上网系统 |
US9241010B1 (en) * | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
CN107689963A (zh) * | 2017-09-26 | 2018-02-13 | 杭州迪普科技股份有限公司 | 一种针对arp应答报文攻击的检测方法及装置 |
CN107733581A (zh) * | 2017-10-11 | 2018-02-23 | 杭州安恒信息技术有限公司 | 基于全网环境下的快速互联网资产特征探测方法及装置 |
CN108076003A (zh) * | 2016-11-07 | 2018-05-25 | 阿里巴巴集团控股有限公司 | 会话劫持的检测方法及装置 |
CN109756480A (zh) * | 2018-11-30 | 2019-05-14 | 中国互联网络信息中心 | 一种DDoS攻击防御方法、装置、电子设备及介质 |
CN110266684A (zh) * | 2019-06-19 | 2019-09-20 | 北京天融信网络安全技术有限公司 | 一种域名系统安全防护方法及装置 |
CN111510434A (zh) * | 2020-03-24 | 2020-08-07 | 中国建设银行股份有限公司 | 网络入侵检测方法、系统及相关设备 |
CN112347511A (zh) * | 2020-11-09 | 2021-02-09 | 平安普惠企业管理有限公司 | 基于权限的数据屏蔽方法、装置、计算机设备及存储介质 |
US20210152598A1 (en) * | 2019-11-18 | 2021-05-20 | F5 Networks, Inc. | Network application firewall |
-
2021
- 2021-09-18 CN CN202111111786.0A patent/CN113872953B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000261483A (ja) * | 1999-03-09 | 2000-09-22 | Hitachi Ltd | ネットワーク監視システム |
US20080320567A1 (en) * | 2007-06-20 | 2008-12-25 | Imperva, Inc. | System and method for preventing web frauds committed using client-scripting attacks |
CN101478546A (zh) * | 2009-01-23 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种保护网络安全的方法和网络安全保护设备 |
CN101741568A (zh) * | 2009-12-18 | 2010-06-16 | 成都市华为赛门铁克科技有限公司 | 上网方法、客户端、安全网关及上网系统 |
US9241010B1 (en) * | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
CN108076003A (zh) * | 2016-11-07 | 2018-05-25 | 阿里巴巴集团控股有限公司 | 会话劫持的检测方法及装置 |
CN107689963A (zh) * | 2017-09-26 | 2018-02-13 | 杭州迪普科技股份有限公司 | 一种针对arp应答报文攻击的检测方法及装置 |
CN107733581A (zh) * | 2017-10-11 | 2018-02-23 | 杭州安恒信息技术有限公司 | 基于全网环境下的快速互联网资产特征探测方法及装置 |
CN109756480A (zh) * | 2018-11-30 | 2019-05-14 | 中国互联网络信息中心 | 一种DDoS攻击防御方法、装置、电子设备及介质 |
CN110266684A (zh) * | 2019-06-19 | 2019-09-20 | 北京天融信网络安全技术有限公司 | 一种域名系统安全防护方法及装置 |
US20210152598A1 (en) * | 2019-11-18 | 2021-05-20 | F5 Networks, Inc. | Network application firewall |
CN111510434A (zh) * | 2020-03-24 | 2020-08-07 | 中国建设银行股份有限公司 | 网络入侵检测方法、系统及相关设备 |
CN112347511A (zh) * | 2020-11-09 | 2021-02-09 | 平安普惠企业管理有限公司 | 基于权限的数据屏蔽方法、装置、计算机设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113872953B (zh) | 2024-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10212173B2 (en) | Deterministic reproduction of client/server computer state or output sent to one or more client computers | |
JP5886422B2 (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
US11968178B2 (en) | Reduction and acceleration of a deterministic finite automaton | |
WO2019237813A1 (zh) | 一种服务资源的调度方法及装置 | |
CN109768991B (zh) | 报文的重放攻击检测方法、装置、电子设备 | |
JP2022531878A (ja) | Dnsメッセージを使用してコンピュータ・フォレンジック・データを選択的に収集するためのシステムおよび方法 | |
CN106534051A (zh) | 一种针对访问请求的处理方法和装置 | |
JP2022554101A (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
CN112272164A (zh) | 报文处理方法及装置 | |
CN114124583A (zh) | 基于零信任的终端控制方法、系统及装置 | |
JP2023508302A (ja) | ネットワークセキュリティ保護方法及び保護デバイス | |
CN109905352B (zh) | 一种基于加密协议审计数据的方法、装置和存储介质 | |
CN111865876B (zh) | 网络的访问控制方法和设备 | |
CN113872953B (zh) | 一种访问报文处理方法及装置 | |
CN108337222B (zh) | 区分访问终端身份的端口开放方法、设备及可读存储介质 | |
Erickson et al. | No one in the middle: Enabling network access control via transparent attribution | |
JP2014155095A (ja) | 通信制御装置、プログラム及び通信制御方法 | |
CN114285588A (zh) | 获取攻击对象信息的方法、装置、设备及存储介质 | |
US11044197B2 (en) | System and method for protecting resources using network devices | |
US11765090B2 (en) | Network traffic control based on application identifier | |
CN111106982B (zh) | 一种信息过滤方法、装置、电子设备及存储介质 | |
KR102387010B1 (ko) | 감시 장치 및 감시 방법 | |
CN117834246A (zh) | 流量身份标识方法、装置、零信任控制中心和存储介质 | |
CN116266793A (zh) | 访问控制方法及其相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |