CN114070624A - 一种报文监测的方法、装置、电子设备及介质 - Google Patents
一种报文监测的方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN114070624A CN114070624A CN202111357544.XA CN202111357544A CN114070624A CN 114070624 A CN114070624 A CN 114070624A CN 202111357544 A CN202111357544 A CN 202111357544A CN 114070624 A CN114070624 A CN 114070624A
- Authority
- CN
- China
- Prior art keywords
- message
- sent
- white list
- rule
- outgoing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 81
- 238000012544 monitoring process Methods 0.000 title claims abstract description 78
- 238000004590 computer program Methods 0.000 claims description 4
- 238000012790 confirmation Methods 0.000 claims 3
- 230000003993 interaction Effects 0.000 abstract description 12
- 230000007246 mechanism Effects 0.000 abstract description 8
- 238000012806 monitoring device Methods 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 24
- 230000006870 function Effects 0.000 description 8
- 238000004458 analytical method Methods 0.000 description 7
- 238000012512 characterization method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000013024 troubleshooting Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请实施例提供一种报文监测的方法、装置、电子设备及介质,该方法包括:获取待发送报文;若确认内核包括的外发规则中不存在与待发送报文对应的特征信息,则拦截待发送报文,其中,外发规则是根据白名单生成的,能够通过白名单机制下发外发规则,从而对报文进行拦截和解析,将不允许外发的报文记录到日志中,实现报文交互不仅可控且交互踪迹可查询,从而可以实现根据报文日志跟踪报文。
Description
技术领域
本申请实施例涉及报文监测领域,具体涉及一种报文监测的方法、装置、电子设备及介质。
背景技术
相关技术中,通常会在网络节点设备中,对报文进行拦截、过滤和解析,再进行区别处理以提升系统网络安全。在报文监测的过程中,通常会采用黑白名单进行规制匹配的方式实现报文外发或拦截,但无法跟踪报文的访问踪迹,进而无法给予网络设备管理员违法报文访问的告警提示。
因此,如何提高报文监测的安全性成为亟待解决的问题。
发明内容
本申请实施例提供一种报文监测的方法、装置、电子设备及介质,通过本申请的一些实施例至少能够通过白名单机制下发外发规则,从而对报文进行拦截和解析,将不允许外发的报文记录到日志中,实现报文交互不仅可控且交互踪迹可查询,从而可以实现根据报文日志跟踪报文,提高报文监测的安全性。
第一方面,本申请的一些实施例提供了一种报文监测的方法,所述方法包括:获取待发送报文;若确认内核包括的外发规则中不存在与所述待发送报文对应的特征信息,则拦截所述待发送报文,其中,所述外发规则是根据白名单生成的。
因此,本申请实施例通过将白名单更新机制,报文拦截,报文解析以及日志记录组合在一起,通过采用白名单更新机制来下发相关的iptables命令,然后通过使用NFLOG工具进行拦截报文和解析报文,将不允许外发的报文记录到日志信息中,达到报文交互不仅可控且交互踪迹可查,可根据报文日志达到跟踪的目的。
结合第一方面,在本申请的一些实施方式中,在所述若确认内核包括的外发规则中不存在与所述待发送报文对应的特征信息,则拦截所述待发送报文之前,所述方法还包括:通过外部接口对所述白名单进行更新,获得更新白名单;
因此,本申请实施例通过对白名单进行更新,既能够实现安全性访问,又能够实现多个本地服务同时访问白名单。
结合第一方面,在本申请的一些实施方式中,所述通过外部接口对所述白名单进行更新,获得更新白名单,包括:确认所述待发送报文的特征信息符合表征规则;确认所述白名单中存在本地服务名称且不存在所述特征信息,则将所述特征信息更新至所述白名单,获得所述更新白名单。
结合第一方面,在本申请的一些实施方式中,在所述将所述特征信息更新至所述白名单之前,所述方法还包括:确认所述特征信息的数量小于预设数量。
因此,本申请实施例通过在更新白名单之前对多个条件进行确认,能够确保更新到白名单中的特征信息符合要求,从而能够区别于相关技术中,只使用固定的白名单内容,从而在生成外发规则时,保证外发规则的正确生成。
结合第一方面,在本申请的一些实施方式中,在所述若确认内核包括的外发规则中不存在与所述待发送报文对应的特征信息,则拦截所述待发送报文之前,所述方法还包括:根据所述更新白名单,生成所述外发规则和监控规则,其中,所述监控规则中包括所述待发送报文对应的特征信息;根据所述监控规则对所述待发送报文进行监控。
因此,本申请实施例中区别于相关技术中只与白名单进行比较,本申请通过生成外发规则和监控规则,能够在设备被非法进程控制时,监测到外发规则中不存在与待发送报文相对应的特征信息,从而拦截待发送报文,实现在设备被非法进程控制时也能够准确的监测报文。
结合第一方面,在本申请的一些实施方式中,在所述若确认内核包括的外发规则中不存在与所述待发送报文对应的特征信息,则拦截所述待发送报文之后,所述方法还包括:根据所述待发送报文对应的特征信息,生成拦截报文外发日志;将所述拦截报文外发日志上传到日志模块并存储所述拦截报文外发日志。
因此,本申请实施例通过对外发规则中不存在特征信息的待发送报文进行拦截,能够实现报文可控和可分析,同时可以记录报文访问踪迹,方便故障排查与问题追溯定位。
结合第一方面,在本申请的一些实施方式中,在所述获取待发送报文之后,所述方法还包括:若确认所述内核包括的外发规则中存在与所述待发送报文对应的特征信息,则发送所述待发送报文。
第二方面,本申请的一些实施例提供了一种报文监测的装置,所述装置包括:报文获取模块,被配置为获取待发送报文;报文监测模块,被配置为若确认内核包括的外发规则中不存在与所述待发送报文对应的特征信息,则拦截所述待发送报文,其中,所述外发规则是根据白名单生成的。
结合第二方面,在本申请的一些实施方式中,报文监测模块还被配置为:通过外部接口对所述白名单进行更新,获得更新白名单;
结合第二方面,在本申请的一些实施方式中,报文监测模块还被配置为:确认所述待发送报文的特征信息符合表征规则;确认所述白名单中存在本地服务名称且不存在所述特征信息,则将所述特征信息更新至所述白名单,获得所述更新白名单。
结合第二方面,在本申请的一些实施方式中,报文监测模块还被配置为:确认所述特征信息的数量小于预设数量。
结合第二方面,在本申请的一些实施方式中,报文监测模块还被配置为:根据所述更新白名单,生成所述外发规则和监控规则,其中,所述监控规则中包括所述待发送报文对应的特征信息;根据所述监控规则对所述待发送报文进行监控。
结合第二方面,在本申请的一些实施方式中,报文监测模块还被配置为:根据所述待发送报文对应的特征信息,生成拦截报文外发日志;将所述拦截报文外发日志上传到日志模块并存储所述拦截报文外发日志。
结合第二方面,在本申请的一些实施方式中,报文监测模块还被配置为:若确认所述内核包括的外发规则中存在与所述待发送报文对应的特征信息,则发送所述待发送报文。
第三方面,本申请的一些实施例提供了一种电子设备,包括:处理器、存储器和总线;所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如第一方面及其所有实施例所述方法。
第四方面,本申请的一些实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时用于实现如第一方面及其所有实施例所述方法。
附图说明
图1为本申请实施例示出的一种报文监测的系统组成示意图;
图2为本申请实施例示出的一种报文监测的方法流程图;
图3为本申请实施例示出的一种报文监测具体实施流程图;
图4为本申请实施例示出的白名单加载流程图;
图5为本申请实施例示出的白名单更新流程图;
图6为本申请实施例示出的解析报文流程图;
图7为本申请实施例示出的一种报文监测的装置组成框图;
图8为本申请实施例示出的一种电子设备组成示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对附图中提供的本申请的实施例的详情描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护范围。
本申请实施例可以应用于在设备遭遇攻击时,对报文进行监测的场景,为了改善背景技术中的问题,在本申请的一些实施例中,电子设备通过判断内核中的外发规则中是否存在待发送报文的特征信息,来实现待发送报文的发送或拦截。
例如,在本申请的一些实施例中,在获取待发送报文之后,监控规则(即NFLOG规则)监控所有的TCP或UDP报文(包括待发送报文),之后将待发送报文的特征信息与内核中的外发规则(即ACCEPT规则)进行比较,若待发送报文的特征信息与外发规则中的信息不同,则拦截待发送报文,并且生成拦截报文外发日志上传到日志模块;若待发送报文的特征信息与外发规则中的信息相同,则监控规则为待发送报文添加标识信息,该标识信息用于表征该待发送报文是从本地服务模块中发出,同时发送该报文并且生成发送报文外发日志,保存在本地文件中。本申请的一些实施例能够实现报文交互过程中,即可控又能查询交互踪迹,从而可以实现根据报文日志追踪报文。
下面结合附图详细描述本申请实施例中的方法步骤。
图1提供了本申请实施例中的一种报文监测的系统,如图1的系统中,包括本地服务模块110和电子设备120。具体的,本地服务模块110为系统中设定的报文发送源,其中包括多个子服务模块,例如:路由模块、查找模块、复制模块等(即多个子服务模块的本地服务名称分别为路由模块、查找模块、复制模块),本地服务模块110调用电子设备120中的外部接口,向电子设备120发送待发送报文,电子设备120在获取得到待发送报文之后,根据更新白名单下发外发规则到内核,确认外发规则中不存在待发送报文所对应的特征信息,则拦截待发送报文,同时将拦截的报文进行解析,生成拦截报文外发日志进行上报。
与本申请实施例不同的是相关技术中,在报文监测的过程中,通常会采用黑白名单进行规制匹配的方式实现报文外发或拦截,但无法跟踪报文的访问踪迹,进而无法给予网络设备管理员违法报文访问的告警提示。
至少为了解决上述问题,本申请实施例提供了一种报文监测的方法,能够通过白名单机制下发外发规则,从而对报文进行拦截和解析,将不允许外发的报文记录到日志中,实现报文交互不仅可控且交互踪迹可查询,从而可以实现根据报文日志跟踪报文。
下文将描述本申请实施例中,应用于上述电子设备120的一种报文监测的方法。
如图2所示,一种报文监测的方法包括:S210,获取待发送报文;S220,若确认内核包括的外发规则中不存在与待发送报文对应的特征信息,则拦截待发送报文。
在本申请的一些实施例中,外发规则是根据白名单生成的,在S220之前还包括:通过外部接口对白名单进行更新,获得更新白名单。
也就是说,在获取待发送报文和待发送报文对应的特征信息,待发送报文调用外部接口之后,判断白名单中是否存在待发送报文所对应的本地服务名称(即判断外部接口携带的本地服务模块是否为本地服务),若存在,则将待发送报文对应的特征信息更新到白名单中并且根据规则允许下发,否则,给出错误码,提示该服务模块不在白名单中。
具体的,如图3所示,本地服务模块310中包括多个子服务模块,其本地服务名称分别为服务1、服务2……服务n,从本地服务模块310中发送出的待发送报文,通过调用外部接口321进入本地报文外发控制模块320,在白名单中检索待发送报文相对应的本地服务名称,确认白名单中存在待发送报文相对应的本地服务名称的情况下,将待发送报文相对应的特征信息更新到白名单中,获得更新白名单。确认白名单中不存在特征发送报文相对应的本地服务名称,则拦截待发送报文。
因此,本申请实施例通过对白名单进行更新,既能够实现安全性访问,又能够实现多个本地服务同时访问白名单。
在本申请的一些实施例中,更新白名单的具体过程为:首先,确认待发送报文的特征信息符合表征规则。接着,确认白名单中存在本地服务名称且不存在特征信息。最后,确认特征信息的数量小于预设数量,将特征信息更新至白名单,获得更新白名单。
也就是说,在更新白名单之前还需要初始化白名单,如图4所示,通过执行S410默认配置文件加载,从而生成白名单420。具体的,首先创建存储白名单内容的共享内存,接着加载默认配置文件,解析配置信息,最后存储默认配置信息到共享内存,生成白名单420。
更新白名单的具体过程为:
首先,在调用外部接口更新白名单内容时,检查待发送报文的特征信息是否符合表征规则。若符合,则进行后续判断,若不符合,则返回表征有误的错误码。例如,待发送报文的特征信息为目标IP地址为192.1.1.1、目标端口为24和协议为TCP,那么,目标IP的表征规则为192.x.x.x,目标端口的表征规则为由数字表示,协议的表征规则为TPC或UDP。若特征信息不符合上述表征规则,则返回表征有误的错误码;若特征信息符合上述表征规则,则继续后续判断。
接着,在待发送报文的特征信息符合表征规则的情况下,确认白名单中存在本地服务名称且不存在与本地服务名称相对应的特征信息。例如,待发送报文的本地服务名称为服务1,白名单中包括的本地服务名称包括服务1、服务2、服务5和服务6,即白名单中存在待发送报文的本地服务名称,在白名单中存在待发送报文的本地服务名称的情况下,判断白名单中是否存在相对应的特征信息,若不存在,则将待发送报文的特征信息更新到白名单中。再例如,待发送报文的本地服务名称为服务3,白名单中包括的本地服务名称包括服务1、服务2、服务5和服务6,即白名单中不存在待发送报文的本地服务名称,则拦截待发送报文并且返回相应的本地服务名称不存在的错误码。
最后,确认特征信息的数量小于预设数量。具体的,在将待发送报文的特征信息更新到白名单之前,判断特征信息的数量是否小于预设数量,若是,则将待发送报文的特征信息更新到白名单;若不是,则退出并返回相应的数量错误码。
作为本申请的一种具体实施例,如图5所示,在通过外部接口获取到待发送报文和待发送报文相对应的特征信息之后,执行S510开始之后,判断S520特征信息是否符合表征规则,若是,则执行S530检测是否为本地服务,若否,则执行S560结束,在执行S530的过程中,若待发送报文为本地服务,则执行S540添加特征信息更新白名单,若否,则执行S560结束,在执行S540之后,执行S550根据特征信息下发iptables规则。
需要说明的是,待发送报文对应的特征信息,是表征待发送报文属性的信息。特征信息可以是待发送报文的五元组信息(源IP地址,源端口,目的IP地址,目的端口和传输层协议),特征信息还可以是待发送报文的时间戳、报文长度、出接口等。本申请实施例不限于此。
预设数量是白名单中每个本地服务在白名单中信息的最大控制量。预设数量可以根据实际需求进行调整,可以是64,也可以是128。本申请实施例不限于此。
图3中本地报文外发控制模块320中的白名单模块包括外部接口321、白名单322和步骤S323命令拼接。
具体的,白名单由本地报文外发控制模块320创建并维护,由本地外发进程启动时创建白名单。白名单中保存与待发送报文相对应的本地服务名称,白名单以本地服务名称为唯一识别字符,对于白名单中不存在的本地服务名称,则不被允许更新或修改白名单。白名单内容包括报文外发必要条件的基本信息(ip、协议号、端口号、出接口等),以共享内存的形式存放。
外部接口321是本地报文外发控制模块320为本地服务如邮件、短信以及升级等模块更新白名单内容提供的API接口。本地服务可根据接口使用方法使用外部接口更新白名单以避免待发送报文被本地外发报文控制模块320拦截。
步骤S323命令拼接指的是本地报文外发控制模块320将按照白名单的特征信息拼接成root下的iptables命令,通过iptables命令将外发规则和监控规则下发到内核。
因此,本申请实施例通过在更新白名单之前对多个条件进行确认,能够确保更新到白名单中的特征信息符合要求,从而能够区别于相关技术中,只使用固定的白名单内容,从而在生成外发规则时,保证外发规则的正确生成。
在本申请的一些实施方式中,在执行S220之前还包括:根据更新白名单,生成外发规则和监控规则,其中,监控规则中包括待发送报文对应的特征信息,根据监控规则对待发送报文进行监控。
也就是说,在上述实施方式中白名单更新之后,根据白名单中的待发送报文的特征信息,生成外发规则(即accept规则)和监控规则(即NFLOG规则),并下发到内核中,将外发规则与监控规则进行匹配,若外发规则中包括监控规则中所包括的特征信息的情况下,则发送待发送报文,若不存在的情况下,则拦截报文。
具体的,如图3所示,对白名单322进行更新获得更新白名单之后,执行S323命令拼接,将更新白名单中的特征信息通过iptables命令拼接成NFLOG规则(即监控规则)和ACCEPT规则(即外发规则),下发到内核340(先拼接NFLOG规则,后拼接ACCEPT规则),其中,ACCEPT规则可以表示为:
“iptables-I OUTPUT-p tcp/udp--dport XX-o dev_name-j ACCEPT”
其中,iptables表示iptables规则,OUTPUT表示OUTPUT链表,dport XX用于表征端口号,XX为实际的端口号数值(例如:24),tcp/udp表示TCP协议或UDP协议,dev_name表示外发接口的名称,ACCEPT表示ACCEPT规则,其中,符合ACCEPT规则的报文,则被允许通过。
NFLOG规则可以表示为:
“iptables-I OUTPUT-p tcp/udp--dport XX-o dev_name-j NFLOG--nflog-group 4--nflog-prefix service_name”
其中,iptables表示iptables规则,OUTPUT表示OUTPUT链表,dport XX用于表征端口号,XX为实际的端口号数值(例如:24),tcp/udp表示TCP协议或UDP协议,dev_name外发接口的名称,nflog-group 4表示IPV4资源池,nflog-prefix service_name表示包含有服务模块名称的前缀,其中,通过解析该前缀,进行日志上报。
作为本申请的一种具体实施例,NFLOG规则在对待发送报文进行监控的过程中,对经过本地服务模块发送的报文添加标识信息,之后在NFLOG规则判断报文是否放行的过程中,若该待发送报文存在标识信息,则放行,否则拦截该待发送报文。
作为本申请的另一种具体实施例,本申请实施例还会下发一些基本配置规则到内核中,该基本配置规则包括监听所有的TCP或UDP报文的NFLOG规则,但在ACCEPT规则中不存在报文的特征信息,该报文是不被允许放行的。因此,在使用NFLOG规则监听报文的过程中,只有ACCEPT规则中存在报文所对应的特征信息,该报文才被允许发送。
可以理解的是,若当设备被非法进程控制时,此时的待发送报文可能不是从本地服务模块310经过外部接口321进入到内核的,此时内核的ACCEPT规则中不存在报文相对应的特征信息,因此,该报文将会被拦截。
因此,本申请实施例中区别于相关技术中只与白名单进行比较,本申请通过生成外发规则和监控规则,能够在设备被非法进程控制时,监测到外发规则中不存在与待发送报文相对应的特征信息,从而拦截待发送报文,实现在设备被非法进程控制时也能够准确的监测报文。
在本申请的一些实施方式中,在执行S220之后还包括:根据待发送报文对应的特征信息,生成拦截报文外发日志;将拦截报文外发日志上传到日志模块并存储拦截报文外发日志。
也就是说,如图3所示,在确认内核包括的外发规则中不存在与待发送报文相对应的特征信息的情况下,执行S324 NFLOG拦截报文,拦截待发送报文之后,解析该报文获得协议报文325,并且记录该报文的日志,获得拦截报文外发日志326,将拦截报文外发日志326存储到日志模块330。
具体的,如图6所示的报文解析过程如下:
步骤一:执行S620创建NFLOG进程。
步骤二:在内核610上报拦截报文后,注册报文解析函数并执行S630解析报文解析函数。报文解析函数为开发者根据需求进行编写,本地报文外发支持各协议类型的解析,例如:TCP/UDP报文的解析。
步骤三:创建与NFLOG处理函数相关联的文件描述符,以便监控netlink缓冲区数据包,其中,文件描述符表征待发送报文的索引标识。
步骤四:监控文件描述符。
步骤五:以上任意过程若失败,则直接退出,不进行后续的操作。
步骤六:记录报文外发日志以特定格式到日志模块330,日志模块330负责存储及日志级别的设置。
需要说明的是,文件描述符用于表示待发送文件的索引,相当于待发送报文的一个索引标识,用于能够通过文件标识符找到该待发送报文。当NFLOG监听到存在待发送报文时,会根据待发送报文的类型存放到相对应的netlink组中,之后通过标记的文件描述符能够找到该待发送文件。例如:有关ipv4的待发送报文会存放到netlink组为4的文件中,而文件描述符用于指向netlink组号为4的文件。
可以理解的是,NFLOG为内核提供的一种拦截解析报文的一种工具。NFLOG的拦截功能基于netfilter驱动和netlink驱动。因此欲使用NFLOG功能内核必须安装netfileter及netlink的相关驱动。NFLOG拦截报文的类型取决于用户下发的iptables规则。
报文解析的过程中,根据获取待发送报文的协议类型,安装不同的协议格式解析报文。如目的地址、源地址、目的端口、源端口以及协议类型等五元组信息。此外还可以获取时间戳、报文长度、出接口等信息。
日志模块提供报文外发日志的记录格式及存储方法,同时提供日志级别的设置方式。
日志格式及内容由日志Json定义文件决定,报文拦截解析模块将解析的协议报文按照Json定义的格式输出到日志模块,如待发送报文的五元组信息,并将五元组信息组成“服务名称:%s,目的地址:%s,源地址:%s,目的端口:%s,源端口:%s,数据长度:%d”的格式输入到日志模块。
日志模块将获取到的报文外发日志存储到日志缓冲区,并且日志缓冲区存放在共享内存中,由多个环形缓冲队列组成。
因此,本申请实施例通过对外发规则中不存在特征信息的待发送报文进行拦截,能够实现报文可控和可分析,同时可以记录报文访问踪迹,方便故障排查与问题追溯定位。
因此,本申请实施例通过将白名单更新机制,报文拦截,报文解析以及日志记录组合在一起,通过采用白名单更新机制来下发相关的iptables命令,然后通过使用NFLOG工具进行拦截报文和解析报文,将不允许外发的报文记录到日志信息中,达到报文交互不仅可控且交互踪迹可查,可根据报文日志达到跟踪的目的。
在本申请的一些实施方式中,若确认内核包括的外发规则中存在与待发送报文对应的特征信息,则发送待发送报文。
也就是说,在外发规则中存在待发送报文的特征信息的情况下,说明待发送报文可以被发送。
上文描述了一种报文监测方法的具体实施方式,下文将描述一种报文监测方法的具体实施例。
本申请可应用于安全防护设备中的报文监控与跟踪。本申请实施例提出一种外发报文拦截、解析以及记录报文日志的方法,从而实现安全能力的提升。
一种报文监测的具体实施例如下:
步骤一:系统启动,加载内核报文拦截相关的netfileter及netlink的关联驱动,启动日志进程。
步骤二:本地外发进程加载白名单,解析特征信息(ip,port等传输层信息),根据特征信息生成iptables命令,并下发iptables命令到内核中,iptables规则中指定NFLOG参数及相对应的netlink组。
步骤三:当iptables命令中的外发规则不存在特征信息的情况下,创建NFLOG报文拦截解析进程,建立NFLOG与内核netlink组的映射关系,并注册报文解析函数。
步骤四:报文解析函数监控响应的netlink组,获取拦截报文,进行解析,并记录日志模块。
因此,本申请实施例能够建立起报文可控,可解析以及记录报文日志的处理机制,提升设备安全防护能力。
上文描述了一种报文监测的方法的具体实施例,下文将描述一种报文监测的装置。
如图7所示,一种报文监测的装置700,包括:报文获取模块710和报文监测模块720。
第二方面,本申请的一些实施例提供了一种报文监测的装置700,所述装置包括:报文获取模块710,被配置为获取待发送报文;报文监测模块720,被配置为若确认内核包括的外发规则中不存在与所述待发送报文对应的特征信息,则拦截所述待发送报文,其中,所述外发规则是根据白名单生成的。
在本申请的一些实施方式中,报文监测模块720还被配置为:通过外部接口对所述白名单进行更新,获得更新白名单;
在本申请的一些实施方式中,报文监测模块720还被配置为:确认所述待发送报文的特征信息符合表征规则;确认所述白名单中存在本地服务名称且不存在所述特征信息,则将所述特征信息更新至所述白名单,获得所述更新白名单。
在本申请的一些实施方式中,报文监测模块720还被配置为:确认所述特征信息的数量小于预设数量。
在本申请的一些实施方式中,报文监测模块720还被配置为:根据所述更新白名单,生成所述外发规则和监控规则,其中,所述监控规则中包括所述待发送报文对应的特征信息;根据监控规则对待发送报文进行监控。
在本申请的一些实施方式中,报文监测模块720还被配置为:根据待发送报文对应的特征信息,生成拦截报文外发日志;将拦截报文外发日志上传到日志模块并存储拦截报文外发日志。
在本申请的一些实施方式中,报文监测模块720还被配置为:若确认所述内核包括的外发规则中存在与所述待发送报文对应的特征信息,则发送所述待发送报文。
在本申请实施例中,图7所示模块能够实现图1至图6方法实施例中的各个过程。图7中的各个模块的操作和/或功能,分别为了实现图1至图6中的方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
如图8所示,本申请实施例提供一种电子设备800,包括:处理器810、存储器820和总线830,所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如上述所有实施例中任一项所述的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
其中,总线用于实现这些组件直接的连接通信。其中,本申请实施例中处理器可以是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,可以执行上述实施例中所述的方法。
可以理解,图8所示的结构仅为示意,还可包括比图8中所示更多或者更少的组件,或者具有与图8所示不同的配置。图8中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时实现上述所有实施方式中任一所述的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种报文监测的方法,其特征在于,所述方法包括:
获取待发送报文;
若确认内核包括的外发规则中不存在与所述待发送报文对应的特征信息,则拦截所述待发送报文,其中,所述外发规则是根据白名单生成的。
2.根据权利要求1所述的方法,其特征在于,在所述若确认内核包括的外发规则中不存在与所述待发送报文对应的特征信息,则拦截所述待发送报文之前,所述方法还包括:
通过外部接口对所述白名单进行更新,获得更新白名单。
3.根据权利要求2所述的方法,其特征在于,所述通过外部接口对所述白名单进行更新,获得更新白名单,包括:
确认所述待发送报文的特征信息符合表征规则;
确认所述白名单中存在本地服务名称且不存在所述特征信息,则将所述特征信息更新至所述白名单,获得所述更新白名单。
4.根据权利要求3所述的方法,其特征在于,在所述将所述特征信息更新至所述白名单之前,所述方法还包括:
确认所述特征信息的数量小于预设数量。
5.根据权利要求4所述的方法,其特征在于,在所述若确认内核包括的外发规则中不存在与所述待发送报文对应的特征信息,则拦截所述待发送报文之前,所述方法还包括:
根据所述更新白名单,生成所述外发规则和监控规则,其中,所述监控规则中包括所述待发送报文对应的特征信息;
根据所述监控规则对所述待发送报文进行监控。
6.根据权利要求1-5任一项所述的方法,其特征在于,在所述若确认内核包括的外发规则中不存在与所述待发送报文对应的特征信息,则拦截所述待发送报文之后,所述方法还包括:
根据所述待发送报文对应的特征信息,生成拦截报文外发日志;
将所述拦截报文外发日志上传到日志模块并存储所述拦截报文外发日志。
7.根据权利要求1所述的方法,其特征在于,在所述获取待发送报文之后,所述方法还包括:
若确认所述内核包括的外发规则中存在与所述待发送报文对应的特征信息,则发送所述待发送报文。
8.一种报文监测的装置,其特征在于,所述装置包括:
报文获取模块,被配置为获取待发送报文;
报文监测模块,被配置为若确认内核包括的外发规则中不存在与所述待发送报文对应的特征信息,则拦截所述待发送报文,其中,所述外发规则是根据白名单生成的。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如权利要求1-7任一项所述方法。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时实现如权利要求1-7任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111357544.XA CN114070624B (zh) | 2021-11-16 | 2021-11-16 | 一种报文监测的方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111357544.XA CN114070624B (zh) | 2021-11-16 | 2021-11-16 | 一种报文监测的方法、装置、电子设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114070624A true CN114070624A (zh) | 2022-02-18 |
| CN114070624B CN114070624B (zh) | 2024-01-23 |
Family
ID=80273160
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111357544.XA Active CN114070624B (zh) | 2021-11-16 | 2021-11-16 | 一种报文监测的方法、装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114070624B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225394A (zh) * | 2022-07-21 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种基于域名的报文拦截方法及系统 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060089338A (ko) * | 2005-02-04 | 2006-08-09 | 송정길 | Xml기반의 침입차단 탐지 로그 모니터링 방법 및 그 시스템 |
| US20120084423A1 (en) * | 2010-10-04 | 2012-04-05 | Openwave Systems Inc. | Method and system for domain based dynamic traffic steering |
| CN102497439A (zh) * | 2011-12-20 | 2012-06-13 | 成都欣点科技有限公司 | 地理位置信息获取方法及内外网通信装置 |
| US20130007865A1 (en) * | 2011-07-01 | 2013-01-03 | Swaminathan Krishnamurthy | System and Method for Tracking Network Traffic of users in a Research Panel |
| CN103067358A (zh) * | 2012-12-14 | 2013-04-24 | 北京思特奇信息技术股份有限公司 | 一种融合通信ip-pbx内外网互联的系统及方法 |
| CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| CN103414725A (zh) * | 2013-08-21 | 2013-11-27 | 北京网秦天下科技有限公司 | 用于检测和过滤数据报文的方法和设备 |
| CN106790313A (zh) * | 2017-03-31 | 2017-05-31 | 杭州迪普科技股份有限公司 | 入侵防御方法及装置 |
| CN111698344A (zh) * | 2020-05-28 | 2020-09-22 | 浪潮思科网络科技有限公司 | 一种网络地址转换方法、设备及介质 |
| CN111866016A (zh) * | 2020-07-29 | 2020-10-30 | 中国平安财产保险股份有限公司 | 日志的分析方法及系统 |
| CN112468488A (zh) * | 2020-11-25 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
| CA3099023A1 (en) * | 2020-02-05 | 2021-08-05 | Shopify Inc. | Systems and methods for web traffic control |
-
2021
- 2021-11-16 CN CN202111357544.XA patent/CN114070624B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060089338A (ko) * | 2005-02-04 | 2006-08-09 | 송정길 | Xml기반의 침입차단 탐지 로그 모니터링 방법 및 그 시스템 |
| US20120084423A1 (en) * | 2010-10-04 | 2012-04-05 | Openwave Systems Inc. | Method and system for domain based dynamic traffic steering |
| US20130007865A1 (en) * | 2011-07-01 | 2013-01-03 | Swaminathan Krishnamurthy | System and Method for Tracking Network Traffic of users in a Research Panel |
| CN102497439A (zh) * | 2011-12-20 | 2012-06-13 | 成都欣点科技有限公司 | 地理位置信息获取方法及内外网通信装置 |
| CN103067358A (zh) * | 2012-12-14 | 2013-04-24 | 北京思特奇信息技术股份有限公司 | 一种融合通信ip-pbx内外网互联的系统及方法 |
| CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| CN103414725A (zh) * | 2013-08-21 | 2013-11-27 | 北京网秦天下科技有限公司 | 用于检测和过滤数据报文的方法和设备 |
| CN106790313A (zh) * | 2017-03-31 | 2017-05-31 | 杭州迪普科技股份有限公司 | 入侵防御方法及装置 |
| CA3099023A1 (en) * | 2020-02-05 | 2021-08-05 | Shopify Inc. | Systems and methods for web traffic control |
| CN111698344A (zh) * | 2020-05-28 | 2020-09-22 | 浪潮思科网络科技有限公司 | 一种网络地址转换方法、设备及介质 |
| CN111866016A (zh) * | 2020-07-29 | 2020-10-30 | 中国平安财产保险股份有限公司 | 日志的分析方法及系统 |
| CN112468488A (zh) * | 2020-11-25 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225394A (zh) * | 2022-07-21 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种基于域名的报文拦截方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114070624B (zh) | 2024-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110636115B (zh) | 跨云服务调用的处理方法、网关服务器及请求者服务器 | |
| CN108923908B (zh) | 授权处理方法、装置、设备及存储介质 | |
| US9569471B2 (en) | Asset model import connector | |
| EP3557844A1 (en) | Rule-based network-threat detection | |
| US20160277417A1 (en) | Method and apparatus for communication number update | |
| CN108429739B (zh) | 一种识别蜜罐的方法、系统及终端设备 | |
| CN114257413B (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
| CN114244570B (zh) | 终端非法外联监测方法、装置、计算机设备和存储介质 | |
| CN111935167A (zh) | 用于工控的违规外联检测方法、装置、设备及存储介质 | |
| CN113923008B (zh) | 一种恶意网站拦截方法、装置、设备及存储介质 | |
| CN115225394A (zh) | 一种基于域名的报文拦截方法及系统 | |
| CN112087475B (zh) | 一种云平台组件应用的消息推送方法、装置及消息服务器 | |
| CN114070624B (zh) | 一种报文监测的方法、装置、电子设备及介质 | |
| CN107241307B (zh) | 一种基于报文内容的自学习的网络隔离安全装置和方法 | |
| CN110333957B (zh) | 远程过程调用rpc服务调用方法、装置和计算机设备 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN111274461A (zh) | 数据审计方法、数据审计装置及存储介质 | |
| CN112448963A (zh) | 分析自动攻击工业资产的方法、装置、设备及存储介质 | |
| CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| CN115883574A (zh) | 工业控制网络中的接入设备识别方法及装置 | |
| CN113014664B (zh) | 网关适配方法、装置、电子设备和存储介质 | |
| CN114826790A (zh) | 一种区块链监测方法、装置、设备及存储介质 | |
| EP4418576A2 (en) | Apparatus and method for remote monitoring | |
| CN108768987B (zh) | 数据交互方法、装置及系统 | |
| CN112653609A (zh) | 一种vpn识别应用方法、装置、终端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |