CN114900350A - 报文传输方法、装置、设备、存储介质及程序产品 - Google Patents

报文传输方法、装置、设备、存储介质及程序产品 Download PDF

Info

Publication number
CN114900350A
CN114900350A CN202210472780.4A CN202210472780A CN114900350A CN 114900350 A CN114900350 A CN 114900350A CN 202210472780 A CN202210472780 A CN 202210472780A CN 114900350 A CN114900350 A CN 114900350A
Authority
CN
China
Prior art keywords
message
data message
network interface
interface
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210472780.4A
Other languages
English (en)
Other versions
CN114900350B (zh
Inventor
陈飞
许勇
游立柱
樊正伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yuanshu Zhilian Technology Co Ltd
Original Assignee
Beijing Yuanshu Zhilian Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yuanshu Zhilian Technology Co Ltd filed Critical Beijing Yuanshu Zhilian Technology Co Ltd
Priority to CN202210472780.4A priority Critical patent/CN114900350B/zh
Publication of CN114900350A publication Critical patent/CN114900350A/zh
Application granted granted Critical
Publication of CN114900350B publication Critical patent/CN114900350B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种报文传输方法、装置、设备、存储介质及程序产品,应用于电子设备,电子设备包括安全代理模块和网络接口,网络接口为电子设备中的主机接口或者容器的容器接口;该方法包括:通过网络接口获取数据报文;通过安全代理模块对数据报文进行深度报文检测处理,得到检测结果;在检测结果指示转发数据报文的情况下,向网络接口发送数据报文,以通过网络接口对数据报文进行处理。本发明提供一种报文传输方法、装置、设备、存储介质及程序产品能够用于提高对容器和电子设备访问的安全性。

Description

报文传输方法、装置、设备、存储介质及程序产品
技术领域
本发明涉及报文检测以及转发等技术领域,尤其涉及一种报文传输方法、装置、设备、存储介质及程序产品。
背景技术
目前,服务器上可以包括多个容器,应用程序以容器为单位运行、扩容或者缩容等处理。
在相关技术中,容器可以接收其他设备发送的数据报文、也可以向其他设备发送数据报文。目前容器接收或者发数据报文的方法包括:基于iptables技术,设计报文收发控制规则;通过报文收发控制规则,对报文进行过滤,在通过过滤之后,容器接收或者发送数据报文。
在上述现有技术中,仅通过报文收发控制规则对报文进行过滤,导致对容器和服务器访问的安全性较低。
发明内容
本发明提供一种报文传输方法、装置、设备、存储介质及程序产品,用以解决现有技术中对容器和服务器访问的安全性较低的缺陷,实现提高对容器和电子设备(例如服务器)访问的安全性的目的。
本发明提供一种报文传输方法,应用于电子设备,电子设备包括安全代理模块和网络接口,网络接口为电子设备中的主机接口或者容器的容器接口;方法包括:
通过网络接口获取数据报文;
通过安全代理模块对数据报文进行深度报文检测处理,得到检测结果;
在检测结果指示转发数据报文的情况下,向网络接口发送数据报文,以通过网络接口对数据报文进行处理
根据本发明提供的一种报文传输方法,通过安全代理模块对数据报文进行深度报文检测处理,得到检测结果,包括:
通过网络接口中的过滤器,对数据报文进行过滤处理,得到过滤结果;
在过滤结果指示对数据报文进行报文检测的情况下,通过安全代理模块对数据报文进行深度报文检测处理,得到检测结果。
本发明还提供一种报文传输方法,通过安全代理模块对数据报文进行深度报文检测处理,得到检测结果,包括:
对数据报文进行协议解码处理,得到数据报文中的协议字段和报文载荷;
采用确定有穷自动机DFA算法模型,对报文载荷进行多模特匹配处理,得到多模特征信息;
通过安全代理模块中的安全防护子模块,对协议字段和多模特征信息进行动作规则匹配处理,得到检测结果
本发明还提供一种报文传输方法,该方法还包括:
通过安全代理模块接收安全配置信息;安全配置信息包括报文检测规则,报文检测规则用于使安全代理模块对数据报文进行深度报文检测处理得到检测结果;
在安全代理模块上设置报文检测规则。
本发明还提供一种报文传输方法,通过网络接口中的过滤器,对数据报文进行过滤处理,得到过滤结果,包括:
通过网络接口中的过滤器,根据包过滤规则,对数据报文进行过滤处理,得到过滤结果。
本发明还提供一种报文传输方法,向网络接口发送数据报文之前,包括:通过网络接口中的过滤器,在数据报文上标记当前接口信息,当前接口信息为网络接口的接口信息;
向网络接口发送数据报文,以通过网络接口对数据报文进行处理,包括:通过安全代理模块中的过滤器,根据标记的当前接口信息,向网络接口发送数据报文;在通过网络接口检测到标记的当前接口信息的情况下,删除标记的当前接口信息,并通过网络接口根据数据报文的目的接口信息发送数据报文。
本发明还提供一种报文传输装置,应用于电子设备,电子设备包括安全代理模块和网络接口,网络接口为电子设备中的主机接口或者容器的容器接口;报文传输装置包括:
网络接口,用于获取数据报文;
安全代理模块,用于对数据报文进行深度报文检测处理,得到检测结果;
主机内部网络模块,用于在检测结果指示转发数据报文的情况下,向网络接口发送数据报文,以通过网络接口对数据报文进行处理。
本发明还提供一种报文传输装置,
网络接口中的过滤器,用于对数据报文进行过滤处理,得到过滤结果;
安全代理模块,用于在过滤结果指示对数据报文进行报文检测的情况下,对数据报文进行深度报文检测处理,得到检测结果。
本发明还提供一种报文传输装置,安全代理模块具体用于:
对数据报文进行协议解码处理,得到数据报文中的协议字段和报文载荷;采用确定有穷自动机DFA算法模型,对报文载荷进行多模特匹配处理,得到多模特征信息;通过安全代理模块中的安全防护子模块,对协议字段和多模特征信息进行动作规则匹配处理,得到检测结果。
本发明还提供一种报文传输装置,安全代理模块还用于:接收安全配置信息;安全配置信息包括报文检测规则,报文检测规则用于使安全代理模块对数据报文进行深度报文检测处理得到检测结果;在安全代理模块上设置报文检测规则。
本发明还提供一种报文传输装置,
网络接口中的过滤器,用于根据包过滤规则,对数据报文进行过滤处理,得到过滤结果。
本发明还提供一种报文传输装置,
网络接口中的过滤器,用于在向网络接口发送数据报文之前,在数据报文上标记当前接口信息,当前接口信息为网络接口的接口信息;
安全代理模块中的过滤器,根据标记的当前接口信息,通过主机内部网络模块向网络接口发送数据报文;
网络接口,用于在通过网络接口检测到标记的当前接口信息的情况下,删除标记的当前接口信息;
网络接口,用于根据数据报文的目的接口信息发送数据报文。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现如上述任一种报文传输方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种报文传输方法。
本发明还提供一种计算机程序产品,包括计算机程序,计算机程序被处理器执行时实现如上述任一种报文传输方法。
本发明提供一种报文传输方法、装置、设备、存储介质及程序产品,应用于电子设备,电子设备包括安全代理模块和网络接口,网络接口为电子设备中的主机接口或者容器的容器接口;方法包括:通过网络接口获取数据报文;通过安全代理模块对数据报文进行深度报文检测处理,得到检测结果;在检测结果指示转发数据报文的情况下,向网络接口发送数据报文,以通过网络接口对数据报文进行处理。在上述方法中,网络接口为主机接口或者容器接口,安全代理模块可以对网络接口获取到的数据报文进行深度报文检测处理,在检测结果指示转发数据报文的情况下,再向网络接口发送数据报文,以通过网络接口对数据报文进行处理,提高了对容器和电子设备访问的安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的报文传输方法的流程示意图之一;
图2是本发明提供的报文传输方法的流程示意图之二;
图3为相关技术提供的报文传输方法的现有通信架构图之一;
图4为相关技术提供的报文传输方法的现有通信架构图之二;
图5是本发明提供的报文传输方法对应的通信架构图;
图6是本发明提供的报文传输装置的结构示意图
图7是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在相关技术中,仅通过报文收发控制规则对报文进行过滤,导致对容器和服务器访问的安全性较低。
在本发明中,为了提高对容器和电子设备(例如服务器)访问的安全性,发明人想到在接收或者发送报文的过程中,首先对报文进行过滤处理之后,再通过安全代理模块对报文进行深度报文检测处理,从而提高对容器和电子设备(例如服务器)访问的安全性。
下面结合图1对本发明中报文传输方法的执行过程进行说明。
图1是本发明提供的报文传输方法的流程示意图之一。如图1所示,该方法包括:
S101,通过网络接口获取数据报文,网络接口为电子设备中的主机接口或者容器的容器接口。
可选地,本发明中的报文传输方法的执行主体可以为电子设备,也可以为设置在电子设备中的报文传输装置。其中,报文传输装置可以通过软件和/或硬件的结合来实现。
电子设备例如为物理服务器。
电子设备中包括至少一个容器和每个容器的容器接口。S101中的容器可以为至少一个容器中的任意一个容器。
网络接口中设置有过滤器。
数据报文为通过网络接口的报文。其中,通过包括接收和/或发送。
例如网络接口为容器接口时,数据报文可以为外部设备向容器发送的报文、或者容器向外部设备发送的报文。
例如网络接口为主机接口时,数据报文可以为外部设备向电子设备中的软件和/或硬件发送的报文,或者电子设备中的软件和/或硬件向外部设备发送的报文。
S102,通过安全代理模块对数据报文进行深度报文检测处理,得到检测结果。
在一些实施例中,通过安全代理模块,根据报文检测规则,对数据报文进行深度报文检测处理,得到检测结果。
在一些实施例中,可以通过如下方法在安全代理模块中设置报文检测规则:通过安全代理模块接收安全配置信息;在安全代理模块上设置报文检测规则。其中,安全配置信息包括报文检测规则,报文检测规则用于使安全代理模块对数据报文进行深度报文检测处理得到检测结果。
报文检测规则可以为用户在上述控制器上配置的。控制器可以与安全代理模块进行通信,在用户在控制器上配置报文检测规则之后,控制器向安全代理模块发送安全配置信息,以使安全代理模块接收安全配置信息。
在本发明中,用户能够在控制器上配置报文检测规则,使得报文检测规则具有灵活性。
在一些实施例中,深度报文检测处理例如可以包括协议解码处理、多模特征匹配处理、以及动作规则匹配等。报文检测规则包括上述协议解码处理、多模特征匹配处理、以及动作规则匹配等涉及的规则。
在一些实施例中,在深度报文检测处理例如可以包括协议解码处理、多模特征匹配处理、以及动作规则匹配等处理的情况下,S102具体包括:对数据报文进行协议解码处理,得到数据报文中的协议字段和报文载荷;采用确定有穷自动机(Deterministic FiniteAutomaton,DFA)算法模型,对报文载荷进行多模特匹配处理,得到多模特征信息;通过安全代理模块中的安全防护子模块,对协议字段和多模特征信息进行动作规则匹配处理,得到检测结果。
在一些实施例中,协议解码处理能够解析传输层和应用层协议的内容,并提取协议字段和报文载荷。
在一些实施例中,多模特征信息包括能够匹配的字符串特征或者正则表达式特征。
在一些实施例中,安全防护子模块可以包括入侵防护子模块、病毒过滤子模块、万维网(World Wide Web,Web)防护子模块、分布式拒绝服务攻击(Distributed denial ofservice attack,DDoS)防护子模块等。
入侵防护子模块、病毒过滤子模块、Web防护子模块、DDoS防护子模块可以依次根据各自子模块对应的攻击规则,对数据报文进行处理。
具体的,针对上述4个子模块中的每个子模块,在子模块对数据报文进行处理的过程中,若匹配到对应的攻击规则,并且攻击规则指定发现数据报文存在攻击,则根据子模块对应的动作处理规则执行相应动作(例如记录并发送日志,丢弃数据报文,销毁或者阻断当前会话等)。
在本发明中,对数据报文进行协议解码处理,得到数据报文中的协议字段和报文载荷;采用确定有穷自动机DFA算法模型,对报文载荷进行多模特匹配处理,得到多模特征信息;通过安全代理模块中的安全防护子模块,对协议字段和多模特征信息进行动作规则匹配处理,实现从多个维度对数据报文进行深度检测,提高对数据报文的检测精度,进而提高对容器和电子设备访问的安全性。
在本发明中,在进行深度报文检测处理的过程中,对数据报文进行协议解码处理,得到数据报文中的协议字段和报文载荷之前,还可以包括:会话的查找和创建过程、转发策略匹配过程、以及安全策略匹配过程。
在会话的查找和创建过程中,每个报文在本系统处理的开始都会被尝试划分和关联到不同的会话中。会话作为不同报文的状态缓存被记录在上述系统的内存中,为后续报文的转发和安全处理模块提供状态和条件。会话的匹配和创建主要依据报文的源/目标地址、源/目标端口、协议、入接口等信息。如果报文可以依据会话查找的信息,查找到对应的会话,则把当前报文关联到当前会话,在会话的查找显示没有已经存在的会话的条件下,上述系统为当前报文创建一个新的会话。会话的创建可能因系统资源不足而失败,这种情况下报文会因此种系统错误而被丢弃。
在转发策略匹配过程中,转发策略用于实现策略路由和负载均衡等功能,匹配到转发策略的会话能够根据策略路由或者负载均衡的规则选择下一跳的目标地址。如果匹配到转发策略的会话(即当前会话)并非新创建的会话且会话记录内有已经存在的转发策略匹配结果,转发策略会把当前会话缓存的目标地址作为结果。如果当前会话为报文新创建会话,则会执行转发策略和规则的匹配,选择新的目标地址作为下一跳并缓存在会话当中为后续报文的转发提供依据。如果转发策略提供的下一跳地址与当前报文的目标地址(其中,目标地址与本发明涉及的目的接口信息不同)不同,系统会修改当前报文的目标地址作为新的目标地址。
在安全策略匹配过程中,如果当前会话是当前报文新创建会话且没有已经匹配的安全策略,需要执行安全策略的查找用以匹配对应的安全策略。安全策略匹配的条件包括源/目标地址组、源/目标子网、源/目标安全域、服务、协议、应用等。安全策略是一个顺序的列表,最先匹配到的策略会被作为结果返回。如果安全策略表示数据包需要被丢弃,那当前数据包的处理被终止,当前新建的会话被销毁,数据包被丢弃。如果当前安全策略表示可以放行,那么安全策略会根据策略配置来决定是否需要执行进一步的深度检测并执行更多的安全防护动作。如果当前会话并非新创建且会话有已经缓存的安全策略匹配结果,那么会从会话的存储中返回之前已经存储的策略信息,并执行对应的安全策略和动作,执行过程类似新建会话的策略执行过程。如果安全策略的匹配显示没有对应的策略被匹配到,系统会根据用户配置的默认行为决定当前报文是否被放行,当前会话是否被保留打开。
S103,在检测结果指示转发数据报文的情况下,向网络接口发送数据报文,以通过网络接口对数据报文进行处理。
在一些实施例中,在数据报文满足报文检测规则的情况下,检测结果指示转发数据报文;在数据报文不满足报文检测规则的情况下,进行丢包处理,并记录丢包日志。
在一些实施例中,通过网络接口对数据报文进行处理,包括以下任意一种:
在网络接口为主机接口的情况下,通过电子设备中的主机内部网络模块,可以向容器接口发送数据报文;
在网络接口为主机接口的情况下,通过主机内部网络模块,可以向主机的上层协议栈发送数据报文;
在网络接口为容器接口的情况下,通过主机内部网络模块,可以向主机接口发送数据报文;
在网络接口为容器接口的情况下,通过主机内部网络模块,可以向容器的上层协议栈传输发送数据报文;
在网络接口为容器接口的情况下,通过主机内部网络模块,可以向至少一个容器中除该容器接口对应的容器之外的任意一个容器接口发送数据报文。
在图1实施例提供的方法中,网络接口为主机接口或者容器接口,安全代理模块可以对网络接口获取到的数据报文进行深度报文检测处理,在检测结果指示转发数据报文的情况下,再向网络接口发送数据报文,以通过网络接口对数据报文进行处理,可以提高通过网络接口的数据报文的安全性,进而提高对容器和电子设备访问的安全性。
下面结合图2对本发明中报文传输方法做进一步地详细说明。
图2是本发明提供的报文传输方法的流程示意图之二。如图2所示,该方法包括:
S201,通过网络接口获取数据报文,网络接口为主机接口或者容器的容器接口。
S202,通过网络接口中的过滤器,对数据报文进行过滤处理,得到过滤结果。
在一些实施例中,过滤器(Extended Berkeley Packet Filter,EBPF)中包括包过滤规则。其中,包过滤规则用于使过滤器对数据报文进行过滤处理得到过滤结果。
包过滤规则可以为用户在上述控制器上配置的。在本发明中,用户能够在控制器上配置包过滤规则,使得包过滤规则具有灵活性。
在一些实施例中,包过滤规则可以包括在上述安全配置信息中。
S203,在过滤结果指示对数据报文进行报文检测的情况下,通过网络接口中的过滤器,在数据报文上标记当前接口信息,并通过主机内部网络模块,将数据报文发送至安全代理模块。
其中,当前接口信息为网络接口的接口信息。
需要说明的是,在数据报文满足包过滤规则的情况下,过滤结果指示对数据报文进行报文检测;在数据报文不满足包过滤规则的情况下,过滤结果指示对数据报文进行丢包处理,并记录丢包日志。
S204,通过安全代理模块对数据报文进行深度报文检测处理,得到检测结果。
具体的,S204的执行方法与S102的执行方法相同,此处不再赘述S204的执行过程。
S205,在检测结果指示转发数据报文的情况下,安全代理模块上的过滤器,根据数据报文上标记的当前接口信息,通过主机内部网络模块将数据报文发送至网络接口。
在一些实施例中,在检测结果指示转发数据报文的情况下,还可以通过安全代理模块,在数据报文上标记报文检测成功标识,进而再通过主机内部网络模块向网络接口发送标记有报文检测成功标识的数据报文。
S206,网络接口接收到数据报文之后,删除数据报文上标记的当前接口信息,并根据数据报文的目的接口信息发送数据报文。
在一些实施例中,在数据报文标记有报文检测成功标识的情况下,网络接口还可以删除标记在数据报文上的报文检测成功标识,进而根据目的接口信息发送数据报文。
在一些实施例中,网络接口接收到数据报文之后,也可以不删除数据报文上标记的当前接口信息。
在一些实施例中,当前接口信息和目的接口信息可以相同,也可以不相同。
例如当前接口信息和目的接口信息相同时,数据报文可以为外部设备向容器发送数量报文。
例如当前接口信息和目的接口信息不相同时,数据报文也可以为容器向外部设备发送数量报文、或者容器向其他容器发送的数据报文。
例如,在网络接口为容器接口、目的接口信息为容器接口的接口信息的情况下,在通过容器接口获取数据报文之后,最终通过容器接口将数据报文传输至(与容器接口对应的)容器。
例如,在网络接口为容器接口、目的接口信息为主机接口的接口信息的情况下,在通过容器接口获取数据报文之后,最终通过容器接口和主机内部网络模块将数据报文传输至主机接口。
例如,在网络接口为容器接口、目的接口信息为其他容器接口的接口信息的情况下,在通过容器接口获取数据报文之后,通过容器接口和主机内部网络模块将数据报文传输至其他容器接口。
下面以网络接口为容器接口、外部设备向容器发送数量报文为例,对数据报文的传输过程进行说明:
在数据报文到达容器接口之后,容器接口中的过滤器根据包过滤规则对数据报文进行过滤处理,得到过滤结果,在过滤结果指示对数据报文进行报文检测的情况下,在数据报文上标记当前接口信息(为容器接口的接口信息),并通过主机内部网络模块向安全代理模块发送数据报文,以使安全代理模块对数据报文进行深度报文检测处理,在检测结果指示转发数据报文的情况下,安全代理模块中的过滤器根据数据报文上标记的接口信息,通过主机内部网络模块向容器接口发送数据报文,容器接口删除数据报文上标记的当前接口信息,并根据数据报文的目的接口信息(为容器接口的接口信息)发送数据报文,以便后续处理。
下面以网络接口为容器接口、容器向外部设备发送数量报文为例,对数据报文的传输过程进行说明:
在数据报文从容器的上层协议栈到达容器接口之后,容器接口中的过滤器根据包过滤规则对数据报文进行过滤处理,在过滤结果指示对数据报文进行报文检测的情况下,在数据报文上标记当前接口信息(为容器接口的接口信息),并通过主机内部网络模块向安全代理模块发送数据报文,在安全代理模块对数据报文进行深度报文检测处理之后,在检测结果指示转发数据报文的情况下,安全代理模块中的过滤器根据数据报文上标记的接口信息,通过主机内部网络模块向容器接口发送数据报文,容器接口收到数据报文之后,删除数据报文上标记的当前接口信息,并根据目的接口信息(例如主机接口的接口信息)将数据报文传输至主机接口,以便后续处理。
本发明提供的报文传输方法,能够对电子设备发送或者接收的数据报文、电子设备中多个容器之间传输的数据报文进行处理,实现将数据报文引入到安全代理模块中,通过安全代理模块对数据报文进行深度报文检测,提高对容器和电子设备访问的安全性。
图3为相关技术提供的报文传输方法的现有通信架构图之一。如图3所示,电子设备包括:主机接口、主机内部网络模块、至少一个容器、以及每个容器的容器接口。
为了提高对容器和电子设备访问的安全性,在相关技术中采用防火墙虚拟机来提高对容器和电子设备访问的安全性。下面结合图4对是使用防火墙虚拟机来提高对容器和电子设备访问的安全性的通信架构进行说明。
图4为相关技术提供的报文传输方法的现有通信架构图之二。如图4所示,电子设备包括:防火墙虚拟机1、网桥1、主机接口、主机内部网络模块、防火墙虚拟机2、至少一个网桥2、至少一个容器、以及每个容器的容器接口。网桥2的总数量与容器接口的总数量相同。
在图4中与图3向比较,为了提高对电子设备访问的安全性,增加了防火墙虚拟机1和网桥1,为了提高对容器间访问的安全性,增加了防火墙虚拟机2和至少一个网桥2。因此在使用防火墙虚拟机来提高对容器和电子设备访问的安全性的情况下,部署的灵活性较差,还需要修改大量的通信网络。
图5是本发明提供的报文传输方法对应的通信架构图。如图5所示,包括:控制器和电子设备。
电子设备包括安全代理模块、主机接口、主机内部网络模块、至少一个容器、以及每个容器的容器接口。其中,控制器与安全代理模块连接,安全代理模块、主机接口和容器接口分别与主机内部网络模块连接。可选地,安全代理模块、主机接口和容器接口中均可以设置过滤器(EBPF)。
在图5中,虚线箭头表示安全配置信息的下发路径。
例如安全配置信息包括主机接口和/或容器接口对应的配置(包括例如包过滤规则)、以及安全代理模块对应的配置(包括例如报文检测规则)。具体的,控制器将安全配置信息下发至安全代理模块,安全代理模块将主机接口对应的配置下发至主机接口、和/或将容器接口对应的配置下发至相应的容器接口,在安全代理模块上设置安全代理模块对应的配置。
在图5中,实线表示报文的传输路径,主机内部网络模块完成安全代理模块、主机接口和至少一个容器接口之间的报文转发。
在图5中,增加安全代理模块即可实现提高对容器和电子设备访问的安全性的目标,部署的灵活性较好,无需修改大量的通信网络,而且能够在不修改主机网络(从外部到主机接口之间的网络)的情况下,实现保护电子设备的目的。
需要说明的是,上述图3-图5是以至少一个容器的数量是2为例进行说明。在实际应用中,可以在电子设备设置任意数量的容器。
下面对本发明提供的报文传输装置进行描述,下文描述的报文传输装置与上文描述的报文传输方法可相互对应参照。
图6是本发明提供的报文传输装置的结构示意图。如图6所示,该报文传输装置包括:网络接口110、安全代理模块120和主机内部网络模块130;
网络接口110,用于获取数据报文;
安全代理模块120,用于对数据报文进行深度报文检测处理,得到检测结果;
主机内部网络模块130,用于在检测结果指示转发数据报文的情况下,向网络接口发送数据报文,以通过网络接口对数据报文进行处理。
本发明还提供一种报文传输装置,网络接口110中的过滤器,用于对数据报文进行过滤处理,得到过滤结果;
安全代理模块120,用于在过滤结果指示对数据报文进行报文检测的情况下,对数据报文进行深度报文检测处理,得到检测结果。
本发明还提供一种报文传输装置,安全代理模块120具体用于:
对数据报文进行协议解码处理,得到数据报文中的协议字段和报文载荷;采用确定有穷自动机DFA算法模型,对报文载荷进行多模特匹配处理,得到多模特征信息;通过安全代理模块中的安全防护子模块,对协议字段和多模特征信息进行动作规则匹配处理,得到检测结果。
本发明还提供一种报文传输装置,安全代理模块120还用于:接收安全配置信息;安全配置信息包括报文检测规则,报文检测规则用于使安全代理模块对数据报文进行深度报文检测处理得到检测结果;在安全代理模块上设置报文检测规则。
本发明还提供一种报文传输装置,网络接口110中的过滤器,用于根据包过滤规则,对数据报文进行过滤处理,得到过滤结果。
本发明还提供一种报文传输装置,网络接口110中的过滤器,用于在向网络接口发送数据报文之前,在数据报文上标记当前接口信息,当前接口信息为网络接口的接口信息;
安全代理模块120中的过滤器,根据标记的当前接口信息,通过主机内部网络模块向网络接口发送数据报文;
网络接口110,用于在通过网络接口检测到标记的当前接口信息的情况下,删除标记的当前接口信息;
网络接口110,用于根据数据报文的目的接口信息发送数据报文。
图7是本发明提供的电子设备的实体结构示意图。如图7所示,电子设备可以包括:处理器(processor)210、通信接口(Communications Interface)220、存储器(memory)230和通信总线240,其中,处理器210,通信接口220,存储器230通过通信总线240完成相互间的通信。处理器210可以调用存储器230中的逻辑指令,以执行报文传输方法,该方法包括:通过网络接口获取数据报文;通过安全代理模块对数据报文进行深度报文检测处理,得到检测结果;在检测结果指示转发数据报文的情况下,向网络接口发送数据报文,以通过网络接口对数据报文进行处理。
此外,上述的存储器230中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,计算机程序被处理器执行时,计算机能够执行上述各方法所提供的报文传输方法,该方法包括:通过网络接口获取数据报文;通过安全代理模块对数据报文进行深度报文检测处理,得到检测结果;在检测结果指示转发数据报文的情况下,向网络接口发送数据报文,以通过网络接口对数据报文进行处理。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的报文传输方法,该方法包括:通过网络接口获取数据报文;通过安全代理模块对数据报文进行深度报文检测处理,得到检测结果;在检测结果指示转发数据报文的情况下,向网络接口发送数据报文,以通过网络接口对数据报文进行处理。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种报文传输方法,其特征在于,应用于电子设备,所述电子设备包括安全代理模块和网络接口,所述网络接口为所述电子设备中的主机接口或者容器的容器接口;所述方法包括:
通过所述网络接口获取数据报文;
通过所述安全代理模块对所述数据报文进行深度报文检测处理,得到检测结果;
在所述检测结果指示转发所述数据报文的情况下,向所述网络接口发送所述数据报文,以通过网络接口对所述数据报文进行处理。
2.根据权利要求1所述的报文传输方法,其特征在于,所述通过所述安全代理模块对所述数据报文进行深度报文检测处理,得到检测结果,包括:
通过所述网络接口中的过滤器,对所述数据报文进行过滤处理,得到过滤结果;
在所述过滤结果指示对所述数据报文进行报文检测的情况下,通过所述安全代理模块对所述数据报文进行深度报文检测处理,得到检测结果。
3.根据权利要求1或2所述的报文传输方法,其特征在于,所述通过所述安全代理模块对所述数据报文进行深度报文检测处理,得到检测结果,包括:
对所述数据报文进行协议解码处理,得到所述数据报文中的协议字段和报文载荷;
采用确定有穷自动机DFA算法模型,对所述报文载荷进行多模特匹配处理,得到多模特征信息;
通过所述安全代理模块中的安全防护子模块,对所述协议字段和所述多模特征信息进行动作规则匹配处理,得到所述检测结果。
4.根据权利要求1或2所述的报文传输方法,其特征在于,所述方法还包括:
通过所述安全代理模块接收安全配置信息;所述安全配置信息包括报文检测规则,所述报文检测规则用于使所述安全代理模块对所述数据报文进行深度报文检测处理得到所述检测结果;
在所述安全代理模块上设置所述报文检测规则。
5.根据权利要求2所述的报文传输方法,其特征在于,所述通过所述网络接口中的过滤器,对所述数据报文进行过滤处理,得到过滤结果,包括:
通过所述网络接口中的过滤器,根据包过滤规则,对所述数据报文进行过滤处理,得到所述过滤结果。
6.根据权利要求1或2所述的报文传输方法,其特征在于,所述向所述网络接口发送所述数据报文之前,所述方法还包括:
通过所述网络接口中的过滤器,在所述数据报文上标记当前接口信息,所述当前接口信息为所述网络接口的接口信息;
所述向所述网络接口发送所述数据报文,以通过网络接口对所述数据报文进行处理,包括:
通过所述安全代理模块中的过滤器,根据标记的当前接口信息,向所述网络接口发送所述数据报文;
在通过所述网络接口检测到标记的当前接口信息的情况下,删除标记的当前接口信息,并通过所述网络接口根据所述数据报文的目的接口信息发送所述数据报文。
7.一种报文传输装置,其特征在于,所述装置包括:
网络接口,用于获取数据报文;
安全代理模块,用于对所述数据报文进行深度报文检测处理,得到检测结果;
主机内部网络模块,用于在所述检测结果指示转发所述数据报文的情况下,向所述网络接口发送所述数据报文,以通过所述网络接口对所述数据报文进行处理。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述报文传输方法。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述报文传输方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述报文传输方法。
CN202210472780.4A 2022-04-29 2022-04-29 报文传输方法、装置、设备、存储介质及程序产品 Active CN114900350B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210472780.4A CN114900350B (zh) 2022-04-29 2022-04-29 报文传输方法、装置、设备、存储介质及程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210472780.4A CN114900350B (zh) 2022-04-29 2022-04-29 报文传输方法、装置、设备、存储介质及程序产品

Publications (2)

Publication Number Publication Date
CN114900350A true CN114900350A (zh) 2022-08-12
CN114900350B CN114900350B (zh) 2024-02-20

Family

ID=82718593

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210472780.4A Active CN114900350B (zh) 2022-04-29 2022-04-29 报文传输方法、装置、设备、存储介质及程序产品

Country Status (1)

Country Link
CN (1) CN114900350B (zh)

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101582897A (zh) * 2009-06-02 2009-11-18 中兴通讯股份有限公司 一种深度报文检测方法和装置
JP2010011206A (ja) * 2008-06-27 2010-01-14 Mitsubishi Electric Corp ゲートウェイ装置およびパケットフィルタリング方法
CN101860485A (zh) * 2010-06-02 2010-10-13 上海融亿信息技术有限公司 一种网络报文过滤引擎芯片
CN102427429A (zh) * 2012-01-12 2012-04-25 神州数码网络(北京)有限公司 一种实现交换机内部报文安全防护的方法、系统以及交换机
CN103378654A (zh) * 2012-04-27 2013-10-30 南京南瑞继保电气有限公司 智能变电站过程层网络报文过滤方法
CN103414725A (zh) * 2013-08-21 2013-11-27 北京网秦天下科技有限公司 用于检测和过滤数据报文的方法和设备
CN103428185A (zh) * 2012-05-24 2013-12-04 百度在线网络技术(北京)有限公司 报文过滤/限速方法、系统及装置
CN105357137A (zh) * 2015-09-24 2016-02-24 上海思源弘瑞自动化有限公司 报文过滤方法及所适用的fpga、智能变电站
CN107864062A (zh) * 2016-12-14 2018-03-30 中国电子科技网络信息安全有限公司 一种容器防火墙系统部署方法
CN108200086A (zh) * 2018-01-31 2018-06-22 四川九洲电器集团有限责任公司 一种高速网络数据包过滤装置
CN108900374A (zh) * 2018-06-22 2018-11-27 网宿科技股份有限公司 一种应用于dpi设备的数据处理方法和装置
CN209517181U (zh) * 2018-12-28 2019-10-18 江苏金智科技股份有限公司 根据报文特征自动转发和过滤接收报文的网卡及双环网
CN111464550A (zh) * 2020-04-10 2020-07-28 南京铱迅信息技术股份有限公司 一种用于报文处理设备的https透明防护方法
CN113381993A (zh) * 2021-06-08 2021-09-10 清华大学 深度报文检测系统及其检测方法、计算机设备和存储介质

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010011206A (ja) * 2008-06-27 2010-01-14 Mitsubishi Electric Corp ゲートウェイ装置およびパケットフィルタリング方法
CN101582897A (zh) * 2009-06-02 2009-11-18 中兴通讯股份有限公司 一种深度报文检测方法和装置
CN101860485A (zh) * 2010-06-02 2010-10-13 上海融亿信息技术有限公司 一种网络报文过滤引擎芯片
CN102427429A (zh) * 2012-01-12 2012-04-25 神州数码网络(北京)有限公司 一种实现交换机内部报文安全防护的方法、系统以及交换机
CN103378654A (zh) * 2012-04-27 2013-10-30 南京南瑞继保电气有限公司 智能变电站过程层网络报文过滤方法
CN103428185A (zh) * 2012-05-24 2013-12-04 百度在线网络技术(北京)有限公司 报文过滤/限速方法、系统及装置
CN103414725A (zh) * 2013-08-21 2013-11-27 北京网秦天下科技有限公司 用于检测和过滤数据报文的方法和设备
CN105357137A (zh) * 2015-09-24 2016-02-24 上海思源弘瑞自动化有限公司 报文过滤方法及所适用的fpga、智能变电站
CN107864062A (zh) * 2016-12-14 2018-03-30 中国电子科技网络信息安全有限公司 一种容器防火墙系统部署方法
CN108200086A (zh) * 2018-01-31 2018-06-22 四川九洲电器集团有限责任公司 一种高速网络数据包过滤装置
CN108900374A (zh) * 2018-06-22 2018-11-27 网宿科技股份有限公司 一种应用于dpi设备的数据处理方法和装置
CN209517181U (zh) * 2018-12-28 2019-10-18 江苏金智科技股份有限公司 根据报文特征自动转发和过滤接收报文的网卡及双环网
CN111464550A (zh) * 2020-04-10 2020-07-28 南京铱迅信息技术股份有限公司 一种用于报文处理设备的https透明防护方法
CN113381993A (zh) * 2021-06-08 2021-09-10 清华大学 深度报文检测系统及其检测方法、计算机设备和存储介质

Also Published As

Publication number Publication date
CN114900350B (zh) 2024-02-20

Similar Documents

Publication Publication Date Title
US8495200B2 (en) Computerized system and method for handling network traffic
EP3494682B1 (en) Security-on-demand architecture
US9729655B2 (en) Managing transfer of data in a data network
JP3568850B2 (ja) データパケットフィルタの動作方法
CN108141416B (zh) 一种报文处理方法、计算设备以及报文处理装置
EP3076612B1 (en) Packet processing methods and nodes
US20170302689A1 (en) Network Security Protection Method and Apparatus
US20130294449A1 (en) Efficient application recognition in network traffic
EP1756705A2 (en) A system, method, and computer program product for updating the states of a firewall
WO2009058685A1 (en) Security state aware firewall
CN111200611B (zh) 基于边界接口等价类的域内源地址验证方法及装置
JP2021111396A (ja) コンテナネットワークのためのセキュリティ
CN110086798B (zh) 一种基于公共虚拟接口进行通信的方法及装置
JP6422677B2 (ja) ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法
US20100250731A1 (en) Systems and methods for application identification
CN109995725B (zh) 一种云计算状态防火墙的实现方法及装置
CN114900350B (zh) 报文传输方法、装置、设备、存储介质及程序产品
CN114244610B (zh) 一种文件传输方法、装置,网络安全设备及存储介质
CN113452663B (zh) 基于应用特征的网络业务控制
Halder et al. A graph based formalism for detecting flow conflicts in software defined network
CN115242552B (zh) 基于ipsec的报文转发方法及装置
WO2023160693A1 (zh) 一种攻击阻断方法及相关装置
EP3618389B1 (en) Systems and methods for operating a networking device
Kohli et al. SDN-based Intelligent Honeynet Architecture for Averting Attacks
Liu et al. Packet filtering in bridge

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant