CN115174206B - 透明网桥模式下的用户态应用安全检测方法及检测系统 - Google Patents

透明网桥模式下的用户态应用安全检测方法及检测系统 Download PDF

Info

Publication number
CN115174206B
CN115174206B CN202210774359.9A CN202210774359A CN115174206B CN 115174206 B CN115174206 B CN 115174206B CN 202210774359 A CN202210774359 A CN 202210774359A CN 115174206 B CN115174206 B CN 115174206B
Authority
CN
China
Prior art keywords
kernel
processing
data packet
mode
application protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210774359.9A
Other languages
English (en)
Other versions
CN115174206A (zh
Inventor
王传林
马卢霖
陈伟
张嘉磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Shenwang Technology Co ltd
Original Assignee
Jiangsu Shenwang Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Shenwang Technology Co ltd filed Critical Jiangsu Shenwang Technology Co ltd
Priority to CN202210774359.9A priority Critical patent/CN115174206B/zh
Publication of CN115174206A publication Critical patent/CN115174206A/zh
Application granted granted Critical
Publication of CN115174206B publication Critical patent/CN115174206B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种透明网桥模式下的用户态应用安全检测方法及检测系统。客户端和服务端经由安全防护设备进行网络通信,内核专用处理模块和位于用户态的应用协议处理程序之间基于netlink方式进行通信,网络数据包经过安全防护设备后,由内核专用处理模块截获进行基本包过滤,发送给应用协议处理程序进行处理,应用协议处理程序负责对网络数据进行综合检测。部分复杂的处理功能由专用硬件加速处理模块进行加速,应用协议处理程序将综合检测结果反馈给内核专用处理模块,内核专用处理模块根据应用协议处理程序的反馈结果作出“丢弃”或“放行”的决策。本发明既具有透明模式的网络结构适应能力,也充分利用了应用软件和硬件加速处理的强大的安全检测能力。

Description

透明网桥模式下的用户态应用安全检测方法及检测系统
技术领域
本发明属于数字信息传输技术领域。
背景技术
随着网络通信技术的高速发展,运行在网络上的应用程序的数量不断增长。很多应用程序正在改变协议的使用方式和数据的传输方式,出现了越来越多的应用集中在少量的端口上进行传输的趋势,导致新的风险和威胁不断产生。传统的防护手段主要是基于端口和协议来识别应用,而面对越来越多的新的应用场景和新的威胁,这种传统防护手段将不再具有足够的防护能力,客观上需要新的威胁检测技术。专用的应用协议代理技术结合相应的专用硬件加速处理技术可以有效地解决此类问题。
鉴于网络安全防护设备的部署和使用往往会引起原有网络拓扑结构的变化和调整,透明网桥模式能够很好地解决这个问题,因此目前大多数的网络安全产品都能够支持透明网桥模式。工作在内核链路层的透明网桥通常只进行基本的网络包过滤功能,如五元组(源地址、源端口、目的地址、目的端口、协议)过滤等,不太适合针对应用程序和数据的深度检测。一方面原因是在内核开发复杂功能的难度较大;另一方面,因为往往内核出现的一个小问题都会导致整个系统的崩溃,会影响产品运行的稳定性。目前,市面上的大部分网络安全防护产品,比如下一代防火墙等,对应于协议的识别和深度内容检测、威胁检测一般都是通过独立的应用代理程序实现,但这种场景下又无法支持透明模式。
通常情况下,透明网桥模式包过滤处理流程和应用协议代理完成内容过滤、威胁检测的流程如下所述。透明网桥包过滤是在数据链路层构建的透明网桥基础上,基于Linux内核防火墙框架Netfilter的hook函数实现的,如图1所示。在该透明网桥模式下,客户端和服务端经过安全防护设备直接建立连接,通信数据包经过链路层在内核防火墙Netfilter框架网桥FORWARD的位置,经过预先注册的hook函数(以内核模块形式加载)进行基本的包过滤处理后,根据规则匹配处理结果进行丢弃或者转发等动作。但该模式的缺点在于,由于处于内核态,无法进行复杂的报文处理,如协议深度解析、应用重组、应用识别、恶意代码检测、入侵检测等,这样就无法满足现实对应用检测、威胁检测的需求。
图2所示为应用代理模式下的安全检测流程。客户端和安全防护设备上的应用协议代理程序之间建立连接,应用协议代理程序再和服务端建立连接。通信数据包发送给安全防护设备应用协议代理程序,应用协议代理程序对数据内容进行深度解析、内容过滤和威胁检测,并根据检测结果进行告警、丢弃,或者通过和服务端的连接将数据包发送给服务端。应用协议代理程序可以利用专用的硬件加速处理技术,提升数据处理的效率。整个过程内核不做任何数据包过滤和检测处理。由于该模式下应用协议代理是网络程序,需要建立socket连接就必须要有IP地址,因此无法满足透明接入场景的需求。
发明内容
针对以上现有技术中网桥包过滤和应用代理模式存在的缺点和不足,本发明提出一种Linux透明网桥模式下在用户态进行应用协议解析、内容过滤和威胁检测的方法以及对应的系统,以解决透明模式下数据包深度处理的扩展性问题和处理能力问题。
为实现上述目的,本发明采用的技术方案为一种透明网桥模式下的用户态应用安全检测方法,包含以下步骤:
S1:客户端和服务端建立连接,开始向服务端发送数据包;
S2:数据包先到达安全防护设备,通过设备的接收端网口从物理层进入内核态的链路层,由位于该链路层中的内核专用处理模块进行基本的包过滤处理;
S3:所述内核专用处理模块将经过基本包过滤处理的数据包发送给用户态的应用协议处理程序进行处理;
S4:所述应用协议处理程序接收内核态发送过来的原始数据包,对原始数据包进行必要的协议栈处理时如涉及较为复杂的处理功能则提交给专用硬件加速处理模块处理,将处理结果反馈给应用协议处理程序,然后对重组后的数据进行解析;
S5:所述应用协议处理程序在解析的基础上,对数据内容进行综合检测;
S6:应用协议处理程序将所述综合检测结果通过netlink方式发送给内核专用处理模块;
S7:内核专用处理模块接收应用协议处理程序的处理结果,并根据接收到的处理结果作出“丢弃/DROP”或“放行/ACCEPT”的处理决策,如果是“丢弃/DROP”则调用内核数据包释放函数,如kfree_skb,释放数据包;如果是 “放行/ACCEPT”则执行注册在该位置的后续钩子处理函数;
S8:继续执行完网桥原来的数据处理后仍然放行的数据包通过网桥发送给服务端;
S9:从服务端返回的数据包,经由上述步骤8至步骤1的顺序返回客户端。
作为优选,上述步骤2中所述包过滤处理,包括基于状态检测的五元组过滤。
步骤4中,所述对原始数据包进行必要的协议栈处理包括IP头处理、TCP头处理、TCP数据重组。
步骤5中,所述综合检测包括应用识别过滤、内容检测过滤、威胁检测。
本发明还提供了一种利用上述透明网桥模式下的用户态应用安全检测方法进行用户态应用安全检测的系统,该系统包括客户端、服务端和居于二者之间的安全防护设备。所述安全防护设备包含内核态和用户态,内核态包含物理层、链路层、网络层和传输层,客户端和服务端经由安全防护设备进行正常的网络通信。位于安全防护设备内核态链路层的内核专用处理模块和位于用户态的应用协议处理程序之间基于netlink方式进行通信,网络数据包经过安全防护设备后,由内核专用处理模块截获进行基本包过滤,然后发送给应用协议处理程序进行处理,应用协议处理程序负责对网络数据进行综合检测,部分复杂的处理功能由位于用户态的专用硬件加速处理模块进行加速,应用协议处理程序将综合检测结果反馈给内核专用处理模块,内核专用处理模块根据应用协议处理程序的反馈结果作出“丢弃”或“放行”的决策,如果是 “放行”则执行注册在该位置的后续钩函数,数据包通过网桥发送给服务端,从服务端返回的数据包沿原路逆向返回客户端。
作为优选,安全防护设备的内核专用处理模块和应用协议处理程序之间基于netlink方式进行通信时可以引用内核netfilter框架的nfqueue机制。
作为优选,内核专用处理模块工作在内核Netfilter框架的链路层BR_FORWARD位置。
与现有技术相比,本发明具有以下的有益技术效果:
1,本发明提出的透明网桥模式下的用户态应用安全检测方法的工作过程是,网络数据包经过安全防护设备后,由内核链路层的专用处理模块截获进行基本包过滤,然后发送给应用协议处理程序进行处理。应用协议处理程序负责对网络数据进行协议解析、内容重组、应用还原过滤和威胁检测等,部分复杂的处理功能由专用硬件加速处理模块进行加速。应用协议处理程序将检测结果反馈给内核专用处理模块。内核处理模块根据应用协议处理程序反馈结果进行丢弃或放行的动作,有效解决了网络安全设备透明模式下安全检测能力弱,以及应用代理程序无法支持透明模式的问题。
2,本发明既具有透明模式的网络结构适应能力,也充分利用了应用软件和硬件加速处理的强大的安全检测能力。
附图说明
图1为网桥包过滤模式下的安全检测流程示意图;
图2为应用代理模式下的安全检测流程示意图;
图3为本发明的具体实施例的流程示意图。
具体实施方式
现结合附图对本发明作进一步详细的说明。
本发明提出的可实现透明网桥模式下的用户态应用安全检测方法的检测系统的具体实施例的流程图如图3所示,包括客户端、服务端、内核中的专用处理模块、应用协议处理程序(即图中的应用程序)和专用硬件加速处理模块。其中,客户端和服务端进行正常的网络通信,安全防护设备的内核专用处理模块和应用协议处理程序之间基于netlink方式进行通信,可以引用内核netfilter框架的nfqueue机制实现此方案。网络数据包经过安全防护设备后,由内核中的专用处理模块截获进行基本包过滤,然后发送给应用协议处理程序进行处理。应用协议处理程序负责对网络数据进行协议解析、内容重组、应用还原过滤和威胁检测等,部分复杂的处理功能由专用硬件加速处理模块进行加速。应用程序将检测结果反馈给内核专用处理模块。内核专用处理模块根据应用协议处理程序反馈结果进行相应的动作:丢弃、放行。内核专用处理模块工作在内核Netfilter框架的链路层BR_FORWARD位置。
作为本发明的一个具体实施例,如图3所示,透明网桥模式下的用户态应用安全检测方法的一个比较完整的典型处理流程如下:
(1)客户端和服务端建立连接后,向服务端发送数据。
(2)数据包到了安全设备后,通过接收端网口从物理层到内核链路层。由内核专用处理模块进行基本的包过滤处理,比如基于状态检测的五元组过滤等。
(3)内核专用处理模块将基本包过滤通过的数据包发送给应用协议处理程序进行处理。
(4)应用协议处理程序接收内核发送过来的原始数据包,对原始数据包进行必要的协议栈处理,包括IP头处理、TCP头处理、TCP数据重组等,并对重组后的数据进行解析。
(5)对于较为复杂的处理功能,比如正则匹配、内容检测等提交给专用硬件加速处理模块进行处理,并将处理结果反馈给应用服务程序。
(6)应用服务程序在协议解析的基础上,根据专用硬件加速处理模块的处理结果,对数据内容进行应用识别过滤、内容检测过滤、威胁检测等。
(7)应用协议处理程序将检测结果通过netlink方式发送给内核专用处理模块。
(8)内核专用处理模块接收应用协议处理程序的处理结果,并根据接收到的处理结果进行处理决策:DROP(丢弃)、ACCEPT(放行)。如果是DROP(丢弃)则调用kfree_skb(skb)释放数据包;如果是其它动作,执行注册在该位置的后续钩子处理函数,继续走网桥原来的数据处理流程。
(9)经过其它处理函数处理后仍然放行的数据包通过网桥发送给最终服务端。
最后,从服务端返回的数据包,再依上述步骤逆向返回,即从服务端返回至客户端。
本发明还包含透明网桥模式下的用户态应用安全检测方法进行用户态应用安全检测的系统。该系统包括客户端、服务端和居于二者之间的安全防护设备,所述安全防护设备包含内核态和用户态,内核态包含物理层、链路层、网络层和传输层,客户端和服务端经由安全防护设备进行正常的网络通信,位于安全防护设备内核态链路层的内核专用处理模块和位于用户态的应用协议处理程序之间基于netlink方式进行通信,网络数据包经过安全防护设备后,由内核专用处理模块截获进行基本包过滤,然后发送给应用协议处理程序进行处理,应用协议处理程序负责对网络数据进行综合检测,部分复杂的处理功能由位于用户态的专用硬件加速处理模块进行加速,应用协议处理程序将综合检测结果反馈给内核专用处理模块,内核专用处理模块根据应用协议处理程序的反馈结果作出“丢弃”或“放行”的决策,如果是 “放行”则执行注册在该位置的后续钩函数,数据包通过网桥发送给服务端,从服务端返回的数据包沿原路逆向返回客户端。安全防护设备的内核专用处理模块和应用协议处理程序之间基于netlink方式进行通信时可以引用内核netfilter框架的nfqueue机制。
内核专用处理模块工作在内核Netfilter框架的链路层BR_FORWARD位置。
本发明提出的透明网桥模式下的用户态应用安全检测方法解决了网络安全设备透明模式下安全检测能力弱的问题,也解决了应用代理程序无法支持透明模式的问题。既具有透明模式的网络结构适应能力,也充分利用了应用软件和硬件加速处理的强大的安全检测能力。
需要说明的是,以上具体实施方式的描述并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (3)

1.一种透明网桥模式下的用户态应用安全检测方法,其特征在于,包含以下步骤:
S1:客户端和服务端建立连接,开始向服务端发送数据包;
S2:数据包先到达安全防护设备,通过该设备的接收端网口从物理层进入内核态的链路层,由位于该链路层中的内核专用处理模块进行基于状态检测的五元组过滤;
S3:所述内核专用处理模块将经过基本包过滤处理的数据包发送给用户态的应用协议处理程序进行处理;
S4:所述应用协议处理程序接收内核态发送过来的原始数据包,对原始数据包进行必要的协议栈处理,如涉及正则匹配、内容检测则提交给专用硬件加速处理模块处理,并将处理结果反馈给应用协议处理程序,然后对重组后的数据进行解析;
S5:所述应用协议处理程序在解析的基础上对数据内容进行综合检测;
S6:应用协议处理程序将所述综合检测结果通过netlink方式发送给内核专用处理模块;
S7:内核专用处理模块接收应用协议处理程序的处理结果,并根据接收到的处理结果作出“丢弃”或“放行”的决策,如果是“丢弃”则调用内核数据包释放函数释放数据包;内核专用处理模块工作在内核Netfilter框架的链路层BR_FORWARD位置,如果是 “放行”则执行注册在该位置的后续钩函数;
S8:继续执行完网桥原来的数据处理后仍然放行的数据包,通过网桥发送给服务端;
S9:从服务端返回的数据包,反方向同样依次经由上述步骤1至步骤8的顺序返回客户端。
2.根据权利要求1所述的透明网桥模式下的用户态应用安全检测方法,其特征在于,步骤4中所述对原始数据包进行必要的协议栈处理包括IP头处理、TCP头处理、TCP数据重组。
3.根据权利要求1所述的透明网桥模式下的用户态应用安全检测方法,其特征在于,步骤5中所述综合检测包括应用识别过滤、内容检测过滤、威胁检测。
CN202210774359.9A 2022-07-01 2022-07-01 透明网桥模式下的用户态应用安全检测方法及检测系统 Active CN115174206B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210774359.9A CN115174206B (zh) 2022-07-01 2022-07-01 透明网桥模式下的用户态应用安全检测方法及检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210774359.9A CN115174206B (zh) 2022-07-01 2022-07-01 透明网桥模式下的用户态应用安全检测方法及检测系统

Publications (2)

Publication Number Publication Date
CN115174206A CN115174206A (zh) 2022-10-11
CN115174206B true CN115174206B (zh) 2024-04-02

Family

ID=83488574

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210774359.9A Active CN115174206B (zh) 2022-07-01 2022-07-01 透明网桥模式下的用户态应用安全检测方法及检测系统

Country Status (1)

Country Link
CN (1) CN115174206B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101068229A (zh) * 2007-06-08 2007-11-07 北京工业大学 一种基于网络过滤器的内容过滤网关实现方法
CN101951378A (zh) * 2010-09-26 2011-01-19 北京品源亚安科技有限公司 用于ssl vpn的协议栈体系结构及数据处理方法
CN103139315A (zh) * 2013-03-26 2013-06-05 烽火通信科技股份有限公司 一种适用于家庭网关的应用层协议解析方法
CN110535813A (zh) * 2018-05-25 2019-12-03 网宿科技股份有限公司 内核态协议栈与用户态协议栈并存处理方法和装置
CN113067849A (zh) * 2021-02-05 2021-07-02 湖南国科亿存信息科技有限公司 基于Glusterfs的网络通信优化方法及装置
CN114465774A (zh) * 2021-12-30 2022-05-10 奇安信科技集团股份有限公司 一种网络入侵防御方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7023861B2 (en) * 2001-07-26 2006-04-04 Mcafee, Inc. Malware scanning using a network bridge

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101068229A (zh) * 2007-06-08 2007-11-07 北京工业大学 一种基于网络过滤器的内容过滤网关实现方法
CN101951378A (zh) * 2010-09-26 2011-01-19 北京品源亚安科技有限公司 用于ssl vpn的协议栈体系结构及数据处理方法
CN103139315A (zh) * 2013-03-26 2013-06-05 烽火通信科技股份有限公司 一种适用于家庭网关的应用层协议解析方法
CN110535813A (zh) * 2018-05-25 2019-12-03 网宿科技股份有限公司 内核态协议栈与用户态协议栈并存处理方法和装置
CN113067849A (zh) * 2021-02-05 2021-07-02 湖南国科亿存信息科技有限公司 基于Glusterfs的网络通信优化方法及装置
CN114465774A (zh) * 2021-12-30 2022-05-10 奇安信科技集团股份有限公司 一种网络入侵防御方法及装置

Also Published As

Publication number Publication date
CN115174206A (zh) 2022-10-11

Similar Documents

Publication Publication Date Title
EP3424183B1 (en) System and method for dataplane-signaled packet capture in ipv6 environment
US6792546B1 (en) Intrusion detection signature analysis using regular expressions and logical operators
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US10298600B2 (en) Method, apparatus, and system for cooperative defense on network
US6954775B1 (en) Parallel intrusion detection sensors with load balancing for high speed networks
US6609205B1 (en) Network intrusion detection signature analysis using decision graphs
WO2015074324A1 (zh) 一种数据包快速转发方法及装置
CN104683333A (zh) 基于sdn的实现异常流量拦截的方法
CA2545496C (en) Virtual private network with pseudo server
US8149705B2 (en) Packet communications unit
US8239942B2 (en) Parallel intrusion detection sensors with load balancing for high speed networks
CN104767752A (zh) 一种分布式网络隔离系统及方法
CN102006307A (zh) 一种基于应用代理的网管系统隔离控制装置
US7849503B2 (en) Packet processing using distribution algorithms
CN103763194B (zh) 一种报文转发方法及装置
CN109005194B (zh) 基于kcp协议的无端口影子通信方法及计算机存储介质
EP2213045A1 (en) Security state aware firewall
CN100454895C (zh) 一种通过报文处理提高网络安全性的方法
US9391954B2 (en) Security processing in active security devices
CN112787959B (zh) 一种流量调度方法和系统
CN100420197C (zh) 一种实现网络设备防攻击的方法
US20120216275A1 (en) Scalable transparent proxy
CN115174206B (zh) 透明网桥模式下的用户态应用安全检测方法及检测系统
CN103001966A (zh) 一种私网ip的处理、识别方法及装置
US11412005B2 (en) Lawfully intercepting traffic for analysis based on an application identifier or a uniform resource locator (URL) associated with the traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant