CN116582365B - 网络流量的安全控制方法、装置及计算机设备 - Google Patents
网络流量的安全控制方法、装置及计算机设备 Download PDFInfo
- Publication number
- CN116582365B CN116582365B CN202310852751.5A CN202310852751A CN116582365B CN 116582365 B CN116582365 B CN 116582365B CN 202310852751 A CN202310852751 A CN 202310852751A CN 116582365 B CN116582365 B CN 116582365B
- Authority
- CN
- China
- Prior art keywords
- message
- detection
- session
- target
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 230000005540 biological transmission Effects 0.000 claims abstract description 38
- 238000012806 monitoring device Methods 0.000 claims abstract description 26
- 230000004044 response Effects 0.000 claims abstract description 25
- 238000001514 detection method Methods 0.000 claims description 208
- 230000006399 behavior Effects 0.000 claims description 83
- 230000015654 memory Effects 0.000 claims description 50
- 238000012544 monitoring process Methods 0.000 claims description 11
- 238000001914 filtration Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 description 31
- 238000012545 processing Methods 0.000 description 21
- 238000012550 audit Methods 0.000 description 19
- 230000008569 process Effects 0.000 description 12
- 238000007726 management method Methods 0.000 description 11
- 230000001360 synchronised effect Effects 0.000 description 11
- 238000012546 transfer Methods 0.000 description 11
- 230000002159 abnormal effect Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000003068 static effect Effects 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 4
- 230000005291 magnetic effect Effects 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 1
- KLDZYURQCUYZBL-UHFFFAOYSA-N 2-[3-[(2-hydroxyphenyl)methylideneamino]propyliminomethyl]phenol Chemical compound OC1=CC=CC=C1C=NCCCN=CC1=CC=CC=C1O KLDZYURQCUYZBL-UHFFFAOYSA-N 0.000 description 1
- 101001001429 Homo sapiens Inositol monophosphatase 1 Proteins 0.000 description 1
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 102100035679 Inositol monophosphatase 1 Human genes 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 201000001098 delayed sleep phase syndrome Diseases 0.000 description 1
- 208000033921 delayed sleep phase type circadian rhythm sleep disease Diseases 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 238000011999 immunoperoxidase monolayer assay Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- GHZKGHQGPXBWSN-UHFFFAOYSA-N methyl(propan-2-yloxy)phosphinic acid Chemical compound CC(C)OP(C)(O)=O GHZKGHQGPXBWSN-UHFFFAOYSA-N 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了网络流量的安全控制方法、装置、计算机设备和计算机存储介质,方法应用于计算机设备,方法包括:根据已经过协议栈解码的第一报文的报头信息,确定待审计第二报文;根据第二报文的报头信息,建立监控设备的第一代理模块与第二报文的发送设备之间的第一会话连接;检测第二报文;响应于检测到第二报文安全,基于监控设备的第二代理模块与目标设备之间的第二会话连接,将第二报文发送至被保护的目标设备;其中,第二代理模块和第一代理模块之间具有第三会话连接;其中,第一会话连接、第二会话连接以及第三会话连接,用于第二报文的发送设备和目标设备之间的报文安全传输。
Description
技术领域
本发明涉及网络流量安全及金融科技(Fintech)技术领域,尤其涉及一种网络流量的安全控制方法、装置及计算机设备。
背景技术
企事业单位业务复杂、核心交换数据量大,国内主流的数据中心交换机端口速率正在向10GE,甚至100GE升级演进,超大流量的镜像数据如何高性能捕获本身就是有很高的挑战性;其次,数据隐藏的泄露风险与威胁攻击往往都隐藏在TCP/IP体系结构的应用层,因此,如何做到海量数据的精准内容还原,大规模敏感信息与风险的高效审计和防护,成为需要突破的关键技术点。
相关技术中,网络数据泄露防护,一般采取的技术路线是流量解析及文件内容识别的基础上,辅以基础检测策略,包括正则表达式检测、关键字检测及文档属性检测,再配有策略响应动作,包括告警、阻断或放行等,来实现数据泄露防护功能。但上述技术往往存在这样或那样的不足具体体现在:
大流量的报文捕获和解析技术上存在短板,处理性能不足,例如,不支持用户态协议栈解码和自定义软件分流,无法做到报文捕获的“零拷贝”和流量处理的多任务水平扩展,在大流量、高并发的场景下丢包和漏审问题严重。
审计和防护能力存在缺项,无法形成综合流量审计与防护方案,例如,在协议栈解码方面,缺少多连接预测及会话保持能力,无法关联用户身份信息及持续跟踪用户行为;此外,只有网络协议审计功能,缺少数据库相关协议审计能力,无法做到基于流量的综合网络数据泄露防护。
缺少用户行为基线的学习和建模,例如,缺少基于机器学习的用户操作行为建模,用户风险行为的识别。
发明内容
有鉴于此,本发明的主要目的在于提供一种网络流量的安全控制方法、装置及计算机设备,旨在保证设备之间的报文的安全传输。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种网络流量的安全控制方法,由保护目标设备的监控设备执行,所述方法包括:
根据已经过协议栈解码的第一报文的报头信息,确定待审计第二报文;
根据所述第二报文的报头信息,建立所述监控设备的第一代理模块与所述第二报文的发送设备之间的第一会话连接;
检测所述第二报文;
响应于检测到所述第二报文安全,基于所述监控设备的第二代理模块与目标设备之间的第二会话连接,将所述第二报文发送至被保护的目标设备;其中,所述第二代理模块和所述第一代理模块之间具有第三会话连接;
其中,所述第一会话连接、所述第二会话连接以及所述第三会话连接,用于所述第二报文的发送设备和所述目标设备之间的报文安全传输。
上述方案中,所述根据所述第二报文的报头信息,建立所述监控设备的第一代理模块与所述第二报文的发送设备之间的第一会话连接,包括:
确定所述第二报文是否来自第一设备,其中,所述第一设备已与所述第一代理模块建立所述第一会话连接;
响应于所述目标报文来自第二设备,根据所述第二报文的报文信息,建立所述第一代理模块与所述第二设备之间的第一会话连接。
上述方案中,所述方法还包括:
响应于所述第一报文不是待审计的第二报文,转发或丢弃所述第一报文。
上述方案中,所述监控设备创建有等于所述第一会话连接个数的检测线程以及堆栈;其中,不同所述第一会话连接关联不同的所述检测线程;一个所述检测线程关联一个所述堆栈;
多个所述检测线程,用于对不同所述第一会话连接的第二报文的并行检测。
上述方案中,,所述方法还包括为每个第一会话连接分配标识符;所述确定所述第二报文是否来自第一设备,包括:
基于预设的匹配规则,进行所述第二报文的报头信息与第一会话连接的标识符的匹配,其中,所述第一会话连接是所述第一设备与所述第一代理模块之间的会话连接;
如果存在标识符与所述第二报文的报头信息匹配,则确定所述第二报文来自所述第一设备。
上述方案中,所述检测所述第二报文,包括:
确定所述第二报文的协议类型,安全需求和应用场景之一或组合;
基于多模规则匹配算法,进行基于所述第二报文的协议类型,安全需求和应用场景之一或组合与第一规则库中第一检测规则的匹配,得到所述第二报文对应的检测项目和各所述检测项目的项目检测规则;其中,所述第一检测规则包括:报文的协议类型,安全需求和应用场景之一或组合以及与报文的协议类型,安全需求和应用场景之一或组合对应的检测项目和各所述检测项目的项目检测规则;
基于所述检测项目和各所述检测项目的项目检测规则,进行所述第二报文的报头信息和协议内容的检测,得到所述第二报文的各检测项目的检测结果;
基于所述各检测项目的检测结果,得到所述第二报文的第一检测结果。
上述方案中,所述方法还包括:为基于所述第一会话连接的会话,分配会话标识;
基于所述第二报文的报头信息,匹配与所述报头信息匹配的会话标识,确定所述第二报文所属的目标会话;
在所述第二报文有所属的目标会话的情况下,所述检测所述第二报文包括:
确定所述目标会话的关键信息,所述目标会话的应用场景,其中,所述目标会话的关键信息包括所述目标会话的上下文和所述目标会话中第二报文之间的关系;
基于所述目标会话的关键信息,得到所述目标会话的行为;
基于多模规则匹配算法,进行基于所述目标会话的行为与第二规则库中第二检测规则的匹配,得到所述会话的行为对应的行为检测规则;其中,所述第二检测规则包括:会话的行为,与所述会话的行为对应的行为检测规则;
基于所述行为检测规则,进行所述会话的行为检测,得到所述第二报文的第二检测结果。
此外,本发明实施例还提供一种网络流量的安全控制装置,所述装置包括:
报文过滤模块,用于根据已经过协议栈解码的第一报文的报头信息,确定待审计第二报文;
第一连接模块,用于根据所述第二报文的报头信息,建立所述监控设备的第一代理模块与所述第二报文的发送设备之间的第一会话连接;
报文检测模块,用于检测所述第二报文;
第二连接模块,用于响应于检测到所述第二报文安全,基于所述监控设备的第二代理模块与目标设备之间的第二会话连接,将所述第二报文发送至被保护的目标设备;其中,所述第二代理模块和所述第一代理模块之间具有第三会话连接;
其中,所述第一会话连接、所述第二会话连接以及所述第三会话连接,用于所述第二报文的发送设备和所述目标设备之间的报文安全传输。
本发明实施例所提供的一种网络流量的安全控制方法、装置及计算机设备,通过根据已经过协议栈解码的第一报文的报头信息,确定待审计第二报文;根据所述第二报文的报头信息,建立所述监控设备的第一代理模块与所述第二报文的发送设备之间的第一会话连接;检测所述第二报文;响应于检测到所述第二报文安全,基于所述监控设备的第二代理模块与目标设备之间的第二会话连接,将所述第二报文发送至被保护的目标设备;其中,所述第二代理模块和所述第一代理模块之间具有第三会话连接;其中,所述第一会话连接、所述第二会话连接以及所述第三会话连接,用于所述第二报文的发送设备和所述目标设备之间的报文安全传输。其中,背靠背代理是一种灵活且可靠的网络通信架构,多个会话连接(第一会话连接、第二会话连接和第三会话连接)可以支持多个报文的安全传输。如此,通过对的第一报文解码得到第一报文的报头信息,根据报头信息进行数据过滤,只保留待审计的第二报文,提升了后续的处理效率。通过建立监控设备的背靠背代理可以实现到发送设备和目标设备之间的逻辑隔离,这种隔离性有助于提高网络的安全性。通过建立会话连接和代理模块之间的连接,分利用了会话连接的高效的数据交换和处理能力的特性,可以实现快速的报文传输和响应。总之,本发明通过建立会话连接和使用备靠背的代理模块,提供了一种高效、灵活和安全的流量审计和传输方式,适用于网络安全控制和保护目标设备的场景。
附图说明
图1为本发明一些实施例提供的网络流量的安全控制产品的技术框架图;
图2为本发明一些实施例提供网络流量的安全控制方法的流程示意图;
图3为本发明另一些实施例提供的网络流量的安全控制方法的流量代理示意图;
图4为本发明另一些实施例提供的网络流量的安全控制方法的单进程模式的流量代理模型;
图5为本发明一些实施例提供的网络流量的安全控制装置的组成结构示意图;
图6本发明实施例提供的计算机设备的硬件结构示意图。
具体实施方式
需要说明的是,随着企业上云、5G落地及工业互联网的发展,各行业组织、机构(如企事业单位)的“数字化”办公已成为主要趋势,“数字化”办公在给企业带来高效数据流转的同时,网络流量的安全控制也越发突出。因此,各行业组织、机构而言,如何保障企事业单位内终端的网络流量安全性是本发明实施例所研究的方向。
基于此,本发明实施例提供了一套网络流量的安全控制产品,该产品可以以插件的形式被安装在目标设备中,也可以是安装与目标连接的网络平台或者网络服务器中。该安全控制产品能够保障网络流量的安全性。
图1是网络流量的安全控制的技术框架图,如图1所示,可以包括:“零拷贝“网卡驱动报文捕获、底层协议解码、协议内容识别、数据审计与基线学习和管理呈现。
“零拷贝“网卡驱动报文捕获:用于对网络流量报文进行扑捉,使用DPDK基于UIO技术实现硬件中断Bypass,从而绕过Linux内核协议栈对数据包的处理过程。应用程序可以直接与硬件网卡进行内存交互,达到数据零拷贝,降低cache miss、TLB miss,减少系统上下文切换等一系列性能优化的目的。
底层协议解码:包括对扑捉的报文经协议栈解码,得到待审计的报文;连接管理单元,建立报文的会话连接,进行会话管理,对会话进行跟踪和记录过程,对报文进行特征识别,根据识别结果创建应用层解码对象。
协议内容识别:对网络流量中的协议进行识别和分类,确定流量中所使用的具体协议,以便进行后续的分析和处理。例如,识别网络协议HTTP、HTTPS、SMB、IMPA以及数据库协议orade、mysql、db2等。
审计与基线学习:对报文进行审计,根据审计结果进行网路流量安全控制相关的审计对象的基线学习,构建各个审计要素的审计基线,从而,根据审计基线进行报文安全性的判断。
管理呈现:呈现审计结果,并对规则、策略、模型及审计对象做集中管理。
本发明实施例旨在研究网络流量安全控制技术。
图2为本发明实施例中网络流量安全控制的流程示意图,请参阅图2,本发明实施例提供了一种网络流量的安全控制方法,由保护目标设备的监控设备执行,该方法包括:
步骤201:根据已经过协议栈解码的第一报文的报头信息,确定待审计第二报文;
可以理解的是,本发明可以针对网络流量进行安全控制,网络流量是指在一段时间内通过网络传输的数据总量或速率。单个报文是网络流量的组成部分。报文是在网络中传输的数据单元,报文的报头和协议内容组成了报文。报头包含了与报文相关的元数据和控制信息,而协议内容则包含了实际的数据和应用信息。报头提供了对报文的描述、控制和管理。它通常包含了诸如协议版本、报文类型、源地址、目的地址、时间戳、长度等与报文传输和处理相关的信息。协议内容则是报文中实际携带的数据和应用信息。这些数据和应用信息可以根据具体的协议和应用场景而有所不同。例如,在HTTP协议中,协议内容可以包括HTTP请求或响应的具体数据,如请求头、请求体、响应头、响应体等。在电子邮件协议中,协议内容可以包括邮件的标题、正文、附件等。在数据库协议中,协议内容可以包括数据库通信中具体的操作和数据内容,如数据库操作的类型、SQL语句或命令、参数和数据、数据库对象标识等。
报文在网络中经过各个网络层的处理和转发,最终形成了网络流量。网络流量它可以以不同的形式存在,例如网页浏览、文件下载、视频流媒体等。例如,网页浏览:当用户在浏览器中访问网页时,浏览器向服务器发送请求,服务器响应并返回网页内容。这涉及到客户端发送的请求报文和服务器返回的响应报文的传输,这些报文加起来构成了网络流量。再例如使用云存储服务来存储和备份文件。当用户上传或下载文件到云存储服务时,会涉及网络流量。
这里的协议栈解码是对网络通信中的(数据包)进行解析和解码,以从中提取出各个协议层的相关信息。在网络通信中,数据包经过多个协议层的封装和包装,每个协议层都添加了自己的头部信息和控制字段。因此,协议栈逐层提取出数据包中的各个协议层的字段和协议内容,例如,对物理层的数据进行解码,将二进制数据转换为比特流。解析应用层协议的数据,如HTTP、FTP、DNS等。根据应用层协议的规范,解析出具体的应用层数据和相关字段。
在这里,接下来,经过协议栈解码得到的第一报文进入连接管理,连接管理能根据第一报文的报头信息确定第一报文是否是待审计报文,进而将不是待审计的报文过滤掉,通过减少报文量提升后续的处理效率。在这待审计的第二报文可以理解为报文本身需要审计,也可以理解为审计该第二报文能够对发现网络流量的安全问题,例如,数据库的异常访问、网络数据泄露、邮件数据丢失等。
在一些实施例中,上述方法还包括:
响应于所述第一报文不是待审计的第二报文,转发或丢弃所述第一报文。
可以理解的是,根据具体的报文过滤规则,判断第一报文是否是待审计的第二报文,如果不满足审计条件,则进行转发或丢弃操作。这样可以确保只有符合审计要求的报文才会被进一步处理,提高审计效率和安全性。例如,第一报文是不需要审计的报文,但是第一报文需要正常转发,则将第一报文按照其对应的转发流程进行转发给目标设备或者第一报文对应的下一跳,以确保第一报文能够按照预设流程到达目标节点。再例如,第一报文被判定为无效或非法,则可以直接丢弃该报文,以避免将非法的报文传递给目标设备,从而减少安全风险。
步骤202:根据所述第二报文的报头信息,建立所述监控设备的第一代理模块与所述第二报文的发送设备之间的第一会话连接;
可以理解的是,发送设备和目标设备之间通过背靠背代理(Back-to-Back Proxy)建立连接,背靠背代理是一种网络代理的架构模式,其中代理模块位于发送设备和目标设备之间,实现了两个代理模块之间的通信。具体而言,在背靠背代理架构中,第一个代理模块位于发送设备的一侧,接收发送设备发出的数据,并将其转发给第二个代理模块,即目标设备的一侧。第二个代理模块接收数据并将其转发给目标设备。如此,背靠背代理能够在发送设备和目标设备之间建立一层额外的安全屏障,阻挡恶意或有害的报文(流量)。通过在代理模块之间进行通信,可以对报文进行优化和缓存,减少发送设备和目标设备之间的直接通信次数,提高性能和效率。总之,背靠背代理架构通过在发送设备和目标设备之间引入代理模块,提供了更强的安全性、灵活性和性能优化,使得第二报文在经过代理模块的处理和转发后,能够更加安全、高效地传输到目标设备。
可以理解的是,在网络通信中,会话连接是指建立在传输层或应用层的网络连接,用于在发送方和接收方之间传递报文。会话连接可以使用底层的传输协议(如TCP)或应用层协议(如HTTP)来实现。在这里第一代理模块与所述第二报文的发送设备之间建立会话连接,会话连接能够确保报文的完整性,防止数据丢失或被篡改,确保监控设备能够准确地获取到报文的内容和相关信息。会话连接能确保监控设备能够实时获取发送设备和第一代理模块之间的通信数据,使得对网络流量的监控和分析更加精确和准确。示例性地,在文件传输场景中,可以针对文件进行流式解码和审计,可以在文件未收完整的情况下,针对文件片段做规则审计,大大提升了风险检出效率。
在一些实施例中,所述根据所述第二报文的报头信息,建立所述监控设备的第一代理模块与所述第二报文的发送设备之间的会话连接,包括:
确定所述第二报文是否来自第一设备,其中,所述第一设备已与所述第一代理模块建立会话连接;
响应于所述目标报文来自第二设备,根据所述第二报文的报文信息,建立所述第一代理模块与所述第二设备之间的第一会话连接。
在这里通过分析第二报文的报文头信息来判断报文的来源设备是否是第一设备,例如检测报文的源地址或其他标识来确认第二报文的发送者。第一设备已经与第一代理模块建立了会话连接,在确定第二报文来自第一设备之后,表示第一设备和第二代理模块可以进行数据传输和通信。响应于所述目标报文来自第二设备,如果目标报文来自第二设备,那么可以根据该信息建立第一代理模块与第二设备之间的第一会话连接。这样就建立了第一代理模块与第二设备之间的另一种会话连接,用于数据传输和通信。第一设备与第一代理模块的会话连接和第二设备与第一代理模块的会话连接都是用于确保第二报文的安全传输和处理。
在一些实施例中,所述方法还包括为每个第一会话连接分配标识符;所述确定所述第二报文是否来自第一设备,包括:
基于预设的匹配规则,进行所述第二报文的报头信息与第一会话连接的标识符的匹配,其中,所述第一会话连接是所述第一设备与所述第一代理模块之间的会话连接;
如果存在标识符与所述第二报文的报头信息匹配,则确定所述第二报文来自所述第一设备。
在这里,对第一设备和第一会话模块建立会话连接,则分配该会话连接的标识符。会话连接的标识符是在网络通信中用于标识不同会话或连接的唯一标识符。例如,在传输层协议(如TCP)中,会话连接的标识符通常称为"套接字",由源IP地址、目标IP地址、源端口号和目标端口号组成。套接字标识了网络中的一个特定连接,使得报文可以正确地路由到目标。报头信息可以包括源IP地址、目标IP地址、源端口号、目标端口号、协议类型、序列号、确认号、数据长度等等,具体的内容取决于使用的协议。会话连接的标识符和报文的报头信息之间的关系是通过网络协议来建立和维护的。当建立一个会话连接时,通信双方(发送设备和第一代理模块)会互相交换包含会话连接标识符的报文,这些报文的报头信息用于指定会话连接的参数,如源IP地址、目标IP地址、源端口号、目标端口号等。在随后的数据传输中,每个报文都会携带相应的报头信息,以便接收方可以正确地识别和处理报文。如此,要确定两个报文是否来自相同的发送方,可以依赖于报文的报头信息,例如,通过比较报文的源IP地址和源端口号,可以判断这些报文是否来自同一个发送方,而会话连接的标识符又与报文的报头信息中的字段相关,因此,可以通过匹配所述第二报文的报头信息与第一会话连接的标识符,判断第二报文是否来自于第一设备。
步骤203:检测所述第二报文;
示例性地,报文包括报头信息和协议内容,报文的协议内容可以包括用于数据库访问的数据库语句也可以是在网络中实际传输的数据,例如文本、图像、音频视频或其他类型的信息等。可以根据报头信息和协议内容中一者或两者的组合进行第二报文的检测,一般情况下是根据两者的组合进行检测。第二报文的检测可以是检测第二报文的合法性、完整性和安全性等,可以根据第二报文的应用场景和协议类型的不同,确定不同的检测项目,例如,可以检测报文的报头信息的各个字段值是否合法、是否存在异常或异常组合。检测报文的协议内容可以进行关键字匹配、正则表达式匹配、敏感信息识别等,通过定义规则或模式,检测出报文中是否包含敏感数据、恶意代码、特定行为等。还可以采用机器学习和行为分析,利用机器学习算法和行为分析技术,对第二报文进行模式识别和行为分析。通过训练模型,可以识别出异常或恶意的报文。
在一些实施例中,所述检测所述第二报文,包括:
确定所述第二报文的协议类型,安全需求和应用场景之一或组合;
基于多模规则匹配算法,进行基于所述第二报文的协议类型,安全需求和应用场景之一或组合与第一规则库中第一检测规则的匹配,得到所述第二报文对应的检测项目和各所述检测项目的项目检测规则;其中,所述第一检测规则包括:报文的协议类型,安全需求和应用场景之一或组合以及与报文的协议类型,安全需求和应用场景之一或组合对应的检测项目和各所述检测项目的项目检测规则;
基于所述检测项目和各所述检测项目的项目检测规则,进行所述第二报文的报头信息和协议内容的检测,得到所述第二报文的各检测项目的检测结果;
基于所述各检测项目的检测结果,得到所述第二报文的第一检测结果。
示例性地,第二报文的协议类型是指报文所使用的通信协议,以下是一些常用的报文协议类型。
HTTP:用于在Web浏览器和Web服务器之间传输超文本文档的协议。
TCP/IP:用于在互联网上进行数据传输和通信的协议族,包括TCP、IP、UDP等。
SMTP:用于电子邮件传输的协议。
MQTT:用于在物联网中进行消息传递的协议。
MySQL:用于MySQL数据库系统的通信和操作。
Oracle:用于Oracle数据库系统的通信和操作。
第二报文的安全需求是指在通信过程中对报文安全性的要求和期望。在实际应用场景中可以根据具体应用场景预先设备,也可以根据报文协议类型以及其他数据特征而动态设置。常见的安全需求,例如保密性、合法性、完整性等,保密性,确保报文的内容在传输和存储过程中不被未授权的实体访问或泄露。完整性,保证报文在传输过程中不被篡改或损坏。确保报文的完整性可以防止数据被篡改、插入或删除。结合不同的应用场景,例如,在电子支付应用中,安全需求主要涉及保护支付数据的机密性和完整性。在数据库应用中,安全需求包括对敏感数据的保护、访问控制等。
第二报文的应用场景:以下是一些常见的报文应用场景的示例:
网络通信:报文在计算机网络中扮演着重要角色,用于在不同的网络节点之间传输数据。例如,TCP/IP协议中的报文用于在互联网上进行可靠的数据传输,而UDP协议中的报文用于快速传输。
Web应用:在Web应用中,报文常用于HTTP协议中的请求和响应。浏览器通过发送HTTP请求报文来获取网页、图片和其他资源,服务器则通过发送HTTP响应报文来返回请求的数据。
电子邮件:电子邮件协议(如SMTP、POP3和IMAP)使用报文进行电子邮件的发送、接收和存储。邮件报文包含邮件的头部信息(如发件人、收件人、主题等)和邮件的正文内容。
数据库通信:在数据库通信中,报文用于执行数据库操作,如查询、插入、更新和删除。数据库通信协议(如MySQL协议、PostgreSQL协议)定义了报文的格式和内容。
即时通信:即时通信协议(如XMPP、WebSocket)使用报文来实现实时的消息传递。报文用于表示聊天消息、在线状态和其他通信相关的信息。
物联网(IoT)通信:在物联网领域,报文用于设备之间的通信和数据交换。物联网协议(如MQTT、CoAP)使用报文进行传输和控制。
远程过程调用(RPC):RPC协议使用报文进行远程过程调用,允许程序在不同的计算机之间进行通信和交互。
文件传输:在文件传输协议中(如FTP、SFTP、TFTP),报文用于发送和接收文件。报文中包含文件的元数据和实际数据内容。
可以理解的是,基于第二报文的协议类型,安全需求和应用场景之一或组合与第一规则库中第一检测规则的匹配,得到所述第二报文对应的检测项目和各所述检测项目的项目检测规则。即,规则库中的数据结构可以是协议类型、安全需求和应用场景中的任意一项与检测项目和检测项目对应的检测规则的映射关系,也可以是协议类型、安全需求和应用场景中任意两者的组合与检测项目和检测项目对应的检测规则的映射关系,更可以是协议类型、安全需求和应用场景三者与检测项目和检测项目对应的检测规则的映射关系。根据上述映射关系可以得到相应的检测项目和检测规则,示例性地,电子支付的应用场景中,安全要求是支付数据防止泄露,则对应的检测项目可以是支付数据泄露,检测规则可以是检测报文中的支付数据是否以明文形式传输,如果以明文形式传输,则该报文不安全,如果是使用加密传输则该报文安全。数据库应用场景,检测项目是未经授权的访问,检测规则是分析报文中的访问权限信息,检测是否存在未授权的访问尝试,如通过比对用户权限和访问请求的合法性。
如此,通过综合考虑第二报文的协议类型,安全需求和应用场景,以及与之对应的检测项目和第一检测规则,可以精确地确定适用于第二报文的第一检测规则。这样可以提高第二报文检测的准确性,降低误报和漏报的风险。通过使用多模规则匹配算法,可以方便地将新的第一检测规则添加到第一规则库中,以适应新的安全需求和应用场景。多模规则匹配算法可以针对大规模的规则库进行高效的匹配操作,减少匹配时间和资源消耗。这样可以实现实时或近实时的报文检测,提高系统的响应速度和效率,实现了规则并行匹配及秒级响应。以第二报文进行文件传输为例,一个文件分在多个第二报文中传输,则采用本实施例的方案可以在文件未收完整的情况下,针对文件片段做规则审计,大大提升了文件风险检出效率。
在一些实施例中,所述方法还包括:为基于所述第一会话连接的会话,分配会话标识;
基于所述第二报文的报头信息,匹配与所述报头信息匹配的会话标识,确定所述第二报文所属的目标会话;
在所述第二报文有所属的目标会话的情况下,所述检测所述第二报文包括:
确定所述目标会话的关键信息,所述目标会话的应用场景,其中,所述目标会话的关键信息包括所述目标会话的上下文和所述目标会话中第二报文之间的关系;
基于所述目标会话的关键信息,得到所述目标会话的行为;
基于多模规则匹配算法,进行基于所述目标会话的行为与第二规则库中第二检测规则的匹配,得到所述会话的行为对应的行为检测规则;其中,所述第二检测规则包括:会话的行为,与所述会话的行为对应的行为检测规则;
基于所述行为检测规则,进行所述会话的行为检测,得到所述第二报文的第二检测结果。
可以理解的是,可以构建会话管理模块和会话跟踪模块分别实现会话的管理和跟踪。示例性地,基于相同的分配规则,分配所有的第一会话连接的标识符,一个会话中的会话连接的标识符可以是相同的,例如,在TCP协议中,一个会话连接由源IP地址、目标IP地址、源端口号和目标端口号组成的套接字标识符唯一地标识了一个会话连接。当发送设备和第一代理模块建立了有效连接(第一会话)时,可以为第一会话连接分配标识符,根据该标识符进行会话连接的管理。会话的标识是用来区分不同会话之间的标记,可以通过获得会话连接的标识符,使用这个标识符来进行会话的标识,进而可以使用会话的标识来区分不同的会话。
可以理解的是,在网络通信中,会话是在应用层中定义的一段时间的多个报文交互过程,用于实现特定的业务逻辑或完成特定的任务。在一个会话中,多个报文可以按照特定的顺序进行交换和处理,以实现预期的行为。总而言之,而会话是一段时间的报文交互过程,通过会话连接进行报文的传输和处理。
在网络流量场景中,报文所代表的实体(如应用程序、用户或其他通信实体等)的行为或操作可以通过会话的一系列相关的报文展现,虽然,单个报文也能反映一些行为或操作,但是单个报文的信息量是有限的,可能无法完整的描述整个行为,而一些行为并不能通过单个报文展现,例如文件传输行为中,需要发送方发送多个报文来传输文件的各个片段,接收方接收这些文件的片段进行处理,单个报文无法展现一个完整的文件传输行为。再例如,单个报文也无法展现一个数据库访问的行为。
如此,本实施例中,一个第一会话连接建立,则说明有第二报文经该第一会话连接传输,将该第二报文的报头信息与已有会话进行匹配,如果没有匹配的会话,则说明该报文是单独的报文。如果有匹配的会话,则说明该报文属于该会话。对于有所属会话的第二报文,在确定了第二报文所属的会话之后,对第二报文检测就成了对会话的检测,即通过确定会话的行为来实现对第二报文的检测。在这里会话的上下文可以包括会话的开始时间,结束时间,参与通信的双方信息和已传输的数据量等。会话中报文的相互关系可以包括报文的时序关系,报文之间的交互关系(如请求报文和响应报文)报文的协议内容之间的关系等,这些信息结合第二报文的应用场景可以帮助理解和解释报文的行为和目的,例如识别用户的行为模式、分析会话的活动情况、判断会话的合法性等。例如可以使用规则引擎、机器学习模型或其他相关技术根据上述目标会话的应用场景,目标会话的上下文和目标会话中第二报文之间的关系来分析目标会话的行为。通过基于多模规则匹配算法,将目标会话的行为和应用场景与规则库中的检测规则进行匹配,可以快速识别会话的行为,通过对会话进行检测,可以得到准确的行为检测结果。这里的行为检测结果也是对第二报文的检测结果,可以说是将第二报文嵌入会话中进行检测,通过更全面信息对第二报文进行检测能够得到更精准的安全监测结果。同时,本实施例的方案能够快速识别不良行为,可以提供相应的警告或阻断措施。当然,具体能发现什么不良行为是与预设的规则有关的。
步骤204:响应于检测到所述第二报文安全,基于所述监控设备的第二代理模块与目标设备之间的第二会话连接,将所述第二报文发送至被保护的目标设备;其中,所述第二代理模块和所述第一代理模块之间具有第三会话连接;
其中,所述第一会话连接、所述第二会话连接以及所述第三会话连接,用于所述第二报文的发送设备和所述目标设备之间的报文安全传输。
可以理解的是,本实施例中通过所述第一会话连接、所述第二会话连接以及所述第三会话连接,可以增强第二报文的安全性。每个会话连接都具有独立的上下文和标识符,确保不同的报文在不同的会话连接中传输,从而隔离和区分不同的报文流。这有助于减少干扰和混淆,提高报文传输的可靠性和可管理性。使用第一代理模块和第二代理模块之间的第三会话连接,可以实现对报文传输的实时监控和管理,可以帮助检测和预防潜在的安全威胁,及时响应和处理异常情况,从而提高网络的安全性。
在一些实施例中,所述监控设备创建有等于所述第一会话连接个数的检测线程以及堆栈;其中,不同所述第一会话连接关联不同的所述检测线程;一个所述检测线程关联一个所述堆栈;
多个所述检测线程,用于对不同所述第一会话连接的第二报文的并行检测。
可以理解的是,通过使用多个检测线程,可以并行处理处理不同的第一会话连接中的第二报文,使得检测过程更高效。每个检测线程关联一个堆栈,每个检测线程和堆栈都专注于处理特定的第一会话连接,降低了不同会话之间的相互干扰和资源竞争。通过将不同的第一会话连接关联到不同的检测线程和堆栈,可以实现故障隔离。例如,如果一个检测线程或堆栈发生故障或崩溃,只会影响到对应的会话连接,而不会影响其他会话连接的检测和处理。
示例性地,如图3所示,串路环境下的流量需要做双端代理,将原生的发送设备和目标设备的通信连接中,插入一个代理,变为“发送设备<--->代理<--->目标设备”的通信方式。
为了提高代理与报文转发效率,采用DPDK+用户态协议栈的方式,其中,用户态协议栈在基于开源F-Stack协议栈的基础上进行二次开发得到的,协议栈能力是通过移植FreeBSD协议栈至用户态实现的。通过外加头文件、宏控制、以及hook相关实现进行的移植。F-Stack是一个全用户态(kernel bypass)的高性能的网络接入开发包,基于DPDK、FreeBSD协议栈、微线程接口等,适用于各种需要网络接入的业务,从而通过业务逻辑,接入F-Stack即可实现高性能的网络服务。应用F-Stack主要是为了解决传统内核协议栈的性能瓶颈。F-Stack使用了多进程的无共享架构,每个进程CPU、网卡队列绑定,具有无竞争、零拷贝、线性扩展、NUMA友好等特点。
F-Stack是基于多进程模型的,本实施例中,改造为多线程模型,各线程处理数据完全隔离,避免锁的冲突带来的性能开销。如图4所示,单进程模式的处理模型,功能上,可划分为网桥、用户态协议栈及代理三个部分。
网桥负责从网卡读取数据,通过内部网关转换表(gateway NAT)将数据包中的地址转换成用户态协议栈(Network Stack)的地址,另外在转换的过程中,还需要将DPDK的数据包格式(rte_mbuf)转换成 FreeBSD 的数据包格式 (mbuf),转换完成后通过用户态协议栈的网络设备接口(ifnet)将数据包(mbuf)传递给用户态协议栈。
用户态协议栈,可将完整的报文处理放到用户态的进程中,提高处理性能,避免高并发场景下的内核锁冲突,运行主要靠两种方式驱动:一种是数据包驱动;一种是时钟驱动,fstack的hz 为 100,也就是每秒钟需要触发100次,10毫秒1次。
在一些实施例中,所述方法还包括:
筛选与数据库访问相关的第二报文;
基于预训练的数据库访问行为基线模型,根据所述第二报文的报头信息和协议内容,确定异常的数据库访问行为和所述异常的数据库访问行为对应的用户。
示例性地,数据库访问行为基线模型可以是基于海量数据库访问行为报文,采用深度学习等技术构建预训练得到的模型。该模型通过学习用户IP、访问工具、数据库账号、数据库IP、SQL操作等多维度数据作为训练数据,能够建立正常数据库访问行为的基线。从而,可以利用建立的数据库访问行为基线模型,将数据库访问相关报文通过基线模型,识别出与正常行为不符合的异常行为,例如异常的SQL操作、异常的访问频率、异常的数据库账号等。基于异常行为检测的结果,确定异常访问行为对应的用户。如此,通过使用深度学习等技术,基于海量行为数据自动学习数据库访问行为模式,不需要手动编写规则。基于用户IP、访问工具、数据库账号、数据库IP、SQL操作等多维度特征构建模型,提高了检测的准确性。可以实时对数据库访问行为进行监测和检测,及时发现异常行为,有助于及早应对潜在的安全威胁。
示例性地,本实施例的方案可以应用于金融业务,例如网上银行、电子商务、金融市场的交易与结算、贷款和信贷业务等。
在一银行转账场景中,根据第一报文的报头信息确定待审计的第二报文,这是指包含转账请求的报文。
根据第二报文的报头信息,建立监控设备的第一代理模块与第二报文的发送设备之间的第一会话连接。这个会话连接的作用是用于在转账过程中监控和审计第二报文的安全传输。
在第一会话连接中,对第二报文进行检测。例如,对报文的完整性、合法性以及潜在的安全风险进行分析和检测。
如果第二报文安全可信,监控设备的第二代理模块与目标设备之间建立第二会话连接,并将第二报文发送至被保护的目标设备(如转账确认设备)。这个步骤确保转账请求的安全传输到目标设备,保护转账操作的可靠性和安全性。
通过上述步骤,银行转账业务中的报文传输过程可以得到监控和审计,确保报文的安全传输和处理,减少风险和漏洞的存在,提高转账业务的安全性和可靠性。
当然,本发明的方法还可以应用在数据库审计、网络DLP、邮件DLP等产品上,都是通过背靠背的代理流量模式集合通过会话连接审计报文的方式确保报文的安全传输。
需要说明的是,上述各个功能模块为计算机设备中为实现某一个功能而把计算机设备中的处理模组进行的虚拟划分,可以理解的是,不同的功能模块执行的其实现该功能的计算机指令,从而协同完成上述网络流量的安全控制的方法。
为实现上述目的,本发明实施例还提供了一种网络流量的安全控制装置,请参阅图5,装置包括:
报文过滤模块51,用于根据已经过协议栈解码的第一报文的报头信息,确定待审计第二报文;
第一连接模块52,用于根据所述第二报文的报头信息,建立所述监控设备的第一代理模块与所述第二报文的发送设备之间的第一会话连接;
报文检测模块53,用于检测所述第二报文;
第二连接模块54,用于响应于检测到所述第二报文安全,基于所述监控设备的第二代理模块与目标设备之间的第二会话连接,将所述第二报文发送至被保护的目标设备;其中,所述第二代理模块和所述第一代理模块之间具有第三会话连接;
其中,所述第一会话连接、所述第二会话连接以及所述第三会话连接,用于所述第二报文的发送设备和所述目标设备之间的报文安全传输。
在一些实施例中,第一连接模块52,还用于:
确定所述第二报文是否来自第一设备,其中,所述第一设备已与所述第一代理模块建立会话连接;
响应于所述目标报文来自第二设备,根据所述第二报文的报文信息,建立所述第一代理模块与所述第二设备之间的第一会话连接。
在一些实施例中,装置,还用于:
响应于所述第一报文不是待审计的第二报文,转发或丢弃所述第一报文。
在一些实施例中,装置还包括:所述监控设备创建有等于所述第一会话连接个数的检测线程以及堆栈;其中,不同所述第一会话连接关联不同的所述检测线程;一个所述检测线程关联一个所述堆栈;
多个所述检测线程,用于对不同所述第一会话连接的第二报文的并行检测。
在一些实施例中,第一连接模块52,还用于:
基于预设的匹配规则,进行所述第二报文的报头信息与第一会话连接的标识符的匹配,其中,所述第一会话连接是所述第一设备与所述第一代理模块之间的会话连接;
如果存在标识符与所述第二报文的报头信息匹配,则确定所述第二报文来自所述第一设备。
在一些实施例中,报文检测模块53,还用于:
确定所述第二报文的协议类型,安全需求和应用场景之一或组合;
基于多模规则匹配算法,进行基于所述第二报文的协议类型,安全需求和应用场景之一或组合与第一规则库中第一检测规则的匹配,得到所述第二报文对应的检测项目和各所述检测项目的项目检测规则;其中,所述第一检测规则包括:报文的协议类型,安全需求和应用场景之一或组合以及与报文的协议类型,安全需求和应用场景之一或组合对应的检测项目和各所述检测项目的项目检测规则;
基于所述检测项目和各所述检测项目的项目检测规则,进行所述第二报文的报头信息和协议内容的检测,得到所述第二报文的各检测项目的检测结果;
基于所述各检测项目的检测结果,得到所述第二报文的第一检测结果。
在一些实施例中,报文检测模块53,还用于:为基于所述第一会话连接的会话,分配会话标识;
基于所述第二报文的报头信息,匹配与所述报头信息匹配的会话标识,确定所述第二报文所属的目标会话;
在所述第二报文有所属的目标会话的情况下,所述检测所述第二报文包括:
确定所述目标会话的关键信息,所述目标会话的应用场景,其中,所述目标会话的关键信息包括所述目标会话的上下文和所述目标会话中第二报文之间的关系;
基于所述目标会话的关键信息,得到所述目标会话的行为;
基于多模规则匹配算法,进行基于所述目标会话的行为与第二规则库中第二检测规则的匹配,得到所述会话的行为对应的行为检测规则;其中,所述第二检测规则包括:会话的行为,与所述会话的行为对应的行为检测规则;
基于所述行为检测规则,进行所述会话的行为检测,得到所述第二报文的第二检测结果。
这里需要指出的是:以上网络流量安全控制装置项的描述,与上述网络流量安全控制方法项描述是类似的,同方法的有益效果描述,不做赘述。对于本发明实施例网络流量安全控制装置实施例中未披露的技术细节,请参照本发明实施例网络流量安全控制方法实施例的描述。
为实现上述目的,本发明实施例还提供了一种计算机设备,如图6所示,该计算机设备包括处理器601、以及通过通信总线602与处理器601连接的存储器603;其中,存储器603,用于网络流量安全控制程序;处理器601,用于执行网络流量安全控制程序,以实现上述任一方案的网络流量安全控制的方法步骤:根据已经过协议栈解码的第一报文的报头信息,确定待审计第二报文;根据所述第二报文的报头信息,建立所述监控设备的第一代理模块与所述第二报文的发送设备之间的第一会话连接;检测所述第二报文;响应于检测到所述第二报文安全,基于所述监控设备的第二代理模块与目标设备之间的第二会话连接,将所述第二报文发送至被保护的目标设备;其中,所述第二代理模块和所述第一代理模块之间具有第三会话连接;其中,所述第一会话连接、所述第二会话连接以及所述第三会话连接,用于所述第二报文的发送设备和所述目标设备之间的报文安全传输。
这里,处理器601,用于执行所述根据所述第二报文的报头信息,建立所述监控设备的第一代理模块与所述第二报文的发送设备之间的第一会话连接,包括:确定所述第二报文是否来自第一设备,其中,所述第一设备已与所述第一代理模块建立所述第一会话连接;响应于所述目标报文来自第二设备,根据所述第二报文的报文信息,建立所述第一代理模块与所述第二设备之间的第一会话连接。
这里,处理器601,用于执行响应于所述第一报文不是待审计的第二报文,转发或丢弃所述第一报文。
这里,所述监控设备创建有等于所述第一会话连接个数的检测线程以及堆栈;其中,不同所述第一会话连接关联不同的所述检测线程;一个所述检测线程关联一个所述堆栈;多个所述检测线程,用于对不同所述第一会话连接的第二报文的并行检测。
这里,处理器601,用于执行为每个第一会话连接分配标识符;基于预设的匹配规则,进行所述第二报文的报头信息与第一会话连接的标识符的匹配,其中,所述第一会话连接是所述第一设备与所述第一代理模块之间的会话连接;如果存在标识符与所述第二报文的报头信息匹配,则确定所述第二报文来自所述第一设备。
这里,处理器601,用于执行确定所述第二报文的协议类型,安全需求和应用场景之一或组合;基于多模规则匹配算法,进行基于所述第二报文的协议类型,安全需求和应用场景之一或组合与第一规则库中第一检测规则的匹配,得到所述第二报文对应的检测项目和各所述检测项目的项目检测规则;其中,所述第一检测规则包括:报文的协议类型,安全需求和应用场景之一或组合以及与报文的协议类型,安全需求和应用场景之一或组合对应的检测项目和各所述检测项目的项目检测规则;基于所述检测项目和各所述检测项目的项目检测规则,进行所述第二报文的报头信息和协议内容的检测,得到所述第二报文的各检测项目的检测结果;基于所述各检测项目的检测结果,得到所述第二报文的第一检测结果。
这里,处理器601,用于执行为基于所述第一会话连接的会话,分配会话标识;基于所述第二报文的报头信息,匹配与所述报头信息匹配的会话标识,确定所述第二报文所属的目标会话;在所述第二报文有所属的目标会话的情况下,所述检测所述第二报文包括:确定所述目标会话的关键信息,所述目标会话的应用场景,其中,所述目标会话的关键信息包括所述目标会话的上下文和所述目标会话中第二报文之间的关系;基于所述目标会话的关键信息,得到所述目标会话的行为;基于多模规则匹配算法,进行基于所述目标会话的行为与第二规则库中第二检测规则的匹配,得到所述会话的行为对应的行为检测规则;其中,所述第二检测规则包括:会话的行为,与所述会话的行为对应的行为检测规则;基于所述行为检测规则,进行所述会话的行为检测,得到所述第二报文的第二检测结果。
可选的,处理器601可以是通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。这里,处理器601执行的程序可以存储在与处理器601通过通信总线602连接的存储器603之中,存储器603可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(FlashMemory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random AccessMemory)、同步连接动态随机存取存储器(SLDRAM,Sync Link Dynamic Random AccessMemory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器603旨在包括但不限于这些和任意其它适合类型的存储器603。本发明实施例中的存储器603用于存储各种类型的数据以支持处理器601的操作。这些数据的示例包括:供处理器601操作的任何计算机程序,如操作系统和应用程序;联系人数据;电话簿数据;消息;图片;视频等。其中,操作系统包含各种系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。
在一些实施例中,本发明实施例中的存储器602可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器 (Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器 (Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(DoubleData Rate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本文描述的系统和方法的存储器602旨在包括但不限于这些和任意其它适合类型的存储器。
而处理器601可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器601中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器601可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array, FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程 存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器602,处理器601读取存储器602中的信息,结合其硬件完成上述方法的步骤。
在一些实施例中,本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(Application Specific Integrated Circuits,ASIC)、数字信号处理器(Digital SignalProcessing,DSP)、数字信号处理设备(DSP Device,DSPD)、可编程逻辑设备(ProgrammableLogic Device,PLD)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。
对于软件实现,可通过执行本文所述功能的模块(例如过程、函数等) 来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
本发明又一实施例提供了一种计算机存储介质,该计算机可读存储介质存储有可执行程序,所述可执行程序被处理器601执行时,可实现应用于所述计算机设备的网络流量的安全控制方法的步骤。例如,如图2或图3所示的方法中的一个或多个。
在一些实施例中,所述计算机存储介质可以包括:U盘、移动硬盘、只读存储器(ROM, Read Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是:本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (7)
1.一种网络流量的安全控制方法,其特征在于,由保护目标设备的监控设备执行,所述方法包括:
根据已经过协议栈解码的第一报文的报头信息,确定待审计第二报文;
根据所述第二报文的报头信息,建立所述监控设备的第一代理模块与所述第二报文的发送设备之间的第一会话连接;
检测所述第二报文;
响应于检测到所述第二报文安全,基于所述监控设备的第二代理模块与目标设备之间的第二会话连接,将所述第二报文发送至被保护的目标设备;其中,所述第二代理模块和所述第一代理模块之间具有第三会话连接;
其中,所述第一会话连接、所述第二会话连接以及所述第三会话连接,用于所述第二报文的发送设备和所述目标设备之间的报文安全传输;
所述检测所述第二报文,包括:
确定所述第二报文的协议类型,安全需求和应用场景之一或组合;
基于多模规则匹配算法,进行基于所述第二报文的协议类型,安全需求和应用场景之一或组合与第一规则库中第一检测规则的匹配,得到所述第二报文对应的检测项目和各所述检测项目的项目检测规则;其中,所述第一检测规则包括:报文的协议类型,安全需求和应用场景之一或组合分别对应的检测项目以及各所述检测项目的项目检测规则;
基于所述检测项目和各所述检测项目的项目检测规则,进行所述第二报文的报头信息和协议内容的检测,得到所述第二报文的各检测项目的检测结果;
基于所述各检测项目的检测结果,得到所述第二报文的第一检测结果。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于所述第一报文不是待审计的第二报文,转发或丢弃所述第一报文。
3.根据权利要求1所述的方法,其特征在于,所述监控设备创建有等于所述第一会话连接个数的检测线程以及堆栈;其中,不同所述第一会话连接关联不同的所述检测线程;一个所述检测线程关联一个所述堆栈;
多个所述检测线程,用于对不同所述第一会话连接的第二报文的并行检测。
4.根据权利要求1所述的方法,所述方法还包括:为基于所述第一会话连接的会话,分配会话标识;
基于所述第二报文的报头信息,匹配与所述报头信息匹配的会话标识,确定所述第二报文所属的目标会话;
在所述第二报文有所属的目标会话的情况下,所述检测所述第二报文包括:
确定所述目标会话的关键信息,所述目标会话的应用场景,其中,所述目标会话的关键信息包括所述目标会话的上下文和所述目标会话中第二报文之间的关系;
基于所述目标会话的关键信息,得到所述目标会话的行为;
基于多模规则匹配算法,进行基于所述目标会话的行为与第二规则库中第二检测规则的匹配,得到所述会话的行为对应的行为检测规则;其中,所述第二检测规则包括:会话的行为,与所述会话的行为对应的行为检测规则;
基于所述行为检测规则,进行所述会话的行为检测,得到所述第二报文的第二检测结果。
5.一种网络流量的安全控制装置,其特征在于,所述装置包括:
报文过滤模块,用于根据已经过协议栈解码的第一报文的报头信息,确定待审计第二报文;
第一连接模块,用于根据所述第二报文的报头信息,建立监控设备的第一代理模块与所述第二报文的发送设备之间的第一会话连接;
报文检测模块,用于检测所述第二报文;
第二连接模块,用于响应于检测到所述第二报文安全,基于所述监控设备的第二代理模块与目标设备之间的第二会话连接,将所述第二报文发送至被保护的目标设备;其中,所述第二代理模块和所述第一代理模块之间具有第三会话连接;
其中,所述第一会话连接、所述第二会话连接以及所述第三会话连接,用于所述第二报文的发送设备和所述目标设备之间的报文安全传输;
所述检测所述第二报文,包括:
确定所述第二报文的协议类型,安全需求和应用场景之一或组合;
基于多模规则匹配算法,进行基于所述第二报文的协议类型,安全需求和应用场景之一或组合与第一规则库中第一检测规则的匹配,得到所述第二报文对应的检测项目和各所述检测项目的项目检测规则;其中,所述第一检测规则包括:报文的协议类型,安全需求和应用场景之一或组合分别对应的检测项目以及各所述检测项目的项目检测规则;
基于所述检测项目和各所述检测项目的项目检测规则,进行所述第二报文的报头信息和协议内容的检测,得到所述第二报文的各检测项目的检测结果;
基于所述各检测项目的检测结果,得到所述第二报文的第一检测结果。
6.一种计算机设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器用于执行如权利要求1至4任一项所述的网络流量的安全控制方法。
7.一种计算机存储介质,其特征在于,所述计算机存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以使所述一个或者多个处理器执行如权利要求1至4中任一项所述的网络流量的安全控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310852751.5A CN116582365B (zh) | 2023-07-12 | 2023-07-12 | 网络流量的安全控制方法、装置及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310852751.5A CN116582365B (zh) | 2023-07-12 | 2023-07-12 | 网络流量的安全控制方法、装置及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116582365A CN116582365A (zh) | 2023-08-11 |
| CN116582365B true CN116582365B (zh) | 2023-09-26 |
Family
ID=87539998
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310852751.5A Active CN116582365B (zh) | 2023-07-12 | 2023-07-12 | 网络流量的安全控制方法、装置及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116582365B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117729172A (zh) * | 2024-02-18 | 2024-03-19 | 成都深瑞同华科技有限公司 | 一种隔离网络环境下的数据传输方法、装置及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113905013A (zh) * | 2021-10-29 | 2022-01-07 | 格尔软件股份有限公司 | 一种面向集群网络实现ip地址透传的方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10412126B2 (en) * | 2016-10-03 | 2019-09-10 | Avaya Inc. | Detection and auto-correction of talk path problems in communication sessions |
| US10749900B2 (en) * | 2018-09-28 | 2020-08-18 | The Mitre Corporation | Deploying session initiation protocol application network security |
-
2023
- 2023-07-12 CN CN202310852751.5A patent/CN116582365B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113905013A (zh) * | 2021-10-29 | 2022-01-07 | 格尔软件股份有限公司 | 一种面向集群网络实现ip地址透传的方法 |
Non-Patent Citations (2)
| Title |
|---|
| 基于代理的入侵检测模型;朱蕾, 谷大武;通信技术(第04期);第66-68页 * |
| 朱蕾,谷大武.基于代理的入侵检测模型.通信技术.2002,(第04期),第66-68页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116582365A (zh) | 2023-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8078880B2 (en) | Portable personal identity information | |
| US20210203503A1 (en) | Permissions from entities to access information | |
| KR102580898B1 (ko) | Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법 | |
| EP3465987B1 (en) | Logging of traffic in a computer network | |
| CN107347057B (zh) | 入侵检测方法、检测规则生成方法、装置及系统 | |
| US11184389B2 (en) | Security mechanisms for preventing retry or replay attacks | |
| US10652255B2 (en) | Forensic analysis | |
| CN111030963B (zh) | 文档追踪方法、网关设备及服务器 | |
| CN116582365B (zh) | 网络流量的安全控制方法、装置及计算机设备 | |
| WO2022257226A1 (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| US11916936B2 (en) | Techniques for incentivized intrusion detection system | |
| WO2021189257A1 (zh) | 恶意进程的检测方法、装置、电子设备及存储介质 | |
| CN108449324B (zh) | 一种网间数据的安全交换方法及系统 | |
| JP2018533803A (ja) | Ipアドレス取得方法及び装置 | |
| Dhaya et al. | Cloud computing security protocol analysis with parity-based distributed file system | |
| CN113098758B (zh) | 一种基于企业微信的企业消息推送安全网关系统 | |
| CN104092733B (zh) | 一种基于hdfs的可信分布式文件系统 | |
| Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data | |
| CN112637171A (zh) | 数据流量处理方法、装置、设备、系统和存储介质 | |
| Krizhanovsky et al. | An approach for adaptive intrusion prevention based on the danger | |
| CN117093639B (zh) | 一种基于审计服务的套接字连接处理方法和系统 | |
| CN117951742A (zh) | 数据处理方法、装置、设备、介质和程序产品 | |
| CN118300960A (zh) | 内外网之间的信息交互方法、装置、存储介质及电子设备 | |
| de Oliveira Pinho | OrchRecon A Distributed System for Reconnaissance and Vulnerability Scanning | |
| Smorti | Analysis and improvement of ransomware detection techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |