CN116633686A - 一种安全网关自适应访问控制的方法、装置及电子设备 - Google Patents

一种安全网关自适应访问控制的方法、装置及电子设备 Download PDF

Info

Publication number
CN116633686A
CN116633686A CN202310891672.5A CN202310891672A CN116633686A CN 116633686 A CN116633686 A CN 116633686A CN 202310891672 A CN202310891672 A CN 202310891672A CN 116633686 A CN116633686 A CN 116633686A
Authority
CN
China
Prior art keywords
key field
sent
key
message
lengths
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310891672.5A
Other languages
English (en)
Other versions
CN116633686B (zh
Inventor
王滨
郭盛开
陈加栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Priority to CN202310891672.5A priority Critical patent/CN116633686B/zh
Publication of CN116633686A publication Critical patent/CN116633686A/zh
Application granted granted Critical
Publication of CN116633686B publication Critical patent/CN116633686B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供一种安全网关自适应访问控制的方法、装置及电子设备。在本实施例中,通过在报文发送前依据验证模板对待发送报文是否为恶意流量进行识别,若识别到待发送报文为恶意流量,则不对该待发送报文进行加密,也不会将该待发送报文发送至服务端,实现了在流量加密前对流量是否为恶意流量的识别,减少对恶意流量进行加密产生的计算资源浪费,同时也降低了网络负载;进一步地,获得服务端下发的资源类型,针对不同的资源类型,利用该资源类型对应的验证模板对待发送报文进行恶意流量识别,实现了针对不同流量,自适应地进行不同的访问控制,更加灵活。

Description

一种安全网关自适应访问控制的方法、装置及电子设备
技术领域
本申请涉及通信领域,尤其涉及一种安全网关自适应访问控制的方法、装置及电子设备。
背景技术
在互联网应用中,为了保证诸如视频、文本等流量的安全传输,常常对流量进行加密后再进行传输,而如何对加密后的流量进行恶意流量识别至关重要。
目前,常用的对加密流量进行恶意流量识别方法是:利用预设好的恶意流量的特征与传输的加密流量的特征进行比对,若一致,就认为加密流量是恶意流量,但是这种对密文进行识别的方法,会导致消耗大量的计算资源对恶意流量进行加密,造成资源浪费。
发明内容
有鉴于此,本申请实施例提供一种安全网关自适应访问控制的方法、装置及电子设备,以对加密前的流量进行识别,不对恶意流量进行加密,避免资源浪费。
根据本申请实施例的第一方面,提供一种安全网关自适应访问控制的方法,所述方法应用于客户端,所述客户端与服务端之间通过安全套接层SSL 虚拟专用网络VPN隧道进行通信,所述方法包括:
获得所述服务端通过所述SSL VPN隧道下发的与本客户端匹配的资源类型,并获得所述资源类型的关键字段,所述资源类型用于指示本客户端可访问的资源;
针对每一待发送报文,确定与该待发送报文匹配的目标关键字段,并依据确定出的目标关键字段与所述资源类型的关键字段进行比对,得到所述待发送报文对应的目标资源类型,获取与所述目标资源类型匹配的用于验证待发送报文的验证模板;
若基于所述验证模板验证出所述待发送报文为恶意流量,则禁止该待发送报文发送至所述服务端;若基于所述验证模板验证出所述待发送报文不为恶意流量,则对所述待发送报文进行加密后发送至所述服务端。
根据本申请实施例的第二方面,提供一种安全网关自适应访问控制的装置,所述装置应用于客户端,所述客户端与服务端之间通过安全套接层SSL 虚拟专用网络VPN隧道进行通信,所述装置包括:
资源类型获得模块,用于获得所述服务端通过所述SSL VPN隧道下发的与本客户端匹配的资源类型,并获得所述资源类型的关键字段,所述资源类型用于指示本客户端可访问的资源;
验证模板确定模块,用于针对每一待发送报文,确定与该待发送报文匹配的目标关键字段,并依据确定出的目标关键字段与所述资源类型的关键字段进行比对,得到所述待发送报文对应的目标资源类型,获取与所述目标资源类型匹配的用于验证待发送报文的验证模板;
恶意流量识别模块,用于若基于所述验证模板验证出所述待发送报文为恶意流量,则禁止该待发送报文发送至所述服务端;若基于所述验证模板验证出所述待发送报文不为恶意流量,则对所述待发送报文进行加密后发送至所述服务端。
根据本申请实施例的第三方面,提供一种电子设备,电子设备包括:处理器和存储器;
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如第一方面所述的方法。
本申请实施例提供的技术方案可以包括以下有益效果:
在本实施例中,通过在报文发送前依据验证模板对待发送报文是否为恶意流量进行识别,若识别到待发送报文为恶意流量,则不对该待发送报文进行加密,也不会将该待发送报文发送至服务端,实现了在流量加密前对流量是否为恶意流量的识别,减少对恶意流量进行加密产生的计算资源浪费,同时也降低了网络负载;
进一步地,获得服务端下发的资源类型,针对不同的资源类型,利用该资源类型对应的验证模板对待发送报文进行恶意流量识别,实现了针对不同流量,自适应地进行不同的访问控制,更加灵活。
附图说明
图1是本申请实施例示出的一种客户端与服务端组网的示例图。
图2是本申请实施例示出的一种安全网关自适应访问控制的方法的流程图。
图3是本申请实施例示出的一种安全网关自适应访问控制的时序图。
图4是本申请实施例示出的一种安全网关自适应访问控制的装置的框图。
图5是本申请实施例示出的电子设备的一种硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
接下来对本说明书实施例进行详细说明。
如图1所示,图1为本申请实施例示出的客户端与服务端组网的示意图。在本实施例中,服务端为安全网关,该服务端包括:VPN服务端。客户端包括:APP、VPN客户端以及鉴别控制服务模块,其中,鉴别控制服务模块用于对APP产生的流量是否为恶意流量识别,VPN客户端用于对识别为正常流量的流量进行加密,并将加密后的流量通过SSL VPN隧道发送至服务端。这里,SSL VPN隧道是客户端通过VPN客户端与VPN服务端之间进行协商认证建立的,具体建立方法与常规的SSL VPN隧道建议方法一样,这里不再赘述。
在本实施例中,客户端预先在服务端进行注册,将其IP地址、安全证书等注册到服务端,这里,IP地址用于标识该客户端,而安全证书用于对该客户端进行身份校验。
作为一个实施例,用户可以预先在后台服务中配置上述客户端可访问的资源类型,这里,资源类型可以包括以下至少一种:http协议、rtps协议、rtp协议等,本申请实施例并不具体限定。
后台服务将为各个客户端配置的资源类型发送至服务端,由服务端进行存储,具体地,针对每一客户端,服务器存储IP地址与资源类型的对应关系。
基于图1所示的组网,下面通过图2对本申请实施例提供的方法进行描述:
参见图2,图2为本申请实施例提供的方法流程图。该方法应用于上述客户端,如图2所示,该流程可包括以下步骤:
S210:获得服务端通过SSL VPN隧道下发的与本客户端匹配的资源类型,并获得资源类型的关键字段,资源类型用于指示本客户端可访问的资源。
示例性低,在本实施例中,资源类型可以为:http协议、rtps协议、rtp协议等中的至少一个,本申请实施例并不具体限定。
在本实施例中,在执行本步骤之前,如图3所示,客户端向服务端发送资源类型获取请求,该资源类型获取请求携带本客户端的IP地址,服务端接收到资源类型获取请求后,依据该资源类型获取请求携带的客户端的IP地址从已存储的各客户端的IP地址与资源类型对应关系中查找与该IP地址匹配的资源类型,并将查找到的资源类型通过已建立好的SSL VPN隧道发送给本客户端。
需要说明的是,每个IP地址匹配的资源类型可以为1个,也可以为多个,本申请实施例并不具体限定。
示例性地,在本实施例中,上述关键字段包括以下字段的至少一个:标识字段、协议号字段等,本申请实施例并不具体限定。
在本实施例中,客户端会在本地提前存储好各资源类型的关键字段,当接收到服务端下发的资源类型后,从本地获取接收到的资源类型的关键字段。
S220:针对每一待发送报文,确定与该待发送报文匹配的目标关键字段,并依据确定出的目标关键字段与资源类型的关键字段进行比对,得到所述待发送报文对应的目标资源类型,获取与目标资源类型匹配的用于验证待发送报文的验证模板。
示例性地,在本实施例中,确定与待发送报文匹配的目标关键字段有很多方法,例如,基于多模式匹配(Wu-Manber,WM)算法确定,或者基于其他算法确定,本申请实施例并不具体限定。
需要说明的是,WM算法为常规算法,这里不再赘述。下面实施例对确定与待发送报文匹配的目标关键字段的具体方法进行了举例描述,这里暂不赘述。
示例性地,在本实施例中,针对每一待发送报文,当确定出与该待发送报文匹配的目标关键字段后,依据该目标关键字段以及各资源类型的关键字段进行比对,确定与目标关键字段对应的目标资源类型,作为待发送报文对应的目标资源类型。
在本实施例中,用于验证待发送报文的验证模板可以有很多种,例如正则表达式等等,本申请实施例并不具体限定。
本申请实施例仅以用于验证待发送报文的验证模板为正则表达式为例进行描述,在本实施例中,本客户端本地提前存储好各资源类型的正则表达式,在确定出目标资源类型后,直接从本地获取该目标资源类型的正则表达式。
例如,下表1为资源类型的正则表达式示例,表1仅以http协议、Rtp协议以及Rtsp协议的正则表达式为例进行示例,并不具体限定本申请。
表1
S230:若基于验证模板验证出待发送报文为恶意流量,则禁止该待发送报文发送至服务端;若基于验证模板验证出待发送报文不为恶意流量,则对待发送报文进行加密后发送至服务端。
示例性地,在本实施例中,基于正则表达式与待发送报文进行比对为常规的比对方法,这里不再赘述。
在本实施例中,在基于正则表达式与待发送报文确定出待发送报文为恶意流量时,禁止该待发送报文发送至服务端;在基于正则表达式与待发送报文确定出待发送报文为正常流量时,将该待发送报文发送至VPN客户端,对该待发送报文进行加密后发送至服务端。
至此,完成图2所示流程。
通过图2所示流程可以看出,在本实施例中,通过在报文发送前依据验证模板对待发送报文是否为恶意流量进行识别,若识别到待发送报文为恶意流量,则不对该待发送报文进行加密,也不会将该待发送报文发送至服务端,实现了在流量加密前对流量是否为恶意流量的识别,减少对恶意流量进行加密产生的计算资源浪费,同时也降低了网络负载;
进一步地,获得服务端下发的资源类型,针对不同的资源类型,利用该资源类型对应的验证模板对待发送报文进行恶意流量识别,实现了针对不同流量,自适应地进行不同的访问控制,更加灵活。
常规的WM算法中,不对资源类型的关键字段进行分组,直接对所有的关键字段进行匹配,由于WM算法中匹配窗口的移动距离由最短关键字段的长度(SLP)决定,因此,在匹配窗口移动过程中,每次都移动最短关键字段的长度,导致匹配效率低,在本申请实施例中,对WM算法进行改进,基于改进后的WM算法进行字段匹配,提高匹配效率,具体参见下面实施例的描述。
作为本申请实施例一个可选实施方式,在获取资源类型的关键字段后,该安全网关自适应访问控制的方法还包括:
依据各关键字段的长度对所述关键字段进行分组,得到N个关键字段组至少N-1个关键字段组中,关键字段的长度相同;
针对每一关键字段组,确定与所述待发送报文匹配的目标关键字段。
示例性地,在本实施例中,依据各关键字段的长度对所述关键字段进行分组,得到N个关键字段组有很多种方式,例如,将关键字段的长度相同的关键字段分为一组,再例如,N-1个关键字段组中,关键字段的长度相同,第N个关键字段组中的关键字段的长度不同,本申请实施例并不具体限定。
作为一个实施例,在本实施例中,对于关键字段的长度小于指定长度(例如,6字节)的关键字段,将长度相同的关键字段分为一组,对于关键字段的长度大于指定长度的关键字段,将其分为一组。
例如,将关键字段的长度为2字节的关键字段分为一组,将关键字段的长度为3字节的关键字段分为一组,将关键字段的长度为4字节的关键字段分为一组,将关键字段的长度为5字节的关键字段分为一组,将关键字段的长度大于或等于6字节的关键字段分为一组。
在本实施例中,针对每一关键字段组,确定与所述待发送报文匹配的目标关键字段具体可以为:
针对每一关键字段组,若该关键字段组中的关键字段的长度均相同,且关键字段的长度不为指定字节,则依据该关键字段组中关键字段的长度确定待发送报文的初始匹配窗口。这里,指定字节为2字节,本申请实施例对该指定字节不作具体限定。
在本实施例中,依据该关键字段组中关键字段的长度(记为m)确定待发送报文的初始匹配窗口具体可以为:在待发送报文中,以第m个字符为起点,m个字符为长度的区域作为初始匹配窗口,例如,当m为2个时,初始匹配窗口即为待发送报文的第二个字符和第三个字符组成的区域。
在得到初始匹配窗口后,将初始匹配窗口作为当前匹配窗口,确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符,若是,结束匹配流程;若不是,则基于当前匹配窗口中后缀字符块的哈希值从该关键字段组已被创建的移动(SHIFT)表中确定当前匹配窗口的移动距离,这里,SHIFT表用于存储该关键字段组中各关键字段的指定大小(记为B)的各字符块的移动距离。
若该移动距离大于0,则将当前匹配窗口指向末尾位置的索引沿着待发送报文从前向后的方向移动移动距离,将移动后的匹配窗口作为当前匹配窗口,返回执行确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符的步骤;若该移动距离等于0,则当基于当前匹配窗口中的字符串的哈希值从该关键字段组已被创建的哈希表中匹配到关键字段时,记录匹配到的关键字段,作为目标关键字段;当基于当前匹配窗口中的字符串的哈希值从该关键字段组中匹配到关键字段或者基于当前匹配窗口中的字符串的哈希值从该关键字段组中匹配不到关键字段,将当前匹配窗口指向末尾位置的索引沿着待发送报文从前向后的方向移动一个字符的距离,将移动后的匹配窗口作为当前匹配窗口,返回执行确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符的步骤;后缀字符块的大小为指定大小,哈希表中,具有相同后缀字符块的关键字段存为一组。
若该关键字段组中的关键字段的长度均相同,且关键字段的长度为指定字节(例如,2个字节),则依据该关键字段组中关键字段的长度确定待发送报文的初始匹配窗口,具体确定方法与上述初始匹配窗口的确定方法一样,这里不再赘述。
将初始匹配窗口作为当前匹配窗口,确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符,若是,结束匹配流程;若不是,则当基于当前匹配窗口中的字符串的哈希值从该关键字段组已被创建的哈希表中匹配到关键字段时,记录匹配到的关键字段,作为目标关键字段;当基于当前匹配窗口中的字符串的哈希值从该关键字段组中匹配到关键字段或者基于当前匹配窗口中的字符串的哈希值从该关键字段组中匹配不到关键字段,将当前匹配窗口指向末尾位置的索引沿着待发送报文从前向后的方向移动一个字符的距离,将移动后的匹配窗口作为当前匹配窗口,返回执行确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符的步骤。
针对每一关键字段组,若该关键字段组中的关键字段的长度存在不相同的,则基于指定算法、以及已被创建的哈希表、SHIFT表和前缀PREFIX表从该关键字段组中确定与待发送报文匹配的目标关键字段。
示例性地,在本实施例中,上述指定算法例如可以为WM算法,还可以为其他算法,本申请实施例并不具体限定。
下面以指定算法为WM算法为例进行描述:
以该关键字段组中关键字段的最短长度为5字节为例,在待发送报文中,以第5个字符为起点,5个字符为长度的区域作为初始匹配窗口,即初始匹配窗口即为待发送报文的第5个字符到第9个字符组成的区域。
在得到初始匹配窗口后,将初始匹配窗口作为当前匹配窗口,确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符,若是,结束匹配流程;若不是,则基于当前匹配窗口中后缀字符块的哈希值从该关键字段组已被创建的移动(SHIFT)表中确定当前匹配窗口的移动距离。
若该移动距离大于0,则将当前匹配窗口指向末尾位置的索引沿着待发送报文从前向后的方向移动移动距离,将移动后的匹配窗口作为当前匹配窗口,返回执行确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符的步骤;若该移动距离等于0,则当基于当前匹配窗口中的字符串的哈希值从该关键字段组已被创建的哈希表中匹配到关键字段时,记录匹配到的关键字段,若匹配到一个关键字段,就将匹配到的关键字段作为目标关键字段;若匹配到至少两个关键字段,则从待发送报文中确定从第i(当前匹配窗口的起始字符)-m+1个字符开始、长度为指定大小(即2个字节)的字符块,依据该字符块从PREFIX表进行匹配,得到目标关键字段。当基于当前匹配窗口中的字符串的哈希值从该关键字段组中匹配到关键字段或者基于当前匹配窗口中的字符串的哈希值从该关键字段组中匹配不到关键字段,将当前匹配窗口指向末尾位置的索引沿着待发送报文从前向后的方向移动一个字符的距离,将移动后的匹配窗口作为当前匹配窗口,返回执行确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符的步骤;后缀字符块的大小为指定大小,哈希表中,具有相同后缀字符块的关键字段存为一组。
本申请实施例通过各关键字段的长度对关键字段进行分组,针对每一关键字段组进行字段匹配处理,避免了常规WM算法中在进行匹配时基于长度最短的关键字段进行匹配,导致的匹配效率低的问题,提高了匹配效率。
本申请实施例以下面分组方法为例进行描述,在本实施例中,将关键字段的长度为2个字节的分为一组(记为G1),将关键字段的长度为3个字节的分为一组(记为G2),将关键字段的长度为4个字节的分为一组(记为G3),将关键字段的长度为5个字节的分为一组(记为G4),将关键字段的长度为5个字节以上的分为一组(记为G5)。
对于关键字段组G1-G5,构建相应的哈希表(记为HASH1-HASH5);对于关键字段组G1,其匹配窗口的移动距离一直为1,所以不需要构建SHIFT表,因此,对于关键字段组G2-G5,构建相应的SHIFT表(记为SHIFT2-SHIFT5);对短关键字段(G1-G4),对前缀字符块进行hash计算来查找PREFIX表是没有必要的,因此,在本实施例中,仅针对关键字段组G5,构建相应的前缀(PREFIX)表(记为PREFIX5)。
对于哈希表的构建,对每个字段组中的关键字段的后缀字符块进行分类,将相同后缀字符块的关键字段分为一组,按照分组后的关键字段进行存储,得到哈希表。
对于PREFIX表的构建,对每个字段组中的关键字段的前缀字符进行分类,将相同前缀字符的关键字段分为一组,按照分组后的关键字段进行存储,得到PREFIX表。
对于SHIFT表的构建,确定关键字段的每个指定大小的字符块的移动距离,将每个字符块的移动距离进行存储,得到SHIFT表。
例如,对于SHIFT4,当关键字段为announce,指定大小为2时,SHIFT表存储的为:字符块an的移动距离为:6个字符;字符块nn的移动距离为:5个字符;字符块no的移动距离为:4个字符;字符块ou的移动距离为:3个字符;字符块un的移动距离为:2个字符;字符块nc的移动距离为:1个字符;字符块ce的移动距离为:0个字符;其他字符块的移动距离为:m-B+1=4个字符。
在确定与待发送报文匹配的关键字段时,按照G5、G4、G3、G2、G1的顺序来匹配,包括:
对于关键字段组G5,其按照常规的WM算法的匹配步骤进行匹配即可,这里不再赘述。
对于关键字段组G2-G4,其匹配方法是一样的,这里仅以关键字段组G4为例进行描述,关键字段组G4的指定大小为B=2,关键字段组中的最小长度为m=5,具体匹配过程如下:
步骤A.在待发送报文中确定初始匹配窗口,即第5到第9个字符所在区域,将该初始匹配窗口作为当前匹配窗口,索引指针Ip指向当前匹配窗口的末尾字符。
步骤B.如果当前匹配窗口的Ip>Iend,结束关键字段组G4的匹配;否则跳转到步骤C,这里,Iend指的是待发送报文的最后一个字符。
步骤C.计算当前匹配窗口的后缀字符块的哈希值,这里后缀字符块为当前匹配窗口的最后2个字符,例如,后缀字符块为:he,则基于后缀字符块he在关键字段组G4的SHIFT4进行匹配,如果匹配到的SHIFT4>0,则有Ip=Ip+SHIFT4[he],并且返回执行步骤B,如果匹配到的SHIFT4=0,则跳转到步骤D。
这里,若在SHIFT4匹配到至少2个he,则SHIFT4[he]取匹配到的至少2个he中对应值中的最小值。
步骤D.计算当前匹配窗口的字符串hash,并在关键字段组G4的HASH4中进行匹配,如果HASH4[h]!=NULL(其中 h 指当前匹配窗口的字符串),则认为匹配成功,记录匹配到的关键字段。无论是否匹配成功都有Ip=Ip+1,返回执行步骤B。
对于关键字段组G1,关键字段组G1的指定大小为B=2,关键字段组中的最小长度为m=2,具体匹配过程如下:
步骤X.在待发送报文中确定初始匹配窗口,即第2到第3个字符所在区域,将该初始匹配窗口作为当前匹配窗口,索引指针Ip指向当前匹配窗口的末尾字符。
步骤Y.如果当前匹配窗口的Ip>Iend,结束关键字段组G1的匹配;否则跳转到步骤Z,这里,Iend指的是待发送报文的最后一个字符。
步骤Z.计算当前匹配窗口的字符串hash,并在关键字段组G4的HASH4中进行匹配,如果HASH4[h]!=NULL(其中 h 指当前匹配窗口的字符串),则认为匹配成功,记录匹配到的关键字段。无论是否匹配成功都有Ip=Ip+1,返回执行步骤Y。
与前述方法的实施例相对应,本申请实施例还提供了装置及其所应用的终端的实施例。
如图4所示,图4是本申请实施例示出的一种安全网关自适应访问控制的装置的框图,上述安全网关自适应访问控制的装置应用于客户端,客户端与服务端之间通过安全套接层SSL 虚拟专用网络VPN隧道进行通信,上述安全网关自适应访问控制的装置包括:
资源类型获得模块,用于获得服务端通过SSL VPN隧道下发的与本客户端匹配的资源类型,并获得资源类型的关键字段,资源类型用于指示本客户端可访问的资源;
验证模板确定模块,用于针对每一待发送报文,确定与该待发送报文匹配的目标关键字段,并依据确定出的目标关键字段与资源类型的关键字段进行比对,得到待发送报文对应的目标资源类型,获取与目标资源类型匹配的用于验证待发送报文的验证模板;
恶意流量识别模块,用于若基于验证模板验证出待发送报文为恶意流量,则禁止该待发送报文发送至服务端;若基于验证模板验证出待发送报文不为恶意流量,则对待发送报文进行加密后发送至服务端。
作为本申请实施例一个可选实施方式,资源类型是服务端基于接收到的本客户端发送的资源类型获取请求发送的,资源类型获取请求携带本客户端的标识信息,服务端存储有客户端标识信息与资源类型对应关系,资源类型是预先配置的,客户端标识信息是本客户端在服务器注册后存储到服务端的;
作为本申请实施例一个可选实施方式,在获得资源类型的关键字段后,该安全网关自适应访问控制的装置还包括:
分组模块,用于依据各关键字段的长度对关键字段进行分组,得到N个关键字段组,至少N-1个关键字段组中,关键字段的长度相同;
验证模板确定模块包括:目标关键字段确定子模块,用于针对每一关键字段组,根据该关键字段组中的关键字段的长度,确定与待发送报文匹配的目标关键字段。
作为本申请实施例一个可选实施方式,针对每一关键字段组,若该关键字段组中的关键字段的长度均相同,且关键字段的长度不为指定字节,创建该关键字段组对应的哈希表和移动SHIFT表,所述哈希表和所述SHIFT表用于关键字段的长度相同,且关键字段的长度不为指定字节的关键字段组的字段匹配;和/或,
若该关键字段组中的关键字段的长度均相同,且关键字段的长度为指定字节,创建该关键字段组对应的哈希表,所述哈希表用于关键字段的长度相同,且关键字段的长度为指定字节的关键字段组的字段匹配;和/或,
若该关键字段组中的关键字段的长度存在不相同的,创建该关键字段组对应的哈希表、SHIFT表和前缀PREFIX表,PREFIX表中,具有相同前缀字符块的关键字段存为一组,前缀字符块的大小为指定大小,所述哈希表、SHIFT表和PREFIX表用于关键字段的长度存在不相同的关键字段组的字段匹配。
作为本申请实施例一个可选实施方式,上述目标关键字段确定子模块具体用于:
针对每一关键字段组,若该关键字段组中的关键字段的长度均相同,且关键字段的长度不为指定字节,则依据该关键字段组中关键字段的长度确定待发送报文的初始匹配窗口;将初始匹配窗口作为当前匹配窗口,确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符;
若是,结束匹配流程;若不是,则基于当前匹配窗口中后缀字符块的哈希值从该关键字段组已被创建的SHIFT表中确定当前匹配窗口的移动距离;
若该移动距离大于0,则将当前匹配窗口指向末尾位置的索引沿着待发送报文从前向后的方向移动移动距离,将移动后的匹配窗口作为当前匹配窗口,返回执行确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符的步骤;否则,当基于当前匹配窗口中的字符串的哈希值从该关键字段组已被创建的哈希表中匹配到关键字段时,记录匹配到的关键字段,作为目标关键字段;
将当前匹配窗口指向末尾位置的索引沿着待发送报文从前向后的方向移动一个字符的距离,将移动后的匹配窗口作为当前匹配窗口,返回执行确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符的步骤;后缀字符块的大小为指定大小,SHIFT表用于存储该关键字段组中各关键字段的指定大小的各字符块的移动距离,哈希表中,具有相同后缀字符块的关键字段存为一组;
针对每一关键字段组,若该关键字段组中的关键字段的长度均相同,且关键字段的长度为指定字节,则依据该关键字段组中关键字段的长度确定待发送报文的初始匹配窗口,将初始匹配窗口作为当前匹配窗口,确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符;
若是,结束匹配流程;若不是,则当基于当前匹配窗口中的字符串的哈希值从该关键字段组已被创建的哈希表中匹配到关键字段时,记录匹配到的关键字段,作为目标关键字段;
将当前匹配窗口指向末尾位置的索引沿着待发送报文从前向后的方向移动一个字符的距离,将移动后的匹配窗口作为当前匹配窗口,返回执行确定当前匹配窗口的最后一个字符是否为待发送报文的最后一个字符的步骤;
针对每一关键字段组,若该关键字段组中的关键字段的长度存在不相同的,则基于指定算法、以及已被创建的哈希表、SHIFT表和前缀PREFIX表从该关键字段组中确定与待发送报文匹配的目标关键字段,指定算法为多模式匹配WM算法。
至此,完成图4所示装置的描述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对应地,本申请实施例还提供了图4所示装置的硬件结构图,具体如图5所示,该电子设备可以为上述实施方法的设备。如图5所示,该硬件结构包括:处理器和存储器。
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如上所示的所对应的安全网关自适应访问控制的方法实施例。
作为一个实施例,存储器可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,存储器可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,存储器可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图5所示电子设备的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。

Claims (10)

1.一种安全网关自适应访问控制的方法,其特征在于,所述方法应用于客户端,所述客户端与服务端之间通过安全套接层SSL 虚拟专用网络VPN隧道进行通信,所述方法包括:
获得所述服务端通过所述SSL VPN隧道下发的与本客户端匹配的资源类型,并获得所述资源类型的关键字段,所述资源类型用于指示本客户端可访问的资源;
针对每一待发送报文,确定与该待发送报文匹配的目标关键字段,并依据确定出的目标关键字段与所述资源类型的关键字段进行比对,得到所述待发送报文对应的目标资源类型,获取与所述目标资源类型匹配的用于验证待发送报文的验证模板;
若基于所述验证模板验证出所述待发送报文为恶意流量,则禁止该待发送报文发送至所述服务端;若基于所述验证模板验证出所述待发送报文不为恶意流量,则对所述待发送报文进行加密后发送至所述服务端。
2.根据权利要求1所述的方法,其特征在于,所述资源类型是所述服务端基于接收到的本客户端发送的资源类型获取请求发送的,所述资源类型获取请求携带本客户端的标识信息,所述服务端存储有客户端标识信息与资源类型对应关系,所述资源类型是预先配置的,所述客户端标识信息是本客户端在所述服务器注册后存储到所述服务端的。
3.根据权利要求1所述的方法,其特征在于,在所述获得所述资源类型的关键字段后,所述方法还包括:
依据各关键字段的长度对所述关键字段进行分组,得到N个关键字段组,至少N-1个关键字段组中,关键字段的长度相同;
所述针对每一待发送报文,确定与该待发送报文匹配的目标关键字段,包括:
针对每一关键字段组,根据该关键字段组中的关键字段的长度,确定与所述待发送报文匹配的目标关键字段。
4.根据权利要求3所述的方法,其特征在于,针对每一关键字段组,若该关键字段组中的关键字段的长度均相同,且关键字段的长度不为指定字节,创建该关键字段组对应的哈希表和移动SHIFT表,所述哈希表和所述SHIFT表用于关键字段的长度相同,且关键字段的长度不为指定字节的关键字段组的字段匹配;和/或,
若该关键字段组中的关键字段的长度均相同,且关键字段的长度为所述指定字节,创建该关键字段组对应的哈希表,所述哈希表用于关键字段的长度相同,且关键字段的长度为指定字节的关键字段组的字段匹配;和/或,
若该关键字段组中的关键字段的长度存在不相同的,创建该关键字段组对应的哈希表、SHIFT表和前缀PREFIX表,所述PREFIX表中,具有相同前缀字符块的关键字段存为一组,所述前缀字符块的大小为指定大小,所述哈希表、SHIFT表和PREFIX表用于关键字段的长度存在不相同的关键字段组的字段匹配。
5.根据权利要求4所述的方法,其特征在于,所述针对每一关键字段组,根据该关键字段组中的关键字段的长度,确定与所述待发送报文匹配的目标关键字段,包括:
针对每一关键字段组,若该关键字段组中的关键字段的长度均相同,且关键字段的长度不为指定字节,则依据该关键字段组中关键字段的长度确定所述待发送报文的初始匹配窗口;将所述初始匹配窗口作为当前匹配窗口,确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符;
若是,结束匹配流程;若不是,则基于所述当前匹配窗口中后缀字符块的哈希值从该关键字段组已被创建的SHIFT表中确定所述当前匹配窗口的移动距离;
若该移动距离大于0,则将所述当前匹配窗口指向末尾位置的索引沿着所述待发送报文从前向后的方向移动所述移动距离,将移动后的匹配窗口作为当前匹配窗口,返回执行所述确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符的步骤;否则,当基于所述当前匹配窗口中的字符串的哈希值从该关键字段组已被创建的哈希表中匹配到关键字段时,记录匹配到的关键字段,作为目标关键字段;
将所述当前匹配窗口指向末尾位置的索引沿着所述待发送报文从前向后的方向移动一个字符的距离,将移动后的匹配窗口作为当前匹配窗口,返回执行所述确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符的步骤;所述后缀字符块的大小为指定大小,所述SHIFT表用于存储该关键字段组中各关键字段的指定大小的各字符块的移动距离,所述哈希表中,具有相同后缀字符块的关键字段存为一组。
6.根据权利要求4所述的方法,其特征在于,于,所述针对每一关键字段组,根据该关键字段组中的关键字段的长度,确定与所述待发送报文匹配的目标关键字段,包括:
针对每一关键字段组,若该关键字段组中的关键字段的长度均相同,且关键字段的长度为所述指定字节,则依据该关键字段组中关键字段的长度确定所述待发送报文的初始匹配窗口,将所述初始匹配窗口作为当前匹配窗口,确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符;
若是,结束匹配流程;若不是,则当基于所述当前匹配窗口中的字符串的哈希值从该关键字段组已被创建的哈希表中匹配到关键字段时,记录匹配到的关键字段,作为目标关键字段;
将所述当前匹配窗口指向末尾位置的索引沿着所述待发送报文从前向后的方向移动一个字符的距离,将移动后的匹配窗口作为当前匹配窗口,返回执行所述确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符的步骤。
7.根据权利要求4所述的方法,其特征在于,所述针对每一关键字段组,根据该关键字段组中的关键字段的长度,确定与所述待发送报文匹配的目标关键字段,包括:
针对每一关键字段组,若该关键字段组中的关键字段的长度存在不相同的,则基于指定算法、以及已被创建的哈希表、SHIFT表和前缀PREFIX表从该关键字段组中确定与所述待发送报文匹配的目标关键字段,所述指定算法为多模式匹配WM算法。
8.一种安全网关自适应访问控制的装置,其特征在于,所述装置应用于客户端,所述客户端与服务端之间通过安全套接层SSL 虚拟专用网络VPN隧道进行通信,所述装置包括:
资源类型获得模块,用于获得所述服务端通过所述SSL VPN隧道下发的与本客户端匹配的资源类型,并获得所述资源类型的关键字段,所述资源类型用于指示本客户端可访问的资源;
验证模板确定模块,用于针对每一待发送报文,确定与该待发送报文匹配的目标关键字段,并依据确定出的目标关键字段与所述资源类型的关键字段进行比对,得到所述待发送报文对应的目标资源类型,获取与所述目标资源类型匹配的用于验证待发送报文的验证模板;
恶意流量识别模块,用于若基于所述验证模板验证出所述待发送报文为恶意流量,则禁止该待发送报文发送至所述服务端;若基于所述验证模板验证出所述待发送报文不为恶意流量,则对所述待发送报文进行加密后发送至所述服务端。
9.根据权利要求8所述的装置,其特征在于,所述资源类型是所述服务端基于接收到的本客户端发送的资源类型获取请求发送的,所述资源类型获取请求携带本客户端的标识信息,所述服务端存储有客户端标识信息与资源类型对应关系,所述资源类型是预先配置的,所述客户端标识信息是本客户端在所述服务器注册后存储到所述服务端的;
在所述获得所述资源类型的关键字段后,所述装置还包括:
分组模块,用于依据各关键字段的长度对所述关键字段进行分组,得到N个关键字段组,至少N-1个关键字段组中,关键字段的长度相同;
所述验证模板确定模块包括:目标关键字段确定子模块,用于针对每一关键字段组,根据该关键字段组中的关键字段的长度,确定与所述待发送报文匹配的目标关键字段;
针对每一关键字段组,若该关键字段组中的关键字段的长度均相同,且关键字段的长度不为指定字节,创建该关键字段组对应的哈希表和移动SHIFT表,所述哈希表和所述SHIFT表用于关键字段的长度相同,且关键字段的长度不为指定字节的关键字段组的字段匹配;和/或,
若该关键字段组中的关键字段的长度均相同,且关键字段的长度为所述指定字节,创建该关键字段组对应的哈希表,所述哈希表用于关键字段的长度相同,且关键字段的长度为指定字节的关键字段组的字段匹配;和/或,
若该关键字段组中的关键字段的长度存在不相同的,创建该关键字段组对应的哈希表、SHIFT表和前缀PREFIX表,所述PREFIX表中,具有相同前缀字符块的关键字段存为一组,所述前缀字符块的大小为指定大小,所述哈希表、SHIFT表和PREFIX表用于关键字段的长度存在不相同的关键字段组的字段匹配;
所述目标关键字段确定子模块具体用于:
针对每一关键字段组,若该关键字段组中的关键字段的长度均相同,且关键字段的长度不为指定字节,则依据该关键字段组中关键字段的长度确定所述待发送报文的初始匹配窗口;将所述初始匹配窗口作为当前匹配窗口,确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符;
若是,结束匹配流程;若不是,则基于所述当前匹配窗口中后缀字符块的哈希值从该关键字段组已被创建的SHIFT表中确定所述当前匹配窗口的移动距离;
若该移动距离大于0,则将所述当前匹配窗口指向末尾位置的索引沿着所述待发送报文从前向后的方向移动所述移动距离,将移动后的匹配窗口作为当前匹配窗口,返回执行所述确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符的步骤;否则,当基于所述当前匹配窗口中的字符串的哈希值从该关键字段组已被创建的哈希表中匹配到关键字段时,记录匹配到的关键字段,作为目标关键字段;
将所述当前匹配窗口指向末尾位置的索引沿着所述待发送报文从前向后的方向移动一个字符的距离,将移动后的匹配窗口作为当前匹配窗口,返回执行所述确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符的步骤;所述后缀字符块的大小为指定大小,所述SHIFT表用于存储该关键字段组中各关键字段的指定大小的各字符块的移动距离,所述哈希表中,具有相同后缀字符块的关键字段存为一组;
针对每一关键字段组,若该关键字段组中的关键字段的长度均相同,且关键字段的长度为所述指定字节,则依据该关键字段组中关键字段的长度确定所述待发送报文的初始匹配窗口,将所述初始匹配窗口作为当前匹配窗口,确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符;
若是,结束匹配流程;若不是,则当基于所述当前匹配窗口中的字符串的哈希值从该关键字段组已被创建的哈希表中匹配到关键字段时,记录匹配到的关键字段,作为目标关键字段;
将所述当前匹配窗口指向末尾位置的索引沿着所述待发送报文从前向后的方向移动一个字符的距离,将移动后的匹配窗口作为当前匹配窗口,返回执行所述确定所述当前匹配窗口的最后一个字符是否为所述待发送报文的最后一个字符的步骤;
针对每一关键字段组,若该关键字段组中的关键字段的长度存在不相同的,则基于指定算法、以及已被创建的哈希表、SHIFT表和前缀PREFIX表从该关键字段组中确定与所述待发送报文匹配的目标关键字段,所述指定算法为多模式匹配WM算法。
10.一种电子设备,其特征在于,电子设备包括:处理器和存储器;
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如权利要求1至7任一项所述的方法。
CN202310891672.5A 2023-07-19 2023-07-19 一种安全网关自适应访问控制的方法、装置及电子设备 Active CN116633686B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310891672.5A CN116633686B (zh) 2023-07-19 2023-07-19 一种安全网关自适应访问控制的方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310891672.5A CN116633686B (zh) 2023-07-19 2023-07-19 一种安全网关自适应访问控制的方法、装置及电子设备

Publications (2)

Publication Number Publication Date
CN116633686A true CN116633686A (zh) 2023-08-22
CN116633686B CN116633686B (zh) 2023-09-29

Family

ID=87610184

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310891672.5A Active CN116633686B (zh) 2023-07-19 2023-07-19 一种安全网关自适应访问控制的方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN116633686B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107276983A (zh) * 2017-05-12 2017-10-20 西安电子科技大学 一种基于dpi和云同步的流量安全控制方法及系统
EP3395035A1 (en) * 2015-12-24 2018-10-31 British Telecommunications public limited company Malicious network traffic identification
CN110162969A (zh) * 2018-10-08 2019-08-23 腾讯科技(深圳)有限公司 一种流量的分析方法和装置
CN111083154A (zh) * 2019-12-24 2020-04-28 北京网太科技发展有限公司 一种安全防护方法、装置及存储介质
CN112866244A (zh) * 2021-01-15 2021-05-28 中国电子科技集团公司第十五研究所 基于虚拟网络环境的网络流量沙箱检测方法
CN114679322A (zh) * 2022-03-29 2022-06-28 上海众至科技有限公司 流量安全审计方法、系统、计算机设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3395035A1 (en) * 2015-12-24 2018-10-31 British Telecommunications public limited company Malicious network traffic identification
CN107276983A (zh) * 2017-05-12 2017-10-20 西安电子科技大学 一种基于dpi和云同步的流量安全控制方法及系统
CN110162969A (zh) * 2018-10-08 2019-08-23 腾讯科技(深圳)有限公司 一种流量的分析方法和装置
CN111083154A (zh) * 2019-12-24 2020-04-28 北京网太科技发展有限公司 一种安全防护方法、装置及存储介质
CN112866244A (zh) * 2021-01-15 2021-05-28 中国电子科技集团公司第十五研究所 基于虚拟网络环境的网络流量沙箱检测方法
CN114679322A (zh) * 2022-03-29 2022-06-28 上海众至科技有限公司 流量安全审计方法、系统、计算机设备

Also Published As

Publication number Publication date
CN116633686B (zh) 2023-09-29

Similar Documents

Publication Publication Date Title
US10257142B2 (en) Message delivery in a message system
US20200195677A1 (en) Network addresses with encoded dns-level information
US8898735B2 (en) Network apparatus based on content name, method of generating and authenticating content name
US11108761B2 (en) Method, apparatus and system for remote control of intelligent device
US20160308904A1 (en) Integrative network management method and apparatus for supplying connection between networks based on policy
CN110493207A (zh) 一种数据处理方法、装置、电子设备和存储介质
US9755833B2 (en) Identification information management system, method of generating and managing identification information, terminal, and generation and management programs
CN111147598B (zh) Http报文处理方法及装置
CN105592083A (zh) 终端利用令牌访问服务器的方法和装置
CN108055299B (zh) Portal页面推送方法、网络接入服务器及Portal认证系统
CN116633686B (zh) 一种安全网关自适应访问控制的方法、装置及电子设备
CN103746768A (zh) 一种数据包的识别方法及设备
KR102024062B1 (ko) 멀티캐스트 그룹 내의 구독자에게 키 데이터를 전송하는 디바이스
US8688766B2 (en) Method for managing the allocation of data into a peer-to-peer network and peer implementing such method
CN113922972B (zh) 基于md5标识码的数据转发方法和装置
CN107046503B (zh) 一种报文传输方法、系统及其装置
CN108011989B (zh) 一种重定向方法及装置
US20140165181A1 (en) Network apparatus and operating method thereof
CN111343088B (zh) 一种报文传输方法及装置、终端、存储介质
EP3355546A1 (en) Device identification encryption
Alani et al. Implementing IoT Lottery on Data Encryption Standard.
CN112134884B (zh) 一种报文序列号的更新方法
KR102569450B1 (ko) 분산형 네이밍 기반 네트워킹 방법 및 장치
CN112995230B (zh) 加密数据处理方法、装置和系统
CN115801321B (zh) 一种数据组合加密方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant