CN1988447B - 通信网络业务处理方法和设备 - Google Patents
通信网络业务处理方法和设备 Download PDFInfo
- Publication number
- CN1988447B CN1988447B CN2006101700340A CN200610170034A CN1988447B CN 1988447 B CN1988447 B CN 1988447B CN 2006101700340 A CN2006101700340 A CN 2006101700340A CN 200610170034 A CN200610170034 A CN 200610170034A CN 1988447 B CN1988447 B CN 1988447B
- Authority
- CN
- China
- Prior art keywords
- business stream
- stream
- module
- information
- business
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种通信网络业务处理方法,包括:提取发起业务流的特征信息;根据所述业务流的特征信息判断所述业务流是否合法,如果合法则记录该业务流的信息;当业务流的信息与所述记录的业务流的信息一致时,转发该业务流。本发明还公开了一种通信网络业务处理设备,包括:业务流识别模块和业务流转发模块;所述业务流识别模块用于提取新发起业务流的特征信息,根据该提取的业务流特征信息判断所述业务流是否合法,如果合法则记录该业务流的信息;所述业务流转发模块用于接收业务流,并在该业务的信息与所述业务流识别模块记录的业务流的信息一致时,转发该业务流。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种通信网络业务处理方法和一种通信网络业务处理设备。
背景技术
当前由于企业信息化的需要,几乎所有的企业内部网都与互联网相连。在享受互联网带来便利和高效的同时,也为企业也提出了一些其他方面的挑战。如,企业员工在应用互联网进行工作的同时,也可能会通过网络从事一些与工作无关的活动,这样将大大的降低企业工作效率;企业内部员工也可能会泄露商业机密,外传代码等,从而造成对企业的内部威胁。再如,现在流氓软件、间谍软件等恶意软件在互联网上活动猖獗,一些非法的间谍软件利用互联网通道窃取企业的机密信息,对企业安全直接构成威胁;企业网外部的攻击者也可以利用已建立的通道对企业网进行渗透攻击。以上情况都是企业网在连接互联网后,面临的一些急需解决的问题。
大部分企业选择防火墙配置合适的访问控制列表(ACL)来解决企业网和互联网相连带来的安全问题。它们一般选用的规则如下:
1、防火墙允许企业用户的对外部互联网的访问,同时禁止外部网对企业内部网的访问,即单向传输;
2、防火墙只开放对外业务访问的部分端口;
3、防火墙通过应用层网关(ALG)技术解决动态端口问题;
4、老化打开的通道,特别是用户数据报协议(UDP)通道。
但是,上述现有技术中的这种方法进行企业上网安全控制存在以下的问题,使得防火墙形同虚设:
1、许多业务应用采用动态端口,打开所有的端口将使得业务控制功能失效;
2、一些非法间谍软件也用知名端口,从而使得选择性开放端口对其控制无效;
3、任何应用均可通过安全壳协议(SSH)隧道,根据指定端口传输;
4、越来越多的恶意的应用程序能够绕过防火墙对企业内部网络安全造成威胁;
5、已建立的通道容易让恶意软件利用并进行渗透。
发明内容
有鉴于此,本发明实施例提供了一种通信网络业务处理方法和通信网络业务处理设备,能够提高信息交互的安全性。
本发明实施例提供的一种通信网络业务处理方法包括:
提取新发起业务流的特征信息,根据所述业务流的特征信息判断所述业务流是否合法,如果合法则记录该业务流的信息;所述记录该业务流的信息包括:在业务流列表中记录该业务流的源IP地址、目的IP地址、源端口、目的端口、传输协议类型和应用层协议类型;
确定需要跟踪的业务流,并在所述业务流列表中记录该业务流需要跟踪;
接收业务流的数据报文,从数据报文中提取源IP地址、目的IP地址、源端口、目的端口、传输协议和应用层协议类型,当该提取的信息在所述业务流列表中有相一致的记录时,转发该数据报文;
所述转发该数据报文之前或之后包括:当该数据报文对应的业务流在所述业务流列表中被记录为需要跟踪时,存储该数据报文;根据存储的数据报文获取业务流的特征信息,将该特征信息与预先设置的跟踪特征进行匹配,根据匹配结果确定出业务流结束或错误后,删除所述业务流列表中该业务流的记录。
本发明实施例提供的一种通信网络业务处理设备,该设备包括:业务流识别模块、业务流转发模块、流列表处理模块、业务流跟踪模块和业务跟踪特征模块;
所述业务流识别模块用于提取发起业务流的特征信息,根据该提取的业务流特征信息判断所述业务流是否合法,如果合法则记录该业务流的信息;
所述业务流转发模块用于接收业务流,并在该业务的信息与所述业务流识别模块记录的业务流的信息一致时,转发该接收的业务流;
所述流列表处理模块用于记录所述业务流识别模块确定出的合法业务流的信息;
所述业务流跟踪模块用于确定所述流列表处理模块中需要跟踪的业务流,获取所述需要跟踪的业务流,并从获取的业务流中提取跟踪特征信息,在根据该提取的跟踪特征信息和业务跟踪特征库模块中存储的跟踪特征,确定出业务流结束或错误后,删除所述流列表处理模块中该业务流的记录;
所述跟踪特征库模块用于存储跟踪特征。
从上述方案可以看出,本发明实施例中通过根据提取的新发起业务流的特征信息判断该业务流是否合法,如果合法则记录该业务流的信息;当业务流的信息与所述记录的业务流的信息一致时,转发该业务流,从而根据业务流的特征信息实现对业务流的安全控制,提高了信息交互的安全性。
附图说明
图1为本发明通信网络业务处理设备实施例的一种组成示意图;
图2为本发明通信网络业务处理设备实施例的另一种组成示意图;
图3为本发明通信网络业务处理设备实施例的又一种组成示意图;
图4为本发明通信网络业务处理方法实施例设置于企业内部网与互联网之间的示意图;
图5为本发明通信网络业务处理方法实施例的流程图;
图6为本发明通信网络业务处理方法实施例中从一个业务流建立至一个业务流结束对数据报文进行处理的流程图。
具体实施方式
本发明的主要思想是,从业务流中提取特征信息进行安全识别,从而保证网络信息交互的安全性。
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
基于上述思想,本发明提供了一种通信网络业务处理设备和通信网络业务处理方法,以下分别通过实施例进行说明。
通信网络业务处理设备的实施例如图1所示,该设备可以设置于内部网与外部网的连接处,这里的内部网可以是企业内部网、机构内部网等,该设备包括:业务流识别模块和业务流转发模块;其中,业务流识别模块用于提取新发起业务流的特征信息,根据该提取的业务流特征信息判断所述业务流是否合法,如果合法则记录该业务流的信息;业务流转发模块用于接收业务流,并在该业务的信息与所述业务流识别模块记录的业务流的信息一致时,转发该业务流。
上述业务流识别模块中可以包括第一业务流识别模块;也可以包括第二业务流识别模块和业务识别特征库,还可以包括第一业务流识别模块、第二业务流识别模块和业务识别特征库;其中,第一业务流识别模块用于根据业务流是否由内部发起确定该业务流是否合法,如果合法则记录该业务流的信息;第二业务流识别模块用于将提取的业务流特征信息与识别特征库模块中存储的识别特征进行匹配,根据匹配结果确定该业务流是否合法,如果合法则记录该业务流的信息;识别特征库模块用于存储识别特征。
本实施例中,如图2所示,该设备中进一步可以包括:流列表处理模块,用于记录所述业务流识别模块确定出的合法业务流的信息。从图2中可以看出,上述业务流转发模块可以设置在流列表处理模块中,也可以设置在业务流识别模块中。
在本实施例中,该设备的内部模块,在图1或图2的基础上还可以进一步增加业务流跟踪模块和业务跟踪特征库模块,以图3为例,其示出了在图2的基础上增加业务流跟踪模块和业务跟踪特征库模块的设备组成。其中,业务流跟踪模块,用于确定所述流列表处理模块中需要跟踪的业务流,获取所述需要跟踪的业务流,并从获取的业务流中提取跟踪特征信息,在根据该提取的跟踪特征信息和业务跟踪特征库模块中存储的跟踪特征,确定出业务流结束或错误后,删除所述流列表处理模块中该业务流的记录。在图3中,业务流转发模块可以只设置在流列表处理模块中;也可在业务流跟踪模块和业务流识别模块中分别设置,则业务流跟踪模块中设置的业务流转发模块用于转发需要跟踪的业务流的数据报文,而业务流识别模块中设置的业务流转发模块用于转发通过其进行识别的业务流数据报文。
此外,本实施例所提供的设备中还可以进一步包括:报文安全性检测模块和/或还原模块;其中,报文安全性检测模块用于从业务流跟踪模块获取所述需要跟踪的业务流,并对获取的业务流进行报文安全性检测;还原模块用于从业务流跟踪模块中获取所述需要跟踪的业务流,并对获取的业务流进行还原处理。
以下基于图3,以上述通信网络业务处理设备设置于企业内部网与互联网之间,如图4所示,并且业务流转发模块设置在流列表处理模块中为例,对上述通信网络业务处理设备中的各个模块进行进一步详细阐述。
流列表处理模块用于记录允许通过的,并且当前正在进行通信的各项业务流的信息,根据记录的业务流的信息和相关规则来处理经过它的每一个数据流,包括:转发流列表中包括了其信息的业务流的数据报文,并在某业务流的信息中设置了需要跟踪的情况下,将该业务流的数据报文存储到业务流跟踪模块中;以及将一个新的业务流的前一个或前几个数据报文传送给业务流识别模块。
具体地,当流列表处理模块接收到一个新的由企业内部网发至互连网的业务流时,就会将该业务流中,第一个或企业内部网与互联网交互的前几个数据报文转发至业务流识别模块,并接收业务流识别模块的反馈,根据反馈结果,如果是合法,则将合法的业务流的信息添加至流列表中,并转发该业务流的数据报文,否则直接丢弃该业务流的数据报文。
如果流列表处理模块接收到的业务流数据报文是属于流列表中存在了其信息的业务流,则无论是由内至外,还是由外至内的数据报文,都通过自身中的业务流转发模块进行转发。如果流列表处理模块接收到由互联网发起的新的业务流,流列表处理模块直接拒绝该业务流,即丢弃该业务流的数据报文。
当流列表处理模块中的某个业务流的信息中包括跟踪标识时,流列表处理模块接收到该业务流的数据报文后,除通过业务流转发模块转发该数据报文外,还将该数据报文存储到业务流跟踪模块。
在流列表中,记录的每项业务流的信息包括源IP地址、源端口、传输协议类型、目的IP地址、目的端口和应用层协议类型,或者进一步可以包括跟踪标识。当一个业务流结束或者跟踪失败后,流列表处理模块会将该业务流的信息从表中移出,从而只保留当前活动业务流信息。
业务流识别模块用于对来自流列表处理模块的数据报文进行分析识别,从而确定对应的业务流是否合法。该模块首先对接收的数据报文进行协议识别,分析并提取特征信息;然后在业务识别特征库模块中进行特征匹配查询,检查这些特征信息对应的业务流是否属于合法业务流。并将最后的识别结果反馈给流列表处理模块。
在进行业务识别的时候,执行速度对模块的要求有:识别速度必须非常快,并且必须具有一定的准确性和足够的伪造特征防护能力。为了满足这些识别要求,可以在实现的时候采用以下方法,业务流识别模块只处理来自流列表处理模块的数据报文中的第一个数据报文,或者是某一个主要的数据报文,进行最简单的匹配,从而提高识别速度;另外,为提高准确性和伪造特征防护能力,可以在业务流识别模块中配置多个特征,每一次进行识别时随机或采用一定规则只选择这些特征中一个或几个进行识别匹配。
业务识别特征库模块,用于存储各项允许业务的识别特征,包括每项允许业务数据报文中的一个或多个识别特征,可以根据这些特征简单地匹配来确定通过的数据报文是否属于允许的业务流。可以通过分析各项允许业务的识别特征,然后手动配置该特征库模块的识别特征内容。识别特征主要是业务流的协议特征和/或该业务流中的特殊内容特征。比如:浏览网页用的是HTTP协议,或是使用某个软件,该特殊内容特征是在传输数据中包含的软件名、版本信息等,可以将该软件名、版本信息作为识别特征存储在业务识别特征库模块中;则业务流识别模块根据来自流列表处理模块的数据报文可以在前几个报文的某个固定位置获取软件名、版本号信息,然后判断业务识别特征库模块的识别特征中是否包括该获取的软件名、版本号信息,如果包括则识别成功,对应的业务流合法;否则,识别不成功,对应的业务流非法。
业务流跟踪模块用于从流列表中查找特定协议的业务流或者是特定业务的业务流进行跟踪,用于业务还原或者是报文安全性检测等操作。
业务流跟踪模块可以根据包括业务标识的业务跟踪请求、业务还原请求或者安全性检测请求等,查找流列表中对应于该业务标识的业务流,并在所查找到的业务流信息中设置跟踪标识,从而能够存储该业务流中的每个数据报文。对于存储的数据报文,业务流跟踪模块可以实时地进行特征分析,提取这些数据报文对应业务流的特征信息,并将提取的特征信息与业务跟踪特征库模块中的跟踪特征进行匹配,确定是否业务流结束,或者该业务流是否出现错误,如果确定业务流结束或出现错误,则删除流列表中对应业务流的信息,或者将业务流结束或错误的信息通知给流列表处理模块,由流列表处理模块删除对应的业务流的信息。
此外,对于存储了数据报文的业务流,业务流跟踪模块还可以根据上述请求和存储的数据报文进行报文安全性检测,或进行报文还原。这些还原和安全性检测属于对跟踪保存的数据报文进行的一个后处理过程,可以作为可选处理功能模块。对于视音频等数据可以进行还原工作,例如对存储的数据报文进行分析得到,对应业务流中包括视音频传输,且采用的是H.263协议,则按照该协议的要求提取所有相关业务流中的视音频数据,然后按照H.263视音频解码方法将传输的视音频流还原出来。而对于邮件等,由于企业交互的邮件很多,方便起见则可以进行报文安全性检测。报文安全性检测就是深入到报文内容中,进行检查是否有不允许外传的敏感信息,是否携带病毒等等的检测。
一些业务流,称为父业务流在交互过程中可能需要重新发起新的连接,我们称为子业务流。比如一个基于SIP协议的VOIP软件,在进行呼叫连接时使用SIP信令协议,而进行通话过程中使用的媒体流协议是RTP协议,那么我们称后者为前者的一个子业务流。如果被跟踪的业务流需要建立子业务流,则业务流跟踪模块根据跟踪分析父业务流,确定出要建立的子业务流的相关信息,如业务五元组和应用层协议信息,并将该相关信息作为识别特征反馈给业务识别特征库模块,用于子业务流的识别,则业务流识别模块在对子业务流进行识别时,能够根据业务时别特征库模块中业务流跟踪模块反馈的识别特征,识别成功,从而能够保证业务识别的连贯性。此外,业务流跟踪模块还在流列表处理模块中,增加的子业务流的信息中设置跟踪标识,则由于父业务流和子业务流均被跟踪,业务跟踪处理模块在进行特征分析时,可以结合上述父业务流和子业务流进行特征分析,还能够保证跟踪分析的连贯性,从而保持了同一业务的连贯性。
为了提高效率,业务跟踪模块可以不对每个数据报文进行跟踪,而是有选择性地对业务中重要性的报文进行跟踪检测,这个方法是可选的。这种方式主要是处理那些非连贯型的业务,比如聊天业务,业务跟踪模块进行特征分析后,确定出后续的业务内容是一些聊天信息,在无特别需要的情况下,可以采取有的选择性的对敏感信息进行跟踪监测。但是如果进行文件传输或者是视音频业务则需要进行完整跟踪,以便进行还原检测。并且,业务流跟踪模块除了提供业务还原和报文安全性检测功能以外,也可以增加其他的子处理模块完成其他功能,这些功能也是可选的。
业务跟踪特征库模块,存储允许业务的跟踪特征,可以为业务跟踪模块提供完整的跟踪和还原决策。业务跟踪特征库模块提供对多个业务进行连续性分析的跟踪特征,将从存储的业务流数据报文种提取的特征与这些跟踪特征进行匹配,能够确定该业务流具体是由哪个软件哪项功能进行通信,并能够提供它的还原方法给业务跟踪处理模块。如业务跟踪模块从存储的业务流数据报文种提取的特征与业务跟踪特征库模块中的特征信息进行匹配后,确定出当前的视音频传输采用的是H.263协议,且业务跟踪特征库模块中对应设置的还原方法提取所有相关业务流中的视音频数据,并按照H.263协议视音频解码方法进行还原,则业务跟踪模块提取所有相关业务流中的视音频数据,然后按照H.263视音频解码方法将传输的视音频流还原出来。
以上通过实施例对通信网络业务处理设备进行了详细阐述。下面再通过实施例对通信网络业务处理方法进行说明。
如图5所示,通信网络业务处理方法具体实施例包括如下步骤:
步骤501、提取发起业务流的特征信息;
步骤502、根据所述业务流的特征信息判断所述业务流是否合法,如果合法则记录该业务流的信息;
步骤503、当业务流的信息与所述记录的业务流的信息一致时,转发该业务流。
较佳地,本发明实施例中,根据业务流的特征信息判断业务流是否合法包括:将业务流的特征信息与预先设置的识别特征进行匹配,如果匹配,则确定出该业务流合法;否则确定出该业务流非法。所述根据业务流的特征信息判断所述业务流是否合法进一步还包括:判断该业务流是否由外部发起,如果是,则确定出该业务流非法;否则确定出该业务流合法。
上述提取的业务流特征信息可以是业务流的协议特征和/或该业务流中的特殊内容特征。而步骤503中的业务流信息可以包括:业务流的五元组信息和应用层协议,其中五元组信息具体包括:源IP地址、目的IP地址、源端口、目的端口、传输协议类型。
较佳地,将业务流确定为允许通过的业务流可以包括:在允许通过的业务流列表中记录该业务流的源IP地址、目的IP地址、源端口、目的端口、传输协议和应用层协议类型;则当业务流的信息与所述记录的业务流的信息一致时,转发该业务流具体可以包括:接收业务流的数据报文,从数据报文中提取源IP地址、目的IP地址、源端口、目的端口、传输协议和应用层协议类型,在当该提取的信息记录在所述业务流列表中时,转发该数据报文。
较佳地,本实施例中进一步可以包括:确定需要跟踪的业务流,并在所述业务流列表中记录该业务流需要跟踪;
则上述转发该数据报文之前或之后进一步包括:该数据报文对应的业务流在所述业务流列表中被记录为需要跟踪时,存储该数据报文;该方法进一步包括:根据存储的数据报文获取业务流的特征信息,将该特征信息与设置的跟踪特征库模块中的特征进行匹配,根据匹配结果确定出业务流结束或错误后,删除所述业务流列表中该业务流的记录。
较佳地,本实施例进一步可以包括:根据所述存储的数据报文对业务流进行报文安全性检测或报文还原处理。
本实施例中进一步还可以包括:在转发业务流的最后一个数据报文后,再经过预先设定的时间,删除业务流列表中对应的业务流记录,从而能够防止业务流列表中的业务流记录过为繁多,占用系统资源。
较佳地,本实施例中可以预先配置多个识别特征,在将提取的业务流特征信息与设置的识别特征进行匹配时,随机或根据预先设定的规则,选择所述配置的多个识别特征中的一个或多个进行匹配。
以下再通过一个顺序的流程,以企业内部网与互联网通信为例,对本实施例中一个业务流从建立到结束的流程进一步详细说明。如图6所示,本实施例中提供的通信网络业务处理流程包括如下步骤:
步骤601、在企业网与互联网连接处,接收数据报文,读取数据报文中包括的业务流信息,即业务五元组和应用层协议信息,然后查询流列表中是否包括对应的业务流信息,如果是,执行步骤602;否则,执行步骤607。
步骤602、判断对应的业务流信息中是否包括跟踪标识,如果是,执行步骤603;否则执行步骤604。
可以是在业务流建立的时候设置的,也可以是在业务流的生存期中根据跟踪请求、报文安全性检测请求或还原请求在对应的业务流信息中设置的。这些请求中包括需要跟踪的业务流的信息,如应用层协议、目的IP等。
步骤603、存储并转发该数据报文,然后执行步骤605。
这里,存储的数据报文可以用于后续的报文还原或报文安全性检测。具体进行报文还原或报文安全性检测,可以根据不同业务的不同需要进行。如对于包括视音频传输的业务,可以进行报文还原;对于邮件、文件传输等业务,可以进行报文安全性检测。
步骤604、转发该数据报文,然后返回执行步骤601。
本步骤以及步骤603中转发数据报文的动作,可以在执行步骤602之前进行。
步骤605、根据记录的数据报文对业务流进行跟踪分析获取特征信息,并将该获得的特征信息与业务跟踪特征库模块中的特征进行匹配,判断是否业务流结束或业务流出现错误,如果是,则执行步骤606;否则返回执行步骤601。
步骤606、结束跟踪,删除流列表中对应的业务流信息,则对应业务流结束。
步骤607、判断该数据报文是否属于由企业内部网发起的业务流,如果是,则执行步骤608;否则执行步骤612。
步骤608、对该数据报文进行协议识别,分析并提取业务特征信息,将提取的业务特征信息与业务识别特征库模块中的特征进行匹配,确定该数据报文对应的业务流是否为允许的业务流,如果是,执行步骤609;否则,执行步骤612。
这里以对业务流的第一个数据报文进行分析确定该业务流是否为允许的业务为例进行说明。在本实施例中,还可以允许一个业务流的前几次交互,如交互五次,并从这五次交互的十个数据报文中提取业务流的特征信息。提取的业务流特征信息可以是业务流的协议特征和/或该业务流中的特殊内容特征。比如:浏览网页用的是HTTP协议,或是使用某个软件,该特殊内容特征是在传输数据中包含的软件名、版本信息等,可以将该软件名、版本信息作为识别特征存储在业务识别特征库模块中;则业务流识别模块根据来自流列表处理模块的数据报文提取对应的协议,并可以在前几个报文的某个固定位置获取软件名、版本号信息,然后判断业务识别特征库模块的识别特征中是否包括该获取的软件名、版本号信息,如果包括则识别成功,对应的业务流合法,为允许的业务流;否则,识别不成功,对应的业务流非法,不是允许的业务流。
此外,本实施例中,可以预先设置多个识别特征,则本步骤中,在将提取的业务流的特征信息与业务识别特征库模块的特征进行匹配时,可以选择上述设置的多个识别特征中的一个或多个进行匹配。如配置的多个识别特征包括:传输协议、软件名和版本号。预先设定的规则为每次随机选择其中的两个进行匹配,则在提取业务流的特征信息包括传输协议、软件名和版本号中随机选择两个与业务识别特征库模块中对应的两个识别特征进行匹配。
步骤609、在流列表中增加对应的业务流信息,并转发该数据报文,然后执行步骤610。
步骤610、判断该数据报文对应的业务流是否需要跟踪,如果是,在步骤611,在上述增加的业务流信息中设置跟踪标识,并存储该数据报文,然后执行步骤605。
本步骤中,可以根据预先设定的需要跟踪的信息,如应用层协议、目的IP等,或根据跟踪请求、还原请求、报文安全性检测请求中的信息,来确定需要跟踪的业务流。
步骤612、丢弃该数据报文,对应业务流结束。
本实施例中,可以通过对所有业务流进行跟踪,即在流列表的每个业务流信息中均设置跟踪标识,或者均不设置跟踪标识,而通过默认的方式,记录所有业务流的数据报文,从而可以在跟踪分析时根据业务流结束或错误的信息删除流列表中对应的业务流信息。此外,本实施例中也可以设置业务流的老化时间,则当转发一个业务流的最后一个数据报文后,经过该老化时间,则删除流列表中记录的该业务流的信息。
通过本发明上述提供的通信网络业务处理设备和通信网络业务处理方法,能够对员工上网进行有效地进行监督,提高工作效率和防止人为的恶意破坏;在不影响正常性能的情况下,能够有效地进行安全控制,防止间谍软件或者是恶意软件窃取企业内部机密信息,并防止企业外部网攻击者利用已建立的通道对企业网络进行攻击渗透。
以上是对本发明具体实施例的说明,在具体的实施过程中可对本发明的方法进行适当的改进,以适应具体情况的具体需要。因此可以理解,根据本发明的具体实施方式只是起示范作用,并不用以限制本发明的保护范围。
Claims (10)
1.一种通信网络业务处理方法,其特征在于,该方法包括:
提取发起业务流的特征信息,根据所述业务流的特征信息判断所述业务流是否合法,如果合法则记录该业务流的信息;所述记录该业务流的信息包括:在业务流列表中记录该业务流的源IP地址、目的IP地址、源端口、目的端口、传输协议类型和应用层协议类型;
确定需要跟踪的业务流,并在所述业务流列表中记录该业务流需要跟踪;
接收业务流的数据报文,从数据报文中提取源IP地址、目的IP地址、源端口、目的端口、传输协议和应用层协议类型,当该提取的信息在所述业务流列表中有相一致的记录时,转发该数据报文;
所述转发该数据报文之前或之后包括:当该数据报文对应的业务流在所述业务流列表中被记录为需要跟踪时,存储该数据报文;根据存储的数据报文获取业务流的特征信息,将该特征信息与预先设置的跟踪特征进行匹配,根据匹配结果确定出业务流结束或错误后,删除所述业务流列表中该业务流的记录。
2.根据权利要求1所述的方法,其特征在于,所述根据所述业务流的特征信息判断所述业务流是否合法包括:将所述业务流特征信息与预先设置的识别特征进行匹配,如果匹配,则确定出该业务流合法;否则确定出该业务流非法。
3.根据权利要求1或2所述的方法,其特征在于,所述业务流的特征信息为:业务流协议特征和/或业务流的特殊内容特征。
4.根据权利要求2所述的方法,其特征在于,所述根据业务流的特征信息判断所述业务流是否合法进一步包括:
判断该业务流是否由外部发起,如果是,则确定出该业务流非法;否则确定出该业务流合法。
5.根据权利要求4所述的方法,其特征在于,该方法进一步包括:根据所述存储的数据报文对业务流进行报文安全性检测或报文还原处理。
6.根据权利要求5所述的方法,其特征在于,该方法进一步包括:在转发业务流的最后一个数据报文后,再经过预先设定的时间,删除所述业务流列表中对应的业务流记录。
7.根据权利要求2所述的方法,其特征在于,预先配置多个识别特征,在所述将提取的业务流特征信息与预先设置的识别特征进行匹配时,随机或根据预先设定的规则,选择所述配置的多个识别特征中的一个或多个进行匹配。
8.一种通信网络业务处理设备,其特征在于,该设备包括:业务流识别模块、业务流转发模块、流列表处理模块、业务流跟踪模块和业务跟踪特征库模块;
所述业务流识别模块用于提取发起业务流的特征信息,根据该提取的业务流特征信息判断所述业务流是否合法,如果合法则记录该业务流的信息;
所述业务流转发模块用于接收业务流,并在该业务的信息与所述业务流识别模块记录的业务流的信息一致时,转发该接收的业务流;
所述流列表处理模块用于记录所述业务流识别模块确定出的合法业务流的信息;
所述业务流跟踪模块用于确定所述流列表处理模块中需要跟踪的业务流,获取所述需要跟踪的业务流,并从获取的业务流中提取跟踪特征信息,在根据该提取的跟踪特征信息和业务跟踪特征库模块中存储的跟踪特征,确定出业务流结束或错误后,删除所述流列表处理模块中该业务流的记录;
所述跟踪特征库模块用于存储跟踪特征。
9.根据权利要求8所述的设备,其特征在于,所述业务流识别模块中包括:第一业务流识别模块,和/或,第二业务流识别模块和识别特征库模块;
所述第一业务流识别模块用于根据业务流是否由内部发起确定该业务流是否合法,如果合法则记录该业务流的信息;
所述第二业务流识别模块用于将提取的业务流特征信息与识别特征库模块中存储的识别特征进行匹配,根据匹配结果确定该业务流是否合法,如果合法则记录该业务流的信息;
所述识别特征库模块用于存储识别特征。
10.根据权利要求8所述的设备,其特征在于,该设备进一步包括:报文安全性检测模块和/或还原模块;
所述报文安全性检测模块用于从所述业务流跟踪模块获取所述需要跟踪的业务流,并对获取的业务流进行报文安全性检测;
所述还原模块用于从所述业务流跟踪模块中获取所述需要跟踪的业务流,并对获取的业务流进行还原处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101700340A CN1988447B (zh) | 2006-12-22 | 2006-12-22 | 通信网络业务处理方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101700340A CN1988447B (zh) | 2006-12-22 | 2006-12-22 | 通信网络业务处理方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1988447A CN1988447A (zh) | 2007-06-27 |
CN1988447B true CN1988447B (zh) | 2010-08-18 |
Family
ID=38185091
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006101700340A Expired - Fee Related CN1988447B (zh) | 2006-12-22 | 2006-12-22 | 通信网络业务处理方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1988447B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101645778B (zh) * | 2009-08-25 | 2012-02-15 | 中国科学院计算技术研究所 | 网络业务流识别系统及其识别方法 |
CN112565297A (zh) * | 2020-12-24 | 2021-03-26 | 杭州迪普科技股份有限公司 | 一种报文控制方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1439985A (zh) * | 2002-02-20 | 2003-09-03 | 华北计算机系统工程研究所 | 一种改进防火墙性能的方法 |
CN1620034A (zh) * | 2003-11-21 | 2005-05-25 | 维豪信息技术有限公司 | 认证网关及其数据处理方法 |
-
2006
- 2006-12-22 CN CN2006101700340A patent/CN1988447B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1439985A (zh) * | 2002-02-20 | 2003-09-03 | 华北计算机系统工程研究所 | 一种改进防火墙性能的方法 |
CN1620034A (zh) * | 2003-11-21 | 2005-05-25 | 维豪信息技术有限公司 | 认证网关及其数据处理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN1988447A (zh) | 2007-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101505276B (zh) | 网络应用流量识别方法和装置及网络应用流量管理设备 | |
US10334083B2 (en) | Systems and methods for malicious code detection | |
US9065846B2 (en) | Analyzing data gathered through different protocols | |
EP1873992B1 (en) | Packet classification in a network security device | |
KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
KR101236822B1 (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
KR102580898B1 (ko) | Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법 | |
CN101827102A (zh) | 基于内容过滤的数据防护方法 | |
CN113364799B (zh) | 一种网络威胁行为的处理方法和系统 | |
CN110855697A (zh) | 电力行业网络安全的主动防御方法 | |
CN110798427A (zh) | 一种网络安全防御中的异常检测方法、装置及设备 | |
CN110912887B (zh) | 一种基于Bro的APT监测系统和方法 | |
CN104660584B (zh) | 基于网络会话的木马病毒分析技术 | |
CN1988447B (zh) | 通信网络业务处理方法和设备 | |
US20060222013A1 (en) | Systems, methods, and media for improving security of a packet-switched network | |
KR101216005B1 (ko) | 시그널링 암호화 환경을 고려한 sip기반 인터넷전화 침입방지 시스템 | |
CN114401103B (zh) | Smb远程传输文件检测方法及装置,电子设备,存储介质 | |
CN106789938B (zh) | 一种实时监控手机端浏览器搜索痕迹的方法 | |
Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
CN113518067A (zh) | 一种基于原始报文的安全分析方法 | |
Kanagaraj et al. | Hybrid intrusion detector using deep learning technique | |
CN107070861A (zh) | 抽样流量下物联网设备蠕虫受害节点的发现方法及系统 | |
CN111193722B (zh) | 基于Linux内核加速转发的方法、装置、设备及介质 | |
CN106919838A (zh) | 一种恶意代码加密配置定位方法及系统 | |
CN103716284A (zh) | 网络协议自动化逆向分析方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100818 Termination date: 20141222 |
|
EXPY | Termination of patent right or utility model |