RU2599949C1 - Способ фильтрации потока нттр-пакетов на основе пост-анализа запросов к интернет-ресурсу и устройство фильтрации для его реализации - Google Patents

Способ фильтрации потока нттр-пакетов на основе пост-анализа запросов к интернет-ресурсу и устройство фильтрации для его реализации Download PDF

Info

Publication number
RU2599949C1
RU2599949C1 RU2015114186/08A RU2015114186A RU2599949C1 RU 2599949 C1 RU2599949 C1 RU 2599949C1 RU 2015114186/08 A RU2015114186/08 A RU 2015114186/08A RU 2015114186 A RU2015114186 A RU 2015114186A RU 2599949 C1 RU2599949 C1 RU 2599949C1
Authority
RU
Russia
Prior art keywords
internet resource
packets
internet
stream
response
Prior art date
Application number
RU2015114186/08A
Other languages
English (en)
Inventor
Константин Иванович Будников
Александр Валерьевич Курочкин
Original Assignee
Федеральное государственное бюджетное учреждение науки Институт автоматики и электрометрии Сибирского отделения Российской академии наук (ИАиЭ СО РАН)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное бюджетное учреждение науки Институт автоматики и электрометрии Сибирского отделения Российской академии наук (ИАиЭ СО РАН) filed Critical Федеральное государственное бюджетное учреждение науки Институт автоматики и электрометрии Сибирского отделения Российской академии наук (ИАиЭ СО РАН)
Priority to RU2015114186/08A priority Critical patent/RU2599949C1/ru
Application granted granted Critical
Publication of RU2599949C1 publication Critical patent/RU2599949C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Multimedia (AREA)
  • Computing Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Quality & Reliability (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к средствам управления доступом пользователей Интернетом к ресурсам сети. Технический результат заключается в уменьшении времени задержки прохождения запросов к интернет-ресурсу через устройство фильтрации. Способ, в котором устройство фильтрации содержит узел накопления пакетов, анализатор-корректор, который производит проверку пользовательского запроса к ресурсу и ограничивает доступ пользователя к запрещенному ресурсу, причем устройство фильтрации дополнительно оснащают первым селектором, который производит селекцию HTTP-пакетов из общего потока пакетов при приеме запроса и пропускает к web-серверу пакеты с запросом без ожидания обработки, вторым селектором, который производит селекцию HTTP-пакетов из общего потока пакетов при приеме ответа от web-сервера, при этом анализатор-корректор выполняют оснащенным узлом формирования и анализа сессий, который выполняют формирующим сессию из потока HTTP-пакетов пользовательского запроса к ресурсу и потока HTTP-пакетов ответа от web-сервера и определяющим соответствие входящего пакета, принадлежащего либо пользовательскому запросу к интернет-ресурсу, либо ответу от web-сервера, контролируемой сессии. 2 н. и 2 з.п. ф-лы, 4 ил.

Description

Предлагаемое изобретение относится к области компьютерных сетей и может быть использовано для управления доступом пользователей Интернетом к ресурсам сети по протоколу HTTP.
Лавинообразное развитие Интернета в последние годы сопровождается появлением большого количества информационных ресурсов, доступ к которым требует ограничения по возрастным, морально-этическим критериям, требованиям соблюдения безопасности, авторских прав, трудового режима и т.п.
Известно техническое решение, представленное в способе управления доступом пользователя к интернет-ресурсу по протоколу HTTP (патент US 6009475 «Filter rule validation and administration for firewalls», МПК G06F 11/00, G06F 11/32, G06F 13/00, опубликован 28.12.1999), включающее фильтрацию запроса к интернет-ресурсу на основе ограничения доступа по IP-адресу web-сервера, на котором размещен запрещенный интернет-ресурс.
Недостатком известного технического решения является блокирование одновременно всех интернет-ресурсов, размещенных на блокируемом web-сервере. Как запрещенных, так и не запрещенных.
Известно техническое решение, представленное в способе управления доступом пользователя к интернет-ресурсу по протоколу HTTP с помощью программы, установленной на компьютере пользователя (патент RU №2336561 «Фильтрация контента при веб-просмотре», МПК G06F 17/30, G06F 13/00, H04L 12/22, опубликован 20.10.2008 г.), которая производит фильтрацию доступа к интернет-ресурсу, определяя его URL-адрес. Суть метода заключается в перехвате запроса пользователя к интернет-ресурсу, выделении из него URL-адреса ресурса, проверке его в списках запрещенных адресов и формировании соответствующих полученному результату действий. Если адрес не запрещен, то запрос пропускается в Интернет к web-серверу, и все происходит стандартным путем согласно протоколу HTTP. Если доступ к интересующему пользователя ресурсу запрещен, то запрос блокируется различными способами.
Недостатком известного технического решения является потенциальная возможность пользователя отключить фильтрующую программу по своему усмотрению и, таким образом, обойти процесс фильтрации и получить доступ к запрещенному интернет-ресурсу, что не желательно.
Известно техническое решение, представленное в способе управления доступом пользователя к интернет-ресурсу по протоколу HTTP с помощью устройства фильтрации (патент US №20060064469 «System and method for URL filtering in a firewall», МПК G06F 15/16, опубликован 23.03.2006 г.), выбранное в качестве прототипа. Данный способ основан на перехвате запроса пользователя к интернет-ресурсу, выделении из него URL-адреса ресурса, проверке его в списках запрещенных адресов и формировании соответствующих полученному результату действий. Однако в отличие от предыдущего способа он реализован на отдельном устройства фильтрации, имеющем выход в Интернет, к которому подключены компьютеры пользователей Интернетом.
Работоспособность известного устройства фильтрации, реализующего этот способ, не может регулироваться подключенными к нему пользователями. Информацию, необходимую для принятия решения о фильтрации адресов, известное устройство фильтрации получает от внешнего сервера, называемого сервером фильтрации, через сетевое соединение. Для пользователей известное устройство фильтрации прозрачно и представляет собой только линию задержки на пути запроса пользователя к интересующему его интернет-ресурсу. Как показывают исследования (см., например, статью Павла Храмцова «Как правильно разместить DNS-сервер», опубликованную в журнале «Открытые системы», №09, 2003) время от посылки пользовательского запроса к интернет-ресурсу до получения ответа от web-сервера должно быть приемлемым для пользователя, т.е. укладываться в некоторый интервал, в течение которого пользователь готов ожидать ответ на свой запрос. Если время ожидания выполнения запроса пользователя к интернет-ресурсу для него не приемлемо, он отменит свой запрос, что не желательно. Количество пользовательских запросов к интернет-ресурсу, проходящих через известное устройство фильтрации с приемлемым временем выполнения, ограничено рядом факторов, среди которых и пропускная способность известного устройства фильтрации. Чем быстрее проходит запрос через известное устройство фильтрации, тем выше его пропускная способность, менее заметно его присутствие для пользователя, и большее количество запросов может проходить через известное устройство фильтрации с приемлемым временем выполнения.
Недостатком известного технического решения являются временные задержки при прохождении пользовательского запроса к web-серверу, связанные с особенностями способа фильтрации пользовательского запроса.
Способ фильтрации в известном устройстве фильтрации предполагает проверку запроса на входе известного устройства фильтрации, и только по ее результатам запрос либо пропускается дальше, либо блокируется. Сама проверка занимает время, связанное с перехватом запроса, выделением из него адреса URL и поиском его в списках запрещенных адресов. На это время запрос задерживается известным устройством фильтрации. На продолжительность процедуры проверки также существенно влияет длительность запроса известного устройства фильтрации к серверу фильтрации, необходимость в котором возникает в случае отсутствия информации об адресе URL в локальных списках запрещенных адресов известного устройства фильтрации. Запрос производится через сетевое соединение в реальном времени.
Перед авторами ставилась задача разработать способ фильтрации потока HTTP-пакетов на основе пост-анализа запросов к интернет-ресурсу для обеспечения прохождения через фильтрующее устройство за приемлемое время запросов к интернет-ресурсу и ответов от web-сервера для большего числа пользователей Интернетом и устройство фильтрации для его реализации.
Поставленная задача решается тем, что в способе фильтрации потока HTTP-пакетов на основе пост-анализа запросов к интернет-ресурсу, включающем использование устройства фильтрации, содержащее в себе узел накопления пакетов, выполненный производящим накопление пакетов с пользовательским запросом к интернет-ресурсу и ответом от web-сервера, анализатор-корректор, выполненный производящим проверку пользовательского запроса к интернет-ресурсу и ограничивающим доступ пользователя к запрещенному интернет-ресурсу, узел хранения идентификаторов запрещенных интернет-ресурсов, выполнение приема, накопления и обработки потока HTTP-пакетов с пользовательским запросом к интернет-ресурсу, сканирования пользовательского запроса к интернет-ресурсу и выделения URL интернет-ресурса, проверки доступа к интернет-ресурсу с выделенным URL по сокращенному списку запрещенных интернет-ресурсов, проверки доступа к интернет-ресурсу с выделенным URL по полному списку запрещенных интернет-ресурсов, приема, накопления и обработки потока HTTP-пакетов с ответом от web-сервера, определения статуса запрашиваемого интернет-ресурса на предмет запрета для доступа пользователя и ограничение доступа пользователя к запрещенному интернет-ресурсу, дополнительно оснащают устройство фильтрации первым селектором, который выполняют производящим селекцию HTTP-пакетов из общего потока пакетов на стадии приема пользовательского запроса к интернет-ресурсу и пропускающим к web-серверу пакеты с пользовательским запросом к интернет-ресурсу без ожидания обработки, вторым селектором, который выполняют производящим селекцию HTTP-пакетов из общего потока пакетов на стадии приема ответа от web-сервера, узлом хранения текущего состояния контролируемых сессий, при этом анализатор-корректор выполняют оснащенным узлом формирования и анализа сессий, который выполняют формирующим сессию из потока HTTP-пакетов пользовательского запроса к интернет-ресурсу и потока HTTP-пакетов ответа от web-сервера и определяющим соответствие входящего пакета, принадлежащего либо пользовательскому запросу к интернет-ресурсу, либо ответу от web-сервера, контролируемой сессии, производят селекцию потока HTTP-пакетов из общего потока пакетов на стадии приема пользовательского запроса к интернет-ресурсу и пропускают к web-серверу поток HTTP-пакетов с пользовательским запросом к интернет-ресурсу без ожидания обработки, производят селекцию потока HTTP-пакетов из общего потока пакетов на стадии приема ответа от web-сервера, выполняют формирование сессий из потока HTTP-пакетов пользовательского запроса к интернет-ресурсу и потока HTTP-пакетов ответа от web-сервера, определяют соответствие входящего пакета, принадлежащего либо пользовательскому запросу к интернет-ресурсу, либо ответу от web-сервера, контролируемой сессии, при этом ограничение доступа к интернет-ресурсу производят принудительным закрытием канала связи от пользователя к web-серверу, далее ограничение доступа к интернет-ресурсу производят видоизменением потока HTTP-пакетов ответа от web-сервера.
Способ реализуется с помощью устройства фильтрации, которое содержит в себе узел накопления пакетов, выполненный производящим накопление пакетов с пользовательским запросом к интернет-ресурсу и ответом от web-сервера, анализатор-корректор, выполненный производящим проверку пользовательского запроса к интернет-ресурсу и ограничивающим доступ пользователя к запрещенному интернет-ресурсу, узел хранения идентификаторов запрещенных ресурсов, причем оно дополнительно оснащено первым селектором, который выполнен производящим селекцию HTTP-пакетов из общего потока пакетов на стадии приема пользовательского запроса к интернет-ресурсу и пропускающим к web-серверу пакеты с пользовательским запросом к интернет-ресурсу без ожидания обработки, вторым селектором, который выполнен производящим селекцию HTTP-пакетов из общего потока пакетов на стадии приема ответа от web-сервера, узлом хранения текущего состояния контролируемых сессий, при этом анализатор-корректор выполнен оснащенным узлом формирования и анализа сессий, который выполнен формирующим сессию из потока HTTP-пакетов пользовательского запроса к интернет-ресурсу и потока HTTP-пакетов ответа от web-сервера и определяющим соответствие входящего пакета, принадлежащего либо пользовательскому запросу к интернет-ресурсу, либо ответу от web-сервера, контролируемой сессии.
Техническим эффектом заявляемого изобретения является уменьшение времени задержки прохождения через устройство фильтрации пользовательского запроса к интернет-ресурсу, увеличение числа обслуживаемых пользователей, а также расширение функциональных возможностей и ассортимента устройств данного назначения.
Заявляемый способ фильтрации потока HTTP-пакетов на основе пост-анализа запросов к интернет-ресурсу реализуется с помощью устройства фильтрации, которое поясняется блок-схемой, представленной на фиг. 1, 101 - первый селектор, 102 - второй селектор, 103 - узел накопления пакетов, 104 - анализатор-корректор, 105 - узел формирования и анализа сессий, 106 - узел хранения текущего состояния контролируемых сессий, 107 - узел хранения идентификаторов запрещенных ресурсов, 108 - интерфейс сети пользователя, 109 - интерфейс сети Интернет, 202 - устройство фильтрации.
На фиг. 2 представлена схема подключения устройства фильтрации, где 108 - интерфейс сети пользователя, 109 - интерфейс сети Интернет, 202 - устройство фильтрации, 201 - компьютер пользователя, 203 - web-сервер.
На фиг. 3 представлена блок-схема последовательности операций при прохождении пользовательского запроса к интернет-ресурсу через устройство фильтрации.
На фиг. 4 представлена блок-схема последовательности операций при прохождении через устройство фильтрации ответа на пользовательский запрос к интернет-ресурсу.
Принцип работы заявляемого способа фильтрации потока HTTP-пакетов на основе пост-анализа запросов к интернет-ресурсу можно пояснить на основании работы фильтрующего устройства 202. Последовательность работы фильтрующего устройств 202 организуется таким образом, что входящий запрос пользователя к интернет-ресурсу пропускается насквозь через устройство фильтрации 202. Анализ и проверка пользовательского запроса происходит не перед отправкой запроса к интернет-ресурсу, а в то время, пока пользовательский запрос по линиям связи Интернет доходит до web-сервера, на котором расположен запрашиваемый интернет-ресурс, формируется ответ со стороны web-сервера, и он доходит обратно до фильтрующего устройства 202, т.е. в режиме пост-анализа пользовательского запроса, прошедшего к интернет-ресурсу. По результатам проверки полученный от web-сервера ответ либо пропускается к пользователю, либо блокируется различными методами. Такой подход позволяет уменьшить время задержки выполнения запроса к интернет-ресурсу по сравнению с подходом, использующим анализ пользовательского запроса до его отправки к web-серверу. Особенно это заметно в случае применения пользователем конвейерных запросов, когда им отправляются несколько запросов подряд без ожидания ответов.
Устройство фильтрации 202 содержит первый селектор 101, который производит селекцию HTTP-пакетов из общего потока пакетов на стадии приема пользовательского запроса к интернет-ресурсу. Он пропускает к web-серверу пакеты с пользовательским запросом к интернет-ресурсу без ожидания обработки. Второй селектор 102 производит селекцию HTTP-пакетов из общего потока пакетов на стадии приема ответа от web-сервера. Далее пользовательский запрос к интернет-ресурсу либо ответ от web-сервера направляется к узлу накопления пакетов 103. Затем информация поступает в анализатор-корректор 104, который выполнен оснащенным узлом формирования и анализа сессий 105. Узел формирования и анализа сессий 105 формирует сессию из потока HTTP-пакетов пользовательского запроса к интернет-ресурсу и потока HTTP-пакетов ответа от web-сервера и определяет соответствие входящего пакета, который принадлежит либо пользовательскому запросу к интернет-ресурсу, либо ответу от web-сервера, контролируемой сессии. Анализатором-корректором 104 в пользовательском запросе выделяется URL запрашиваемого интернет-ресурса и сравнивается с запрещенными URL, находящимся в узле идентификаторов запрещенных ресурсов 107. При совпадении URL запрашиваемого интернет-ресурса с запрещенным URL сессия с пользовательским запросом к запрещенному интернет-ресурсу маркируется как запрещенная в узле текущего состояния контролируемых сессий 106. Все пакеты с ответом от web-сервера для запрещенной сессии блокируются анализатором-корректором 104, а для разрешенной сессии пропускаются без помех. Для соединения с сетью пользователя устройство фильтрации 202 оснащено интерфейсом сети пользователя 108, а для соединения с сетью Интернет устройство фильтрации оснащено интерфейсом сети Интернет 109.
Устройство фильтрации 202 устанавливается в разрыв между компьютером пользователя 201 и глобальной сетью Интернет с web-сервером 203, предоставляющими ресурсы по протоколу HTTP, как показано на фиг. 2. Запрос пользователя с его компьютера пользователя 201 через устройство фильтрации 202 попадает в глобальную сеть Интернет и доставляется к web-серверу 203, на котором расположен запрашиваемый интернет-ресурс. Ответ от web-сервера 203 направляется в обратном направлении через интернет-ресурс и устройство фильтрации 202 на компьютер пользователя 201.
Развитие вычислительной техники на современном этапе позволяет разместить в оперативной памяти устройства фильтрации 202 большое количество адресов URL, входящих в список запрещенных ресурсов, который может достигать нескольких десятков миллионов записей. Такого количества вполне достаточно для подавляющего числа вариантов применения устройства фильтрации 202. Проверка запроса в памяти занимает существенно меньшее время, чем время, необходимое для обращения к серверу фильтрации. При исключении обращения к серверу фильтрации в реальном времени из схемы проверки адреса URL, как самого медленного звена в цепочке проверок, получается дополнительный выигрыш во времени в процессе фильтрации пользовательского запроса к интернет-ресурсу.
Блок-схема последовательности операций при прохождении пользовательского запроса через фильтр показана на фиг. 3. Сетевые пакеты, образующие запрос от компьютера пользователя 201 к web-серверу 203 с необходимым ресурсом, считываются из интерфейса сети пользователя 108 (шаг 301 последовательности операций) и, во-первых, передаются в интерфейс сети Интернет 109 (шаг 302), а во-вторых, проверяются первым селектором 101 на принадлежность к протоколу HTTP (шаг 303). Если пакет не относится к протоколу HTTP, то он уничтожается. Если пакет принадлежит протоколу HTTP, то он сохраняется в узле накопления пакетов 103 (шаг 304).
Анализатор-корректор 104 поочередно считывает пакеты из узла накопления пакетов 103 для последующей обработки. Узлом формирования и анализа сессий 105 для пакета определяется соответствующая сессия в списке контролируемых сессий в узле хранения текущего состояния контролируемых сессий 106. Данные из пакета добавляются к уже накопленной информации по этой сессии, и пользовательский пакет уничтожается (шаг 305). Если для текущей сессии появилась возможность выделить из запроса пользователя URL ресурса (шаг 306), то URL считывается (шаг 307) и ищется в узле хранения идентификаторов запрещенных ресурсов 107 (шаг 308). Если URL ресурса отсутствует в узле хранения идентификаторов запрещенных ресурсов 107, то запрос считается разрешенным (шаг 309). В противном случае запрос является запрещенным (шаг 310).
На фиг. 4 представлена блок-схема последовательности операций при прохождении через фильтр ответа на пользовательский запрос.
Сетевые пакеты от web-сервера 203, содержащие ответ на запрошенный с компьютера пользователя 201 интернет-ресурс, считываются из интерфейса сети Интернет 109 (шаг 401 последовательности операций) и проверяются вторым селектором 102 на принадлежность к протоколу HTTP (шаг 402). Если пакет не относится к протоколу HTTP, то он сразу передается в интерфейс сети пользователя 108 (шаг 403). Если пакет принадлежит протоколу HTTP, то он сохраняется в узле накопления пакетов 103 (шаг 404). Анализатор-корректор 104 поочередно считывает пакеты из узла накопления пакетов 103 для последующей обработки. Узлом формирования и анализа сессий 105 для пакета определяется соответствующая сессия в списке контролируемых сессий в узле хранения текущего состояния контролируемых сессий 106 (шаг 405) и проверяется, разрешен ли текущий запрос для этой сессии (шаг 406). Если запрос разрешен, то пакет посылается в интерфейс сети пользователя 108 без изменений (шаг 408). В противном случае данные в пакете модифицируются таким образом, чтобы вместо запрещенной информации пользователь получил web-страницу с предупреждением о блокировки доступа к ресурсу (шаг 407). После этого модифицированный пакет передается в интерфейс сети пользователя 108 (шаг 408).

Claims (4)

1. Способ фильтрации потока HTTP- пакетов на основе пост-анализа запросов к интернет-ресурсу, включающий использование устройства фильтрации, содержащего в себе узел накопления пакетов, выполненный производящим накопление пакетов с пользовательским запросом к интернет-ресурсу и ответом от web-сервера, анализатор-корректор, выполненный производящим проверку пользовательского запроса к интернет-ресурсу и ограничивающим доступ пользователя к запрещенному интернет-ресурсу, узел хранения идентификаторов запрещенных интернет-ресурсов, выполнение приема, накопления и обработки потока HTTP-пакетов с пользовательским запросом к интернет-ресурсу, сканирования пользовательского запроса к интернет-ресурсу и выделения URL интернет-ресурса, проверки доступа к интернет-ресурсу с выделенным URL по сокращенному списку запрещенных интернет-ресурсов, проверки доступа к интернет-ресурсу с выделенным URL по полному списку запрещенных интернет-ресурсов, приема, накопления и обработки потока HTTP-пакетов с ответом от web-сервера, определения статуса запрашиваемого интернет-ресурса на предмет запрета для доступа пользователя и ограничение доступа пользователя к запрещенному интернет-ресурсу, отличающийся тем, что дополнительно оснащают устройство фильтрации первым селектором, который выполняют производящим селекцию HTTP-пакетов из общего потока пакетов на стадии приема пользовательского запроса к интернет-ресурсу и пропускающим к web-серверу пакеты с пользовательским запросом к интернет-ресурсу без ожидания обработки, вторым селектором, который выполняют производящим селекцию HTTP-пакетов из общего потока пакетов на стадии приема ответа от web-сервера, узлом хранения текущего состояния контролируемых сессий, при этом анализатор-корректор выполняют оснащенным узлом формирования и анализа сессий, который выполняют формирующим сессию из потока HTTP-пакетов пользовательского запроса к интернет-ресурсу и потока HTTP-пакетов ответа от web-сервера и определяющим соответствие входящего пакета, принадлежащего либо пользовательскому запросу к интернет-ресурсу, либо ответу от web-сервера, контролируемой сессии, производят селекцию потока HTTP-пакетов из общего потока пакетов на стадии приема пользовательского запроса к интернет-ресурсу и пропускают к web-серверу поток HTTP-пакетов с пользовательским запросом к интернет-ресурсу без ожидания обработки, производят селекцию потока HTTP-пакетов из общего потока пакетов на стадии приема ответа от web-сервера, выполняют формирование сессий из потока HTTP-пакетов пользовательского запроса к интернет-ресурсу и потока HTTP-пакетов ответа от web-сервера, определяют соответствие входящего пакета, принадлежащего либо пользовательскому запросу к интернет-ресурсу, либо ответу от web-сервера, контролируемой сессии.
2. Способ по п. 1, отличающийся тем, что ограничение доступа к интернет-ресурсу производят принудительным закрытием канала связи от пользователя к web-серверу.
3. Способ по п. 1, отличающийся тем, что ограничение доступа к интернет-ресурсу производят видоизменением потока HTTP-пакетов ответа от web-сервера.
4. Устройство фильтрации, содержащее в себе узел накопления пакетов, выполненный производящим накопление пакетов с пользовательским запросом к интернет-ресурсу и ответом от web-сервера, анализатор-корректор, выполненный производящим проверку пользовательского запроса к интернет-ресурсу и ограничивающим доступ пользователя к запрещенному интернет-ресурсу, узел хранения идентификаторов запрещенных ресурсов, отличающееся тем, что оно дополнительно оснащено первым селектором, который выполнен производящим селекцию HTTP-пакетов из общего потока пакетов на стадии приема пользовательского запроса к интернет-ресурсу и пропускающим к web-серверу пакеты с пользовательским запросом к интернет-ресурсу без ожидания обработки, вторым селектором, который выполнен производящим селекцию HTTP-пакетов из общего потока пакетов на стадии приема ответа от web-сервера, узлом хранения текущего состояния контролируемых сессий, при этом анализатор-корректор выполнен оснащенным узлом формирования и анализа сессий, который выполнен формирующим сессию из потока HTTP-пакетов пользовательского запроса к интернет-ресурсу и потока HTTP-пакетов ответа от web-сервера и определяющим соответствие входящего пакета, принадлежащего либо пользовательскому запросу к интернет-ресурсу, либо ответу от web-сервера, контролируемой сессии.
RU2015114186/08A 2015-04-16 2015-04-16 Способ фильтрации потока нттр-пакетов на основе пост-анализа запросов к интернет-ресурсу и устройство фильтрации для его реализации RU2599949C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2015114186/08A RU2599949C1 (ru) 2015-04-16 2015-04-16 Способ фильтрации потока нттр-пакетов на основе пост-анализа запросов к интернет-ресурсу и устройство фильтрации для его реализации

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2015114186/08A RU2599949C1 (ru) 2015-04-16 2015-04-16 Способ фильтрации потока нттр-пакетов на основе пост-анализа запросов к интернет-ресурсу и устройство фильтрации для его реализации

Publications (1)

Publication Number Publication Date
RU2599949C1 true RU2599949C1 (ru) 2016-10-20

Family

ID=57138488

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015114186/08A RU2599949C1 (ru) 2015-04-16 2015-04-16 Способ фильтрации потока нттр-пакетов на основе пост-анализа запросов к интернет-ресурсу и устройство фильтрации для его реализации

Country Status (1)

Country Link
RU (1) RU2599949C1 (ru)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2336561C2 (ru) * 2002-06-27 2008-10-20 Майкрософт Корпорейшн Фильтрация контента при веб-просмотре
JP2010244134A (ja) * 2009-04-01 2010-10-28 Mitsubishi Electric Corp Urlフィルタリング装置およびurlフィルタリング方法
JP2011170597A (ja) * 2010-02-18 2011-09-01 Nippon Telegr & Teleph Corp <Ntt> データ抽出装置、データ抽出方法、および、データ抽出プログラム
CN102868693A (zh) * 2012-09-17 2013-01-09 苏州迈科网络安全技术股份有限公司 针对http分片请求的url过滤方法及系统
RU133954U1 (ru) * 2013-04-29 2013-10-27 Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) Устройство защиты сети

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2336561C2 (ru) * 2002-06-27 2008-10-20 Майкрософт Корпорейшн Фильтрация контента при веб-просмотре
JP2010244134A (ja) * 2009-04-01 2010-10-28 Mitsubishi Electric Corp Urlフィルタリング装置およびurlフィルタリング方法
JP2011170597A (ja) * 2010-02-18 2011-09-01 Nippon Telegr & Teleph Corp <Ntt> データ抽出装置、データ抽出方法、および、データ抽出プログラム
CN102868693A (zh) * 2012-09-17 2013-01-09 苏州迈科网络安全技术股份有限公司 针对http分片请求的url过滤方法及系统
RU133954U1 (ru) * 2013-04-29 2013-10-27 Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) Устройство защиты сети

Similar Documents

Publication Publication Date Title
US9787700B1 (en) System and method for offloading packet processing and static analysis operations
US10931686B1 (en) Detection of automated requests using session identifiers
US20190081958A1 (en) Identifying Malware Devices with Domain Name System (DNS) Queries
US10083322B2 (en) Obscuring user web usage patterns
WO2010102570A1 (zh) 一种实现绿色上网的方法和装置
WO2014000485A1 (zh) 内容过滤方法和装置
RU2446459C1 (ru) Система и способ проверки веб-ресурсов на наличие вредоносных компонент
Salva-Garcia et al. 5G NB‐IoT: Efficient Network Traffic Filtering for Multitenant IoT Cellular Networks
US10135785B2 (en) Network security system to intercept inline domain name system requests
CN112261172B (zh) 服务寻址访问方法、装置、系统、设备及介质
US9571390B2 (en) Path optimization for adaptive streaming
WO2005099214A1 (en) Method and system for network intrusion detection, related network and computer program product
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
US20220247761A1 (en) Dynamic routing of access request streams in a unified policy enforcement system
US11588859B2 (en) Identity-based enforcement of network communication in serverless workloads
CN108540480B (zh) 一种网关以及基于网关的文件访问控制方法
CN113364750A (zh) 一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法
CN115189897A (zh) 零信任网络的访问处理方法、装置、电子设备及存储介质
EP3140966B1 (en) Service application with learning capability
CN108268774B (zh) 攻击请求的判定方法和装置
RU2599949C1 (ru) Способ фильтрации потока нттр-пакетов на основе пост-анализа запросов к интернет-ресурсу и устройство фильтрации для его реализации
CN114793171B (zh) 访问请求的拦截方法、装置、存储介质及电子装置
WO2016201780A1 (zh) 网关管理方法及装置
US20200236117A1 (en) Chunk-scanning of web application layer requests to reduce delays
JP6623702B2 (ja) ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。