網關處理數據的方法和裝置製造方法
2023-05-28 08:30:21
網關處理數據的方法和裝置製造方法
【專利摘要】本發明公開了一種網關處理數據的方法及裝置。其中,該方法包括:使用多個安全檢測模塊對網關接收到的數據流依次進行安全性檢測,確定數據流的類型,數據流的類型包括:安全數據流和非法數據流;如果網關接收到的數據流為安全數據流的情況下,將數據流的來源IP位址的可信權重值進行累加,直至可信權重值大於第一閾值的情況下,將數據流的來源IP位址寫入白名單;如果網關接收到的數據流為非法數據流的情況下,將數據流的來源IP位址的黑名單權重值進行累加,直至黑名單權重值大於第二閾值的情況下,將數據流的來源IP位址寫入黑名單。通過本發明,解決了現有技術中網關設備中多個安全模塊在工作時無聯動的情況導致網關處理數據效率低的問題。
【專利說明】網關處理數據的方法和裝置
【技術領域】
[0001 ] 本發明涉及通信領域,具體而言,涉及一種網關處理數據的方法和裝置。
【背景技術】
[0002]傳統的網關設備,例如UTM中有多個安全模塊,當網關設備檢測數據流時,多個安全模塊對數據流進行安全性檢測,確保通過網關設備的數據無攻擊或異常。
[0003]這裡需要說明的是,在傳統網關設備對數據流的安全性檢測性的方式中,多個安全模塊例如抗攻擊模塊、IPS檢測模塊和防病毒等模塊之間通常沒有任何聯動,都是各自為戰,多個安全模塊之間沒有及時交互,同時開啟多個安全模塊時,由於無法區分可信主機和不可信主機,只能處理所有主機的數據流,導致網關處理數據的效率低。
[0004]針對現有技術中網關設備中多個安全模塊在工作時無聯動的情況導致網關處理數據效率低的問題,目前尚未提出有效的解決方案。
【發明內容】
[0005]本發明的主要目的在於提供一種網關處理數據的方法及裝置,以解決現有技術中網關設備中多個安全模塊在工作時無聯動的情況導致網關處理數據效率低的問題。
[0006]為了實現上述目的,根據本發明實施例的一個方面,提供了一種網關處理數據的方法。該方法包括:使用多個安全檢測模塊對網關接收到的數據流依次進行安全性檢測,確定數據流的類型,數據流的類型包括:安全數據流和非法數據流;如果網關接收到的數據流為安全數據流的情況下,將數據流的來源IP位址的可信權重值進行累加,直至可信權重值大於第一閾值的情況下,將數據流的來源IP位址寫入白名單;如果網關接收到的數據流為非法數據流的情況下,將數據流的來源IP位址的黑名單權重值進行累加,直至黑名單權重值大於第二閾值的情況下,將數據流的來源IP位址寫入黑名單。
[0007]為了實現上述目的,根據本發明實施例的另一方面,提供了一種網關處理數據的裝置。該裝置包括:檢測單元,用於使用多個安全檢測模塊對網關接收到的數據流依次進行安全性檢測,確定數據流的類型,數據流的類型包括:安全數據流和非法數據流;處理單元,用於如果網關接收到的數據流為安全數據流的情況下,將數據流的來源IP位址的可信權重值進行累加,直至可信權重值大於第一閾值的情況下,將數據流的來源IP位址寫入白名單;如果網關接收到的數據流為非法數據流的情況下,將數據流的來源IP位址的黑名單權重值進行累加,直至黑名單權重值大於第二閾值的情況下,將數據流的來源IP位址寫入黑名單。
[0008]根據發明實施例,通過使用多個安全檢測模塊對網關接收到的數據流依次進行安全性檢測,確定數據流的類型,數據流的類型包括:安全數據流和非法數據流;如果網關接收到的數據流為安全數據流的情況下,將數據流的來源IP位址的可信權重值進行累加,直至可信權重值大於第一閾值的情況下,將數據流的來源IP位址寫入白名單;如果網關接收到的數據流為非法數據流的情況下,將數據流的來源IP位址的黑名單權重值進行累加,直至黑名單權重值大於第二閾值的情況下,將數據流的來源IP位址寫入黑名單,解決了現有技術中網關設備中多個安全模塊在工作時無聯動的情況導致網關處理數據效率低的問題。
【專利附圖】
【附圖說明】
[0009]構成本申請的一部分的附圖用來提供對本發明的進一步理解,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在附圖中:
[0010]圖1是根據本發明實施例一的網關處理數據的方法的流程圖;
[0011]圖2是根據本發明實施例二的網關處理數據的裝置的示意圖;以及
[0012]圖3是根據本發明實施例二的優選的網關處理數據的裝置的示意圖。
【具體實施方式】
[0013]需要說明的是,在不衝突的情況下,本申請中的實施例及實施例中的特徵可以相互組合。下面將參考附圖並結合實施例來詳細說明本發明。
[0014]為了使本【技術領域】的人員更好地理解本發明方案,下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分的實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本發明保護的範圍。
[0015]需要說明的是,本發明的說明書和權利要求書及上述附圖中的術語「第一」、「第二」等是用於區別類似的對象,而不必用於描述特定的順序或先後次序。應該理解這樣使用的數據在適當情況下可以互換,以便這裡描述的本發明的實施例。此外,術語「包括」和「具有」以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。
[0016]實施例1
[0017]本發明實施例提供了一種網關處理數據的方法。如圖1所示,該方法包括步驟如下:
[0018]步驟S101,使用多個安全檢測模塊對網關接收到的數據流依次進行安全性檢測,確定數據流的類型,數據流的類型包括:安全數據流和非法數據流。
[0019]具體的,上述多個安全檢測模塊可以是網關設備內部的組成部分,上述數據流可以是任意第三方終端向網關發送的數據流,上述數據流可以攜帶有第三方終端的IP位址。
[0020]步驟S1031,如果網關接收到的數據流為安全數據流的情況下,將數據流的來源IP位址的可信權重值進行累加,直至可信權重值大於第一閾值的情況下,將數據流的來源IP位址寫入白名單。
[0021]具體的,上述數據流的來源IP位址的可信權重值可以為confirm_weight, confirm_weight的默認值可以是0,上述第一閾值可以預設為1000,例如,第三方終端向網關發送的數據流,所述網關中多個安全檢測模塊依次對所述數據流進行檢測後,如果上述數據流的類型被確定為安全類型,則confirm_weight加I,當第三方終端再次向網關發送的數據流,所述網關中多個安全檢測模塊依次對所述數據流進行檢測後,如果上述數據流的類型再次被確定為安全類型,則confirm_weight再加I,依次類推,當confirm_weight大於1000,即所述數據流的來源IP位址的第三方終端向網關發送的多次數據流中,有超過1000次被網關確定為安全類型,則所述網關將上述數據流的來源IP位址即第三方終端的IP位址寫入白名單。
[0022]可選的,在confirm_weight小於1000的時候,上述網關仍然對上述數據流進行多個安全模塊的檢查,以累積驗證這個主機及第三方終端的可信程度。
[0023]步驟S1032,如果網關接收到的數據流為非法數據流的情況下,將數據流的來源IP位址的黑名單權重值進行累加,直至黑名單權重值大於第二閾值的情況下,將數據流的來源IP位址寫入黑名單。
[0024]具體的,上述數據流的來源IP位址的黑名單權重值可以為blcok_weight, block_weight的默認值可以是0,上述第一閾值可以預設為3,例如,第三方終端向網關發送的數據流,所述網關中多個安全檢測模塊依次對所述數據流進行檢測後,如果上述數據流的類型被確定為非法數據流,則block_weight加1,當第三方終端再次向網關發送的數據流,所述網關中多個安全檢測模塊依次對所述數據流進行檢測後,如果上述數據流的類型再次被確定為非法數據流,則block_weight再加I,依次類推,當block_weight大於3,即所述數據流的來源IP位址的第三方終端向網關發送的多次數據流中,有超過3次被網關確定為非法數據流,則所述網關將上述數據流的來源IP位址即第三方終端的IP位址寫入黑名單。
[0025]本實施例通過網關設備內多個安全檢測模塊聯合依次對網關接收到的數據流進行安全性檢測,在確定上述數據流是安全數據流或非法數據流的情況下,累加上述數據流的來源IP位址的可信權重值或黑名單權重值,並在可信權重值或黑名單權重值超過第一閾值或第二閾值的情況下將數據流的來源IP位址寫入白名單或黑名單,解決了現有技術中網關設備中多個安全模塊在工作時無聯動的情況導致網關處理數據效率低的問題。
[0026]優選的,步驟SlOl中的多個安全檢測模塊可以包括以下至少一個:抗攻擊檢測模塊、IPS檢測模塊和防病毒模塊。步驟SlOl中的使用多個安全檢測模塊對網關接收到的數據流依次進行安全性檢測,確定數據流的類型的步驟還可以包括:
[0027]步驟S201,採用抗攻擊檢測模塊、IPS檢測模塊和防病毒模塊依次對數據流進行安全檢測。具體的,本方法可以包含兩個方案:
[0028]方案一:
[0029]在數據流沒有被抗攻擊檢測模塊、IPS檢測模塊和防病毒模塊檢測出攻擊或異常的情況下,確定數據流為安全數據流。
[0030]方案二:
[0031]在數據流被抗攻擊檢測模塊、IPS檢測模塊和防病毒模塊檢測出攻擊或異常的情況下,確定數據流為非法數據流。
[0032]優選的,上述步驟S1031中的將數據流的來源IP位址寫入白名單之後,本實施例提供的網關處理數據的方法還可以包括:
[0033]步驟S301,針對數據流的來源IP位址設置免檢時間段,或通過第一運算規則來計算免檢時間段,其中,在免檢時間段內,控制網關在免檢時間段內對數據流不進行安全檢測。
[0034]具體的,上述網關將上述數據流的來源IP位址寫入白名單之後,上述網關針對上述數據流的來源IP位址設置免檢時間段,例如,第三終端向上述網關多次發送數據流,上述網關內各個安全檢測模塊也多次對上述數據流進行安全檢測,如果上述網關將上述數據流的來源IP位址寫入白名單,網關則針對數據流的來源IP位址設置免檢時間段,即在該免檢時間段內,上述第三終端再向上述網關發送數據流,上述網關內部的安全檢測模塊不對上述數據流進行例如抗攻擊、IPS/防病毒的檢測,以減輕網關負擔。
[0035]優選的,上述免檢時間段可以設置為5秒,即在上述數據流的來源IP位址被寫入白名單後的5秒鐘內,網關對上述IP位址的第三終端發送的數據流不做檢測。上述時間段也可以通過第一運算規則來計算。上述第一運算規則可以為:
[0036]免檢時間段=默認免檢時間段+第一參數*可信次數,其中,所述默認免檢時間段為用戶預設的時間段;所述第一參數為所述用戶預設的常數;所述可信次數為所述數據流的源IP位址寫入白名單的累加次數。
[0037]具體的,上述默認免檢時間段可以設置為5秒,第一參數可以設置為2秒,上述可信次數可以採用confirm_count來表示,confirm_count的默認值可以為O,當所述數據流的來源IP位址被寫入白名單後,可信次數則進行加1,例如,第三終端向上述網關多次發送數據流,第三終端的IP位址被網關寫入3次白名單,則可信次數COnfirm_COUnt的累加次數為3,通過上述第一運算規則可以算得免檢時間段=11秒,即在上述數據流的來源IP位址被寫入白名單後的11秒鐘內,上述網關對上述第三終端發送的數據流不做檢測。
[0038]優選的,上述步驟S1032中的將數據流的來源IP位址寫入黑名單之後,本實施例提供的網關處理數據的方法還可以包括:
[0039]步驟S401,針對數據流的來源IP位址設置阻塞時間段,或通過第二運算規則來計算阻塞時間段,其中,在阻塞時間段內,控制網關在阻塞時間段內將數據流丟棄。
[0040]具體的,上述網關將上述數據流的來源IP位址寫入黑名單之後,上述網關針對上述數據流的來源IP位址設置阻塞時間段,例如,第三終端向上述網關多次發送數據流,上述網關內各個安全檢測模塊也多次對上述數據流進行安全檢測,如果上述網關將上述數據流的來源IP位址寫入黑名單,網關則針對數據流的來源IP位址設置阻塞時間段,即在該阻塞時間段內,上述第三終端再向上述網關發送數據流,上述網關直接將所述數據流丟棄。
[0041]優選的,上述阻塞時間段可以設置為5秒,即在上述數據流的來源IP位址被寫入白名單後的5秒鐘內,網關對上述IP位址的第三終端發送的數據流直接丟棄。上述時間段也可以通過第二運算規則來計算。上述第二運算規則可以為:
[0042]阻塞時間段=默認阻塞時間段+第二參數*不可信次數,其中,所述默認免檢時間段為用戶預設的時間段;所述第二參數為所述用戶預設的常數;所述不可信次數為所述數據流的源IP位址寫入黑名單的累加次數。
[0043]具體的,上述默認阻塞時間段可以設置為5秒,第二參數可以設置為2秒,上述不可信次數可以採用block_count來表示,block_count的默認值可以為O,當所述數據流的來源IP位址被寫入黑名單後,不可信次數則進行加1,例如,第三終端向上述網關多次發送數據流,第三終端的IP位址被網關寫入3次黑名單,則可信次數blOCk_COunt的累加次數為3,通過上述第一運算規則可以算得免檢時間段=11秒,即在上述數據流的來源IP位址被寫入白名單後的11秒鐘內,上述網關對上述第三終端發送的數據流直接丟棄。
[0044]由上述兩個運算規則可見,可信次數或不可信次數越多,對應的免檢時間或阻塞時間就越長。即可信次數多,免檢時間段有累計獎勵,不可信次數多,阻塞時間段有累計懲罰。
[0045]可選的,可以人工規定上述阻塞時間段和免檢時間段最長不超過60秒,以保證網關設備高效率、靈活的處理數據。
[0046]可選的,在網關查詢安全規則之間,網關可以取數據流的來源IP位址在黑名單中進行查詢,如果匹配,並且該IP位址仍然在阻塞時間段內,網關則對數據流直接丟棄,同時更新阻塞時間。
[0047]本發明結合具體應用場景例描述:
[0048]本申請主要通過以下方法來實現聯動:
[0049]1、在網關數據包入口處理添加黑名單阻塞處理:
[0050]如果源IP在黑名單中,並且在阻塞周期內,將對這個源IP發起的任何連接,直接做丟棄處理。無需再進行後續的處理,減輕網關壓力,同時提高攻擊阻擋的及時性。
[0051]2、在安全策略檢查後,添加可信名單檢查,同時在狀態表中擴展可信標記位,這樣在後續進入抗攻擊、IPS或防病毒模塊前,通過檢查可信名單標記位來決定是否進入這些安全模塊做處理。
[0052]如果源IP在可信名單中,並在可信周期內,對這個IP發起的請求,可以不用再做異常流量檢測、抗攻擊、IPS安全模塊的處理。
[0053]3、在網關各安全模塊中,添加可信/不可信權重的計算,增加聯動信息(可信名單,不可信名單)的處理。主要包括:不可信名單:可以是單個源IP,也可以是更具體的流信息,根據實際情況可以進行選擇。DATA部分主要是阻塞的時間信息,比如對某個源IP阻塞5分鐘。數據結構如下:
[0054]
【權利要求】
1.一種網關處理數據的方法,其特徵在於,包括: 使用多個安全檢測模塊對網關接收到的數據流依次進行安全性檢測,確定所述數據流的類型,所述數據流的類型包括:安全數據流和非法數據流; 如果所述網關接收到的所述數據流為所述安全數據流的情況下,將所述數據流的來源IP位址的可信權重值進行累加,直至所述可信權重值大於第一閾值的情況下,將所述數據流的來源IP位址寫入白名單; 如果所述網關接收到的所述數據流為所述非法數據流的情況下,將所述數據流的來源IP位址的黑名單權重值進行累加,直至所述黑名單權重值大於第二閾值的情況下,將所述數據流的來源IP位址寫入黑名單。
2.根據權利要求1所述的方法,其特徵在於,所述多個安全檢測模塊包括以下至少一個:抗攻擊檢測模塊、IPS檢測模塊和防病毒模塊;其中,使用所述多個安全檢測模塊對網關接收到的數據流依次進行安全性檢測,確定所述數據流的類型的步驟包括: 採用所述抗攻擊檢測模塊、IPS檢測模塊和防病毒模塊依次對所述數據流進行安全檢測; 在所述數據流沒有被所述抗攻擊檢測模塊、IPS檢測模塊和防病毒模塊檢測出攻擊或異常的情況下,確定所述數據流為安全數據流; 在所述數據流被所述抗攻擊檢測模塊、IPS檢測模塊和防病毒模塊檢測出攻擊或異常的情況下,確定所述數據流為非法數據流。
3.根據權利要求1或2所述的方法,其特徵在於,將所述數據流的來源IP位址寫入白名單之後,所述方法還包括: 針對所述數據流的來源IP位址設置免檢時間段,或通過第一運算規則來計算免檢時間段,其中,在所述免檢時間段內,控制所述網關在所述免檢時間段內對所述數據流不進行安全檢測。
4.根據權利要求1或2所述的方法,其特徵在於,將所述數據流的來源IP位址寫入黑名單之後,所述方法還包括: 針對所述數據流的來源IP位址設置阻塞時間段,或通過第二運算規則來計算阻塞時間段,其中,在所述阻塞時間段內,控制所述網關在所述阻塞時間段內將所述數據流丟棄。
5.根據權利要求3所述的方法,其特徵在於,所述第一運算規則為: 免檢時間段=默認免檢時間段+第一參數*可信次數,其中,所述默認免檢時間段為用戶預設的時間段;所述第一參數為所述用戶預設的常數;所述可信次數為所述數據流的源IP位址寫入白名單的累加次數。
6.根據權利要求4所述的方法,其特徵在於,所述第二運算規則為: 阻塞時間段=默認阻塞時間段+第二參數*不可信次數,其中,所述默認阻塞時間段為用戶預設的時間段;所述第二參數為所述用戶預設的常數;所述不可信次數為所述數據流的源IP位址寫入黑名單的累加次數。
7.—種網關處理數據的裝置,其特徵在於,包括: 檢測單元,用於使用多個安全檢測模塊對網關接收到的數據流依次進行安全性檢測,確定所述數據流的類型,所述數據流的類型包括:安全數據流和非法數據流; 處理單元,用於如果所述網關接收到的所述數據流為所述安全數據流的情況下,將所述數據流的來源IP位址的可信權重值進行累加,直至所述可信權重值大於第一閾值的情況下,將所述數據流的來源IP位址寫入白名單;如果所述網關接收到的所述數據流為所述非法數據流的情況下,將所述數據流的來源IP位址的黑名單權重值進行累加,直至所述黑名單權重值大於第二閾值的情況下,將所述數據流的來源IP位址寫入黑名單。
8.根據權利要求7所述的裝置,其特徵在於,所述多個安全檢測模塊包括以下至少一個:抗攻擊檢測模塊、IPS檢測模塊和防病毒模塊;其中,所述檢測單元包括: 檢測模塊,用於採用所述抗攻擊檢測模塊、IPS檢測模塊和防病毒模塊依次對所述數據流進行安全檢測; 處理模塊,用於在所述數據流沒有被所述抗攻擊檢測模塊、IPS檢測模塊和防病毒模塊檢測出攻擊或異常的情況下,確定所述數據流為安全數據流;在所述數據流被所述抗攻擊檢測模塊、IPS檢測模塊和防病毒模塊檢測出攻擊或異常的情況下,確定所述數據流為非法數據流。
9.根據權利要求7或8所述的裝置,其特徵在於,所述裝置還包括: 第一設置單元,用於針對所述數據流的來源IP位址設置免檢時間段,或通過第一運算規則來計算免檢時間段,其中,在所述免檢時間段內,控制所述網關在所述免檢時間段內對所述數據流不進行安全檢測。
10.根據權利要求7或8所述的裝置,其特徵在於,所述裝置還包括: 第二設置單元,用於針對所述數據流的來源IP位址設置阻塞時間段,或通過第二運算規則來計算阻塞時間段,其中,在所述阻塞時間段內,控制所述網關在所述阻塞時間段內將所述數據流丟棄。
11.根據權利要求9所述的裝置,其特徵在於,所述第一運算規則為: 免檢時間段=默認免檢時間段+第一參數*可信次數,其中,所述默認免檢時間段為用戶預設的時間段;所述第一參數為所述用戶預設的常數;所述可信次數為所述數據流的源IP位址寫入白名單的累加次數。
12.根據權利要求10所述的裝置,其特徵在於,所述第二運算規則為: 阻塞時間段=默認阻塞時間段+第二參數*不可信次數,其中,所述默認阻塞時間段為用戶預設的時間段;所述第二參數為所述用戶預設的常數;所述不可信次數為所述數據流的源IP位址寫入黑名單的累加次數。
【文檔編號】H04L12/66GK104184746SQ201410466775
【公開日】2014年12月3日 申請日期:2014年9月12日 優先權日:2014年9月12日
【發明者】姚翼雄 申請人:網神信息技術(北京)股份有限公司, 網神科技(北京)有限公司