安全網(wǎng)關(guān)的報文處理方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本申請涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域����,特別涉及一種安全網(wǎng)關(guān)的報文處理方法及裝置����。
【背景技術(shù)】
[0002] 安全網(wǎng)關(guān)一般部署在大中型企業(yè)的網(wǎng)絡(luò)出口�����、企業(yè)內(nèi)部網(wǎng)絡(luò)之間�、或者數(shù)據(jù)中心 的出口,用以對外網(wǎng)訪問內(nèi)網(wǎng)的數(shù)據(jù)流進行檢測實現(xiàn)保護內(nèi)部網(wǎng)絡(luò)安全的目的�����,以及對內(nèi) 網(wǎng)訪問外網(wǎng)的數(shù)據(jù)流進行檢測實現(xiàn)企業(yè)敏感信息的控制�����。
[0003] DPI (Deep Packet Inspect����,深度報文檢測)和DFI (Deep Flow Inspect,深度流檢 測)是安全網(wǎng)關(guān)基于應(yīng)用層控制數(shù)據(jù)流的基礎(chǔ)�。根據(jù)實際需求,用于實現(xiàn)DPI和DFI的數(shù) 據(jù)流檢測模塊中可以包括:內(nèi)容過濾��、文件過濾��、入侵防御和防病毒等業(yè)務(wù)模塊,每一個業(yè) 務(wù)模塊中包含有多條規(guī)則����。經(jīng)過安全網(wǎng)關(guān)的報文會進入數(shù)據(jù)流檢測模塊中進行處理,與數(shù) 據(jù)流檢測模塊中包括的各個業(yè)務(wù)模塊中的規(guī)則進行匹配���,并按照命中的規(guī)則對應(yīng)的處理動 作對報文進行處理�����,常見的處理動作包括:放行����、丟棄(drop)���、連接重置���、修改報文內(nèi)容、加 入黑名單等�����。在各個業(yè)務(wù)模塊中命中的規(guī)則對應(yīng)的處理工作��,會最終決定該報文的轉(zhuǎn)發(fā)動 作�。
[0004] 現(xiàn)有技術(shù)中,業(yè)務(wù)模塊中的規(guī)則對應(yīng)的處理動作是固定的�,在安全網(wǎng)關(guān)的配置不 變的前提下,安全網(wǎng)關(guān)對同一 IP(因特網(wǎng)協(xié)議)地址發(fā)出的報文的轉(zhuǎn)發(fā)動作可能是固定的�。 但是,在某些情況下�,對于同一威脅源發(fā)出的報文執(zhí)行固定的轉(zhuǎn)發(fā)動作,可能會浪費系統(tǒng)資 源并降低安全網(wǎng)關(guān)性能���。
[0005] 例如���,防病毒業(yè)務(wù)模塊中的某一個規(guī)則R1,該規(guī)則Rl對應(yīng)的處理動作是連接重 置����。假設(shè),某一個郵件客戶端發(fā)送攜帶有符合規(guī)則Rl的病毒的郵件��,安全網(wǎng)關(guān)在接收到該 郵件并進行檢測時���,會檢測到該病毒并執(zhí)行連接重置的處理動作�����,于是該郵件發(fā)送失敗�。但 是,很多郵件客戶端在郵件發(fā)送失敗后會不停的嘗試重新發(fā)送��,甚至沒有次數(shù)的限制�,這就 造成了安全網(wǎng)關(guān)會不停的檢測到同一種病毒并執(zhí)行相應(yīng)的處理動作,屬于重復(fù)操作��,浪費 了系統(tǒng)資源����,降低了安全網(wǎng)關(guān)的性能。
[0006] 或者�����,某一個組織或單位通過安全網(wǎng)關(guān)過濾非法或敏感言論�,安全網(wǎng)關(guān)對這些包 含敏感詞匯的報文的處理動作是丟棄。如果某一個用戶經(jīng)常發(fā)表一些非法或敏感言論�����,這 樣����,安全網(wǎng)關(guān)在接收到包含這些非法或敏感言論的報文并進行檢測時���,就會不停的命中相 應(yīng)的規(guī)則并執(zhí)行丟棄動作�,從而,浪費了系統(tǒng)資源��,降低了安全網(wǎng)關(guān)的性能���。
【發(fā)明內(nèi)容】
[0007] 有鑒于此���,本申請?zhí)峁┝艘环N安全網(wǎng)關(guān)的報文處理方法及裝置。
[0008] 本申請的技術(shù)方案如下:
[0009] -方面����,提供了一種安全網(wǎng)關(guān)的報文處理方法,包括:
[0010] 從威脅源記錄表中獲取威脅綜合次數(shù)不小于預(yù)定閾值的IP地址�����,將獲取到的IP 地址添加到黑名單中���,其中��,威脅源記錄表中記錄有IP地址�、威脅總次數(shù)與出現(xiàn)頻度之間 的對應(yīng)關(guān)系,IP地址的威脅綜合次數(shù)與該IP地址對應(yīng)的威脅總次數(shù)和出現(xiàn)頻度成正比���;
[0011] 在接收到報文之后���,將該報文的源IP地址與黑名單中的IP地址進行匹配;
[0012] 若匹配到一個IP地址�,則停止轉(zhuǎn)發(fā)該報文;
[0013] 若沒有匹配到任一 IP地址�����,則對該報文進行深度檢測�����,并在安全日志文件中添加 對應(yīng)的日志記錄���。
[0014] 另一方面�,還提供了一種安全網(wǎng)關(guān)的報文處理裝置����,包括:
[0015] IP地址獲取模塊���,用于從威脅源記錄表中獲取威脅綜合次數(shù)不小于預(yù)定閾值的 IP地址,其中�����,威脅源記錄表中記錄有IP地址�、威脅總次數(shù)與出現(xiàn)頻度之間的對應(yīng)關(guān)系�,IP 地址的威脅綜合次數(shù)與該IP地址對應(yīng)的威脅總次數(shù)和出現(xiàn)頻度成正比;
[0016] 黑名單添加模塊�����,用于將IP地址獲取模塊獲取到的IP地址添加到黑名單中�;
[0017] 接收模塊,用于接收報文���;
[0018] 黑名單匹配模塊�,用于在接收模塊接收到報文之后�����,將該報文的源IP地址與黑名 單中的IP地址進行匹配�;
[0019] 轉(zhuǎn)發(fā)模塊����,用于若黑名單匹配模塊匹配到一個IP地址�,則停止轉(zhuǎn)發(fā)該報文;
[0020] 數(shù)據(jù)流檢測模塊�,用于若黑名單匹配模塊沒有匹配到任一 IP地址,則對該報文進 行深度檢測���,并在安全日志文件中添加對應(yīng)的日志記錄���。
[0021] 本申請的以上技術(shù)方案中,從威脅源記錄表中獲取威脅綜合次數(shù)不小于預(yù)定閾值 的IP地址���,將獲取到的IP地址添加到黑名單中��,其中����,威脅源記錄表中記錄有IP地址�、威 脅總次數(shù)與出現(xiàn)頻度之間的對應(yīng)關(guān)系,IP地址的威脅綜合次數(shù)與該IP地址對應(yīng)的威脅總 次數(shù)和出現(xiàn)頻度成正比����;這樣�����,在接收到報文之后���,先將該報文的源IP地址與黑名單中的 IP地址進行匹配,若匹配到一個IP地址���,就不再轉(zhuǎn)發(fā)該報文���,若沒有匹配到任一 IP地址��, 才會對該報文進行深度檢測����,例如,DPI和DFI���。從而���,可以預(yù)先識別出威脅源,并將威脅源 的IP地址添加到黑名單中�����,先通過黑名單對收到的報文進行篩除,只有沒有匹配到黑名單 中的任一 IP地址的報文才會進行后續(xù)的深度檢測�����,節(jié)省了系統(tǒng)資源并提高了安全網(wǎng)關(guān)性 能����。來自威脅源的報文可以先通過黑名單匹配被過濾掉,無需再進行深度檢測��,黑名單匹配 是一個基于IP地址比較的過程����,相對于深度檢測更加高效。
【附圖說明】
[0022] 圖1是本申請實施例的威脅源記錄表的生成方法的流程圖��;
[0023] 圖2是本申請實施例的在接收到報文后執(zhí)行的操作流程圖����;
[0024] 圖3是本申請實施例的安全網(wǎng)關(guān)的報文處理裝置的一種結(jié)構(gòu)示意圖;
[0025] 圖4是本申請實施例的安全網(wǎng)關(guān)的報文處理裝置的另一種結(jié)構(gòu)示意圖���;
[0026] 圖5是本申請實施例的安全網(wǎng)關(guān)的報文處理裝置的又一種結(jié)構(gòu)示意圖���。
【具體實施方式】
[0027] 為了解決現(xiàn)有技術(shù)中存在的浪費系統(tǒng)資源��,降低安全網(wǎng)關(guān)性能的問題�,本申請以 下實施例中提供了一種安全網(wǎng)關(guān)的報文處理方法���,以及一種可以應(yīng)用該方法的裝置�。
[0028] 本申請實施例中�����,安全網(wǎng)關(guān)的報文處理方法包括以下內(nèi)容:
[0029] 如圖1所示�����,威脅源記錄表的生成方法包括以下步驟:
[0030] 步驟S102,判斷日志記錄獲取定時器是否到時��,若是�����,則執(zhí)行步驟S104,否則��,返 回步驟S102 ;
[0031] 其中��,日志記錄獲取定時器的計時時間為預(yù)定時間間隔T����。
[0032] 步驟S104,將日志記錄獲取定時器重新開始計時,從安全日志文件中獲取在日志 記錄獲取定時器計時時間內(nèi)記錄的滿足特定條件的日志記錄����;
[0033] 其中,每一條日志記錄中包括:該日志記錄所針對的報文的源IP地址�����、該報文命 中的規(guī)則對應(yīng)的處理動作和命中該規(guī)則的時間�����。
[0034] 該特定條件包括:日志記錄中的處理動作是用于停止轉(zhuǎn)發(fā)報文到安全網(wǎng)關(guān)外部的 處理動作�。在實際實施過程中,用于停止轉(zhuǎn)發(fā)報文到安全網(wǎng)關(guān)外部的處理動作包括:丟棄或 連接重置��,顯然���,還可以是其它處理動作����,只要是不再從安全網(wǎng)關(guān)中將報文轉(zhuǎn)發(fā)出去的處理 動作即可,本申請對此不做限定��。
[0035] 顯然���,當一個報文命中了多條規(guī)則時����,對應(yīng)的日志記錄中會包括每一條規(guī)則對應(yīng) 的處理動作和命中該規(guī)則的時間����,步驟S104中獲取的是包括的所有處理動作均為用于停 止轉(zhuǎn)發(fā)報文到安全網(wǎng)關(guān)外部的處理動作的日志記錄。
[0036] 步驟S106,針對