專利名稱:通信網(wǎng)絡業(yè)務處理方法和設備的制作方法
技術(shù)領域:
本發(fā)明涉及網(wǎng)絡安全技術(shù)領域,特別涉及一種通信網(wǎng)絡業(yè)務處理方法和一種通信網(wǎng)絡業(yè)務處理設備。
背景技術(shù):
當前由于企業(yè)信息化的需要,幾乎所有的企業(yè)內(nèi)部網(wǎng)都與互聯(lián)網(wǎng)相連。在享受互聯(lián)網(wǎng)帶來便利和高效的同時,也為企業(yè)也提出了一些其他方面的挑戰(zhàn)。如,企業(yè)員工在應用互聯(lián)網(wǎng)進行工作的同時,也可能會通過網(wǎng)絡從事一些與工作無關(guān)的活動,這樣將大大的降低企業(yè)工作效率;企業(yè)內(nèi)部員工也可能會泄露商業(yè)機密,外傳代碼等,從而造成對企業(yè)的內(nèi)部威脅。再如,現(xiàn)在流氓軟件、間諜軟件等惡意軟件在互聯(lián)網(wǎng)上活動猖獗,一些非法的間諜軟件利用互聯(lián)網(wǎng)通道竊取企業(yè)的機密信息,對企業(yè)安全直接構(gòu)成威脅;企業(yè)網(wǎng)外部的攻擊者也可以利用已建立的通道對企業(yè)網(wǎng)進行滲透攻擊。以上情況都是企業(yè)網(wǎng)在連接互聯(lián)網(wǎng)后,面臨的一些急需解決的問題。
大部分企業(yè)選擇防火墻配置合適的訪問控制列表(ACL)來解決企業(yè)網(wǎng)和互聯(lián)網(wǎng)相連帶來的安全問題。它們一般選用的規(guī)則如下1、防火墻允許企業(yè)用戶的對外部互聯(lián)網(wǎng)的訪問,同時禁止外部網(wǎng)對企業(yè)內(nèi)部網(wǎng)的訪問,即單向傳輸;2、防火墻只開放對外業(yè)務訪問的部分端口;3、防火墻通過應用層網(wǎng)關(guān)(ALG)技術(shù)解決動態(tài)端口問題;4、老化打開的通道,特別是用戶數(shù)據(jù)報協(xié)議(UDP)通道。
但是,上述現(xiàn)有技術(shù)中的這種方法進行企業(yè)上網(wǎng)安全控制存在以下的問題,使得防火墻形同虛設
1、許多業(yè)務應用采用動態(tài)端口,打開所有的端口將使得業(yè)務控制功能失效;2、一些非法間諜軟件也用知名端口,從而使得選擇性開放端口對其控制無效;3、任何應用均可通過安全殼協(xié)議(SSH)隧道,根據(jù)指定端口傳輸;4、越來越多的惡意的應用程序能夠繞過防火墻對企業(yè)內(nèi)部網(wǎng)絡安全造成威脅;5、已建立的通道容易讓惡意軟件利用并進行滲透。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明實施例提供了一種通信網(wǎng)絡業(yè)務處理方法和通信網(wǎng)絡業(yè)務處理設備,能夠提高信息交互的安全性。
本發(fā)明實施例提供的一種通信網(wǎng)絡業(yè)務處理方法包括提取新發(fā)起業(yè)務流的特征信息,根據(jù)所述業(yè)務流的特征信息判斷所述業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;當業(yè)務流的信息與所述記錄的業(yè)務流的信息一致時,轉(zhuǎn)發(fā)該業(yè)務流。
本發(fā)明實施例提供的一種通信網(wǎng)絡業(yè)務處理設備,該設備包括業(yè)務流識別模塊和業(yè)務流轉(zhuǎn)發(fā)模塊;所述業(yè)務流識別模塊用于提取發(fā)起業(yè)務流的特征信息,根據(jù)該提取的業(yè)務流特征信息判斷所述業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;所述業(yè)務流轉(zhuǎn)發(fā)模塊用于接收業(yè)務流,并在該業(yè)務的信息與所述業(yè)務流識別模塊記錄的業(yè)務流的信息一致時,轉(zhuǎn)發(fā)該業(yè)務流。
從上述方案可以看出,本發(fā)明實施例中通過根據(jù)提取的新發(fā)起業(yè)務流的特征信息判斷該業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;當業(yè)務流的信息與所述記錄的業(yè)務流的信息一致時,轉(zhuǎn)發(fā)該業(yè)務流,從而根據(jù)業(yè)務流的特征信息實現(xiàn)對業(yè)務流的安全控制,提高了信息交互的安全性。
圖1為本發(fā)明通信網(wǎng)絡業(yè)務處理設備實施例的一種組成示意圖;圖2為本發(fā)明通信網(wǎng)絡業(yè)務處理設備實施例的另一種組成示意圖;圖3為本發(fā)明通信網(wǎng)絡業(yè)務處理設備實施例的又一種組成示意圖;圖4為本發(fā)明通信網(wǎng)絡業(yè)務處理方法實施例設置于企業(yè)內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間的示意圖;圖5為本發(fā)明通信網(wǎng)絡業(yè)務處理方法實施例的流程圖;圖6為本發(fā)明通信網(wǎng)絡業(yè)務處理方法實施例中從一個業(yè)務流建立至一個業(yè)務流結(jié)束對數(shù)據(jù)報文進行處理的流程圖。
具體實施例方式
本發(fā)明的主要思想是,從業(yè)務流中提取特征信息進行安全識別,從而保證網(wǎng)絡信息交互的安全性。
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面結(jié)合附圖對本發(fā)明作進一步的詳細描述。
基于上述思想,本發(fā)明提供了一種通信網(wǎng)絡業(yè)務處理設備和通信網(wǎng)絡業(yè)務處理方法,以下分別通過實施例進行說明。
通信網(wǎng)絡業(yè)務處理設備的實施例如圖1所示,該設備可以設置于內(nèi)部網(wǎng)與外部網(wǎng)的連接處,這里的內(nèi)部網(wǎng)可以是企業(yè)內(nèi)部網(wǎng)、機構(gòu)內(nèi)部網(wǎng)等,該設備包括業(yè)務流識別模塊和業(yè)務流轉(zhuǎn)發(fā)模塊;其中,業(yè)務流識別模塊用于提取新發(fā)起業(yè)務流的特征信息,根據(jù)該提取的業(yè)務流特征信息判斷所述業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;業(yè)務流轉(zhuǎn)發(fā)模塊用于接收業(yè)務流,并在該業(yè)務的信息與所述業(yè)務流識別模塊記錄的業(yè)務流的信息一致時,轉(zhuǎn)發(fā)該業(yè)務流。
上述業(yè)務流識別模塊中可以包括第一業(yè)務流識別模塊;也可以包括第二業(yè)務流識別模塊和業(yè)務識別特征庫,還可以包括第一業(yè)務流識別模塊、第二業(yè)務流識別模塊和業(yè)務識別特征庫;其中,第一業(yè)務流識別模塊用于根據(jù)業(yè)務流是否由內(nèi)部發(fā)起確定該業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;第二業(yè)務流識別模塊用于將提取的業(yè)務流特征信息與識別特征庫模塊中存儲的識別特征進行匹配,根據(jù)匹配結(jié)果確定該業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;識別特征庫模塊用于存儲識別特征。
本實施例中,如圖2所示,該設備中進一步可以包括流列表處理模塊,用于記錄所述業(yè)務流識別模塊確定出的合法業(yè)務流的信息。從圖2中可以看出,上述業(yè)務流轉(zhuǎn)發(fā)模塊可以設置在流列表處理模塊中,也可以設置在業(yè)務流識別模塊中。
在本實施例中,該設備的內(nèi)部模塊,在圖1或圖2的基礎上還可以進一步增加業(yè)務流跟蹤模塊和業(yè)務跟蹤特征庫模塊,以圖3為例,其示出了在圖2的基礎上增加業(yè)務流跟蹤模塊和業(yè)務跟蹤特征庫模塊的設備組成。其中,業(yè)務流跟蹤模塊,用于確定所述流列表處理模塊中需要跟蹤的業(yè)務流,獲取所述需要跟蹤的業(yè)務流,并從獲取的業(yè)務流中提取跟蹤特征信息,在根據(jù)該提取的跟蹤特征信息和業(yè)務跟蹤特征庫模塊中存儲的跟蹤特征,確定出業(yè)務流結(jié)束或錯誤后,刪除所述流列表處理模塊中該業(yè)務流的記錄。在圖3中,業(yè)務流轉(zhuǎn)發(fā)模塊可以只設置在流列表處理模塊中;也可在業(yè)務流跟蹤模塊和業(yè)務流識別模塊中分別設置,則業(yè)務流跟蹤模塊中設置的業(yè)務流轉(zhuǎn)發(fā)模塊用于轉(zhuǎn)發(fā)需要跟蹤的業(yè)務流的數(shù)據(jù)報文,而業(yè)務流識別模塊中設置的業(yè)務流轉(zhuǎn)發(fā)模塊用于轉(zhuǎn)發(fā)通過其進行識別的業(yè)務流數(shù)據(jù)報文。
此外,本實施例所提供的設備中還可以進一步包括報文安全性檢測模塊和/或還原模塊;其中,報文安全性檢測模塊用于從業(yè)務流跟蹤模塊獲取所述需要跟蹤的業(yè)務流,并對獲取的業(yè)務流進行報文安全性檢測;還原模塊用于從業(yè)務流跟蹤模塊中獲取所述需要跟蹤的業(yè)務流,并對獲取的業(yè)務流進行還原處理。
以下基于圖3,以上述通信網(wǎng)絡業(yè)務處理設備設置于企業(yè)內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間,如圖4所示,并且業(yè)務流轉(zhuǎn)發(fā)模塊設置在流列表處理模塊中為例,對上述通信網(wǎng)絡業(yè)務處理設備中的各個模塊進行進一步詳細闡述。
流列表處理模塊用于記錄允許通過的,并且當前正在進行通信的各項業(yè)務流的信息,根據(jù)記錄的業(yè)務流的信息和相關(guān)規(guī)則來處理經(jīng)過它的每一個數(shù)據(jù)流,包括轉(zhuǎn)發(fā)流列表中包括了其信息的業(yè)務流的數(shù)據(jù)報文,并在某業(yè)務流的信息中設置了需要跟蹤的情況下,將該業(yè)務流的數(shù)據(jù)報文存儲到業(yè)務流跟蹤模塊中;以及將一個新的業(yè)務流的前一個或前幾個數(shù)據(jù)報文傳送給業(yè)務流識別模塊。
具體地,當流列表處理模塊接收到一個新的由企業(yè)內(nèi)部網(wǎng)發(fā)至互連網(wǎng)的業(yè)務流時,就會將該業(yè)務流中,第一個或企業(yè)內(nèi)部網(wǎng)與互聯(lián)網(wǎng)交互的前幾個數(shù)據(jù)報文轉(zhuǎn)發(fā)至業(yè)務流識別模塊,并接收業(yè)務流識別模塊的反饋,根據(jù)反饋結(jié)果,如果是合法,則將合法的業(yè)務流的信息添加至流列表中,并轉(zhuǎn)發(fā)該業(yè)務流的數(shù)據(jù)報文,否則直接丟棄該業(yè)務流的數(shù)據(jù)報文。
如果流列表處理模塊接收到的業(yè)務流數(shù)據(jù)報文是屬于流列表中存在了其信息的業(yè)務流,則無論是由內(nèi)至外,還是由外至內(nèi)的數(shù)據(jù)報文,都通過自身中的業(yè)務流轉(zhuǎn)發(fā)模塊進行轉(zhuǎn)發(fā)。如果流列表處理模塊接收到由互聯(lián)網(wǎng)發(fā)起的新的業(yè)務流,流列表處理模塊直接拒絕該業(yè)務流,即丟棄該業(yè)務流的數(shù)據(jù)報文。
當流列表處理模塊中的某個業(yè)務流的信息中包括跟蹤標識時,流列表處理模塊接收到該業(yè)務流的數(shù)據(jù)報文后,除通過業(yè)務流轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)該數(shù)據(jù)報文外,還將該數(shù)據(jù)報文存儲到業(yè)務流跟蹤模塊。
在流列表中,記錄的每項業(yè)務流的信息包括源IP地址、源端口、傳輸協(xié)議類型、目的IP地址、目的端口和應用層協(xié)議類型,或者進一步可以包括跟蹤標識。當一個業(yè)務流結(jié)束或者跟蹤失敗后,流列表處理模塊會將該業(yè)務流的信息從表中移出,從而只保留當前活動業(yè)務流信息。
業(yè)務流識別模塊用于對來自流列表處理模塊的數(shù)據(jù)報文進行分析識別,從而確定對應的業(yè)務流是否合法。該模塊首先對接收的數(shù)據(jù)報文進行協(xié)議識別,分析并提取特征信息;然后在業(yè)務識別特征庫模塊中進行特征匹配查詢,檢查這些特征信息對應的業(yè)務流是否屬于合法業(yè)務流。并將最后的識別結(jié)果反饋給流列表處理模塊。
在進行業(yè)務識別的時候,執(zhí)行速度對模塊的要求有識別速度必須非???,并且必須具有一定的準確性和足夠的偽造特征防護能力。為了滿足這些識別要求,可以在實現(xiàn)的時候采用以下方法,業(yè)務流識別模塊只處理來自流列表處理模塊的數(shù)據(jù)報文中的第一個數(shù)據(jù)報文,或者是某一個主要的數(shù)據(jù)報文,進行最簡單的匹配,從而提高識別速度;另外,為提高準確性和偽造特征防護能力,可以在業(yè)務流識別模塊中配置多個特征,每一次進行識別時隨機或采用一定規(guī)則只選擇這些特征中一個或幾個進行識別匹配。
業(yè)務識別特征庫模塊,用于存儲各項允許業(yè)務的識別特征,包括每項允許業(yè)務數(shù)據(jù)報文中的一個或多個識別特征,可以根據(jù)這些特征簡單地匹配來確定通過的數(shù)據(jù)報文是否屬于允許的業(yè)務流??梢酝ㄟ^分析各項允許業(yè)務的識別特征,然后手動配置該特征庫模塊的識別特征內(nèi)容。識別特征主要是業(yè)務流的協(xié)議特征和/或該業(yè)務流中的特殊內(nèi)容特征。比如瀏覽網(wǎng)頁用的是HTTP協(xié)議,或是使用某個軟件,該特殊內(nèi)容特征是在傳輸數(shù)據(jù)中包含的軟件名、版本信息等,可以將該軟件名、版本信息作為識別特征存儲在業(yè)務識別特征庫模塊中;則業(yè)務流識別模塊根據(jù)來自流列表處理模塊的數(shù)據(jù)報文可以在前幾個報文的某個固定位置獲取軟件名、版本號信息,然后判斷業(yè)務識別特征庫模塊的識別特征中是否包括該獲取的軟件名、版本號信息,如果包括則識別成功,對應的業(yè)務流合法;否則,識別不成功,對應的業(yè)務流非法。
業(yè)務流跟蹤模塊用于從流列表中查找特定協(xié)議的業(yè)務流或者是特定業(yè)務的業(yè)務流進行跟蹤,用于業(yè)務還原或者是報文安全性檢測等操作。
業(yè)務流跟蹤模塊可以根據(jù)包括業(yè)務標識的業(yè)務跟蹤請求、業(yè)務還原請求或者安全性檢測請求等,查找流列表中對應于該業(yè)務標識的業(yè)務流,并在所查找到的業(yè)務流信息中設置跟蹤標識,從而能夠存儲該業(yè)務流中的每個數(shù)據(jù)報文。對于存儲的數(shù)據(jù)報文,業(yè)務流跟蹤模塊可以實時地進行特征分析,提取這些數(shù)據(jù)報文對應業(yè)務流的特征信息,并將提取的特征信息與業(yè)務跟蹤特征庫模塊中的跟蹤特征進行匹配,確定是否業(yè)務流結(jié)束,或者該業(yè)務流是否出現(xiàn)錯誤,如果確定業(yè)務流結(jié)束或出現(xiàn)錯誤,則刪除流列表中對應業(yè)務流的信息,或者將業(yè)務流結(jié)束或錯誤的信息通知給流列表處理模塊,由流列表處理模塊刪除對應的業(yè)務流的信息。
此外,對于存儲了數(shù)據(jù)報文的業(yè)務流,業(yè)務流跟蹤模塊還可以根據(jù)上述請求和存儲的數(shù)據(jù)報文進行報文安全性檢測,或進行報文還原。這些還原和安全性檢測屬于對跟蹤保存的數(shù)據(jù)報文進行的一個后處理過程,可以作為可選處理功能模塊。對于視音頻等數(shù)據(jù)可以進行還原工作,例如對存儲的數(shù)據(jù)報文進行分析得到,對應業(yè)務流中包括視音頻傳輸,且采用的是H.263協(xié)議,則按照該協(xié)議的要求提取所有相關(guān)業(yè)務流中的視音頻數(shù)據(jù),然后按照H.263視音頻解碼方法將傳輸?shù)囊曇纛l流還原出來。而對于郵件等,由于企業(yè)交互的郵件很多,方便起見則可以進行報文安全性檢測。報文安全性檢測就是深入到報文內(nèi)容中,進行檢查是否有不允許外傳的敏感信息,是否攜帶病毒等等的檢測。
一些業(yè)務流,稱為父業(yè)務流在交互過程中可能需要重新發(fā)起新的連接,我們稱為子業(yè)務流。比如一個基于SIP協(xié)議的VOIP軟件,在進行呼叫連接時使用SIP信令協(xié)議,而進行通話過程中使用的媒體流協(xié)議是RTP協(xié)議,那么我們稱后者為前者的一個子業(yè)務流。如果被跟蹤的業(yè)務流需要建立子業(yè)務流,則業(yè)務流跟蹤模塊根據(jù)跟蹤分析父業(yè)務流,確定出要建立的子業(yè)務流的相關(guān)信息,如業(yè)務五元組和應用層協(xié)議信息,并將該相關(guān)信息作為識別特征反饋給業(yè)務識別特征庫模塊,用于子業(yè)務流的識別,則業(yè)務流識別模塊在對子業(yè)務流進行識別時,能夠根據(jù)業(yè)務時別特征庫模塊中業(yè)務流跟蹤模塊反饋的識別特征,識別成功,從而能夠保證業(yè)務識別的連貫性。此外,業(yè)務流跟蹤模塊還在流列表處理模塊中,增加的子業(yè)務流的信息中設置跟蹤標識,則由于父業(yè)務流和子業(yè)務流均被跟蹤,業(yè)務跟蹤處理模塊在進行特征分析時,可以結(jié)合上述父業(yè)務流和子業(yè)務流進行特征分析,還能夠保證跟蹤分析的連貫性,從而保持了同一業(yè)務的連貫性。
為了提高效率,業(yè)務跟蹤模塊可以不對每個數(shù)據(jù)報文進行跟蹤,而是有選擇性地對業(yè)務中重要性的報文進行跟蹤檢測,這個方法是可選的。這種方式主要是處理那些非連貫型的業(yè)務,比如聊天業(yè)務,業(yè)務跟蹤模塊進行特征分析后,確定出后續(xù)的業(yè)務內(nèi)容是一些聊天信息,在無特別需要的情況下,可以采取有的選擇性的對敏感信息進行跟蹤監(jiān)測。但是如果進行文件傳輸或者是視音頻業(yè)務則需要進行完整跟蹤,以便進行還原檢測。并且,業(yè)務流跟蹤模塊除了提供業(yè)務還原和報文安全性檢測功能以外,也可以增加其他的子處理模塊完成其他功能,這些功能也是可選的。
業(yè)務跟蹤特征庫模塊,存儲允許業(yè)務的跟蹤特征,可以為業(yè)務跟蹤模塊提供完整的跟蹤和還原決策。業(yè)務跟蹤特征庫模塊提供對多個業(yè)務進行連續(xù)性分析的跟蹤特征,將從存儲的業(yè)務流數(shù)據(jù)報文種提取的特征與這些跟蹤特征進行匹配,能夠確定該業(yè)務流具體是由哪個軟件哪項功能進行通信,并能夠提供它的還原方法給業(yè)務跟蹤處理模塊。如業(yè)務跟蹤模塊從存儲的業(yè)務流數(shù)據(jù)報文種提取的特征與業(yè)務跟蹤特征庫模塊中的特征信息進行匹配后,確定出當前的視音頻傳輸采用的是H.263協(xié)議,且業(yè)務跟蹤特征庫模塊中對應設置的還原方法提取所有相關(guān)業(yè)務流中的視音頻數(shù)據(jù),并按照H.263協(xié)議視音頻解碼方法進行還原,則業(yè)務跟蹤模塊提取所有相關(guān)業(yè)務流中的視音頻數(shù)據(jù),然后按照H.263視音頻解碼方法將傳輸?shù)囊曇纛l流還原出來。
以上通過實施例對通信網(wǎng)絡業(yè)務處理設備進行了詳細闡述。下面再通過實施例對通信網(wǎng)絡業(yè)務處理方法進行說明。
如圖5所示,通信網(wǎng)絡業(yè)務處理方法具體實施例包括如下步驟步驟501、提取發(fā)起業(yè)務流的特征信息;步驟502、根據(jù)所述業(yè)務流的特征信息判斷所述業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;步驟503、當業(yè)務流的信息與所述記錄的業(yè)務流的信息一致時,轉(zhuǎn)發(fā)該業(yè)務流。
較佳地,本發(fā)明實施例中,根據(jù)業(yè)務流的特征信息判斷業(yè)務流是否合法包括將業(yè)務流的特征信息與預先設置的識別特征進行匹配,如果匹配,則確定出該業(yè)務流合法;否則確定出該業(yè)務流非法。所述根據(jù)業(yè)務流的特征信息判斷所述業(yè)務流是否合法進一步還包括判斷該業(yè)務流是否由外部發(fā)起,如果是,則確定出該業(yè)務流非法;否則確定出該業(yè)務流合法。
上述提取的業(yè)務流特征信息可以是業(yè)務流的協(xié)議特征和/或該業(yè)務流中的特殊內(nèi)容特征。而步驟503中的業(yè)務流信息可以包括業(yè)務流的五元組信息和應用層協(xié)議,其中五元組信息具體包括源IP地址、目的IP地址、源端口、目的端口、傳輸協(xié)議類型。
較佳地,將業(yè)務流確定為允許通過的業(yè)務流可以包括在允許通過的業(yè)務流列表中記錄該業(yè)務流的源IP地址、目的IP地址、源端口、目的端口、傳輸協(xié)議和應用層協(xié)議類型;則當業(yè)務流的信息與所述記錄的業(yè)務流的信息一致時,轉(zhuǎn)發(fā)該業(yè)務流具體可以包括接收業(yè)務流的數(shù)據(jù)報文,從數(shù)據(jù)報文中提取源IP地址、目的IP地址、源端口、目的端口、傳輸協(xié)議和應用層協(xié)議類型,在當該提取的信息記錄在所述業(yè)務流列表中時,轉(zhuǎn)發(fā)該數(shù)據(jù)報文。
較佳地,本實施例中進一步可以包括確定需要跟蹤的業(yè)務流,并在所述業(yè)務流列表中記錄該業(yè)務流需要跟蹤;則上述轉(zhuǎn)發(fā)該數(shù)據(jù)報文之前或之后進一步包括該數(shù)據(jù)報文對應的業(yè)務流在所述業(yè)務流列表中被記錄為需要跟蹤時,存儲該數(shù)據(jù)報文;該方法進一步包括根據(jù)存儲的數(shù)據(jù)報文獲取業(yè)務流的特征信息,將該特征信息與設置的跟蹤特征庫模塊中的特征進行匹配,根據(jù)匹配結(jié)果確定出業(yè)務流結(jié)束或錯誤后,刪除所述業(yè)務流列表中該業(yè)務流的記錄。
較佳地,本實施例進一步可以包括根據(jù)所述存儲的數(shù)據(jù)報文對業(yè)務流進行報文安全性檢測或報文還原處理。
本實施例中進一步還可以包括在轉(zhuǎn)發(fā)業(yè)務流的最后一個數(shù)據(jù)報文后,再經(jīng)過預先設定的時間,刪除業(yè)務流列表中對應的業(yè)務流記錄,從而能夠防止業(yè)務流列表中的業(yè)務流記錄過為繁多,占用系統(tǒng)資源。
較佳地,本實施例中可以預先配置多個識別特征,在將提取的業(yè)務流特征信息與設置的識別特征進行匹配時,隨機或根據(jù)預先設定的規(guī)則,選擇所是,則執(zhí)行步驟608;否則執(zhí)行步驟612。
步驟608、對該數(shù)據(jù)報文進行協(xié)議識別,分析并提取業(yè)務特征信息,將提取的業(yè)務特征信息與業(yè)務識別特征庫模塊中的特征進行匹配,確定該數(shù)據(jù)報文對應的業(yè)務流是否為允許的業(yè)務流,如果是,執(zhí)行步驟609;否則,執(zhí)行步驟612。
這里以對業(yè)務流的第一個數(shù)據(jù)報文進行分析確定該業(yè)務流是否為允許的業(yè)務為例進行說明。在本實施例中,還可以允許一個業(yè)務流的前幾次交互,如交互五次,并從這五次交互的十個數(shù)據(jù)報文中提取業(yè)務流的特征信息。提取的業(yè)務流特征信息可以是業(yè)務流的協(xié)議特征和/或該業(yè)務流中的特殊內(nèi)容特征。比如瀏覽網(wǎng)頁用的是HTTP協(xié)議,或是使用某個軟件,該特殊內(nèi)容特征是在傳輸數(shù)據(jù)中包含的軟件名、版本信息等,可以將該軟件名、版本信息作為識別特征存儲在業(yè)務識別特征庫模塊中;則業(yè)務流識別模塊根據(jù)來自流列表處理模塊的數(shù)據(jù)報文提取對應的協(xié)議,并可以在前幾個報文的某個固定位置獲取軟件名、版本號信息,然后判斷業(yè)務識別特征庫模塊的識別特征中是否包括該獲取的軟件名、版本號信息,如果包括則識別成功,對應的業(yè)務流合法,為允許的業(yè)務流;否則,識別不成功,對應的業(yè)務流非法,不是允許的業(yè)務流。
此外,本實施例中,可以預先設置多個識別特征,則本步驟中,在將提取的業(yè)務流的特征信息與業(yè)務識別特征庫模塊的特征進行匹配時,可以選擇上述設置的多個識別特征中的一個或多個進行匹配。如配置的多個識別特征包括傳輸協(xié)議、軟件名和版本號。預先設定的規(guī)則為每次隨機選擇其中的兩個進行匹配,則在提取業(yè)務流的特征信息包括傳輸協(xié)議、軟件名和版本號中隨機選擇兩個與業(yè)務識別特征庫模塊中對應的兩個識別特征進行匹配。
步驟609、在流列表中增加對應的業(yè)務流信息,并轉(zhuǎn)發(fā)該數(shù)據(jù)報文,然后執(zhí)行步驟610。
步驟610、判斷該數(shù)據(jù)報文對應的業(yè)務流是否需要跟蹤,如果是,在步驟611,在上述增加的業(yè)務流信息中設置跟蹤標識,并存儲該數(shù)據(jù)報文,然述配置的多個識別特征中的一個或多個進行匹配。
以下再通過一個順序的流程,以企業(yè)內(nèi)部網(wǎng)與互聯(lián)網(wǎng)通信為例,對本實施例中一個業(yè)務流從建立到結(jié)束的流程進一步詳細說明。如圖6所示,本實施例中提供的通信網(wǎng)絡業(yè)務處理流程包括如下步驟步驟601、在企業(yè)網(wǎng)與互聯(lián)網(wǎng)連接處,接收數(shù)據(jù)報文,讀取數(shù)據(jù)報文中包括的業(yè)務流信息,即業(yè)務五元組和應用層協(xié)議信息,然后查詢流列表中是否包括對應的業(yè)務流信息,如果是,執(zhí)行步驟602;否則,執(zhí)行步驟607。
步驟602、判斷對應的業(yè)務流信息中是否包括跟蹤標識,如果是,執(zhí)行步驟603;否則執(zhí)行步驟604。
可以是在業(yè)務流建立的時候設置的,也可以是在業(yè)務流的生存期中根據(jù)跟蹤請求、報文安全性檢測請求或還原請求在對應的業(yè)務流信息中設置的。這些請求中包括需要跟蹤的業(yè)務流的信息,如應用層協(xié)議、目的IP等。
步驟603、存儲并轉(zhuǎn)發(fā)該數(shù)據(jù)報文,然后執(zhí)行步驟605。
這里,存儲的數(shù)據(jù)報文可以用于后續(xù)的報文還原或報文安全性檢測。具體進行報文還原或報文安全性檢測,可以根據(jù)不同業(yè)務的不同需要進行。如對于包括視音頻傳輸?shù)臉I(yè)務,可以進行報文還原;對于郵件、文件傳輸?shù)葮I(yè)務,可以進行報文安全性檢測。
步驟604、轉(zhuǎn)發(fā)該數(shù)據(jù)報文,然后返回執(zhí)行步驟601。
本步驟以及步驟603中轉(zhuǎn)發(fā)數(shù)據(jù)報文的動作,可以在執(zhí)行步驟602之前進行。
步驟605、根據(jù)記錄的數(shù)據(jù)報文對業(yè)務流進行跟蹤分析獲取特征信息,并將該獲得的特征信息與業(yè)務跟蹤特征庫模塊中的特征進行匹配,判斷是否業(yè)務流結(jié)束或業(yè)務流出現(xiàn)錯誤,如果是,則執(zhí)行步驟606;否則返回執(zhí)行步驟601。
步驟606、結(jié)束跟蹤,刪除流列表中對應的業(yè)務流信息,則對應業(yè)務流結(jié)束。
步驟607、判斷該數(shù)據(jù)報文是否屬于由企業(yè)內(nèi)部網(wǎng)發(fā)起的業(yè)務流,如果后執(zhí)行步驟605。
本步驟中,可以根據(jù)預先設定的需要跟蹤的信息,如應用層協(xié)議、目的IP等,或根據(jù)跟蹤請求、還原請求、報文安全性檢測請求中的信息,來確定需要跟蹤的業(yè)務流。
步驟612、丟棄該數(shù)據(jù)報文,對應業(yè)務流結(jié)束。
本實施例中,可以通過對所有業(yè)務流進行跟蹤,即在流列表的每個業(yè)務流信息中均設置跟蹤標識,或者均不設置跟蹤標識,而通過默認的方式,記錄所有業(yè)務流的數(shù)據(jù)報文,從而可以在跟蹤分析時根據(jù)業(yè)務流結(jié)束或錯誤的信息刪除流列表中對應的業(yè)務流信息。此外,本實施例中也可以設置業(yè)務流的老化時間,則當轉(zhuǎn)發(fā)一個業(yè)務流的最后一個數(shù)據(jù)報文后,經(jīng)過該老化時間,則刪除流列表中記錄的該業(yè)務流的信息。
通過本發(fā)明上述提供的通信網(wǎng)絡業(yè)務處理設備和通信網(wǎng)絡業(yè)務處理方法,能夠?qū)T工上網(wǎng)進行有效地進行監(jiān)督,提高工作效率和防止人為的惡意破壞;在不影響正常性能的情況下,能夠有效地進行安全控制,防止間諜軟件或者是惡意軟件竊取企業(yè)內(nèi)部機密信息,并防止企業(yè)外部網(wǎng)攻擊者利用已建立的通道對企業(yè)網(wǎng)絡進行攻擊滲透。
以上是對本發(fā)明具體實施例的說明,在具體的實施過程中可對本發(fā)明的方法進行適當?shù)母倪M,以適應具體情況的具體需要。因此可以理解,根據(jù)本發(fā)明的具體實施方式
只是起示范作用,并不用以限制本發(fā)明的保護范圍。
權(quán)利要求
1.一種通信網(wǎng)絡業(yè)務處理方法,其特征在于,該方法包括提取發(fā)起業(yè)務流的特征信息,根據(jù)所述業(yè)務流的特征信息判斷所述業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;當業(yè)務流的信息與所述記錄的業(yè)務流的信息一致時,轉(zhuǎn)發(fā)該業(yè)務流。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)所述業(yè)務流的特征信息判斷所述業(yè)務流是否合法包括將所述業(yè)務流特征信息與預先設置的識別特征進行匹配,如果匹配,則確定出該業(yè)務流合法;否則確定出該業(yè)務流非法。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述業(yè)務流的特征信息為業(yè)務流協(xié)議特征和/或業(yè)務流的特殊內(nèi)容特征。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述根據(jù)業(yè)務流的特征信息判斷所述業(yè)務流是否合法進一步包括判斷該業(yè)務流是否由外部發(fā)起,如果是,則確定出該業(yè)務流非法;否則確定出該業(yè)務流合法。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述記錄該業(yè)務流的信息包括在業(yè)務流列表中記錄該業(yè)務流的源IP地址、目的IP地址、源端口、目的端口、傳輸協(xié)議類型和應用層協(xié)議類型;則所述當業(yè)務流的信息與所述記錄的業(yè)務流的信息一致時,轉(zhuǎn)發(fā)該業(yè)務流包括接收業(yè)務流的數(shù)據(jù)報文,從數(shù)據(jù)報文中提取源IP地址、目的IP地址、源端口、目的端口、傳輸協(xié)議和應用層協(xié)議類型,當該提取的信息在所述業(yè)務流列表中有相一致的記錄時,轉(zhuǎn)發(fā)該數(shù)據(jù)報文。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,該方法進一步包括確定需要跟蹤的業(yè)務流,并在所述業(yè)務流列表中記錄該業(yè)務流需要跟蹤;所述轉(zhuǎn)發(fā)該數(shù)據(jù)報文之前或之后進一步包括當該數(shù)據(jù)報文對應的業(yè)務流在所述業(yè)務流列表中被記錄為需要跟蹤時,存儲該數(shù)據(jù)報文;該方法進一步包括根據(jù)存儲的數(shù)據(jù)報文獲取業(yè)務流的特征信息,將該特征信息與預先設置的跟蹤特征進行匹配,根據(jù)匹配結(jié)果確定出業(yè)務流結(jié)束或錯誤后,刪除所述業(yè)務流列表中該業(yè)務流的記錄。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,該方法進一步包括根據(jù)所述存儲的數(shù)據(jù)報文對業(yè)務流進行報文安全性檢測或報文還原處理。
8.根據(jù)權(quán)利要求5所述的方法,其特征在于,該方法進一步包括在轉(zhuǎn)發(fā)業(yè)務流的最后一個數(shù)據(jù)報文后,再經(jīng)過預先設定的時間,刪除所述業(yè)務流列表中對應的業(yè)務流記錄。
9.根據(jù)權(quán)利要求2所述的方法,其特征在于,預先配置多個識別特征,在所述將提取的業(yè)務流特征信息與預先設置的識別特征進行匹配時,隨機或根據(jù)預先設定的規(guī)則,選擇所述配置的多個識別特征中的一個或多個進行匹配。
10.一種通信網(wǎng)絡業(yè)務處理設備,其特征在于,該設備包括業(yè)務流識別模塊和業(yè)務流轉(zhuǎn)發(fā)模塊;所述業(yè)務流識別模塊用于提取發(fā)起業(yè)務流的特征信息,根據(jù)該提取的業(yè)務流特征信息判斷所述業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;所述業(yè)務流轉(zhuǎn)發(fā)模塊用于接收業(yè)務流,并在該業(yè)務的信息與所述業(yè)務流識別模塊記錄的業(yè)務流的信息一致時,轉(zhuǎn)發(fā)該業(yè)務流。
11.根據(jù)權(quán)利要求10所述的設備,其特征在于,所述業(yè)務流識別模塊中包括第一業(yè)務流識別模塊,和/或,第二業(yè)務流識別模塊和識別特征庫模塊;所述第一業(yè)務流識別模塊用于根據(jù)業(yè)務流是否由內(nèi)部發(fā)起確定該業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;所述第二業(yè)務流識別模塊用于將提取的業(yè)務流特征信息與識別特征庫模塊中存儲的識別特征進行匹配,根據(jù)匹配結(jié)果確定該業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;所述識別特征庫模塊用于存儲識別特征。
12.根據(jù)權(quán)利要求10所述的設備,其特征在于,該設備中進一步包括流列表處理模塊、業(yè)務流跟蹤模塊和業(yè)務跟蹤特征庫模塊;所述流列表處理模塊用于記錄所述業(yè)務流識別模塊確定出的合法業(yè)務流的信息;所述業(yè)務流跟蹤模塊用于確定所述流列表處理模塊中需要跟蹤的業(yè)務流,獲取所述需要跟蹤的業(yè)務流,并從獲取的業(yè)務流中提取跟蹤特征信息,在根據(jù)該提取的跟蹤特征信息和業(yè)務跟蹤特征庫模塊中存儲的跟蹤特征,確定出業(yè)務流結(jié)束或錯誤后,刪除所述流列表處理模塊中該業(yè)務流的記錄;所述跟蹤特征庫模塊用于存儲跟蹤特征。
13.根據(jù)權(quán)利要求12所述的設備,其特征在于,該設備進一步包括報文安全性檢測模塊和/或還原模塊;所述報文安全性檢測模塊用于從所述業(yè)務流跟蹤模塊獲取所述需要跟蹤的業(yè)務流,并對獲取的業(yè)務流進行報文安全性檢測;所述還原模塊用于從所述業(yè)務流跟蹤模塊中獲取所述需要跟蹤的業(yè)務流,并對獲取的業(yè)務流進行還原處理。
全文摘要
本發(fā)明公開了一種通信網(wǎng)絡業(yè)務處理方法,包括提取發(fā)起業(yè)務流的特征信息;根據(jù)所述業(yè)務流的特征信息判斷所述業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;當業(yè)務流的信息與所述記錄的業(yè)務流的信息一致時,轉(zhuǎn)發(fā)該業(yè)務流。本發(fā)明還公開了一種通信網(wǎng)絡業(yè)務處理設備,包括業(yè)務流識別模塊和業(yè)務流轉(zhuǎn)發(fā)模塊;所述業(yè)務流識別模塊用于提取新發(fā)起業(yè)務流的特征信息,根據(jù)該提取的業(yè)務流特征信息判斷所述業(yè)務流是否合法,如果合法則記錄該業(yè)務流的信息;所述業(yè)務流轉(zhuǎn)發(fā)模塊用于接收業(yè)務流,并在該業(yè)務的信息與所述業(yè)務流識別模塊記錄的業(yè)務流的信息一致時,轉(zhuǎn)發(fā)該業(yè)務流。
文檔編號H04L29/06GK1988447SQ20061017003
公開日2007年6月27日 申請日期2006年12月22日 優(yōu)先權(quán)日2006年12月22日
發(fā)明者劉利鋒, 鄭志彬, 徐婧, 趙凱 申請人:華為技術(shù)有限公司, 北京郵電大學