一种基于云的端到端流量内容检测系统和检测方法

一种基于云的端到端流量内容检测系统和检测方法
【专利摘要】本发明提供一种基于云的端到端流量内容检测系统和检测方法。该系统包括数据请求端，用于向被请求端发送请求以及请求传输到被请求端的内容数据；云端检测平台，用于将解析得到的域名对应的IP地址，通过注册记录表协同配置进行转发，将数据请求端的请求以及请求传输到被请求端的内容数据，转发到进行流量内容检测威胁过滤，并将通过过滤的请求和请求传输到被请求端的传输内容数据，转发给被请求端；被请求端，用于接收云端检测平台转发过来的通过威胁过滤后的请求端请求和请求传输到被请求端的传输内容数据，进行请求传输内容数据操作处理。其既保证了用户进行端到端流量内容检测的安全性，又提高了端到端流量内容检测的利用效率。
【专利说明】一种基于云的端到端流量内容检测系统和检测方法
【技术领域】
[0001]本发明涉及内容检测【技术领域】，特别是涉及一种基于云的端到端流量内容检测系统和检测方法。
【背景技术】
[0002]在端到端的流量内容检测中，数据从一端(如客户端)通向另一端(如服务器或者另一客户端)的过程中，通过端到端流量内容检测识别指定协议，从指定协议中提取出数据内容与威胁指纹进行比较，从而发现是否命中威胁指纹，以命中内容判断数据流量中包含的威胁分类。
[0003]一般地，可以将端到端流量内容检测系统物理或者逻辑串入两个传输端(一端到另一端)之间实现端到端传输数据的流量内容检测，实现威胁过滤。
[0004]传统上，端到端的流量内容检测系统可以是基于企业内部局域网而设置组建的，其优点是企业完全对基础设置本地化管理，性能潜力和私密性较好，缺点在于资金投入巨大，运行维护成本巨大，运行维护人员技术要求很高，而利用率却十分低下，不适合于实际应用。
[0005]为了解决基于企业内部局域网的端到端的流量内容检测系统所带来的缺陷，人们进行对端到端的流量内容检测系统进行了改进，提出了基于集中托管的端到端的流量内容检测系统，该系统使得企业可以减少对基础设施的投入，使用租用设备或者租用服务的方法来实现端到端的流量内容检测，其优点在于降低了成本，但该系统却存在着比较多的问题，包括租用设备时，设备的利用率基于企业局域网的系统利用率相同，总体成本并未降低，而租用服务的方法，用户很难得到定制化的服务，无法获得独立的管理权限，并且在实现地域方法，需要将公司基础建设在有威胁过滤功能的IDC (Internet Data Center,互联网数据中心)，同时加大了托管难度，而且其与其他用户一起共享空间和网络，存在着潜在的不安全因素，有可能在泄密。
[0006]综上所述，现有技术中的端到端的流量内容检测系统，存在着成本过高，不实用，效率不高，又存在安全性的问题，无法满足端到端检测的需要。

【发明内容】

[0007]本发明为了解决为了有效地解决现有技术中成本过高，不实用、不安全等各种缺点，而提供的一种基于云的端到端流量内容检测系统和检测方法。
[0008]基于此，有必要提供一种基于云的端到端流量内容检测系统，包括由至少一个作为端到端流量内容数据检测的云端服务器组成的一云端检测平台，至少一请求进行流量内容数据操作的数据请求端，以及至少一对所述流量内容数据进行操作的被请求端；
所述数据请求端，用于向被请求端发送请求以及请求传输到被请求端的内容数据；所述云端检测平台，用于根据被请求端注册域名地址进行域名服务解析，将解析得到的域名对应的IP地址，通过注册记录表协同配置进行转发，将数据请求端的请求以及请求传输到被请求端的内容数据，转发到云端检测平台进行流量内容检测，进行威胁过滤，并将通过过滤的请求端请求和请求传输到被请求端的传输内容数据，转发给被请求端；
所述被请求端，用于接收云端检测平台转发过来的通过威胁过滤后的请求端请求和请求传输到被请求端的传输内容数据，进行请求传输内容数据操作处理。
[0009]较优地，所述云端检测平台，包括注册生成模块，域名解析模块，第一转发查找模块，流量内容检测模块，第二转发查找模块，接收转发模块，其中:
所述注册生成模块，用于在被请求端向云端检测平台注册时，根据被请求端的注册信息生成注册记录表，并将注册记录表存储，同时将注册记录表反馈给被请求端；
域名解析模块，用于在请求端向通过注册域名向被请求端发出请求时，根据接收到的注册域名，解析得到注册域名相应的域名IP地址；
所述第一转发查找模块，用于根据域名IP地址，通过存储的注册记录表，查找到相应的云端IP地址，根据云端IP地址进行域名主机头识别，然后将请求端的请求及请求传输到被请求端的内容数据，以及注册记录表，根据域名主机头识别结果，转发到流量内容检测模块；
所述流量内容检测模块，用于对接收到的请求端的请求内容，以及请求上传到被请求端的内容数据，进行流量内容检测过滤；如果过滤未通过，则将请求端请求及内容数据丢弃，向请求端返回未通过信息，检测未通过，请求及内容数据丢弃；如果过滤通过，则将过滤后的请求端请求，以及请求上传到被请求端的内容数据和注册记录表传输到第二查找转发模块；
第二转发查找模块，用于根据云端二级域名，解析并得到相应的云端二级IP地址，根据云端二级IP地址转发过滤后的请求端请求、以及请求上传到被请求端的内容数据，云端二级域名和标记特征码到被请求端；或者根据云端二级IP地址和注册记录表记录，得到云端检测平台与被请求端的专用网络通信地址，通过网络通信地址将过滤后的请求端请求、以及请求上传到被请求端的内容数据，云端二级域名和标记特征码到被请求端；
所述接收转发模块，用于接收从被请求端反馈回来的应答数据，根据请求端请求内容中的请求端地址，将应答数据转发回请求端。
[0010]较优地，所述接收转发模块，还用于在将应答数据转发回请求端前，将应答数据转发到流量内容检测模块进行过滤；并接收流量内容检测模块过滤通过的应答数据；
所述流量内容检测模块，还用于对接收转发模块转发来的应答数据进行过滤；如过滤通过则转发回接收转发模块；否则将应答数据丢弃，向接收转发模块返回未通过信息，检测未通过，请求及内容数据丢弃。
[0011 ] 较优地，所述被请求端，包括注册模块，第三转发模块，请求操作模块，以及应答模块，其中:
所述注册模块，用于向云端检测平台发出注册请求，提交注册信息，并接收存储云端检测平台注册成功后的注册记录表；
所述第三转发模块，用于根据接收到的云端二级域名和注册记录表，查找到被请求端的二级域名，并解析得到与请求端请求相应的被请求端二级IP地址；并根据被请求端二级IP地址，将相应的请求端请求，以及请求上传到被请求端的内容数据,转发到请求操作模块； 所述请求操作模块，用于根据请求端请求，以及请求上传到被请求端的内容数据，进行请求上传内容数据操作处理；
所述应答模块，用于在完成请求上传内容数据的操作后，根据请求端请求，获取反馈回数据请求端的应答数据，根据标记特征码解码得到云端IP地址和/或云端二级域名和/或网络通信地址，将所述获取的应答数据转发到云端检测平台；或者根据云端检测平台与被请求端的网络通信地址，将所述获取的应答数据转发到云端检测平台。
[0012]此外，还有必要提供一种基于云的端到端流量内容检测方法，包括如下步骤:
步骤S100，数据请求端向被请求端发送请求以及请求上传到被请求端的内容数据； 步骤S200，云端检测平台根据被请求端注册域名地址进行域名服务解析，将解析得到
的域名对应的IP地址，通过注册记录表协同配置进行转发，将数据请求端的请求以及请求上传到被请求端的内容数据，转发进行流量内容检测威胁过滤，并将通过过滤的请求端请求和请求上传到被请求端的上传内容数据，转发给被请求端；
步骤S300，被请求端接收云端检测平台转发过来的通过威胁过滤的请求端请求和请求上传到被请求端的上传内容数据，进行请求上传内容数据操作处理。
[0013]较优地，在步骤S300之后，还包括如下步骤:
步骤S400，被请求端在完成请求上传内容数据的操作后，根据请求端请求，获取反馈回数据请求端的应答数据，将所述获取的应答数据转发到云端检测平台；
步骤S500，云端检测平台对被请求端反馈回来的应答数据进行流量内容检测，完成威胁过滤后，再转发到数据请求端。
[0014]较优地，所述步骤SlOO之前，还包括如下步骤:
步骤S101’，被请求端向云端检测平台发出注册请求，提交注册信息；
步骤S102’，云端检测平台在被请求端向云端检测平台注册时，根据被请求端的注册信息生成注册记录表，并将注册记录表存储，同时将注册记录表反馈给被请求端；
步骤S103’，被请求端接收存储云端检测平台注册成功后的注册记录表。
[0015]较优地，所述步骤S200包括如下步骤:
步骤S210，在请求端向通过注册域名向被请求端发出请求时，根据接收到的注册域名，解析得到注册域名相应的域名IP地址；
步骤S220，根据域名IP地址，通过存储的注册记录表，查找到相应的云端IP地址，根据云端IP地址进行域名主机头识别,然后将请求端的请求及请求上传到被请求端的内容数据，以及注册记录表，根据域名主机头识别结果转发以进行流量内容检测；
步骤S230，对接收到的请求端的请求内容，以及请求上传到被请求端的内容数据，进行流量内容检测过滤；如果过滤未通过，则将请求端请求及内容数据丢弃，向请求端返回未通过信息，检测未通过，请求及内容数据丢弃；如果过滤通过，则将过滤后的请求端请求，以及请求上传到被请求端的内容数据和注册记录表传输转发；
步骤S240，根据云端二级域名，解析并得到相应的云端二级IP地址，根据云端二级IP地址转发过滤后的请求端请求、以及请求上传到被请求端的内容数据，云端二级域名和标记特征码到被请求端；或者根据云端二级IP地址和注册记录表记录，得到云端检测平台与被请求端的网络通信地址，通过网络通信地址将过滤后的请求端请求、以及请求上传到被请求端的内容数据，云端二级域名和标记特征码到被请求端。[0016]较优地，所述步骤S300，包括如下步骤:
步骤S310，根据接收到的云端检测平台转发的云端二级域名，以及注册记录表，查找到与请求端请求相应的被请求端二级IP地址；并根据被请求端二级IP地址,将相应的请求端请求，以及请求上传到被请求端的内容数据，转发以进行请求操作处理；
步骤S320，根据请求端请求，以及请求上传到被请求端的内容数据，进行请求上传内容数据操作处理。
[0017]较优地，所述步骤S400包括如下步骤:
步骤S410，在完成请求上传内容数据的操作后，根据请求端请求，获取反馈回数据请求端的应答数据，根据标记特征码解码得到云端IP地址和/或云端二级域名和/或网络通信地址，将所述获取的应答数据转发到云端检测平台；或者根据云端检测平台与被请求端的网络通信地址，将所述获取的应答数据转发到云端检测平台。
[0018]较优地，所述步骤S500包括如下步骤:
步骤S510，在将应答数据转发回请求端前，将应答数据转发进行流量内容检测过滤；如过滤通过则转发回请求端；否则将应答数据丢弃，向请求端返回未通过信息，检测未通过，请求及内容数据丢弃。
[0019]本发明的有益效果:本发明的基于云的端到端流量内容检测系统和检测方法，通过部署在数据中心的云端，进行端到端的流量内容检测威胁过滤，实现了真正意义上的计算资源池化和共享，利用率高，总体成本少，提供了高效的威胁过滤模式和服务能力的基于云的端到端流量内容检测，其有效地保护了企业网站、数据库、服务器甚至用户主机(端到端)的流量内容检测，优化了系统的成本，提高了系统的利用率，减少了成本和安全性方面的问题，既保证了用户进行端到端流量内容检测的安全性，又提高了端到端流量内容检测的利用效率。
【专利附图】

【附图说明】
[0020]下面结合附图和实施例对本发明进一步详细说明:
图1是本发明实施例基于云的端到端流量内容检测系统结构示意图。
[0021]图2是本发明实施例基于云的端到端流量内容检测方法流程图。
【具体实施方式】
[0022]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明的基于云的端到端流量内容检测系统和检测方法进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0023]本发明实施例的一种基于云的端到端流量内容检测系统，包括由至少一个作为端到端流量内容数据检测的云端服务器组成的一云端检测平台200，至少一请求进行流量内容数据操作的数据请求端100，以及至少一对所述流量内容数据进行操作的被请求端300。
[0024]所述数据请求端100、云端检测平台200、被请求端300相互连接，在数据请求端100向被请求端300请求内容数据时,根据被请求端300注册域名地址，通过被请求端300注册记录表协同配置进行基于域名的转发(CNAME, Canonical Name record),将数据请求端100的请求以及请求传输(或上传)的传输内容数据，转发到云端检测平台200进行流量内容检测,完成威胁过滤后,再转发到被请求端300。
[0025]进一步地，所述被请求端300根据数据请求端100的请求，获取反馈回数据请求端100的应答数据后，通过所述注册记录表将所述获取的应答数据转发到云端检测平台200进行流量内容检测，完成威胁过滤后，再转发到数据请求端100。
[0026]所述数据请求端100，可以是各种可以发送数据的客户端，如个人电脑、智能手机、掌上电脑(PAD)，也可以各种服务器端，如各种连接多个客户端的服务器、小型计算机或者大型计算机等，其能够实现将所述请求及请求传输的内容数据通过各种网络，如局域网、无线通信网络、国际互联网或者物联网等，发送到所述被请求端300。
[0027]所述被请求端300，可以是各种可接收所述请求及请求传输的内容数据的各种客户端或者服务端，如个人电脑、智能手机、掌上电脑(PAD)，也可以各种服务器端，如各种连接多个客户端的服务器、小型计算机或者大型计算机等，其能够实现接收通过各种网络，如局域网、无线通信网络、国际互联网或者物联网等的请求以及请求传输的内容数据。
[0028]进一步地，所述被请求端300还可以根据请求端请求，获取所述应答数据,反馈回请求端。
[0029]作为一种可实施方式，本发明实施例的基于云的端到端流量内容检测系统，所述数据请求端100，用于向被请求端300发送请求以及请求传输到被请求端300的内容数据。
[0030]所述云端检测平台200，用于根据被请求端300注册域名地址进行域名服务解析，将解析得到的域名对应的IP地址，通过注册记录表协同配置进行转发(CNAME)，将数据请求端100的请求以及请求传输到被请求端300的内容数据，转发进行流量内容检测威胁过滤,并将通过过滤的请求端请求和请求传输到被请求端300的传输内容数据,转发给被请求端300 ；
所述被请求端300，用于接收云端检测平台200转发过来的通过威胁过滤后的请求端请求和请求传输到被请求端300的传输内容数据，进行请求传输内容数据操作处理。
[0031]较佳地，所述被请求端300，还用于在完成请求传输内容数据的操作后，根据请求端请求，获取反馈回数据请求端100的应答数据，将所述获取的应答数据转发到云端检测平台200 ；
所述云端检测平台200，还用于对被请求端300反馈回来的应答数据进行流量内容检测，完成威胁过滤后，再转发到数据请求端100。
[0032]本发明的基于云的端到端流量内容检测系统，根据注册记录表，利用用户域名转发(CNAME)，通过云端检测平台200实现将内容数据迁移到云计算的云端检测平台200进行威胁过滤，再发送到内容数据接收端进行安全的内容访问，从而提高效率，节约成本，保护了作为被请求端300的网站等的安全。
[0033]较佳地，所述云端检测平台200，包括注册生成模块201，域名解析模块202，第一转发查找模块203，流量内容检测模块204，第二转发查找模块205，接收转发模块206，其中:
所述注册生成模块201，用于在被请求端300向云端检测平台200注册时，根据被请求端300的注册信息生成注册记录表，并将注册记录表存储，同时将注册记录表反馈给被请求端300 ；
较佳地，所述被请求端的注册信息，除包括注册域名所需要的信息外，还包括但不限于进行内容流量威胁检测的分类内容，即注册信息包括但不限于被请求端注册保护的注册域名、域名服务器、以及保护的威胁分类，如病毒、Sql注入、跨站脚本，以及保护内容的方向
坐寸ο
[0034]所述注册记录表，包括被请求端300注册的注册域名，注册域名对应的域名IP(Internet Protocol)地址,域名IP地域对应的云端检测平台200的云端IP地址,和/或注册域名的对应云端二级域名，云端二级域名对应的云端二级IP地址,云端二级域名对应的被请求端二级域名，被请求端二级域名对应的被请求端二级IP地址；
被请求端300向云端检测平台200注册时，根据被请求端300的注册信息，包括但不限于被请求端300注册的注册域名，分配生成相应的域名IP地址，以及生成域名IP地域对应的云端检测平台200的云端IP地址；并根据注册域名生成对应云端二级域名，根据云端二级域名生成对应的被请求端二级域名；进一步根据云端二级域名和流量内容检测模块生成对应的云端二级IP地址，根据被请求端二级域名生成对应的被请求端二级IP地址；
域名解析模块202，用于在数据请求端100向通过注册域名向被请求端300发出请求时，根据接收到的注册域名，解析得到注册域名相应的域名IP地址；
根据注册域名解析得到相应的IP地址是一种现有技术，因此，在本发明实施例中，不再 详细描述。
[0035]所述第一转发查找模块203，用于根据域名IP地址，通过存储的注册记录表，查找到相应的云端IP地址,根据云端IP地址进行域名主机头识别,然后将请求端的请求及请求传输到被请求端300的内容数据，以及注册记录表，根据域名主机头识别结果，转发到流量内容检测模块204 ；
所述流量内容检测模块204，用于对接收到的请求端的请求内容，以及请求上传到被请求端300的内容数据，进行流量内容检测过滤；如果过滤未通过,则将请求端请求及内容数据丢弃，向请求端返回未通过信息，检测未通过，请求及内容数据丢弃；如果过滤通过，则将过滤后的请求端请求，以及请求上传到被请求端300的内容数据和注册记录表传输到第二查找转发模块。
[0036]其中，对内容数据进行流量内容检测过滤是一种现有技术，因此，在本发明实施例中，不再 详细描述。
[0037]第二转发查找模块205，用于根据云端二级域名，解析并得到相应的云端二级IP地址,根据云端二级IP地址转发过滤后的请求端请求、以及请求上传到被请求端300的内容数据，云端二级域名和标记特征码到被请求端300 ;或者根据云端二级IP地址和注册记录表记录，得到云端检测平台200与被请求端300的专用网络通信地址，通过网络通信地址将过滤后的请求端请求、以及请求上传到被请求端300的内容数据，云端二级域名和标记特征码到被请求端300 ；
所述网络通信地址可以是根据云端检测平台200的云端二级IP地址和注册记录表生成的云端检测平台200与被请求端300之间通信的专用通信网络地址，其可以是云端检测平台200与被请求端300之间专用光通信网络地址、国际互联网专用通信网络地址、无线通信网(如WCDMA, TD-SCDMA, CDMA2000等)专用通信网络地址等。
[0038]所述标记特征码为根据云端检测平台200的云端IP地址和/或云端二级IP地址和/或云端检测平台200与被请求端300的专用网络通信地址，生成的标记该请求及请求上传内容数据由该云端检测平台200发送到被请求端300的具有标记作用的具有唯一性的特征码。
[0039]根据IP地址生成标记特征码，以及根据标记特征码进行解码，得到IP地址，是一种现有技术，因此，在本发明实施例中，不再一一详细描述。
[0040]所述接收转发模块206，用于接收从被请求端300反馈回来的应答数据，根据请求端请求内容中的请求端地址，将应答数据转发回请求端。
[0041]较佳地，所述接收转发模块206，还用于在将应答数据转发回请求端前，将应答数据转发到流量内容检测模块进行过滤；并接收流量内容检测模块过滤通过的应答数据；
所述流量内容检测模块204，还用于对接收转发模块转发来的应答数据进行过滤；如过滤通过则转发回接收转发模块；否则将应答数据丢弃，向接收转发模块返回未通过信息，检测未通过，请求及内容数据丢弃。
[0042]较佳地，所述被请求端300，包括注册模块301，第三转发模块302，请求操作模块303，以及应答模块304，其中:
所述注册模块301，用于向云端检测平台200发出注册请求，提交注册信息，并接收存储云端检测平台200注册成功后的注册记录表；
所述注册信息为被请求端300在注册时，向云端检测平台200提交的人为设定的被请求端信息。
[0043]所述第三转发模块302，用于根据接收到的云端二级域名和注册记录表，查找到被请求端的二级域名，并解析得到与请求端请求相应的被请求端二级IP地址；并根据被请求端二级IP地址,将相应的请求端请求，以及请求上传到被请求端300的内容数据，转发到请求操作模块303 ；
所述请求操作模块304，用于根据请求端请求，以及请求上传到被请求端300的内容数据，进行请求上传内容数据操作处理。
[0044]对请求上传内容数据操作处理，包括上传并存储某种数据库内容数据，以及修改、更新某些内容数据等，其是一种现有技术，因此，在本发明实施例中，不再一一详细描述。
[0045]所述应答模块405，用于在完成请求上传内容数据的操作后，根据请求端请求，获取反馈回数据请求端100的应答数据，根据标记特征码解码得到云端IP地址和/或云端二级域名和/或网络通信地址，将所述获取的应答数据转发到云端检测平台200 ;或者根据云端检测平台200与被请求端300的网络通信地址，将所述获取的应答数据转发到云端检测平台200。
[0046]本发明实施例的基于云的端到端流量内容检测系统，通过一云端检测平台200，进行端到端流量内容检测，保护了作为被请求端300的各种网站，进行集中检测提高利用率和减少投入成本，与数据请求端100、被请求端300的协同配置进行威胁过滤，从而实现支持云端的多并发请求，支持较多的服务用户，并隔离不同用户间数据资源(被请求端的数据)，保障被请求端资源数据安全，甚至保护请求端的数据安全。
[0047]
相应地，本发明实施例还提供一种基于云的端到端流量内容检测方法，包括如下步
骤:
步骤S100，数据请求端100向被请求端300发送请求以及请求上传到被请求端300的内容数据；
步骤S200，云端检测平台200根据被请求端300注册域名地址进行域名服务解析，将解析得到的域名对应的IP地址，通过注册记录表协同配置进行转发(CNAME)，将数据请求端100的请求以及请求上传到被请求端300的内容数据，转发进行流量内容检测威胁过滤，并将通过过滤的请求端请求和请求上传到被请求端300的上传内容数据，转发给被请求端300 ；
步骤S300，被请求端300接收云端检测平台200转发过来的通过威胁过滤的请求端请求和请求上传到被请求端300的上传内容数据，进行请求上传内容数据操作处理。
[0048]
较佳地，作为一种可实施方式，在步骤S300之后，还包括如下步骤:
步骤S400，被请求端300在完成请求上传内容数据的操作后，根据请求端请求，获取反馈回数据请求端100的应答数据，将所述获取的应答数据转发到云端检测平台200 ；
步骤S500，云端检测平台200对被请求端300反馈回来的应答数据进行流量内容检测，完成威胁过滤后，再转发到数据请求端100。
[0049]
较佳地，作为一种可实施方式，所述步骤SlOO之前，还包括如下步骤:
步骤S101’，被请求端300向云端检测平台200发出注册请求，提交注册信息；
步骤S102’，云端检测平台200在被请求端300向云端检测平台200注册时，根据被请求端300的注册信息生成注册记录表，并将注册记录表存储，同时将注册记录表反馈给被请求端300 ；
步骤S103’，被请求端300接收存储云端检测平台200注册成功后的注册记录表。
[0050]
较佳地，作为一种可实施方式，所述步骤S200包括如下步骤:
步骤S210，在请求端向通过注册域名向被请求端300发出请求时，根据接收到的注册域名，解析得到注册域名相应的域名IP地址；
步骤S220，根据域名IP地址，通过存储的注册记录表，查找到相应的云端IP地址，根据云端IP地址进行域名主机头识别,然后将请求端的请求及请求上传到被请求端300的内容数据，以及注册记录表，根据域名主机头识别结果转发以进行流量内容检测；
步骤S230，对接收到的请求端的请求内容，以及请求上传到被请求端300的内容数据，进行流量内容检测过滤；如果过滤未通过，则将请求端请求及内容数据丢弃，向请求端返回未通过信息，检测未通过，请求及内容数据丢弃；如果过滤通过，则将过滤后的请求端请求，以及请求上传到被请求端300的内容数据和注册记录表传输转发；
步骤S240，根据云端二级域名，解析并得到相应的云端二级IP地址，根据云端二级IP地址转发过滤后的请求端请求、以及请求上传到被请求端300的内容数据，云端二级域名和标记特征码到被请求端300 ;或者根据云端二级IP地址和注册记录表记录，得到云端检测平台200与被请求端300的网络通信地址，通过网络通信地址将过滤后的请求端请求、以及请求上传到被请求端300的内容数据，云端二级域名和标记特征码到被请求端300。
[0051]
较佳地，所述步骤S300，包括如下步骤:步骤S310，根据接收到的云端检测平台200转发的云端二级域名，以及注册记录表，查找到与请求端请求相应的被请求端二级IP地址；并根据被请求端二级IP地址,将相应的请求端请求，以及请求上传到被请求端300的内容数据，转发以进行请求操作处理；
步骤S320，根据请求端请求，以及请求上传到被请求端300的内容数据，进行请求上传内容数据操作处理。
[0052]较佳地，作为一种可实施方式，所述步骤S400包括如下步骤:
步骤S410，在完成请求上传内容数据的操作后，根据请求端请求，获取反馈回数据请求端100的应答数据，根据标记特征码解码得到云端IP地址和/或云端二级域名和/或网络通信地址，将所述获取的应答数据转发到云端检测平台200 ;或者根据云端检测平台200与被请求端300的网络通信地址，将所述获取的应答数据转发到云端检测平台200。
[0053]作为一种可实施方式，所述步骤S500包括如下步骤:
步骤S510，在将应答数据转发回请求端前，将应答数据转发进行流量内容检测过滤；如过滤通过则转发回请求端；否则将应答数据丢弃，向请求端返回未通过信息，检测未通过，请求及内容数据丢弃。
[0054]下面通过一实施例进一步说明本发明的基于云的端到端流量内容检测方法，包括如下步骤:
I )，被请求端300在云端检测平台200上进行域名注册，将被请求端300的注册域名在云端检测平台200进行域名注册，根据注册信息和注册域名(www.abc.com)生成该域名的对应的域名IP地址(www.abc.com a域名IP),并生成对应的云端IP地址(域名ΙΡ?云端IP)，根据注册域名生成云端二级域名(cloud, abc.com ),以及对应于该云端二级域名的云端二级IP地址(cloud, abc.coma云端二级IP),生成云端IP地址对应的云端二级IP地址(云端ΙΡ?云端二级IP地址)，以及根据云端二级域名生成对应的被请求端二级域名(abc.cloud, com),根据被请求端二级域名生成相应的被请求端二级IP地址(abc.cloud, coma被请求端二级IP地址)；
根据被请求端300注册的注册域名，注册域名对应的域名IP地址，域名IP地域对应的云端检测平台200的云端IP地址，注册域名的对应云端二级域名，云端二级域名对应的云端二级IP地址，云端二级域名对应的被请求端300 二级域名，被请求端二级域名对应的被请求端二级IP地址，生成注册记录表，存储在云端检测平台200，并反馈回被请求端进行存储。
[0055]2)，数据请求端100访问域名，在浏览器中输入所要访问的注册域名，如画.abc.com，发送到云端检测平台200，进入步骤3 ；
3)，云端检测平台200根据输入的域名，进行域名服务解析，获得域名IP地址，并利用CNAME将请求及请求上传内容数据转发到云端IP地址；
本发明实施例中，进行解析查询得到域名IP地址后，使用CNAME的方式，通过域名IP地址转发请求及请求上传内容数据到云端IP地址，如:www.abc.com a域名IP地址转变为www.abc.com ?云端IP地址；
云端检测平台200响应数据请求端100中CNAME的请求，并按照预先设置好的对应域名CNAME关系，传输本次会话到云端检测平台200的云端IP地址。
[0056]4)，将云端IP地址进行主机头识别，将请求及请求上传内容转发给流量内容数据检测系统，进行内容数据检测过滤。
[0057]5)，将接收到内容数据进行威胁内容过滤，根据结果判断是否属于威胁，并根据策略阻断请求或放行请求；并根据注册域名，利用注册记录表查找到云端二级域名，并解析得到云端二级IP地址，然后将通过过滤的请求和请求上传内容数据云端二级IP地址转发到代理服务器(接收转发模块)。
[0058]6)，代理服务器根据云端二级域名和注册记录表，查找得到相应的被请求端二级域名，转发通过过滤的请求和请求上传内容数据，云端二级域名和标记特征码到被请求端300 ;或者通过云端检测平台200和被请求端300之间的专用网络地址将通过过滤的请求和请求上传内容数据，云端二级域名和标记特征码转发到被请求端300。
[0059]7)被请求端300验证所访问的二级域名(cloud, abc.com)并根据注册记录表得到被请求端二级域名(abc.cloud, com),解析被请求端二级域名得到被请求端二级IP地址，将请求和请求上传数据转发给数据服务器(请求操作模块)，进行访问请求的响应，完成请求操作处理。
[0060]8)按已经被过滤后的请求内容反馈数据资源(应答数据)，根据标记特征码，解码得到云端IP地址和/或云端二级IP地址和/或专用网络通信地址，将反馈数据资源和标记特征码返还给代理服务器；
9)代理服务器得到数据资源和标记特征码后，根据标记特征码确认是由哪个用户源地址(请求端)访问而来，并将数据资源按该源地址转发给用户(请求端);或者对数据资源进行流量内容检测过滤通过后，再转发给用户(请求端)。
[0061]本发明实施例基于云的端到端流量内容检测系统和检测方法，利用域名转发访问实现了用户访问数据转发到云端检测平台200，并通过云端检测平台200进行端到端流量内容检测，提供了端到端流量内容检测的数据服务，并实际有效的连通了用户和所访问的资源，并在访问过程中实现了端到端流量内容检测，从而识别了威胁并可进行威胁过滤。同时，其充分发挥了云计算的优势，从而减少了数据中心端到端内容检测系统的成本，并且提高了端到端内容检测系统的利用率，减少了通过服务转嫁给企业的服务成本，避免了企业一次性投入成本过高,减少了企业总体运营中使用端到端流量内容检测系统的服务成本，进而可实现了可租用的SAAS (Software-as-a-service,软件运营)服务模式,可通过威胁流量的过滤服务带宽占用量来进行合理的计费管理，甚至可保护请求端用户。
[0062]以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种基于云的端到端流量内容检测系统，其特征在于，包括由至少一个作为端到端流量内容数据检测的云端服务器组成的一云端检测平台，至少一请求进行流量内容数据操作的数据请求端，以及至少一对所述流量内容数据进行操作的被请求端； 所述数据请求端，用于向被请求端发送请求以及请求传输到被请求端的内容数据； 所述云端检测平台，用于根据被请求端注册域名地址进行域名服务解析，将解析得到的域名对应的IP地址，通过注册记录表协同配置进行转发，将数据请求端的请求以及请求传输到被请求端的内容数据，转发进行流量内容检测威胁过滤，并将通过过滤的请求端请求和请求传输到被请求端的传输内容数据，转发给被请求端； 所述被请求端，用于接收云端检测平台转发过来的通过威胁过滤后的请求端请求和请求传输到被请求端的传输内容数据，进行请求传输内容数据操作处理。
2.根据权利要求1所述的基于云的端到端流量内容检测系统，其特征在于，所述云端检测平台，包括注册生成模块，域名解析模块，第一转发查找模块，流量内容检测模块，第二转发查找模块，接收转发模块，其中: 所述注册生成模块，用于在被请求端向云端检测平台注册时，根据被请求端的注册信息生成注册记录表，并将注册记录表存储，同时将注册记录表反馈给被请求端； 域名解析模块，用于在 请求端向通过注册域名向被请求端发出请求时，根据接收到的注册域名，解析得到注册域名相应的域名IP地址； 所述第一转发查找模块，用于根据域名IP地址，通过存储的注册记录表，查找到相应的云端IP地址，根据云端IP地址进行域名主机头识别，然后将请求端的请求及请求传输到被请求端的内容数据，以及注册记录表，根据域名主机头识别结果，转发到流量内容检测模块； 所述流量内容检测模块，用于对接收到的请求端的请求内容，以及请求上传到被请求端的内容数据，进行流量内容检测过滤；如果过滤未通过，则将请求端请求及内容数据丢弃，向请求端返回未通过信息，检测未通过，请求及内容数据丢弃；如果过滤通过，则将过滤后的请求端请求，以及请求上传到被请求端的内容数据和注册记录表传输到第二查找转发模块； 第二转发查找模块，用于根据云端二级域名，解析并得到相应的云端二级IP地址，根据云端二级IP地址转发过滤后的请求端请求、以及请求上传到被请求端的内容数据，云端二级域名和标记特征码到被请求端；或者根据云端二级IP地址和注册记录表记录，得到云端检测平台与被请求端的专用网络通信地址，通过网络通信地址将过滤后的请求端请求、以及请求上传到被请求端的内容数据，云端二级域名和标记特征码到被请求端； 所述接收转发模块，用于接收从被请求端反馈回来的应答数据，根据请求端请求内容中的请求端地址，将应答数据转发回请求端。
3.根据权利要求1或2所述的基于云的端到端流量内容检测系统，其特征在于，所述被请求端的注册信息，包括被请求端注册保护的注册域名、域名服务器、以及保护的威胁分类，如病毒、Sql注入、跨站脚本，以及保护内容的方向； 所述注册记录表包括被请求端注册的注册域名，注册域名对应的域名IP地址，域名IP地域对应的云端检测平台的云端IP地址，和/或注册域名的对应云端二级域名，云端二级域名对应的云端二级IP地址,云端二级域名对应的被请求端二级域名，被请求端二级域名对应的被请求端二级IP地址。
4.根据权利要求2所述的基于云的端到端流量内容检测系统，其特征在于，所述接收转发模块，还用于在将应答数据转发回请求端前，将应答数据转发到流量内容检测模块进行过滤；并接收流量内容检测模块过滤通过的应答数据； 所述流量内容检测模块，还用于对接收转发模块转发来的应答数据进行过滤；如过滤通过则转发回接收转发模块；否则将应答数据丢弃，向接收转发模块返回未通过信息，检测未通过，请求及内容数据丢弃。
5.根据权利要求1或2所述的基于云的端到端流量内容检测系统，其特征在于，所述被请求端，包括注册模块，第三转发模块，请求操作模块，以及应答模块，其中: 所述注册模块，用于向云端检测平台发出注册请求，提交注册信息，并接收存储云端检测平台注册成功后的注册记录表； 所述第三转发模块，用于根据接收到的云端二级域名和注册记录表，查找到被请求端的二级域名，并解析得到与请求端请求相应的被请求端二级IP地址；并根据被请求端二级IP地址，将相应的请求端请求，以及请求上传到被请求端的内容数据,转发到请求操作模块； 所述请求操作模块，用于根据请求端请求，以及请求上传到被请求端的内容数据，进行请求上传内容数据操作处理； 所述应答模块，用于在完成请求上传内容数据的操作后，根据请求端请求，获取反馈回数据请求端的应答数据，根据标记特征码解码得到云端IP地址和/或云端二级域名和/或网络通信地址，将所述获取的应答数据转发到云端检测平台；或者根据云端检测平台与被请求端的网络通信地址，将所述获取的应答数据转发到云端检测平台。
6.一种基于云的端到端 流量内容检测方法，其特征在于，包括如下步骤: 步骤S100，数据请求端向被请求端发送请求以及请求上传到被请求端的内容数据； 步骤S200，云端检测平台根据被请求端注册域名地址进行域名服务解析，将解析得到的域名对应的IP地址，通过注册记录表协同配置进行转发，将数据请求端的请求以及请求上传到被请求端的内容数据，转发进行流量内容检测威胁过滤，并将通过过滤的请求端请求和请求上传到被请求端的上传内容数据，转发给被请求端； 步骤S300，被请求端接收云端检测平台转发过来的通过威胁过滤的请求端请求和请求上传到被请求端的上传内容数据，进行请求上传内容数据操作处理。
7.根据权利要求6所述的基于云的端到端流量内容检测方法，其特征在于，在步骤S300之后，还包括如下步骤: 步骤S400，被请求端在完成请求上传内容数据的操作后，根据请求端请求，获取反馈回数据请求端的应答数据，将所述获取的应答数据转发到云端检测平台； 步骤S500，云端检测平台对被请求端反馈回来的应答数据进行流量内容检测，完成威胁过滤后，再转发到数据请求端。
8.根据权利要求6或7所述的基于云的端到端流量内容检测方法，其特征在于，所述步骤SlOO之前，还包括如下步骤: 步骤S101’，被请求端向云端检测平台发出注册请求，提交注册信息； 步骤S102’，云端检测平台在被请求端向云端检测平台注册时，根据被请求端的注册信息生成注册记录表，并将注册记录表存储，同时将注册记录表反馈给被请求端； 步骤S103’，被请求端接收存储云端检测平台注册成功后的注册记录表。
9.根据权利要求8所述的基于云的端到端流量内容检测方法，其特征在于，所述步骤S200包括如下步骤: 步骤S210，在请求端向通过注册域名向被请求端发出请求时，根据接收到的注册域名，解析得到注册域名相应的域名IP地址； 步骤S220，根据域名IP地址，通过存储的注册记录表，查找到相应的云端IP地址，根据云端IP地址进行域名主机头识别,然后将请求端的请求及请求上传到被请求端的内容数据，以及注册记录表，根据域名主机头识别结果转发以进行流量内容检测； 步骤S230，对接收到的请求端的请求内容，以及请求上传到被请求端的内容数据，进行流量内容检测过滤；如果过滤未通过，则将请求端请求及内容数据丢弃，向请求端返回未通过信息，检测未通过，请求及内容数据丢弃；如果过滤通过，则将过滤后的请求端请求，以及请求上传到被请求端的内容数据和注册记录表传输转发； 步骤S240，根据云端二级域名，解析并得到相应的云端二级IP地址，根据云端二级IP地址转发过滤后的请求端请求、以及请求上传到被请求端的内容数据，云端二级域名和标记特征码到被请求端；或者根据云端二级IP地址和注册记录表记录，得到云端检测平台与被请求端的网络通信地址，通过网络通信地址将过滤后的请求端请求、以及请求上传到被请求端的内容数据，云端二级域名和标记特征码到被请求端。
10.根据权利要·求8所述的基于云的端到端流量内容检测方法，其特征在于，所述步骤S300，包括如下步骤: 步骤S310，根据接收到的云端检测平台转发的云端二级域名，以及注册记录表，查找到与请求端请求相应的被请求端二级IP地址；并根据被请求端二级IP地址,将相应的请求端请求，以及请求上传到被请求端的内容数据，转发以进行请求操作处理； 步骤S320，根据请求端请求，以及请求上传到被请求端的内容数据，进行请求上传内容数据操作处理。
11.根据权利要求8所述的基于云的端到端流量内容检测方法，其特征在于，所述步骤S400包括如下步骤: 步骤S410，在完成请求上传内容数据的操作后，根据请求端请求，获取反馈回数据请求端的应答数据，根据标记特征码解码得到云端IP地址和/或云端二级域名和/或网络通信地址，将所述获取的应答数据转发到云端检测平台；或者根据云端检测平台与被请求端的网络通信地址，将所述获取的应答数据转发到云端检测平台。
12.根据权利要求8所述的基于云的端到端流量内容检测方法，其特征在于，所述步骤S500包括如下步骤: 步骤S510，在将应答数据转发回请求端前，将应答数据转发进行流量内容检测过滤；如过滤通过则转发回请求端；否则将应答数据丢弃，向请求端返回未通过信息，检测未通过，请求及内容数据丢弃。
【文档编号】H04L29/08GK103428041SQ201210158668
【公开日】2013年12月4日 申请日期:2012年5月22日 优先权日:2012年5月22日
【发明者】孙睿, 李健航 申请人:同方股份有限公司