会话保持方法及装置与流程

本发明涉及通信
技术领域：
，尤其涉及一种会话保持方法及装置。
背景技术：
：随着IP技术的发展，基于IP的攻击也日益猖獗。为了防护基于IP的攻击，相关技术从报文的检测深度以及检测频度两方面出发提出了代理或加堡垒机的解决方式。代理或加堡垒机的方式虽然可以通过对发送至目标IP的数据进行检测来过滤掉部分攻击内容，但是对于渗透攻击等看似“正常”的攻击的识别以及防护能力较差。因此，当恶意用户通过对连接目标IP的链路进行渗透攻击来实现对目标IP的攻击时，相关技术无法进行有效的防护。技术实现要素：为克服相关技术中存在的问题，本发明提供了会话保持方法及装置。本发明提供一种会话保持方法，应用于包括若干安全设备、上行服务端以及下行客户端的网络安全系统中的任一安全设备，其中，所述若干安全设备中的安全设备基于预设的周期被随机切换为服务设备，且在切换过程中保持与所述上行服务端以及所述下行客户端之间的会话不变，所述若干安全设备均预配置了与所述上行服务端相同的下行IP地址，以及均配置了相同的对应于所述上行服务端的上行IP地址；所述方法包括：在所述安全设备被切换为服务设备后，接收上一被选定的服务设备发送的同步报文；其中，所述同步报文携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息；基于所述同步报文中携带的所述会话信息保持与所述上行服务端以及下行客户端的会话。作为改进，所述方法还包括：当所述安全设备被切换为服务设备时，基于所述安全设备的MAC地址以及所述上行IP地址生成地址解析协议ARP报文；向所述上行服务端发送所述ARP报文，以使所述上行服务端基于接收到的ARP报文更新MAC表项。作为改进，所述方法还包括：当所述安全设备被切换为服务设备时，基于所述安全设备的MAC地址以及所述下行IP地址生成ARP报文；向所述下行客户端发送所述ARP报文，以使所述下行客户端基于接收到的ARP报文更新MAC表项。作为改进，所述若干安全设备包括不同的操作系统。作为改进，所述被切换为服务设备的安全设备与所述上一被选定的服务设备之间通过二层以太网报文同步所述会话信息。本发明同时还提供一种会话保持装置，应用于包括若干安全设备、上行服务端以及下行客户端的网络安全系统中的任一安全设备，其中，所述若干安全设备中的安全设备基于预设的周期被随机切换为服务设备，且在切换过程中保持与所述上行服务端以及所述下行客户端之间的会话不变，所述若干安全设备均预配置了与所述上行服务端相同的下行IP地址，以及均配置了相同的对应于所述上行服务端的上行IP地址；所述装置包括：同步报文接收模块，用于在所述安全设备被切换为服务设备后，接收上一被选定的服务设备发送的同步报文；其中，所述同步报文携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息；会话保持模块，用于基于所述同步报文中携带的所述会话信息保持与所述上行服务端以及下行客户端的会话。作为改进，所述装置还包括：第一生成模块，用于当所述安全设备被切换为服务设备时，基于所述安全设备的MAC地址以及所述上行IP地址生成地址解析协议ARP报文；第一发送模块，用于向所述上行服务端发送所述ARP报文，以使所述上行服务端基于接收到的ARP报文更新MAC表项。作为改进，所述装置还包括：第二生成模块，用于当所述安全设备被切换为服务设备时，基于所述安全设备的MAC地址以及所述下行IP地址生成ARP报文；第二发送模块，用于向所述下行客户端发送所述ARP报文，以使所述下行客户端基于接收到的ARP报文更新MAC表项。作为改进，所述若干安全设备包括不同的操作系统。作为改进，所述被切换为服务设备的安全设备与所述上一被选定的服务设备之间通过二层以太网报文同步所述会话信息。在本发明中，当网络设备中的安全设备被切换为服务设备时，可以接收上一被选定的服务设备发送的同步报文，其中，该同步报文可以携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息，然后，上述被切换为服务设备的安全设备可以基于上述同步报文中携带的会话信息保持与上行服务端以及下行客户端的会话。应用本发明可以在不影响上层业务的基础上动态切换链路，从而使得渗透攻击等针对链路的攻击无法持续进行，有效地解决了相关技术在防护针对链路的攻击时防护能力差的问题。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。图1是示出的一种网络安全系统的组网图；图2是本发明一实施例示出的一种会话保持方法的流程图；图3是示出的一种TCP连接的部分socket信息图；图4是示出的一种SIP会话的会话标识信息图；图5是本发明实施例中会话保持装置的硬件结构框图；图6是本发明根据一示例性实施例示出的一种会话保持装置的框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。请参见图1，为示出的一种网络安全系统的组网图。在图1示出的网络安全系统中，包括客户端、交换机、服务端以及设置于服务端、交换机之间的若干安全设备。其中，该若干安全设备可以均设置于服务端与交换机之间。上述客户端与上述服务端之间可以进行数据交互，为了防止上述客户端将不合法、攻击以及未授权等可能会损害上述服务端的恶意内容发送至上述服务端，网络安全系统中加入了安全设备来对上述客户端发送至上述服务端的数据进行安全检测。在上述客户端发送至上述服务端的数据被安全设备确认为正常数据后，上述客户端可以基于发送至上述服务端的数据与上述服务端建立一条链路。该条链路会一直保持，直到上述客户端或上述服务端关闭该条链路。在该链路保持的过程中，恶意用户可以通过该条链路进行渗透攻击，从而达到攻击上述服务端的目的。相关技术中采用代理或加堡垒机的方式来对上述服务端进行防护，但是，由于代理或加堡垒机的方式是从对报文的检测深度以及检测频度来出发，因此，相关技术基本无法检测出渗透攻击，也无法对渗透攻击进行有效的防护。故，相关技术在防护针对链路的渗透攻击时，防护能力差。有鉴于此，本发明提供了一种会话保持方法及装置，来解决相关技术在防护针对链路的攻击时防护能力差的问题。在本发明中，当网络设备中的安全设备被切换为服务设备时，可以接收上一被选定的服务设备发送的同步报文，其中，该同步报文可以携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息，然后，上述被切换为服务设备的安全设备可以基于上述同步报文中携带的会话信息保持与上行服务端以及下行客户端的会话。应用本发明可以在不影响上层业务的基础上动态切换链路，从而使得渗透攻击等针对链路的攻击无法持续进行，有效地解决了相关技术在防护针对链路的攻击时防护能力差的问题。参见图2，为本发明一实施例示出的一种会话保持方法的流程图，该实施例应用于包括若干安全设备的网络安全系统中的任一安全设备，包括以下步骤：步骤201：在所述安全设备被切换为服务设备后，接收上一被选定的服务设备发送的同步报文；其中，所述同步报文携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息。在本发明中，上述网络安全系统可以包括若干安全设备、上行服务端以及下行客户端。其中，下行客户端可以为一个或一个以上，本发明对此不做限制。当然，该网络安全系统还可以包括交换机，其中，上述若干安全设备可以均设置于上行服务端与交换机之间。需要说明的是，该若干安全设备可以包括不同的操作系统，例如该若干安全设备中可以存在操作系统为windows的安全设备，也可以存在操作系统为linux的安全设备，本发明对此不做限制。在本发明中，上述若干安全设备可以均预置与上述上行服务端相同的下行IP地址，以及均预置相同的对应于上述上行服务端的上行IP地址。在示出的一个实施例中，可以假设上述上行服务端的IP地址为192.168.1.1，则此时上述若干安全设备的下行IP地址可以均配置为192.168.1.1。当客户端向IP地址为192.168.1.1的上行服务端发送数据时，上述若干安全设备可以接收到该数据，并在对该数据进行安全检测后，将该数据转发至上行服务端。在与上行服务端进行数据交互时，上述若干安全设备可以均配置相同的对应与上述上行服务端的上行IP地址。此时，该若干安全设备可以基于该相同的上行IP地址与上行服务端进行数据交互，如向上行服务端发送安全检测后的数据等。在预置了相同的上行IP地址以及下行IP地址后，该若干安全设备中的安全设备可以基于预设的周期被随机切换为服务设备，且在切换过程中保持与上述上行服务端以及上述下行客户端之间的会话不变，其中，该预设的周期可以为系统默认值或由用户根据实际情况进行自定义设置，例如，可以为3分钟。在示出的一个实施例中，该若干安全设备中的安全设备可以通过随机算法与时间戳的组合算法被随机切换为服务设备，其中，该随机算法可以为哈希算法，本发明对此不做限制。需要说明的是，在一次切换中，该若干安全设备中有且仅有一个安全设备可以被切换为服务设备。在本发明中，当该若干安全设备中的安全设备被切换为服务设备时，该安全设备可以基于其MAC地址以及上述上行IP地址生成第一ARP(AddressResolutionProtocol，地址解析协议)报文，然后该安全设备可以将该第一ARP报文发送至上述上行服务端，以使该上行服务端基于接收到的ARP报文更新本地MAC表项。在示出的一个实施例中，可以假设被切换为服务设备的安全设备的MAC地址为00-23-5A-15-99-42、上行IP地址为22.22.22.22、上述上行服务端的MAC地址为05-31-13-25-19-36、IP地址为33.33.33.33，则该安全设备向上行服务端发送第一ARP报文可以如表1所示：源MAC地址源IP地址目的MAC地址目的IP地址00-23-5A-15-99-4222.22.22.2205-31-13-25-19-3633.33.33.33表1需要说明的是，表1可以仅展示出上述第一ARP报文的部分信息，除表1展示出的信息外，上述第一ARP报文还可以包括报文的头部信息等，本发明对此不做限制。在接收到上述安全设备发送的第一ARP报文后，上述上行服务端可以根据该第一ARP报文更新本地MAC表项。在本发明中，类似地，当该若干安全设备中的安全设备被切换为服务设备时，该安全设备可以基于其MAC地址以及上述下行IP地址生成第二ARP报文，然后该安全设备可以将该第二ARP报文发送至上述下行客户端，以使该下行客户端基于接收到的ARP报文更新本地MAC表项。在示出的一个实施例中，可以假设被切换为服务设备的安全设备的MAC地址为00-23-5A-15-99-42、下行IP地址为192.168.1.1、上述下行客户端的MAC地址为05-22-14-52-12-11、IP地址为192.137.3.1，则该安全设备向下行客户端发送的第二ARP报文可以如表2所示：源MAC地址源IP地址目的MAC地址目的IP地址00-23-5A-15-99-42192.168.1.105-22-14-52-12-11192.137.3.1表2同样需要说明的是，表2可以仅展示出上述第二ARP报文的部分信息，除表2展示出的信息外，上述第二ARP报文还可以包括报文头部信息等，本发明对此同样不做限制。当然，当上述网络安全系统包括交换机以及网关设备时，上述安全设备可以在被切换为服务设备时，向交换机以及网关设备发送第二ARP报文。当接收到上述安全设备发送的第二ARP报文时，上述下行客户端、交换机以及网关设备等可以根据该第二ARP报文更新本地MAC表项。在本发明中，当上述被切换为服务设备的安全设备发送ARP报文时，上述若干安全设备中的其他安全设备同样可以接收到ARP报文，并根据接收到的ARP报文来确定被切换为服务设备的安全设备。请继续参见图1，在示出的一个实施例中，可以假设图1所示的3个安全设备中，安全设备3被切换为服务设备，则此时安全设备3可以发送ARP报文，此时安全设备1和安全设备2可以在接收到ARP报文后，根据ARP报文中的源MAC地址来确定安全设备3被切换为服务设备。在本发明中，在该若干安全设备中的安全设备被切换为服务设备后，该安全设备可以接收上一被选定的服务设备发送的同步报文，其中，该同步报文可以携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息。请继续参见图1，在示出的一个实施例中，可以假设图1所示的3个安全设备中，安全设备3被切换为服务设备，安全设备1为上一被选定的服务设备。则安全设备1在接收到安全设备3发送的ARP报文后，可以确定安全设备3被切换为服务设备。此时，安全设备1可以向安全设备3发送同步报文，其中，该同步报文可以携带安全设备1与上述上行服务端以及下行客户端之间交互的会话信息。在本发明中，上述同步报文携带的会话信息可以包括上述上一被选定的服务设备与上述上行服务端以及下行客户端建立TCP(TransmissionControlProtocol，传输控制协议)或UDP(UserDatagramProtocol，用户数据报协议)连接的socket信息以及基于TCP或UDP连接建立的会话连接的会话标识信息。在示出的一个实施例中，可以假设上述上一被选定的服务设备与上述上行服务端以及下行客户端基于SIP(SessionInitiationProtocol，会话初始协议)协议建立会话连接，则上一被选定的服务设备可以提取该会话连接的会话标识信息，即CALL-ID信息，并将该会话标识信息通过上述同步报文同步至被切换为服务设备的安全设备。当承载该SIP会话的传输协议为TCP协议时，上述上一被选定的服务设备可以在将该会话标识信息同步至被切换为服务设备的安全设备时，将该TCP连接的socket信息也同步至被切换为服务设备的安全设备。而在同步TCP连接的socket信息时，上述上一被选定的服务设备可以将该TCP连接的五元组信息以及序列号和回应序列号信息均同步至被切换为服务设备的安全设备。当承载该SIP会话的传输协议为UDP协议时，上述上一被选定的服务设备可以在将该会话标识信息同步至被切换为服务设备的安全设备时，将该UDP连接的socket信息也同步至被切换为服务设备的安全设备。而在同步UDP连接的socket信息时，上述上一被选定的服务设备可以将该UDP连接的源端口号以及目的端口号信息同步至切换为服务设备的安全设备。需要说明的是，由于该若干安全设备的IP地址相同，因此，上述被切换为服务设备的安全设备与上述上一被选定的服务设备之间可以通过二层以太网报文同步上述会话信息，即上述同步报文可以为二层以太网报文。下面以承载该SIP会话的传输协议为TCP协议为例，详细介绍上述上一被选定的服务设备将与上述上行服务端或下行客户端之间交互的会话信息同步至被切换为服务设备的安全设备的过程：请参见图3，为示出的一种TCP连接的部分socket信息图。其中，该TCP连接可以为上一被选定的服务设备与上述上行服务端建立的TCP连接，也可以为上一被选定的服务设备与上述下行客户端建立的TCP连接。上一被选定的服务设备可以从图3所示的socket信息图中提取该TCP连接的五元组信息以及序列号和回应序列号信息，并根据提取出的信息构建如表3所示的待发送连接表：源IP地址目的IP地址源端口号202.100.10.16810.220.4.4554098目的端口号Sequence(序列)号回应Sequence(序列)号4915913636011663405140802表3请参见图4，为示出的一种SIP会话的会话标识信息图。其中，该SIP会话可以为上一被选定的服务设备与上述上行服务端建立的SIP会话，也可以为上一被选定的服务设备与上述下行客户端建立的SIP会话。上一被选定的服务设备可以从图4所示的会话标识信息图中提取该会话连接的会话标识信息(即图4所示的CALL-ID)，并根据提取出的信息构建如表4所示的待发送会话标识表：CALL-ID424efb833e4efb833e4efb83ef4efb834@202.100.10.168表4然后，上一被选定的服务设备可以根据表3和表4所示的内容生成同步报文，由于上一被选定的服务设备与被切换为服务设备的安全设备的IP地址相同，因此，上一被选定的服务设备无法向被切换为服务设备的安全设备发送IP报文。由于，上一被选定的服务设备可以向被切换为服务设备的安全设备成功发送二层以太网报文，因此，上一被选定的服务设备可以通过生成二层以太网报文来实现与被切换为服务设备的安全设备的数据交互。在一个假设的示例中，上一被选定的服务设备生成的二层以太网同步报文的报文信息可以如表5所示：表5其中，表5中的第一列可以为被切换为服务设备的安全设备的MAC地址；表5中的第二列可以为上一被选定的服务设备的MAC地址；表5中的第三列可以为自定义的类型值，本发明对此不做限制；表5中的第四列可以为上一被选定的服务设备需要同步至被切换为服务设备的安全设备的会话信息，其中，该第四列可以包括上述待发送会话标识信息CALL-ID以及待发送连接信息即TCP连接的五元组信息以及序列号和回应序列号信息。上一被选定的服务设备在生成报文信息如表5所示的二层以太网同步报文后，可以将该二层以太网同步报文发送至被切换为服务设备的安全设备。步骤202：基于所述同步报文中携带的所述会话信息保持与所述上行服务端以及下行客户端的会话。被切换为服务设备的安全设备在接收到上一被选定的安全设备发送的同步报文后，可以基于该同步报文中携带的会话信息保持与上述上行服务端以及下行客户端的会话。在接收到同步报文后，被切换为服务设备的安全设备可以从同步报文中获得同步信息，并根据该同步信息保持与上述上行服务端以及下行客户端的会话。由上述实施例可知，在本发明中，当网络设备中的安全设备被切换为服务设备时，可以接收上一被选定的服务设备发送的同步报文，其中，该同步报文可以携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息，然后，上述被切换为服务设备的安全设备可以基于上述同步报文中携带的会话信息保持与上行服务端以及下行客户端的会话。应用本发明可以在不影响上层业务的基础上动态切换链路，从而使得渗透攻击等针对链路的攻击无法持续进行，有效地解决了相关技术在防护针对链路的攻击时防护能力差的问题。基于与上述方法同一的发明构思，本发明实施例还提供了会话保持装置的实施例。本发明会话保持装置可以应用于包括若干安全设备的网络安全系统中的任一安全设备上。其中，该会话保持装置可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在的处理器，将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从应用层面而言，如图5所示，是本发明实施例中会话保持装置的硬件结构框图，除了图5所示的处理器、网络接口、内存以及非易失性存储器外，还可以包括其他硬件，如摄像装置、负责处理报文的转发芯片等。如图6所示，为本发明根据一示例性实施例示出的一种会话保持装置的框图。所述装置包括：同步报文接收模块610以及会话保持模块620。其中，同步报文接收模块610，用于在所述安全设备被切换为服务设备后，接收上一被选定的服务设备发送的同步报文；其中，所述同步报文携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息；会话保持模块620，用于基于所述同步报文中携带的所述会话信息保持与所述上行服务端以及下行客户端的会话。在一个可选的实现方式中，所述装置还可以包括(图6中未示出)：第一生成模块，用于当所述安全设备被切换为服务设备时，基于所述安全设备的MAC地址以及所述上行IP地址生成地址解析协议ARP报文；第一发送模块，用于向所述上行服务端发送所述ARP报文，以使所述上行服务端基于接收到的ARP报文更新MAC表项。在一个可选的实现方式中，所述装置还可以包括(图6中未示出)：第二生成模块，用于当所述安全设备被切换为服务设备时，基于所述安全设备的MAC地址以及所述下行IP地址生成ARP报文；第二发送模块，用于向所述下行客户端发送所述ARP报文，以使所述下行客户端基于接收到的ARP报文更新MAC表项。在一个可选的实现方式中，若干安全设备包括不同的操作系统。在一个可选的实现方式中，所述被切换为服务设备的安全设备与所述上一被选定的服务设备之间通过二层以太网报文同步所述会话信息。在本发明中，当网络设备中的安全设备被切换为服务设备时，可以接收上一被选定的服务设备发送的同步报文，其中，该同步报文可以携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息，然后，上述被切换为服务设备的安全设备可以基于上述同步报文中携带的会话信息保持与上行服务端以及下行客户端的会话。应用本发明可以在不影响上层业务的基础上动态切换链路，从而使得渗透攻击等针对链路的攻击无法持续进行，有效地解决了相关技术在防护针对链路的攻击时防护能力差的问题。本领域技术人员在考虑说明书及实践这里发明的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未发明的本
技术领域：
中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。当前第1页1 2 3