安全网关的报文处理方法及装置的制造方法
【技术领域】
[0001] 本申请涉及网络安全技术领域,特别涉及一种安全网关的报文处理方法及装置。
【背景技术】
[0002] 安全网关一般部署在大中型企业的网络出口、企业内部网络之间、或者数据中心 的出口,用以对外网访问内网的数据流进行检测实现保护内部网络安全的目的,以及对内 网访问外网的数据流进行检测实现企业敏感信息的控制。
[0003] DPI (Deep Packet Inspect,深度报文检测)和DFI (Deep Flow Inspect,深度流检 测)是安全网关基于应用层控制数据流的基础。根据实际需求,用于实现DPI和DFI的数 据流检测模块中可以包括:内容过滤、文件过滤、入侵防御和防病毒等业务模块,每一个业 务模块中包含有多条规则。经过安全网关的报文会进入数据流检测模块中进行处理,与数 据流检测模块中包括的各个业务模块中的规则进行匹配,并按照命中的规则对应的处理动 作对报文进行处理,常见的处理动作包括:放行、丢弃(drop)、连接重置、修改报文内容、加 入黑名单等。在各个业务模块中命中的规则对应的处理工作,会最终决定该报文的转发动 作。
[0004] 现有技术中,业务模块中的规则对应的处理动作是固定的,在安全网关的配置不 变的前提下,安全网关对同一 IP(因特网协议)地址发出的报文的转发动作可能是固定的。 但是,在某些情况下,对于同一威胁源发出的报文执行固定的转发动作,可能会浪费系统资 源并降低安全网关性能。
[0005] 例如,防病毒业务模块中的某一个规则R1,该规则Rl对应的处理动作是连接重 置。假设,某一个邮件客户端发送携带有符合规则Rl的病毒的邮件,安全网关在接收到该 邮件并进行检测时,会检测到该病毒并执行连接重置的处理动作,于是该邮件发送失败。但 是,很多邮件客户端在邮件发送失败后会不停的尝试重新发送,甚至没有次数的限制,这就 造成了安全网关会不停的检测到同一种病毒并执行相应的处理动作,属于重复操作,浪费 了系统资源,降低了安全网关的性能。
[0006] 或者,某一个组织或单位通过安全网关过滤非法或敏感言论,安全网关对这些包 含敏感词汇的报文的处理动作是丢弃。如果某一个用户经常发表一些非法或敏感言论,这 样,安全网关在接收到包含这些非法或敏感言论的报文并进行检测时,就会不停的命中相 应的规则并执行丢弃动作,从而,浪费了系统资源,降低了安全网关的性能。
【发明内容】
[0007] 有鉴于此,本申请提供了一种安全网关的报文处理方法及装置。
[0008] 本申请的技术方案如下:
[0009] -方面,提供了一种安全网关的报文处理方法,包括:
[0010] 从威胁源记录表中获取威胁综合次数不小于预定阈值的IP地址,将获取到的IP 地址添加到黑名单中,其中,威胁源记录表中记录有IP地址、威胁总次数与出现频度之间 的对应关系,IP地址的威胁综合次数与该IP地址对应的威胁总次数和出现频度成正比;
[0011] 在接收到报文之后,将该报文的源IP地址与黑名单中的IP地址进行匹配;
[0012] 若匹配到一个IP地址,则停止转发该报文;
[0013] 若没有匹配到任一 IP地址,则对该报文进行深度检测,并在安全日志文件中添加 对应的日志记录。
[0014] 另一方面,还提供了一种安全网关的报文处理装置,包括:
[0015] IP地址获取模块,用于从威胁源记录表中获取威胁综合次数不小于预定阈值的 IP地址,其中,威胁源记录表中记录有IP地址、威胁总次数与出现频度之间的对应关系,IP 地址的威胁综合次数与该IP地址对应的威胁总次数和出现频度成正比;
[0016] 黑名单添加模块,用于将IP地址获取模块获取到的IP地址添加到黑名单中;
[0017] 接收模块,用于接收报文;
[0018] 黑名单匹配模块,用于在接收模块接收到报文之后,将该报文的源IP地址与黑名 单中的IP地址进行匹配;
[0019] 转发模块,用于若黑名单匹配模块匹配到一个IP地址,则停止转发该报文;
[0020] 数据流检测模块,用于若黑名单匹配模块没有匹配到任一 IP地址,则对该报文进 行深度检测,并在安全日志文件中添加对应的日志记录。
[0021] 本申请的以上技术方案中,从威胁源记录表中获取威胁综合次数不小于预定阈值 的IP地址,将获取到的IP地址添加到黑名单中,其中,威胁源记录表中记录有IP地址、威 胁总次数与出现频度之间的对应关系,IP地址的威胁综合次数与该IP地址对应的威胁总 次数和出现频度成正比;这样,在接收到报文之后,先将该报文的源IP地址与黑名单中的 IP地址进行匹配,若匹配到一个IP地址,就不再转发该报文,若没有匹配到任一 IP地址, 才会对该报文进行深度检测,例如,DPI和DFI。从而,可以预先识别出威胁源,并将威胁源 的IP地址添加到黑名单中,先通过黑名单对收到的报文进行筛除,只有没有匹配到黑名单 中的任一 IP地址的报文才会进行后续的深度检测,节省了系统资源并提高了安全网关性 能。来自威胁源的报文可以先通过黑名单匹配被过滤掉,无需再进行深度检测,黑名单匹配 是一个基于IP地址比较的过程,相对于深度检测更加高效。
【附图说明】
[0022] 图1是本申请实施例的威胁源记录表的生成方法的流程图;
[0023] 图2是本申请实施例的在接收到报文后执行的操作流程图;
[0024] 图3是本申请实施例的安全网关的报文处理装置的一种结构示意图;
[0025] 图4是本申请实施例的安全网关的报文处理装置的另一种结构示意图;
[0026] 图5是本申请实施例的安全网关的报文处理装置的又一种结构示意图。
【具体实施方式】
[0027] 为了解决现有技术中存在的浪费系统资源,降低安全网关性能的问题,本申请以 下实施例中提供了一种安全网关的报文处理方法,以及一种可以应用该方法的装置。
[0028] 本申请实施例中,安全网关的报文处理方法包括以下内容:
[0029] 如图1所示,威胁源记录表的生成方法包括以下步骤:
[0030] 步骤S102,判断日志记录获取定时器是否到时,若是,则执行步骤S104,否则,返 回步骤S102 ;
[0031] 其中,日志记录获取定时器的计时时间为预定时间间隔T。
[0032] 步骤S104,将日志记录获取定时器重新开始计时,从安全日志文件中获取在日志 记录获取定时器计时时间内记录的满足特定条件的日志记录;
[0033] 其中,每一条日志记录中包括:该日志记录所针对的报文的源IP地址、该报文命 中的规则对应的处理动作和命中该规则的时间。
[0034] 该特定条件包括:日志记录中的处理动作是用于停止转发报文到安全网关外部的 处理动作。在实际实施过程中,用于停止转发报文到安全网关外部的处理动作包括:丢弃或 连接重置,显然,还可以是其它处理动作,只要是不再从安全网关中将报文转发出去的处理 动作即可,本申请对此不做限定。
[0035] 显然,当一个报文命中了多条规则时,对应的日志记录中会包括每一条规则对应 的处理动作和命中该规则的时间,步骤S104中获取的是包括的所有处理动作均为用于停 止转发报文到安全网关外部的处理动作的日志记录。
[0036] 步骤S106,针对