一种非对称路由下单向流uri的关联技术系统及其方法

专利名称：一种非对称路由下单向流uri的关联技术系统及其方法
技术领域：
本发明涉及非对称路由，网络流识别、多机HTTP会话中请求流与应答流的关联以 及URI信息的快速共享等技术领域。更具体而言涉及在大规模的边界网络中，对由非对称 路由引起的单向HTTP流量的识别以及其请求流与应答流的关联，进而找出与应答流关联 的 URI。
背景技术：
目前，网络流识别技术成为关注的焦点，准确、快速的识别网络流应用层协议的类 别，对当前网络的运行和管理而言具有重大的现实意义，诸如有助于深化网络流工程学、网 络容量设计和分配、服务质量(QoQ控制、网络性能监控、异常根源分析和安全监控等的研 究。在网络流量分配的应用的期间，可以在完成协议识别的基础上控制各种应用协议的使 用带宽，保证关键应用，抑制不希望出现的应用，例如针对HTTP、SMTP、FTP、MSN、QQ和BT等 协议实现不同的流量带宽限制、或者是禁止使用。
在一般的异常检测系统中，普遍使用正则表达式规则来对一场流量进行检测，而 内容扫描引擎多采用有限自动机，如Snort使用正规表示式来表示其规则，如果检测的结 果指示该链接存在异常行为，则调用动作模块，阻止该链接继续通信。这种异常检测系统的 性能关键在于自动机扫描的开销以及规则集规模的大小。
在针对HTTP流量的检测中，如果检测到某个会话的响应流中包含异常行为的流 量，该链接被终止。这种应用模式的缺点是无法记忆上一次的扫描结果，对同一个资源的访 问产生的通信流量必须每次都无条件调用自动机扫描，而在WEB网络中，同一资源有其在 互联网中的唯一资源标注URI，因此，系统能辨别出对同一个资源的两次访问过程。如果能 利用上一次扫描结果对该资源的有害性进行标注并存储资源的URI和有害性标记，则在每 次访问该资源时都能根据该资源的有害性属性决定阻止还是放行该链接。这种策略可以避 免对同一资源的多次扫描，极大缓解了对异常检测系统压力，本质上，这种记录上次扫描结 果的机制属于一种黑白名单机制，黑白名单机制已经被广泛应用到各种信息安全系统中。
本发明不涉及到黑白名单机制的原理和实现，而涉及到其中一种黑白名单机制中 的有效性问题，即URI黑白名单的有效性。在大规模的边界网络中，网络流的出入流并不一 定在同一台路由器或者网关上。这种情况由互联网上的非对称路由引起，例如从主机A到 主机E的报文可能经历的路径为A = > B = > E，而从E回来的报文可能经历的路径为E = >C=>A。如果B，C为边界网络上的两个网关，那么在B，C上部署的网络安全系统就会 遇到上述URI黑白名单有效性的问题。Http会话的请求流经过网关B，而响应流经过网关 C，这导致基于内容扫描的网络安全系统、异常检测系统的URI黑白名单机制完全失效，安 全系统必须对相同资源的每次通信流量进行内容扫描，以确定本次访问是否正常。
有鉴于此，亟待提出一种行之有效的方法，并针对此方法建立通信的体系架构。发明内容
为了解决上述问题，本发明的目的是提供一种非对称路由下单向流的唯一资源标 注(URI)的查找与关联方法。
本发明解决其技术问题所采取的技术方案是
为了解决在边界网关多服务器间单向流的URI关联问题，本发明提供了一种查找 和关联策略，并为此策略的实施建立一套通信交互的体系架构，确定了通信协议格式。
根据本发明的一个方面，提供一套URI查找与关联的策略，包含如下步骤
1)A(某台网关服务器)识别HTTP网络流，并标注TCP链接的方向，TCP链接方向定义 有三种:C2S(客户端到服务器的单向流)；S2C(服务器到客户端的单向流)；DOUBLE(双向流)；
2)设置 URI 散列表，其 Key 为五元组(protocol，src_ip, src_port, dst_ip, dst_ port)，Value 为 URI 字符串；
3)A对HTTP流进行内容解析和内容扫描处理；
4)对于C2S流根据当前TCP流的五元组信息和HTTP流的URI更新URI散列表；
5)对于S2C流构造URI查询请求，请求中包含TCP流的五元组信息；
6)假如B接收到该条请求，根据请求中的五元组信息，B搜索自己的URI散列表；
7)如果B在自己的URI散列表中搜索到关联的URI，返回该URI ；
8) A接收到相关URI，根据内容扫描结果更新URI黑白名单；
根据本发明的另一方面，还提供一种非对称路由下单向流的唯一资源标注(URI) 的查找与关联系统，该系统包括多个对等的网关节点(A，B，C，D)，其上运行基于内容扫描的 网络安全系统，还包括一台中心调度节点(S)，其上运行URI关联中心调度系统，用于调度 各网关节点来解决URI关联问题，其特征在于
所述多个网关节点(A，B, C，D)之间是对等关系，任一网关节点均可作为URI查 询请求网关节点，发起URI查询请求给中心调度节点(S)，并接收中心调度节点( 返回的 URI查询响应来更新本地的URI黑白名单；也可作为URI查询应答网关节点来处理经由中 心调度节点(S)扩散的URI查询请求，搜索本地URI散列表，将相关联的URI返回给中心调 度节点(S)；
中心调度节点(S)用于接收请求网关节点的URI查询请求，缓冲该URI查询请求， 并定时将URI查询请求扩散给应答网关节点。
根据本发明的又一方面，提供一种非对称路由下单向流的唯一资源标注(URI)的 查找与关联方法，其网络架构包括多个对等的网关节点(A，B，C，D)，其上运行基于内容扫描 的网络安全系统，还包括一台中心调度节点(S)，其上运行URI关联中心调度系统，用于调 度各网关节点来解决URI关联问题；
当其中任一网关节点㈧发起查询URI的请求时，此时该网关节点㈧作为请求 网关节点，其他所有网关节点(B，C，D)均作为应答网关节点，其特征在于该方法包括如下 步骤
1)请求网关节点(A)识别HTTP会话，并标注承载该HTTP会话的TCP流的方向属 性；
2)请求网关节点㈧设置URI散列表，其键值为五元组，对象值为URI字符串；
3)请求网关节点(A)对HTTP会话进行内容解析和内容扫描处理，记录其有害性属性；
4)请求网关节点(A)根据TCP流的方向属性判定是否发送URI查询请求给中心调 度节点(S)，并且根据TCP流的方向属性来更新本地的URI散列表。
根据本发明的优选实施例，其中所述TCP流的方向属性定义有三种客户端到服 务器的单向流(C2Q ；服务器到客户端的单向流(S2C)；双向流(DOUBLE)。
根据本发明的优选实施例，其中在步骤4)中，如果请求网关节点(A)判定TCP流 的方向为客户端到服务器的单向流(C2S)，则请求网关节点(A)不发送URI查询请求给中心 调度节点( ；而是根据该TCP流的五元组信息，以及其承载的HTTP会话的URI信息来更 新URI散列表。
根据本发明的优选实施例，其中所述在步骤4)中，如果请求网关节点(A)判定TCP 流的方向为服务器到客户端的单向流(S2C)，则请求网关节点(A)构造URI查询请求，并发 送URI查询请求给中心调度节点(S)；并根据中心调度节点(S)返回的URI查询响应更新 本地的URI黑白名单。
根据本发明的优选实施例，其中所述五元组为(protocol，src_ip，src_p0rt，dst_ ip, dst_port)。
根据本发明的优选实施例，其中所述URI查询请求中包含TCP流的五元组信息。
根据本发明的优选实施例，还包括以下步骤
5-1)中心调度节点(S)接收到URI查询请求后，首先缓冲该URI查询请求，并定时 将URI查询请求扩散给应答网关节点(B，C，D)；
5-2)所述应答网关节点(B，C，D)接收所述URI查询请求，根据该URI查询请求中 的所述五元组信息，所述应答网关节点(B，C，D)搜索本机的URI散列表；
5-3)如果至少一个应答网关节点⑶在本机的URI散列表中搜索到相关联的 URI，则返回该关联URI给中心调度节点(S)。
根据本发明的优选实施例，还包括以下步骤
6-1)中心调度节点⑶将应答网关节点⑶返回的关联URI转发给查询的请求网 关节点㈧；
6-2)请求网关节点㈧接收关联URI，进行内容扫描，并根据关联URI的敏感属性 来更新本地的URI黑白名单。
根据本发明的优选实施例，在所述步骤1)之前还包括每个网关节点(A，B, C，D) 处理流经该网关的所有网络流量，进行IP/TCP协议的重组与还原，处理IP分片情况，按TCP 状态转换自动机建立正确的TCP流，分配和管理TCP链接表，并解析HTTP会话细节。
根据本发明的优选实施例，其中所述HTTP会话细节包括URI信息。
由于采用了上述的技术方案，本发明所具有的有益效果是
就功能上的考虑而言，在通信过程中，中心调度系统只是承担了消息转发的功能， 在本发明中，中心调度服务器的只扮演了消息转发者的功能，但这样设计是有其他好处的。 在大型的网络信息安全系统中，URI黑白名单不是局部有效，而是全局有效，特别对非对称 路由而言，请求流中并不含有非法信息，但含有非法的URI信息，如果我们在URI阶段就判 别其有害性，则无需在响应流经过的节点上对内容进行扫描。这也正是URI黑白名单的用 途。URI黑白名单的全局扩散将确保每个节点上保存有最新的URI黑白名单，而这种全局扩散机制需要一个中心服务器来实现，而本发明中的中心调度服务器正可担当此角色。
就性能上的考虑而言，在实际情况中，大型的边界网关上有大量的单向流情况存 在。因此，在本策略中，URI关联查询请求消息的数量会比较大，为了提高查询的效率，中心 调度器会收集所有网关节点的查询请求消息，并定时批量地将查询请求消息扩散到其他节 点上，这降低了网关节点策略实现的逻辑复杂性，也提供了处理的效率。
在搜索URI散列表的操作中，为了提高检索效率，在五元组的结构体上定义一个 比较函数，利用缓冲区位比较作为比较函数的基本操作。缓冲区按位比较操作操作简单，也 能保证不同五元组对应不同的URI，既保证效率又保证正确性。
虽然在下文中将结合一些示例性实施及使用方法来描述本发明，但本领域技术人 员应当理解，并不旨在将本发明限制于这些实施例。反之，旨在覆盖包含在所附的权利要求 书所定义的本发明的精神与范围内的所有替代品、修正及等效物。
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并 且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可 以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书，权利要 求书，以及附图中所特别指出的结构来实现和获得。


为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进 一步的详细描述，其中
图1示出了本发明的通信体系框架；
图2示出了本发明的消息通信格式；
图3示出了通信过程示例；
图4示出了根据本发明的网关节点处理流程图；以及
图5为根据本发明的中心调度系统其处理流程图。
具体实施方式
下面结合附图和实施例对本发明的具体实施方式
作进一步说明。需要注意的是， 根据本发明的非对称路由下单向流URI的关联技术的实施方式仅仅作为例子，但本发明不 限于该具体实施方式
。
本发明涉及到一种网络通信模型，从功能上来分有两个不同的网络实体大量网 关节点和一个中心调度系统。网关节点上部署网络安全系统，它们利用中心调度彼此互相 通信，查找自己所需的单向流的URI信息。
图1示出了通信的体系架构图。如图1所示，有多个相同的网关服务器(网关A、 B都是其中某台网关服务器)，其上运行基于内容扫描的网络安全系统，有一台中心调度服 务器C，其上运行URI关联中心调度系统。
本发明的网络架构包括多个对等的网关节点(A，B, C，D)，其上运行基于内容扫描 的网络安全系统，还包括一台中心调度节点(S)，其上运行URI关联中心调度系统，用于调 度各网关节点来解决URI关联问题，其特征在于
所述多个网关节点(A，B, C，D)之间是对等关系，任一网关节点均可作为URI查询请求网关节点，发起URI查询请求给中心调度节点(S)，并接收中心调度节点( 返回的 URI查询响应来更新本地的URI黑白名单；也可作为URI查询应答网关节点来处理经由中 心调度节点(S)扩散的URI查询请求，搜索本地URI散列表，将相关联的URI返回给中心调 度节点(S)；
中心调度节点⑶用于接收请求网关节点的URI查询请求，缓冲该URI查询请求， 并定时将URI查询请求扩散给应答网关节点。
图2示出了本发明的通信格式定义。如图2所示，所有通信过程均采用UDP通信， 所有数据部分都采用Big_Endian格式。UDP负载数据又分为两个部分，应用消息头和应用 消息体。应用消息头固定长为八个字节。前两个字节为魔数，用来精确识别协议，取固定值 0x4356 ；第三个字节为消息类型，0x01为URI关联查询请求消息，0x02为URI关联响应消 息；第四个字节保留，第五至第八个字节指明消息体的长度。应用消息体按消息类型有不同 的消息格式。URI关联查询请求消息的消息体包含五元组信息，分别为源IP地址4字节，目 的IP地址4字节，源端口 2字节，目的端口 2字节，协议类型1字节。URI关联响应消息的 消息体也包含五元组信息，随后紧跟着URI的内容，其长度由消息头的长度字段与五元组 固定信息字段长度的差来确定。
根据本发明的实施例，通信过程的示意图如图3所示。某个节点A发出查询请求 消息，这个消息被送到中心调度系统，然后被扩散到其他节点B、C、D等。如果D在其局部 URI散列表中查找到对应的URI，一个响应消息将被返回到中心调度系统。中心调度系统会 将结果返回给请求节点A。
就本发明一些功能上的考虑而言，在通信过程中，我们注意到中心调度系统只是 承担了消息转发的功能，在本发明中，中心调度服务器的只扮演了消息转发者的功能，但这 样设计是有其他好处的。在大型的网络信息安全系统中，URI黑白名单不是局部有效，而是 全局有效，特别对非对称路由而言，请求流中并不含有非法信息，但含有非法的URI信息， 如果我们在URI阶段就判别其有害性，则无需在响应流经过的节点上对内容进行扫描。这 也正是URI黑白名单的用途。URI黑白名单的全局扩散将确保每个节点上保存有最新的URI 黑白名单，而这种全局扩散机制需要一个中心服务器来实现，而本发明中的中心调度服务 器正可担当此角色。
就本发明一些性能上的考虑而言，在实际情况中，大型的边界网关上有大量的单 向流情况存在。因此，在本策略中，URI关联查询请求消息的数量会比较大，为了提高查询 的效率，中心调度器会收集所与地查询请求消息，并定时批量地将查询请求消息扩散到其 他节点上，这降低了网关节点策略实现的逻辑复杂性，也提供了处理的效率。
在搜索URI散列表的操作中，为了提高检索效率，我们在五元组的结构体上定义 一个比较函数，利用缓冲区位比较作为比较函数的基本操作。缓冲区按位比较操作操作简 单，也能保证不同五元组对应不同的URI，既保证效率又保证正确性。
图4示出了本发明网关节点的实施步骤如下
(1)网关节点对网络流量进行IP/TCP协议还原处理，标注每个TCP流的方向属 性；
网关节点处理网络流量，进行IP/TCP协议的重组与还原，处理IP分片情况，按TCP 状态转换自动机建立正确的TCP流，分配和管理TCP链接表。标注TCP流的方向属性，在处理TCP三次握手协议中，对于只看到Client发向krver的报文SYN，ACK，标注这样的TCP 流方向属性为C2S ；对于只看到krver发向Client的报文SYN| ACK，标注这样的TCP流方 向属性为S2C ；对于看到完整的Client和krver的三次握手过程，有SYN、SYN| ACK、ACK报 文，标注这样的TCP流方向属性为DOUBLE。
(2)网关节点识别网络流量中HTTP流，并对内容进行扫描
在TCP流处理完成之后，根据端口和内容来识别HTTP流，端口号识别的特诊为服 务器端口为80 ；内容特征如下当是流的方向属性为C2S或者DOUBLE，会话的前几个字节 为“GET”或者“POST”或者“HEAD”，其他请求类型暂不考虑。当流的方向属性为S2C时，会 话的前几个字节应该为“HTTP/1.0”或者“HTTP/1. 1”。对于C2S和DOUBLE方向的流，提取 其URI，URI字段由HTTP会话的请求头中“HOST”字段的值加上请求的相对路径地址。
对HTTP请求或者响应部分的数据内容进行内容扫描。记录其有害性属性。
(3)根据流的方向属性更新本地的URI散列表；
如果流的方向为C2S，更新本地URI散列表。
(4)根据流的方向属性决定是否发送URI查询请求；
如果流的方向为S2C，构造URI查询，发送到中心调度系统。
(5)根据URI查询请求的结果更新本地的URI黑白名单；
开启一个监听线程，接收来自中心调度系统的URI查询响应消息。申请一个UDP 类型的Socket，在指定端口上监听，有数据报文过来时，如果消息类型为响应消息，按响应 报文格式解析数据，如果错误，返回，否则根据五元组信息找到相应的HTTP会话，及其扫描 的结果。标志URI的黑白属性，更新如本地的URI黑白名单。
(6)处理来自其他节点的URI查询请求；
开启一个监听线程(可以使用前一个线程)，接收来自中心调度系统的URI查询 请求消息。有数据报文过来时，如果消息类型为请求消息，按请求报文格式解析数据，如果 错误，返回。否则根据五元组在本机的TCP链接表中查找相应的TCP链接，没有找到，返回。 如果找到TCP链接，进一步找到其HTTP会话数据结构，如果有URI信息，生成一个URI查询 响应消息，回填五元组信息和URI信息，返回给中心调度系统。
图5示出了本发明的中心调度系统的实施步骤如下
(1)收集来自网关节点的URI查询请求；
开启一个监听线程，接收来自各个网关服务器的查询请求。申请一个UDP类型的 Socket，在指定端口上监听数据。有数据报文过来时，如果消息类型为请求消息，按请求报 文格式解析数据，如果错误，返回。否则，缓冲请求者的请求消息，将请求消息加入到请求者 的请求消息队列中。中心调度系统为每个网关服务器建立一个请求消息队列。
(2)定时批量扩散URI查询请求；
当请求消息队列的消息数量超过预定阈值Y(可以根据实际情况调整，一般取 1000)时，或者当发送间隔超过T(也可以根据实际情况调整，一般取5s)时，将一个请求者 的请求消息扩散给其他所有节点上。
(3)收集来自网关节点的URI查询响应，转发给相关的请求节点
开启一个监听线程(可以使用1)中的开启的线程)，接收来自各个网关节点的查 询响应。有数据报文过来时，如果消息类型为请求消息，按请求报文格式解析数据，如果错误，返回。根据五元组找到相应的请求者，将该消息转发给请求节点。
在本发明中，当其中任一网关节点(A)发起查询URI的请求时，此时该网关节点 (A)作为请求网关节点，其他所有网关节点(B，C，D)均作为应答网关节点。在图3中仅仅 以网关节点(A)作为请求网关节点为例进行了说明，需要强调的是，任一网关节点均为对 等的关系，也就是说，每一个网关节点均可以作为请求网关节点发起URI查询请求，此时其 他所有网关节点均作为应答网关节点。例如，假如网关节点⑶发起查询URI的请求时，此 时该网关节点(B)就作为请求网关节点，其他所有网关节点(A，C，D)均作为应答网关节点， 依此类推。
1)请求网关节点(A)识别HTTP会话，并标注承载该HTTP会话的TCP流的方向属 性；
2)请求网关节点㈧设置URI散列表，其键值(Key)为五元组(protocol，src_ ip, src_port, dst_ip, dst_port)，)(寸L (Value)为 URI；
3)请求网关节点(A)对HTTP会话进行内容解析和内容扫描处理，记录其有害性属 性；
4)请求网关节点(A)根据TCP流的方向属性判定是否发送URI查询请求给中心调 度节点(S)，并且根据TCP流的方向属性来更新本地的URI散列表。
根据本发明的优选实施例，其中所述TCP流的方向属性定义有三种客户端到服 务器的单向流(C2Q ；服务器到客户端的单向流(S2C)；双向流(DOUBLE)。
根据本发明的优选实施例，其中在步骤4)中，如果请求网关节点(A)判定TCP流 的方向为客户端到服务器的单向流(C2S)或者为双向流(DOUBLE)，则请求网关节点㈧不 发送URI查询请求给中心调度节点(S)；而是根据该TCP流的五元组信息，以及其承载的 HTTP会话的URI信息来更新URI散列表。
根据本发明的优选实施例，其中所述在步骤4)中，如果请求网关节点(A)判定TCP 流的方向为服务器到客户端的单向流(S2C)，则请求网关节点(A)构造URI查询请求，并发 送URI查询请求给中心调度节点(S)；并根据中心调度节点(S)返回的URI查询响应更新 本地的URI黑白名单。根据本发明的优选实施例，其中所述URI查询请求中包含TCP流的五元组信息。
根据本发明的优选实施例，还包括以下步骤
5-1)中心调度节点(S)接收到URI查询请求后，首先缓冲该URI查询请求，并定时 将URI查询请求扩散给应答网关节点(B，C，D)；
5-2)所述应答网关节点(B，C，D)接收所述URI查询请求，根据该URI查询请求中 的所述五元组信息，所述应答网关节点(B，C，D)搜索本机的URI散列表；
5-3)如果至少一个应答网关节点⑶在本机的URI散列表中搜索到相关联的 URI，则返回该关联URI给中心调度节点(S)。
根据本发明的优选实施例，还包括以下步骤
6-1)中心调度节点(S)将应答网关节点(B)返回的关联URI转发给查询的请求网 关节点㈧；
6-2)请求网关节点㈧接收关联URI，进行内容扫描，并根据关联URI的敏感属性 来更新本地的URI黑白名单。
根据本发明的优选实施例，在所述步骤1)之前还可以包括每个网关节点(A，B, C，D)处理流经该网关的所有网络流量，进行IP/TCP协议的重组与还原，处理IP分片情况， 按TCP状态转换自动机建立正确的TCP流，分配和管理TCP链接表，并解析HTTP会话细节 (包括URI信息)。
尽管为说明目的公开了本发明的具体实施例和附图，其目的在于帮助理解本发明 的内容并据以实施，但是本领域的技术人员可以理解在不脱离本发明及所附的权利要求 的精神和范围内，各种替换、变化和修改都是可能的。因此，本发明不应局限于具体实施例 和附图所公开的内容。
权利要求
1.一种非对称路由下单向流的唯一资源标注(URI)的查找与关联系统，该系统包括多 个对等的网关节点(A，B，C，D)，其上运行基于内容扫描的网络安全系统，还包括一台中心调 度节点(S)，其上运行URI关联中心调度系统，用于调度各网关节点来解决URI关联问题，其 特征在于所述多个网关节点(A，B，C，D)之间是对等关系，任一网关节点均可作为URI查询请求 网关节点，发起URI查询请求给中心调度节点(S)，并接收中心调度节点(S)返回的URI查 询响应来更新本地的URI黑白名单；也可作为URI查询应答网关节点来处理经由中心调度节点(S)扩散的URI查询请求，搜索本地URI散列表，将相关联的URI返回给中心调度节点 ⑶；中心调度节点(S)用于接收请求网关节点的URI查询请求，缓冲该URI查询请求，并定 时将URI查询请求扩散给应答网关节点。
2.一种非对称路由下单向流的唯一资源标注(URI)的查找与关联方法，其网络架构包 括多个对等的网关节点(A，B，C，D)，其上运行基于内容扫描的网络安全系统，还包括一台中 心调度节点(S)，其上运行URI关联中心调度系统，用于调度各网关节点来解决URI关联问 题；当其中任一网关节点(A)发起查询URI的请求时，此时该网关节点(A)作为请求网关 节点，其他所有网关节点(B，C，D)均作为应答网关节点，其特征在于该方法包括如下步骤1)请求网关节点(A)识别HTTP会话，并标注承载该HTTP会话的TCP流的方向属性；2)请求网关节点(A)设置URI散列表，其键值为五元组，对象值为URI字符串；3)请求网关节点(A)对HTTP会话进行内容解析和内容扫描处理，记录其有害性属性；4)请求网关节点(A)根据TCP流的方向属性判定是否发送URI查询请求给中心调度节 点(S)，并且根据TCP流的方向属性来更新本地的URI散列表。
3.根据权利要求2的查找与关联方法，其特征在于所述TCP流的方向属性定义有三种 客户端到服务器的单向流(C2S)；服务器到客户端的单向流(S2C)；双向流(DOUBLE)。
4.根据权利要求3的查找与关联方法，其特征在于在步骤4)中，如果请求网关节点 (A)判定TCP流的方向为客户端到服务器的单向流(C2Q或者为双向流(DOUBLE)，则请求 网关节点(A)不发送URI查询请求给中心调度节点( ；而是根据该TCP流的五元组信息， 以及其承载的HTTP会话的URI信息来更新URI散列表。
5.根据权利要求3的查找与关联方法，其特征在于在步骤4)中，如果请求网关节点 (A)判定TCP流的方向为服务器到客户端的单向流(S2C)，则请求网关节点(A)构造URI查 询请求，并发送URI查询请求给中心调度节点(S)；并根据中心调度节点(S)返回的URI查 询响应更新本地的URI黑白名单。
6.根据权利要求2的查找与关联方法，所述五元组为(protocol，src_ip,src_port, dst_ip, dst_port)。
7.根据权利要求5的查找与关联方法，其特征在于在所述URI查询请求中包含TCP流 的五元组信息。
8.根据权利要求5的查找与关联方法，其特征在于5-1)中心调度节点(S)接收到URI查询请求后，首先缓冲该URI查询请求，并定时将 URI查询请求扩散给应答网关节点(B，C，D)；5-2)所述应答网关节点(B，C，D)接收所述URI查询请求，根据该URI查询请求中的所 述五元组信息，所述应答网关节点(B，C，D)搜索本机的URI散列表；5-3)如果至少一个应答网关节点(B)在本机的URI散列表中搜索到相关联的URI，则 返回该关联URI给中心调度节点(S)。
9.根据权利要求8的查找与关联方法，其特征在于6-1)中心调度节点( 将应答网关节点(B)返回的关联URI转发给查询的请求网关节 点㈧；6-2)请求网关节点㈧接收关联URI，进行内容扫描，并根据关联URI的敏感属性来更 新本地的URI黑白名单。
10.根据权利要求2-9任一项的查找与关联方法，其特征在于所述步骤1)之前还包括 每个网关节点(A，B, C，D)处理流经该网关的所有网络流量，进行IP/TCP协议的重组与还 原，处理IP分片情况，按TCP状态转换自动机建立正确的TCP流，分配和管理TCP链接表， 并解析HTTP会话细节。
11.根据权利要求10的查找与关联方法，其特征在于所述HTTP会话细节包括URI信息。
全文摘要
本发明提供一种非对称路由下单向流的唯一资源标注(URI)的查找与关联方法，其中网络包括多个对等的网关节点(A，B，C，D)，其上运行基于内容扫描的网络安全系统，还包括一台中心调度节点(S)，其上运行URI关联中心调度系统，用于调度各网关节点来解决URL关联问题。所述多个网关节点(A，B，C，D)之间是对等关系，任一网关节点均可作为URI查询请求网关节点，发起URI查询请求给中心调度节点(S)；也可作为URI查询应答网关节点来处理URI查询请求，搜索本地URI散列表，将相关联的URI返回给中心调度节点(S)。本发明通过中心调度器来收集查询请求消息，并定时批量地将查询请求消息扩散到其他节点上，从而提高URI查询的效率，降低了网关节点策略实现的逻辑复杂性。
文档编号H04L29/06GK102035725SQ20101024970
公开日2011年4月27日 申请日期2010年8月10日 优先权日2010年8月10日
发明者云晓春, 刘庆云, 包秀国, 王丽宏, 王勇, 童晓民, 胡小勇, 舒敏, 陈小军 申请人:中国科学院计算技术研究所