網(wǎng)關(guān)處理數(shù)據(jù)的方法和裝置制造方法
【專利摘要】本發(fā)明公開(kāi)了一種網(wǎng)關(guān)處理數(shù)據(jù)的方法及裝置。其中,該方法包括:使用多個(gè)安全檢測(cè)模塊對(duì)網(wǎng)關(guān)接收到的數(shù)據(jù)流依次進(jìn)行安全性檢測(cè),確定數(shù)據(jù)流的類型,數(shù)據(jù)流的類型包括:安全數(shù)據(jù)流和非法數(shù)據(jù)流;如果網(wǎng)關(guān)接收到的數(shù)據(jù)流為安全數(shù)據(jù)流的情況下,將數(shù)據(jù)流的來(lái)源IP地址的可信權(quán)重值進(jìn)行累加,直至可信權(quán)重值大于第一閾值的情況下,將數(shù)據(jù)流的來(lái)源IP地址寫入白名單;如果網(wǎng)關(guān)接收到的數(shù)據(jù)流為非法數(shù)據(jù)流的情況下,將數(shù)據(jù)流的來(lái)源IP地址的黑名單權(quán)重值進(jìn)行累加,直至黑名單權(quán)重值大于第二閾值的情況下,將數(shù)據(jù)流的來(lái)源IP地址寫入黑名單。通過(guò)本發(fā)明,解決了現(xiàn)有技術(shù)中網(wǎng)關(guān)設(shè)備中多個(gè)安全模塊在工作時(shí)無(wú)聯(lián)動(dòng)的情況導(dǎo)致網(wǎng)關(guān)處理數(shù)據(jù)效率低的問(wèn)題。
【專利說(shuō)明】網(wǎng)關(guān)處理數(shù)據(jù)的方法和裝置
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及通信領(lǐng)域,具體而言,涉及一種網(wǎng)關(guān)處理數(shù)據(jù)的方法和裝置。
【背景技術(shù)】
[0002]傳統(tǒng)的網(wǎng)關(guān)設(shè)備,例如UTM中有多個(gè)安全模塊,當(dāng)網(wǎng)關(guān)設(shè)備檢測(cè)數(shù)據(jù)流時(shí),多個(gè)安全模塊對(duì)數(shù)據(jù)流進(jìn)行安全性檢測(cè),確保通過(guò)網(wǎng)關(guān)設(shè)備的數(shù)據(jù)無(wú)攻擊或異常。
[0003]這里需要說(shuō)明的是,在傳統(tǒng)網(wǎng)關(guān)設(shè)備對(duì)數(shù)據(jù)流的安全性檢測(cè)性的方式中,多個(gè)安全模塊例如抗攻擊模塊、IPS檢測(cè)模塊和防病毒等模塊之間通常沒(méi)有任何聯(lián)動(dòng),都是各自為戰(zhàn),多個(gè)安全模塊之間沒(méi)有及時(shí)交互,同時(shí)開(kāi)啟多個(gè)安全模塊時(shí),由于無(wú)法區(qū)分可信主機(jī)和不可信主機(jī),只能處理所有主機(jī)的數(shù)據(jù)流,導(dǎo)致網(wǎng)關(guān)處理數(shù)據(jù)的效率低。
[0004]針對(duì)現(xiàn)有技術(shù)中網(wǎng)關(guān)設(shè)備中多個(gè)安全模塊在工作時(shí)無(wú)聯(lián)動(dòng)的情況導(dǎo)致網(wǎng)關(guān)處理數(shù)據(jù)效率低的問(wèn)題,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的主要目的在于提供一種網(wǎng)關(guān)處理數(shù)據(jù)的方法及裝置,以解決現(xiàn)有技術(shù)中網(wǎng)關(guān)設(shè)備中多個(gè)安全模塊在工作時(shí)無(wú)聯(lián)動(dòng)的情況導(dǎo)致網(wǎng)關(guān)處理數(shù)據(jù)效率低的問(wèn)題。
[0006]為了實(shí)現(xiàn)上述目的,根據(jù)本發(fā)明實(shí)施例的一個(gè)方面,提供了一種網(wǎng)關(guān)處理數(shù)據(jù)的方法。該方法包括:使用多個(gè)安全檢測(cè)模塊對(duì)網(wǎng)關(guān)接收到的數(shù)據(jù)流依次進(jìn)行安全性檢測(cè),確定數(shù)據(jù)流的類型,數(shù)據(jù)流的類型包括:安全數(shù)據(jù)流和非法數(shù)據(jù)流;如果網(wǎng)關(guān)接收到的數(shù)據(jù)流為安全數(shù)據(jù)流的情況下,將數(shù)據(jù)流的來(lái)源IP地址的可信權(quán)重值進(jìn)行累加,直至可信權(quán)重值大于第一閾值的情況下,將數(shù)據(jù)流的來(lái)源IP地址寫入白名單;如果網(wǎng)關(guān)接收到的數(shù)據(jù)流為非法數(shù)據(jù)流的情況下,將數(shù)據(jù)流的來(lái)源IP地址的黑名單權(quán)重值進(jìn)行累加,直至黑名單權(quán)重值大于第二閾值的情況下,將數(shù)據(jù)流的來(lái)源IP地址寫入黑名單。
[0007]為了實(shí)現(xiàn)上述目的,根據(jù)本發(fā)明實(shí)施例的另一方面,提供了一種網(wǎng)關(guān)處理數(shù)據(jù)的裝置。該裝置包括:檢測(cè)單元,用于使用多個(gè)安全檢測(cè)模塊對(duì)網(wǎng)關(guān)接收到的數(shù)據(jù)流依次進(jìn)行安全性檢測(cè),確定數(shù)據(jù)流的類型,數(shù)據(jù)流的類型包括:安全數(shù)據(jù)流和非法數(shù)據(jù)流;處理單元,用于如果網(wǎng)關(guān)接收到的數(shù)據(jù)流為安全數(shù)據(jù)流的情況下,將數(shù)據(jù)流的來(lái)源IP地址的可信權(quán)重值進(jìn)行累加,直至可信權(quán)重值大于第一閾值的情況下,將數(shù)據(jù)流的來(lái)源IP地址寫入白名單;如果網(wǎng)關(guān)接收到的數(shù)據(jù)流為非法數(shù)據(jù)流的情況下,將數(shù)據(jù)流的來(lái)源IP地址的黑名單權(quán)重值進(jìn)行累加,直至黑名單權(quán)重值大于第二閾值的情況下,將數(shù)據(jù)流的來(lái)源IP地址寫入黑名單。
[0008]根據(jù)發(fā)明實(shí)施例,通過(guò)使用多個(gè)安全檢測(cè)模塊對(duì)網(wǎng)關(guān)接收到的數(shù)據(jù)流依次進(jìn)行安全性檢測(cè),確定數(shù)據(jù)流的類型,數(shù)據(jù)流的類型包括:安全數(shù)據(jù)流和非法數(shù)據(jù)流;如果網(wǎng)關(guān)接收到的數(shù)據(jù)流為安全數(shù)據(jù)流的情況下,將數(shù)據(jù)流的來(lái)源IP地址的可信權(quán)重值進(jìn)行累加,直至可信權(quán)重值大于第一閾值的情況下,將數(shù)據(jù)流的來(lái)源IP地址寫入白名單;如果網(wǎng)關(guān)接收到的數(shù)據(jù)流為非法數(shù)據(jù)流的情況下,將數(shù)據(jù)流的來(lái)源IP地址的黑名單權(quán)重值進(jìn)行累加,直至黑名單權(quán)重值大于第二閾值的情況下,將數(shù)據(jù)流的來(lái)源IP地址寫入黑名單,解決了現(xiàn)有技術(shù)中網(wǎng)關(guān)設(shè)備中多個(gè)安全模塊在工作時(shí)無(wú)聯(lián)動(dòng)的情況導(dǎo)致網(wǎng)關(guān)處理數(shù)據(jù)效率低的問(wèn)題。
【專利附圖】
【附圖說(shuō)明】
[0009]構(gòu)成本申請(qǐng)的一部分的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0010]圖1是根據(jù)本發(fā)明實(shí)施例一的網(wǎng)關(guān)處理數(shù)據(jù)的方法的流程圖;
[0011]圖2是根據(jù)本發(fā)明實(shí)施例二的網(wǎng)關(guān)處理數(shù)據(jù)的裝置的示意圖;以及
[0012]圖3是根據(jù)本發(fā)明實(shí)施例二的優(yōu)選的網(wǎng)關(guān)處理數(shù)據(jù)的裝置的示意圖。
【具體實(shí)施方式】
[0013]需要說(shuō)明的是,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。下面將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本發(fā)明。
[0014]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。
[0015]需要說(shuō)明的是,本發(fā)明的說(shuō)明書和權(quán)利要求書及上述附圖中的術(shù)語(yǔ)“第一”、“第二”等是用于區(qū)別類似的對(duì)象,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實(shí)施例。此外,術(shù)語(yǔ)“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含,例如,包含了一系列步驟或單元的過(guò)程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元,而是可包括沒(méi)有清楚地列出的或?qū)τ谶@些過(guò)程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。
[0016]實(shí)施例1
[0017]本發(fā)明實(shí)施例提供了一種網(wǎng)關(guān)處理數(shù)據(jù)的方法。如圖1所示,該方法包括步驟如下:
[0018]步驟S101,使用多個(gè)安全檢測(cè)模塊對(duì)網(wǎng)關(guān)接收到的數(shù)據(jù)流依次進(jìn)行安全性檢測(cè),確定數(shù)據(jù)流的類型,數(shù)據(jù)流的類型包括:安全數(shù)據(jù)流和非法數(shù)據(jù)流。
[0019]具體的,上述多個(gè)安全檢測(cè)模塊可以是網(wǎng)關(guān)設(shè)備內(nèi)部的組成部分,上述數(shù)據(jù)流可以是任意第三方終端向網(wǎng)關(guān)發(fā)送的數(shù)據(jù)流,上述數(shù)據(jù)流可以攜帶有第三方終端的IP地址。
[0020]步驟S1031,如果網(wǎng)關(guān)接收到的數(shù)據(jù)流為安全數(shù)據(jù)流的情況下,將數(shù)據(jù)流的來(lái)源IP地址的可信權(quán)重值進(jìn)行累加,直至可信權(quán)重值大于第一閾值的情況下,將數(shù)據(jù)流的來(lái)源IP地址寫入白名單。
[0021]具體的,上述數(shù)據(jù)流的來(lái)源IP地址的可信權(quán)重值可以為confirm_weight, confirm_weight的默認(rèn)值可以是0,上述第一閾值可以預(yù)設(shè)為1000,例如,第三方終端向網(wǎng)關(guān)發(fā)送的數(shù)據(jù)流,所述網(wǎng)關(guān)中多個(gè)安全檢測(cè)模塊依次對(duì)所述數(shù)據(jù)流進(jìn)行檢測(cè)后,如果上述數(shù)據(jù)流的類型被確定為安全類型,則confirm_weight加I,當(dāng)?shù)谌浇K端再次向網(wǎng)關(guān)發(fā)送的數(shù)據(jù)流,所述網(wǎng)關(guān)中多個(gè)安全檢測(cè)模塊依次對(duì)所述數(shù)據(jù)流進(jìn)行檢測(cè)后,如果上述數(shù)據(jù)流的類型再次被確定為安全類型,則confirm_weight再加I,依次類推,當(dāng)confirm_weight大于1000,即所述數(shù)據(jù)流的來(lái)源IP地址的第三方終端向網(wǎng)關(guān)發(fā)送的多次數(shù)據(jù)流中,有超過(guò)1000次被網(wǎng)關(guān)確定為安全類型,則所述網(wǎng)關(guān)將上述數(shù)據(jù)流的來(lái)源IP地址即第三方終端的IP地址寫入白名單。
[0022]可選的,在confirm_weight小于1000的時(shí)候,上述網(wǎng)關(guān)仍然對(duì)上述數(shù)據(jù)流進(jìn)行多個(gè)安全模塊的檢查,以累積驗(yàn)證這個(gè)主機(jī)及第三方終端的可信程度。
[0023]步驟S1032,如果網(wǎng)關(guān)接收到的數(shù)據(jù)流為非法數(shù)據(jù)流的情況下,將數(shù)據(jù)流的來(lái)源IP地址的黑名單權(quán)重值進(jìn)行累加,直至黑名單權(quán)重值大于第二閾值的情況下,將數(shù)據(jù)流的來(lái)源IP地址寫入黑名單。
[0024]具體的,上述數(shù)據(jù)流的來(lái)源IP地址的黑名單權(quán)重值可以為blcok_weight, block_weight的默認(rèn)值可以是0,上述第一閾值可以預(yù)設(shè)為3,例如,第三方終端向網(wǎng)關(guān)發(fā)送的數(shù)據(jù)流,所述網(wǎng)關(guān)中多個(gè)安全檢測(cè)模塊依次對(duì)所述數(shù)據(jù)流進(jìn)行檢測(cè)后,如果上述數(shù)據(jù)流的類型被確定為非法數(shù)據(jù)流,則block_weight加1,當(dāng)?shù)谌浇K端再次向網(wǎng)關(guān)發(fā)送的數(shù)據(jù)流,所述網(wǎng)關(guān)中多個(gè)安全檢測(cè)模塊依次對(duì)所述數(shù)據(jù)流進(jìn)行檢測(cè)后,如果上述數(shù)據(jù)流的類型再次被確定為非法數(shù)據(jù)流,則block_weight再加I,依次類推,當(dāng)block_weight大于3,即所述數(shù)據(jù)流的來(lái)源IP地址的第三方終端向網(wǎng)關(guān)發(fā)送的多次數(shù)據(jù)流中,有超過(guò)3次被網(wǎng)關(guān)確定為非法數(shù)據(jù)流,則所述網(wǎng)關(guān)將上述數(shù)據(jù)流的來(lái)源IP地址即第三方終端的IP地址寫入黑名單。
[0025]本實(shí)施例通過(guò)網(wǎng)關(guān)設(shè)備內(nèi)多個(gè)安全檢測(cè)模塊聯(lián)合依次對(duì)網(wǎng)關(guān)接收到的數(shù)據(jù)流進(jìn)行安全性檢測(cè),在確定上述數(shù)據(jù)流是安全數(shù)據(jù)流或非法數(shù)據(jù)流的情況下,累加上述數(shù)據(jù)流的來(lái)源IP地址的可信權(quán)重值或黑名單權(quán)重值,并在可信權(quán)重值或黑名單權(quán)重值超過(guò)第一閾值或第二閾值的情況下將數(shù)據(jù)流的來(lái)源IP地址寫入白名單或黑名單,解決了現(xiàn)有技術(shù)中網(wǎng)關(guān)設(shè)備中多個(gè)安全模塊在工作時(shí)無(wú)聯(lián)動(dòng)的情況導(dǎo)致網(wǎng)關(guān)處理數(shù)據(jù)效率低的問(wèn)題。
[0026]優(yōu)選的,步驟SlOl中的多個(gè)安全檢測(cè)模塊可以包括以下至少一個(gè):抗攻擊檢測(cè)模塊、IPS檢測(cè)模塊和防病毒模塊。步驟SlOl中的使用多個(gè)安全檢測(cè)模塊對(duì)網(wǎng)關(guān)接收到的數(shù)據(jù)流依次進(jìn)行安全性檢測(cè),確定數(shù)據(jù)流的類型的步驟還可以包括:
[0027]步驟S201,采用抗攻擊檢測(cè)模塊、IPS檢測(cè)模塊和防病毒模塊依次對(duì)數(shù)據(jù)流進(jìn)行安全檢測(cè)。具體的,本方法可以包含兩個(gè)方案:
[0028]方案一:
[0029]在數(shù)據(jù)流沒(méi)有被抗攻擊檢測(cè)模塊、IPS檢測(cè)模塊和防病毒模塊檢測(cè)出攻擊或異常的情況下,確定數(shù)據(jù)流為安全數(shù)據(jù)流。
[0030]方案二:
[0031]在數(shù)據(jù)流被抗攻擊檢測(cè)模塊、IPS檢測(cè)模塊和防病毒模塊檢測(cè)出攻擊或異常的情況下,確定數(shù)據(jù)流為非法數(shù)據(jù)流。
[0032]優(yōu)選的,上述步驟S1031中的將數(shù)據(jù)流的來(lái)源IP地址寫入白名單之后,本實(shí)施例提供的網(wǎng)關(guān)處理數(shù)據(jù)的方法還可以包括:
[0033]步驟S301,針對(duì)數(shù)據(jù)流的來(lái)源IP地址設(shè)置免檢時(shí)間段,或通過(guò)第一運(yùn)算規(guī)則來(lái)計(jì)算免檢時(shí)間段,其中,在免檢時(shí)間段內(nèi),控制網(wǎng)關(guān)在免檢時(shí)間段內(nèi)對(duì)數(shù)據(jù)流不進(jìn)行安全檢測(cè)。
[0034]具體的,上述網(wǎng)關(guān)將上述數(shù)據(jù)流的來(lái)源IP地址寫入白名單之后,上述網(wǎng)關(guān)針對(duì)上述數(shù)據(jù)流的來(lái)源IP地址設(shè)置免檢時(shí)間段,例如,第三終端向上述網(wǎng)關(guān)多次發(fā)送數(shù)據(jù)流,上述網(wǎng)關(guān)內(nèi)各個(gè)安全檢測(cè)模塊也多次對(duì)上述數(shù)據(jù)流進(jìn)行安全檢測(cè),如果上述網(wǎng)關(guān)將上述數(shù)據(jù)流的來(lái)源IP地址寫入白名單,網(wǎng)關(guān)則針對(duì)數(shù)據(jù)流的來(lái)源IP地址設(shè)置免檢時(shí)間段,即在該免檢時(shí)間段內(nèi),上述第三終端再向上述網(wǎng)關(guān)發(fā)送數(shù)據(jù)流,上述網(wǎng)關(guān)內(nèi)部的安全檢測(cè)模塊不對(duì)上述數(shù)據(jù)流進(jìn)行例如抗攻擊、IPS/防病毒的檢測(cè),以減輕網(wǎng)關(guān)負(fù)擔(dān)。
[0035]優(yōu)選的,上述免檢時(shí)間段可以設(shè)置為5秒,即在上述數(shù)據(jù)流的來(lái)源IP地址被寫入白名單后的5秒鐘內(nèi),網(wǎng)關(guān)對(duì)上述IP地址的第三終端發(fā)送的數(shù)據(jù)流不做檢測(cè)。上述時(shí)間段也可以通過(guò)第一運(yùn)算規(guī)則來(lái)計(jì)算。上述第一運(yùn)算規(guī)則可以為:
[0036]免檢時(shí)間段=默認(rèn)免檢時(shí)間段+第一參數(shù)*可信次數(shù),其中,所述默認(rèn)免檢時(shí)間段為用戶預(yù)設(shè)的時(shí)間段;所述第一參數(shù)為所述用戶預(yù)設(shè)的常數(shù);所述可信次數(shù)為所述數(shù)據(jù)流的源IP地址寫入白名單的累加次數(shù)。
[0037]具體的,上述默認(rèn)免檢時(shí)間段可以設(shè)置為5秒,第一參數(shù)可以設(shè)置為2秒,上述可信次數(shù)可以采用confirm_count來(lái)表示,confirm_count的默認(rèn)值可以為O,當(dāng)所述數(shù)據(jù)流的來(lái)源IP地址被寫入白名單后,可信次數(shù)則進(jìn)行加1,例如,第三終端向上述網(wǎng)關(guān)多次發(fā)送數(shù)據(jù)流,第三終端的IP地址被網(wǎng)關(guān)寫入3次白名單,則可信次數(shù)COnfirm_COUnt的累加次數(shù)為3,通過(guò)上述第一運(yùn)算規(guī)則可以算得免檢時(shí)間段=11秒,即在上述數(shù)據(jù)流的來(lái)源IP地址被寫入白名單后的11秒鐘內(nèi),上述網(wǎng)關(guān)對(duì)上述第三終端發(fā)送的數(shù)據(jù)流不做檢測(cè)。
[0038]優(yōu)選的,上述步驟S1032中的將數(shù)據(jù)流的來(lái)源IP地址寫入黑名單之后,本實(shí)施例提供的網(wǎng)關(guān)處理數(shù)據(jù)的方法還可以包括:
[0039]步驟S401,針對(duì)數(shù)據(jù)流的來(lái)源IP地址設(shè)置阻塞時(shí)間段,或通過(guò)第二運(yùn)算規(guī)則來(lái)計(jì)算阻塞時(shí)間段,其中,在阻塞時(shí)間段內(nèi),控制網(wǎng)關(guān)在阻塞時(shí)間段內(nèi)將數(shù)據(jù)流丟棄。
[0040]具體的,上述網(wǎng)關(guān)將上述數(shù)據(jù)流的來(lái)源IP地址寫入黑名單之后,上述網(wǎng)關(guān)針對(duì)上述數(shù)據(jù)流的來(lái)源IP地址設(shè)置阻塞時(shí)間段,例如,第三終端向上述網(wǎng)關(guān)多次發(fā)送數(shù)據(jù)流,上述網(wǎng)關(guān)內(nèi)各個(gè)安全檢測(cè)模塊也多次對(duì)上述數(shù)據(jù)流進(jìn)行安全檢測(cè),如果上述網(wǎng)關(guān)將上述數(shù)據(jù)流的來(lái)源IP地址寫入黑名單,網(wǎng)關(guān)則針對(duì)數(shù)據(jù)流的來(lái)源IP地址設(shè)置阻塞時(shí)間段,即在該阻塞時(shí)間段內(nèi),上述第三終端再向上述網(wǎng)關(guān)發(fā)送數(shù)據(jù)流,上述網(wǎng)關(guān)直接將所述數(shù)據(jù)流丟棄。
[0041]優(yōu)選的,上述阻塞時(shí)間段可以設(shè)置為5秒,即在上述數(shù)據(jù)流的來(lái)源IP地址被寫入白名單后的5秒鐘內(nèi),網(wǎng)關(guān)對(duì)上述IP地址的第三終端發(fā)送的數(shù)據(jù)流直接丟棄。上述時(shí)間段也可以通過(guò)第二運(yùn)算規(guī)則來(lái)計(jì)算。上述第二運(yùn)算規(guī)則可以為:
[0042]阻塞時(shí)間段=默認(rèn)阻塞時(shí)間段+第二參數(shù)*不可信次數(shù),其中,所述默認(rèn)免檢時(shí)間段為用戶預(yù)設(shè)的時(shí)間段;所述第二參數(shù)為所述用戶預(yù)設(shè)的常數(shù);所述不可信次數(shù)為所述數(shù)據(jù)流的源IP地址寫入黑名單的累加次數(shù)。
[0043]具體的,上述默認(rèn)阻塞時(shí)間段可以設(shè)置為5秒,第二參數(shù)可以設(shè)置為2秒,上述不可信次數(shù)可以采用block_count來(lái)表示,block_count的默認(rèn)值可以為O,當(dāng)所述數(shù)據(jù)流的來(lái)源IP地址被寫入黑名單后,不可信次數(shù)則進(jìn)行加1,例如,第三終端向上述網(wǎng)關(guān)多次發(fā)送數(shù)據(jù)流,第三終端的IP地址被網(wǎng)關(guān)寫入3次黑名單,則可信次數(shù)blOCk_COunt的累加次數(shù)為3,通過(guò)上述第一運(yùn)算規(guī)則可以算得免檢時(shí)間段=11秒,即在上述數(shù)據(jù)流的來(lái)源IP地址被寫入白名單后的11秒鐘內(nèi),上述網(wǎng)關(guān)對(duì)上述第三終端發(fā)送的數(shù)據(jù)流直接丟棄。
[0044]由上述兩個(gè)運(yùn)算規(guī)則可見(jiàn),可信次數(shù)或不可信次數(shù)越多,對(duì)應(yīng)的免檢時(shí)間或阻塞時(shí)間就越長(zhǎng)。即可信次數(shù)多,免檢時(shí)間段有累計(jì)獎(jiǎng)勵(lì),不可信次數(shù)多,阻塞時(shí)間段有累計(jì)懲罰。
[0045]可選的,可以人工規(guī)定上述阻塞時(shí)間段和免檢時(shí)間段最長(zhǎng)不超過(guò)60秒,以保證網(wǎng)關(guān)設(shè)備高效率、靈活的處理數(shù)據(jù)。
[0046]可選的,在網(wǎng)關(guān)查詢安全規(guī)則之間,網(wǎng)關(guān)可以取數(shù)據(jù)流的來(lái)源IP地址在黑名單中進(jìn)行查詢,如果匹配,并且該IP地址仍然在阻塞時(shí)間段內(nèi),網(wǎng)關(guān)則對(duì)數(shù)據(jù)流直接丟棄,同時(shí)更新阻塞時(shí)間。
[0047]本發(fā)明結(jié)合具體應(yīng)用場(chǎng)景例描述:
[0048]本申請(qǐng)主要通過(guò)以下方法來(lái)實(shí)現(xiàn)聯(lián)動(dòng):
[0049]1、在網(wǎng)關(guān)數(shù)據(jù)包入口處理添加黑名單阻塞處理:
[0050]如果源IP在黑名單中,并且在阻塞周期內(nèi),將對(duì)這個(gè)源IP發(fā)起的任何連接,直接做丟棄處理。無(wú)需再進(jìn)行后續(xù)的處理,減輕網(wǎng)關(guān)壓力,同時(shí)提高攻擊阻擋的及時(shí)性。
[0051]2、在安全策略檢查后,添加可信名單檢查,同時(shí)在狀態(tài)表中擴(kuò)展可信標(biāo)記位,這樣在后續(xù)進(jìn)入抗攻擊、IPS或防病毒模塊前,通過(guò)檢查可信名單標(biāo)記位來(lái)決定是否進(jìn)入這些安全模塊做處理。
[0052]如果源IP在可信名單中,并在可信周期內(nèi),對(duì)這個(gè)IP發(fā)起的請(qǐng)求,可以不用再做異常流量檢測(cè)、抗攻擊、IPS安全模塊的處理。
[0053]3、在網(wǎng)關(guān)各安全模塊中,添加可信/不可信權(quán)重的計(jì)算,增加聯(lián)動(dòng)信息(可信名單,不可信名單)的處理。主要包括:不可信名單:可以是單個(gè)源IP,也可以是更具體的流信息,根據(jù)實(shí)際情況可以進(jìn)行選擇。DATA部分主要是阻塞的時(shí)間信息,比如對(duì)某個(gè)源IP阻塞5分鐘。數(shù)據(jù)結(jié)構(gòu)如下:
[0054]
【權(quán)利要求】
1.一種網(wǎng)關(guān)處理數(shù)據(jù)的方法,其特征在于,包括: 使用多個(gè)安全檢測(cè)模塊對(duì)網(wǎng)關(guān)接收到的數(shù)據(jù)流依次進(jìn)行安全性檢測(cè),確定所述數(shù)據(jù)流的類型,所述數(shù)據(jù)流的類型包括:安全數(shù)據(jù)流和非法數(shù)據(jù)流; 如果所述網(wǎng)關(guān)接收到的所述數(shù)據(jù)流為所述安全數(shù)據(jù)流的情況下,將所述數(shù)據(jù)流的來(lái)源IP地址的可信權(quán)重值進(jìn)行累加,直至所述可信權(quán)重值大于第一閾值的情況下,將所述數(shù)據(jù)流的來(lái)源IP地址寫入白名單; 如果所述網(wǎng)關(guān)接收到的所述數(shù)據(jù)流為所述非法數(shù)據(jù)流的情況下,將所述數(shù)據(jù)流的來(lái)源IP地址的黑名單權(quán)重值進(jìn)行累加,直至所述黑名單權(quán)重值大于第二閾值的情況下,將所述數(shù)據(jù)流的來(lái)源IP地址寫入黑名單。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述多個(gè)安全檢測(cè)模塊包括以下至少一個(gè):抗攻擊檢測(cè)模塊、IPS檢測(cè)模塊和防病毒模塊;其中,使用所述多個(gè)安全檢測(cè)模塊對(duì)網(wǎng)關(guān)接收到的數(shù)據(jù)流依次進(jìn)行安全性檢測(cè),確定所述數(shù)據(jù)流的類型的步驟包括: 采用所述抗攻擊檢測(cè)模塊、IPS檢測(cè)模塊和防病毒模塊依次對(duì)所述數(shù)據(jù)流進(jìn)行安全檢測(cè); 在所述數(shù)據(jù)流沒(méi)有被所述抗攻擊檢測(cè)模塊、IPS檢測(cè)模塊和防病毒模塊檢測(cè)出攻擊或異常的情況下,確定所述數(shù)據(jù)流為安全數(shù)據(jù)流; 在所述數(shù)據(jù)流被所述抗攻擊檢測(cè)模塊、IPS檢測(cè)模塊和防病毒模塊檢測(cè)出攻擊或異常的情況下,確定所述數(shù)據(jù)流為非法數(shù)據(jù)流。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,將所述數(shù)據(jù)流的來(lái)源IP地址寫入白名單之后,所述方法還包括: 針對(duì)所述數(shù)據(jù)流的來(lái)源IP地址設(shè)置免檢時(shí)間段,或通過(guò)第一運(yùn)算規(guī)則來(lái)計(jì)算免檢時(shí)間段,其中,在所述免檢時(shí)間段內(nèi),控制所述網(wǎng)關(guān)在所述免檢時(shí)間段內(nèi)對(duì)所述數(shù)據(jù)流不進(jìn)行安全檢測(cè)。
4.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,將所述數(shù)據(jù)流的來(lái)源IP地址寫入黑名單之后,所述方法還包括: 針對(duì)所述數(shù)據(jù)流的來(lái)源IP地址設(shè)置阻塞時(shí)間段,或通過(guò)第二運(yùn)算規(guī)則來(lái)計(jì)算阻塞時(shí)間段,其中,在所述阻塞時(shí)間段內(nèi),控制所述網(wǎng)關(guān)在所述阻塞時(shí)間段內(nèi)將所述數(shù)據(jù)流丟棄。
5.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述第一運(yùn)算規(guī)則為: 免檢時(shí)間段=默認(rèn)免檢時(shí)間段+第一參數(shù)*可信次數(shù),其中,所述默認(rèn)免檢時(shí)間段為用戶預(yù)設(shè)的時(shí)間段;所述第一參數(shù)為所述用戶預(yù)設(shè)的常數(shù);所述可信次數(shù)為所述數(shù)據(jù)流的源IP地址寫入白名單的累加次數(shù)。
6.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述第二運(yùn)算規(guī)則為: 阻塞時(shí)間段=默認(rèn)阻塞時(shí)間段+第二參數(shù)*不可信次數(shù),其中,所述默認(rèn)阻塞時(shí)間段為用戶預(yù)設(shè)的時(shí)間段;所述第二參數(shù)為所述用戶預(yù)設(shè)的常數(shù);所述不可信次數(shù)為所述數(shù)據(jù)流的源IP地址寫入黑名單的累加次數(shù)。
7.—種網(wǎng)關(guān)處理數(shù)據(jù)的裝置,其特征在于,包括: 檢測(cè)單元,用于使用多個(gè)安全檢測(cè)模塊對(duì)網(wǎng)關(guān)接收到的數(shù)據(jù)流依次進(jìn)行安全性檢測(cè),確定所述數(shù)據(jù)流的類型,所述數(shù)據(jù)流的類型包括:安全數(shù)據(jù)流和非法數(shù)據(jù)流; 處理單元,用于如果所述網(wǎng)關(guān)接收到的所述數(shù)據(jù)流為所述安全數(shù)據(jù)流的情況下,將所述數(shù)據(jù)流的來(lái)源IP地址的可信權(quán)重值進(jìn)行累加,直至所述可信權(quán)重值大于第一閾值的情況下,將所述數(shù)據(jù)流的來(lái)源IP地址寫入白名單;如果所述網(wǎng)關(guān)接收到的所述數(shù)據(jù)流為所述非法數(shù)據(jù)流的情況下,將所述數(shù)據(jù)流的來(lái)源IP地址的黑名單權(quán)重值進(jìn)行累加,直至所述黑名單權(quán)重值大于第二閾值的情況下,將所述數(shù)據(jù)流的來(lái)源IP地址寫入黑名單。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述多個(gè)安全檢測(cè)模塊包括以下至少一個(gè):抗攻擊檢測(cè)模塊、IPS檢測(cè)模塊和防病毒模塊;其中,所述檢測(cè)單元包括: 檢測(cè)模塊,用于采用所述抗攻擊檢測(cè)模塊、IPS檢測(cè)模塊和防病毒模塊依次對(duì)所述數(shù)據(jù)流進(jìn)行安全檢測(cè); 處理模塊,用于在所述數(shù)據(jù)流沒(méi)有被所述抗攻擊檢測(cè)模塊、IPS檢測(cè)模塊和防病毒模塊檢測(cè)出攻擊或異常的情況下,確定所述數(shù)據(jù)流為安全數(shù)據(jù)流;在所述數(shù)據(jù)流被所述抗攻擊檢測(cè)模塊、IPS檢測(cè)模塊和防病毒模塊檢測(cè)出攻擊或異常的情況下,確定所述數(shù)據(jù)流為非法數(shù)據(jù)流。
9.根據(jù)權(quán)利要求7或8所述的裝置,其特征在于,所述裝置還包括: 第一設(shè)置單元,用于針對(duì)所述數(shù)據(jù)流的來(lái)源IP地址設(shè)置免檢時(shí)間段,或通過(guò)第一運(yùn)算規(guī)則來(lái)計(jì)算免檢時(shí)間段,其中,在所述免檢時(shí)間段內(nèi),控制所述網(wǎng)關(guān)在所述免檢時(shí)間段內(nèi)對(duì)所述數(shù)據(jù)流不進(jìn)行安全檢測(cè)。
10.根據(jù)權(quán)利要求7或8所述的裝置,其特征在于,所述裝置還包括: 第二設(shè)置單元,用于針對(duì)所述數(shù)據(jù)流的來(lái)源IP地址設(shè)置阻塞時(shí)間段,或通過(guò)第二運(yùn)算規(guī)則來(lái)計(jì)算阻塞時(shí)間段,其中,在所述阻塞時(shí)間段內(nèi),控制所述網(wǎng)關(guān)在所述阻塞時(shí)間段內(nèi)將所述數(shù)據(jù)流丟棄。
11.根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述第一運(yùn)算規(guī)則為: 免檢時(shí)間段=默認(rèn)免檢時(shí)間段+第一參數(shù)*可信次數(shù),其中,所述默認(rèn)免檢時(shí)間段為用戶預(yù)設(shè)的時(shí)間段;所述第一參數(shù)為所述用戶預(yù)設(shè)的常數(shù);所述可信次數(shù)為所述數(shù)據(jù)流的源IP地址寫入白名單的累加次數(shù)。
12.根據(jù)權(quán)利要求10所述的裝置,其特征在于,所述第二運(yùn)算規(guī)則為: 阻塞時(shí)間段=默認(rèn)阻塞時(shí)間段+第二參數(shù)*不可信次數(shù),其中,所述默認(rèn)阻塞時(shí)間段為用戶預(yù)設(shè)的時(shí)間段;所述第二參數(shù)為所述用戶預(yù)設(shè)的常數(shù);所述不可信次數(shù)為所述數(shù)據(jù)流的源IP地址寫入黑名單的累加次數(shù)。
【文檔編號(hào)】H04L12/66GK104184746SQ201410466775
【公開(kāi)日】2014年12月3日 申請(qǐng)日期:2014年9月12日 優(yōu)先權(quán)日:2014年9月12日
【發(fā)明者】姚翼雄 申請(qǐng)人:網(wǎng)神信息技術(shù)(北京)股份有限公司, 網(wǎng)神科技(北京)有限公司