本發明專利技術實施例公開一種單向流量的檢測方法及網絡設備,通過根據接收的檢測系統中其他網絡設備發送的同步信息中的協議棧信息對報文進行解析,并將所述報文的同步信息中的應用層數據與所述其他網絡設備發送的同步信息中的應用層數據進行組合獲得文件,如果所述報文是所述文件的最后一個報文時,則對所述文件進行安全檢測,如果所述報文不是所述文件的最后一個報文時,則將所述報文的同步信息發送給其他網絡設備,以使得所述其他網絡設備根據所述報文的同步信息對所述文件進行檢測從而實現對單向流量基于代理技術的安全檢測。
【技術實現步驟摘要】
一種單向流量的檢測方法及網絡設備
本專利技術屬于安全檢測領域,尤其涉及一種單向流量的檢測方法及網絡設備。
技術介紹
當前,在硬件安全市場中,反病毒(Ant1-Virus,AV)或者數據泄露防護 (DataLoss,DLP)等實現內容安全檢測的功能,已經成為UTM或者其他網絡安全設備必備的安全功能。由于AV或者DLP等特性本身主要都是對文件進行操作,如果每次都是對文件的部分內容進行操作,而不是整個文件的話,特性的檢測率就會受到很大影響。在此基礎上, 出現了代理技術。代理可以使得網絡設備充當中間人的角色,將報文中的文件內容全部緩存下來, 待到整個文件全部還原后再進行安全檢測,可以明顯提高檢測率。現有代理技術依賴于宿主操作系統提供的內核態協議棧功能,報文要到達應用程序,需要經過多次的報文拷貝,這在性能上是一個巨大的開銷。同時,由操作系統內核來完全維護鏈接需要的所有信息,應用程序無法做到任何干預。由操作系統內核來維護鏈接信息所帶來的缺點是所有報文必須全部經過操作系統內核,才能實現鏈接信息的正常維護以形成完整的文件內容。而如果在單向流量場景下, 報文會根據當前網絡負載情況選擇不同的鏈路進行轉發。如果文件中有一個報文從其他路徑轉發而并沒有經過內核進行處理,則此時該文件就會由于鏈接信息的不一致導致丟包, 最終導致該文件的鏈接中斷,無法形成完整的文件內容。因此,現有代理技術都不支持單向流量檢測。
技術實現思路
本專利技術實施例的目的在于提供一種檢測單向流量的方法。所述方法在具有統一網關出口的負載均衡場景下,基于代理技術實現對單向流量的安全檢測。第一方面,一種單向流量的檢測方法,其特征在于,所述方法包括接收網關轉發的報文;當所述報文命中會話時,根據接收的檢測系統中的其他網絡設備發送的同步信息中的協議棧信息對所述報文進行解析,獲得所述報文的同步信息,其中,所述檢測系統中包括至少兩個網絡設備,所述報文的同步信息中包含有協議棧信息和應用層數據;判斷所述報文的同 步信息中的應用層數據是否為文件;如果所述報文的同步信息中的應用層數據是文件,則緩存所述應用層數據;將所述報文的同步信息中的應用層數據與所述其他網絡設備發送的同步信息中的應用層數據進行組合獲得文件;如果所述報文是所述文件的最后一個報文,則對所述文件進行安全檢測;如果所述報文不是所述文件的最后一個報文,則將所述報文的同步信息發送給所述其他網絡設備,以使所述其他網絡設備根據所述報文的同步信息對所述文件進行安全檢測。結合第一方面,在第一方面的第一種可能的實現方式中,所述根據接收的檢測系統中的其他網絡設備發送的同步信息中的協議棧信息對所述報文進行解析包括接收所述其他網絡設備發送的封裝的同步信息,其中所述其他網絡設備發送的同步信息中包含有所述其他網絡設備接收的文件的其他報文的協議棧信息以及應用層數據信息;對所述其他網絡設備發送的封裝的同步信息進行解封裝;根據解封裝后的所述其他網絡設備發送的同步信息中的協議棧信息對所述報文進行解析。結合第一方面,在第一方面的第二種可能的實現方式中,所述將所述報文的同步信息發送給所述其他網絡設備包括將所述報文的同步信息進行封裝;將封裝后的所述報文的同步信息發送給所述其他網絡設備。結合第一方面或者第一方面的第一種可能的實現方式或者第一方面的第二種可能的實現方式,在第一方面的第三種可能的實現方式中,所述同步信息中還包括五元組信息,所述方法還包括根據接收的所述其他網絡設備發送的同步信息中的五元組信息建立會話。結合第一方面的第三種可能的實現方式,在第一方面的第四種可能的實現方式中,還包括如果所述報文的同步信息中的應用層數據不是文件,則根據所述五元組信息將所述報文通過所述網關設備進行轉發。第二方面,一種網絡設備,所述網絡設備包括接收單元,用于接收網關轉發的報文;解析單元,用于當所述報文命中會話時,根據接收的檢測系統中的其他檢測設備發送的同步信息中的協議棧信息對所述報文進行解析,獲得所述報文的同步信息,其中,所述檢測系統中包括至少兩個檢測設備,所述報文的同步信息中包含有協議棧信息和應用層數據;判斷單元,用于判斷所述報文的同步信息中的應用層數據是否為文件;緩存單元,用于如果`所述報文的同步信息中的應用層數據是文件,則緩存所述應用層數據;組合單元,用于將所述`報文的同步信息中的應用層數據與所述其他檢測設備發送的同步信息中的應用層數據進行組合獲得文件;安全檢測單元,用于如果所述報文是所述文件的最后一個報文,則對所述文件進行安全檢測;發送單元,用于如果所述報文不是所述文件的最后一個報文,則將所述報文的同步信息發送給所述其他檢測設備,以使所述其他檢測設備根據所述報文的同步信息對所述文件進行安全檢測。結合第二方面,在第二方面的第一種可能的實現方式中,所述解析單元,包括第一接收子單元,用于接收所述其他檢測設備發送的封裝的同步信息,其中所述其他檢測設備發送的同步信息中包含有所述其他檢測設備接收的文件的其他報文的協議棧信息以及應用層數據信息。解封裝子單元,用于對所述其他檢測設備發送的封裝的同步信息進行解封裝;解析子單元,用于根據解封裝后的所述其他檢測設備發送的同步信息中的協議棧信息對所述報文進行解析。結合第二方面,在第二方面的第二種可能的實現方式中,所述發送單元,包括封裝子單元,用于將所述報文的同步信息進行封裝;發送子單元,用于將封裝后的所述報文的同步信息發送給所述其他檢測設備。結合第二方面或者第二方面的第一種可能的實現方式或者第二方面的第二種可能的實現方式,在第二方面的第三種可能的實現方式中,所述同步信息還包括五元組信息,所述網絡設備還包括會話建立單元,用于根據接收的所述其他檢測設備發送的同步信息中的五元組信息建立會話。結合第二方面的第三種可能的實現方式,在第二方面的第四種可能的實現方式中,所述網絡設備還包括轉發單元,用于如果所述報文的同步信息中的應用層數據不是文件,則根據所述五元組信息將所述報文通過所述網關設備進行轉發。第三方面,一種系統,所述系統包括至少兩個上述網絡設備,所述至少兩個網絡設備用于實現網絡流量的負載均衡。本專利技術實施例提供的一種單向流量的檢測方法,通過根據接收檢測系統中其他網絡設備發送的同步信息中的協議棧信息對報文進行解析,并將所述報文的同步信息中的應用層數據與所述其他網絡設備發送的同步信息中的應用層數據進行組合獲得文件,如果所述報文是所述文件的最后一個報文時,則對所述文件進行安全檢測,如果所述報文不是所述文件的最后一個報文時,則將所述報文的同步信息發送給其他網絡設備,以使得所述其他網絡設備根據所述報文的同步信息對所述文件進行檢測,從而能夠在利用多個網絡設備接收文件的報文的情形下基于代理技術實現對單向流量的安全檢測。附圖說明為了更清楚地說明本專利技術實施例中的技術方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本專利技術的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動性的前提下,還可以根據這些附圖獲得其他的附圖。圖1是本專利技術實施例提供的一種檢測單向流量的方法應用場景圖2是本專利技術實施例提供的一種單向流量檢測的方法流程圖3是本專利技術實施例提供的一種網絡設備的裝置結構圖4是本專利技術實施例提供的一種網絡設備中解析單元的裝置結構圖5本文檔來自技高網...
【技術保護點】
一種單向流量的檢測方法,其特征在于,所述方法包括:接收網關轉發的報文;當所述報文命中會話時,根據接收的檢測系統中的其他網絡設備發送的同步信息中的協議棧信息對所述報文進行解析,獲得所述報文的同步信息,其中,所述檢測系統中包括至少兩個網絡設備,所述至少兩個網絡設備用于實現網絡流量的負載均衡,所述報文的同步信息中包含有協議棧信息和應用層數據;判斷所述報文的同步信息中的應用層數據是否為文件;如果所述報文的同步信息中的應用層數據是文件,則緩存所述應用層數據;將所述報文的同步信息中的應用層數據與所述其他網絡設備發送的同步信息中的應用層數據進行組合獲得文件;如果所述報文是所述文件的最后一個報文,則對所述文件進行安全檢測;如果所述報文不是所述文件的最后一個報文,則將所述報文的同步信息發送給所述其他網絡設備,以使所述其他網絡設備根據所述報文的同步信息對所述文件進行安全檢測。
【技術特征摘要】
1.一種單向流量的檢測方法,其特征在于,所述方法包括 接收網關轉發的報文; 當所述報文命中會話時,根據接收的檢測系統中的其他網絡設備發送的同步信息中的協議棧信息對所述報文進行解析,獲得所述報文的同步信息,其中,所述檢測系統中包括至少兩個網絡設備,所述至少兩個網絡設備用于實現網絡流量的負載均衡,所述報文的同步信息中包含有協議棧信息和應用層數據; 判斷所述報文的同步信息中的應用層數據是否為文件; 如果所述報文的同步信息中的應用層數據是文件,則緩存所述應用層數據; 將所述報文的同步信息中的應用層數據與所述其他網絡設備發送的同步信息中的應用層數據進行組合獲得文件; 如果所述報文是所述文件的最后一個報文,則對所述文件進行安全檢測; 如果所述報文不是所述文件的最后一個報文,則將所述報文的同步信息發送給所述其他網絡設備,以使所述其他網絡設備根據所述報文的同步信息對所述文件進行安全檢測。2.根據權利要求1所述的單向流量的檢測方法,其特征在于,所述根據接收的檢測系統中的其他網絡設備發送的同步信息中的協議棧信息對所述報文進行解析包括 接收所述其他網絡設備發送的封裝的同步信息,其中所述其他網絡設備發送的同步信息中包含有所述其他網絡設備接收的文件的其他報文的協議棧信息以及應用層數據信息; 對所述其他網絡設備發送的封裝的同步信息進行解封裝; 根據解封裝后的所述其他網絡設備發送的同步信息中的協議棧信息對所述報文進行解析。3.根據權利要求1所述的單向流量的檢測方法,其特征在于,所述將所述報文的同步信息發送給所述其他網絡設備包括 將所述報文的同步信息進行封裝; 將封裝后的所述報文的同步信息發送給所述其他網絡設備。4.根據權利要求1-3任意一項所述的方法,其特征在于 所述同步信息中還包括五元組信息, 所述方法還包括 根據接收的所述其他網絡設備發送的同步信息中的五元組信息建立會話。5.根據權利要求4所述的方法,其特征在于,還包括 如果所述報文的同步信息中的應用層數據不是文件,則根據所述五元組信息將所述報文通過所述網關設備進行轉發。6.一種網絡設備,其特征在于,所述網絡設備包括 接收單元,用于接收網關轉發的報文; 解析單元,用于當所述報文命中會話時,根據所述接收單元接收...
【專利技術屬性】
技術研發人員:薛智慧,蔣武,李世光,
申請(專利權)人:華為技術有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。