本发明专利技术是关于会话保持方法及装置,所述方法包括:在所述安全设备被切换为服务设备后,接收上一被选定的服务设备发送的同步报文;其中,所述同步报文携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息;基于所述同步报文中携带的所述会话信息保持与所述上行服务端以及下行客户端的会话。应用本发明专利技术可以在不影响上层业务的基础上动态切换链路,从而使得渗透攻击等针对链路的攻击无法持续进行,有效地解决了相关技术在防护针对链路的攻击时防护能力差的问题。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种会话保持方法及装置。
技术介绍
随着IP技术的发展,基于IP的攻击也日益猖獗。为了防护基于IP的攻击,相关技术从报文的检测深度以及检测频度两方面出发提出了代理或加堡垒机的解决方式。代理或加堡垒机的方式虽然可以通过对发送至目标IP的数据进行检测来过滤掉部分攻击内容,但是对于渗透攻击等看似“正常”的攻击的识别以及防护能力较差。因此,当恶意用户通过对连接目标IP的链路进行渗透攻击来实现对目标IP的攻击时,相关技术无法进行有效的防护。
技术实现思路
为克服相关技术中存在的问题,本专利技术提供了会话保持方法及装置。本专利技术提供一种会话保持方法,应用于包括若干安全设备、上行服务端以及下行客户端的网络安全系统中的任一安全设备,其中,所述若干安全设备中的安全设备基于预设的周期被随机切换为服务设备,且在切换过程中保持与所述上行服务端以及所述下行客户端之间的会话不变,所述若干安全设备均预配置了与所述上行服务端相同的下行IP地址,以及均配置了相同的对应于所述上行服务端的上行IP地址;所述方法包括:在所述安全设备被切换为服务设备后,接收上一被选定的服务设备发送的同步报文;其中,所述同步报文携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息;基于所述同步报文中携带的所述会话信息保持与所述上行服务端以及下行客户端的会话。作为改进,所述方法还包括:当所述安全设备被切换为服务设备时,基于所述安全设备的MAC地址以及所述上行IP地址生成地址解析协议ARP报文;向所述上行服务端发送所述ARP报文,以使所述上行服务端基于接收到的ARP报文更新MAC表项。作为改进,所述方法还包括:当所述安全设备被切换为服务设备时,基于所述安全设备的MAC地址以及所述下行IP地址生成ARP报文;向所述下行客户端发送所述ARP报文,以使所述下行客户端基于接收到的ARP报文更新MAC表项。作为改进,所述若干安全设备包括不同的操作系统。作为改进,所述被切换为服务设备的安全设备与所述上一被选定的服务设备之间通过二层以太网报文同步所述会话信息。本专利技术同时还提供一种会话保持装置,应用于包括若干安全设备、上行服务端以及下行客户端的网络安全系统中的任一安全设备,其中,所述若干安全设备中的安全设备基于预设的周期被随机切换为服务设备,且在切换过程中保持与所述上行服务端以及所述下行客户端之间的会话不变,所述若干安全设备均预配置了与所述上行服务端相同的下行IP地址,以及均配置了相同的对应于所述上行服务端的上行IP地址;所述装置包括:同步报文接收模块,用于在所述安全设备被切换为服务设备后,接收上一被选定的服务设备发送的同步报文;其中,所述同步报文携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息;会话保持模块,用于基于所述同步报文中携带的所述会话信息保持与所述上行服务端以及下行客户端的会话。作为改进,所述装置还包括:第一生成模块,用于当所述安全设备被切换为服务设备时,基于所述安全设备的MAC地址以及所述上行IP地址生成地址解析协议ARP报文;第一发送模块,用于向所述上行服务端发送所述ARP报文,以使所述上行服务端基于接收到的ARP报文更新MAC表项。作为改进,所述装置还包括:第二生成模块,用于当所述安全设备被切换为服务设备时,基于所述安全设备的MAC地址以及所述下行IP地址生成ARP报文;第二发送模块,用于向所述下行客户端发送所述ARP报文,以使所述下行客户端基于接收到的ARP报文更新MAC表项。作为改进,所述若干安全设备包括不同的操作系统。作为改进,所述被切换为服务设备的安全设备与所述上一被选定的服务设备之间通过二层以太网报文同步所述会话信息。在本专利技术中,当网络设备中的安全设备被切换为服务设备时,可以接收上一被选定的服务设备发送的同步报文,其中,该同步报文可以携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息,然后,上述被切换为服务设备的安全设备可以基于上述同步报文中携带的会话信息保持与上行服务端以及下行客户端的会话。应用本专利技术可以在不影响上层业务的基础上动态切换链路,从而使得渗透攻击等针对链路的攻击无法持续进行,有效地解决了相关技术在防护针对链路的攻击时防护能力差的问题。附图说明此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本专利技术的实施例,并与说明书一起用于解释本专利技术的原理。图1是示出的一种网络安全系统的组网图;图2是本专利技术一实施例示出的一种会话保持方法的流程图;图3是示出的一种TCP连接的部分socket信息图;图4是示出的一种SIP会话的会话标识信息图;图5是本专利技术实施例中会话保持装置的硬件结构框图;图6是本专利技术根据一示例性实施例示出的一种会话保持装置的框图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。请参见图1,为示出的一种网络安全系统的组网图。在图1示出的网络安全系统中,包括客户端、交换机、服务端以及设置于服务端、交换机之间的若干安全设备。其中,该若干安全设备可以均设置于服务端与交换机之间。上述客户端与上述服务端之间可以进行数据交互,为了防止上述客户端将不合法、攻击以及未授权等可能会损害上述服务端的恶意内容发送至上述服务端,网络安全系统中加入了安全设备来对上述客户端发送至上述服务端的数据进行安全检测。在上述客户端发送至上述服务端的数据被安全设备确认为正常数据后,上述客户端可以基于发送至上述服务端的数据与上述服务端建立一条链路。该条链路会一直保持,直到上述客户端或上述服务端关闭该条链路。在该链路保持的过程中,恶意用户可以通过该条链路进行渗透攻击,从而达到攻击上述服务端的目的。相关技术中采用代理或加堡垒机的方式来对上述服务端进行防护,但是,由于代理或加堡垒机的方式是从对报文的检测深度以及检测频度来出发,因此,相关技术基本无法检测出渗透攻击,也无法对渗透攻击进行有效的防护。故,相关技术在防护针对链路的渗透攻击时,防护能力差。有鉴于此,本专利技术提供了一种会话保持方法及装置,来解决相关技术在防护针对链路的攻击时防护能力差的问题。在本专利技术中,当网络设备中的安全设备被切换为服务设备时,可以接收上一被选定的服务设备发送的同步报文,其中,该同步报文可以携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息,然后,上述被切换为服务设备的安全设备可以基于上述同步报文中携带的会话信息保持与上行服务端以及下行客户端的会话。应用本专利技术可以在不影响上层业务的基础上动态切换链路,从而使得渗透攻击等针对链路的攻击无法持续进行,有效地解决了相关技术在防护针对链路的攻击时防护能力差的问题。参见图2,为本专利技术一实施例示出的一种会话保持方法的流程图,该实施例应用于包括若干安全设备的网络安全系统中的任一安全设备,包括以下步骤:步骤201:在所述安全设备被切换为服务设备后,接收上一被选定的服务设备发送的同步报文;其中,所述同步报文携带上一被选定本文档来自技高网...
【技术保护点】
一种会话保持方法,应用于包括若干安全设备、上行服务端以及下行客户端的网络安全系统中的任一安全设备,其中,所述若干安全设备中的安全设备基于预设的周期被随机切换为服务设备,且在切换过程中保持与所述上行服务端以及所述下行客户端之间的会话不变,其特征在于,所述若干安全设备均预配置了与所述上行服务端相同的下行IP地址,以及均配置了相同的对应于所述上行服务端的上行IP地址;所述方法包括:在所述安全设备被切换为服务设备后,接收上一被选定的服务设备发送的同步报文;其中,所述同步报文携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息;基于所述同步报文中携带的所述会话信息保持与所述上行服务端以及下行客户端的会话。
【技术特征摘要】
1.一种会话保持方法,应用于包括若干安全设备、上行服务端以及下行客户端的网络安全系统中的任一安全设备,其中,所述若干安全设备中的安全设备基于预设的周期被随机切换为服务设备,且在切换过程中保持与所述上行服务端以及所述下行客户端之间的会话不变,其特征在于,所述若干安全设备均预配置了与所述上行服务端相同的下行IP地址,以及均配置了相同的对应于所述上行服务端的上行IP地址;所述方法包括:在所述安全设备被切换为服务设备后,接收上一被选定的服务设备发送的同步报文;其中,所述同步报文携带上一被选定的服务设备与上行服务端以及下行客户端之间交互的会话信息;基于所述同步报文中携带的所述会话信息保持与所述上行服务端以及下行客户端的会话。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:当所述安全设备被切换为服务设备时,基于所述安全设备的MAC地址以及所述上行IP地址生成地址解析协议ARP报文;向所述上行服务端发送所述ARP报文,以使所述上行服务端基于接收到的ARP报文更新MAC表项。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:当所述安全设备被切换为服务设备时,基于所述安全设备的MAC地址以及所述下行IP地址生成ARP报文;向所述下行客户端发送所述ARP报文,以使所述下行客户端基于接收到的ARP报文更新MAC表项。4.根据权利要求1所述的方法,其特征在于,所述若干安全设备包括不同的操作系统。5.根据权利要求1所述的方法,其特征在于,所述被切换为服务设备的安全设备与所述上一被选定的服务设备之间通过二层以太网报文同步所述会话信息。6.一种会话保持装置,应用于包括若干安全设备、上行服务端...
【专利技术属性】
技术研发人员:周迪,王军,
申请(专利权)人:浙江宇视科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。