本发明专利技术公开了一种透明网桥模式下的用户态应用安全检测方法及检测系统。客户端和服务端经由安全防护设备进行网络通信,内核专用处理模块和位于用户态的应用协议处理程序之间基于netlink方式进行通信,网络数据包经过安全防护设备后,由内核专用处理模块截获进行基本包过滤,发送给应用协议处理程序进行处理,应用协议处理程序负责对网络数据进行综合检测。部分复杂的处理功能由专用硬件加速处理模块进行加速,应用协议处理程序将综合检测结果反馈给内核专用处理模块,内核专用处理模块根据应用协议处理程序的反馈结果作出“丢弃”或“放行”的决策。本发明专利技术既具有透明模式的网络结构适应能力,也充分利用了应用软件和硬件加速处理的强大的安全检测能力。处理的强大的安全检测能力。处理的强大的安全检测能力。
【技术实现步骤摘要】
透明网桥模式下的用户态应用安全检测方法及检测系统
[0001]本专利技术属于数字信息传输
技术介绍
[0002]随着网络通信技术的高速发展,运行在网络上的应用程序的数量不断增长。很多应用程序正在改变协议的使用方式和数据的传输方式,出现了越来越多的应用集中在少量的端口上进行传输的趋势,导致新的风险和威胁不断产生。传统的防护手段主要是基于端口和协议来识别应用,而面对越来越多的新的应用场景和新的威胁,这种传统防护手段将不再具有足够的防护能力,客观上需要新的威胁检测技术。专用的应用协议代理技术结合相应的专用硬件加速处理技术可以有效地解决此类问题。
[0003]鉴于网络安全防护设备的部署和使用往往会引起原有网络拓扑结构的变化和调整,透明网桥模式能够很好地解决这个问题,因此目前大多数的网络安全产品都能够支持透明网桥模式。工作在内核链路层的透明网桥通常只进行基本的网络包过滤功能,如五元组(源地址、源端口、目的地址、目的端口、协议)过滤等,不太适合针对应用程序和数据的深度检测。一方面原因是在内核开发复杂功能的难度较大;另一方面,因为往往内核出现的一个小问题都会导致整个系统的崩溃,会影响产品运行的稳定性。目前,市面上的大部分网络安全防护产品,比如下一代防火墙等,对应于协议的识别和深度内容检测、威胁检测一般都是通过独立的应用代理程序实现,但这种场景下又无法支持透明模式。
[0004]通常情况下,透明网桥模式包过滤处理流程和应用协议代理完成内容过滤、威胁检测的流程如下所述。透明网桥包过滤是在数据链路层构建的透明网桥基础上,基于Linux内核防火墙框架Netfilter的hook函数实现的,如图1所示。在该透明网桥模式下,客户端和服务端经过安全防护设备直接建立连接,通信数据包经过链路层在内核防火墙Netfilter框架网桥FORWARD的位置,经过预先注册的hook函数(以内核模块形式加载)进行基本的包过滤处理后,根据规则匹配处理结果进行丢弃或者转发等动作。但该模式的缺点在于,由于处于内核态,无法进行复杂的报文处理,如协议深度解析、应用重组、应用识别、恶意代码检测、入侵检测等,这样就无法满足现实对应用检测、威胁检测的需求。
[0005]图2所示为应用代理模式下的安全检测流程。客户端和安全防护设备上的应用协议代理程序之间建立连接,应用协议代理程序再和服务端建立连接。通信数据包发送给安全防护设备应用协议代理程序,应用协议代理程序对数据内容进行深度解析、内容过滤和威胁检测,并根据检测结果进行告警、丢弃,或者通过和服务端的连接将数据包发送给服务端。应用协议代理程序可以利用专用的硬件加速处理技术,提升数据处理的效率。整个过程内核不做任何数据包过滤和检测处理。由于该模式下应用协议代理是网络程序,需要建立socket连接就必须要有IP地址,因此无法满足透明接入场景的需求。
技术实现思路
[0006]针对以上现有技术中网桥包过滤和应用代理模式存在的缺点和不足,本专利技术提出
一种Linux透明网桥模式下在用户态进行应用协议解析、内容过滤和威胁检测的方法以及对应的系统,以解决透明模式下数据包深度处理的扩展性问题和处理能力问题。
[0007]为实现上述目的,本专利技术采用的技术方案为一种透明网桥模式下的用户态应用安全检测方法,包含以下步骤:S1:客户端和服务端建立连接,开始向服务端发送数据包;S2:数据包先到达安全防护设备,通过设备的接收端网口从物理层进入内核态的链路层,由位于该链路层中的内核专用处理模块进行基本的包过滤处理;S3:所述内核专用处理模块将经过基本包过滤处理的数据包发送给用户态的应用协议处理程序进行处理;S4:所述应用协议处理程序接收内核态发送过来的原始数据包,对原始数据包进行必要的协议栈处理时如涉及较为复杂的处理功能则提交给专用硬件加速处理模块处理,将处理结果反馈给应用协议处理程序,然后对重组后的数据进行解析;S5:所述应用协议处理程序在解析的基础上,对数据内容进行综合检测;S6:应用协议处理程序将所述综合检测结果通过netlink方式发送给内核专用处理模块;S7:内核专用处理模块接收应用协议处理程序的处理结果,并根据接收到的处理结果作出“丢弃/DROP”或“放行/ACCEPT”的处理决策,如果是“丢弃/DROP”则调用内核数据包释放函数,如kfree_skb,释放数据包;如果是
ꢀ“
放行/ACCEPT”则执行注册在该位置的后续钩子处理函数;S8:继续执行完网桥原来的数据处理后仍然放行的数据包通过网桥发送给服务端;S9:从服务端返回的数据包,经由上述步骤8至步骤1的顺序返回客户端。
[0008]作为优选,上述步骤2中所述包过滤处理,包括基于状态检测的五元组过滤。
[0009]步骤4中,所述对原始数据包进行必要的协议栈处理包括IP头处理、TCP头处理、TCP数据重组。
[0010]步骤5中,所述综合检测包括应用识别过滤、内容检测过滤、威胁检测。
[0011]本专利技术还提供了一种利用上述透明网桥模式下的用户态应用安全检测方法进行用户态应用安全检测的系统,该系统包括客户端、服务端和居于二者之间的安全防护设备。所述安全防护设备包含内核态和用户态,内核态包含物理层、链路层、网络层和传输层,客户端和服务端经由安全防护设备进行正常的网络通信。位于安全防护设备内核态链路层的内核专用处理模块和位于用户态的应用协议处理程序之间基于netlink方式进行通信,网络数据包经过安全防护设备后,由内核专用处理模块截获进行基本包过滤,然后发送给应用协议处理程序进行处理,应用协议处理程序负责对网络数据进行综合检测,部分复杂的处理功能由位于用户态的专用硬件加速处理模块进行加速,应用协议处理程序将综合检测结果反馈给内核专用处理模块,内核专用处理模块根据应用协议处理程序的反馈结果作出“丢弃”或“放行”的决策,如果是
ꢀ“
放行”则执行注册在该位置的后续钩函数,数据包通过网桥发送给服务端,从服务端返回的数据包沿原路逆向返回客户端。
[0012]作为优选,安全防护设备的内核专用处理模块和应用协议处理程序之间基于netlink方式进行通信时可以引用内核netfilter框架的nfqueue机制。
[0013]作为优选,内核专用处理模块工作在内核Netfilter框架的链路层BR_FORWARD位置。
[0014]与现有技术相比,本专利技术具有以下的有益技术效果:1,本专利技术提出的透明网桥模式下的用户态应用安全检测方法的工作过程是,网络数据包经过安全防护设备后,由内核链路层的专用处理模块截获进行基本包过滤,然后发送给应用协议处理程序进行处理。应用协议处理程序负责对网络数据进行协议解析、内容重组、应用还原过滤和威胁检测等,部分复杂的处理功能由专用硬件加速处理模块进行加速。应用协议处理程序将检测结果反馈给内核专用处理模块。内核处理模块根据应用协议处理程序反馈结果进行丢弃或放行的动作,有效解决了网络安全设备透明模式下安全检测能力弱,以及应用代理程序无法支持透明模式的问题。
[0015]本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种透明网桥模式下的用户态应用安全检测方法,其特征在于,包含以下步骤: S1:客户端和服务端建立连接,开始向服务端发送数据包;S2:数据包先到达安全防护设备,通过该设备的接收端网口从物理层进入内核态的链路层,由位于该链路层中的内核专用处理模块进行基本的包过滤处理;S3:所述内核专用处理模块将经过基本包过滤处理的数据包发送给用户态的应用协议处理程序进行处理;S4:所述应用协议处理程序接收内核态发送过来的原始数据包,对原始数据包进行必要的协议栈处理,如涉及较为复杂的处理功能则提交给专用硬件加速处理模块处理,并将处理结果反馈给应用协议处理程序,然后对重组后的数据进行解析;S5:所述应用协议处理程序在解析的基础上对数据内容进行综合检测;S6:应用协议处理程序将所述综合检测结果通过netlink方式发送给内核专用处理模块;S7:内核专用处理模块接收应用协议处理程序的处理结果,并根据接收到的处理结果作出“丢弃”或“放行”的决策,如果是“丢弃”则调用内核数据包释放函数释放数据包;如果是
ꢀ“
放行”则执行注册在该位置的后续钩函数;S8:继续执行完网桥原来的数据处理后仍然放行的数据包,通过网桥发送给服务端;S9:从服务端返回的数据包,依次经由上述步骤8至步骤1的顺序返回客户端。2.根据权利要求1所述的透明网桥模式下的用户态应用安全检测方法,其特征在于,步骤2中所述包过滤处理包括基于状态检测的五元组过滤。3.根据权利要求1所述的透明网桥模式下的用户态应用安全检测方法,其特征在于,步骤4中所述对原始数据包进行必要的协议栈处理包括IP头处理、TCP头处理、TCP...
【专利技术属性】
技术研发人员:王传林,马卢霖,陈伟,张嘉磊,
申请(专利权)人:江苏深网科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。