本发明专利技术公开了一种安全网关及其控制敏感链接的方法,所述方法包括:读取预先指定的敏感URL并建立状态转换表;解析DNS数据流获取二元组消息,所述二元组消息包括URL和IP信息;查找所述状态转换表,检测所述二元组消息中URL是否为敏感链接,若是,则将所述二元组消息存入预先配置的敏感URL池内;接收HTTP报文,查找所述敏感URL池,若所述HTTP报文的目的IP地址与敏感URL池内的表项匹配,则根据预先配置的策略对所述HTTP报文进行处理。本发明专利技术所述方法能够基于链接层面对敏感HTTP链接进行有效的访问控制。
【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及。
技术介绍
随着目前安全网关不断的发展,用户要求不断提高,应用的环境也越来越复杂,这 就必然导致了相关网络安全设备不仅要在硬件设计上进行改善,更重要的是需要一个设计 更为合理,更加健壮、稳定的软件体系框架。在这样趋势下,要求用户交互接口更加完善、易麗、语曰化ο安全网关这个主要应用在网络层面的安全设备,成千上万的连接都会经过访问控 制规则的过滤,对非法的连接起到限制作用。在这成千上万的连接中,必然HTTP链接会占 相当大的比重,而其中一些用户关心的部分URL,我们称之为敏感URL,例如,一些非法反动网站等等。假设当前需要在连接层面对HTTP进行访问控制的话,那么以当前网络安全通常 所处的环境,每秒通常会并发几十万、甚至上百万的连接条目,那么在这些连接中,HTTP的 连接无一例外的会占有绝大部分。然而,如果当前网络安全设备接入到互联网出口或者中 心区域,那么上边的应用场景显然是成立的。那么这个时候就必须面对以下几个问题(1) 如何快速高效的从这些链接中过滤出用户需要控制的连接;(2)过滤出来的链接如何提供 接口给网络安全系统。然而,现有技术对于上述问题确没有给出很好的解决方案。
技术实现思路
为了解决现有技术中存在的问题,本专利技术提供一种安全网关及其控制敏感链接的 方法,能够有效地过滤出用户需要控制的连接,提升网络安全设备的防御性能,使网络安全 设备的访问控制功能更加强大,更加安全可信。具体的,本专利技术提供的安全网关控制敏感链接的方法,包括读取预先指定的敏感URL并建立状态转换表;解析DNS数据流获取二元组消息,所述二元组消息包括URL和IP信息;查找所述状态转换表,检测所述二元组消息中URL是否为敏感链接,若是,则将所 述二元组消息存入预先配置的敏感URL池内;接收HTTP报文,查找所述敏感URL池,若所述HTTP报文的目的IP地址与敏感URL 池内的表项匹配,则根据预先配置的策略对所述HTTP报文进行处理。其中,所述状态转换表内记录有所有敏感URL中各字符间的状态跳转关系。进一步的,本专利技术所述方法中,建立状态转换表具体为步骤30、计算读取的敏感URL的个数,并逐一检测各敏感URL ;步骤31、判断当前检测的敏感URL中字符状态是否已经在状态转换表中存在,若 不存在,执行步骤32 ;否则,执行步骤33 ;步骤32、在状态转换表中存储该字符状态,执行步骤33 ;步骤33、判断当前检测的敏感URL的字符是否为最后的字符,若是,执行34;否则, 处理当前检测的敏感URL的下一字符,返回步骤31 ;步骤34、存储结束状态,检测下一个敏感URL,返回步骤31。进一步的,在建立状态转换表后还包括遍历所述状态转换表内记录的各状态,并 在检测到某状态跳转错误时,调用失败函数进行状态修改。本专利技术所述方法中,预先配置的策略包括放行、禁止、写日志或者查毒。本专利技术所述方法还包括定期检测所述敏感URL池内的各表项,若检测到某一个或多个表项在设定的时间 内未被使用过,则将对应的表项删除。本专利技术还提供一种安全网关,包括有限状态自动机、DNS发现模块和访问控制模 块;所述有限状态自动机,用于基于读取的敏感URL建立状态转换表;并在接收到DNS 发现模块输入的包括URL和IP信息的二元组消息时,查找所述状态转换表,检测所述二元 组消息中URL是否为敏感链接,若是,则将所述二元组消息存入预先配置的敏感URL池内;所述DNS发现模块,用于解析获取的DNS数据流得到二元组消息,并将该二元组消 息输出至所述有限状态自动机;所述访问控制模块,用于基于接收到的HTTP报文查找所述敏感URL池,若该报文 的目的IP地址与敏感URL池内的表项匹配,则根据预先配置的策略对所述HTTP报文进行处理。其中,所述状态转换表记录有所有敏感URL中各字符间的状态跳转关系。所述预先配置的策略包括放行、禁止、写日志或者查毒。进一步的,本专利技术所述安全网关还包括敏感URL池维护模块,用于定期检测所述敏感URL池内的各表项,若检测到某一个 或多个表项在设定的时间内未被使用过,则将对应的表项删除。与现有技术相比,本专利技术有益效果如下 本专利技术提供的安全网关可以基于包过滤并且在连接层面对HTTP链接直接进行有 效控制,而并非传统的应用层的基于报文内容过滤,大大提升了网络安全设备的防御性能, 同时有效负载了开销巨大的应用层内容检测的工作,使安全设备的访问控制功能更加强 大,更加安全可信,也为访问控制功能开辟了一个新的应用领域。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是 本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还 可以根据这些附图获得其他的附图。图1为本专利技术提供的一种安全网关控制敏感链接的方法流程图;图2为本专利技术提供的安全网关的结构图;图3为本专利技术所述安全网关实现控制敏感链接的阶段流程图。具体实施例方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于 本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本专利技术保护的范围。为了解决现有技术中存在的问题,本专利技术提供一种安全网关及其控制敏感链接的 方法。在阐述本专利技术所述方法前,首先解释以下几个概念URL (Universal Resource Locator,统一资源定位符),是承载在报文上的信息, 那么用户指定的URL或者部分URL则是敏感的或者需要关注的,本专利技术称之为关键字。既 然是关键字,那么本专利技术在做策略匹配的时候,如果在成千上万的连接中高速的、零延迟的 找到一个期望的连接(URL信息)就成为我们实现这个功能的重中之重,为实现该目的,本 专利技术使用一个模式匹配有限状态自动机来加快字符串的匹配速度。其中,有限状态自动机是对信号序列进行逻辑处理的装置,其能够同外界交互,能 够根据外界的变化,动态的改变自身的某些条件,甚至是内部存储结构,以适应外界变化。 有限状态自动机具有固定的内在记忆状态,这些状态代表记录着某些关键的信息,即自动 机有记忆能力、判断能力和决策能力,因此这些特点非常适用与基于链接层面的访问控制 策略对HTTP链接的阻断,提高在海量接连中匹配含有指定字符串的连接效率。为了能高效的基于链接层面对敏感链接进行访问控制,本专利技术提供一种安全网关 控制敏感链接的方法,其原理是利用有限状态自动机提高链接匹配速度,并将匹配结果存 入指定敏感URL池中,然后安全网关中对应的访问控制模块基于所述敏感URL池对接收到 的HTTP数据报文进行匹配过滤。如图1所示,本专利技术所述方法具体包括以下步骤步骤S101、通过有限状态自动机读取预先指定的敏感URL并建立状态转换表。步骤S102、解析获取到的DNS (Domain Name System,域名系统)数据流得到二元 组消息,所述二元组消息包括URL和IP信息。步骤S103、查找所述状态转换表,检测所述二元组消息中URL是否为敏感链接,若 是,则将所述二元组消息存入本文档来自技高网...
【技术保护点】
一种安全网关控制敏感链接的方法,其特征在于,包括:读取预先指定的敏感URL并建立状态转换表;解析DNS数据流获取二元组消息,所述二元组消息包括URL和IP信息;查找所述状态转换表,检测所述二元组消息中URL是否为敏感链接,若是,则将所述二元组消息存入预先配置的敏感URL池内;接收HTTP报文,查找所述敏感URL池,若所述HTTP报文的目的IP地址与敏感URL池内的表项匹配,则根据预先配置的策略对所述HTTP报文进行处理。
【技术特征摘要】
一种安全网关控制敏感链接的方法,其特征在于,包括读取预先指定的敏感URL并建立状态转换表;解析DNS数据流获取二元组消息,所述二元组消息包括URL和IP信息;查找所述状态转换表,检测所述二元组消息中URL是否为敏感链接,若是,则将所述二元组消息存入预先配置的敏感URL池内;接收HTTP报文,查找所述敏感URL池,若所述HTTP报文的目的IP地址与敏感URL池内的表项匹配,则根据预先配置的策略对所述HTTP报文进行处理。2.如权利要求1所述的方法,其特征在于,所述状态转换表内记录有所有敏感URL中各 字符间的状态跳转关系。3.如权利要求2所述的方法,其特征在于,所述建立状态转换表具体为 步骤30、计算读取的敏感URL的个数,并逐一检测各敏感URL ;步骤31、判断当前检测的敏感URL中字符状态是否已经在状态转换表中存在,若不存 在,执行步骤32 ;否则,执行步骤33 ;步骤32、在状态转换表中存储该字符状态,执行步骤33 ;步骤33、判断当前检测的敏感URL的字符是否为最后的字符,若是,执行34 ;否则,处理 当前检测的敏感URL的下一字符,返回步骤31 ;步骤34、存储结束状态,检测下一个敏感URL,返回步骤31。4.如权利要求1、2或3所述的方法,其特征在于,在建立状态转换表后还包括遍历所述 状态转换表内记录的各状态,并在检测到某状态跳转错误时,调用失败函数进行状态修改。5.如权利要求1所述...
【专利技术属性】
技术研发人员:于洋,
申请(专利权)人:北京天融信科技有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。