本发明专利技术涉及一种路由方法,包括:获取数据包;获取风险识别规则;根据所述风险识别规则获取与所述数据包匹配的链路;通过所述链路转发所述数据包。此外,还包括一种路由装置。上述路由方法及装置可以提高安全性。
【技术实现步骤摘要】
本专利技术涉及网络安全
,特别是涉及一种路由方法及装置。
技术介绍
现有的路由技术通常根据数据包的目的IP地址信息等地址信息完成路由。传统技术中的路由装置总是根据数据包的目标IP地址将数据包转发到不同的链路上。然而,传统技术中的路由装置只是仅仅根据上述地址信息将数据包进行转发,而不能对数据包的安全性进行评估,因此,传统技术中的路由方法安全性不足。
技术实现思路
基于此,有必要提供一种能提高安全性的路由方法。一种路由方法,包括获取数据包;获取风险识别规则;根据所述风险识别规则获取与所述数据包匹配的链路;通过所述链路转发所述数据包。在其中一个实施例中,所述方法还包括 获取风险识别规则配置请求;根据所述风险识别规则配置请求生成风险识别规则。在其中一个实施例中,所述根据所述风险识别规则获取与所述数据包匹配的链路的步骤包括获取所述数据包对应的包头内容和/或正文内容;根据所述风险识别规则获取与所述包头内容和/或正文内容匹配的链路。在其中一个实施例中,所述根据所述风险识别规则获取与所述包头内容和/或正文内容匹配的链路的步骤为根据所述风险识别规则通过比对字符串获取与所述包头内容和/或正文内容匹配的链路。在其中一个实施例中,所述根据所述风险识别规则获取与所述数据包匹配的链路的步骤还包括获取所述数据包对应的行为模式;根据所述风险识别规则获取与所述行为模式匹配的链路。 此外,还有必要提供一种能提高安全性的路由装置。一种路由装置,包括数据包获取模块,用于获取数据包;规则获取模块,用于获取风险识别规则;匹配模块,用于根据所述风险识别规则获取与所述数据包匹配的链路;转发模块,用于通过所述链路转发所述数据包。在其中一个实施例中,所述装置还包括风险识别规则定义模块,用于获取风险识别规则配置请求,根据所述风险识别规则配置请求生成风险识别规则。在其中一个实施例中,所述匹配模块还用于获取所述数据包对应的包头内容和/或正文内容;根据所述风险识别规则获取与所述包头内容和/或正文内容匹配的链路。在其中一个实施例中,所述匹配模块还用于根据所述风险识别规则通过比对字符串获取与所述包头内容和/或正文内容匹配的链路。在其中一个实施例中,所述匹配模块还用于获取所述数据包对应的行为模式,根据所述风险识别规则获取与所述行为模式匹配的链路。上述路由方法及装置中,获取数据包之后,通过匹配风险识别规则和数据包的相关信息来选择转发数据包的链路,相较于传统技术,可预先判断数据包存在的安全风险,从而提高了安全性。附图说明图1为一个实施例 中路由方法的流程图;图2为一个实施例中数据包的正文内容的示例图;图3为一个实施例中路由装置的结构示意图;图4为另一个实施例中路由装置的结构示意图。具体实施例方式在一个实施例中,如图1所示,一种路由方法,包括如下步骤步骤S102,获取数据包。数据包包括包头部分和正文部分,数据包的正文内容即数据包的正文部分。传统技术中的路由装置参考的MAC (MediaAccess Control)地址、目标IP地址信息存储在数据包的包头部分中。而数据包对应的应用层协议头、应用层数据内容均存储在数据包的正文内容中。步骤S104,获取风险识别规则。步骤S106,根据风险识别规则获取与数据包匹配的链路。风险识别规则中定义了与数据包匹配的链路信息。可根据风险识别规则将不同安全风险程度的数据包转发至相应的链路。在一个实施例中,根据风险识别规则获取与数据包匹配的链路的步骤可具体为获取所述数据包对应的包头内容和/或正文内容,根据风险识别规则获取与包头内容和/或正文内容匹配的链路。数据包的包头内容即数据包的包头部分包含的内容,数据包的正文内容即数据包的正文部分包含的内容。在本实施例中,根据风险识别规则获取与包头内容和/或正文内容匹配的链路的步骤可具体为根据风险识别规则通过比对字符串获取与包头内容和/或正文内容匹配的链路。例如,如图2所示,获取到的数据包的正文内容中包括HTTP(Hypertext TransportProtocol,超文本传输协议)协议的头部。其中,User-Agent属性为IdKiller/2. O。风险识别规则中可定义特征关键字为“ Internet Exp Iorer ”、“ Net scape ”、“Moz ilia” 和 “Opera”。由于数据包的正文内容中的User-Agent属性不为上述风险识别规则中定义的特征关键字中的任意一个,则可判定该数据包由网络爬虫发出,属于机器人程序,并非由用户手动浏览网页的操作行为发出,因此可获取与专门用于服务机器人程序的服务器对应的链路。获取到的数据包的正文内容中还可包括访问地址的URL (Uniform/UniversalResource Locator,统一资源定位符),其中,URL 内包含有 SQL (Structured QueryLanguage,结构化查询语言)注入代码。风险识别规则中可定义特征关键字为“SELECT”、“FROM”、“INSERT”和“WHERE”等,由于正常的URL通常不会附加上述特征关键字,只有包含了 SQL注入代码的URL才会包含上述特征关键字中的一种或多种,因此可判定该数据包具有SQL注入入侵的风险,可获取与具有SQL安全防护功能的服务器对应的链路。进一步的,根据风险识别规则通过比对字符串获取与包头内容和/或正文内容匹配的链路的步骤还可具体为根据风险识别规则通过匹配正则表达式获取与包头内容和/或正文内容匹配的链路。可从风险识别规则中提取正则表达式,根据正则表达式匹配包头内容和/或正文内容的字符串信息,若匹配成功,则在风险识别规则中获取与该正则表达式对应的链路。在一个实施例中,根据风险识别规则获取与数据包匹配的链路的步骤还包括获取数据包对应的行为模式,根据风险识别规则获取与行为模式匹配的链路。数据包的行为 模式,即数据包在互联网中转发的记录信息。可通过数据包的行为模式判断数据包是否具有安全风险。例如,在DDOS (Distributed Denial of Service,分布式拒绝服务攻击)攻击中,具有相同目标网络地址的数据包在单位时间内会被转发多次。再例如,若数据包的转发记录中包含了安全风险较高的地址。在本实施例中,可设置与链路对应的阈值区间。当数据包的行为模式中单位时间内被转发的次数属于阈值区间时,则获取与该阈值区间对应的链路。还可设置风险地址,并设置与风险地址对应的链路,当数据包的行为模式中转发地址包含风险地址时,则获取风险地址对应的链路。在本实施例中,路由方法还可包括获取风险识别规则配置请求,根据风险识别规则配置请求生成风险识别规则的步骤。也就是说,风险识别规则可由用户预先设置。例如,前述的正则表达式可由用户通过风险识别规则配置请求预先配置。步骤S108,通过链路转发数据包。在本实施例中,通过链路转发数据包的步骤还可具体为获取链路对应的连接池,在连接池中获取空闲连接,通过空闲连接转发数据包。例如,可针对每条链路对应的服务器建立连接池,连接池中预先建立了多个连接。在需要转发数据包时,则从链路对应的连接池中查找空闲连接,然后将数据包转发。采用连接池转发数据包,可以防止连接频发建立和销毁,从而提高处理效率。在一个实施例中,如图3所示,一种虚拟机控制装置,包本文档来自技高网...
【技术保护点】
一种路由方法,包括:获取数据包;获取风险识别规则;根据所述风险识别规则获取与所述数据包匹配的链路;通过所述链路转发所述数据包。
【技术特征摘要】
1.一种路由方法,包括 获取数据包; 获取风险识别规则; 根据所述风险识别规则获取与所述数据包匹配的链路; 通过所述链路转发所述数据包。2.根据权利要求1所述的路由方法,其特征在于,所述方法还包括 获取风险识别规则配置请求; 根据所述风险识别规则配置请求生成风险识别规则。3.根据权利要求1所述的路由方法,其特征在于,所述根据所述风险识别规则获取与所述数据包匹配的链路的步骤包括 获取所述数据包对应的包头内容和/或正文内容; 根据所述风险识别规则获取与所述包头内容和/或正文内容匹配的链路。4.根据权利要求1所述的路由方法,其特征在于,所述根据所述风险识别规则获取与所述包头内容和/或正文内容匹配的链路的步骤为 根据所述风险识别规则通过比对字符串获取与所述包头内容和/或正文内容匹配的链路。5.根据权利要求4所述的路由方法,其特征在于,所述根据所述风险识别规则获取与所述数据包匹配的链路的步骤还包括 获取所述数据包对应的行为模式; 根据所述风险识别规则...
【专利技术属性】
技术研发人员:李军,
申请(专利权)人:深信服网络科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。