安全網關的報文處理方法及裝置的制造方法

安全網關的報文處理方法及裝置的制造方法
【技術領域】
[0001] 本申請涉及網絡安全技術領域，特別涉及一種安全網關的報文處理方法及裝置。
【背景技術】
[0002] 安全網關一般部署在大中型企業的網絡出口、企業內部網絡之間、或者數據中心 的出口，用以對外網訪問內網的數據流進行檢測實現保護內部網絡安全的目的，以及對內 網訪問外網的數據流進行檢測實現企業敏感信息的控制。
[0003] DPI (Deep Packet Inspect，深度報文檢測）和DFI (Deep Flow Inspect，深度流檢 測）是安全網關基于應用層控制數據流的基礎。根據實際需求，用于實現DPI和DFI的數 據流檢測模塊中可以包括：內容過濾、文件過濾、入侵防御和防病毒等業務模塊，每一個業 務模塊中包含有多條規則。經過安全網關的報文會進入數據流檢測模塊中進行處理，與數 據流檢測模塊中包括的各個業務模塊中的規則進行匹配，并按照命中的規則對應的處理動 作對報文進行處理，常見的處理動作包括：放行、丟棄（drop)、連接重置、修改報文內容、加 入黑名單等。在各個業務模塊中命中的規則對應的處理工作，會最終決定該報文的轉發動 作。
[0004] 現有技術中，業務模塊中的規則對應的處理動作是固定的，在安全網關的配置不 變的前提下，安全網關對同一 IP(因特網協議）地址發出的報文的轉發動作可能是固定的。 但是，在某些情況下，對于同一威脅源發出的報文執行固定的轉發動作，可能會浪費系統資 源并降低安全網關性能。
[0005] 例如，防病毒業務模塊中的某一個規則R1，該規則Rl對應的處理動作是連接重 置。假設，某一個郵件客戶端發送攜帶有符合規則Rl的病毒的郵件，安全網關在接收到該 郵件并進行檢測時，會檢測到該病毒并執行連接重置的處理動作，于是該郵件發送失敗。但 是，很多郵件客戶端在郵件發送失敗后會不停的嘗試重新發送，甚至沒有次數的限制，這就 造成了安全網關會不停的檢測到同一種病毒并執行相應的處理動作，屬于重復操作，浪費 了系統資源，降低了安全網關的性能。
[0006] 或者，某一個組織或單位通過安全網關過濾非法或敏感言論，安全網關對這些包 含敏感詞匯的報文的處理動作是丟棄。如果某一個用戶經常發表一些非法或敏感言論，這 樣，安全網關在接收到包含這些非法或敏感言論的報文并進行檢測時，就會不停的命中相 應的規則并執行丟棄動作，從而，浪費了系統資源，降低了安全網關的性能。

【發明內容】

[0007] 有鑒于此，本申請提供了一種安全網關的報文處理方法及裝置。
[0008] 本申請的技術方案如下：
[0009] -方面，提供了一種安全網關的報文處理方法，包括：
[0010] 從威脅源記錄表中獲取威脅綜合次數不小于預定閾值的IP地址，將獲取到的IP 地址添加到黑名單中，其中，威脅源記錄表中記錄有IP地址、威脅總次數與出現頻度之間 的對應關系，IP地址的威脅綜合次數與該IP地址對應的威脅總次數和出現頻度成正比；
[0011] 在接收到報文之后，將該報文的源IP地址與黑名單中的IP地址進行匹配；
[0012] 若匹配到一個IP地址，則停止轉發該報文；
[0013] 若沒有匹配到任一 IP地址，則對該報文進行深度檢測，并在安全日志文件中添加 對應的日志記錄。
[0014] 另一方面，還提供了一種安全網關的報文處理裝置，包括：
[0015] IP地址獲取模塊，用于從威脅源記錄表中獲取威脅綜合次數不小于預定閾值的 IP地址，其中，威脅源記錄表中記錄有IP地址、威脅總次數與出現頻度之間的對應關系，IP 地址的威脅綜合次數與該IP地址對應的威脅總次數和出現頻度成正比；
[0016] 黑名單添加模塊，用于將IP地址獲取模塊獲取到的IP地址添加到黑名單中；
[0017] 接收模塊，用于接收報文；
[0018] 黑名單匹配模塊，用于在接收模塊接收到報文之后，將該報文的源IP地址與黑名 單中的IP地址進行匹配；
[0019] 轉發模塊，用于若黑名單匹配模塊匹配到一個IP地址，則停止轉發該報文；
[0020] 數據流檢測模塊，用于若黑名單匹配模塊沒有匹配到任一 IP地址，則對該報文進 行深度檢測，并在安全日志文件中添加對應的日志記錄。
[0021] 本申請的以上技術方案中，從威脅源記錄表中獲取威脅綜合次數不小于預定閾值 的IP地址，將獲取到的IP地址添加到黑名單中，其中，威脅源記錄表中記錄有IP地址、威 脅總次數與出現頻度之間的對應關系，IP地址的威脅綜合次數與該IP地址對應的威脅總 次數和出現頻度成正比；這樣，在接收到報文之后，先將該報文的源IP地址與黑名單中的 IP地址進行匹配，若匹配到一個IP地址，就不再轉發該報文，若沒有匹配到任一 IP地址， 才會對該報文進行深度檢測，例如，DPI和DFI。從而，可以預先識別出威脅源，并將威脅源 的IP地址添加到黑名單中，先通過黑名單對收到的報文進行篩除，只有沒有匹配到黑名單 中的任一 IP地址的報文才會進行后續的深度檢測，節省了系統資源并提高了安全網關性 能。來自威脅源的報文可以先通過黑名單匹配被過濾掉，無需再進行深度檢測，黑名單匹配 是一個基于IP地址比較的過程，相對于深度檢測更加高效。
【附圖說明】
[0022] 圖1是本申請實施例的威脅源記錄表的生成方法的流程圖；
[0023] 圖2是本申請實施例的在接收到報文后執行的操作流程圖；
[0024] 圖3是本申請實施例的安全網關的報文處理裝置的一種結構示意圖；
[0025] 圖4是本申請實施例的安全網關的報文處理裝置的另一種結構示意圖；
[0026] 圖5是本申請實施例的安全網關的報文處理裝置的又一種結構示意圖。
【具體實施方式】
[0027] 為了解決現有技術中存在的浪費系統資源，降低安全網關性能的問題，本申請以 下實施例中提供了一種安全網關的報文處理方法，以及一種可以應用該方法的裝置。
[0028] 本申請實施例中，安全網關的報文處理方法包括以下內容：
[0029] 如圖1所示，威脅源記錄表的生成方法包括以下步驟：
[0030] 步驟S102,判斷日志記錄獲取定時器是否到時，若是，則執行步驟S104,否則，返 回步驟S102 ;
[0031] 其中，日志記錄獲取定時器的計時時間為預定時間間隔T。
[0032] 步驟S104,將日志記錄獲取定時器重新開始計時，從安全日志文件中獲取在日志 記錄獲取定時器計時時間內記錄的滿足特定條件的日志記錄；
[0033] 其中，每一條日志記錄中包括：該日志記錄所針對的報文的源IP地址、該報文命 中的規則對應的處理動作和命中該規則的時間。
[0034] 該特定條件包括：日志記錄中的處理動作是用于停止轉發報文到安全網關外部的 處理動作。在實際實施過程中，用于停止轉發報文到安全網關外部的處理動作包括：丟棄或 連接重置，顯然，還可以是其它處理動作，只要是不再從安全網關中將報文轉發出去的處理 動作即可，本申請對此不做限定。
[0035] 顯然，當一個報文命中了多條規則時，對應的日志記錄中會包括每一條規則對應 的處理動作和命中該規則的時間，步驟S104中獲取的是包括的所有處理動作均為用于停 止轉發報文到安全網關外部的處理動作的日志記錄。
[0036] 步驟S106,針對