技術(shù)領(lǐng)域

本發(fā)明涉及非對稱路由，網(wǎng)絡(luò)流識別、多機HTTP會話中請求流與應(yīng)答流的關(guān)聯(lián)以及URI信息的快速共享等技術(shù)領(lǐng)域。更具體而言涉及在大規(guī)模的邊界網(wǎng)絡(luò)中，對由非對稱路由引起的單向HTTP流量的識別以及其請求流與應(yīng)答流的關(guān)聯(lián)，進(jìn)而找出與應(yīng)答流關(guān)聯(lián)的URI。

背景技術(shù)

目前，網(wǎng)絡(luò)流識別技術(shù)成為關(guān)注的焦點，準(zhǔn)確、快速的識別網(wǎng)絡(luò)流應(yīng)用層協(xié)議的類別，對當(dāng)前網(wǎng)絡(luò)的運行和管理而言具有重大的現(xiàn)實意義，諸如有助于深化網(wǎng)絡(luò)流工程學(xué)、網(wǎng)絡(luò)容量設(shè)計和分配、服務(wù)質(zhì)量(QoS)控制、網(wǎng)絡(luò)性能監(jiān)控、異常根源分析和安全監(jiān)控等的研究。在網(wǎng)絡(luò)流量分配的應(yīng)用的期間，可以在完成協(xié)議識別的基礎(chǔ)上控制各種應(yīng)用協(xié)議的使用帶寬，保證關(guān)鍵應(yīng)用，抑制不希望出現(xiàn)的應(yīng)用，例如針對HTTP、SMTP、FTP、MSN、QQ和BT等協(xié)議實現(xiàn)不同的流量帶寬限制、或者是禁止使用。

在一般的異常檢測系統(tǒng)中，普遍使用正則表達(dá)式規(guī)則來對一場流量進(jìn)行檢測，而內(nèi)容掃描引擎多采用有限自動機，如Snort使用正規(guī)表示式來表示其規(guī)則，如果檢測的結(jié)果指示該鏈接存在異常行為，則調(diào)用動作模塊，阻止該鏈接繼續(xù)通信。這種異常檢測系統(tǒng)的性能關(guān)鍵在于自動機掃描的開銷以及規(guī)則集規(guī)模的大小。

在針對HTTP流量的檢測中，如果檢測到某個會話的響應(yīng)流中包含異常行為的流量，該鏈接被終止。這種應(yīng)用模式的缺點是無法記憶上一次的掃描結(jié)果，對同一個資源的訪問產(chǎn)生的通信流量必須每次都無條件調(diào)用自動機掃描，而在WEB網(wǎng)絡(luò)中，同一資源有其在互聯(lián)網(wǎng)中的唯一資源標(biāo)注URI，因此，系統(tǒng)能辨別出對同一個資源的兩次訪問過程。如果能利用上一次掃描結(jié)果對該資源的有害性進(jìn)行標(biāo)注并存儲資源的URI和有害性標(biāo)記，則在每次訪問該資源時都能根據(jù)該資源的有害性屬性決定阻止還是放行該鏈接。這種策略可以避免對同一資源的多次掃描，極大緩解了對異常檢測系統(tǒng)壓力，本質(zhì)上，這種記錄上次掃描結(jié)果的機制屬于一種黑白名單機制，黑白名單機制已經(jīng)被廣泛應(yīng)用到各種信息安全系統(tǒng)中。

本發(fā)明不涉及到黑白名單機制的原理和實現(xiàn)，而涉及到其中一種黑白名單機制中的有效性問題，即URI黑白名單的有效性。在大規(guī)模的邊界網(wǎng)絡(luò)中，網(wǎng)絡(luò)流的出入流并不一定在同一臺路由器或者網(wǎng)關(guān)上。這種情況由互聯(lián)網(wǎng)上的非對稱路由引起，例如從主機A到主機E的報文可能經(jīng)歷的路徑為A＝＞B＝＞E，而從E回來的報文可能經(jīng)歷的路徑為E＝＞C＝＞A。如果B，C為邊界網(wǎng)絡(luò)上的兩個網(wǎng)關(guān)，那么在B，C上部署的網(wǎng)絡(luò)安全系統(tǒng)就會遇到上述URI黑白名單有效性的問題。Http會話的請求流經(jīng)過網(wǎng)關(guān)B，而響應(yīng)流經(jīng)過網(wǎng)關(guān)C，這導(dǎo)致基于內(nèi)容掃描的網(wǎng)絡(luò)安全系統(tǒng)、異常檢測系統(tǒng)的URI黑白名單機制完全失效，安全系統(tǒng)必須對相同資源的每次通信流量進(jìn)行內(nèi)容掃描，以確定本次訪問是否正常。

有鑒于此，亟待提出一種行之有效的方法，并針對此方法建立通信的體系架構(gòu)。

發(fā)明內(nèi)容

為了解決上述問題，本發(fā)明的目的是提供一種非對稱路由下單向流的唯一資源標(biāo)注(URI)的查找與關(guān)聯(lián)方法。

本發(fā)明解決其技術(shù)問題所采取的技術(shù)方案是：

為了解決在邊界網(wǎng)關(guān)多服務(wù)器間單向流的URI關(guān)聯(lián)問題，本發(fā)明提供了一種查找和關(guān)聯(lián)策略，并為此策略的實施建立一套通信交互的體系架構(gòu)，確定了通信協(xié)議格式。

根據(jù)本發(fā)明的一個方面，提供一套URI查找與關(guān)聯(lián)的策略，包含如下步驟：

1)A(某臺網(wǎng)關(guān)服務(wù)器)識別HTTP網(wǎng)絡(luò)流，并標(biāo)注TCP鏈接的方向，TCP鏈接方向定義有三種：C2S(客戶端到服務(wù)器的單向流)；S2C(服務(wù)器到客戶端的單向流)；DOUBLE(雙向流)；

2)設(shè)置URI散列表，其Key為五元組(protocol，src_ip，src_port，dst_ip，dst_port)，Value為URI字符串；

3)A對HTTP流進(jìn)行內(nèi)容解析和內(nèi)容掃描處理；

4)對于C2S流：根據(jù)當(dāng)前TCP流的五元組信息和HTTP流的URI更新URI散列表；

5)對于S2C流：構(gòu)造URI查詢請求，請求中包含TCP流的五元組信息；

6)假如B接收到該條請求，根據(jù)請求中的五元組信息，B搜索自己的URI散列表；

7)如果B在自己的URI散列表中搜索到關(guān)聯(lián)的URI，返回該URI；

8)A接收到相關(guān)URI，根據(jù)內(nèi)容掃描結(jié)果更新URI黑白名單；