[发明专利]检测报文安全性的方法和装置

说明书

技术领域

本发明涉及通讯技术领域，特别涉及一种检测报文安全性的方法和装置。

背景技术

近年来人们面对来自网络的安全威胁越来越普遍，病毒的大规模传播和泛滥越来越频繁，网络入侵和非法访问往往带有某种利益目的，企业和部门面对的来自内部和外部网络的安全风险越来越大。在这种形势下，传统的包过滤防火墙以及单纯的入侵检测或入侵防御系统很难做到对内部网络的有效保护。为了抵御网络安全威胁，融合了传统包过滤防火墙功能，入侵防御系统功能，以及应用层内容安全检测功能的综合性安全网关出现了，这种安全网关被称为UTM(Unified Threat Management，统一威胁管理)系统。

如图1所示，UTM系统包括：入侵检测模块、内容安全检测模块、应用层协议分析模块、会话管理模块和报文捕获器。其中，报文捕获器捕获流经安全网关的数据报文，会话管理模块建立和维护传输层会话，入侵检测模块发现数据报文中的攻击特征并做出相应的反应，应用层协议分析模块是内容安全检测模块的基础，为内容检测模块提供服务内容和服务类型等信息，内容安全检测模块对数据报文传输的服务内容进行检测。这种安全网关被部署在内部网络的出口处，用来监视从内部网络进和出的数据流量，实时发现各种安全事件并采取防御措施。

上述安全网关进行内容检测的方式是检测客户端请求的服务内容的URI，通过确定URI的类型来判断URI所标识的内容的类别是否安全。Internet上的服务提供者提供的各种服务内容都具有独一无二的URI(Uniform Resource Identifier，统一资源标志符)，URI可以在Internet的范围内唯一标识一项服务内容。如WWW服务的URL(Uniform Resource Locator，统一资源定位)就是一种URI，每一张网页都有一个唯一的URL，FTP提供下载的每个文件也具有唯一的URI。在安全网关装置上预先设置本地的URI黑名单与白名单，和/或通过网络获取第三方对URI的评级服务，检测时安全网关装置捕获每一次客户端向服务端发出的服务请求，解析出服务类型和所请求内容的URI，然后根据本地设置的URI黑名单与白名单，和/或通过第三方的URI评级服务确定所述URI标识的服务内容的安全级别，并根据该安全级别对此次请求采取动作消除安全威胁。如属于URI黑名单的服务请求，则拒绝发送该请求给服务端，属于URI白名单的服务请求，则发送给请求给服务端。

在实现本发明的过程中，发明人经过研究发现上述现有技术至少具有以下缺点：

检测主要依赖于安全网关装置本地配置的URI黑名单与白名单，和/或第三方URI评级服务，而URI黑名单与白名单，以及URI评级服务通常都是技术人员依据经验手工配置的，检测安全威胁的准确率比较低。

发明内容

本发明实施例提供了一种检测报文安全性的方法和装置，可提高检测的准确率。

一方面，本发明实施例提供了一种检测报文安全性的方法，所述方法包括：

接收客户端向服务端发送的服务请求报文；

从所述服务请求报文中解析出所述客户端请求的服务内容的标识；

根据预设的范围和所述服务内容的标识判断所述服务内容是否需要阻止，如果不需要阻止，则从所述服务端返回的响应报文中解析出所述服务内容，扫描所述服务内容，根据所述扫描的结果确定所述服务内容的安全性。

另一方面，本发明实施例还提供了一种检测报文安全性的装置，所述装置包括：

接收模块，用于接收客户端向服务端发送的服务请求报文；

解析模块，用于从所述接收模块收到的服务请求报文中解析出所述客户端请求的服务内容的标识；

检测模块，用于根据预设的范围和所述解析模块解析出的标识判断所述服务内容是否需要阻止，如果不需要阻止，则从所述服务端返回的响应报文中解析出所述服务内容，扫描所述服务内容，根据所述扫描的结果确定所述服务内容的安全性。

本发明实施例通过先对服务内容的标识进行检测，并对标识安全的服务内容进行扫描，减小了安全网关装置对服务内容进行扫描检测的机率，降低了安全网关装置的性能开销，提高了对服务内容的安全检测效率。

附图说明

图1是现有技术中的安全网关装置的结构示意图；

图2是本发明实施例1提供的检测报文安全性的方法流程图；

图3是本发明实施例1提供的在黑名单中添加标识的流程示意图；

图4是本发明实施例2提供的检测报文安全性的装置的结构图。

具体实施方式