[发明专利]一种分布式的业务流程检测方法

说明书

技术领域

本发明涉及一种业务流程检测方法，尤其是一种应用防火墙白名单检测技术，采用分布式计算技术，基于业务流，操作链等上下文对数据流或者报文进行安全检测的一种高效，精细化识别和控制数据的方法。

背景技术

基于字符串特征的协议识别方法是深包检测在应用层协议识别领域的延伸，由于其不仅查看端口号，还针对用户有效载荷进行检测，因此比基于端口号的方法有更高的识别率。基于字符串特征的匹配方法计算复杂度高、存储消耗大，市面销售软件方法通常仅能达到百兆级别处理能力。且不断变化的业务流程、业务量的高速增长、不断出现的新威胁和攻击及改变网络协议的使用方式和数据的传输方式，目前市面上的产品都是基于单个报文和数据流进行关键字匹配，存在很大的安生漏洞和隐患。

发明内容

本发明要解决的问题是提供一种分布式的业务流程检测方法，不仅在业务特征白名单内容匹配基础上，结合业务或者工作流程进行检测，防火云对数据报文或者数据流进行分析，对不符合业务流程的数据流或者报文进行拦截，实现应用 检测真正安全，而且采用分布式结点并行计算方式，解决单结点计算带来的性能瓶颈。

为解决上述技术问题，本发明的技术方案为：

一种业务流程检测方法，包括如下步骤：

1.网络数据流或者报文到达防火云时，提取特征码或者关键字段；

2.与数据字典中白名单进行匹配检测，检测不通过则进行拦截，检测通过，则分析数据流或者报文的上下文会话信息；

3.如果已产生关联上下文会话信息,则提取当前数据流或者报文的特征码或者关键字段添加到关联上下文信息表中；

4.再与标准定义的业务流或者操作链进行对比分析；

5.如果没有匹配的业务流或者操作链，则对数据包进行拦截。

完成某个业务流或者操作链示例步骤如下：登录,查询表1，查询表2，更新表1，更新表2,退出。

检测原理：以上面操作链为例，当第一个流据流或者报文与登录匹配,检测合法，并且匹配这条操作链，相关联的第二个数据流或者报文只有是查询表1才合法，出现查询表2或者其它数据流都是非法的，所有报文严格按照工作流次序进行判别，对非法访问的数据流或者报文进行拦截。

防火云采用矩阵计算，使用多级并行检测，每一级并行处理，操作链由多条指令构成，不同指令用不同的级别分摊到不同的结点，分布式计算采用分级方式进行检测，先进行1级检测，根据检测结果转到2级检测，依次转给下一级进行检测，直到检测完成。

本发明的有益效果：基于业务流和操作链检测，极大提升业务系统的安全 防护，使用分布式分级并行运算，解决现有应用防火墙在深度报文检测上的性能瓶颈。

附图说明

下面结合附图对本发明的具体实施方式作进一步详细的说明。

图1示出了本发明的流程图。

图2示出了本发明的操作链示意图。

图3示出了本发明的分布式矩阵检测示意图。

具体实施方式

为了使本发明解决的技术问题、采用的技术方案、取得的技术效果易于理解，下面结合具体的附图，对本发明的具体实施方式做进一步说明。

如图1所示，一种业务流程检测方法，包括如下步骤：

1.网络数据流或者报文到达防火云时，提取特征码或者关键字段；

2.与数据字典中白名单进行匹配检测，检测不通过则进行拦截，检测通过，则分析数据流或者报文的上下文会话信息；

3.如果已产生关联上下文会话信息，则提取当前数据流或者报文的特征码或者关键字段添加到关联上下文信息表中；

4.再与标准定义的业务流或者操作链进行对比分析；

5.如果没有匹配的业务流或者操作链，则对数据包进行拦截。

如图2所示，为业务流或者操作链示例，完成某个业务由依序需要几个步骤完成，如登录,查询表1，查询表2，更新表1，更新表2,退出，构成一条完整 操作链。

检测原理：以上面操作链为例，当第一个流据流或者报文与登录匹配,检测合法，并且匹配这条操作链，相关联的第二个数据流或者报文只有是查询表1才合法，出现查询表2或者其它数据流都是非法的，所有报文严格按照工作流次序进行判别，对非法访问的数据流或者报文进行拦截。