[发明专利]一种基于参数特征向量的内外网数据过滤方法及装置

说明书

本发明公开了一种基于参数特征向量的内外网数据过滤方法及装置，用于外网与内网的restful服务进行数据交互，实现数据共享。该装置部署在内外网边界处，通过代理的方式将内网业务的restful服务映射到外网，向外网业务提供服务。该方法通过获取外网业务的实时访问请求，对restful服务请求的参数信息进行分析，生成此次请求的参数特征向量，并与计算的向量基线进行比对，判定此次请求是否合法，对不合法请求进行阻断。本发明能够保证外网向内网访问时参数交互的安全性。

技术领域

本申请涉及通信安全技术领域，尤其涉及一种基于参数特征向量的内外网数据过滤方法及装置。

背景技术

REST(Representational State Transfer，简称REST)是一种通过HTTP设计松散耦合应用程序的架构风格，通常用于Web服务的开发。在目前主流的三种Web服务交互方案中，REST相比于SOAP(Simple Object Access protocol，简单对象访问协议)以及XML-RPC更加简单明了，无论是对URL的处理还是对Payload的编码，REST都倾向于用更加简单轻量的方法设计和实现。RESTful是满足REST这些约束条件和原则的应用程序或设计。在RESTful服务中，每个资源都有一个地址。资源本身都是方法调用的目标，方法列表对所有资源都是一样的。这些方法都是标准方法，包括HTTP GET、POST、PUT、DELETE。

出于安全考虑，在电力企业建设的内部网络(内网)严禁直接与外部网络(如互联网等外网)互联，造成网络安全隐患。随着移动化办公、5G及物联网等业务的快速发展，越来越多的业务需要从外网与内网应用进行数据交互，而现有的基于数据库访问过滤的数据过滤方式已经无法满足业务的快速扩展需求。

发明内容

针对现有技术存在的不足，本发明的目的是提供一种基于参数特征向量检查的内外网数据过滤方法及装置，保证当内外网应用使用restful服务接口进行跨网交互时，通过对restful服务的请求传参内容进行识别，形成参数特征向量进行检查，确保传递参数的安全性，避免攻击者通过restful服务请求参数的篡改或恶意构造向服务端的攻击风险。

为实现上述技术目的，本发明通过以下技术方案实现：

本发明提供一种基于参数特征向量的内外网数据过滤方法，包括：

获取外网业务的访问请求，形成访问请求的参数特征向量集合；

根据访问请求与服务接口的对应关系，以及所述访问请求的参数特征向量集合，计算生成每个服务接口的参数特征向量基线；

基于访问请求的参数特征向量集合以及所述参数特征向量基线对外网业务的访问请求进行合法性检查，过滤出合法的访问请求转发至内网。

进一步的，所述形成访问请求的参数特征向量集合，包括：

解析外网业务restful访问请求的http报文，获取此次访问请求使用的方法；

根据访问请求使用的方法，提取传参键值对；

遍历传参键值对，提取此次访问请求的参数特征形成特征向量集合；

其中，每个参数的特征向量表示为：

param＝(paramName,paramType,paramLength,paramValue)；

paramName为参数名称；paramType为参数类型；paramLength为参数长度；paramValue为参数取值。

进一步的，所述根据访问请求使用的方法，提取传参键值对，包括：

若为get或delete方法，则通过解析访问请求的url，获取“？”后的传参字符串，分解后获取此次传参键值对信息；