CN101582880B - 一种基于被审计对象的报文过滤方法及系统 - Google Patents
一种基于被审计对象的报文过滤方法及系统 Download PDFInfo
- Publication number
- CN101582880B CN101582880B CN200810106659XA CN200810106659A CN101582880B CN 101582880 B CN101582880 B CN 101582880B CN 200810106659X A CN200810106659X A CN 200810106659XA CN 200810106659 A CN200810106659 A CN 200810106659A CN 101582880 B CN101582880 B CN 101582880B
- Authority
- CN
- China
- Prior art keywords
- mac address
- message
- port
- address
- hash table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于被审计对象的报文过滤方法及系统,其中,所述方法,包括:审计系统的控制管理端将被审计服务器主机的以太网MAC地址及服务端口等信息发给探测器;所述探测器的网卡驱动程序根据网卡捕获的当前网络通信报文,解析得到该报文的源、目的MAC地址,源、目的端口,与从控制管理端收到的被审计服务器主机的MAC地址、服务端口进行匹配,过滤得到匹配成功的通信报文。本发明在报文捕获的早期阶段对不需要关注的报文进行过滤和抛弃,从而节省后期各个阶段的处理开销,从而带来较大的系统资源裕度,提高了系统的处理能力,降低了网络审计系统对报文捕获探测器的硬件需求。
Description
技术领域
本发明涉及网络安全审计系统的网络数据的处理,具体涉及一种基于网络审计系统的网卡驱动层报文过滤方法及一种基于网络审计系统的报文过滤子系统。
背景技术
高性能报文捕获和处理是网络安全审计系统的关键技术和基本问题。网络审计系统是通过对被审计的网络通信的报文捕获、报文解析、碎片重组、会话重组、协议解析等步骤并将协议参数及内容和审计策略相匹配,从而对违背安全策略的网络通信进行报警、记录和阻断的系统。该系统通常由部署在交换机镜像端口处的用于捕获分析网络通信报文的探测器和部署于普通桌面计算机系统上的控制管理和数据存储子系统构成。参见图1。
在常见的网络审计系统部署方式当中,审计系统的报文捕获探测器部署在交换机的镜像端口处或者集线器的端口处,这样捕获的报文通信流量的大部分都不是审计系统所要关注和记录的。以下的常规的报文捕获和处理阶段会消耗大量计算机I/O带宽和CPU运算能力、以及内存资源。
1)对于网络报文的捕获和传送过程,为了获取所审计的网络的通信报文,需要将以太网卡设置为混杂模式,接在以太网交换机的镜像端口,由于通用的网卡和驱动程序在此模式下无法区分哪些是需要的报文,哪些是无用的报文,其结果所有通过交换机镜像端口或者集线器进入捕获报文网卡的报文都将需要由驱动程序传送至操作系统协议栈的报文队列,然后应用程序通过操作系统接口全部复制到应用层,在此过程中,不需要关注的通信流量占用探测器大部分的带宽和CPU资源。
2)对于报文的预处理阶段,所有捕获来的在缓冲区中的报文需要逐步经过报文的数据链路层、网络层、传输层、会话层、表示层直至应用层的协议解码,并对报文碎片进行重组、对基于流的协议进行流的重组合缓冲、对基于会话的协议进行会话重组,在此过程中所有采集来的报文都将进行这些步骤的处理,无疑浪费了探测器大量的CPU资源和内存。
3)对于模式匹配和异常发现阶段,所有经过解析等预处理而产生的协议参数、内容数据需要和审计策略进行比对、模式匹配、以及和审计策略中的正常模式定义进行比对,以发现不符合被审计对象安全规范的服务操作并进行告警和记录。在此阶段,大量的无关数据的匹配和比对浪费探测器的很多CPU计算资源。
发明内容
本发明要解决的技术问题是提供一种基于被审计对象的报文过滤方法及系统,提高系统资源的利用率,降低系统对硬件资源的要求。
为了解决上述问题,本发明提供了一种基于被审计对象的报文过滤方法,其中,审计系统的控制管理端将被审计服务器主机的以太网MAC地址信息发给探测器;
所述探测器的网卡驱动程序根据网卡捕获的当前网络通信报文,解析得到该报文的源、目的MAC地址,与从控制管理端收到的被审计服务器主机的MAC地址进行匹配,过滤得到匹配成功的通信报文。
进一步的,所述控制管理端还将被审计服务器主机相应的被审计服务的服务端口地址信息发给所述探测器;
所述探测器的网卡驱动程序对MAC地址匹配成功的通信报文,还解析出其中的源、目的端口地址,并与被审计服务的网络端口地址进行再次匹配,匹配成功的通信报文添加到协议栈报文队列中;
进一步的,所述探测器的网卡驱动程序收到被审计服务器主机的以太网MAC地址信息及其服务端口地址信息后,生成MAC地址散列表和服务端口散列表;MAC地址散列表内具有相同散列值的MAC地址构成一个MAC地址单向链表;MAC地址单向链表中的一个MAC地址对应一个服务端口散列表,所述服务端口散列表内具有相同散列值的被审计服务端口地址构成一个服务端口单向链表;
进一步的,在进行MAC地址匹配时,根据计算出的所述通信报文中的MAC地址(包括源、目的MAC地址)的散列值,在MAC地址散列表中进行匹配,如果该散列值存在,继续匹配MAC地址值,提取出匹配成功的MAC地址对应的服务端口散列表;然后进行服务端口匹配,根据计算出的所述通信报文中的端口(包括源、目的端口)的散列值,在服务端口散列表中进行匹配,如果该端口的散列值存在,继续匹配端口值;
进一步的,所述探测器的网卡驱动程序在对MAC地址匹配成功的通信报文,先解析出其报文类型,如果是被审计对象使用的报文类型,则继续进行后续的服务端口地址的匹配,否则,将其直接丢弃。
为了解决上述问题,本发明还提供了一种基于被审计对象的报文过滤系统,包括:相连的控制管理端和探测器;所述探测器,还包括:网卡驱动单元、告警解析单元、报文接收单元、应用层传输单元以及操作系统协议栈,其中:
所述控制管理端,用于配置被审计对象,并将配置的被审计服务器主机的以太网MAC地址信息,通过所述应用层传输单元转发给探测器的网卡驱动单元;
所述网卡驱动单元,根据报文接收单元所捕获的当前网络通信报文,并解析得到该通信报文的源、目的MAC地址,与从所述应用层传输单元收到的被审计服务器主机的MAC地址进行匹配,过滤得到匹配成功的通信报文;
进一步的,所述控制管理端,用于配置被审计对象,并将配置的被审计服务器主机相应的被审计服务的服务端口地址信息,通过所述应用层传输单元转发给探测器的网卡驱动单元;
所述网卡驱动单元,对MAC地址匹配成功的通信报文进行解析,得到其中的源、目的端口地址,并与被审计服务的网络端口地址进行再次匹配,匹配成功的通信报文发送给所述操作系统协议栈,添加到协议栈报文队列中,发送给所述告警解析单元进行后续处理;
进一步的,所述报文接收单元,用于捕获交互的当前通信报文,并给所述网卡驱动单元处理;
所述网卡驱动单元,收到所述应用层传输单元转发的被审计服务器主机的以太网MAC地址信息及其服务端口地址信息后,生成MAC地址散列表和服务端口散列表,并依据该散列表对所述报文接收单元发来的当前网络通信报文进行过滤,将过滤后的报文发送给所述操作系统协议栈,添加到相应协议栈的报文队列中;MAC地址散列表内具有相同散列值的MAC地址构成一个MAC地址单向链表;MAC地址单向链表中的一个MAC地址对应一个服务端口散列表,所述服务端口散列表内具有相同散列值的被审计服务端口地址构成一个服务端口单向链表;
进一步的,所述网卡驱动单元,在进行MAC地址匹配时,根据计算出的所述通信报文中的MAC地址(包括源、目的MAC地址)的散列值,在MAC地址散列表中进行匹配,如果该散列值存在,继续匹配MAC地址值,提取出匹配成功的MAC地址对应的服务端口散列表;然后进行服务端口匹配,根据计算出的所述通信报文中的端口(包括源、目的端口)的散列值,在服务端口散列表中进行匹配,如果该端口的散列值存在,继续匹配端口值;
进一步的,所述网卡驱动单元,在对MAC地址匹配成功的通信报文,先解析出其报文类型,如果是被审计对象使用的报文类型,则继续进行后续的服务端口地址的匹配,否则,将其直接丢弃。
与现有技术相比,本发明在报文捕获的早期阶段对不需要关注的报文进行过滤和抛弃,从而节省后期各个阶段的处理开销,从而带来较大的系统资源裕度,提高了系统的处理能力,降低了网络审计系统对报文捕获探测器的硬件需求。
附图说明
图1为现有技术中的网络拓扑图;
图2为本发明实施例中的方法流程图;
图3为本发明实施例中的散列表结构示意图;
图4为本发明实施例中的系统结构图。
具体实施方式
本发明方法包括基于被审计对象的网络报文过滤策略生成方法和过滤策略在报文捕获驱动程序中的执行方法。基于被审计对象的网络报文过滤策略是根据被关注的服务器主机的以太网地址(MAC地址)和提供的网络服务的TCP/IP端口号来匹配所有通过交换机镜像端口和报文捕获网卡所捕获的所有以太网报文,过滤掉所有不需要关注的网络通信报文。
下面以具体实施例进一步阐述本发明所述的基于被审计对象的报文过滤方法及系统,以下对具体实施方式进行详细描述,但不作为对本发明的限定,例如本发明不限定具体使用的散列算法。
在执行过滤流程之前,在驱动程序编写时,增加过滤执行函数执行报文过滤;执行该函数是由网卡的硬件中断触发的,当网络报文来到时,网卡发生接收报文中断,网卡驱动程序中的中断服务函数被执行,中断服务函数调用所述报文过滤函数执行报文过滤。
如图2所示,为本发明实施例中的方法流程图,包括以下步骤:
S1,系统管理员通过审计系统的控制管理端添加被审计对象,包括:被审计服务器主机以及相应的被审计服务;
被审计对象通常是被重点保护的存储有重要信息资产的服务器和其提供的网络服务。
向审计系统配置被审计服务器主机时,需要提供该被审计服务器主机的有效网络接口的TCP/IP地址,并通过arp协议获取该被审计服务器主机的以太网地址(MAC地址);
向审计系统配置相应被审计服务时,需要提供该服务的网络端口地址,该网络端口地址将作为被审计服务的标识之一;
S2,该控制管理端生成被审计对象的报文过滤配置文件;
1)审计系统根据S1中的各被审计主机的MAC地址和相应的被审计服务的网络端口地址,生成如下的内存数据结构:
将不同的被审计主机的MAC地址以单向链表的结构进行组织(参见图3中的MAC地址链表),其中,链表内每个节点的内容如下:
struct au_mac_link{
unsigned char mac_addr[6];
struct port_link *pport;
struct au_mac_link *pnext;
};
每个被审计主机相应的被审计服务的网络端口地址也以单向链表的结构进行组织,其中,链表内每个节点的数据结构如下:
struct port_link{
unsigned short serv_port;
struct port_link *pnext;
};
即以多重链表的数据结构来存储各个被审计的服务器主机的以太网地址及其主机上所提供的服务的端口地址。
2)按照步骤1)中定义的数据结构,生成被审计对象的报文过滤配置文件,结构如下:
[主机总数]=N;
[审计主机]
[序号]=1;
[MAC]=A23F23B23C23;
[服务总数]=M;
[服务端口]=80;
[服务端口]=23;
.... ...
[审计主机]
[序号]=2;
[MAC]=A22F23B23C24;
[服务总数]=M;
[服务端口]=80;
[服务端口]=23;
... ...
在另一实施例中,控制管理端也可以直接载入或配置生成一个上述的报文过滤配置文件。
S3,该控制管理端将报文过滤配置文件发送给探测器审计应用程序,审计应用程序控制该探测器操作系统内的网卡驱动程序根据报文过滤配置文件构建报文过滤散列表。
1)在网卡驱动程序中添加过滤策略加载接口,审计应用程序通过该接口加载控制管理端发来的报文过滤配置文件中的过滤策略;
a在网卡驱动程序中注册一个字符设备,字符设备是指在I/O传输过程中以字符为单位进行传输的设备;
b编写该字符设备的ioctl()方法,ioctl()用于设备的控制操作,参数配置等;
c在ioctl()方法中处理过滤策略加载命令从审计应用程序加载报文过滤配置文件中的过滤策略。
2)网卡驱动程序根据报文过滤策略构建报文过滤散列表;
a参见图3,首先根据报文过滤配置文件中的被审计对象服务器主机的MAC地址,构建一个长度为256的MAC地址散列表,每个节点的数据结构定义如下:
struct mac_hash{
unsigned short mac_hash;
struct mac_link *pmac_link;
};
mac_hash是MAC地址的hash值,*pmac_link是指向MAC地址单向链表中第一个MAC地址的指针。在MAC地址散列表中,再根据具有相同散列值的各被审计主机的MAC地址,构建MAC地址单向链表,链表中每个节点的数据结构如下:
struct mac_link{
unsigned char mac_addr[6];
struct port_hash *pport_hash;
struct mac_link *pnext;
};
其中mac_addr[6]为MAC地址,*pport_hash为指向该MAC地址主机的被审计服务端口散列表的指针;*pnext为指向下一MAC地址的指针。
b在上述MAC地址单向链表内的每个MAC地址还对应一个服务端口散列表,参见图3,一个服务端口散列表是根据一个MAC地址对应的被审计主机所提供的相应被审计服务的网络端口地址构建的,长度为32,该服务端口散列表的节点数据结构定义如下:
struct port_hash{
unsigned char port_hash;
struct port_link *pport_link;
};
port_hash是端口的hash值,*pport_link是指向单向链表中第一个端口值的指针。在服务端口散列表中,再根据具有相同散列值的各被审计服务的网络端口地址,构建服务端口单向链表,链表中每个节点的数据结构如下:
struct port_link{
unsigned short serv_port;
struct port_link *pnext;
};
注意,对MAC地址和端口地址的散列算法的自由选取不影响本发明的思想,本发明不提供专门的散列算法。
S4,由过滤执行函数执行报文过滤,并将过滤后得到的报文添加到探测器中操作系统内的TCP/IP协议栈的报文队列中;
当网络报文来到时,网卡发生接收报文中断,网卡驱动程序中的中断服务函数被执行,中断服务函数调用该报文过滤函数。
1)在网卡驱动程序的网卡中断处理(服务)函数中,在响应报文接收报文中断之后,增加报文的解析和首次过滤函数,解析出报文的源,目的MAC(以太网)地址,将报文的源和目的MAC地址作为参数进行过滤散列表的第一次匹配,如果没有命中,则丢弃该报文,如果命中,返回散列表中端口散列表地址,继续以下步骤2);对于多数的报文而言,应该都能够通过首次的过滤匹配被丢弃掉,剩下的仅仅是和被审计主机相关的通讯报文;
在进行过滤散列表匹配时,先计算MAC地址的散列值,在MAC地址散列表中,相应散列值如果没有相应的单链表节点,则改散列值被置-1,先匹配散列值,如果散列值存在继续匹配具体的MAC地址值,如不存在则立即返回,丢弃目标报文,如成功,提取出匹配成功的MAC地址对应的服务端口散列表;
然后进行服务端口匹配,类似的,先查找是否存在端口的散列值,如果不存在,丢弃目标报文,如存在,继续匹配端口值;
2)对第一次匹配命中的报文继续进行解析,得到数据链路层的报文类型,如果是非IP报文(08 00),则丢弃该报文;如果是IP报文,则解析出其协议类型:
如果不是TCP或UDP报文(本实施例中被审计对象使用TCP和UDP报文,但本发明不局限于此,只要采用被审计对象通信使用的报文类型来匹配即可),则丢弃该报文;否则,继续解析出该报文的TCP或UDP的源、目的端口地址,根据该源、目的端口地址的散列值到上一步返回的服务端口散列表中相应散列值处的服务端口单向链表中,对该源、目的端口地址进行第二次搜索和匹配,如果没有命中,则丢弃报文;否则,将第二次匹配命中的报文添加到探测器中操作系统内的TCP/IP协议栈的报文队列中。
S5,在审计系统的探测器内,执行告警解析的应用程序通过其与操作系统间的报文捕获接口接收TCP/IP协议栈的报文队列中过滤后得到的网络报文,继续进行报文的协议解析、流重组,策略匹配等常规工作;
过滤流程结束。
如图4所示,为本发明实施例中的系统结构图,基于被审计对象的报文过滤系统,包括相连的控制管理端10和探测器20,其中:
控制管理端10,用于配置被审计对象(即被审计的服务器主机及其上被审计的网络服务),这里是根据被审计服务器主机的以太网MAC地址以及相应的被审计服务的网络端口地址,生成被审计对象的报文过滤配置文件,并下发给探测器20;还用于接收探测器20发回的当前网络通信报文中的告警并进行审计处理;
探测器20,用于根据报文过滤配置文件构建报文过滤散列表,解析出捕获的网络通信报文中的MAC地址和服务端口,与报文过滤散列表中的被审计对象的MAC地址及其服务端口地址进行匹配,过滤出被审计对象相关的数据报文并进行报文的协议解析、流重组,策略匹配等常规工作,之后将解析得到的告警发回给控制管理端10。
该探测器20包括:网卡驱动单元201、告警解析单元202、报文接收单元203、应用层传输单元205以及操作系统协议栈204,网卡驱动单元201可由安装在探测器上操作系统内的网卡驱动程序实现,告警解析单元202可对应于解析过滤后报文的审计应用程序中的模块,应用层传输单元205可对应于控制管理端与探测器在应用层的接口,也属于审计应用程序中的模块,报文接收单元203可对应于安装在探测器上的网卡,本实施例是运行于混杂模式的以太网网卡;其中:
报文接收单元203,用于捕获交换机交互的当前通信报文,并发给网卡驱动单元201;
应用层传输单元205,用于接收控制管理端10发来的报文过滤配置文件,并转发给网卡驱动单元201;
网卡驱动单元201,根据应用层传输单元205发来的报文过滤配置文件构建报文过滤散列表,包括MAC地址散列表和与其中每个MAC地址对应的服务端口散列表;MAC地址散列表中,具有相同散列值的MAC地址构成一个MAC地址单向链表,MAC地址单向链表内每个MAC地址都对应一个服务端口散列表,在每个服务端口散列表中,具有相同散列值的被审计服务端口地址构成一个服务端口单向链表;
网卡驱动单元201,接收报文接收单元203发来的当前网络通信报文,并解析得到所述通信报文的源、目的MAC地址和端口地址,与其构建的报文过滤散列表中的MAC地址和服务端口地址分别进行匹配,匹配命中的报文交给操作系统协议栈204;
操作系统协议栈204,接收网卡驱动单元201发来的匹配过滤后的报文,并添加到操作系统协议栈的报文队列中,报文后续将通过操作系统接口发给告警解析单元202;
告警解析单元202,用于将收到的操作系统协议栈204发来过滤后的报文进行报文的协议解析、流重组,策略匹配等常规工作,将其中发生的告警发送给控制管理端10。
上述系统功能的一些具体实现见上述方法中的描述,此处不再赘述。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (6)
1.一种基于被审计对象的报文过滤方法,其特征在于,
审计系统的控制管理端将被审计服务器主机的以太网MAC地址信息发给探测器;
所述探测器的网卡驱动程序根据网卡捕获的当前网络通信报文,解析得到该报文的源、目的MAC地址,与从控制管理端收到的被审计服务器主机的MAC地址进行匹配,过滤得到匹配成功的通信报文,包括:
所述探测器的网卡驱动程序收到被审计服务器主机的以太网MAC地址信息及其服务端口地址信息后,生成MAC地址散列表和服务端口散列表;MAC地址散列表内具有相同散列值的MAC地址构成一个MAC地址单向链表;MAC地址单向链表中的一个MAC地址对应一个服务端口散列表,所述服务端口散列表中的服务端口散列表内具有相同散列值的被审计服务端口地址构成一个服务端口单向链表;
在进行MAC地址匹配时,分别根据计算出的所述通信报文中的源、目的MAC地址的散列值,在MAC地址散列表中进行匹配,如果所述散列值存在,则继续匹配MAC地址值,提取出匹配成功的相应MAC地址对应的服务端口散列表;然后进行服务端口匹配,分别根据计算出的所述通信报文中的源、目的服务端口的散列值,在服务端口散列表中进行匹配,如果所述端口的散列值存在,继续匹配端口值。
2.如权利要求1所述的方法,其特征在于,
所述控制管理端还将被审计服务器主机相应的被审计服务的服务端口地址信息发给所述探测器;
所述探测器的网卡驱动程序对MAC地址匹配成功的通信报文,还解析出其中的源、目的端口地址,并与被审计服务的网络端口地址进行再次匹配,匹配成功的通信报文添加到协议栈报文队列中。
3.如权利要求1所述的方法,其特征在于,
所述探测器的网卡驱动程序在对MAC地址匹配成功的通信报文,先解析出其报文类型,如果是被审计对象使用的报文类型,则继续进行后续的服务端口地址的匹配,否则,将其直接丢弃。
4.一种基于被审计对象的报文过滤系统,其特征在于,包括:相连的控制管理端和探测器;所述探测器,还包括:网卡驱动单元、告警解析单元、报文接收单元、应用层传输单元以及操作系统协议栈,其中:
所述控制管理端,用于配置被审计对象,并将配置的被审计服务器主机的以太网MAC地址信息,通过所述应用层传输单元转发给探测器的网卡驱动单元;
所述报文接收单元,用于捕获交互的当前通信报文,并给所述网卡驱动单元处理;
所述网卡驱动单元,根据报文接收单元所捕获的当前网络通信报文,并解析得到该通信报文的源、目的MAC地址,与从所述应用层传输单元收到的被审计服务器主机的MAC地址进行匹配,过滤得到匹配成功的通信报文;其中:
所述网卡驱动单元,收到所述应用层传输单元转发的被审计服务器主机的以太网MAC地址信息及其服务端口地址信息后,生成MAC地址散列表和服务端口散列表,并依据该散列表对所述报文接收单元发来的当前网络通信报文进行过滤,将过滤后的报文发送给所述操作系统协议栈,添加到相应协议栈的报文队列中;MAC地址散列表内具有相同散列值的MAC地址构成一个MAC地址单向链表;MAC地址单向链表中的一个MAC地址对应一个服务端口过滤散列表,所述服务端口散列表内具有相同散列值的被审计服务端口地址构成一个服务端口单向链表;
所述网卡驱动单元,在进行报文的MAC地址匹配时,分别根据计算出的所述通信报文中的源、目的MAC地址的散列值,在MAC地址散列表中进行匹配,如果所述散列值存在,则继续匹配MAC地址值,提取出匹配成功的相应MAC地址对应的服务端口散列表;然后进行服务端口匹配,分别根据计算出的所述通信报文中的源、目的服务端口的散列值,在服务端口散列表中进行匹配,如果所述端口的散列值存在,继续匹配端口值。
5.如权利要求4所述的系统,其特征在于,
所述控制管理端,用于配置被审计对象,并将配置的被审计服务器主机相应的被审计服务的服务端口地址信息,通过所述应用层传输单元转发给探测器的网卡驱动单元;
所述网卡驱动单元,对MAC地址匹配成功的通信报文进行解析,得到其中的源、目的端口地址,并与被审计服务的网络端口地址进行再次匹配,匹配成功的通信报文发送给所述操作系统协议栈,添加到协议栈报文队列中,发送给所述告警解析单元进行后续处理。
6.如权利要求4所述的系统,其特征在于,
所述网卡驱动单元,在对MAC地址匹配成功的通信报文,先解析出其报文类型,如果是被审计对象使用的报文类型,则继续进行后续的服务端口地址的匹配,否则,将其直接丢弃。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810106659XA CN101582880B (zh) | 2008-05-14 | 2008-05-14 | 一种基于被审计对象的报文过滤方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810106659XA CN101582880B (zh) | 2008-05-14 | 2008-05-14 | 一种基于被审计对象的报文过滤方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101582880A CN101582880A (zh) | 2009-11-18 |
| CN101582880B true CN101582880B (zh) | 2012-06-06 |
Family
ID=41364843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810106659XA Expired - Fee Related CN101582880B (zh) | 2008-05-14 | 2008-05-14 | 一种基于被审计对象的报文过滤方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101582880B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739473B (zh) * | 2012-07-09 | 2015-06-24 | 南京中新赛克科技有限责任公司 | 一种应用智能网卡的网络检测方法 |
| CN106789756A (zh) * | 2016-12-26 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 一种基于操作系统内核网桥的数据发送方法和装置 |
| CN108900383B (zh) * | 2018-07-19 | 2021-04-06 | 深圳云盈网络科技有限公司 | 基于私有head的数据镜像方法 |
| JP6925542B2 (ja) * | 2018-10-12 | 2021-08-25 | 三菱電機株式会社 | ソフトウェア検証装置、ソフトウェア検証方法およびソフトウェア検証プログラム |
| CN110784482B (zh) * | 2019-11-04 | 2022-03-25 | 浙江国利信安科技有限公司 | 一种工业审计系统的报文存储方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1414742A (zh) * | 2002-12-03 | 2003-04-30 | 北京朗通环球科技有限公司 | 一种对无线局域网内用户进行隔离的方法 |
| CN101068242A (zh) * | 2007-05-31 | 2007-11-07 | 武汉虹旭信息技术有限责任公司 | 一种安全审计系统中获取内外网地址映射关系的方法 |
| JP2008035426A (ja) * | 2006-07-31 | 2008-02-14 | Casio Comput Co Ltd | 通信制御装置、画像表示装置、画像生成装置、通信制御システム、通信制御方法及びプログラム |
-
2008
- 2008-05-14 CN CN200810106659XA patent/CN101582880B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1414742A (zh) * | 2002-12-03 | 2003-04-30 | 北京朗通环球科技有限公司 | 一种对无线局域网内用户进行隔离的方法 |
| JP2008035426A (ja) * | 2006-07-31 | 2008-02-14 | Casio Comput Co Ltd | 通信制御装置、画像表示装置、画像生成装置、通信制御システム、通信制御方法及びプログラム |
| CN101068242A (zh) * | 2007-05-31 | 2007-11-07 | 武汉虹旭信息技术有限责任公司 | 一种安全审计系统中获取内外网地址映射关系的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101582880A (zh) | 2009-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104115463B (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| CN103152352B (zh) | 一种基于云计算环境的全信息安全取证监听方法和系统 | |
| CN1330131C (zh) | 一种交互式的网络蠕虫检测系统和方法 | |
| CN109688105B (zh) | 一种威胁报警信息生成方法及系统 | |
| RU2419986C2 (ru) | Объединение многострочных протокольных вхождений | |
| US6131163A (en) | Network gateway mechanism having a protocol stack proxy | |
| CN102739473B (zh) | 一种应用智能网卡的网络检测方法 | |
| US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
| KR100548154B1 (ko) | 유무선 통신망에서의 패킷 전송 제어 및 패킷 과금 데이터생성을 위한 방법 및 장치 | |
| CN101582880B (zh) | 一种基于被审计对象的报文过滤方法及系统 | |
| CN101098227A (zh) | 一种宽带接入设备的用户安全防护方法 | |
| CN1885765A (zh) | 包中继装置及包中继系统 | |
| CN101217547A (zh) | 基于开源内核的无状态的泛洪请求攻击过滤方法 | |
| US20070289014A1 (en) | Network security device and method for processing packet data using the same | |
| CN112929376A (zh) | 一种流量数据的处理方法、装置、计算机设备和存储介质 | |
| CN101895552B (zh) | 一种安全网关及其检测代理上网的方法 | |
| CN101340275B (zh) | 数据卡及其数据处理和传输方法 | |
| CN110912887A (zh) | 一种基于Bro的APT监测系统和方法 | |
| US9143524B2 (en) | Propagation of malicious code through an information technology network | |
| CN102271331A (zh) | 一种检测业务提供商sp站点可靠性的方法及系统 | |
| CN101252487A (zh) | 一种处理安全告警的方法及安全策略设备 | |
| CN101771575B (zh) | 一种处理ip分片报文的方法、装置及系统 | |
| CN112003842A (zh) | 高交互蜜罐系统和蜜罐防护方法 | |
| CN114244610B (zh) | 一种文件传输方法、装置,网络安全设备及存储介质 | |
| CN102663293A (zh) | 一种计算机视频设备保护方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120606 Termination date: 20180514 |