CN105915516A - 基于安全检测的数据流获取方法及装置 - Google Patents
基于安全检测的数据流获取方法及装置 Download PDFInfo
- Publication number
- CN105915516A CN105915516A CN201610235743.6A CN201610235743A CN105915516A CN 105915516 A CN105915516 A CN 105915516A CN 201610235743 A CN201610235743 A CN 201610235743A CN 105915516 A CN105915516 A CN 105915516A
- Authority
- CN
- China
- Prior art keywords
- data stream
- data
- information
- list item
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种基于安全检测的数据流获取方法及装置,其中,该方法包括:在接收到待检测数据包之后,对该待检测数据包进行镜像,将镜像数据包保存到缓存模块中,将该待检测数据包与规则库中的安全检测规则进行匹配,其中,安全检测规则用于检测数据包是否为恶意数据包;当该待检测数据包命中安全检测规则时,获取该待检测数据包的相关信息,该相关信息包括:该待检测数据包的五元组信息;根据该相关信息,从缓存模块中读取该镜像数据包所在的第一数据流,以及该第一数据流的上下文数据流。本申请能够获取到命中规则的恶意数据包、该恶意数据包所在数据流及其上下文数据流,根据这些数据流提供的完整攻击信息,可以得到更加准确的分析结果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种基于安全检测的数据流获取方法及装置。
背景技术
为了维护网络安全,通常会在内部网络与外部网络之间、或者在不同信任域网络之间,部署网络安全设备,来对要进入被保护网络的数据流进行安全检测,并对检测出的恶意报文进行相应处理。现有的网络安全设备主要有:IPS(Intrusion Prevention System,入侵防御系统)设备和防火墙设备等。
目前,网络安全设备对数据包进行安全检测的方法如下:在网络安全设备中配置有规则库,该规则库中包含有大量的安全检测规则。数据包进入网络安全设备之后,网络安全设备会将该数据包与规则库中的各个安全检测规则进行匹配,当数据包命中一安全检测规则时,确定该数据包为恶意数据包,即,该数据包可能是攻击数据包或异常数据包等,并记录此次攻击事件(或攻击日志)。
为了便于进一步对检测到的攻击事件进行分析,网络安全设备一般还具有抓包功能。可以针对规则库中的不同安全检测规则,开启对应的抓包功能。例如,针对安全检测规则1开启了抓包功能,当数据包命中安全检测规则1时,实时抓取到该命中安全检测规则1的数据包,以便根据抓取到的数据包对此次攻击事件进行进一步分析。
现有的网络安全设备只能抓取到命中规则的那一个数据包,而这个数据包所能提供的攻击信息是有限的、不完整的,因此,仅根据这一个数据包进行分析得到的分析结果有可能是不准确的。
发明内容
有鉴于此,本申请提供一种基于安全检测的数据流获取方法及装置。
具体地,本申请是通过如下技术方案实现的:
一方面,提供了一种基于安全检测的数据流获取方法,该方法包括:
在接收到待检测数据包之后,对该待检测数据包进行镜像,将镜像数据包保存到缓存模块中,将该待检测数据包与规则库中的安全检测规则进行匹配,其中,安全检测规则用于检测数据包是否为恶意数据包;
当该待检测数据包命中安全检测规则时,获取该待检测数据包的相关信息,该相关信息包括:该待检测数据包的五元组信息;
根据获取到的相关信息,从缓存模块中读取该镜像数据包所在的第一数据流,以及该第一数据流的上下文数据流。
另一方面,还提供了一种基于安全检测的数据流获取装置,该装置包括:
接收模块,用于接收待检测数据包;
镜像模块,用于在接收模块接收到待检测数据包之后,对该待检测数据包进行镜像,将镜像数据包保存到缓存模块中;
缓存模块,用于保存镜像数据包;
检测模块,用于将该待检测数据包与规则库中的安全检测规则进行匹配,其中,安全检测规则用于检测数据包是否为恶意数据包;
信息获取模块,用于当检测模块检测到该待检测数据包命中安全检测规则时,获取该待检测数据包的相关信息,该相关信息包括:该待检测数据包的五元组信息;
数据流获取模块,用于根据信息获取模块获取到的相关信息,从缓存模块中读取该镜像数据包所在的第一数据流,以及该第一数据流的上下文数据流。
通过本申请的以上技术方案,在对待检测数据包进行安全检测之前,先对该待检测数据包进行镜像得到镜像数据包,之后,将该镜像数据包保存到缓存模块中,当检测到该待检测数据包为恶意数据包时,获取该待检测数据包的相关信息,即可从缓存模块中读取该待检测数据包的镜像数据包所在的第一数据流,还可以从缓存模块中读取该第一数据流的上下文数据流,从而,不仅获取到了命中规则的恶意数据包,还获取到了该恶意数据包所在数据流及其上下文数据流。由于获取到了恶意数据包所在数据流及其上下文数据流,这些数据流能够提供完整的攻击信息,因此,根据这些完整的攻击信息进行分析得到的分析结果也更加准确。
附图说明
图1是本申请一示例性实施例示出的基于安全检测的数据流获取方法的流程图;
图2是本申请一示例性实施例示出的读取数据流的处理流程图;
图3是本申请一示例性实施例示出的发送读取到的数据流的处理流程图;
图4是本申请一示例性实施例示出的基于安全检测的数据流获取装置的一种结构示意图;
图5是本申请一示例性实施例示出的基于安全检测的数据流获取装置的另一种结构示意图;
图6是本申请一示例性实施例示出的基于安全检测的数据流获取装置的又一种结构示意图;
图7是本申请一示例性实施例示出的基于安全检测的数据流获取装置的又一种结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了解决现有技术中存在的只能抓取到命中规则的那一个数据包,从而导致根据这一个数据包进行分析得到的分析结果不准确的问题,本申请以下实施例中提供了一种基于安全检测的数据流获取方法,以及一种可以应用该方法的数据流获取装置。
如图1所示,本申请实施例的基于安全检测的数据流获取方法包括以下步骤:
步骤S101,在接收到任一数据包(为了描述方便,称为待检测数据包)之后,对该待检测数据包进行镜像,将镜像数据包保存到缓存模块中,将该待检测数据包与规则库中的安全检测规则进行匹配,其中,安全检测规则用于检测数据包是否为恶意数据包;
具体的,缓存模块可以是一个大容量的硬盘,用于存储镜像数据包。为了避免缓存模块的存储空间不足,而无法继续存储镜像数据包,可以预先配置缓存模块的数据删除时间间隔T1,每隔T1时间,对缓存模块中保存的镜像数据包进行删除,其中,T1的值可以根据缓存模块的总存储空间大小和网络安全设备支持的最大数据包转发速度,来进行配置。
由步骤S101可以看出,在接收到一个数据包之后,对该数据包进行镜像会得到两个相同的数据包,其中一个数据包保存到缓存模块中,另外一个数据包执行安全检测,即,将该数据包与规则库中的各个安全检测规则进行匹配。
步骤S102,当该待检测数据包命中安全检测规则时,获取该待检测数据包的相关信息;
当待检测数据包命中安全检测规则时,说明该数据包为恶意数据包,获取该待检测数据包的相关信息,该相关信息包括:该待检测数据包的五元组信息等。
步骤S103,根据获取到的相关信息,从缓存模块中读取该镜像数据包所在的数据流(为了描述方便,将该镜像数据包所在的数据流称为第一数据流),以及该第一数据流的上下文数据流。
在实际实施过程中,可以在获取到该待检测数据包的相关信息之后,就执行步骤S103;也可以按照预定读取时间间隔T2执行步骤S103,也就是说,在T2时间到达之前,针对接收到的每一个数据包执行步骤S101和步骤S102,在T2时间到达时,针对在T2时间内接收到的每一个数据包,执行步骤S103。
本申请上述实施例的方法中,在对待检测数据包进行安全检测之前,先对该待检测数据包进行镜像得到镜像数据包,之后,将该镜像数据包保存到缓存模块中,当检测到该待检测数据包为恶意数据包时,获取该待检测数据包的相关信息,即可从缓存模块中读取该待检测数据包的镜像数据包所在的第一数据流,还可以从缓存模块中读取该第一数据流的上下文数据流,从而,不仅获取到了命中规则的恶意数据包,还获取到了该恶意数据包所在数据流及其上下文数据流。由于获取到了恶意数据包所在数据流及其上下文数据流,这些数据流能够提供完整的攻击信息,因此,根据这些完整的攻击信息进行分析得到的分析结果也更加准确。
另外,由于可以得到更加准确的分析结果,因此,也有助于根据更加准确的分析结果来判断规则库中的安全检测规则是否存在误检,并对存在误检的安全检测规则进行及时的调整。
具体的,本申请实施例的基于安全检测的数据流获取方法包括以下内容:
预先创建如表1-1或表1-2所示的数据读取策略表,数据读取策略表用于记录各个安全检测规则对应的数据读取策略。根据配置信息,将各个安全检测规则对应的数据读取策略添加到数据读取策略表中,数据读取策略表中的每一个策略表项中记录了一个安全检测规则对应的数据读取策略。
在进行配置时,可以采用统一配置、批量配置和单一配置这三种方式中的任一种或多种的组合。其中,统一配置方式是指对所有安全检测规则进行统一配置;批量配置方式是指一次性对多个安全检测规则进行配置,例如,可以按照类别,一次性对同一类别的所有安全检测规则进行配置,或者,按照严重级别,一次性对同一严重级别的所有安全检测规则进行配置;单一配置是指逐条对安全检测规则进行配置。
无论是采用统一配置方式,还是采用批量配置方式,或者单一配置方式,最终,各条安全检测规则对应的数据读取策略分别记录到数据读取策略表中的不同策略表项中。各个策略表项具有不同的序号。
表1-1
由表1-1可以看出,安全检测规则对应的数据读取策略的内容主要包括:需要读取的上文数据流的个数、需要读取的下文数据流的个数、读取总次数、已读取次数、第二读取指示标记和第二发送指示标记。其中:
需要读取的上文数据流的个数:表示针对命中对应安全检测规则的恶意数据包读取数据流时,即,执行上述步骤S103时,需要读取的上文数据流的个数;
需要读取的下文数据流的个数:表示针对命中对应安全检测规则的恶意数据包读取数据流时,即,执行上述步骤S103时,需要读取的下文数据流的个数;
读取总次数:表示针对命中对应安全检测规则的恶意数据包,执行的读取步骤的总次数,即,针对该对应安全检测规则,需要执行步骤S103的总次数;
已读取次数:表示针对命中对应安全检测规则的恶意数据包,已经执行的读取步骤的次数,即,针对该对应的安全检测规则,已经执行的步骤S103的次数;已读取次数的初始值为0,每执行一次读取步骤,已读取次数加1,直至已读取次数等于读取总次数;
第二读取指示标记:用于指示是否需要针对命中对应安全检测规则的数据包读取数据流;第二读取指示标记的初始值设置为需要读取,当已读取次数等于读取总次数时,将第二读取指示标记更新为不需要读取;另外,如果对应安全检测规则被手动关闭,则也需要将第二读取指示标记更新为不需要读取;
第二发送指示标记:用于指示是否需要将针对命中对应安全检测规则的恶意数据包读取到的数据流发送给云端服务器;第二发送指示标记可以根据实际需求,设置为需要发送或者不需要发送。
另外,在实际实施过程中,如表1-2所示,数据读取策略中还可以包含更多内容,例如:策略更新时间和数据流读取时间等,其中,策略更新时间用于记录该数据读取策略更新的最后时间,数据流读取时间用于记录针对命中对应安全检测规则的恶意数据包,最后一次执行读取步骤的时间。
表1-2
预先创建如表2-1或表2-2所示的恶意数据包信息表,恶意数据包信息表用于记录检测到的恶意数据包的一些信息。恶意数据包信息表中的每一个信息表项记录一个恶意数据包的信息,各个信息表项具有不同的序号。
表2-1
由表2-1可以看出,恶意数据包信息表中记录的恶意数据包的一些信息主要包括:恶意数据包的五元组信息(源IP地址、目的IP地址、源端口、目的端口和协议号)、命中的安全检测规则的ID、第一读取指示标记、第一发送指示标记和文件名。其中:
第一读取指示标记:用于指示是否已经针对对应恶意数据包读取了数据流(即执行步骤S103);第一读取指示标记的初始值设置为未读取,在执行了步骤S103之后,将第一读取指示标记更新为已读取;
第一发送指示标记:用于指示是否已经将读取到的数据流发送给云端服务器;第一发送指示标记的初始值设置为未发送,在发送了之后,将第一发送指示标记更新为已发送;
文件名:用于记录读取到的数据流打包成的打包文件的文件名,在未读取数据流时,文件名为空。
另外,在实际实施过程中,如表2-2所示,恶意数据包信息表中还可以记录恶意数据包的更多信息,例如,读取成功指示标记和读取时间等,其中,读取成功指示标记用于指示读取是否成功,读取成功指示标记的初始值设置为不成功,在读取数据流,并且,读取成功之后,将读取成功指示标记更新为成功;读取时间用于记录执行读取步骤的时间,在未读取时,读取时间为空。
表2-2
上述如表1-1或表1-2所示的数据读取策略表的内容是通过静态配置的方式得到的,上述如表2-1或表2-2所示的恶意数据包信息表的内容是在检测到恶意数据包后动态添加的。
基于上述数据读取策略表和恶意数据包信息表,本申请实施例的数据流读取方法如下:
在接收到任一数据包(为了描述方便,称为待检测数据包)之后,对该待检测数据包进行镜像,将镜像数据包保存到缓存模块中,将该待检测数据包与规则库中的安全检测规则进行匹配;获取该待检测数据包的五元组信息和命中的安全检测规则的ID,在恶意数据包信息表中添加一信息表项(为了描述方便,称为第一信息表项),其中,第一信息表项中包含有:该待检测数据包的五元组信息、该待检测数据包命中的安全检测规则的ID、以及设置为未读取的第一读取指示标记。从而,将检测到的恶意数据包的一些信息记录到了恶意数据包信息表中。
在读取数据流时,可以在检测出一个恶意数据包后,就针对该恶意数据包读取数据流,也可以按照预定读取时间间隔T2进行读取,此时,在T2时间内可能检测出了多个恶意数据包,并在恶意数据包信息表中添加了对应的信息表项。
具体的,当按照预定读取时间间隔T2读取数据流时,每隔预定读取时间间隔T2,执行以下的数据流读取流程,如图2所示:
步骤S201,从恶意数据包信息表中查找到包含的第一读取指示标记为未读取的信息表项;
针对查找到的每一个信息表项,分别根据信息表项的内容获取数据流。本例中以针对查找到的第一信息表项执行步骤S202~步骤S209为例进行说明,针对查找到的其它信息表项执行的过程类似,在此不再赘述。
步骤S202,根据该第一信息表项中包含的安全检测规则的ID,在数据读取策略表中查找到对应的策略表项(为了描述方便,称为第一策略表项);
步骤S203,判断该第一策略表项中包含的第二读取指示标记是否为需要读取,若是,则执行步骤S204,否则,退出本流程;
步骤S204,根据该第一信息表项中包含的五元组信息,从缓存模块中读取符合该五元组信息的第一数据流,将该第一信息表项中包含的第一读取指示标记更新为已读取;
步骤S205,根据该第一信息表项中包含的五元组信息中的三元组信息,确定缓存模块中符合该三元组信息的数据流,其中,该三元组信息中包括:源IP地址、目的IP地址和协议号;
在步骤S205中确定出的数据流中显然包括第一数据流。
步骤S206,根据该第一策略表项中包含的上文数据流的个数M(M为正整数)和下文数据流的个数N(N为正整数),从缓存模块中读取确定的数据流中紧挨在该第一数据流前面的M个数据流,读取该确定的数据流中紧挨在该第一数据流后面的N个数据流。
步骤S206中读取的M个数据流即为第一数据流的上文数据流,步骤S206中读取的N个数据流即为第一数据流的下文数据流。由此可见,第一数据流及其上下文数据流具有相同的源IP地址、目的IP地址和协议号,并且,第一数据流的上文数据流是到达时间早于第一数据流的数据流,第一数据流的下文数据流是到达时间晚于第一数据流的数据流。
步骤S207,将该第一策略表项中包含的已读取次数加1;
步骤S208,判断加1后的已读取次数是否等于该第一策略表项中包含的读取总次数,若是,则执行步骤S209,否则,退出本流程;
步骤S209,将该第一策略表项中包含的第二读取指示标记更新为不需要读取。
上述预定读取时间间隔T2可以根据实际需求进行配置和调整,如果需要检测的数据包数量非常巨大,则T2的值不宜设置得太大。例如,可以设置为5分钟。
另外,本申请实施例的方法中,还可以将读取到的数据流发送到云端服务器。此时,在执行完步骤S206之后,还会将读取到的第一数据流、上述M个上文数据流和N个下文数据流打包成一个文件,并对打包文件进行命名;将打包文件的文件名添加到该第一信息表项中。在实际实施过程中,为了便于确定读取到的各个数据流的先后顺序,可以先将各个数据流分别打包命名,再打包成一个打包文件。例如,首先,将读取到的第一数据流、上述M个上文数据流和N个下文数据流中的每一个数据流分别打包成一个文件,并进行命名,最后,再将这些打包文件打包成一个文件。
不同数据流打包成的打包文件的命名方式不同,第一数据流打包成的打包文件的文件名为:命中的安全检测规则的ID+包含该ID的策略表项在数据读取策略表中的序号,上下文数据流打包成的打包文件的文件名为:命中的安全检测规则的ID+该ID在数据读取策略表中的序号+编号,其中,对于上文数据流,编号为-1或-2等负整数,对于下文数据流,编号为+1或+2等正整数,负号“-”后的数字表示对应上文数据流是第一数据流前面的第几个数据流,正号“+”后的数字表示对应下文数据流是第一数据流后面的第几个数据流。例如,当打包文件的文件名为10001_1_+2时,表示对应数据流为:命中安全检测规则10001的恶意数据包的镜像数据包所在第一数据流后面的第2个下文数据流,并且,包含有安全检测规则10001的策略表项在数据读取策略表中的序号为1。
在发送数据流时,可以在读取到第一数据流及其上下文数据流之后,就进行发送,也可以按照预定发送时间间隔T3进行发送,此时,在T3时间内可能已经针对多个恶意数据包读取了数据流。
当按照预定发送时间间隔T3进行发送时,每隔预定发送时间间隔T3,执行如下的发送流程,如图3所示:
步骤S301,从恶意数据包信息表中查找到包含的第一发送指示标记为未发送的信息表项;
针对查找到的每一个信息表项,分别根据信息表项的内容发送数据流。本例中以针对查找到的第一信息表项执行步骤S302~步骤S304为例进行说明,针对查找到的其它信息表项执行的过程类似,在此不再赘述。
步骤S302,根据该第一信息表项中包含的安全检测规则的ID,在数据读取策略表中查找到对应的策略表项(为了描述方便,称为第一策略表项);
步骤S303,判断该第一策略表项中包含的第二发送指示标记是否为需要发送,若是,则执行步骤S304,否则,退出本流程;
步骤S304,根据该第一信息表项中包含的文件名,查找到对应的打包文件,将查找到的打包文件发送给云端服务器,将该第一信息表项中包含的第一发送指示标记更新为已发送。
上述预定发送时间间隔T3可以根据实际需求进行配置和调整,例如,可以配置为24小时。上述云端服务器可以是厂商的公有云端服务器,也可以是用户的私有云端服务器。
上述实施例的方法中,提出了一种基于模块缓存的抓包方式,在对数据包进行安全检测之前,先镜像一份保存到单独的缓存模块中,无需网络安全设备中现有的用于对数据包进行安全检测的检测模块进行缓存,因此,不会影响现有检测模块的正常安全检测性能。
可以预先针对不同安全检测规则配置对应的数据读取策略,该数据读取策略中包括:需要读取的上文数据包的个数、需要读取的下文数据包的个数、读取总次数、已读取次数、用于指示是否需要读取数据流的第二读取指示标记、以及用于指示是否需要将读取到的数据流发送给云端服务器的第二发送指示标记,因此,可以灵活的配置各种数据读取策略内容;另外,通过配置需要读取的上文数据包的个数和需要读取的下文数据包的个数,可以有效的读取到完整的上下文数据流,通过配置读取总次数,可以限制针对命中对应安全检测规则的恶意数据包读取的数据流的数量,节约缓存模块的存储空间,通过配置第二发送指示标记,可以将读取到的数据流发送到云端服务器。
下面通过举例对上述实施例的方法进行说明。例如,数据读取策略表的内容如表3-1所示:
表3-1
在接收到数据包1之后,对该数据包1进行镜像,将镜像数据包保存到缓存模块中,将数据包1与规则库中的各个安全检测规则进行匹配,结果检测到该数据包1与安全检测规则10001匹配,在恶意数据包信息表中添加一信息表项,该信息表项为表4-1中序号为1的信息表项。
表4-1
在预定读取时间间隔T2到达后,在如表4-1所示的恶意数据包信息表中查找第一读取指示标记为未读取的信息表项,结果查找到了序号为1的信息表项,根据该信息表项中包含的规则ID 10001,在如表3-1所示的数据读取策略表中查找对应的策略表项,结果查找到序号为1的策略表项,该策略表项中包含的第二读取指示标记为需要读取,需要读取的上文数据流的个数为3,需要读取的下文数据流的个数为4;根据该信息表项中的五元组信息,从缓存模块中读取符合该五元组信息的第一数据流,将该信息表项中包含的第一读取指示标记更新为已读取,若读取成功,则将该信息表项中包含的读取成功指示标记更新为成功;根据该五元组信息中的三元组信息:源IP地址10.152.6.80、目的IP地址1.5.58.48和RTMP(Real Time Messaging Protocol,实时消息传输协议)的协议号,从缓存模块中确定出符合该三元组信息的数据流,读取这些数据流中紧挨在第一数据流前面的3个数据流,以及紧挨在第一数据流后面的4个数据流;将该策略表项中包含的已读取次数0加1得到1,此时,表3-1更新为表3-2,由于当前的已读取次数1不等于读取总次数3,因此,不会将该策略表项中包含的第二读取指示标记更新为不需要读取;将读取到的第一数据流及其上下文数据流打包成一个打包文件,并命名为file1,将file1添加到该信息表项中,此时,表4-1更新为表4-2。
表4-2
表3-2
在预定发送时间间隔T3到达后,从如表4-2所示的恶意数据包信息表中查找第一发送指示标记为未发送的信息表项,结果查找到了序号为1的信息表项;根据该信息表项中包含的安全检测规则的ID 10001,在如表3-2所示的数据读取策略表中查找对应的策略表项,结果查找到了序号为1的策略表项,该策略表项中的第二发送指示标记为需要发送;根据该信息表项中包含的文件名file1,查找到对应的打包文件,将该打包文件发送给云端服务器,将该信息表项中包含的第一发送指示标记更新为已发送,此时,表4-2更新为表4-3。
表4-3
与前述数据流获取方法的实施例相对应,本申请还提供了数据流获取装置的实施例。
请参考图4,本申请实施例的数据流获取装置中包括以下模块:接收模块401、镜像模块402、缓存模块403、检测模块404、信息获取模块405和数据流获取模块406,其中:
接收模块401,用于接收待检测数据包;
镜像模块402,用于在接收模块401接收到待检测数据包之后,对该待检测数据包进行镜像,将镜像数据包保存到缓存模块403中;
缓存模块403,用于保存镜像数据包;
检测模块404,用于将该待检测数据包与规则库中的安全检测规则进行匹配,其中,安全检测规则用于检测数据包是否为恶意数据包;
信息获取模块405,用于当检测模块404检测到该待检测数据包命中安全检测规则时,获取该待检测数据包的相关信息,该相关信息中包括:该待检测数据包的五元组信息;
数据流获取模块406,用于根据信息获取模块获取到的相关信息,从缓存模块中读取镜像数据包所在的第一数据流,以及第一数据流的上下文数据流。
其中,该相关信息中还包括:该待检测数据包命中的安全检测规则的ID;则,如图5所示,上述数据流获取装置中还包括:
表项更新模块407,用于在信息获取模块405获取到该待检测数据包的相关信息之后,在恶意数据包信息表中添加第一信息表项,其中,第一信息表项中包含有:该待检测数据包的五元组信息、该待检测数据包命中的安全检测规则的ID、以及设置为未读取的第一读取指示标记,第一读取指示标记用于指示是否已经针对该待检测数据包读取了数据流。
其中,数据流获取模块406中包括:信息表项查找单元、策略表项查找单元、第一读取单元和信息表项更新单元,其中:
信息表项查找单元,用于从恶意数据包信息表中查找包含的第一读取指示标记为未读取的第一信息表项;
策略表项查找单元,用于根据信息表项查找单元查找到的第一信息表项中包含的安全检测规则的ID,在数据读取策略表中查找对应的第一策略表项,其中,数据读取策略表中包含有:安全检测规则的ID和第二读取指示标记,第二读取指示标记用于指示是否需要针对命中对应安全检测规则的数据包读取数据流;
第一读取单元,用于若策略表项查找单元查找到的第一策略表项中包含的第二读取指示标记为需要读取,则根据第一信息表项中包含的五元组信息,从缓存模块中读取符合该五元组信息的第一数据流;
信息表项更新单元,用于在第一读取单元从缓存模块中读取符合该五元组信息的第一数据流之后,将第一信息表项中包含的第一读取指示标记更新为已读取。
其中,数据读取策略表中还包含有:需要读取的上文数据流的个数和需要读取的下文数据流的个数;则,数据流获取模块406中还包括:数据流确定单元和第二读取单元,其中:
数据流确定单元,用于根据第一信息表项中包含的五元组信息中的三元组信息,确定缓存模块中符合该三元组信息的数据流;其中,三元组信息中包括:源IP地址、目的IP地址和协议号;
第二读取单元,用于根据第一策略表项中包含的上文数据流的个数M和下文数据流的个数N,读取数据流确定单元确定的数据流中紧挨在第一数据流前面的M个数据流,作为第一数据流的上文数据流,读取确定的数据流中紧挨在第一数据流后面的N个数据流,作为第一数据流的下文数据流;其中,M和N为正整数。
其中,数据读取策略表中还包含有:读取总次数和已读取次数;则,数据流获取模块406中还包括:判断单元和策略表项更新单元,其中:
判断单元,用于在第二读取单元读取N个数据流之后,将第一策略表项中包含的已读取次数加1,判断加1后的已读取次数是否等于第一策略表项中包含的读取总次数;
策略表项更新单元,用于若判断单元判断出加1后的已读取次数等于第一策略表项中包含的读取总次数,则将第一策略表项中包含的第二读取指示标记更新为不需要读取。
另外,如图6所示,上述数据流获取装置中还包括:打包模块408,其中:
打包模块408,用于将数据流获取模块406读取到的第一数据流、M个上文数据流和N个下文数据流打包成一个文件,并对打包文件进行命名;
表项更新模块407,还用于将打包模块408打包得到的打包文件的文件名,添加到第一信息表项中。
另外,恶意数据包信息表中还包含有第一发送指示标记,数据读取策略表中还包含有第二发送指示标记,第一发送指示标记用于指示是否已经将读取到的数据流发送给云端服务器,第二发送指示标记用于指示是否需要将针对命中对应安全检测规则的数据包读取到的数据流发送给云端服务器;则,如图7所示,上述数据流获取装置中还包括:表项查找模块409、打包文件查找模块410和发送模块411,其中:
表项查找模块409,用于从恶意数据包信息表中查找包含的第一发送指示标记为未发送的第一信息表项,根据第一信息表项中包含的安全检测规则的ID,在数据读取策略表中查找对应的第一策略表项;
打包文件查找模块410,用于若表项查找模块409查找到的第一策略表项中包含的第二发送指示标记为需要发送,则根据第一信息表项中包含的文件名,查找到对应的打包文件;
发送模块411,用于将打包文件查找模块410查找到的打包文件,发送给云端服务器;
表项更新模块407,还用于在发送模块411将打包文件查找模块410查找到的打包文件,发送给云端服务器之后,将第一信息表项中包含的第一发送指示标记更新为已发送。
上述数据流获取装置可以应用于安全网络设备中,数据流获取装置中的检测模块4041由安全网络设备中现有的用于对数据包进行安全检测的检测模块来实现,或者,上述数据流获取装置中除检测模块404和信息获取模块405应用于安全网络设备中,其它模块应用于另外一个独立的设备中。本申请实施例对此不做限定。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (14)
1.一种基于安全检测的数据流获取方法,其特征在于,所述方法包括:
在接收到待检测数据包之后,对所述待检测数据包进行镜像,将镜像数据包保存到缓存模块中,将所述待检测数据包与规则库中的安全检测规则进行匹配,其中,安全检测规则用于检测数据包是否为恶意数据包;
当所述待检测数据包命中安全检测规则时,获取所述待检测数据包的相关信息,所述相关信息包括:所述待检测数据包的五元组信息;
根据获取到的相关信息,从所述缓存模块中读取所述镜像数据包所在的第一数据流,以及所述第一数据流的上下文数据流。
2.根据权利要求1所述的方法,其特征在于,所述待检测数据包的相关信息中还包括:所述待检测数据包命中的安全检测规则的标识ID;则,在获取所述待检测数据包的相关信息之后,还包括:
在恶意数据包信息表中添加第一信息表项,其中,所述第一信息表项中包含有:所述待检测数据包的五元组信息、所述待检测数据包命中的安全检测规则的ID、以及设置为未读取的第一读取指示标记,第一读取指示标记用于指示是否已经针对所述待检测数据包读取了数据流。
3.根据权利要求2所述的方法,其特征在于,从所述缓存模块中读取所述镜像数据包所在的第一数据流的方法包括:
从所述恶意数据包信息表中查找到包含的第一读取指示标记为未读取的第一信息表项;
根据所述第一信息表项中包含的安全检测规则的ID,在数据读取策略表中查找到对应的第一策略表项,其中,所述数据读取策略表中包含有:安全检测规则的ID和第二读取指示标记,第二读取指示标记用于指示是否需要针对命中对应安全检测规则的数据包读取数据流;
若所述第一策略表项中包含的第二读取指示标记为需要读取,则根据所述第一信息表项中包含的五元组信息,从所述缓存模块中读取符合所述五元组信息的第一数据流,将所述第一信息表项中包含的第一读取指示标记更新为已读取。
4.根据权利要求3所述的方法,其特征在于,所述数据读取策略表中还包含有:需要读取的上文数据流的个数和需要读取的下文数据流的个数;则,从所述缓存模块中读取所述第一数据流的上下文数据流的方法包括:
根据所述第一信息表项中包含的五元组信息中的三元组信息,确定所述缓存模块中符合所述三元组信息的数据流;其中,所述三元组信息中包括:源因特网协议IP地址、目的IP地址和协议号;
根据所述第一策略表项中包含的上文数据流的个数M和下文数据流的个数N,读取确定的数据流中紧挨在所述第一数据流前面的M个数据流作为所述第一数据流的上文数据流,读取所述确定的数据流中紧挨在所述第一数据流后面的N个数据流作为所述第一数据流的下文数据流;其中,M和N为正整数。
5.根据权利要求4所述的方法,其特征在于,所述数据读取策略表中还包含有:读取总次数和已读取次数;则,在读取所述确定的数据流中紧挨在所述第一数据流后面的N个数据流之后,还包括:
将所述第一策略表项中包含的已读取次数加1,判断加1后的已读取次数是否等于所述第一策略表项中包含的读取总次数;
若等于,则将所述第一策略表项中包含的第二读取指示标记更新为不需要读取。
6.根据权利要求4或5所述的方法,其特征在于,在从所述缓存模块中读取所述镜像数据包所在的第一数据流,以及所述第一数据流的上下文数据流之后,还包括:
将读取到的所述第一数据流、所述M个上文数据流和所述N个下文数据流打包成一个文件,并对打包文件进行命名;
将打包文件的文件名添加到所述第一信息表项中。
7.根据权利要求6所述的方法,其特征在于,所述恶意数据包信息表中还包含有第一发送指示标记,所述数据读取策略表中还包含有第二发送指示标记,第一发送指示标记用于指示是否已经将读取到的数据流发送给云端服务器,第二发送指示标记用于指示是否需要将针对命中对应安全检测规则的数据包读取到的数据流发送给云端服务器;则,在从所述缓存模块中读取所述镜像数据包所在的第一数据流,以及所述第一数据流的上下文数据流之后,还包括:
从所述恶意数据包信息表中查找到包含的第一发送指示标记为未发送的第一信息表项;
根据所述第一信息表项中包含的安全检测规则的ID,在所述数据读取策略表中查找到对应的第一策略表项;
若所述第一策略表项中包含的第二发送指示标记为需要发送,则根据所述第一信息表项中包含的文件名,查找到对应的打包文件,将查找到的打包文件发送给云端服务器,将所述第一信息表项中包含的第一发送指示标记更新为已发送。
8.一种基于安全检测的数据流获取装置,其特征在于,所述装置包括:
接收模块,用于接收待检测数据包;
镜像模块,用于在所述接收模块接收到待检测数据包之后,对所述待检测数据包进行镜像,将镜像数据包保存到缓存模块中;
所述缓存模块,用于保存镜像数据包;
检测模块,用于将所述待检测数据包与规则库中的安全检测规则进行匹配,其中,安全检测规则用于检测数据包是否为恶意数据包;
信息获取模块,用于当所述检测模块检测到所述待检测数据包命中安全检测规则时,获取所述待检测数据包的相关信息,所述相关信息包括:所述待检测数据包的五元组信息;
数据流获取模块,用于根据所述信息获取模块获取到的相关信息,从所述缓存模块中读取所述镜像数据包所在的第一数据流,以及所述第一数据流的上下文数据流。
9.根据权利要求8所述的装置,其特征在于,所述待检测数据包的相关信息中还包括:所述待检测数据包命中的安全检测规则的标识ID;则,所述装置还包括:
表项更新模块,用于在所述信息获取模块获取到所述待检测数据包的相关信息之后,在恶意数据包信息表中添加第一信息表项,其中,所述第一信息表项中包含有:所述待检测数据包的五元组信息、所述待检测数据包命中的安全检测规则的ID、以及设置为未读取的第一读取指示标记,第一读取指示标记用于指示是否已经针对所述待检测数据包读取了数据流。
10.根据权利要求9所述的装置,其特征在于,所述数据流获取模块包括:
信息表项查找单元,用于从所述恶意数据包信息表中查找包含的第一读取指示标记为未读取的第一信息表项;
策略表项查找单元,用于根据所述信息表项查找单元查找到的第一信息表项中包含的安全检测规则的ID,在数据读取策略表中查找对应的第一策略表项,其中,所述数据读取策略表中包含有:安全检测规则的ID和第二读取指示标记,第二读取指示标记用于指示是否需要针对命中对应安全检测规则的数据包读取数据流;
第一读取单元,用于若所述策略表项查找单元查找到的第一策略表项中包含的第二读取指示标记为需要读取,则根据所述第一信息表项中包含的五元组信息,从所述缓存模块中读取符合所述五元组信息的第一数据流;
信息表项更新单元,用于在所述第一读取单元从所述缓存模块中读取符合所述五元组信息的第一数据流之后,将所述第一信息表项中包含的第一读取指示标记更新为已读取。
11.根据权利要求10所述的装置,其特征在于,所述数据读取策略表中还包含有:需要读取的上文数据流的个数和需要读取的下文数据流的个数;则,所述数据流获取模块还包括:
数据流确定单元,用于根据所述第一信息表项中包含的五元组信息中的三元组信息,确定所述缓存模块中符合所述三元组信息的数据流;其中,所述三元组信息中包括:源因特网协议IP地址、目的IP地址和协议号;
第二读取单元,用于根据所述第一策略表项中包含的上文数据流的个数M和下文数据流的个数N,读取所述数据流确定单元确定的数据流中紧挨在所述第一数据流前面的M个数据流,作为所述第一数据流的上文数据流,读取所述确定的数据流中紧挨在所述第一数据流后面的N个数据流,作为所述第一数据流的下文数据流;其中,M和N为正整数。
12.根据权利要求11所述的装置,其特征在于,所述数据读取策略表中还包含有:读取总次数和已读取次数;则,所述数据流获取模块还包括:
判断单元,用于在所述第二读取单元读取所述确定的数据流中紧挨在所述第一数据流后面的N个数据流之后,将所述第一策略表项中包含的已读取次数加1,判断加1后的已读取次数是否等于所述第一策略表项中包含的读取总次数;
策略表项更新单元,用于若所述判断单元判断出加1后的已读取次数等于所述第一策略表项中包含的读取总次数,则将所述第一策略表项中包含的第二读取指示标记更新为不需要读取。
13.根据权利要求11或12所述的装置,其特征在于,所述装置还包括:打包模块,其中:
所述打包模块,用于将所述数据流获取模块读取到的所述第一数据流、所述M个上文数据流和所述N个下文数据流打包成一个文件,并对打包文件进行命名;
所述表项更新模块,还用于将所述打包模块打包得到的打包文件的文件名,添加到所述第一信息表项中。
14.根据权利要求13所述的装置,其特征在于,所述恶意数据包信息表中还包含有第一发送指示标记,所述数据读取策略表中还包含有第二发送指示标记,第一发送指示标记用于指示是否已经将读取到的数据流发送给云端服务器,第二发送指示标记用于指示是否需要将针对命中对应安全检测规则的数据包读取到的数据流发送给云端服务器;则,所述装置还包括:表项查找模块、打包文件查找模块和发送模块,其中:
所述表项查找模块,用于从所述恶意数据包信息表中查找包含的第一发送指示标记为未发送的第一信息表项,根据所述第一信息表项中包含的安全检测规则的ID,在所述数据读取策略表中查找对应的第一策略表项;
所述打包文件查找模块,用于若所述表项查找模块查找到的第一策略表项中包含的第二发送指示标记为需要发送,则根据所述第一信息表项中包含的文件名,查找到对应的打包文件;
所述发送模块,用于将所述打包文件查找模块查找到的打包文件,发送给云端服务器;
所述表项更新模块,还用于在所述发送模块将所述打包文件查找模块查找到的打包文件,发送给云端服务器之后,将所述第一信息表项中包含的第一发送指示标记更新为已发送。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610235743.6A CN105915516B (zh) | 2016-04-15 | 2016-04-15 | 基于安全检测的数据流获取方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610235743.6A CN105915516B (zh) | 2016-04-15 | 2016-04-15 | 基于安全检测的数据流获取方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105915516A true CN105915516A (zh) | 2016-08-31 |
| CN105915516B CN105915516B (zh) | 2020-01-03 |
Family
ID=56747122
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610235743.6A Active CN105915516B (zh) | 2016-04-15 | 2016-04-15 | 基于安全检测的数据流获取方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105915516B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107277055A (zh) * | 2017-08-03 | 2017-10-20 | 杭州安恒信息技术有限公司 | 一种基于离线缓存的网站防护技术 |
| CN110362994A (zh) * | 2018-03-26 | 2019-10-22 | 华为技术有限公司 | 恶意文件的检测方法、设备和系统 |
| CN110995679A (zh) * | 2019-11-22 | 2020-04-10 | 杭州迪普科技股份有限公司 | 一种文件数据流控制方法、装置、设备及存储介质 |
| CN112351050A (zh) * | 2019-08-06 | 2021-02-09 | 中兴通讯股份有限公司 | 镜像数据流的方法、装置、通信设备及存储介质 |
| CN113507433A (zh) * | 2021-05-27 | 2021-10-15 | 新华三信息安全技术有限公司 | 一种数据检测方法及防火墙设备 |
| CN113839929A (zh) * | 2021-09-06 | 2021-12-24 | 深圳Tcl新技术有限公司 | 信息安全提升方法、装置、电子设备及存储介质 |
| CN114268504A (zh) * | 2021-12-24 | 2022-04-01 | 建信金融科技有限责任公司 | 云中提供网络安全检测的方法、装置、设备、介质、产品 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697404A (zh) * | 2005-06-10 | 2005-11-16 | 广东省电信有限公司研究院 | 一种交互式的网络蠕虫检测系统和方法 |
| CN104283897A (zh) * | 2014-10-29 | 2015-01-14 | 刘胜利 | 基于多数据流聚类分析的木马通信特征快速提取方法 |
| CN105007282A (zh) * | 2015-08-10 | 2015-10-28 | 济南大学 | 面向网络服务提供商的恶意软件网络行为检测方法及系统 |
-
2016
- 2016-04-15 CN CN201610235743.6A patent/CN105915516B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697404A (zh) * | 2005-06-10 | 2005-11-16 | 广东省电信有限公司研究院 | 一种交互式的网络蠕虫检测系统和方法 |
| CN104283897A (zh) * | 2014-10-29 | 2015-01-14 | 刘胜利 | 基于多数据流聚类分析的木马通信特征快速提取方法 |
| CN105007282A (zh) * | 2015-08-10 | 2015-10-28 | 济南大学 | 面向网络服务提供商的恶意软件网络行为检测方法及系统 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107277055B (zh) * | 2017-08-03 | 2020-01-03 | 杭州安恒信息技术股份有限公司 | 一种基于离线缓存的网站防护方法 |
| CN107277055A (zh) * | 2017-08-03 | 2017-10-20 | 杭州安恒信息技术有限公司 | 一种基于离线缓存的网站防护技术 |
| CN110362994B (zh) * | 2018-03-26 | 2023-06-20 | 华为技术有限公司 | 恶意文件的检测方法、设备和系统 |
| CN110362994A (zh) * | 2018-03-26 | 2019-10-22 | 华为技术有限公司 | 恶意文件的检测方法、设备和系统 |
| US11836253B2 (en) | 2018-03-26 | 2023-12-05 | Huawei Technologies Co., Ltd. | Malicious file detection method, device, and system |
| CN112351050A (zh) * | 2019-08-06 | 2021-02-09 | 中兴通讯股份有限公司 | 镜像数据流的方法、装置、通信设备及存储介质 |
| WO2021023028A1 (zh) * | 2019-08-06 | 2021-02-11 | 中兴通讯股份有限公司 | 镜像数据流的方法、装置、通信设备及存储介质 |
| CN110995679A (zh) * | 2019-11-22 | 2020-04-10 | 杭州迪普科技股份有限公司 | 一种文件数据流控制方法、装置、设备及存储介质 |
| CN110995679B (zh) * | 2019-11-22 | 2022-03-01 | 杭州迪普科技股份有限公司 | 一种文件数据流控制方法、装置、设备及存储介质 |
| CN113507433A (zh) * | 2021-05-27 | 2021-10-15 | 新华三信息安全技术有限公司 | 一种数据检测方法及防火墙设备 |
| CN113507433B (zh) * | 2021-05-27 | 2023-04-07 | 新华三信息安全技术有限公司 | 一种数据检测方法及防火墙设备 |
| CN113839929A (zh) * | 2021-09-06 | 2021-12-24 | 深圳Tcl新技术有限公司 | 信息安全提升方法、装置、电子设备及存储介质 |
| CN113839929B (zh) * | 2021-09-06 | 2024-01-19 | 深圳Tcl新技术有限公司 | 信息安全提升方法、装置、电子设备及存储介质 |
| CN114268504B (zh) * | 2021-12-24 | 2023-06-02 | 建信金融科技有限责任公司 | 云中提供网络安全检测的方法、装置、设备、介质、产品 |
| CN114268504A (zh) * | 2021-12-24 | 2022-04-01 | 建信金融科技有限责任公司 | 云中提供网络安全检测的方法、装置、设备、介质、产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105915516B (zh) | 2020-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105915516A (zh) | 基于安全检测的数据流获取方法及装置 | |
| US11902096B2 (en) | Collection of error packet information for network policy enforcement | |
| US7703138B2 (en) | Use of application signature to identify trusted traffic | |
| CN100542129C (zh) | 数据包传送装置 | |
| US20090055930A1 (en) | Content Security by Network Switch | |
| ES2829600T3 (es) | Método y aparato para detectar el comportamiento zombi | |
| TWI382723B (zh) | 傳輸資料封包時用於改善安全性之方法及裝置 | |
| US20080019359A1 (en) | Multiple virtual network stack instances using virtual network interface cards | |
| US20080240103A1 (en) | Three-port ethernet switch with external buffer | |
| US7441268B2 (en) | Method and apparatus to manage exceptions in network processors | |
| CN107179907A (zh) | 一种配置系统及方法 | |
| CN109495320B (zh) | 一种数据报文的传输方法和装置 | |
| CN104243344A (zh) | 一种有效数据包捕获方法及请求重定向服务器 | |
| US20080267193A1 (en) | Technique for enabling network statistics on software partitions | |
| US7779464B2 (en) | System security approaches utilizing a hierarchical memory system | |
| US8050266B2 (en) | Low impact network debugging | |
| KR100687736B1 (ko) | 네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법 | |
| JP2015164295A (ja) | 情報伝送システム、情報通信装置、情報伝送装置、及びプログラム | |
| US8806059B1 (en) | Rule tree for network device | |
| US20220283861A1 (en) | Routing Log-Based Information | |
| WO2015196761A1 (zh) | 测试cpu转发性能的方法及装置 | |
| EP3890278B1 (en) | Data leakage prevention | |
| TW201010354A (en) | A network interface card of packet filtering and method thereof | |
| CN106790241A (zh) | 一种报文的处理方法及装置 | |
| CN107483431A (zh) | 一种基于tcp/ip协议的交换机端口安全防护方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |