CN106789450B - 一种报文的特征统计方法及装置 - Google Patents

一种报文的特征统计方法及装置 Download PDF

Info

Publication number
CN106789450B
CN106789450B CN201710118325.3A CN201710118325A CN106789450B CN 106789450 B CN106789450 B CN 106789450B CN 201710118325 A CN201710118325 A CN 201710118325A CN 106789450 B CN106789450 B CN 106789450B
Authority
CN
China
Prior art keywords
matched
value
module
determining
storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710118325.3A
Other languages
English (en)
Other versions
CN106789450A (zh
Inventor
闫伟
张明祯
刘志来
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201710118325.3A priority Critical patent/CN106789450B/zh
Publication of CN106789450A publication Critical patent/CN106789450A/zh
Application granted granted Critical
Publication of CN106789450B publication Critical patent/CN106789450B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种报文的特征统计方法及装置,所述方法包括:确定第一存储模块中是否存在与待匹配特征值相同的第一特征值;当确定第一存储模块中不存在与待匹配特征值相同的第一特征值时,基于待匹配特征值,从第一存储模块中确定待匹配的至少一个第一接收数量,从第二存储模块中确定与待匹配特征值对应的第二接收数量;基于预设排序规则,将待匹配的至少一个第一接收数量与第二接收数量进行排序,获得排序结果;基于排序结果以及预设确定规则,当确定第二接收数量为最小值时,将第二存储模块中存储的第二接收数量替换为第三接收数量。应用本发明实施例,解决了防护设备的特征统计效率低的问题。

Description

一种报文的特征统计方法及装置
技术领域
本发明涉及网络通信技术领域,尤其涉及一种报文的特征统计方法及装置。
背景技术
通常,当防护设备接收到大量待防护报文时,防护设备通过动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM)基于待防护报文中携带的特征值,对接收到的具有相同特征值的待防护报文的数量进行统计。
现有技术中,黑客向防护设备集中发送大量攻击报文,通常该大量攻击报文中携带的特征值是相同的,因而使得DRAM中存储该特征值的存储地址,短时间内接收到大量的针对特征统计的读写访问,DRAM的处理速度降低,进而导致防护设备的特征统计效率低。
发明内容
有鉴于此,本发明提供一种报文的特征统计方法及装置,以解决防护设备的特征统计效率低的问题。
为实现上述目的,本发明提供技术方案如下:
根据本发明的第一方面,提出了一种报文的特征统计方法,所述方法包括:
当接收到待防护报文时,基于所述待防护报文携带的特征值确定待匹配特征值;
确定第一存储模块中是否存在与所述待匹配特征值相同的第一特征值,所述第一存储模块用于存储至少一个第一特征值,所述至少一个第一特征值中的每一个第一特征值对应一个第一接收数量;
当确定所述第一存储模块中不存在与所述待匹配特征值相同的第一特征值时,基于所述待匹配特征值,从所述第一存储模块中确定待匹配的至少一个第一接收数量,从第二存储模块中确定与所述待匹配特征值对应的第二接收数量,所述第二存储模块用于存储接收到的全部第二特征值,所述第二接收数量为第一预设时长内接收到所述待匹配特征值的数量;
基于预设排序规则,将所述待匹配的至少一个第一接收数量与所述第二接收数量进行排序,获得排序结果;
基于所述排序结果以及预设确定规则,当确定所述第二接收数量为最小值时,将所述第二存储模块中存储的所述第二接收数量替换为第三接收数量,所述第三接收数量为所述第二接收数量累加预设数量后得到的。
根据本发明的第二方面,提出了一种报文的特征统计装置,包括:
第一确定模块,用于当接收到待防护报文时,基于所述待防护报文携带的特征值确定待匹配特征值;
第二确定模块,用于确定第一存储模块中是否存在与所述第一确定模块中确定的所述待匹配特征值相同的第一特征值,所述第一存储模块用于存储至少一个第一特征值,所述至少一个第一特征值中的每一个第一特征值对应一个第一接收数量;
第三确定模块,用于当所述第二确定模块中确定所述第一存储模块中不存在与所述待匹配特征值相同的第一特征值时,基于所述待匹配特征值,从所述第一存储模块中确定待匹配的至少一个第一接收数量,从第二存储模块中确定与所述待匹配特征值对应的第二接收数量,所述第二存储模块用于存储接收到的全部第二特征值,所述第二接收数量为第一预设时长内接收到所述待匹配特征值的数量;
接收数量排序模块,用于基于预设排序规则,将所述第三确定模块中确定的所述待匹配的至少一个第一接收数量与所述第二接收数量进行排序,获得排序结果;
第一替换模块,用于基于所述接收数量排序模块中获得的所述排序结果以及预设确定规则,当确定所述第二接收数量为最小值时,将所述第二存储模块中存储的所述第二接收数量替换为第三接收数量,所述第三接收数量为所述第二接收数量累加预设数量后得到的。
由以上技术方案可见,防护设备确定第一存储模块中不存在与待匹配特征值相同的第一特征值时,防护设备基于待匹配特征值,从第一存储模块中确定待匹配的至少一个第一接收数量,从第二存储模块中确定与待匹配特征值对应的第二接收数量,防护设备基于预设排序规则,将待匹配的至少一个第一接收数量与第二接收数量进行排序,防护设备基于排序结果以及预设确定规则,当确定第二接收数量为最小值时,防护设备将第二存储模块中存储的第二接收数量替换为第三接收数量,第三接收数量为第二接收数量累加预设数量后得到的。防护设备通过第一存储模块对具有较大第一接收数量的第一特征值进行统计,将具有较小第二接收数量的待匹配特征值由第二存储模块进行存储及统计,避免第二存储模块中的某一存储地址短时间内被集中访问,提高了第二存储模块的处理效率,进而解决了防护设备的特征统计效率低的问题。
附图说明
图1是本发明提供的一个报文的特征统计方法的实施例流程图;
图2是本发明提供的另一个报文的特征统计方法的实施例流程图;
图3是本发明提供的再一个报文的特征统计方法的实施例流程图;
图4是本发明提供的再一个报文的特征统计方法的实施例流程图;
图5是本发明提供的一种防护设备的硬件结构图;
图6是本发明提供的一个报文的特征统计装置的实施例框图;
图7是本发明提供的另一个报文的特征统计装置的实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本发明提供的报文的特征统计方法可以应用在防护设备上,本领域技术人员可以理解的是,本发明提供的报文的特征统计方法可以应用在具有特征值统计功能的设备上,例如,防火墙等,并不仅限于防护设备。在一实施例中,当防护设备接收到待防护报文时,防护设备基于待防护报文携带的特征值确定待匹配特征值,防护设备可以将待防护报文携带的特征值直接确定为待匹配特征值,也可以对待防护报文携带的特征值进行HASH运算后,将运算结果确定为待匹配特征值,由于待防护报文携带的特征值位宽比较大,如果直接将待防护报文携带的特征值作为待匹配特征值进行特征值统计,待匹配特征值占用的存储空间大。具体的,以待防护报文携带的特征值为五元组信息:源IP地址“192.168.1.1”,目的IP地址“121.14.88.76”,源端口“10000”,目的端口“80”,TCP协议号“6”为例,待防护报文将源IP地址“192.168.1.1”,目的IP地址“121.14.88.76”,源端口“10000”,目的端口“80”,TCP协议号“6”直接确定为待匹配特征值;另一种方法,防护设备将源IP地址“192.168.1.1”,目的IP地址“121.14.88.76”,源端口“10000”,目的端口“80”,TCP协议号“6”通过HASH运算后,得到6位宽的运算结果,例如,运算结果为123456,防护设备将123456确定为待匹配特征值,本领域技术人员可以理解的是,防护设备对待防护报文携带的特征值进行HASH运算后,得到6位宽的运算结果仅为示例性说明,也可以根据不同需要,设定不同HASH运算方法,得到不同位宽的运算结果,因此,6位宽的运算结果并不能形成对本发明的限制。防护设备确定第一存储模块中是否存在与待匹配特征值相同的第一特征值,其中,第一存储模块可以为一个易挥发性随机存取存储器(RamdomAccessMemory,简称为RAM),RAM具有高速存取的特性,RAM中某一存储地址被连续读写时,不易产生处理效率降低的问题,第一存储模块用于存储至少一个第一特征值,至少一个第一特征值中的每一个第一特征值对应一个第一接收数量,第一接收数量为针对每一个第一特征值的接收数量的统计值。当防护设备确定第一存储模块中不存在与待匹配特征值相同的第一特征值时,防护设备基于待匹配特征值,从第一存储模块中确定待匹配的至少一个第一接收数量,从第二存储模块中确定与待匹配特征值对应的第二接收数量,第二存储模块包含至少一个第二存储子模块,每一个第二存储子模块对应一个第四接收数量。其中,第二存储模块可以为DRAM,DRAM相比于RAM的存储空间更大,但DRAM中某一存储地址被连续读写时,容易产生处理效率降低的问题。第二存储模块用于存储接收到的全部第二特征值,第二接收数量为第一预设时长内接收到待匹配特征值的数量,第一预设时长例如为3秒,结合上述将123456确定为待匹配特征值,第二接收数量即为3秒内第二存储模块接收到待匹配特征值123456的数量。基于预设排序规则,防护设备将待匹配的至少一个第一接收数量与第二接收数量进行排序,获得排序结果,预设排序规则例如为,从左至右,按照接收数量的大小,从小到大进行排序,防护设备基于排序结果以及预设确定规则,当确定第二接收数量为最小值时,将第二存储模块中存储的第二接收数量替换为第三接收数量,第三接收数量为第二接收数量累加预设数量后得到的。以待匹配的至少一个第一接收数量包括:第一接收数量180、第一接收数量100、第一接收数量150、第一接收数量130,第二接收数量为80,预设数量为1为例,防护设备对第一接收数量180、第一接收数量100、第一接收数量150、第一接收数量130,第二接收数量80进行排序,获得排序结果:第二接收数量为80<第一接收数量100<第一接收数量130<第一接收数量150<第一接收数量180,防护设备基于排序结果以及预设确定规则,防护设备确定第二接收数量80为最小值,防护设备将第二存储模块中存储的第二接收数量80替换为第三接收数量81,需要说明的是,当出现对第一接收数量80、第一接收数量150、第一接收数量130、第一接收数量180,第二接收数量80进行排序时,排序结果为第二接收数量为80=第一接收数量80<第一接收数量130<第一接收数量150<第一接收数量180,预设确定规则可以将第一接收数量80确定为最小值,在另一实施例中,预设确定规则也可以将第二接收数量80确定为最小值,此处对预设确定规则不做限定。通过本发明实施例,防护设备通过第一存储模块对具有较大第一接收数量的第一特征值进行存储及统计,将具有较小第二接收数量的特征值由第二存储模块进行存储及统计,当第一存储模块为RAM,第二存储模块为DRAM时,RAM对具有较大第一接收数量对应的第一特征值进行统计,DRAM对具有较小第四接收数量对应的第二特征值进行统计,避免DRAM中某一存储地址被连续读写,提高了DRAM的处理效率,进而解决了防护设备的特征统计效率低的问题。
为对本发明进行进一步说明,提供下列实施例:
图1是本发明提供的一个报文的特征统计方法的实施例流程图,如图1所示,包括如下步骤:
步骤101:当接收到待防护报文时,基于待防护报文携带的特征值确定待匹配特征值。
步骤102:确定第一存储模块中是否存在与待匹配特征值相同的第一特征值,第一存储模块用于存储至少一个第一特征值,至少一个第一特征值中的每一个第一特征值对应一个第一接收数量。
步骤103:当确定第一存储模块中不存在与待匹配特征值相同的第一特征值时,基于待匹配特征值,从第一存储模块中确定待匹配的至少一个第一接收数量,从第二存储模块中确定与待匹配特征值对应的第二接收数量,第二存储模块用于存储接收到的全部第二特征值,第二接收数量为第一预设时长内接收到待匹配特征值的数量。
步骤104:基于预设排序规则,将待匹配的至少一个第一接收数量与第二接收数量进行排序,获得排序结果。
步骤105:基于排序结果以及预设确定规则,当确定第二接收数量为最小值时,将第二存储模块中存储的第二接收数量替换为第三接收数量,第三接收数量为第二接收数量累加预设数量后得到的。
在步骤101中,在一实施例中,待匹配特征值可以为防护设备将待防护报文携带的特征值直接确定的,也可以为防护设备对待防护报文携带的特征值进行HASH运算后,根据运算结果确定得到的。由于待防护报文携带的特征值位宽比较大,如果直接将待防护报文携带的特征值作为待匹配特征值进行特征值统计,待匹配特征值占用的存储空间大。具体的,以待防护报文携带的特征值为五元组信息:源IP地址“192.168.1.1”,目的IP地址“121.14.88.76”,源端口“10000”,目的端口“80”,TCP协议号“6”为例,待防护报文将源IP地址“192.168.1.1”,目的IP地址“121.14.88.76”,源端口“10000”,目的端口“80”,TCP协议号“6”直接确定为待匹配特征值;另一种方法,防护设备将源IP地址“192.168.1.1”,目的IP地址“121.14.88.76”,源端口“10000”,目的端口“80”,TCP协议号“6”通过HASH运算后,得到6位宽的运算结果,例如,运算结果为123456,防护设备将123456确定为待匹配特征值,本领域技术人员可以理解的是,防护设备对待防护报文携带的特征值进行HASH运算后,得到6位宽的运算结果仅为示例性说明,也可以根据不同需要,设定不同HASH运算方法,得到不同位宽的运算结果,因此,6位宽的运算结果并不能形成对本发明的限制。
在步骤102中,在一实施例中,第一存储模块可以为一个RAM,RAM具有高速存取的特性,RAM中某一存储地址被连续读写时,不易产生的处理效率降低的问题。
在一实施例中,防护设备确定第一存储模块中是否存在与待匹配特征值相同的第一特征值的方法可以为,防护设备基于待匹配特征值确定第一索引值,第一索引值与第一存储模块中的至少一个第一存储子模块的地址相对应,至少一个第一存储子模块中的每一个第一存储子模块用于存储一个第一特征值。防护设备基于第一索引值从第一存储模块中确定与第一索引值相对应的至少一个第一存储子模块。防护设备将至少一个第一存储子模块中的每一个第一存储子模块中存储的第一特征值与待匹配特征值进行匹配,得到匹配结果。防护设备基于匹配结果,执行确定第一存储模块中是否存在与待匹配特征值相同的第一特征值的步骤。具体的,以待匹配特征值为123456为例,防护设备将待匹配特征值123456的后3位确定为第一索引值456,本领域技术人员可以理解的是,此处防护设备将待匹配特征值的后3位确定为第一索引值仅为示例性说明,此处选取待匹配特征值的位数并不形成对本发明的限制,也可以选择后5位、后10位等。如表1所示,对第一存储模块的存储结构进行示例性说明,需要说明的是,通常,第一存储模块中包含大量的第一存储子模块,本领域技术人员可以基于表1中的第一索引值456对应的第一存储子模块的存储结构示例,类推到本发明中其他的第一索引值对应的第一存储子模块的存储结构,因此本申请仅对第一索引值456对应的第一存储子模块的存储结构进行示例性展示,其他不再赘述。
表1
上述表1中,第一索引值456与第一存储模块中的4个第一存储子模块的地址相对应,4个第一存储子模块中的每一个第一存储子模块分别存储的第一特征值为:第一特征值223456、第一特征值323456、第一特征值423456、第一特征值523456。第一特征值223456、第一特征值323456、第一特征值423456、第一特征值523456对应的第一接收数量分别为第一接收数量180、第一接收数量100、第一接收数量150、第一接收数量130。防护设备基于第一索引值456从表1所示的第一存储模块中,确定与待匹配特征值123456相对应的4个第一存储子模块。防护设备将表1所示的4个第一存储子模块中的每一个第一存储子模块中存储的第一特征值223456、第一特征值323456、第一特征值423456、第一特征值523456分别与待匹配特征值123456进行匹配,得到未匹配成功的匹配结果。防护设备基于匹配结果,执行确定第一存储模块中是否存在与待匹配特征值相同的第一特征值的步骤。当匹配结果为匹配成功时,防护设备确定第一存储模块中存在与待匹配特征值相同的第一特征值;当匹配结果为未匹配成功时,防护设备确定第一存储模块中不存在与待匹配特征值相同的第一特征值。
在步骤103中,在一实施例中,第二存储模块可以为DRAM,DRAM相比于RAM的存储空间更大,但DRAM中某一存储地址被连续读写时,容易产生处理效率降低的问题。第二存储模块用于存储接收到的全部第二特征值,第二存储模块中可以存储至少一个第二特征值。第二接收数量为第一预设时长内接收到待匹配特征值的数量,第一预设时长例如为3秒,结合上述步骤101中将123456确定为待匹配特征值,第二接收数量即为3秒内第二存储模块接收到待匹配特征值123456的数量。待匹配的至少一个第一接收数量例如为:第一接收数量180、第一接收数量100、第一接收数量150、第一接收数量130。
在一实施例中,防护设备基于待匹配特征值,从第一存储模块中确定待匹配的至少一个第一接收数量的方法可以为,防护设备基于第一索引值从第一存储模块中确定与第一索引值相对应的至少一个第一存储子模块,每一个第一存储子模块对应一个第一接收数量,防护设备将至少一个第一存储子模块中的每一个第一存储子模块对应的第一接收数量确定为待匹配的至少一个第一接收数量。结合表1,防护设备基于第一索引值456从第一存储模块中确定与待匹配特征值123456相对应的4个第一存储子模块,该4个第一存储子模块分别对应第一接收数量180、第一接收数量100、第一接收数量150、第一接收数量130,防护设备将第一接收数量180、第一接收数量100、第一接收数量150、第一接收数量130确定为待匹配的至少一个第一接收数量。
在一实施例中,防护设备基于待匹配特征值,从第二存储模块中确定与待匹配特征值对应的第二接收数量的方法可以为,防护设备基于待匹配特征值确定第二索引值,第二索引值与第二存储模块中的一个第二存储子模块的地址相对应,第二存储模块包含至少一个第二存储子模块,每一个第二存储子模块对应一个第四接收数量。防护设备基于第二索引值从第二存储模块中确定与第二索引值相对应的一个第二存储子模块,防护设备将第二存储子模块对应的第四接收数量确定为第二接收数量。以防护设备基于待匹配特征值123456,将待匹配特征值123456确定为第二索引值为例,如表2所示,对第二存储模块的存储结构进行示例性说明,需要说明的是,通常,第二存储模块中包含大量的第二存储子模块,本领域技术人员可以基于表2中的第二索引值123456对应的第二存储子模块的存储结构示例,类推到本发明中其他的第二索引值对应的第二存储子模块的存储结构,因此本申请仅对第二索引值123456对应的第二存储子模块的存储结构进行示例性展示,其他不再赘述。
表2
上述表2中,防护设备基于待匹配特征值123456确定第二索引值123456,第二索引值123456与表2所示的第二存储模块中的第二存储子模块的地址相对应,表2中的第二存储子模块中存储的第二特征值为123456,第二特征值123456对应的第四接收数量为80。防护设备将第二存储子模块对应的第四接收数量80确定为第二接收数量80。
在步骤104中,在一实施例中,防护设备基于预设排序规则,将待匹配的至少一个第一接收数量与第二接收数量进行排序,获得排序结果。预设排序规则例如为,从左至右,按照接收数量的大小,从小到大进行排序,结合步骤103,以待匹配的至少一个第一接收数量包括:第一接收数量180、第一接收数量100、第一接收数量150、第一接收数量130,第二接收数量为80,预设数量为1为例,防护设备对第一接收数量180、第一接收数量100、第一接收数量150、第一接收数量130,第二接收数量80进行排序,获得排序结果:第二接收数量为80<第一接收数量100<第一接收数量130<第一接收数量150<第一接收数量180。
在步骤105中,在一实施例中,防护设备基于排序结果以及预设确定规则,当确定第二接收数量为最小值时,防护设备将第二存储模块中存储的第二接收数量替换为第三接收数量,第三接收数量为第二接收数量累加预设数量后得到的。结合步骤104,防护设备基于排序结果:第二接收数量为80<第一接收数量100<第一接收数量130<第一接收数量150<第一接收数量180,以及预设确定规则,防护设备确定第二接收数量80为最小值,防护设备将第二存储模块中存储的第二接收数量80替换为第三接收数量81,需要说明的是,当出现对第一接收数量80、第一接收数量150、第一接收数量130、第一接收数量180,第二接收数量80进行排序时,排序结果为第二接收数量为80=第一接收数量80<第一接收数量130<第一接收数量150<第一接收数量180,预设确定规则可以将第一接收数量80确定为最小值,在另一实施例中,预设确定规则也可以将第二接收数量80确定为最小值,此处对预设确定规则不做限定。
本发明实施例中,防护设备确定第一存储模块中不存在与待匹配特征值相同的第一特征值时,防护设备基于待匹配特征值,从第一存储模块中确定待匹配的至少一个第一接收数量,从第二存储模块中确定与待匹配特征值对应的第二接收数量,防护设备基于预设排序规则,将待匹配的至少一个第一接收数量与第二接收数量进行排序,防护设备基于排序结果以及预设确定规则,当确定第二接收数量为最小值时,防护设备将第二存储模块中存储的第二接收数量替换为第三接收数量,第三接收数量为第二接收数量累加预设数量后得到的。防护设备通过第一存储模块对具有较大第一接收数量的第一特征值进行统计,将具有较小第四接收数量对应的第二特征值由第二存储模块进行存储及统计,避免第二存储模块中的某一存储地址短时间内被连续读写,提高了第二存储模块的处理效率,进而解决了防护设备的特征统计效率低的问题。
图2是本发明提供的另一个报文的特征统计方法的实施例流程图,本发明实施例结合图1、在步骤101-步骤105的基础上,当防护设备确定第二接收数量不为最小值时的情况进行示例性说明,如图2所示,包括如下步骤:
步骤201:基于排序结果以及预设确定规则,当确定第二接收数量不为最小值时,从待匹配的至少一个第一接收数量中的每一个第一接收数量对应的第一特征值中,确定其中一个第一特征值为待替换特征值。
步骤202:将第一存储模块中存储的待替换特征值替换为待匹配特征值,将与待替换特征值对应的第一接收数量替换为第三接收数量。
步骤203:将待替换特征值以及与待替换特征值对应的第一接收数量存储在第二存储模块中。
在步骤201中,基于排序结果以及预设确定规则,当防护设备确定第二接收数量不为最小值时,防护设备从待匹配的至少一个第一接收数量中的每一个第一接收数量对应的第一特征值中,确定其中一个第一特征值为待替换特征值。以待匹配的至少一个第一接收数量包括:第一接收数量180、第一接收数量100、第一接收数量150、第一接收数量130,第二接收数量为200,第一接收数量180对应第一特征值223456,第一接收数量100对应第一特征值323456、第一接收数量150对应第一特征值423456、第一接收数量130对应第一特征值523456为例,排序结果为第一接收数量100<第一接收数量130<第一接收数量150<第一接收数量180<第二接收数量为200,第二接收数量200不为最小值,防护设备基于预设确定规则,从第一接收数量180对应第一特征值223456,第一接收数量100对应的第一特征值323456、第一接收数量150对应的第一特征值423456、第一接收数量130对应的第一特征值523456中,将最小的第一接收数量100对应的第一特征值323456确定为待替换特征值。
在步骤202中,防护设备将第一存储模块中存储的待替换特征值替换为待匹配特征值,将与待替换特征值对应的第一接收数量替换为第三接收数量,第三接收数量为第二接收数量累加预设数量后得到的,以预设数量为1,第二接收数量为200,待匹配特征值为123456,待替换特征值为223456为例,防护设备将RAM中存储的待替换特征值223456替换为待匹配特征值123456,将与待替换特征值对应的第一接收数量100替换为第三接收数量201。
在步骤203中,防护设备将待替换特征值以及与待替换特征值对应的第一接收数量存储在第二存储模块中。结合步骤201,防护设备将第一特征值223456以及与第一特征值223456对应的第一接收数量100存储在第二存储模块中。
本领域技术人员可以理解的是,步骤202与步骤203并无时序上的限定,也可以先执行步骤203再执行步骤202,或者同时执行步骤203及步骤202。
本发明实施例中,当防护设备确定第二接收数量不为最小值时,防护设备从待匹配的至少一个第一接收数量中的每一个第一接收数量对应的第一特征值中,确定其中一个第一特征值为待替换特征值,防护设备将第一存储模块中存储的待替换特征值替换为待匹配特征值,将与待替换特征值对应的第一接收数量替换为第三接收数量,防护设备将待替换特征值以及与待替换特征值对应的第一接收数量存储在第二存储模块中,防护设备将具有较大第二接收数量的待匹配特征值通过第一存储模块进行存储及统计,并将较小第一接收数量的第一特征值由第二存储模块进行存储及统计,避免第二存储模块短时间内被具有较大接收数量的待匹配特征值进行读写访问,提高了第二存储模块的处理效率,进而解决了防护设备的特征统计效率低的问题。
图3是本发明提供的再一个报文的特征统计方法的实施例流程图,本发明实施例结合图1,对防护设备确定第一存储模块中存在与待匹配特征值相同的第一特征值的情况,进行示例性说明,如图3所示,包括如下步骤:
步骤301:确定第一时间点与第二时间点是否处于同一第二预设时长内,第一时间点为记录与待匹配特征值相同的第一特征值对应的第一接收数量时的时间点,第二时间点为当前时间点,当确定第一时间点与第二时间点处于同一第二预设时长内时,执行步骤302,当确定第一时间点与第二时间点不处于同一第二预设时长内时,执行步骤303。
步骤302:将与待匹配特征值相同的第一特征值对应的第一接收数量替换为第五接收数量,第五接收数量为与待匹配特征值相同的第一特征值对应的第一接收数量累加预设数量后得到的。
步骤303:将与待匹配特征值相同的第一特征值对应的第一接收数量清零。
在步骤301中,当确定第一存储模块中存在与待匹配特征值相同的第一特征值时,防护设备确定第一时间点与第二时间点是否处于同一第二预设时长内,第一时间点为记录与待匹配特征值相同的第一特征值对应的第一接收数量时的时间点,第二时间点为当前时间点。结合表1,以待匹配特征值为223456为例,待匹配特征值223456与表1中的第一特征值223456相同,当确定第一时间点与第二时间点处于同一第二预设时长内时,执行步骤302,当确定第一时间点与第二时间点不处于同一第二预设时长内时,执行步骤303。
在步骤302中,防护设备将与待匹配特征值相同的第一特征值对应的第一接收数量替换为第五接收数量,第五接收数量为与待匹配特征值相同的第一特征值对应的第一接收数量累加预设数量后得到的。以第二预设时长为00:00:00-00:00:03,防护设备确定第一时间点为00:00:01,第二时间点为00:00:02为例,防护设备确定第一时间点00:00:01与第二时间点00:00:02处于第二预设时长00:00:00-00:00:03内,以预设数量为1为例,结合表1,防护设备将与待匹配特征值223456相同的第一特征值223456对应的第一接收数量180替换为181。
在步骤303中,防护设备将与待匹配特征值相同的第一特征值对应的第一接收数量清零。以第二预设时长为00:00:00-00:00:03,防护设备确定第一时间点为00:00:01,第二时间点为00:00:04为例,防护设备确定第二时间点00:00:04不处于第二预设时长00:00:00-00:00:03内,防护设备将与待匹配特征值223456相同的第一特征值223456对应的第一接收数量180清零。
本发明实施例中,当防护设备确定第一存储模块中存在与待匹配特征值相同的第一特征值时,防护设备确定第一时间点与第二时间点是否处于同一第二预设时长内,第一时间点为记录与待匹配特征值相同的第一特征值对应的第一接收数量时的时间点,第二时间点为当前时间点。当防护设备确定第一时间点与第二时间点处于同一第二预设时长内时,防护设备将与待匹配特征值相同的第一特征值对应的第一接收数量进行累加,在第一存储模块中实现对待匹配特征值的统计;防护设备旨在通过第一存储模块对第二预设时长内的接收到的待匹配特征值进行统计,当防护设备确定第一时间点与第二时间点不处于同一第二预设时长内时,防护设备将与待匹配特征值相同的第一特征值对应的第一接收数量清零,重新记录下一个第二预设时长内接收到的待匹配特征值的数量,便于防护设备根据第二预设时长内统计得到该待匹配特征值的第一接收数量计算得到接收速率,从而使防护设备基于接收速率判断该待匹配特征值是否具有攻击行为。
图4是本发明提供的再一个报文的特征统计方法的实施例流程图,本发明实施例结合图1,对防护设备基于待防护报文携带的特征值确定待匹配特征值的步骤之后,可执行的步骤401-步骤403进行示例性说明,如图4所示,包括如下步骤:
步骤401:为待匹配特征值分配一个时序标识,时序标识与第三存储模块中的其中一个第三存储子模块的地址相对应。
步骤402:基于时序标识,将待匹配特征值存储在与时序标识相对应的第三存储子模块中。
步骤403:基于时序标识,从第三存储模块中与时序标识相对应的第三存储子模块中获取待匹配特征值。
在步骤401中,防护设备为待匹配特征值分配一个时序标识,时序标识与第三存储模块中的其中一个第三存储子模块的地址相对应,第三存储模块中包含至少一个第三存储子模块,每一个第三存储子模块中用于存储一个待匹配特征值,时序标识例如为11,时序标识11与第三存储模块中的地址为11的第三存储子模块相对应。
在步骤402中,结合步骤401,以待匹配特征值为123456为例,基于时序标识11,防护设备将待匹配特征值123456存储在与时序标识11相对应的地址为11的第三存储子模块中。
在步骤403中,结合步骤103,在执行基于待匹配特征值,防护设备从第一存储模块中确定待匹配的至少一个第一接收数量的步骤之前,基于时序标识11,防护设备从第三存储模块中与时序标识11相对应的第三存储子模块中获取待匹配特征值123456,以使防护设备基于待匹配特征值123456,从第一存储模块中确定待匹配的至少一个第一接收数量。
本发明实施例中,防护设备为待匹配特征值分配一个时序标识,时序标识与第三存储模块中的其中一个第三存储子模块的地址相对应,基于该时序标识,防护设备将待匹配特征值存储在与时序标识相对应的第三存储子模块中,当防护设备需要执行基于待匹配特征值,从第一存储模块中确定待匹配的至少一个第一接收数量的步骤之前,防护设备基于该时序标识,从第三存储模块中与时序标识相对应的第三存储子模块中获取该待匹配特征值,由于防护设备对不同待匹配特征值进行处理时所需时长不同,因此防护设备为待匹配特征值分配一个时序标识,可以确保防护设备从第一存储模块和第二存储模块中分别获取到的待匹配的至少一个第一接收数量与第二接收数量为同一待匹配特征值所对应的。
对应于上述报文的特征统计方法,本发明还提出了图5所示的防护设备的硬件结构图。请参考图5,在硬件层面,该防护设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成报文的特征统计装置。当然,除了软件实现方式之外,本发明并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
图6是本发明提供的一个报文的特征统计装置的实施例框图,如图6所示,该报文的特征统计装置可以包括:第一确定模块61、第二确定模块62、第三确定模块63、接收数量排序模块64、第一替换模块65,其中:
第一确定模块61,用于当接收到待防护报文时,基于待防护报文携带的特征值确定待匹配特征值;
第二确定模块62,用于确定第一存储模块中是否存在与第一确定模块61中确定的待匹配特征值相同的第一特征值,第一存储模块用于存储至少一个第一特征值,至少一个第一特征值中的每一个第一特征值对应一个第一接收数量;
第三确定模块63,用于当第二确定模块62中确定第一存储模块中不存在与待匹配特征值相同的第一特征值时,基于待匹配特征值,从第一存储模块中确定待匹配的至少一个第一接收数量,从第二存储模块中确定与待匹配特征值对应的第二接收数量,第二存储模块用于存储接收到的全部第二特征值,第二接收数量为第一预设时长内接收到待匹配特征值的数量;
接收数量排序模块64,用于基于预设排序规则,将第三确定模块63中确定的待匹配的至少一个第一接收数量与第二接收数量进行排序,获得排序结果;
第一替换模块65,用于基于接收数量排序模块64中获得的排序结果以及预设确定规则,当确定第二接收数量为最小值时,将第二存储模块中存储的第二接收数量替换为第三接收数量,第三接收数量为第二接收数量累加预设数量后得到的。
图7是本发明提供的另一个报文的特征统计装置的实施例框图,如图7所示,在上述图6所示实施例的基础上,报文的特征统计装置还包括:
第四确定模块66,用于基于接收数量排序模块64中获得的排序结果以及预设确定规则,当确定第二接收数量不为最小值时,从待匹配的至少一个第一接收数量中的每一个第一接收数量对应的第一特征值中,确定其中一个第一特征值为待替换特征值;
第二替换模块67,用于将第一存储模块中存储的第四确定模块66中确定的待替换特征值替换为待匹配特征值,将与待替换特征值对应的第一接收数量替换为第三接收数量;
待替换特征值存储模块68,用于将第四确定模块66中确定的待替换特征值以及与待替换特征值对应的第一接收数量存储在第二存储模块中。
在一实施例中,报文的特征统计装置还包括:
第五确定模块69,用于基于第一确定模块61中确定的待匹配特征值确定第一索引值,第一索引值与第一存储模块中的至少一个第一存储子模块的地址相对应,至少一个第一存储子模块中的每一个第一存储子模块用于存储一个第一特征值;
第六确定模块70,用于基于第五确定模块69中确定的第一索引值从第一存储模块中确定与第一索引值相对应的至少一个第一存储子模块;
特征值匹配模块71,用于将第六确定模块70中确定的至少一个第一存储子模块中的每一个第一存储子模块中存储的第一特征值与第一确定模块61中确定的待匹配特征值进行匹配,得到匹配结果,基于匹配结果,执行第二确定模块62中的确定第一存储模块中是否存在与待匹配特征值相同的第一特征值的步骤。
在一实施例中,第三确定模块63包括:
第一数量确定子模块631,用于将第六确定模块70中确定的至少一个第一存储子模块中的每一个第一存储子模块对应的第一接收数量确定为待匹配的至少一个第一接收数量。
在一实施例中,第三确定模块63包括:
索引值确定子模块632,用于基于待匹配特征值确定第二索引值,第二索引值与第二存储模块中的一个第二存储子模块的地址相对应,第二存储模块包含至少一个第二存储子模块,每一个第二存储子模块对应一个第四接收数量;
第二数量确定子模块633,用于基于第二索引值从第二存储模块中确定与第二索引值相对应的一个第二存储子模块,将第二存储子模块对应的第四接收数量确定为第二接收数量。
在一实施例中,报文的特征统计装置还包括:
第七确定模块72,用于当确定第一存储模块中存在与第一确定模块61中确定的待匹配特征值相同的第一特征值时,确定第一时间点与第二时间点是否处于同一第二预设时长内,第一时间点为记录与待匹配特征值相同的第一特征值对应的第一接收数量时的时间点,第二时间点为当前时间点;
第三替换模块73,用于当第七确定模块72中确定第一时间点与第二时间点处于同一第二预设时长内时,将与待匹配特征值相同的第一特征值对应的第一接收数量替换为第五接收数量,第五接收数量为与待匹配特征值相同的第一特征值对应的第一接收数量累加预设数量后得到的;
接收数量清零模块74,用于当第七确定模块72中确定第一时间点与第二时间点不处于同一第二预设时长内时,将与待匹配特征值相同的第一特征值对应的第一接收数量清零。
在一实施例中,报文的特征统计装置还包括:
时序标识分配模块75,用于为第一确定模块61中确定的待匹配特征值分配一个时序标识,时序标识与第三存储模块中的其中一个第三存储子模块的地址相对应;
待匹配特征值存储模块76,用于基于时序标识分配模块75中分配的时序标识,将待匹配特征值存储在与时序标识相对应的第三存储子模块中。
在一实施例中,报文的特征统计装置还包括:
待匹配特征值获取模块77,用于基于时序标识分配模块75中分配的时序标识,从第三存储模块中与时序标识相对应的第三存储子模块中获取待匹配特征值。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,防护设备确定第一存储模块中不存在与待匹配特征值相同的第一特征值时,防护设备基于待匹配特征值,从第一存储模块中确定待匹配的至少一个第一接收数量,从第二存储模块中确定与待匹配特征值对应的第二接收数量,防护设备基于预设排序规则,将待匹配的至少一个第一接收数量与第二接收数量进行排序,防护设备基于排序结果以及预设确定规则,当确定第二接收数量为最小值时,防护设备将第二存储模块中存储的第二接收数量替换为第三接收数量,第三接收数量为第二接收数量累加预设数量后得到的。防护设备通过第一存储模块对具有较大第一接收数量的第一特征值进行统计,将具有较小第四接收数量对应的第二特征值由第二存储模块进行存储及统计,避免第二存储模块中的某一存储地址短时间内被连续读写时,提高了第二存储模块的处理效率,进而解决了防护设备的特征统计效率低的问题。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (9)

1.一种报文的特征统计方法,其特征在于,所述方法包括:
当接收到待防护报文时,基于所述待防护报文携带的特征值确定待匹配特征值;
确定第一存储模块中是否存在与所述待匹配特征值相同的第一特征值,所述第一存储模块用于存储至少一个第一特征值,所述至少一个第一特征值中的每一个第一特征值对应一个第一接收数量;
当确定所述第一存储模块中不存在与所述待匹配特征值相同的第一特征值时,基于所述待匹配特征值中特定数位的值,从所述第一存储模块中确定待匹配的至少一个第一接收数量,其中,每个待匹配的第一接收数量所对应的第一特征值中特定数位的值均与所述待匹配特征值中特定数位的值相同,从第二存储模块中确定与所述待匹配特征值对应的第二接收数量,所述第二存储模块用于存储接收到的全部第二特征值,所述第二接收数量为第一预设时长内接收到所述待匹配特征值的数量;
基于预设排序规则,将所述待匹配的至少一个第一接收数量与所述第二接收数量进行排序,获得排序结果;
基于所述排序结果以及预设确定规则,当确定所述第二接收数量为最小值时,将所述第二存储模块中存储的所述第二接收数量替换为第三接收数量,所述第三接收数量为所述第二接收数量累加预设数量后得到的;
所述基于所述待匹配特征值,从第二存储模块中确定与所述待匹配特征值对应的第二接收数量的方法,包括:
基于所述待匹配特征值确定第二索引值,所述第二索引值与所述第二存储模块中的一个第二存储子模块的地址相对应,所述第二存储模块包含至少一个第二存储子模块,所述每一个第二存储子模块对应一个第四接收数量;
基于所述第二索引值从所述第二存储模块中确定与所述第二索引值相对应的一个第二存储子模块,将所述第二存储子模块对应的第四接收数量确定为所述第二接收数量。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述排序结果以及所述预设确定规则,当确定所述第二接收数量不为最小值时,从所述待匹配的至少一个第一接收数量中的每一个第一接收数量对应的第一特征值中,确定其中一个第一特征值为待替换特征值,其中,所述待替换特征值所对应的第一接收数量小于所述第二接收数量;
将所述第一存储模块中存储的所述待替换特征值替换为所述待匹配特征值,将与所述待替换特征值对应的第一接收数量替换为所述第三接收数量;
将所述待替换特征值以及与所述待替换特征值对应的第一接收数量存储在所述第二存储模块中。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述待匹配特征值确定第一索引值,所述第一索引值与所述第一存储模块中的至少一个第一存储子模块的地址相对应,所述至少一个第一存储子模块中的每一个第一存储子模块用于存储一个第一特征值;
基于所述第一索引值从所述第一存储模块中确定与所述第一索引值相对应的至少一个第一存储子模块;
将所述至少一个第一存储子模块中的每一个第一存储子模块中存储的第一特征值与所述待匹配特征值进行匹配,得到匹配结果;
基于所述匹配结果,执行所述确定第一存储模块中是否存在与所述待匹配特征值相同的第一特征值的步骤。
4.根据权利要求3所述的方法,其特征在于,所述基于所述待匹配特征值,从所述第一存储模块中确定待匹配的至少一个第一接收数量的方法,包括:
将所述至少一个第一存储子模块中的每一个第一存储子模块对应的第一接收数量确定为所述待匹配的至少一个第一接收数量。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当确定所述第一存储模块中存在与所述待匹配特征值相同的第一特征值时,确定第一时间点与第二时间点是否处于同一第二预设时长内,所述第一时间点为记录所述与待匹配特征值相同的第一特征值对应的第一接收数量时的时间点,所述第二时间点为当前时间点;
当确定第一时间点与第二时间点处于同一第二预设时长内时,将所述与所述待匹配特征值相同的第一特征值对应的第一接收数量替换为第五接收数量,所述第五接收数量为所述与所述待匹配特征值相同的第一特征值对应的第一接收数量累加所述预设数量后得到的;
当确定第一时间点与第二时间点不处于同一第二预设时长内时,将所述与所述待匹配特征值相同的第一特征值对应的第一接收数量清零。
6.根据权利要求1所述的方法,其特征在于,所述基于所述待防护报文携带的特征值确定待匹配特征值的步骤之后,所述方法还包括:
为所述待匹配特征值分配一个时序标识,所述时序标识与第三存储模块中的其中一个第三存储子模块的地址相对应;
基于所述时序标识,将所述待匹配特征值存储在与所述时序标识相对应的第三存储子模块中。
7.根据权利要求6所述的方法,其特征在于,所述基于所述待匹配特征值,从所述第一存储模块中确定待匹配的至少一个第一接收数量的步骤之前,所述方法还包括:
基于所述时序标识,从所述第三存储模块中与所述时序标识相对应的第三存储子模块中获取所述待匹配特征值。
8.一种报文的特征统计装置,其特征在于,所述装置包括:
第一确定模块,用于当接收到待防护报文时,基于所述待防护报文携带的特征值确定待匹配特征值;
第二确定模块,用于确定第一存储模块中是否存在与所述第一确定模块中确定的所述待匹配特征值相同的第一特征值,所述第一存储模块用于存储至少一个第一特征值,所述至少一个第一特征值中的每一个第一特征值对应一个第一接收数量;
第三确定模块,用于当所述第二确定模块中确定所述第一存储模块中不存在与所述待匹配特征值相同的第一特征值时,基于所述待匹配特征值中特定数位的值,从所述第一存储模块中确定待匹配的至少一个第一接收数量,其中,每个待匹配的第一接收数量所对应的第一特征值中特定数位的值均与所述待匹配特征值中特定数位的值相同,从第二存储模块中确定与所述待匹配特征值对应的第二接收数量,所述第二存储模块用于存储接收到的全部第二特征值,所述第二接收数量为第一预设时长内接收到所述待匹配特征值的数量;
所述第三确定模块包括:
索引值确定子模块,用于基于待匹配特征值确定第二索引值,第二索引值与第二存储模块中的一个第二存储子模块的地址相对应,第二存储模块包含至少一个第二存储子模块,每一个第二存储子模块对应一个第四接收数量;
第二数量确定子模块,用于基于第二索引值从第二存储模块中确定与第二索引值相对应的一个第二存储子模块,将第二存储子模块对应的第四接收数量确定为第二接收数量;
接收数量排序模块,用于基于预设排序规则,将所述第三确定模块中确定的所述待匹配的至少一个第一接收数量与所述第二接收数量进行排序,获得排序结果;
第一替换模块,用于基于所述接收数量排序模块中获得的所述排序结果以及预设确定规则,当确定所述第二接收数量为最小值时,将所述第二存储模块中存储的所述第二接收数量替换为第三接收数量,所述第三接收数量为所述第二接收数量累加预设数量后得到的。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第四确定模块,用于基于所述接收数量排序模块中获得的所述排序结果以及所述预设确定规则,当确定所述第二接收数量不为最小值时,从所述待匹配的至少一个第一接收数量中的每一个第一接收数量对应的第一特征值中,确定其中一个第一特征值为待替换特征值,其中,所述待替换特征值所对应的第一接收数量小于所述第二接收数量;
第二替换模块,用于将所述第一存储模块中存储的所述第四确定模块中确定的所述待替换特征值替换为所述待匹配特征值,将与所述待替换特征值对应的第一接收数量替换为所述第三接收数量;
待替换特征值存储模块,用于将所述第四确定模块中确定的所述待替换特征值以及与所述待替换特征值对应的第一接收数量存储在所述第二存储模块中。
CN201710118325.3A 2017-03-01 2017-03-01 一种报文的特征统计方法及装置 Active CN106789450B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710118325.3A CN106789450B (zh) 2017-03-01 2017-03-01 一种报文的特征统计方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710118325.3A CN106789450B (zh) 2017-03-01 2017-03-01 一种报文的特征统计方法及装置

Publications (2)

Publication Number Publication Date
CN106789450A CN106789450A (zh) 2017-05-31
CN106789450B true CN106789450B (zh) 2019-12-06

Family

ID=58960386

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710118325.3A Active CN106789450B (zh) 2017-03-01 2017-03-01 一种报文的特征统计方法及装置

Country Status (1)

Country Link
CN (1) CN106789450B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108111638A (zh) * 2018-02-23 2018-06-01 新华三技术有限公司 一种地址分配方法及装置
CN114205254B (zh) * 2020-08-26 2023-12-15 华为技术有限公司 流量监控方法、装置、集成电路、网络设备及网络系统
WO2022041695A1 (zh) 2020-08-26 2022-03-03 华为技术有限公司 流量监控方法、装置、集成电路、网络设备及网络系统
WO2022041696A1 (zh) * 2020-08-26 2022-03-03 华为技术有限公司 流量监控方法、装置、集成电路及网络设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102982001A (zh) * 2012-11-06 2013-03-20 无锡江南计算技术研究所 众核处理器及其空间访问的方法、主核
CN103942157A (zh) * 2013-01-22 2014-07-23 国际商业机器公司 用于计算存储环境中的数据处理的方法和系统
CN104009884A (zh) * 2014-05-13 2014-08-27 清华大学 网络业务流分组数与流长度并行测量装置
CN104717102A (zh) * 2013-12-12 2015-06-17 华为技术有限公司 流量统计方法、装置以及nat网关设备
CN106155585A (zh) * 2015-05-13 2016-11-23 爱思开海力士有限公司 自适应读取干扰收回策略

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102982001A (zh) * 2012-11-06 2013-03-20 无锡江南计算技术研究所 众核处理器及其空间访问的方法、主核
CN103942157A (zh) * 2013-01-22 2014-07-23 国际商业机器公司 用于计算存储环境中的数据处理的方法和系统
CN104717102A (zh) * 2013-12-12 2015-06-17 华为技术有限公司 流量统计方法、装置以及nat网关设备
CN104009884A (zh) * 2014-05-13 2014-08-27 清华大学 网络业务流分组数与流长度并行测量装置
CN106155585A (zh) * 2015-05-13 2016-11-23 爱思开海力士有限公司 自适应读取干扰收回策略

Also Published As

Publication number Publication date
CN106789450A (zh) 2017-05-31

Similar Documents

Publication Publication Date Title
CN106789450B (zh) 一种报文的特征统计方法及装置
CN106657161B (zh) 数据包过滤的实现方法和装置
CN105337966A (zh) 针对网络攻击的处理方法和装置
CN107528783B (zh) 利用对前缀长度进行两个搜索阶段的ip路由缓存
CN111526225B (zh) 会话管理方法和装置
CN114780537A (zh) 流表存储及报文转发方法、装置、计算设备及介质
CN110825533B (zh) 一种数据发射方法及装置
CN111404839A (zh) 报文处理方法和装置
CN111447233A (zh) 基于vxlan的报文过滤方法和装置
CN113595812B (zh) 一种客户端识别方法、装置、存储介质及网络设备
CN107547408B (zh) 一种mac地址哈希冲突的处理方法和装置
US9894012B2 (en) Method and system to improve network connection locality on multicore systems
CN111163245A (zh) 网络硬盘录像机中添加网络摄像机的方法及装置
CN111629074B (zh) 一种网关设备的会话排序方法及装置
CN106657128B (zh) 基于通配符掩码规则的数据包过滤方法及装置
KR101611119B1 (ko) 3진 내용 주소화 기억장치(tcam) 내의 클러스터로의 레코드의 동적 할당
CN105592066A (zh) 资源访问控制方法及装置
CN109450797B (zh) 一种报文转发方法、装置和计算机设备
US10116588B2 (en) Large receive offload allocation method and network device
CN108768860B (zh) Portal系统报文发送方法及装置
CN104951550B (zh) 数据存储方法及装置
CN111444218B (zh) 组合规则的匹配方法和装置
CN108173689B (zh) 负载均衡数据的输出系统
CN108965169B (zh) 一种报文传输方法、网卡控制器、网卡及电子设备
CN107086965B (zh) 一种arp表项的生成方法、装置及交换机

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant