CN107483507B - 一种会话分析方法、设备及存储介质 - Google Patents

一种会话分析方法、设备及存储介质 Download PDF

Info

Publication number
CN107483507B
CN107483507B CN201710916063.5A CN201710916063A CN107483507B CN 107483507 B CN107483507 B CN 107483507B CN 201710916063 A CN201710916063 A CN 201710916063A CN 107483507 B CN107483507 B CN 107483507B
Authority
CN
China
Prior art keywords
current input
session
session analysis
input message
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710916063.5A
Other languages
English (en)
Other versions
CN107483507A (zh
Inventor
马洪伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Armyfly Technology Co Ltd
Original Assignee
Beijing Armyfly Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Armyfly Technology Co Ltd filed Critical Beijing Armyfly Technology Co Ltd
Priority to CN201710916063.5A priority Critical patent/CN107483507B/zh
Publication of CN107483507A publication Critical patent/CN107483507A/zh
Application granted granted Critical
Publication of CN107483507B publication Critical patent/CN107483507B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种会话分析方法、设备及存储介质。所述方法包括:提取当前输入报文的原始特征值;其中,所述原始特征值包括:源IP地址、源端口号、目的IP地址、目的端口号和协议类型;根据所述原始特征值和第一会话分析表判断所述当前输入报文是否满足预先设置的分析条件;当所述当前输入报文满足所述预先设置的分析条件时,将所述当前输入报文统计到第二会话分析表中;按照预先设置的分析方法对所述第二会话分析表中的会话进行分析。不仅可以减少会话分析设备的存储空间,而且还会提高会话分析设备的分析效率。

Description

一种会话分析方法、设备及存储介质
技术领域
本发明实施例涉及网络通信技术领域,尤其涉及一种会话分析方法、设备及存储介质。
背景技术
现有技术中,会话是指两台网络设备的应用之间相互请求和响应的一条网络链接。通过分析这些会话的数量,可以了解网络设备的活动动态,分析网络设备的通信行为,进而排除恶意和非法的链接,保障网络安全。
在会话分析过程中,会话分析设备可以将接收到的各个输入报文统计到一个会话分析表中,其中,该会话分析表中的各个表项可以包括:地址、统计值和原始特征值。具体地,输入报文的原始特征值可以包括:源IP地址、源端口号、目的IP地址、目的端口号和协议类型。
图1为现有技术中会话分析设备的组成结构示意图。如图1所示,会话分析设备接收第一终端1、…、第一终端X发送的当前输入报文;将当前输入报文发送给第二终端1、…、第二终端Y;其中,X和Y均为大于等于1的自然数。现有的会话分析设备可以包括:动态随机存取存储器DRAM、现场可编程门阵列FPGA和中央处理单元CPU;其中,DRAM用于存储会话分析表;FPFA用于缓存会话分析表;CPU用于分析会话分析表。由于FPGA的带宽等受限,FPGA不能直接存储分析会话表,FPGA只能做初步的统计,会话分析表存储在DRAM中。当CPU需要对存储在DRAM中的会话分析表进行分析时,CPU先通过FPGA在DRAM中获取会话分析表,然后将会话分析表中的会话进行分析。
在实现本发明的过程中,发明人发现现有技术中至少存在如下问题:
当会话分析设备接收到大量的输入报文时,会话分析表占用的存储空间就会非常大,同时也会给会话分析设备的运行造成很大的压力,从而严重降低了会话分析设备的会话分析效率。
发明内容
本发明提供一种会话分析方法、设备及存储介质,不仅可以减少会话分析设备的存储空间,而且还会提高会话分析设备的分析效率。
第一方面,本发明实施例提供了一种会话分析方法,所述方法包括:
提取当前输入报文的原始特征值;其中,所述原始特征值包括:源IP地址、源端口号、目的IP地址、目的端口号和协议类型;
根据所述原始特征值和第一会话分析表判断所述当前输入报文是否满足预先设置的分析条件;
当所述当前输入报文满足所述预先设置的分析条件时,将所述当前输入报文统计到第二会话分析表中;
按照预先设置的分析方法对所述第二会话分析表中的会话进行分析。
在上述实施例中,所述根据所述原始特征值和第一报文分析表判断所述当前输入报文是否满足预先设置的分析条件,包括:
将所述原始特征值压缩成为一个目标特征值;其中,所述目标特征值占用的位数小于所述原始特征值占用的位数;
判断所述目标特征值是否与所述第一会话分析表中预先确定的前N个第一表项对应的任意第一地址相同;其中,各个第一表项包括:第一统计值;
当所述目标特征值与前N个第一表项对应的任意一个第一地址相同时,判定所述当前输入报文满足所述预先设置的分析条件。
在上述实施例中,在所述根据所述原始特征值和第一会话分析表判断所述当前输入报文是否满足预先设置的分析条件之前,所述方法包括:
根据所述目标特征值在所述第一会话分析表中查找所述当前输入报文对应的第一表项;
当在所述第一会话分析表中查找到所述当前输入报文对应的第一表项时,将所述第一表项对应的第一统计值加1。
在上述实施例中,在所述提取当前输入报文的原始特征值之前,所述方法包括:
按照预设周期统计所述第一会话分析表中各个第一表项的第一统计值;
根据各个第一表项的第一统计值按照从大到小的顺序对所述第一会话分析表中的全部第一表项进行排序;
根据排序结果确定所述第一会话分析表的前N个第一表项。
在上述实施例中,所述将所述当前输入报文统计到第二会话分析表中,包括:
根据所述原始特征值在所述第二会话分析表中查找所述当前输入报文对应的第二表项;
当在所述第二会话分析表中查找到所述当前输入报文对应的第二表项时,将所述第二表项对应的第二统计值加1;其中,各个第二表项包括:第二统计值和所述原始特征值。
第二方面,本发明实施例还提供了一种会话分析设备,该设备包括:提取单元、判断单元、统计单元和分析单元;其中,
所述提取单元,用于提取当前输入报文的原始特征值;其中,所述原始特征值包括:源IP地址、源端口号、目的IP地址、目的端口号和协议类型;
所述判断单元,用于根据所述原始特征值和第一会话分析表判断所述当前输入报文是否满足预先设置的分析条件;
所述统计单元,用于当所述当前输入报文满足所述预先设置的分析条件时,将所述当前输入报文统计到第二会话分析表中;
所述分析单元,用于按照预先设置的分析方法对所述第二会话分析表中的会话进行分析。
在上述实施例中,所述判断单元包括:压缩子单元和判断子单元,其中,
所述压缩子单元,用于将所述原始特征值压缩成为一个目标特征值;所述目标特征值占用的位数小于所述原始特征值占用的位数;
所述判断子单元,用于判断所述目标特征值是否与所述第一会话分析表中预先确定的前N个第一表项对应的任意第一地址相同;其中,各个第一表项包括:第一统计值;当所述目标特征值与前N个第一表项对应的任意一个第一地址相同时,判定所述当前输入报文满足所述预先设置的分析条件。
在上述实施例中,所述统计单元,还用于根据所述目标特征值在所述第一会话分析表中查找所述当前输入报文对应的第一表项;当在所述第一会话分析表中查找到所述当前输入报文对应的第一表项时,将所述第一表项对应的第一统计值加1。
在上述实施例中,所述设备还包括:排序单元,其中,
所述统计单元,还用于按照预设周期获取所述第一会话分析表中各个第一表项的第一统计值;
所述排序单元,用于根据各个第一表项的第一统计值按照从大到小的顺序对所述第一会话分析表中的全部第一表项进行排序;根据排序结果确定所述第一会话分析表中的前N个第一表项。
在上述实施例中,所述统计单元包括:查找子单元和统计子单元;其中,
所述查找子单元,用于根据所述原始特征值在所述第二会话分析表中查找所述当前输入报文对应的第二表项;
所述统计子单元,用于当在所述第二会话分析表中查找到所述当前输入报文对应的第二表项时,将所述第二表项对应的第二统计值加1;其中,各个第二表项包括:第二统计值和所述原始特征值。
第三方面,本发明实施例还提供了一种非易失性计算机存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令用于执行如上述第一方面所述的方法。
本发明实施例提出了一种会话分析方法、设备及存储介质,先提取当前输入报文的原始特征值;其中,原始特征值包括:源IP地址、源端口号、目的IP地址、目的端口号和协议类型;然后根据原始特征值和第一会话分析表判断当前输入报文是否满足预先设置的分析条件;当所述当前输入报文满足预先设置的分析条件时,可以将当前输入报文统计到第二会话分析表中;最后按照预先设置的分析方法对第二会话分析表中的会话进行分析。也就是说,在本发明实施例提出的技术方案中,可以根据原始特征值和第一会话分析表先判断当前输入报文是否满足预先设置的分析条件;只有当所述当前输入报文满足预先设置的分析条件时,才会将当前输入报文统计到第二会话分析表中;当所述当前输入报文不满足预先设置的分析条件时,不会将当前输入报文统计到第二会话分析表中。因此,和现有技术相比,本发明实施例提出的会话分析方法、设备及存储介质,在第二会话分析表中只统计满足预先设置的分析条件的当前输入报文,这样不仅可以减少会话分析设备的存储空间,而且还会提高会话分析设备的分析效率;并且,本发明实施例的技术方案实现简单方便、便于普及,适用范围更广。
附图说明
图1为现有技术中会话分析设备的组成结构示意图;
图2为本发明实施例中会话分析方法的实现流程示意图;
图3为本发明实施例中判断当前数据报文是否满足分析条件的实现方法流程示意图;
图4为本发明实施例中第一表项的组成结构示意图;
图5为本发明实施例中将当前输入报文统计到第二会话分析表中的实现方法流程示意图;
图6为本发明实施例中第二表项的组成结构示意图;
图7为本发明实施例中会话分析设备的第一组成结构示意图;
图8为本发明实施例中会话分析设备的第二组成结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
图2为本发明实施例中会话分析方法的实现流程示意图。如图2所示,会话分析方法可以包括以下步骤:
步骤201、提取当前输入报文的原始特征值;其中,原始特征值包括:源IP地址、源端口号、目的IP地址、目的端口号和协议类型。
在本发明的具体实施例中,会话分析设备提取当前输入报文的原始特征值;其中,原始特征值包括:源IP地址、源端口号、目的IP地址、目的端口号和协议类型。报文(Message)是网络中交换与传输的数据单元,即站点一次性要发送的数据块。一般情况下,报文可以包括:传输控制协议TCP报文、用户数据报协议UDP报文以及互联网协议IP报文等。不同的报文采用不同的报文格式进行传输。在现有技术中,报文格式中可以包括该报文的源IP地址、源端口号、目的IP地址、目的端口号和协议类型。因此,会话分析设备可以对当前输入报文进行解析,从而提取出当前输入报文的源IP地址、源端口号、目的IP地址、目的端口号和协议类型。
步骤202、根据原始特征值和第一会话分析表判断当前输入报文是否满足预先设置的分析条件;若是,执行步骤203;否则,执行步骤205。
在本发明的具体实施例中,会话分析设备可以根据当前输入报文的原始特征值和第一会话分析表判断当前输入报文是否满足预先设置的分析条件;当所述当前输入报文满足预先设置的分析条件时,可以执行步骤203;当所述当前输入报文不满足预先设置的分析条件时,可以执行步骤205。
也就是说,在本发明的具体实施例中,会话分析设备可以根据当前输入报文的原始特征值和第一会话分析表判断当前输入报文是否为会话分析设备需要重点关注的输入报文;当所述当前输入报文满足预先设置的分析条件时,表明当前输入报文需要会话分析设备重点关注,可以执行步骤203;当所述当前输入报文不满足预先设置的分析条件时,表明当前输入报文不需要会话分析设备重点关注,可以执行步骤205。
图3为本发明实施例中判断当前数据报文是否满足分析条件的实现方法流程示意图。如图3所示,根据原始特征值和第一报文分析表判断当前输入报文是否满足预先设置的分析条件的方法可以包括以下步骤:
步骤202a、将原始特征值压缩成为一个目标特征值;其中,目标特征值占用的位数小于原始特征值占用的位数。
在本发明的具体实施例中,会话分析设备可以将当前输入报文的原始特征值压缩成为一个目标特征值。具体地,会话分析设备可以将当前数据报文的原始特征值进行散列运算,从而得到当前输入报文的目标特征值。例如,在现有技术中,源IP地址占用的位数为32比特;目的IP地址占用的位数为32比特;源端口号占用的位数为16比特;目的端口号占用的位数为16比特;协议类型占用的位数为16比特;会话分析设备可以将上述112比特的原始特征值进行散列运算,得到16比特的目标特征值。也就是说,会话分析设备将原始特征值压缩成为一个目标特征值,这样多个会话可以对应第一会话分析表中的一个第一表项;因此可以减小第一会话分析表占用的存储空间,从而可以提高会话分析设备的会话分析效率。
在本发明的具体实施例中,会话分析设备可以将目标特征值作为第一会话分析表中的第一地址。具体地,第一会话分析表的存储结构可以如下述表1所示:
第一表项 第一统计值
第一表项1 第一统计值1
第一表项2 第一统计值2
第一表项N 第一统计值N
表1
在上述表1中,第一表项1可以包括:第一统计值1;第一表项2可以包括:第一统计值2;…;第一表项N可以包括:第一统计值N;其中,N为大于等于1的自然数。
图4为本发明实施例中第一表项的组成结构示意图。如图4所示,第一表项可以包括:第一统计值。在本发明的具体实施例中,各个第一表项可以对应一个第一地址;例如,第一表项1可以对应第一地址1;第一表项2可以对应第一地址2;…;第一表项N可以对应第一地址N。也就是说,第一表项1可以存储在第一地址1对应的存储空间中;第一表项2可以存储在第一地址2对应的存储空间中;…;第一表项N可以存储在第一地址N对应的存储空间中。在本发明的具体实施例中,多个会话可以对应第一会话分析表中的一个第一表项;例如,当前输入报文1的原始特征值压缩为目标特征值1;当前输入报文2的原始特征值也压缩为目标特征值1,因此,当前输入报文1和当前输入报文2可以对应第一会话分析表中的一个第一表项;此时如果当前输入报文1和当前输入报文2分别属于会话1和会话2,那么,会话1和会话2就可以对应第一会话分析表中的一个第一表项。
步骤202b、判断目标特征值是否与第一会话分析表中预先确定的前N个第一表项对应的任意第一地址相同;其中,各个第一表项包括:第一统计值;若是,执行步骤202c;否则,执行步骤202d。
在本发明的具体实施例中,会话分析设备可以判断目标特征值是否与第一会话分析表中预先确定的前N个第一表项对应的任意一个第一地址相同;当目标特征值与前N个第一表项对应的任意一个第一地址相同时,执行步骤202c;当目标特征值与前N个第一表项对应的任意一个第一地址均不相同时,执行步骤202d。
较佳地,在本发明的具体实施例中,会话分析设备在根据原始特征值和第一会话分析表判断当前输入报文是否满足预先设置的分析条件之前,会话分析设备还可以根据当前输入报文的目标特征值在第一会话分析表中查找当前输入报文对应的第一表项;当在第一会话分析表中查找到当前输入报文对应的第一表项时,将该第一表项对应的第一统计值加1。假设,当前输入报文的目标特征值与第一表项1对应的第一地址1相同,则当前输入报文对应的第一表项为第一表项1;此时可以将第一表项1对应的第一统计值1加1。当在第一会话分析表中没有查找到当前输入报文对应的第一表项时,可以在第一会话分析表中添加当前输入报文对应的第一表项。具体地,会话分析设备可以将该目标特征值作为该第一表项对应的第一地址。也就是说,会话分析设备可以将该第一表项存储在目标特征值对应的存储空间中。
在本发明的具体实施例中,会话分析设备接收到当前输入报文之后,会话分析设备可以将当前输入报文统计到第一会话分析表中,因此,第一会话分析表中各个第一表项的第一统计值可能会不断增加,因此,会话分析设备在提取当前输入报文的原始特征值之前,会话分析设备还可以按照预设周期获取第一会话分析表中各个第一表项的第一统计值;然后根据各个第一表项的第一统计值按照从大到小的顺序对第一会话分析表中的全部第一表项进行排序;根据排序结果确定第一会话分析表的前N个第一表项。其中,在第一会话分析表的前N个第一表项中,第一统计值1>第一统计值2>…>第一统计值N。在本发明的具体实施例中,会话分析设备通过对全部第一表项进行排序,可以确定哪些输入报文需要被重点关注,即:在第一会话分析表的全部第一表项中,第一表项排名越靠前,表明越需要被重点关注;第一表项排名越靠后,表明越不需要被重点关注。
步骤202c、判定当前输入报文满足预先设置的分析条件。
在本发明的具体实施例中,当目标特征值与前N个第一表项对应的任意一个第一地址相同时,会话分析设备可以判定当前输入报文满足预先设置的分析条件。
步骤202d、判定当前输入报文不满足预先设置的分析条件。
在本发明的具体实施例中,当目标特征值与前N个第一表项对应的任意一个第一地址均不相同时,会话分析设备可以判定当前输入报文不满足预先设置的分析条件。
根据上述的描述可知,通过上述的步骤202a~202d,会话分析设备可以根据原始特征值和第一报文分析表判断当前输入报文是否满足预先设置的分析条件,只有当所述当前输入报文满足预先设置的分析条件时,会话分析设备才会将当前输入报文统计到第二会话分析表中;当所述当前输入报文不满足预先设置的分析条件时,会话分析设备则不会将当前输入报文统计到第二会话分析表中,这样不仅可以减少会话分析设备的存储空间,而且还会提高会话分析设备的分析效率。
步骤203、将当前输入报文统计到第二会话分析表中。
在本发明的具体实施例中,当所述当前输入报文满足预先设置的分析条件时,会话分析设备可以将当前输入报文统计到第二会话分析表中。图5为本发明实施例中将当前输入报文统计到第二会话分析表中的实现方法流程示意图。如图5所示,将当前输入报文统计到第二会话分析表中的实现方法可以包括以下步骤:
步骤203a、根据当前输入报文的原始特征值在第二会话分析表中查找当前输入报文对应的第二表项;当在第二会话分析表中查找到当前输入报文对应的第二表项时,执行步骤203b;当在第二会话分析表中没有查找到当前输入报文对应的第二表项时,执行步骤203c。
在本发明的具体实施例中,会话分析设备可以根据当前输入报文的原始特征值在第二会话分析表中查找当前输入报文对应的第二表项。当会话分析设备在第二会话分析表中查找到当前输入报文对应的第二表项时,执行步骤203b;当会话分析设备在第二会话分析表中没有查找到当前输入报文对应的第二表项时,执行步骤203c。
步骤203b、将当前输入报文对应的第二表项对应的第二统计值加1;其中,各个第二表项包括:第二统计值和原始特征值。
在本发明的具体实施例中,当会话分析设备在第二会话分析表中查找到当前输入报文对应的第二表项时,会话分析设备可以将当前输入报文对应的第二表项对应的第二统计值加1;其中,各个第二表项包括:第二统计值和原始特征值。具体地,第二会话分析表的存储结构可以如下述表2所示:
第二表项 第二统计值 原始特征值
第二表项1 第二统计值1 原始特征值1
第二表项2 第二统计值2 原始特征值2
第二表项M 第二统计值M 原始特征值M
表2
在上述表2中,第二表项1可以包括:第二统计值1和原始特征值1;第二表项2可以包括:第二统计值2和原始特征值2;…;第二表项M可以包括:第二统计值M和原始特征值M;其中,M为大于等于1的自然数。
图6为本发明实施例中第二表项的组成结构示意图。如图6所示,第二表项可以包括:第二统计值和原始特征值。在本发明的具体实施例中,各个第二表项可以对应一个第二地址;例如,第二表项1可以对应第二地址1;第二表项2可以对应第二地址2;…;第二表项M可以对应第二地址M。也就是说,第二表项1可以存储在第二地址1对应的存储空间中;第二表项2可以存储在第二地址2对应的存储空间中;…;第二表项M可以存储在第二地址M对应的存储空间中。在本发明的具体实施例中,一个会话可以对应第二会话分析表中的一个第二表项,因此,第二地址还可以作为第二会话分析表中各个第二表项对应的会话标识;例如,第二地址1可以作为第二表项1对应的会话标识1;第二地址2可以作为第二表项2对应的会话标识2;…;第二地址N可以作为第二表项M对应的会话标识M。假设,当前输入报文的原始特征值与第二会话分析表中的原始特征值1相同,即:当前输入报文的源IP地址与原始特征值1中的源IP地址相同;当前输入报文的源端口号与原始特征值1中的源端口号相同;当前输入报文的目的IP地址与原始特征值1中的目的IP地址相同;当前输入报文的目的端口号与原始特征值1中的目的端口号相同;当前输入报文的协议类型与原始特征值1中的协议类型相同。此时会话分析设备可以确定当前输入报文对应的第二表项为第二表项1,然后可以将第二表项1中的第二统计值1加1。
步骤203c、在第二会话分析表中添加当前输入报文对应的第二表项。
在本发明的具体实施例中,当会话分析设备在第二会话分析表中没有查找到当前输入报文对应的第二表项时,会话分析设备可以在第二会话分析表中添加当前输入报文对应的第二表项。
根据上述的分析可知,根据上述的步骤203a~203c,会话分析设备可以将当前输入报文统计到第二会话分析表中,从而可以按照预先设置的分析方法对第二会话分析表中的会话进行分析。
步骤204、按照预先设置的分析方法对第二会话分析表中的会话进行分析。
在本发明的具体实施例中,会话分析设备可以按照预先设置的分析方法对第二会话分析表中的会话进行分析。具体地,会话分析设备可以周期性地对第二会话分析表中的会话进行分析;或者,会话分析设备还可以非周期性地对第二会话分析表中的会话进行分析。例如,会话分析可以周期性地对第二会话分析表中第二统计值最大的会话进行分析。
步骤205、结束第二会话分析表的会话分析流程。
在本发明的具体实施例中,当所述当前输入报文不满足预先设置的分析条件时,表明当前输入报文不需要会话分析设备进行重点关注,此时会话分析设备可以将当前输入报文只统计到第一会话分析表中,而无需将当前输入报文统计到第二会话分析表中,因此,会话分析设备可以结束第二会话分析表的会话分析流程。
本发明实施例提出的会话分析方法,先提取当前输入报文的原始特征值;其中,原始特征值包括:源IP地址、源端口号、目的IP地址、目的端口号和协议类型;然后根据原始特征值和第一会话分析表判断当前输入报文是否满足预先设置的分析条件;当所述当前输入报文满足预先设置的分析条件时,可以将当前输入报文统计到第二会话分析表中;最后按照预先设置的分析方法对第二会话分析表中的会话进行分析。也就是说,在本发明实施例提出的技术方案中,可以根据原始特征值和第一会话分析表先判断当前输入报文是否满足预先设置的分析条件;只有当所述当前输入报文满足预先设置的分析条件时,才会将当前输入报文统计到第二会话分析表中;当所述当前输入报文不满足预先设置的分析条件时,不会将当前输入报文统计到第二会话分析表中。因此,和现有技术相比,本发明实施例提出的会话分析方法,在第二会话分析表中只统计满足预先设置的分析条件的当前输入报文,这样不仅可以减少会话分析设备的存储空间,而且还会提高会话分析设备的分析效率;并且,本发明实施例的技术方案实现简单方便、便于普及,适用范围更广。
图7为本发明实施例中会话分析设备的第一组成结构示意图。如图7所示,提取单元701、判断单元702、统计单元703和分析单元704;其中,
所述提取单元701,用于提取当前输入报文的原始特征值;其中,所述原始特征值包括:源IP地址、源端口号、目的IP地址、目的端口号和协议类型;
所述判断单元702,用于根据所述原始特征值和第一会话分析表判断所述当前输入报文是否满足预先设置的分析条件;
所述统计单元703,用于当所述当前输入报文满足所述预先设置的分析条件时,将所述当前输入报文统计到第二会话分析表中;
所述分析单元704,用于按照预先设置的分析方法对所述第二会话分析表中的会话进行分析。
图8为本发明实施例中会话分析设备的第二组成结构示意图。如图8所示,判断单元702包括:压缩子单元7021和判断子单元7022,其中,
所述压缩子单元7021,用于将所述原始特征值压缩成为一个目标特征值;所述目标特征值占用的位数小于所述原始特征值占用的位数;
所述判断子单元7022,用于判断所述目标特征值是否与所述第一会话分析表中预先确定的前N个第一表项对应的任意第一地址相同;其中,各个第一表项包括:第一统计值;当所述目标特征值与前N个第一表项对应的任意一个第一地址相同时,判定所述当前输入报文满足所述预先设置的分析条件。
进一步的,所述统计单元703,还用于根据所述目标特征值在所述第一会话分析表中查找所述当前输入报文对应的第一表项;当在所述第一会话分析表中查找到所述当前输入报文对应的第一表项时,将所述第一表项对应的第一统计值加1。
进一步的,所述设备还包括:排序单元705,其中,
所述统计单元703,还用于按照预设周期获取所述第一会话分析表中各个第一表项的第一统计值;
所述排序单元705,用于根据各个第一表项的第一统计值按照从大到小的顺序对所述第一会话分析表中的全部第一表项进行排序;根据排序结果确定所述第一会话分析表中的前N个第一表项。
进一步的,所述统计单元703包括:查找子单元7031和统计子单元7032;其中,
所述查找子单元7031,用于根据所述原始特征值在所述第二会话分析表中查找所述当前输入报文对应的第二表项;
所述统计子单元7032,用于当在所述第二会话分析表中查找到所述当前输入报文对应的第二表项时,将所述第二表项对应的第二统计值加1;其中,各个第二表项包括:第二统计值和所述原始特征值。
本发明实施例提出的会话分析设备,提取单元先提取当前输入报文的原始特征值;其中,原始特征值包括:源IP地址、源端口号、目的IP地址、目的端口号和协议类型;然后判断单元根据原始特征值和第一会话分析表判断当前输入报文是否满足预先设置的分析条件;当所述当前输入报文满足预先设置的分析条件时,统计单元可以将当前输入报文统计到第二会话分析表中;最后分析单元按照预先设置的分析方法对第二会话分析表中的会话进行分析。也就是说,在本发明实施例提出的技术方案中,判断单元可以根据原始特征值和第一会话分析表先判断当前输入报文是否满足预先设置的分析条件;只有当所述当前输入报文满足预先设置的分析条件时,统计单元才会将当前输入报文统计到第二会话分析表中;当所述当前输入报文不满足预先设置的分析条件时,统计单元不会将当前输入报文统计到第二会话分析表中。因此,和现有技术相比,本发明实施例提出的会话分析设备,在第二会话分析表中只统计满足预先设置的分析条件的当前输入报文,这样不仅可以减少会话分析设备的存储空间,而且还会提高会话分析设备的分析效率;并且,本发明实施例的技术方案实现简单方便、便于普及,适用范围更广。
本发明实施例还提供一种非易失性计算机存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令用于执行如上述实施例所述的方法。
当然,本发明实施例所提供的包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的认证方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述搜索装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (9)

1.一种会话分析方法,其特征在于,所述方法包括:
提取当前输入报文的原始特征值;其中,所述原始特征值包括:源IP地址、源端口号、目的IP地址、目的端口号和协议类型;
根据所述原始特征值和第一会话分析表判断所述当前输入报文是否满足预先设置的分析条件;其中,所述根据所述原始特征值和第一会话分析表判断所述当前输入报文是否满足预先设置的分析条件,包括:将所述原始特征值压缩成为一个目标特征值;其中,所述目标特征值占用的位数小于所述原始特征值占用的位数;判断所述目标特征值是否与所述第一会话分析表中预先确定的前N个第一表项对应的任意第一地址相同;其中,各个第一表项包括:第一统计值;当所述目标特征值与前N个第一表项对应的任意一个第一地址相同时,判定所述当前输入报文满足所述预先设置的分析条件;
当所述当前输入报文满足所述预先设置的分析条件时,将所述当前输入报文统计到第二会话分析表中;
按照预先设置的分析方法对所述第二会话分析表中的会话进行分析。
2.根据权利要求1所述的方法,其特征在于,在所述根据所述原始特征值和第一会话分析表判断所述当前输入报文是否满足预先设置的分析条件之前,所述方法包括:
根据所述目标特征值在所述第一会话分析表中查找所述当前输入报文对应的第一表项;
当在所述第一会话分析表中查找到所述当前输入报文对应的第一表项时,将所述第一表项对应的第一统计值加1。
3.根据权利要求1所述的方法,其特征在于,在所述提取当前输入报文的原始特征值之前,所述方法包括:
按照预设周期获取所述第一会话分析表中各个第一表项的第一统计值;
根据各个第一表项的第一统计值按照从大到小的顺序对所述第一会话分析表中的全部第一表项进行排序;
根据排序结果确定所述第一会话分析表的前N个第一表项。
4.根据权利要求1所述的方法,其特征在于,所述将所述当前输入报文统计到第二会话分析表中,包括:
根据所述原始特征值在所述第二会话分析表中查找所述当前输入报文对应的第二表项;
当在所述第二会话分析表中查找到所述当前输入报文对应的第二表项时,将所述第二表项对应的第二统计值加1;其中,各个第二表项包括:第二统计值和所述原始特征值。
5.一种会话分析设备,其特征在于,所述设备包括:提取单元、判断单元、统计单元和分析单元;其中,
所述提取单元,用于提取当前输入报文的原始特征值;其中,所述原始特征值包括:源IP地址、源端口号、目的IP地址、目的端口号和协议类型;
所述判断单元,用于根据所述原始特征值和第一会话分析表判断所述当前输入报文是否满足预先设置的分析条件;其中,所述判断单元包括:压缩子单元和判断子单元,其中,所述压缩子单元,用于将所述原始特征值压缩成为一个目标特征值;所述目标特征值占用的位数小于所述原始特征值占用的位数;所述判断子单元,用于判断所述目标特征值是否与所述第一会话分析表中预先确定的前N个第一表项对应的任意第一地址相同;其中,各个第一表项包括:第一统计值;当所述目标特征值与前N个第一表项对应的任意一个第一地址相同时,判定所述当前输入报文满足所述预先设置的分析条件;
所述统计单元,用于当所述当前输入报文满足所述预先设置的分析条件时,将所述当前输入报文统计到第二会话分析表中;
所述分析单元,用于按照预先设置的分析方法对所述第二会话分析表中的会话进行分析。
6.根据权利要求5所述的设备,其特征在于,所述统计单元,还用于根据所述目标特征值在所述第一会话分析表中查找所述当前输入报文对应的第一表项;当在所述第一会话分析表中查找到所述当前输入报文对应的第一表项时,将所述第一表项对应的第一统计值加1。
7.根据权利要求5所述的设备,其特征在于,所述设备还包括:排序单元,其中,
所述统计单元,还用于按照预设周期获取所述第一会话分析表中各个第一表项的第一统计值;
所述排序单元,用于根据各个第一表项的第一统计值按照从大到小的顺序对所述第一会话分析表中的全部第一表项进行排序;根据排序结果确定所述第一会话分析表中的前N个第一表项。
8.根据权利要求5所述的设备,其特征在于,所述统计单元包括:查找子单元和统计子单元;其中,
所述查找子单元,用于根据所述原始特征值在所述第二会话分析表中查找所述当前输入报文对应的第二表项;
所述统计子单元,用于当在所述第二会话分析表中查找到所述当前输入报文对应的第二表项时,将所述第二表项对应的第二统计值加1;其中,各个第二表项包括:第二统计值和所述原始特征值。
9.一种非易失性计算机存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令用于执行如权利要求1至4任一权利要求所述的方法。
CN201710916063.5A 2017-09-30 2017-09-30 一种会话分析方法、设备及存储介质 Active CN107483507B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710916063.5A CN107483507B (zh) 2017-09-30 2017-09-30 一种会话分析方法、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710916063.5A CN107483507B (zh) 2017-09-30 2017-09-30 一种会话分析方法、设备及存储介质

Publications (2)

Publication Number Publication Date
CN107483507A CN107483507A (zh) 2017-12-15
CN107483507B true CN107483507B (zh) 2020-11-13

Family

ID=60605642

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710916063.5A Active CN107483507B (zh) 2017-09-30 2017-09-30 一种会话分析方法、设备及存储介质

Country Status (1)

Country Link
CN (1) CN107483507B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112612670B (zh) * 2020-12-02 2023-04-11 北京东土军悦科技有限公司 一种会话信息统计方法、装置、交换设备及存储介质
CN115174414A (zh) * 2022-07-22 2022-10-11 科来网络技术股份有限公司 自动识别会话中设备、设备路径的方法、系统及电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103401849A (zh) * 2013-07-18 2013-11-20 盘石软件(上海)有限公司 一种网站日志异常会话分析方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101304363B (zh) * 2007-05-12 2011-12-07 华为技术有限公司 一种会话连接的管理方法及装置、系统
CN101325534A (zh) * 2007-06-15 2008-12-17 上海亿人通信终端有限公司 基于网络处理器的访问控制列表实现方法
CN101437032B (zh) * 2008-12-19 2011-11-16 重庆邮电大学 基于sip协议的voip语音质量监测系统及检测方法
CN102932203B (zh) * 2012-10-31 2015-06-10 东软集团股份有限公司 异构平台间的深度报文检测方法及装置
CN103391219A (zh) * 2013-08-09 2013-11-13 盛科网络(苏州)有限公司 基于会话的报文分析方法及装置
US20160104476A1 (en) * 2014-10-09 2016-04-14 International Business Machines Corporation Cognitive Security for Voice Phishing Activity
CN105791248A (zh) * 2014-12-26 2016-07-20 中兴通讯股份有限公司 网络攻击分析方法和装置
CN106790441B (zh) * 2016-12-06 2020-01-14 东软集团股份有限公司 创建策略模板表的方法及装置、会话处理的方法及装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103401849A (zh) * 2013-07-18 2013-11-20 盘石软件(上海)有限公司 一种网站日志异常会话分析方法

Also Published As

Publication number Publication date
CN107483507A (zh) 2017-12-15

Similar Documents

Publication Publication Date Title
CN106815112B (zh) 一种基于深度包检测的海量数据监控系统及方法
US20090238088A1 (en) Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system
CN111181932A (zh) Ddos攻击检测与防御方法、装置、终端设备及存储介质
US20170048155A1 (en) Protocol type identification method and apparatus
CN101599963B (zh) 网络疑似威胁信息筛选器及筛选处理方法
CN107181605B (zh) 报文检测方法及系统、内容提取装置、流量匹配装置
CN106416171A (zh) 一种特征信息分析方法及装置
CN106685827B (zh) 一种下行报文的转发方法及ap设备
CN102739457A (zh) 一种基于dpi和svm技术的网络流量识别系统及方法
US20180014225A1 (en) Enhancement on header compression
CN107483507B (zh) 一种会话分析方法、设备及存储介质
CN107846341B (zh) 调度报文的方法、相关装置和系统
CN112751833B (zh) Rtp报文识别方法、装置、电子设备及可读存储介质
CN107547425B (zh) 一种汇聚层数据传输方法及系统
CN108512816B (zh) 一种流量劫持的检测方法及装置
CN106851640B (zh) 密码同步方法和装置
CN101958841A (zh) 限制p2p应用的方法及设备
KR101284584B1 (ko) 시그널링 트래픽 관리 시스템 및 그 방법
CN1529968A (zh) 在基于全ip的移动通信系统中发送语音帧的装置和方法
CN109842511B (zh) 一种tcp性能参数的确定方法及系统
CN105450647A (zh) 一种防止报文攻击的方法及系统
CN114050917B (zh) 音频数据的处理方法、装置、终端、服务器及存储介质
KR20150066239A (ko) 4g 모바일 네트워크에서의 비정상 sdp 메시지 탐지 장치 및 방법
CN101771575B (zh) 一种处理ip分片报文的方法、装置及系统
CN104038307A (zh) 数据流传输系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant