CN107547566A - 一种处理业务报文的方法及装置 - Google Patents
一种处理业务报文的方法及装置 Download PDFInfo
- Publication number
- CN107547566A CN107547566A CN201710906822.XA CN201710906822A CN107547566A CN 107547566 A CN107547566 A CN 107547566A CN 201710906822 A CN201710906822 A CN 201710906822A CN 107547566 A CN107547566 A CN 107547566A
- Authority
- CN
- China
- Prior art keywords
- detecting
- alarm
- service message
- processing
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种处理业务报文的方法及装置,属于通信技术领域,该方法应用于深度报文检测安全设备,所述方法应用于安全设备,所述安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,所述方法包括:接收待检测的业务报文;当所述第一检测引擎不可用时,利用所述第二检测引擎对所述业务报文进行DPI检测,确定所述业务报文对应的处理动作;如果在预设时长内检测到所述第一检测引擎可用,利用所述第一检测引擎根据所述第二检测引擎确定出的处理动作对所述业务报文进行安全控制处理。通过本发明,可以提高网络的安全性。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种处理业务报文的方法及装置。
背景技术
随着信息技术的快速发展,网络应用正在从传统、小型业务系统逐渐向大型、关键业务系统扩展,网络所承载的数据应用也日益增加,呈现复杂化、多元化趋势。然而,网络在使得我们的工作和生活快捷、方便的同时也带来了许多安全问题,比如,信息泄露和计算机感染病毒等。
为了保证数据内容的安全,人们提出了DPI(Deep Packet Inspection,深度报文检测)技术,对网络中的业务报文进行安全检测。DPI是一种基于业务报文的应用层信息对流经设备的网络流量进行检测和控制的安全机制,通常应用于安全设备(比如防火墙设备)中。通常,安全设备中存储有规则库,该规则库包括用于进行DPI检测的检测策略,比如用于匹配报文的特征项和相应的处理动作等。安全设备会将该规则库中的规则下发到内核中,也即,将规则库中的规则进行重新编译并导入内核的代码程序中,得到运行于内核态的检测引擎,安全设备利用该检测引擎实现DPI检测。具体的,安全设备接收到业务报文后,可以利用该检测引擎对业务报文的内容(一般是传输层以上的内容)进行安全检测,确定对该业务报文的处理动作,然后根据该处理动作对业务报文进行安全控制处理。例如,如果该业务报文的匹配的规则中的处理动作为“允许”,安全设备转发该业务报文;如果该业务报文匹配的规则中的处理动作为“丢弃”,安全设备将丢弃该业务报文,以阻断该业务报文所属的业务流。
安全设备在某些应用场景中,比如主备倒换或规则库升级后,需要重新将规则库下发到内核中,由于在下发的过程中运行于内核态的检测引擎无法使用,因此,安全设备在该下发过程中无法进行DPI检测,这样会导致网络的安全性较差。
发明内容
本申请实施例的目的在于提供一种处理业务报文的方法及装置,以实现在出现主备倒换或规则库升级等需要将规则库重新下发至内核的情况时,可以对业务报文进行DPI检测,从而提了网络的安全性。具体技术方案如下:
为实现上述目的,提供了一种处理业务报文的方法,该方法应用于安全设备,所述安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,该方法包括:
接收待检测的业务报文;
当所述第一检测引擎不可用时,利用所述第二检测引擎对所述业务报文进行深度报文检测DPI检测,确定所述业务报文对应的处理动作;
如果在预设时长内检测到所述第一检测引擎可用,利用所述第一检测引擎根据所述第二检测引擎确定出的处理动作对所述业务报文进行安全控制处理。
为实现上述目的,提供了一种处理业务报文的装置,所述装置应用于安全设备,所述安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,,所述装置包括:
接收模块,用于接收待检测的业务报文;
第一检测模块,用于当所述第一检测引擎不可用时,利用所述第二检测引擎对所述业务报文进行深度报文检测DPI检测,确定所述业务报文对应的处理动作;
第一处理模块,用于如果在预设时长内检测到所述第一检测引擎可用,利用所述第一检测引擎根据所述第二检测引擎确定出的处理动作对所述业务报文进行安全控制处理。
本申请实施例提供的处理业务报文方法,可以应用于安全设备,该安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,安全设备可以接收待检测的业务报文,当第一检测引擎不可用时,利用第二检测引擎对业务报文进行深度报文检测DPI检测,确定业务报文对应的处理动作,如果在预设时长内检测到第一检测引擎可用,利用第一检测引擎根据第二检测引擎确定出的处理动作对业务报文进行安全控制处理。这样,在出现主备倒换或规则库升级等需要规则库重新下发至内核的情况时,即使运行于内核态的检测引擎不可用,DPI检测也不会中断,即可以利用运行于用户态的检测引擎进行DPI检测,确定出处理该业务报文的处理动作,在运行于内核态的检测引擎恢复之后,不需要对该业务报文再次进行DPI检测,按照运行于内核态的检测引擎确定的处理动作处理业务报文即可,可有效提高网络的安全性。
当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种处理业务报文的方法流程图;
图2为本发明实施例提供的一种处理业务报文的方法流程图;
图3为本发明实施例提供的一种处理业务报文的装置的结构示意图;
图4为本发明实施例提供的一种处理业务报文的装置的结构示意图;
图5为本发明实施例提供的一种处理业务报文的装置的结构示意图;
图6为本发明实施例提供的一种处理业务报文的装置的结构示意图;
图7为本发明实施例提供的一种安全设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明实施例提供了一种处理业务报文的方法,该方法应用于安全设备中,安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎。
如图1所示,该方法的处理过程可以包括以下步骤:
步骤101,接收待检测的业务报文。
步骤102,当第一检测引擎不可用时,利用第二检测引擎对业务报文进行深度报文检测DPI检测,确定业务报文对应的处理动作。
步骤103,如果在预设时长内检测到第一检测引擎可用,利用第一检测引擎根据第二检测引擎确定出的处理动作对业务报文进行安全控制处理。
基于上述处理,在出现主备倒换或规则库升级等需要规则库重新下发至内核的情况时,即使运行于内核态的第一检测引擎不可用,也可以利用运行于用户态的第二检测引擎进行DPI检测,提高了网络的安全性。
本发明实施例提供了一种处理业务报文的方法,该方法可以应用于安全设备,安全设备可以是具有DPI检测功能的设备,比如防火墙设备、网关设备等。安全设备中可以配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎。安全设备中存储有第一规则库,第一规则库可以采用现有技术中的规则库,安全设备可以将第一规则库中的规则进行编译下发到本地的内核(即CPU(Central Processing Unit,中央处理器))中,得到运行于内核态的第一检测引擎。安全设备中还可以存储第二规则库,第二规则可以是依据第一规则库筛选出的简易规则库,可由技术人员定期上传更新,也即,第二规则库包含的规则为第一规则库包含的特征项的子集。这样,第二规则库所占的存储空间较小,可以降低内存占用率。第二规则库可以存储于用户态存储空间,第二规则库无需下发到本地的内核中。第二规则库及其相关的匹配检测代码程序可构成第二检测引擎。
如图2所示,该方法的处理过程可以如下:
步骤201,接收待检测的业务报文。
在实施中,安全设备可以接收其他设备发送的业务报文,该其他设备可以是用户设备,也可以是网络设备。安全设备接收到业务报文后,可以对业务报文进行缓存,进而对该业务报文进行解析,获取该业务报文中的数据内容,以便后续进行DPI检测。一般情况下,安全设备会获取业务报文中传输层以上的数据内容。
安全设备中可以设置有第一检测引擎,第一检测引擎是内核中的功能模块,可以认为是由编译后下发内核的第一规则库、规则匹配算法等构成的。其中,第一规则库可以包括IPS(Intrusion Prevention System,入侵防御系统)、APR(application recognition,应用识别)和URL(Uniform Resource Locator,统一资源定位符)等涉及上层应用载荷是识别业务的规则集合。
如上所述,安全设备中的第一规则库在下发到本地的内核的过程中是不可用的,从而导致第一检测引擎不可用;同理,当第一规则库可用时,第一检测引擎可用。当安全设备接收到业务报文时,安全设备可以判断本地的第一检测引擎是否可用。具体的处理过程可以为:安全设备可以达到预设触发条件时,检测本地的第一规则库是否可用,并可以通过标志位进行标识,当安全设备接收到业务报文后,可以查询该标识位,从而获知本地的第一检测引擎是否可用。如果不可用,则可以执行步骤202-步骤203,如果可用,则可以执行步骤205-206。
步骤202,当第一检测引擎不可用时,利用第二检测引擎对业务报文进行深度报文检测DPI检测,确定业务报文对应的处理动作。
在实施中,当安全设备判定第一检测引擎不可用时,可以将该业务报文复制到用户态存储空间,然后第二检测引擎获取该业务报文的数据内容,并将获取到的数据内容与第二规则库中的特征项进行对比,从而在第二规则库中确定与获取到的数据内容相匹配的特征项(可称为匹配规则)。如果在第二规则库中确定出与获取到的数据内容相匹配的匹配规则,则检测结果为匹配成功,安全设备可以根据预先存储的匹配规则和处理动作的对应关系、以及该业务报文的匹配规则,确定该业务报文对应的处理动作。如果第二检测引擎在第二规则库中,未确定出与获取到的数据内容相匹配的匹配规则,则检测结果为匹配失败,可以由内核对该业务报文进行转发处理。其中,第二规则库中的规则和第一规则库中的规则可以均包括匹配规则对应的处理动作。
对于第二规则库中存储有匹配规则对应的处理动作的情况,第二检测引擎可以在确定匹配规则后,直接根据该匹配规则确定业务报文对应的处理动作,然后将确定出的处理动作与该业务报文进行对应的存储。
为了提高安全控制处理的安全性,可由运行于内核态的第一检测引擎执行对业务报文的安全控制处理,相应的,安全设备利用第二检测引擎确定业务报文对应的处理动作之后,可以判断第一检测引擎是否可用,如果安全设备在预设时长内检测到第一检测引擎可用,则可以执行步骤203;如果在预设时长内未检测到第一检测引擎可用,则可以执行步骤204。
步骤203,利用第一检测引擎根据第二检测引擎确定出的处理动作对业务报文进行安全控制处理。
在实施中,安全设备可以根据该业务报文对应的检测结果,对该业务报文进行安全控制处理。例如,如果第二检测引擎检测到与业务报文相匹配的特征项,则第二检测引擎可以判定该业务报文匹配成功,然后获取该特征项对应的处理动作;如果第二检测引擎未检测到与业务报文相匹配的特征项,则利用第一检测引擎对该业务报文进行转发处理(也可称为放行)。处理动作可以是多种多样的,例如,该处理动作为“允许”,第一检测引擎将允许此该业务报文通过;如果该动作为“丢弃”,第一检测引擎将丢弃该业务报文,以阻断该业务报文所属的业务流。
第二检测引擎确定该业务报文对应的处理动作后,需要将该处理动作发送给第一检测引擎,利用第一检测引擎根据该处理动作对业务报文进行安全控制处理。具体的,安全设备利用第二检测引擎确定业务报文对应的处理动作之后,如果在预设时长内检测到第一检测引擎可用,则可以向第一检测引擎发送通知消息,该通知消息中可以携带有第二检测引擎确定出的处理动作的标识、以及该处理动作对应的业务报文的标识。第一检测引擎接收到该通知消息后,可以根据该处理动作,对该业务报文进行安全控制处理。需要说明的是,如果在检测到第一检测引擎可用之前,安全设备确定出多个业务报文对应的处理动作,则可以将多个业务报文的标识和多个处理动作的标识携带在一个通知消息中进行发送,从而提高处理报文的效率。
步骤204,根据业务报文的目的地址,对业务报文进行转发处理。
在实施中,安全设备基于第二检测引擎确定业务报文对应的处理动作之后,如果在预设时长内未检测到第一检测引擎可用,则可以获取该业务报文的目的地址,根据该目的地址,对该业务报文进行转发处理。这样,可以避免因第一检测引擎长时间不可用,导致业务报文传输中断。
步骤205,当第一检测引擎可用时,利用第一检测引擎对业务报文进行DPI检测,确定业务报文对应的处理动作。
在实施中,安全设备接收到业务报文后,如果判定第一检测引擎可用,则可以通过第一检测引擎对该业务报文进行DPI检测,第一检测引擎可以根据检测结果确定业务报文对应的处理动作。第一检测引擎进行DPI检测以及确定处理动作的过程属于现有技术,本实施例不再赘述。
步骤206,利用第一检测引擎根据确定出的处理动作对业务报文进行安全控制处理。
在实施中,第一检测引擎确定处理动作后,可以根据该处理动作,对该业务报文进行安全控制处理。需要说明的是,安全设备对业务报文进行安全控制处理或转发处理后,可以删除本地缓存的该业务报文,以释放本地的缓存空间。
本申请实施例提供的处理业务报文方法,可以应用于安全设备,该安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,安全设备可以接收待检测的业务报文,当第一检测引擎不可用时,利用第二检测引擎对业务报文进行深度报文检测DPI检测,确定业务报文对应的处理动作,如果在预设时长内检测到第一检测引擎可用,利用第一检测引擎根据第二检测引擎确定出的处理动作对业务报文进行安全控制处理。这样,在出现主备倒换或规则库升级等需要规则库重新下发至内核的情况时,即使运行于内核态的检测引擎不可用,DPI检测也不会中断,即可以利用运行于用户态的检测引擎进行DPI检测,确定出处理该业务报文的处理动作,在运行于内核态的检测引擎恢复之后,不需要对该业务报文再次进行DPI检测,按照运行于内核态的检测引擎确定的处理动作处理业务报文即可,可有效提高网络的安全性。
基于相同的技术构思,本实施例还提供了一种处理业务报文的装置,该装置应用于安全设备,该安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,如图3所示,该装置包括:
接收模块310,用于接收待检测的业务报文;
第一检测模块320,用于当所述第一检测引擎不可用时,利用所述第二检测引擎对所述业务报文进行深度报文检测DPI检测,确定所述业务报文对应的处理动作;
第一处理模块330,用于如果在预设时长内检测到所述第一检测引擎可用,利用所述第一检测引擎根据所述第二检测引擎确定出的处理动作对所述业务报文进行安全控制处理。
可选的,如图4所示,所述装置还包括:
第二检测模块340,用于当所述第一检测引擎可用时,利用所述第一检测引擎对所述业务报文进行DPI检测,确定所述业务报文对应的处理动作;
第二处理模块350,用于利用所述第一检测引擎根据确定出的处理动作对所述业务报文进行安全控制处理。
可选的,如图5所示,所述装置还包括:
复制模块360,用于将所述业务报文复制到所述备规则库对应的用户态存储空间。
可选的,如图6所示,所述装置还包括:
转发模块370,用于如果在所述预设时长内未检测到所述第一检测引擎可用,则根据所述业务报文的目的地址,对所述业务报文进行转发处理。
本申请实施例提供的处理业务报文方法,可以应用于安全设备,该安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,安全设备可以接收待检测的业务报文,当第一检测引擎不可用时,利用第二检测引擎对业务报文进行深度报文检测DPI检测,确定业务报文对应的处理动作,如果在预设时长内检测到第一检测引擎可用,利用第一检测引擎根据第二检测引擎确定出的处理动作对业务报文进行安全控制处理。这样,在出现主备倒换或规则库升级等需要规则库重新下发至内核的情况时,即使运行于内核态的检测引擎不可用,DPI检测也不会中断,即可以利用运行于用户态的检测引擎进行DPI检测,确定出处理该业务报文的处理动作,在运行于内核态的检测引擎恢复之后,不需要对该业务报文再次进行DPI检测,按照运行于内核态的检测引擎确定的处理动作处理业务报文即可,可有效提高网络的安全性。
本申请实施例还提供了一种安全设备,如图7所示,包括处理器701、通信接口702、存储器703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信,
存储器703,用于存放计算机程序;
处理器701,用于执行存储器703上所存放的程序时,以使该安全设备执行如下步骤:
接收待检测的业务报文;
当所述第一检测引擎不可用时,利用所述第二检测引擎对所述业务报文进行深度报文检测DPI检测,确定所述业务报文对应的处理动作;
如果在预设时长内检测到所述第一检测引擎可用,利用所述第一检测引擎根据所述第二检测引擎确定出的处理动作对所述业务报文进行安全控制处理。
可选的,所述方法还包括:
当所述第一检测引擎可用时,利用所述第一检测引擎对所述业务报文进行DPI检测,确定所述业务报文对应的处理动作;
利用所述第一检测引擎根据确定出的处理动作对所述业务报文进行安全控制处理。
可选的,所述利用所述第二检测引擎对所述业务报文进行DPI检测之前,还包括:
将所述业务报文复制到所述用户态存储空间。
可选的,所述方法还包括:
如果在所述预设时长内未检测到所述第一检测引擎可用,则根据所述业务报文的目的地址,对所述业务报文进行转发处理。
存储器可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital SignalProcessing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例提供的处理业务报文方法,可以应用于安全设备,该安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,安全设备可以接收待检测的业务报文,当第一检测引擎不可用时,利用第二检测引擎对业务报文进行深度报文检测DPI检测,确定业务报文对应的处理动作,如果在预设时长内检测到第一检测引擎可用,利用第一检测引擎根据第二检测引擎确定出的处理动作对业务报文进行安全控制处理。这样,在出现主备倒换或规则库升级等需要规则库重新下发至内核的情况时,即使运行于内核态的检测引擎不可用,DPI检测也不会中断,即可以利用运行于用户态的检测引擎进行DPI检测,确定出处理该业务报文的处理动作,在运行于内核态的检测引擎恢复之后,不需要对该业务报文再次进行DPI检测,按照运行于内核态的检测引擎确定的处理动作处理业务报文即可,可有效提高网络的安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (9)
1.一种处理业务报文的方法,其特征在于,所述方法应用于安全设备,所述安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,所述方法包括:
接收待检测的业务报文;
当所述第一检测引擎不可用时,利用所述第二检测引擎对所述业务报文进行深度报文检测DPI检测,确定所述业务报文对应的处理动作;
如果在预设时长内检测到所述第一检测引擎可用,利用所述第一检测引擎根据所述第二检测引擎确定出的处理动作对所述业务报文进行安全控制处理。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第一检测引擎可用时,利用所述第一检测引擎对所述业务报文进行DPI检测,确定所述业务报文对应的处理动作;
利用所述第一检测引擎根据确定出的处理动作对所述业务报文进行安全控制处理。
3.根据权利要求1所述的方法,其特征在于,所述利用所述第二检测引擎对所述业务报文进行DPI检测之前,还包括:
将所述业务报文复制到所述用户态存储空间。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果在所述预设时长内未检测到所述第一检测引擎可用,则根据所述业务报文的目的地址,对所述业务报文进行转发处理。
5.一种处理业务报文的装置,其特征在于,所述装置应用于安全设备,所述安全设备中配置有运行于内核态的第一检测引擎和运行于用户态的第二检测引擎,所述装置包括:
接收模块,用于接收待检测的业务报文;
第一检测模块,用于当所述第一检测引擎不可用时,利用所述第二检测引擎对所述业务报文进行深度报文检测DPI检测,确定所述业务报文对应的处理动作;
第一处理模块,用于如果在预设时长内检测到所述第一检测引擎可用,利用所述第一检测引擎根据所述第二检测引擎确定出的处理动作对所述业务报文进行安全控制处理。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第二检测模块,用于当所述第一检测引擎可用时,利用所述第一检测引擎对所述业务报文进行DPI检测,确定所述业务报文对应的处理动作;
第二处理模块,用于利用所述第一检测引擎根据确定出的处理动作对所述业务报文进行安全控制处理。
7.根据权利要求8所述的装置,其特征在于,所述装置还包括:
复制模块,用于将所述业务报文复制到所述备规则库对应的用户态存储空间。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
转发模块,用于如果在所述预设时长内未检测到所述第一检测引擎可用,则根据所述业务报文的目的地址,对所述业务报文进行转发处理。
9.一种安全设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-4任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710906822.XA CN107547566B (zh) | 2017-09-29 | 2017-09-29 | 一种处理业务报文的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710906822.XA CN107547566B (zh) | 2017-09-29 | 2017-09-29 | 一种处理业务报文的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107547566A true CN107547566A (zh) | 2018-01-05 |
CN107547566B CN107547566B (zh) | 2020-11-20 |
Family
ID=60963529
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710906822.XA Active CN107547566B (zh) | 2017-09-29 | 2017-09-29 | 一种处理业务报文的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107547566B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109802965A (zh) * | 2019-01-24 | 2019-05-24 | 新华三信息安全技术有限公司 | 一种自定义ips特征文件导入方法及装置 |
CN110768865A (zh) * | 2019-10-23 | 2020-02-07 | 新华三信息安全技术有限公司 | 一种深度报文检测引擎激活方法、装置及电子设备 |
CN111093224A (zh) * | 2019-12-09 | 2020-05-01 | 中盈优创资讯科技有限公司 | 一种4g核心网dpi数据的稽查方法、设备以及系统 |
CN111967004A (zh) * | 2020-07-31 | 2020-11-20 | 深圳比特微电子科技有限公司 | 数字货币矿机的病毒扫描方法、装置和数字货币矿机 |
CN114285634A (zh) * | 2021-12-23 | 2022-04-05 | 北京东土军悦科技有限公司 | 数据报文的深度检测方法、装置、介质及监控系统 |
CN114285634B (zh) * | 2021-12-23 | 2024-06-04 | 北京东土军悦科技有限公司 | 数据报文的深度检测方法、装置、介质及监控系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101093453A (zh) * | 2007-07-25 | 2007-12-26 | 湖南大学 | 基于虚拟内核对象的Linux程序检查点用户级实现方法 |
CN102902909A (zh) * | 2012-10-10 | 2013-01-30 | 北京奇虎科技有限公司 | 一种防止文件被篡改的系统和方法 |
CN104503863A (zh) * | 2014-11-07 | 2015-04-08 | 清华大学 | 用于虚拟容器系统容灾的内核态与用户态数据交换方法 |
CN104780080A (zh) * | 2015-04-13 | 2015-07-15 | 苏州迈科网络安全技术股份有限公司 | 深度报文检测方法及系统 |
CN107046508A (zh) * | 2016-02-05 | 2017-08-15 | 华为技术有限公司 | 报文接收方法及网络设备 |
-
2017
- 2017-09-29 CN CN201710906822.XA patent/CN107547566B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101093453A (zh) * | 2007-07-25 | 2007-12-26 | 湖南大学 | 基于虚拟内核对象的Linux程序检查点用户级实现方法 |
CN102902909A (zh) * | 2012-10-10 | 2013-01-30 | 北京奇虎科技有限公司 | 一种防止文件被篡改的系统和方法 |
CN104503863A (zh) * | 2014-11-07 | 2015-04-08 | 清华大学 | 用于虚拟容器系统容灾的内核态与用户态数据交换方法 |
CN104780080A (zh) * | 2015-04-13 | 2015-07-15 | 苏州迈科网络安全技术股份有限公司 | 深度报文检测方法及系统 |
CN107046508A (zh) * | 2016-02-05 | 2017-08-15 | 华为技术有限公司 | 报文接收方法及网络设备 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109802965A (zh) * | 2019-01-24 | 2019-05-24 | 新华三信息安全技术有限公司 | 一种自定义ips特征文件导入方法及装置 |
CN110768865A (zh) * | 2019-10-23 | 2020-02-07 | 新华三信息安全技术有限公司 | 一种深度报文检测引擎激活方法、装置及电子设备 |
CN111093224A (zh) * | 2019-12-09 | 2020-05-01 | 中盈优创资讯科技有限公司 | 一种4g核心网dpi数据的稽查方法、设备以及系统 |
CN111093224B (zh) * | 2019-12-09 | 2023-08-01 | 中盈优创资讯科技有限公司 | 一种4g核心网dpi数据的稽查方法、设备以及系统 |
CN111967004A (zh) * | 2020-07-31 | 2020-11-20 | 深圳比特微电子科技有限公司 | 数字货币矿机的病毒扫描方法、装置和数字货币矿机 |
CN114285634A (zh) * | 2021-12-23 | 2022-04-05 | 北京东土军悦科技有限公司 | 数据报文的深度检测方法、装置、介质及监控系统 |
CN114285634B (zh) * | 2021-12-23 | 2024-06-04 | 北京东土军悦科技有限公司 | 数据报文的深度检测方法、装置、介质及监控系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107547566B (zh) | 2020-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10334083B2 (en) | Systems and methods for malicious code detection | |
CN107547566A (zh) | 一种处理业务报文的方法及装置 | |
US9967265B1 (en) | Detecting malicious online activities using event stream processing over a graph database | |
CN102404318B (zh) | 一种防范dns缓存攻击的方法及装置 | |
CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
CN104778415B (zh) | 一种基于计算机行为的数据防泄露系统及方法 | |
CN109922062B (zh) | 源代码泄露监控方法及相关设备 | |
CN104219200A (zh) | 一种防范dns缓存攻击的装置和方法 | |
CN104994094B (zh) | 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统 | |
CN102957705B (zh) | 一种网页篡改防护的方法及装置 | |
TW201220116A (en) | Information security protection host | |
US11924235B2 (en) | Leveraging user-behavior analytics for improved security event classification | |
CN107645502A (zh) | 一种报文检测方法及装置 | |
US20190394234A1 (en) | On-device network protection | |
CN107135127A (zh) | 一种网络流量异常检测方法及装置 | |
US20210051176A1 (en) | Systems and methods for protection from phishing attacks | |
CN104935551A (zh) | 一种网页篡改防护装置及方法 | |
KR101308085B1 (ko) | 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법 | |
CN106888210A (zh) | 一种网络攻击的警示方法及装置 | |
CN107547502A (zh) | 一种信息监听系统、方法及装置 | |
Tian et al. | Hierarchical distributed alert correlation model | |
CN107944260A (zh) | 一种恶意软件的行为阻断装置及方法 | |
Biswas et al. | An approach towards multilevel and multiagent based intrusion detection system | |
CN104702456A (zh) | 基于关键字提取策略对局域网传输数据风险监测的方法 | |
CN105320890B (zh) | 一种基于分组dfa的源代码漏洞检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |