CN107689962B - 一种数据流过滤方法及系统 - Google Patents
一种数据流过滤方法及系统 Download PDFInfo
- Publication number
- CN107689962B CN107689962B CN201710875338.5A CN201710875338A CN107689962B CN 107689962 B CN107689962 B CN 107689962B CN 201710875338 A CN201710875338 A CN 201710875338A CN 107689962 B CN107689962 B CN 107689962B
- Authority
- CN
- China
- Prior art keywords
- feature code
- suspicious
- data
- data message
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种数据流过滤方法及系统,该方法包括:获取数据报文;根据第一预设特征码,判断所述数据报文是否含有病毒特征码,若否,对所述数据报文进行过滤处理,第一预设特征码为构成病毒特征码的单元特征码。本发明根据第一预设特征码,通过将该第一预设特征码和数据报文中的特征码进行匹配对比,判断获取的数据报文是否含有病毒特征码,若是,直接将该数据报文删除,若否,进一步对该数据报文进行过滤处理,避免了网络服务器受到病毒的威胁,同时对异常的数据进行拦截,也可大大降低服务器接收到的数据的数量,从而避免服务器因待处理数据过多而导致的处理速度减慢的问题。
Description
技术领域
本发明涉及网络数据传输技术领域,尤其涉及一种数据流过滤方法及系统。
背景技术
物联网是一个庞大的体系。该体系时刻产生海量数据流。处理器往往因海量数据流而过载,导致处理速度变慢。如此造成的结果便是待处理的数据更多,严重的话会使系统崩溃。实际上,海量数据流中有很多数据流携带有病毒信号,如果将这些信号有效过滤掉,然后再传输至服务器进行处理,以避免网络受到病毒等的威胁,会大大提高数据处理的速率。那么,如何将这些无用信号过滤掉,则成为了亟待解决的技术问题。
发明内容
本发明所要解决的技术问题是针对上述现有技术的不足,提供一种数据流过滤方法及系统。
第一方面,本发明提供了一种数据流过滤方法,该方法包括:
获取数据报文;
根据第一预设特征码,判断所述数据报文是否含有病毒特征码,若否,对所述数据报文进行过滤,所述第一预设特征码为构成病毒特征码的单元特征码。
本发明的有益效果是:该方法根据第一预设特征码,通过将该第一预设特征码和数据报文中的特征码进行匹配对比,判断获取的数据报文是否含有病毒特征码,若是,直接将该数据报文删除,若否,对该数据报文进行多次过滤,避免了网络服务器受到病毒的威胁,同时对异常的数据进行拦截,也可大大降低服务器接收到的数据的数量,从而避免服务器因待处理数据过多而导致的处理速度减慢的问题。
进一步,所述对所述数据报文进行过滤处理,具体包括:
判断所述数据报文是否含有可疑特征码,若是,根据第二预设特征码,判断所述数据报文是否含有病毒特征码;
若否,将所述数据报文发送至服务器;
其中,所述第二预设特征码的敏感级别高于所述第一预设特征码的敏感级别。
本发明的进一步有益效果是:对含有可疑特征码的数据报文再次进行预设特征码对比,即根据第二预设特征码判断含有可疑特征码的数据报文是否含有病毒特征码,因第二预设特征码的敏感级别高于第一预设特征码的敏感级别,因此在该次对比中,若含有可疑特征码的数据报文含有病毒特征码,则直接删除该数据报文,若不含有病毒特征码,则将该数据报文发送至服务器,进一步保障了服务器所接收到的数据报文为安全数据报文,提供了服务器的数据处理速度。
进一步,所述对所述数据报文进行过滤处理,具体包括:
判断所述数据报文是否含有可疑特征码,若是,根据第二预设特征码,判断所述数据报文是否含有病毒特征码;
如是,删除所述数据报文,若否,判断所述数据报文是否含有可疑特征码;
若是,将所述数据报文保存至可疑数据库,并实时监测服务器的待处理报文量;
当所述待处理报文量小于预设处理量时,将所述可疑数据库中的数据报文加密打包成第二加密压缩包;
将所述第二加密压缩包和其对应的解压缩密码发送至所述服务器,以便所述服务器处理所述第二加密压缩包中的数据报文;
其中,所述第二预设特征码的敏感级别高于所述第一预设特征码的敏感级别。
本发明的进一步有益效果是:当将数据报文与第一预设特征码进行比对且该数据报文含有可疑特征码时,将该数据报文与第二预设特征码进行比对,因第二预设特征码的敏感级别高于第一预设特征码的敏感级别,因此在该次对比中,若判定该数据报文含有病毒特征码,则直接删除该数据报文,若在该次比对后,仍判定该数据报文中不含有病毒特征码但含有可疑特征码,则将该数据报文暂时保存至可疑数据库,等待服务器中报文待处理量小于预设处理量时,即可将该可疑数据库中的数据报文打包发送至服务器,由服务器进行正常处理,无需等待可疑数据库中的个数达到一定预设量再打包,即在服务器的待处理量不多时,即可将可疑数据库中的数据报文发送给服务器处理,防止了数据报文在服务器中堵塞,同时提高了服务器的处理速度。
第二方面,本发明提供了一种数据流过滤系统,所述系统包括:
数据报文获取模块,用于获取数据报文;
数据报文过滤模块,用于根据第一预设特征码,判断所述数据报文获取模块获取的所述数据报文是否含有病毒特征码,若否,对所述数据报文进行过滤处理,所述第一预设特征码为构成病毒特征码的单元特征码。
本发明的有益效果是:该系统通过数据报文过滤模块,判断获取的数据报文是否异常,若是,过滤该异常的数据报文,避免了网络服务器受到病毒的威胁,同时对异常的数据进行拦截,也可大大降低服务器接收到的数据的数量,从而避免服务器因待处理数据过多而导致的处理速度减慢的问题。
进一步,所述第二处理子模块包括二次过滤单元,用于根据第二预设特征码,判断所述数据报文是否含有病毒特征码,如是,删除所述数据报文,若否,将所述数据报文发送至服务器。
本发明的进一步有益效果是:第二处理子模块的二次过滤单元在对含有可疑特征码的数据报文再次进行预设特征码对比,即根据第二预设特征码判断含有可疑特征码的数据报文是否含有病毒特征码,因第二预设特征码的敏感级别高于第一预设特征码的敏感级别,因此在该次对比中,若含有可疑特征码的数据报文含有病毒特征码,则直接删除该数据报文,若不含有病毒特征码,则将该数据报文发送至服务器,进一步保障了服务器所接收到的数据报文为安全数据报文,提供了服务器的数据处理速度。
进一步,所述第二处理子模块还用于:
根据第二预设特征码,判断所述数据报文是否含有病毒特征码;
如是,删除所述数据报文,若否,判断所述数据报文是否含有可疑特征码;
若是,将所述数据报文保存至可疑数据库,并实时监测服务器的报文待处理量;
当所述报文待处理量小于预设处理量时,将所述可疑数据库中的数据报文加密打包进第二加密压缩包;
将所述第二加密压缩包和其对应的解压缩密码发送至所述服务器,所述服务器处理所述第二加密压缩包中的数据报文;
其中,所述第二预设特征码的敏感级别高于所述第一预设特征码的敏感级别。
本发明的进一步有益效果是:当第二处理子模块将数据报文与第一预设特征码进行比对且该数据报文含有可疑特征码时,第二处理子模块将该数据报文与第二预设特征码进行比对,因第二预设特征码的敏感级别高于第一预设特征码的敏感级别,因此在该次对比中,若判定该数据报文含有病毒特征码,则直接删除该数据报文,若在该次比对后,仍判定该数据报文中不含有病毒特征码但含有可疑特征码,则将该数据报文暂时保存至可疑数据库,等待服务器中报文待处理量小于预设处理量时,即可将该可疑数据库中的数据报文打包发送至服务器,由服务器进行正常处理,无需等待可疑数据库中的个数达到一定预设量再打包,即在服务器的待处理量不多时,即可将可疑数据库中的数据报文发送给服务器处理,防止了数据报文在服务器中堵塞,同时提高了服务器的处理速度。
本发明附加的方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明实践了解到。
附图说明
图1为本发明一个实施例提供的一种数据流过滤方法的流程示意图;
图2为本发明另一个实施例提供的一种数据流过滤方法中步骤120的流程示意图;
图3为本发明另一个实施例提供的一种数据流过滤方法中步骤120的流程示意图;
图4为本发明另一个实施例提供的一种数据流过滤方法中步骤120的流程示意图;
图5为本发明另一个实施例提供的一种数据流过滤方法中步骤120的流程示意图;
图6为本发明一个实施例提供的一种数据流过滤系统的结构示意图;
图7为本发明另一个实施例提供的一种数据流过滤系统的结构示意图;
图8为本发明另一个实施例提供的一种数据流过滤系统的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、模块、技术之类的具体细节,以便透切理解本发明。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
实施例一
如图1给出了本发明实施例提供的一种数据流过滤方法的流程示意图。如图1所示方法的执行主体可以是处理器,该方法包括:
步骤110、获取数据报文。
步骤120、根据第一预设特征码,判断数据报文是否含有病毒特征码,若否,对数据报文进行过滤处理,第一预设特征码为构成病毒特征码的单元特征码。
在繁忙的应用程序中,服务器既要处理所有的业务数据流,还要设法找到有意义的物联网小数据流,这会造成主处理器因过载而变慢,同时,过载也会导致主处理器处理主要任务的能力,因此,在该实施例中,根据第一预设特征码,判断获取的数据报文是否异常,若是,过滤该异常的数据报文,避免了网络服务器受到病毒的威胁。另外,对数据报文进行检查判断并拦截异常的数据,可大大降低服务器接收到的数据的数量,从而减轻了服务器的负载压力,避免服务器因其待处理的数据过多而导致其处理速度减慢的问题。
根据第一预设特征码,判断获取的数据报文是否含有病毒特征码,若是,直接将该数据报文删除,若否,对该数据报文进行多次过滤,避免了网络服务器受到病毒的威胁,同时对异常的数据进行拦截,也可大大降低服务器接收到的数据的数量,从而避免服务器因待处理数据过多而导致的处理速度减慢的问题。其中,第一预设特征码为构成病毒特征码的单元特征码,即第一预设特征码是病毒特征码的提炼特征码,例如,第一预设特征码可由预设的字符、代码或编码串组成,通过将该第一预设特征码和数据报文中的特征码进行匹配对比,判断获取的数据报文是否含有病毒特征码。由于病毒具有潜伏性和针对性,当根据第一预设特征码判断数据报文没有病毒特征码时,还需要再进一步的判断,即对数据报文还需要进一步病毒过滤处理,以大大降低病毒的威胁。
实施例二
优选地,作为本发明的一个实施例,在实施例一的基础上,如图2所示,步骤120中具体包括:
根据第一预设特征码,判断数据报文是否含有病毒特征码,若否,判断数据报文是否含有可疑特征码,若是,对数据报文进行二次过滤。
需要说明的是,当数据报文含有病毒特征码时,直接删除该数据报文。另外,若数据报文不含有病毒特征码,也不含有可疑特征码,则可将该数据报文推送至服务器。
实际中,第一预设特征码为构成病毒特征码的单元特征码。将第一预设特征码与数据报文中的特征码进行对比,当数据报文中的特征码在第一预设特征码中存在,则可判断该数据报文含有病毒特征码。另外,当第一预设特征码与数据报文中的特征码进行对比,发现数据报文中的特征码与第一预设特征码中的特征码类似或不完全不同,则将该数据报文标记为可疑特征码。
由于病毒具有潜伏性和针对性,为了服务器的安全起见,需要进一步对该可疑特征码进行验证,即对数据报文进行二次过滤,同时,这也把服务器的处理能量让给了安全且需要处理的数据报文,提高了服务器的整体数据处理能力和效率。
步骤120中,对数据报文进行二次过滤,具体包括:
将数据报文保存至可疑数据库,并记录可疑数据库中数据报文的个数。
当个数超过预设值时,从可疑数据库的每个数据报文中提取可疑特征码。
当提取得到的第一可疑特征码构成病毒特征码时,将第一可疑特征码对应的数据报文从可疑数据库中删除。
当提取得到的第二可疑特征码不构成病毒特征码时,将所有的第二可疑特征码对应的数据报文进行打包推送处理,
其中,第一可疑特征码和第二可疑特征码为提取得到的上述可疑特征码中的任一可疑特征码。
将数据报文保存至可疑数据库,并记录可疑数据库中数据报文的个数,当个数超过预设个数时,判断可疑数据库中可疑特征码是否构成病毒特征码,若可疑数据库中可疑特征码可构成病毒特征码,从可疑数据库中删除参与构成病毒特征码的数据报文,并对不参与构成病毒特征码的数据报文执行打包推送处理。
设置预设个数的原因,一方面,是由于数据有实效性,为了数据能够得到及时的处理,当可疑数据库中的数据达到一定数量后,即可对该可疑数据库中的数据进行处理;另一方面,预设个数也是考虑一般的病毒特征码的构成,根据病毒特征码的构成预设一个特征码个数,以便判断可疑数据库中连续的几条数据中的特征码是否可构成病毒特征码,避免了病毒特征码通过几条数据混入服务器,造成服务器受到病毒威胁的问题。
因此,将可疑数据库中的所有的数据报文的特征码放到一起,判断可疑数据库中所有的数据报文的特征码是否能够组合构成病毒特征码,并将能够组合构成病毒特征码的特征码找出,并删除这些特征码对应的数据报文,将不参与组合构成病毒特征码的特征码对应的数据报文进行打包推送至服务器。
该实施例针对可疑数据库中的数据的判断,进一步确保了进入服务器的数据是安全的,即进一步提高了进入服务器的数据的安全级别。
实施例三
优选地,作为本发明的一个实施例,如图3所示,在实施例二的基础上,步骤120中,将所有的第二可疑特征码对应的数据报文进行打包推送处理,具体包括:
步骤121、将所有的第二可疑特征码对应的数据报文加密打包成第一加密压缩包。
步骤122、将第一加密压缩包传输至服务器。
步骤123、实时对比服务器的待处理报文量和预设处理量。
步骤124、当待处理报文量小于预设处理量时,向服务器发送第一加密压缩包对应的解压缩密码,以便服务器根据解压缩密码处理第一加密压缩包中的数据报文。
需要说明的是,上述步骤编号并不代表步骤120仅包含上述步骤,步骤120具体的逻辑内容以本申请文件表述的内容为准。
由于可疑数据库中的数据是经与第一预设特征码对比后认为是可疑的数据,因此,并不能保证该数据是完全安全的,因此,在将第二可疑特征码加密打包发送给服务器后,等服务器待处理的数据不那么多或是负载压力不大的情况下,再将压缩包的密码发送给服务器,服务器再根据该密码对压缩包中的可疑数据进行处理。
该方法,一方面,保证了安全的数据能够得到及时的处理,待安全数据被处理的差不多时,可疑数据再被处理;另一方面,也能确保服务器的处理速度和效率,不至于服务器一时过载,而造成处理速度减慢。
实施例四
优选地,作为本发明的一个实施例,如图4所示,在实施例二的基础上,步骤120中,当提取得到的第二可疑特征码不构成病毒特征码时,还包括:
根据第二预设特征码,判断第二可疑特征码是否含有病毒特征码,将所有的不含有病毒特征码的第二可疑特征码对应的数据报文进行打包推送处理,其中,第二预设特征码的敏感级别高于第一预设特征码的敏感级别。
需要说明的是,第二预设特征码的敏感级别比第一预设特征码的敏感级别高,即第二预设特征码的嗅觉能力比第一预设特征码的嗅觉能力高。第二预设特征码可以是病毒特征码的提炼特征码(即能代表病毒特征码的单元特征码),也可以是能够代表病毒行为的特征码,该第二预设特征码本身其提炼程度高于第一预设特征码,其相比较第一预设特征码更有针对性,在识别数据报文中的特征码时,能精确识别可疑特征码是否为病毒特征码。
具体的,第二预设特征码可由预设的字符、代码或编码串组成,其可为病毒特征码的单元特征码,也可为能够代表病毒的一些行为特征的特征码,其具体的形式可取决于可能会遇到的或针对要过滤的病毒的特征码的形式。
根据第二预设特征码,通过匹配和对比的方式,判断第二可疑特征码是否含有病毒特征码;将所有的含有病毒特征码的第二可疑特征码对应的数据报文删除;将所有的不含有病毒特征码的第二可疑特征码对应的数据报文进行打包推送处理;其中,第二预设特征码为构成病毒特征码的单元特征码,且第二预设特征码的敏感级别高于第一预设特征码的敏感级别。该方法进一步删除了可疑的数据,减小了服务器的受到病毒威胁的概率。
在判断可疑数据库中可疑特征码是否构成病毒特征码之后,对不参与构成病毒特征码的数据报文再次进行预设特征码对比,即根据第二预设特征码判断不参与构成病毒特征码的数据报文是否含有病毒特征码,因第二预设特征码的敏感级别高于第一预设特征码的敏感级别,因此在该次对比中,若不参与构成病毒特征码的数据报文含有病毒特征码,则直接删除该数据报文,若不含有病毒特征码,则可对不参与构成所述病毒特征码的数据报文执行打包推送处理,进一步保障了服务器所接收到的数据报文为安全数据报文,提供了服务器的数据处理速度。
实施例五
优选地,作为本发明的一个实施例,如图5所示,在实施例二的基础上,步骤120中,对数据报文执行二次过滤,还可具体包括:
步骤125、根据第二预设特征码,判断数据报文是否含有病毒特征码。
步骤126、如是,删除数据报文。
步骤127、若否,判断数据报文是否含有可疑特征码。
步骤128、若是,将数据报文保存至可疑数据库,并实时监测服务器的待处理报文量。
步骤129、当待处理报文量小于预设处理量时,将可疑数据库中的数据报文加密打包成第二加密压缩包,并将第二加密压缩包和其对应的解压缩密码发送至服务器,以便服务器处理第二加密压缩包中的数据报文,其中,第二预设特征码的敏感级别高于第一预设特征码的敏感级别。
需要说明的是,上述步骤编号并不代表步骤120仅包含上述步骤,实施例三中的步骤编号和本实施例中的步骤编号之间的顺序关系不代表逻辑上的关系(即本实施例中的步骤125并不是接着实施例三中的步骤124而执行的步骤,实施例中的步骤标号仅为步骤的标识符,并不能作为执行先后顺序的判断),具体的逻辑流程以本申请文件内容表述的逻辑关系为准。
在使用第一预设特征码对数据报文进行病毒判断后,接着再用第二预设特征码进行数据报文的病毒判断,将经过第二预设特征码判断得到的可疑数据放到可疑数据库,再对可疑数据库中的数据进行打包推送处理。
具体地,打包推送流程同上述实施例四,在此不再赘述。该打包推送处理,一方面,保证了安全的数据能够得到及时的处理,待安全数据被处理的差不多时,可疑数据再被处理;另一方面,也能确保服务器的处理速度和效率,不至于服务器一时过载,而造成处理速度减慢。
当将数据报文与第一预设特征码进行比对且该数据报文含有可疑特征码时,将该数据报文与第二预设特征码进行比对,因第二预设特征码的敏感级别高于第一预设特征码的敏感级别,因此在该次对比中,若判定该数据报文含有病毒特征码,则直接删除该数据报文,若在该次比对后,仍判定该数据报文中不含有病毒特征码但含有可疑特征码,则将该数据报文暂时保存至可疑数据库,等待服务器中报文待处理量小于预设处理量时,即可将该可疑数据库中的数据报文打包发送至服务器,由服务器进行正常处理,无需等待可疑数据库中的个数达到一定预设量再打包,即在服务器的待处理量不多时,即可将可疑数据库中的数据报文发送给服务器处理,防止了数据报文在服务器中堵塞,同时提高了服务器的处理速度。
另外,需要说明的是,本实施例中的第二预设特征码与第一预设特征码的区别同实施例四,在此不再赘述。
实施例六
优选地,作为本发明的一个实施例,在实施例二~实施例五中任一实施例的基础上,将所有的第二可疑特征码对应的数据报文进行打包推送处理还包括:
对第一加密压缩包以数字标签的形式命名,以便服务器根据所述数字标签的大小顺序,依次处理第一加密压缩包。
对第一加密压缩包按照一定的规则贴标签,记录多个第一加密压缩的先后顺序,服务器根据标签可依次处理第一加密压缩包,保证了数据报文的时效性。
实施例七
优选地,作为本发明的一个实施例,在实施例二的基础上,步骤120中,对数据报文进行二次过滤,还可以具体包括:
根据第二预设特征码,判断数据报文是否含有病毒特征码,若否,将数据报文发送至服务器,其中,第二预设特征码的敏感级别高于第一预设特征码的敏感级别。
当根据第二预设特征码判断数据报文含有病毒特征码时,则删除该数据报文。
需要说明的是,本实施例中的第二预设特征码与第一预设特征码的区别同实施例四,在此不再赘述。
对含有可疑特征码的数据报文再次进行预设特征码对比,即根据第二预设特征码判断含有可疑特征码的数据报文是否含有病毒特征码,因第二预设特征码的敏感级别高于第一预设特征码的敏感级别,因此在该次对比中,若含有可疑特征码的数据报文含有病毒特征码,则直接删除该数据报文,若不含有病毒特征码,则将该数据报文发送至服务器,进一步保障了服务器所接收到的数据报文为安全数据报文,提供了服务器的数据处理速度。
上文结合图1至图5,详细描述了根据本发明实施例的数据流过滤方法,下面结合图6-8,详细描述根据本发明实施例的数据流过滤系统。
实施例八
图6为本发明实施例提供的一种数据过滤系统的结构示意图。具体如图6所示,该系统200至少包括:数据报文获取模块和数据报文过滤模块。
数据报文获取模块,用于获取数据报文。
数据报文过滤模块,用于根据第一预设特征码,判断数据报文获取模块获取的数据报文是否含有病毒特征码,若否,对数据报文进行过滤处理,第一预设特征码为构成病毒特征码的单元特征码。
在繁忙的应用程序中,服务器既要处理所有的业务数据流,还要设法找到有意义的物联网小数据流,这会造成主处理器因过载而变慢,同时,过载也会导致主处理器处理主要任务的能力,因此,在该实施例中,数据报文过滤模块根据第一预设特征码,判断获取的数据报文是否异常,若是,过滤该异常的数据报文,避免了网络服务器受到病毒的威胁。另外,数据报文过滤模块对数据报文进行检查判断并拦截异常的数据,可大大降低服务器接收到的数据的数量,从而减轻了服务器的负载压力,避免服务器因其待处理的数据过多而导致其处理速度减慢的问题。
实施例九
优选地,作为本发明的一个实施例,如图7所示,在实施例九的基础上,数据报文过滤模块包括:第一处理子模块和第二处理子模块。其中,
第一处理子模块,用于判断数据报文是否含有可疑特征码,并将第一判断结果发送至第二处理子模块。
第二处理子模块,用于接收并识别第一判断结果,若第一判断结果为数据报文含有可疑特征码,则对数据报文进行二次过滤。
需要说明的是,第一处理子模块还用于当数据报文含有病毒特征码时,直接删除该数据报文。另外,若数据报文不含有病毒特征码,也不含有可疑特征码,则第二处理子模块可将该数据报文推送至服务器。
实际中,第一预设特征码为构成病毒特征码的单元特征码。将第一预设特征码与数据报文中的特征码进行对比,当数据报文中的特征码在第一预设特征码中存在,则可判断该数据报文含有病毒特征码。另外,当第一预设特征码与数据报文中的特征码进行对比,发现数据报文中的特征码与第一预设特征码中的特征码类似或不完全不同,则将该数据报文标记为可疑特征码。
为了服务器的安全起见,第二处理子模块需要进一步对该可疑特征码进行验证,即对数据报文进行二次过滤,同时,这也把服务器的处理能量让给了安全且需要处理的数据报文,提高了服务器的整体数据处理能力和效率。
第二处理子模块包括:数据记录单元,可疑特征码提取单元,病毒检测单元和处理单元。
数据记录单元,用于将含有可疑特征码的数据报文保存至可疑数据库,并记录可疑数据库中数据报文的个数
可疑特征码提取单元,用于实时检测个数是否超过预设值,当个数超过预设值时,从可疑数据库的每个数据报文中提取可疑特征码
病毒检测单元,用于判断可疑特征码是否构成病毒特征码,并将第二判断结果发送至处理单元
处理单元,用于接收并识别第二判断结果,若提取得到的第一可疑特征码构成病毒特征码时,将第一可疑特征码对应的数据报文从可疑数据库中删除,当提取得到的第二可疑特征码不构成病毒特征码时,将所有的第二可疑特征码对应的数据报文进行打包推送处理,
其中,第一可疑特征码和第二可疑特征码为提取得到的上述可疑特征码中的任一可疑特征码。
数据记录单元将数据报文保存至可疑数据库,并记录可疑数据库中数据报文的个数,当个数超过预设个数时,病毒检测单元判断可疑数据库中可疑特征码是否构成病毒特征码,若可疑数据库中可疑特征码可构成病毒特征码,处理单元从可疑数据库中删除参与构成病毒特征码的数据报文,并对不参与构成病毒特征码的数据报文执行打包推送处理。
设置预设个数的原因,一方面,是由于数据有实效性,为了数据能够得到及时的处理,当可疑数据库中的数据达到一定数量后,即可对该可疑数据库中的数据进行处理;另一方面,预设个数也是考虑一般的病毒特征码的构成,根据病毒特征码的构成预设一个特征码个数,以便判断可疑数据库中连续的几条数据中的特征码是否可构成病毒特征码,避免了病毒特征码通过几条数据混入服务器,造成服务器受到病毒威胁的问题。
因此,病毒检测单元将可疑数据库中的所有的数据报文的特征码放到一起,判断可疑数据库中所有的数据报文的特征码是否能够组合构成病毒特征码,并且处理单元将能够组合构成病毒特征码的特征码找出,并删除这些特征码对应的数据报文,将不参与组合构成病毒特征码的特征码对应的数据报文进行打包推送至服务器。
实施例十
优选地,作为本发明的一个实施例,在实施例九的基础上,处理单元具体用于:
将所有的第二可疑特征码对应的数据报文加密打包成第一加密压缩包;将第一加密压缩包传输至服务器;实时对比服务器的待处理报文量和预设处理量;当待处理报文量小于预设处理量时,向服务器发送第一加密压缩包对应的解压缩密码,以便服务器根据解压缩密码,处理第一加密压缩包中的数据报文。
由于可疑数据库中的数据是经与第一预设特征码对比后认为是可疑的数据,因此,并不能保证该数据是完全安全的,因此,处理单元在将第二可疑特征码加密打包发送给服务器后,等服务器待处理的数据不那么多或是负载压力不大的情况下,再将压缩包的密码发送给服务器,服务器再根据该密码对压缩包中的可疑数据进行处理。
一方面,保证了安全的数据能够得到及时的处理,待安全数据被处理的差不多时,可疑数据再被处理;另一方面,也能确保服务器的处理速度和效率,不至于服务器一时过载,而造成处理速度减慢。
实施例十一
优选地,作为本发明的一个实施例,在实施例九的基础上,处理单元还用于:
根据第二预设特征码,判断第二可疑特征码是否含有病毒特征码;将所有的不含有病毒特征码的第二可疑特征码对应的数据报文进行打包推送处理;其中,第二预设特征码的敏感级别高于第一预设特征码的敏感级别。
需要说明的是,第二预设特征码的敏感级别比第一预设特征码的敏感级别高,即第二预设特征码的嗅觉能力比第一预设特征码的嗅觉能力高。第二预设特征码可以是病毒特征码的提炼特征码(即能代表病毒特征码的单元特征码),也可以是能够代表病毒行为的特征码,该第二预设特征码本身其提炼程度高于第一预设特征码,其相比较第一预设特征码更有针对性,在识别数据报文中的特征码时,能精确识别可疑特征码是否为病毒特征码。
具体的,第二预设特征码可由预设的字符、代码或编码串组成,其可为病毒特征码的单元特征码,也可为能够代表病毒的一些行为特征的特征码,其具体的形式可取决于可能会遇到的或针对要过滤的病毒的特征码的形式。
根据第二预设特征码,通过匹配和对比的方式,判断第二可疑特征码是否含有病毒特征码;将所有的含有病毒特征码的第二可疑特征码对应的数据报文删除;将所有的不含有病毒特征码的第二可疑特征码对应的数据报文进行打包推送处理;其中,第二预设特征码为构成病毒特征码的单元特征码,且第二预设特征码的敏感级别高于第一预设特征码的敏感级别。处理单元进一步删除了可疑的数据,减少了服务器的受到病毒威胁的概率。
在判断可疑数据库中可疑特征码是否构成病毒特征码之后,对不参与构成病毒特征码的数据报文再次进行预设特征码对比,即根据第二预设特征码判断不参与构成病毒特征码的数据报文是否含有病毒特征码,因第二预设特征码的敏感级别高于第一预设特征码的敏感级别,因此在该次对比中,若不参与构成病毒特征码的数据报文含有病毒特征码,则直接删除该数据报文,若不含有病毒特征码,则可对不参与构成所述病毒特征码的数据报文执行打包推送处理,进一步保障了服务器所接收到的数据报文为安全数据报文,提供了服务器的数据处理速度。
实施例十二
优选地,作为本发明的一个实施例,在实施例九的基础上,第二处理子模块还用于:
根据第二预设特征码,判断数据报文是否含有病毒特征码;如是,删除数据报文,若否,判断数据报文是否含有可疑特征码;若是,将数据报文保存至可疑数据库,并实时监测服务器的报文待处理量;当报文待处理量小于预设处理量时,将可疑数据库中的数据报文加密打包进第二加密压缩包;将第二加密压缩包和其对应的解压缩密码发送至服务器,服务器处理第二加密压缩包中的数据报文;其中,第二预设特征码的敏感级别高于第一预设特征码的敏感级别。
第二处理子模块在使用第一预设特征码对数据报文进行病毒判断后,接着再用第二预设特征码进行数据报文的病毒判断,将经过第二预设特征码判断得到的可疑数据放到可疑数据库,再对可疑数据库中的数据进行打包推送处理。
具体地,第二处理子模块打包推送流程同上述实施例十二,在此不再赘述。该第二处理子模块的打包推送处理,一方面,保证了安全的数据能够得到及时的处理,待安全数据被处理的差不多时,可疑数据再被处理;另一方面,也能确保服务器的处理速度和效率,不至于服务器一时过载,而造成处理速度减慢。
另外,需要说明的是,本实施例中的第二预设特征码与第一预设特征码的区别同实施例十一,在此不再赘述。
当第二处理子模块将数据报文与第一预设特征码进行比对且该数据报文含有可疑特征码时,第二处理子模块将该数据报文与第二预设特征码进行比对,因第二预设特征码的敏感级别高于第一预设特征码的敏感级别,因此在该次对比中,若判定该数据报文含有病毒特征码,则直接删除该数据报文,若在该次比对后,仍判定该数据报文中不含有病毒特征码但含有可疑特征码,则将该数据报文暂时保存至可疑数据库,等待服务器中报文待处理量小于预设处理量时,即可将该可疑数据库中的数据报文打包发送至服务器,由服务器进行正常处理,无需等待可疑数据库中的个数达到一定预设量再打包,即在服务器的待处理量不多时,即可将可疑数据库中的数据报文发送给服务器处理,防止了数据报文在服务器中堵塞,同时提高了服务器的处理速度。
实施例十三
优选地,作为本发明的一个实施例,在实施例十~实施例十二中任一实施例的基础上,处理单元还用于:
对第一加密压缩包以数字标签的形式命名,以便服务器根据数字标签的大小顺序,依次处理第一加密压缩包。
处理单元对第一加密压缩包按照一定的规则贴标签,记录多个第一加密压缩的先后顺序,服务器会根据标签可依次处理第一加密压缩包,保证了数据报文的处理时效性。
实施例十四
优选地,作为本发明的一个实施例,如图8所示,在实施例九的基础上,第二处理子模块包括二次过滤单元,用于根据第二预设特征码,判断数据报文是否含有病毒特征码,如是,删除数据报文,若否,将数据报文发送至服务器。
第二处理子模块的二次过滤单元在对含有可疑特征码的数据报文再次进行预设特征码对比,即根据第二预设特征码判断含有可疑特征码的数据报文是否含有病毒特征码,因第二预设特征码的敏感级别高于第一预设特征码的敏感级别,因此在该次对比中,若含有可疑特征码的数据报文含有病毒特征码,则直接删除该数据报文,若不含有病毒特征码,则将该数据报文发送至服务器,进一步保障了服务器所接收到的数据报文为安全数据报文,提供了服务器的数据处理速度。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种数据流过滤方法,其特征在于,所述方法包括:
获取数据报文;
根据第一预设特征码,判断所述数据报文是否含有病毒特征码,若否,对所述数据报文进行过滤处理,所述第一预设特征码为构成病毒特征码的单元特征码;
所述对所述数据报文进行过滤处理,具体包括:
判断所述数据报文是否含有可疑特征码,若是,将所述数据报文保存至可疑数据库,并记录所述可疑数据库中数据报文的个数;
当所述个数超过预设值时,从所述可疑数据库的每个数据报文中提取可疑特征码;
当提取得到的第一可疑特征码构成病毒特征码时,将所述第一可疑特征码对应的数据报文从所述可疑数据库中删除;
当提取得到的第二可疑特征码不构成病毒特征码时,将所有的所述第二可疑特征码对应的数据报文进行打包推送处理,
其中,所述第一可疑特征码和所述第二可疑特征码为提取得到的可疑特征码中的任一可疑特征码。
2.根据权利要求1所述的数据流过滤方法,其特征在于,所述将所有的所述第二可疑特征码对应的数据报文进行打包推送处理具体包括:
将所有的所述第二可疑特征码对应的数据报文加密打包成第一加密压缩包;
将所述第一加密压缩包传输至服务器;
实时对比所述服务器的待处理报文量和预设处理量;
当所述待处理报文量小于所述预设处理量时,向所述服务器发送所述第一加密压缩包对应的解压缩密码,以便所述服务器根据所述解压缩密码,处理所述第一加密压缩包中的数据报文。
3.根据权利要求2所述的一种数据流过滤方法,其特征在于,所述将所有的所述第二可疑特征码对应的数据报文进行打包推送处理还包括:
对所述第一加密压缩包以数字标签的形式命名,以便所述服务器根据所述数字标签的大小顺序,依次处理所述第一加密压缩包。
4.根据权利要求3所述的数据流过滤方法,其特征在于,当提取得到的第二可疑特征码不构成病毒特征码时,还包括:
根据第二预设特征码,判断所述第二可疑特征码是否含有病毒特征码;
将所有的含有病毒特征码的所述第二可疑特征码对应的数据报文删除;
将所有的不含有病毒特征码的所述第二可疑特征码对应的数据报文进行打包推送处理;
其中,所述第二预设特征码为构成病毒特征码的单元特征码,且所述第二预设特征码的敏感级别高于所述第一预设特征码的敏感级别。
5.一种数据流过滤系统,其特征在于,所述系统包括:
数据报文获取模块,用于获取数据报文;
数据报文过滤模块,用于根据第一预设特征码,判断所述数据报文获取模块获取的所述数据报文是否含有病毒特征码,若否,对所述数据报文进行过滤处理,所述第一预设特征码为构成病毒特征码的单元特征码;
所述数据报文过滤模块包括:
第一处理子模块,用于判断所述数据报文是否含有可疑特征码,并将第一判断结果发送至第二处理子模块:
所述第二处理子模块,用于接收并识别所述第一判断结果,若所述第一判断结果为所述数据报文含有可疑特征码,将含有所述可疑特征码的所述数据报文保存至可疑数据库,并记录所述可疑数据库中数据报文的个数;
可疑特征码提取单元,用于实时检测所述个数是否超过预设值,当所述个数超过预设值时,从所述可疑数据库的每个数据报文中提取可疑特征码;
病毒检测单元,用于判断所述可疑特征码是否构成病毒特征码,并将第二判断结果发送至处理单元;
所述处理单元,用于接收并识别所述第二判断结果,若提取得到的第一可疑特征码构成病毒特征码时,将所述第一可疑特征码对应的数据报文从所述可疑数据库中删除,当提取得到的第二可疑特征码不构成病毒特征码时,将所有的所述第二可疑特征码对应的数据报文进行打包推送处理,
其中,所述第一可疑特征码和所述第二可疑特征码为提取得到的可疑特征码中的任一可疑特征码。
6.根据权利要求5所述的数据流过滤系统,其特征在于,所述处理单元具体用于:
将所有的所述第二可疑特征码对应的数据报文加密打包成第一加密压缩包;
将所述第一加密压缩包传输至服务器;
实时对比所述服务器的待处理报文量和预设处理量;
当所述待处理报文量小于所述预设处理量时,向所述服务器发送所述第一加密压缩包对应的解压缩密码,以便所述服务器根据所述解压缩密码,处理所述第一加密压缩包中的数据报文。
7.根据权利要求6所述的一种数据流过滤系统,其特征在于,所述处理单元还用于:
对所述第一加密压缩包以数字标签的形式命名,以便所述服务器根据所述数字标签的大小顺序,依次处理所述第一加密压缩包。
8.根据权利要求7所述的数据流过滤系统,其特征在于,所述处理单元还用于:
根据第二预设特征码,判断所述第二可疑特征码是否含有病毒特征码;
将所有的含有病毒特征码的所述第二可疑特征码对应的数据报文删除;
将所有的不含有病毒特征码的所述第二可疑特征码对应的数据报文进行打包推送处理;
其中,所述第二预设特征码为构成病毒特征码的单元特征码,且所述第二预设特征码的敏感级别高于所述第一预设特征码的敏感级别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710875338.5A CN107689962B (zh) | 2017-09-25 | 2017-09-25 | 一种数据流过滤方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710875338.5A CN107689962B (zh) | 2017-09-25 | 2017-09-25 | 一种数据流过滤方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107689962A CN107689962A (zh) | 2018-02-13 |
CN107689962B true CN107689962B (zh) | 2021-03-19 |
Family
ID=61156546
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710875338.5A Active CN107689962B (zh) | 2017-09-25 | 2017-09-25 | 一种数据流过滤方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107689962B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102594625A (zh) * | 2012-03-07 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
CN103593614A (zh) * | 2013-11-29 | 2014-02-19 | 成都科来软件有限公司 | 一种未知病毒检索方法 |
CN105100366A (zh) * | 2015-07-13 | 2015-11-25 | 小米科技有限责任公司 | 骚扰电话号码确定方法、装置和系统 |
CN105376159A (zh) * | 2014-08-25 | 2016-03-02 | 深圳市中兴微电子技术有限公司 | 报文处理转发装置及方法 |
CN105511954A (zh) * | 2014-09-23 | 2016-04-20 | 华为技术有限公司 | 一种报文处理方法及装置 |
CN105939314A (zh) * | 2015-09-21 | 2016-09-14 | 杭州迪普科技有限公司 | 网络防护方法和装置 |
CN106506451A (zh) * | 2016-09-30 | 2017-03-15 | 百度在线网络技术(北京)有限公司 | 恶意访问的处理方法及装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9800608B2 (en) * | 2000-09-25 | 2017-10-24 | Symantec Corporation | Processing data flows with a data flow processor |
CN101616129B (zh) * | 2008-06-27 | 2012-11-21 | 成都市华为赛门铁克科技有限公司 | 防网络攻击流量过载保护的方法、装置和系统 |
CN101414914B (zh) * | 2008-11-26 | 2012-01-25 | 北京星网锐捷网络技术有限公司 | 数据内容过滤方法与装置、有限状态自动机及其构造装置 |
CN101902461B (zh) * | 2010-04-07 | 2013-01-30 | 北京星网锐捷网络技术有限公司 | 一种数据流内容过滤的方法及装置 |
CN105791245B (zh) * | 2014-12-26 | 2019-09-03 | 北京航天测控技术有限公司 | 一种数据发送、接收方法和装置 |
US9762591B2 (en) * | 2014-12-27 | 2017-09-12 | Mcafee, Inc. | Message sender authenticity validation |
-
2017
- 2017-09-25 CN CN201710875338.5A patent/CN107689962B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102594625A (zh) * | 2012-03-07 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
CN103593614A (zh) * | 2013-11-29 | 2014-02-19 | 成都科来软件有限公司 | 一种未知病毒检索方法 |
CN105376159A (zh) * | 2014-08-25 | 2016-03-02 | 深圳市中兴微电子技术有限公司 | 报文处理转发装置及方法 |
CN105511954A (zh) * | 2014-09-23 | 2016-04-20 | 华为技术有限公司 | 一种报文处理方法及装置 |
CN105100366A (zh) * | 2015-07-13 | 2015-11-25 | 小米科技有限责任公司 | 骚扰电话号码确定方法、装置和系统 |
CN105939314A (zh) * | 2015-09-21 | 2016-09-14 | 杭州迪普科技有限公司 | 网络防护方法和装置 |
CN106506451A (zh) * | 2016-09-30 | 2017-03-15 | 百度在线网络技术(北京)有限公司 | 恶意访问的处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107689962A (zh) | 2018-02-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109951500B (zh) | 网络攻击检测方法及装置 | |
CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
US10657251B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
KR100609170B1 (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
US20060191008A1 (en) | Apparatus and method for accelerating intrusion detection and prevention systems using pre-filtering | |
CN107733834B (zh) | 一种数据泄露防护方法及装置 | |
US20090013407A1 (en) | Intrusion detection system/intrusion prevention system with enhanced performance | |
CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
CN107979581B (zh) | 僵尸特征的检测方法和装置 | |
CN110266670A (zh) | 一种终端网络外联行为的处理方法及装置 | |
CN103475653A (zh) | 网络数据包的检测方法 | |
CN103841096A (zh) | 自动调整匹配算法的入侵检测方法 | |
US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
US20200329069A1 (en) | Statistical automatic detection of malicious packets in ddos attacks using an encoding scheme associated with payload content | |
CN110691072A (zh) | 分布式端口扫描方法、装置、介质、电子设备 | |
CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
CN104243407A (zh) | 一种恶意软件网络入侵检测特征码的生成方法和设备 | |
US10291632B2 (en) | Filtering of metadata signatures | |
CN108243062A (zh) | 用以在时间序列数据中探测机器启动的事件的系统 | |
CN107689962B (zh) | 一种数据流过滤方法及系统 | |
CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
Nguyen et al. | An approach to detect network attacks applied for network forensics | |
KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
EP3068101B1 (fr) | Systeme electronique de reemission securisee de messages, procede de reemission et produit programme d'ordinateur associes | |
CN113032787B (zh) | 一种系统漏洞检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |