CN110222503A - 一种大数据流负载下的数据库审计方法、系统与设备 - Google Patents
一种大数据流负载下的数据库审计方法、系统与设备 Download PDFInfo
- Publication number
- CN110222503A CN110222503A CN201910341964.5A CN201910341964A CN110222503A CN 110222503 A CN110222503 A CN 110222503A CN 201910341964 A CN201910341964 A CN 201910341964A CN 110222503 A CN110222503 A CN 110222503A
- Authority
- CN
- China
- Prior art keywords
- audit
- database
- data packet
- packet
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
- G06F16/90344—Query processing by using string matching techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明旨在提供一种针对大数据流负载的数据库高效审计方法、系统与设备,通过有限状态机处理机制,快速分类各种网络报文,从而简化报文预处理流,实现了系统资源的充分利用;综合优化的Hash算法、环形队列和大页面缓存,可以将网卡获取的大数据流动态分配到多个引擎进行处理,大幅提升数据包处理性能;采用控制与数据处理分离,减少了多引擎线程间的调度,提升了处理效率;采用正则匹配和二进制比较以及准确的数据解析等方法,实现了对国内外主流数据库和对SSL加密数据库的审计。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种大数据流负载下实现可适应性、高效审计的数据库审计方法及应用该方法的数据库审计系统与设备。
背景技术
随着全球信息化的不断加速,信息技术的应用越来越广泛,特别是移动互联网、社交媒体、电子商务的兴起,产生了海量的数据,数据库作为信息的基础,承载着越来越多的关键业务系统,逐渐成为商业和公共安全中重要的资产,一旦发生篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。而实际中,数据库信息资产面临着严峻的安全威胁:一方面来自企业外部的非法入侵、篡改或者盗取数据,这类威胁可以通过在业务网络入口部署防火墙、入侵防护等产品得到有效预防;另一方面的威胁来自企业内部,这种操作往往不具备攻击特征,难以被普通的信息安全防护系统识别。
数据库审计与风险控制系统,是针对业务环境下的网络操作行为进行计,它通过对访问系统的行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
目前,业务系统对数据库的访问,应用最为广泛,也是大量数据库操作的来源,从海量的数据中高效快速的审计有用信息,对审计设备来说无疑是较困难的。因此,更有必要通过一定的措施,减少设备的性能消耗,提高数据库的审计效率。
发明内容
为了解决上述的目前数据库审计存在的问题,本发明旨在提出一种针对大数据流负载的数据库高效审计方法、系统与设备,通过高效动态的数据流采集与调度、控制与数据分离的多引擎并行处理、基于有限状态机的细粒度快速内容解析算法,减少设备性能消耗,提高审计效率。
本发明采用的技术方案是:
大数据流负载下的数据库审计方法,包括环境探测、数据流采集与分流、内容解析、审计响应,数据包内容解析包括基于有限状态机的解析算法:
从网卡取到数据包后,偏移取出数据库端口,确认该端口的协议是否需要审计,若不需要则直接丢弃,若需要则将数据包放置到环形队列上;
从环形队列上取数据包,偏移取出五元组信息与应用层数据;
调用公共插件对数据包进行主机匹配,确认业务主机的数据流是否需要审计,若不需要则直接丢弃,若需要则继续传递给应用层插件解析;
应用层插件确认数据包是否与审计规则集匹配,若不匹配则直接丢弃,若匹配则将日志入库后丢弃;
结束数据包的处理;
将审计结果入库,供页面查询。
优选的,本数据库审计方法对数据库协议、互联网协议、文件类协议、运维类协议的关键字段进行解析;其中无用数据包直接丢弃,包括ICMP、ARP协议的数据包。
本数据库审计方法的数据流采集包括:
网卡驱动将封装后的数据包通过DMA映射到用户态的大内存区;
对数据包的五元组信息计算HASH值后除以环形队列数,根据所得余数将数据包依次放置到对应的环形队列上;
每个环形队列分别设置对应的分析引擎。
优选的,所述大内存区包括512个2MB缓存区,环形队列是由512个数据包指针组成的首尾相连的长链表;所述数据包放置到对应的环形队列是指将数据包指针加入到环形队列。
优选的,本发明采用正则匹配与二进制比较算法,对数据库与SSL加密数据库进行审计。
本发明还提供一种数据库审计系统,包括:
捕包模块,用于对网络数据包进行捕获和重组,并进行协议过滤;
解析模块,用于对网络数据库包进行分类过滤和解析,对重要事件和会话进行审计,同时检测数据包是否携带关键攻击特征;
响应模块,对审计事件、会话和攻击进行响应。
优选的,上述响应模块用于将审计日志上传后存储、对事件进行告警、对威胁操作进行阻断,还用于将审计日志发送至外部系统。
进一步的,响应模块通过邮件或Syslog或SNMP信息的方式将审计日志发送至外部系统。
在上述数据库审计方法与系统基础上,本发明提出一种数据库审计设备,该设备上具有数据库审计系统,包括CPU,审计系统的控制程序绑定到CPU0核,将抓包引擎绑定到CPU1核,分析引擎绑定到剩余CPU核上;在此基础上,审计方法中所述的所述环形队列数优选为(CPU核心总数-2)。
采用以上技术方案的本发明,具有以下有益效果:
通过有限状态机处理机制,快速分类各种网络报文,从而简化报文预处理流,实现了系统资源的充分利用;综合优化的Hash算法、环形队列和大页面缓存,可以将网卡获取的大数据流动态分配到多个引擎进行处理,大幅提升数据包处理性能;采用控制与数据处理分离,减少了多引擎线程间的调度,提升了处理效率;采用正则匹配和二进制比较以及准确的数据解析等方法,实现了对国内外主流数据库和对SSL加密数据库的审计。
附图说明
图1为本发明的数据库审计方法,基于有限状态机的解析算法流程图;
图2为本发明的数据库审计方法,数据流分流示意图;
图3为本发明的数据库审计系统组成结构示意图。
具体实施方式
下面结合附图对本发明的技术方案进行详细说明.
首先,大数据流负载下的数据库审计方法,包括环境探测、数据流采集与分流、内容解析、审计响应;数据包内容解析包括基于有限状态机的解析算法,如图1所示:
从网卡取到数据包后,偏移取出数据库端口,确认该端口的协议是否需要审计,若不需要则直接丢弃,若需要则将数据包放置到环形队列上;
从环形队列上取数据包,偏移取出五元组信息与应用层数据;
调用公共插件对数据包进行主机匹配,确认业务主机的数据流是否需要审计,若不需要则直接丢弃,若需要则继续传递给应用层插件解析;
应用层插件确认数据包是否与审计规则集匹配,若不匹配则直接丢弃,若匹配则将日志入库后丢弃;
结束数据包的处理;
将审计结果入库,供页面查询。
优选的,本数据库审计方法对数据库协议、互联网协议、文件类协议、运维类协议的关键字段进行解析;其中无用数据包直接丢弃,包括ICMP、ARP协议的数据包。
除了上述的设计外,引擎在大数据会话处理过程中,会依据资源规则,动态自主地回收内存、文件IO等系统资源,集中资源处理优先级较高的网络会话。通过有限状态机处理机制,各种网络报文被快速分类,报文预处理流程被大大简化,系统可以提供更多的资源进行规则匹配和分析处理,实现了系统资源的充分优化。
基于上述的有限状态机的解析算法,改进了数据流采集即调度的方法。
传统的网卡驱动对数据包的处理动作如下:
[1]数据包到达网卡设备;
[2]网卡设备依据配置进行DMA操作,DMA技术 (Direct Memory Access,直接内存存取),让网卡直接从主内存之间读写它们的I/O数据;
[3]网卡发送中断,唤醒处理器;
[4]驱动软件填充读写缓冲区数据结构;
[5]数据报文到达内核协议栈,进行高层处理;
[6]如果最终应用在用户态,则将数据从内核态转移到用户态;
[7]如果最终应用在内核态,则在内核中继续进行
如[3]所述,每一个数据报文都会触发一个中断,大量的数据到来会频繁的触发中断,从而带来大量的系统开销。同时如果最终应用在用户态,还需要将数据包从内核缓冲区复制到用户缓冲区等开销操作。除此之外,上述方案还存在设备的CPU、内存利用率不充分等问题,导致数据包处理效率不高。
为此,提出一种对大数据流负载的高效动态调度方法,总体架构图如图2所示:
网卡驱动将封装后的数据包通过DMA映射到用户态的大内存区;
对数据包的五元组信息计算HASH值后除以环形队列数,根据所得余数将数据包依次放置到对应的环形队列上;
每个环形队列分别设置对应的分析引擎。
优选的,所述大内存区包括512个2MB缓存区,环形队列是由512个数据包指针组成的首尾相连的长链表;所述数据包放置到对应的环形队列是指将数据包指针加入到环形队列。
具体的讲:
(1)抓包引擎采用大页面缓存技术抓取网络数据包:
系统启动时会创建512个2MB的大内存区,网卡驱动将数据包封装并直接通过DMA映射到用户态的大内存区中。该技术避免了系统中断以及数据包从内核态到用户态的复制开销,同时利用大页面有效的降低TLB miss。
此处说明一下TLB,即Translation Lookaside Buffer的缩写,用于虚拟地址与实地址之间的交互,提供一个寻找实地址的缓存区,能够有效减少寻找物理地址所消耗时间;TLB:Translation lookaside buffer,即旁路转换缓冲,或称为页表缓冲;里面存放的是一些页表文件(虚拟地址到物理地址的转换表);又称为快表技术,如果TLB中没有所需的页表,则称为TLB失败(TLB Miss)。
(2)基于数据流负载的分流调度:
对于抓包引擎抓取的数据包,过滤掉不需要审计的ICMP,ARP等无用数据包,再取出数据包的五元组(源IP,目的IP,源端口,目的端口,协议),将五元组信息按照哈希算法求出hash值,然后除以环形队列数N取余,按照余数依次放置到对应的环形队列上(此处需要说明的是,只将大内存区中对应数据包的指针放置到环形队列上)。
环形队列是以循环队列为原型加以改造,环形队列首尾相连,存储在环形队列里的包以时间戳为顺序排列,存储数据包的指针,也即数据包在内存中的地址。环形队列包含头尾指针各一个,头指针负责取数据包,尾指针负责存数据,当首尾指向同一个数据区域时,表示环形队列存储已满,则将头指针所指的区域内数据释放,保证数据从尾指针一直存入环形队列。
所述哈希算法优选采用CRC20哈希算法,改进键值计算规则。采用数据包五元组信息计算HASH值,可以减少哈希冲突,同时有效保证相同会话上的数据报文可以被同一个引擎处理,实现了上下文信息有效关联。
环形队列是一个由512个数据包指针组成的首尾相连的长链表,这样的设计充分利用了环形链表上数据操作的高效性与CPU、内存消耗小的特点,进一步提升了数据包处理效率。
抓包引擎将会话流(五元组信息)的哈希值与环形队列数做取余计算,根据余数将报文依次分配到不同的环形队列上,这样可以保持各个环形队列上的数据流数基本一致,从而实现均分负载;同时,由于抓包引擎共享了环形队列的信息,当某个环形队列上的负载过大时,抓包引擎会将该环形队列上的数据包转移到负载较小的环形队列上进行处理,即将对应的数据包指针加入到新环形队列上。
(3)分析引擎与环形队列一一对应:
环形队列的数目是依据设备的CPU总核数N动态计算,每个环形队列对应一个分析引擎,分析引擎从对应的环形队列上读取数据包,并进行解析处理。程序在CPU核之间切换,很容易导致因cache miss和cache write back造成的大量性能损失,为了减少CPU处理性能的损失,本发明的数据库审计方法利用CPU亲和绑定的方式,将支撑系统的主要程序绑定到的CPU0核,将抓包引擎绑定到CPU1核,分析引擎绑定到其他(N-2)CPU核上,例如,若CPU核心总数为N,则环形队列数为N-2(其余两个核心分别对应审计系统管理引擎和抓包引擎)。
将系统控制处理平面和数据处理平面进行了有效的分离,实现了各个模块之间解耦合;而且为了减少频繁中断带来的性能消耗,采用主动轮询的方式来进行大量数据的处理,有效的避免了CPU中断导致的上下文切换消耗。
通过上述的技术方案,本发明的数据库审计,在数据包处理效率方面有较大提升,64字节小包处理性能由5%提升到75.3%,性能提升10倍以上,为大数据流背景下的应用数据审计的实时性和准确性提供了保证。
本发明采用正则匹配与二进制比较算法,对数据库与SSL加密数据库进行审计:
支持一套兼容中英文的高效正则匹配算法,匹配机首先使用锚来搜索模串在匹配文本中的可能开始下标,本质上就是多模式匹配问题。这里使用AC算法对模串集合进行优化,自动调度遍历,其中遍历适合于较短文本,较简单模串的情况。匹配机实际构造了规则队列与源输入串两个动态匹配队列,构造成了一个类自动机的迭代机制,尽可能地使用剪枝的方法减少迭代次数同时每一次匹配动作尽可能地匹配较长的文本。同时二进制快速比较匹配很好得解决了某些特定情况下的特征匹配。
为了确保审计的准确性,本审计系统对每一种协议都进行了全面细粒度,精确分析。数据库协议支持40个以上关键字段的精准解析,互联网协议支持49个关键字段的精准解析,文件类协议支持38个关键字段的精准解析,运维类协议支持33个关键字段的精准解析,其他类协议支持33个关键字段的精准解析。
如图3所示,本发明还提供一种数据库审计系统,包括:
捕包模块,用于对网络数据包进行捕获和重组,并进行初步过滤;
解析模块,用于对网络数据库包进行分类过滤和解析,对重要事件和会话进行审计,同时检测数据包是否携带关键攻击特征;
响应模块,对审计事件、会话和攻击进行响应。
优选的,上述响应模块用于将审计日志上传后存储、对事件进行告警、对威胁操作进行阻断,还用于将审计日志发送至外部系统。
进一步的,响应模块通过邮件或Syslog或SNMP信息的方式将审计日志发送至外部系统。
如以上所述,本发明实现一种基于大数据流负载的可适应性多核高效分流技术的高效审计方法,经过:大数据环境探测、大数据流高速采集、大数据流自适应分流、控制与数据分离的并行多引擎处理、细粒度数据钻取及数据包快速解析等步骤能够实现大数据流负载下的动态分流,充分利用多核优势对数据进行并行处理,并可自适应调整每个核的负载,实现负载均衡;采用控制与数据分离,减少多引擎线程间的调度,提升处理效率,并通过对数据包的细粒度、多层钻取、快速解析等方法实现审计的目的。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种大数据流负载下的数据库审计方法,包括环境探测、数据流采集与分流、内容解析、审计响应,其特征在于,数据包内容解析包括基于有限状态机的解析算法:
从网卡取到数据包后,偏移取出数据库端口,确认该端口的协议是否需要审计,若不需要则直接丢弃,若需要则将数据包放置到环形队列上;
从环形队列上取数据包,偏移取出五元组信息与应用层数据;
调用公共插件对数据包进行主机匹配,确认业务主机的数据流是否需要审计,若不需要则直接丢弃,若需要则继续传递给应用层插件解析;
应用层插件确认数据包是否与审计规则集匹配,若不匹配则直接丢弃,若匹配则将日志入库后丢弃;
结束数据包的处理;
将审计结果入库,供页面查询。
2.根据权利要求1所述的数据库审计方法,其特征在于,对数据库协议、互联网协议、文件类协议、运维类协议的关键字段进行解析;其中无用数据包直接丢弃,包括ICMP、ARP协议的数据包。
3.根据权利要求1所述的数据库审计方法,其特征在于,数据流采集包括:
网卡驱动将封装后的数据包通过DMA映射到用户态的大内存区;
对数据包的五元组信息计算HASH值后除以环形队列数,根据所得余数将数据包依次放置到对应的环形队列上;
每个环形队列分别设置对应的分析引擎。
4.根据权利要求3所述的数据库审计方法,其特征在于,所述大内存区包括512个2MB缓存区,环形队列是由512个数据包指针组成的首尾相连的长链表;所述数据包放置到对应的环形队列是指将数据包指针加入到环形队列。
5.根据权利要求1所述的数据库审计方法,其特征在于,采用正则匹配与二进制比较算法,对数据库与SSL加密数据库进行审计。
6.一种数据库审计系统,其特征在于,包括:
捕包模块,用于对网络数据包进行捕获和重组,并进行协议过滤;
解析模块,用于对网络数据库包进行分类过滤和解析,对重要事件和会话进行审计,同时检测数据包是否携带关键攻击特征;
响应模块,对审计事件、会话和攻击进行响应。
7.根据权利要求6所述的数据库审计系统,其特征在于,响应模块用于将审计日志上传后存储、对事件进行告警、对威胁操作进行阻断,还用于将审计日志发送至外部系统。
8.根据权利要求7所述的数据库审计系统,其特征在于,响应模块通过邮件或Syslog或SNMP信息的方式将审计日志发送至外部系统。
9.一种数据库审计设备,具有数据库审计系统,其特征在于,包括CPU,审计系统的控制程序绑定到CPU0核,将抓包引擎绑定到CPU1核,分析引擎绑定到剩余CPU核上。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910341964.5A CN110222503A (zh) | 2019-04-26 | 2019-04-26 | 一种大数据流负载下的数据库审计方法、系统与设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910341964.5A CN110222503A (zh) | 2019-04-26 | 2019-04-26 | 一种大数据流负载下的数据库审计方法、系统与设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110222503A true CN110222503A (zh) | 2019-09-10 |
Family
ID=67819923
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910341964.5A Pending CN110222503A (zh) | 2019-04-26 | 2019-04-26 | 一种大数据流负载下的数据库审计方法、系统与设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110222503A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110908798A (zh) * | 2019-11-08 | 2020-03-24 | 丁剑明 | 多进程协同式网络流量解析方法及装置 |
CN110943985A (zh) * | 2019-11-26 | 2020-03-31 | 武汉虹信通信技术有限责任公司 | 基于5g移动通信网络的安全审计系统及方法 |
CN111782140A (zh) * | 2020-06-18 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 网络数据包存储方法、装置、计算机设备和存储介质 |
CN112380001A (zh) * | 2020-10-30 | 2021-02-19 | 网宿科技股份有限公司 | 日志输出方法、负载均衡设备及计算机可读存储介质 |
CN113055493A (zh) * | 2021-03-26 | 2021-06-29 | 广州虎牙科技有限公司 | 数据包处理方法、装置、系统、调度设备和存储介质 |
CN113626198A (zh) * | 2021-08-19 | 2021-11-09 | 上海观安信息技术股份有限公司 | 一种数据库流量负载均衡系统及方法 |
CN113709135A (zh) * | 2021-08-24 | 2021-11-26 | 杭州迪普科技股份有限公司 | Ssl流量审计采集系统与方法 |
CN116055191A (zh) * | 2023-02-02 | 2023-05-02 | 成都卓讯智安科技有限公司 | 一种网络入侵检测方法、装置、电子设备和存储介质 |
CN117527654A (zh) * | 2024-01-05 | 2024-02-06 | 珠海星云智联科技有限公司 | 一种用于网络流量抓包分析的方法及系统 |
-
2019
- 2019-04-26 CN CN201910341964.5A patent/CN110222503A/zh active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110908798A (zh) * | 2019-11-08 | 2020-03-24 | 丁剑明 | 多进程协同式网络流量解析方法及装置 |
CN110943985A (zh) * | 2019-11-26 | 2020-03-31 | 武汉虹信通信技术有限责任公司 | 基于5g移动通信网络的安全审计系统及方法 |
CN110943985B (zh) * | 2019-11-26 | 2022-03-22 | 武汉虹旭信息技术有限责任公司 | 基于5g移动通信网络的安全审计系统及方法 |
CN111782140A (zh) * | 2020-06-18 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 网络数据包存储方法、装置、计算机设备和存储介质 |
CN112380001A (zh) * | 2020-10-30 | 2021-02-19 | 网宿科技股份有限公司 | 日志输出方法、负载均衡设备及计算机可读存储介质 |
CN113055493A (zh) * | 2021-03-26 | 2021-06-29 | 广州虎牙科技有限公司 | 数据包处理方法、装置、系统、调度设备和存储介质 |
CN113626198B (zh) * | 2021-08-19 | 2024-03-26 | 上海观安信息技术股份有限公司 | 一种数据库流量负载均衡系统及方法 |
CN113626198A (zh) * | 2021-08-19 | 2021-11-09 | 上海观安信息技术股份有限公司 | 一种数据库流量负载均衡系统及方法 |
CN113709135A (zh) * | 2021-08-24 | 2021-11-26 | 杭州迪普科技股份有限公司 | Ssl流量审计采集系统与方法 |
CN113709135B (zh) * | 2021-08-24 | 2023-02-07 | 杭州迪普科技股份有限公司 | Ssl流量审计采集系统与方法 |
CN116055191A (zh) * | 2023-02-02 | 2023-05-02 | 成都卓讯智安科技有限公司 | 一种网络入侵检测方法、装置、电子设备和存储介质 |
CN116055191B (zh) * | 2023-02-02 | 2023-09-29 | 成都卓讯智安科技有限公司 | 一种网络入侵检测方法、装置、电子设备和存储介质 |
CN117527654A (zh) * | 2024-01-05 | 2024-02-06 | 珠海星云智联科技有限公司 | 一种用于网络流量抓包分析的方法及系统 |
CN117527654B (zh) * | 2024-01-05 | 2024-04-09 | 珠海星云智联科技有限公司 | 一种用于网络流量抓包分析的方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110222503A (zh) | 一种大数据流负载下的数据库审计方法、系统与设备 | |
CN110753064B (zh) | 机器学习和规则匹配融合的安全检测系统 | |
KR101409921B1 (ko) | 스위치 asic 내에 라인-레이트 애플리케이션 인식을 통합하기 위한 시스템 및 방법 | |
Santiago del Rio et al. | Wire-speed statistical classification of network traffic on commodity hardware | |
CN101771627B (zh) | 互联网实时深度包解析和控制节点设备和方法 | |
US10873534B1 (en) | Data plane with flow learning circuit | |
US8666985B2 (en) | Hardware accelerated application-based pattern matching for real time classification and recording of network traffic | |
AU2010322819B2 (en) | Processing network traffic | |
CN108701187A (zh) | 混合硬件软件分布式威胁分析 | |
CN103581363A (zh) | 对恶意域名和非法访问的控制方法及装置 | |
Emmerich et al. | FlowScope: Efficient packet capture and storage in 100 Gbit/s networks | |
CN112003920B (zh) | 一种信息共享系统 | |
US20080065588A1 (en) | Selectively Logging Query Data Based On Cost | |
Zheng et al. | Algorithms to speedup pattern matching for network intrusion detection systems | |
CN113518130B (zh) | 一种基于多核处理器的分组突发负载均衡方法及系统 | |
Lee et al. | {FloSIS}: A Highly Scalable Network Flow Capture System for Fast Retrieval and Storage Efficiency | |
Qi et al. | Towards high-performance flow-level packet processing on multi-core network processors | |
Afek et al. | Making DPI engines resilient to algorithmic complexity attacks | |
CN101030897B (zh) | 一种入侵检测中模式匹配的方法 | |
Han et al. | A multifunctional full-packet capture and network measurement system supporting nanosecond timestamp and real-time analysis | |
Elsen et al. | goProbe: a scalable distributed network monitoring solution | |
CN114020471A (zh) | 一种基于草图的轻量级大象流检测方法及平台 | |
Gill et al. | Scalanytics: A declarative multi-core platform for scalable composable traffic analytics | |
KR101308091B1 (ko) | 요약 데이터를 이용하여 로그 데이터의 정렬 정보를 생성하기 위한 장치 및 방법 | |
EP2328315A1 (en) | Processing network traffic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190910 |