CN110808972B - 数据流识别方法及装置 - Google Patents
数据流识别方法及装置 Download PDFInfo
- Publication number
- CN110808972B CN110808972B CN201911043989.3A CN201911043989A CN110808972B CN 110808972 B CN110808972 B CN 110808972B CN 201911043989 A CN201911043989 A CN 201911043989A CN 110808972 B CN110808972 B CN 110808972B
- Authority
- CN
- China
- Prior art keywords
- data
- data flow
- data packet
- abnormal
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种数据流识别方法及装置。该方法应用于网络设备,该方法包括:接收入侵防御设备发送的数据包;依据数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项;若数据流异常等级低于指定等级,则将数据包输入至与数据流异常等级匹配的数据流识别模型,依据数据流识别模型的输出结果识别数据包所属的数据流是否为异常数据流;若数据流异常等级高于指定等级,则将数据包所属的数据流识别为异常数据流。本申请在入侵防御设备的基础上,对入侵防御设备识别为非异常数据流的数据流进行补充识别,弥补了入侵防御设备对异常数据流的识别范围较小的缺陷。
Description
技术领域
本申请涉及网络安全技术,特别涉及数据流识别方法及装置。
背景技术
目前,通常利用入侵防御设备中的攻击特征库来识别异常数据流。入侵防御设备在接收到数据包后,会提取数据包的数据包特征并与攻击特征库中的攻击特征进行匹配,若匹配成功,则将该数据包所属的数据流识别为异常数据流。
由于攻击特征库中的攻击特征通常经解析已确定为异常数据流的数据包来获得,因此,虽然攻击特征库对于这些已确定的异常数据流的识别准确性较高,但其所能识别的异常数据流的范围较小,对于新出现但还未被确定为异常数据流的异常数据流以及伪装成正常数据流的异常数据流则无法识别。
发明内容
本申请提供一种数据流识别方法及装置。
本申请提供的技术方案包括:
根据本申请实施例的第一方面,提供一种数据流识别方法,应用于网络设备,该方法包括:
接收入侵防御设备发送的数据包,数据包是入侵防御设备在识别出数据包所属的数据流不为异常数据流时发送的;
依据数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项;数据包特征表项至少包括包特征信息、数据流异常等级;
若数据流异常等级低于指定等级,则将数据包输入至与数据流异常等级匹配的数据流识别模型,依据数据流识别模型的输出结果识别数据包所属的数据流是否为异常数据流;
若数据流异常等级高于指定等级,则将数据包所属的数据流识别为异常数据流。
根据本申请实施例的第二方面,提供一种数据流识别装置,应用于网络设备,该装置包括:
接收单元,用于接收入侵防御设备发送的数据包,数据包是入侵防御设备在识别出数据包所属的数据流不为异常数据流时发送的;
查找单元,用于依据数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项;数据包特征表项至少包括包特征信息、数据流异常等级;
识别单元,用于若数据流异常等级低于指定等级,则将数据包输入至与数据流异常等级匹配的数据流识别模型,依据数据流识别模型的输出结果识别数据包所属的数据流是否为异常数据流;若数据流异常等级高于指定等级,则将数据包所属的数据流识别为异常数据流。
由以上技术方案可以看出,本申请在入侵防御设备的基础上,还额外将数据流异常等级与数据流识别模型识别相结合,通过数据流异常等级来初步确定出数据流是否可能为异常数据流,再进一步通过数据流识别模型来最终确定该数据流是否是异常数据流,利用数据流识别模型来识别异常数据流可以不受固定的攻击特征的限制,进而灵活的识别出异常数据流,实现了对新出现的异常数据流以及伪装成正常数据流的异常数据流的及时识别,弥补了入侵防御设备对异常数据流的识别范围较小的缺陷。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请提供的应用场景图。
图2为本申请提供的方法流程图。
图3为本申请提供的步骤102的实现流程图。
图4为本申请提供的步骤103的实现流程图。
图5为本申请提供的装置结构示意图。
图6为本申请提供的另一装置结构示意图。
图7为本申请提供的图5所示装置的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
目前,通常利用入侵防御设备中的攻击特征库来识别异常数据流。入侵防御设备在接收到数据包后,会提取数据包的包特征信息并与攻击特征库中的攻击特征进行匹配,若匹配成功,则将该数据包所属的数据流识别为异常数据流。
由于攻击特征库中的攻击特征通常经解析已确定为异常数据流的数据包来获得,因此,虽然攻击特征库对于这些已确定的异常数据流的识别准确性较高,但其所能识别的异常数据流的范围较小,对于新出现但还未被确定为异常数据流的异常数据流以及伪装成正常数据流的异常数据流则无法识别。
有鉴于此,本申请提供一种数据流识别方法,以在现有的入侵防御设备识别出数据包所属的数据流不为异常数据流时,对该数据包所属数据流是否为异常数据流进行补充识别,弥补了入侵防御设备对异常数据流的识别范围较小的缺陷。
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本申请进行详细描述。
图1是本申请的一种应用场景示意图,如图1中所示,包括依次连接的互联网、入侵防御设备、网络设备、转发设备以及多个终端设备。在互联网中出现需转发至多个终端设备中的任一终端设备的数据包时,该数据包首先会从互联网被转发至入侵防御设备。入侵防御设备会对该数据包所属数据流是否为异常数据流进行识别,在该数据包所属数据流不为异常数据流的情况下,将该数据包转发至网络设备。网络设备在接收到该数据包后,会对其所属数据流是否为异常数据流进行二次识别,在识别该数据包所属数据流为异常数据流时,则会提取该异常数据流的数据流特征,并将数据流特征与该数据包再转发至入侵防御设备,由入侵防御设备对数据包进行防御处理,并利用数据流特征更新自身的攻击特征库。在网络设备识别出该数据包所属数据流不为异常数据流时,则将该数据包转发至转发设备,并由转发设备将该数据包转发至终端设备。
参见图2,图2为本申请提供的数据流识别方法的流程图。
作为一个示例,图2所示流程可用于网络设备,这里的网络设备可以是路由器设备或网关设备等。
如图2所示,该流程可包括以下步骤:
步骤101,接收入侵防御设备发送的数据包,数据包是入侵防御设备在识别出数据包所属的数据流不为异常数据流时发送的;
作为一个示例,这里的入侵防御设备可以是运行有IPS(Intrusion PreventionSystem,入侵防御系统)的设备,该入侵防御设备中存储有攻击特征库,该攻击特征库中的攻击特征用于对数据包的包特征信息或是对数据流的数据流特征进行匹配,并在匹配时将该数据包所属的数据流识别为异常数据流。这里的攻击特征可以是单位时间内数据流的包传输速度,也可以是数据包的源IP地址、MAC地址等,本申请并不限定入侵防御设备是通过何种攻击特征来对数据流进行识别的。
作为一个示例,入侵防御设备在对数据流进行识别时,可以至少得到三种识别结果,分别是该数据流为异常数据流,该数据流为正常数据流或是无法对该数据流进行识别。这里的异常数据流可以是指对网络设备有害的攻击数据流,也可以是携带有危害信息的数据流等。在本示例中,入侵防御设备在识别出数据包所属的数据流不为异常数据流时,即将数据包发送至网络设备。
作为一个示例,网络设备在接收到入侵防御设备发送的数据包后,即开始执行图2所示流程,而无需等待该数据包所属数据流的其他数据包也发送至网络设备。
步骤102,依据数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项;数据包特征表项至少包括包特征信息、数据流异常等级;
作为一个示例,这里的包特征信息是指能够唯一的确定数据包的信息,例如,可以是数据包的源MAC地址、目的MAC地址、源IP地址或目的IP地址中的至少一个。
作为一个示例,预设的数据包特征表可以由用户人为的设定,例如,用户可以将以往已经确定为异常数据流的源IP地址作为预设的数据包特征标记录在预设的数据包特征表中,用户也可以根据该异常数据流的危害程度为其设置相应的数据流异常等级。当然,鉴于现在已经有很多机构可以提供动态的数据包特征表,用户也可以选择使用这些机构提供的动态的数据包特征表作为预设的数据包特征表。这些动态的数据包特征表中的数据包特征以及数据流异常等级,是表所属机构对网络中大量数据包分析后得到的,因而可以根据网络中实时产生的数据流进行实时更新。此外,图3中还举例示出了另外一种数据包特征表以及查找数据包特征表项的实现方式,下文会详细描述,这里暂不赘述。
步骤103,若数据流异常等级低于指定等级,则将数据包输入至与数据流异常等级匹配的数据流识别模型,依据数据流识别模型的输出结果识别数据包所属的数据流是否为异常数据流;
作为一个示例,这里的指定等级用于区分数据流能否被直接的识别为异常数据流。若数据流异常等级低于指定等级,则表示该数据流具有一定的威胁,其可能是异常数据流。因此,需将其输入至数据流识别模型来进行识别。
需要说明的是,在具体实施时,指定等级可由用户自由设定,例如,可通过以往的异常数据流的数据流异常等级来设定,本申请并不对指定等级的具体数值做出限定。
作为一个示例,将数据包输入至与数据流异常等级匹配的数据流识别模型有多种实现方式,图4举例示出了其中一种实现方式,这里暂不赘述。
需要说明的是,在具体实施时,可根据所识别数据流的特点或设备性能等因素,灵活的选择用于识别数据流的数据流模型,本申请并不对数据流模型的具体实现方式做出限定。
步骤104,若数据流异常等级高于指定等级,则将数据包所属的数据流识别为异常数据流。
作为一个示例,在数据流异常等级高于指定等级时,则表示数据流的威胁程度很高,无需再通过数据流识别模型来进行识别,就可以直接的确定该数据流为异常数据流。
至此,完成图2中所示流程。
通过上述流程可以看出,本申请中,在入侵防御设备的基础上,还额外将数据流异常等级与数据流识别模型识别相结合,通过数据流异常等级来初步确定出数据流是否可能为异常数据流,再进一步通过数据流识别模型来最终确定该数据流是否是异常数据流,利用数据流识别模型来识别异常数据流可以不受固定的攻击特征的限制,进而灵活的识别出异常数据流,实现了对新出现的异常数据流以及伪装成正常数据流的异常数据流的及时识别,弥补了入侵防御设备对异常数据流的识别范围较小的缺陷。
下面将结合图3所示流程,对步骤102中如何依据数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项进行描述。
作为一个示例,上述步骤102中可进一步包括:数据包的包特征信息可以包括数据包的源IP地址和目的IP地址中的至少一个,预设的数据包特征表包括IP地址和信誉值,不同的信誉值表示不同的数据流异常等级。其中,预设的数据包特征表中的每个表项都包括至少一个IP地址和一个信誉值。在表项只包括一个IP地址时,该IP地址可用于与数据包的源IP地址进行匹配或与数据包的目的IP地址进行匹配。在表项包括两个IP地址时,这两个IP地址可分别用于与数据包的源IP地址和目的IP地址进行匹配。这里预设的数据包特征表可以有多种实现方式。例如,可以由用户人为的设定,用户可以将以往已经确定为异常数据流的IP地址作为前述的IP地址,同时通过不同IP地址在以往发送的异常数据流的危害程度为其设定不同的信誉值。当然,用户也可以使用市面上各机构所提供的IP地址信誉库作为预设的数据包特征表,由于IP地址信誉库中的IP地址和信誉值是所属机构通过对网络上大量数据流进行分析后得到的,因此,IP地址信誉库中的IP地址和信誉值相对比较可靠,且更新速度较快。
基于此,步骤102中,依据数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项可以包括:
步骤1021,将数据包的源IP地址和目的IP地址中的至少一个确定为关键字,在预设的数据包特征表中找到包含关键字的表项;
作为一个示例,可以根据预设的数据包特征表的表项,来判断是否要将数据包的源IP地址和目的IP地址共同确定为关键字,例如,在预设的数据包特征表的表项中只包括一个IP地址时,则可以将数据包的源IP地址或目的IP地址作为关键字。但在预设的数据包特征表的表项中包括两个IP地址时,则需要将数据包的源IP地址和目的IP地址共同确定为关键词。
需要说明的是,将数据包的源IP地址和目的IP地址共同确定为关键字时,可以按源IP地址加目的IP地址的方式、目的IP地址加源IP地址的方式或是将源IP地址和目的IP地址作为关键字的两个元素的方式等多种方式构成关键字。
作为一个示例,在预设的数据包特征表中查找包含关键字的表项时,可以有多种实现方式。例如,可以按预设顺序逐一查找,该预设顺序可以是从表头至表尾的顺序,也可以从表尾至表头的顺序。在实际实施时,本申请并对在预设的数据包特征表中查找包含关键字的表项的方式进行限定。
步骤1022,将找到的表项确定为数据包特征表项。
作为一个示例,在预设的数据包特征表中查找到包含关键字的表项后,可以将该表项确定为步骤102中的数据包特征表项。
至此,完成图3中所示流程。
参见图4,图4为本申请提供的步骤103的实现流程图。如图4所示,该流程可包括:
步骤1031,从已有的数据流异常等级与数据流识别模型标识的对应关系集合中查找到包含数据流异常等级的目标对应关系;
作为一个示例,本申请预先的设置有数据流异常等级与数据流识别模型标识的对应关系集合,该集合中至少包括一个对应关系。每一个对应关系中的数据流异常等级都可以对应有至少一个数据流识别模型标识。这里的每个数据流识别模型标识都唯一的对应有一个数据流识别模型。
步骤1032,将目标对应关系中的数据流识别模型标识所对应的数据流识别模型确定为与数据流异常等级匹配的数据流识别模型,其中,数据流异常等级越低,数据流异常等级匹配的数据流识别模型的识别精度就越高。
作为一个示例,由于每一个数据流识别模型标识都对应有一个数据流识别模型,因此,可以通过步骤1031中所确定出的数据流识别模型标识确定出相应的数据流识别模型。
作为一个示例,数据流异常等级越高,则表示该数据流异常等级对应的数据流的威胁程度就越大,该数据流就更为明显的表现为异常数据流,使用精度较低的数据流模型即可识别出该数据流识是否是异常数据流。相反的,数据流异常等级越低,则表示该数据流异常等级对应的数据流的威胁程度就越小,该数据流就更为明显的表现为正常数据流,则需要精度较高的数据流模型才能识别出该数据流识是否是异常数据流。因此,数据流异常等级越低,则数据流异常等级匹配的数据流识别模型的识别精度就越高。
需要说明的是,在数据流异常等级对应有两个或两个以上的数据流识别模型标识时,则会根据数据流识别模型标识相应的确定出两个或两个以上的数据流识别模型。在将数据包输入数据流识别模型时,需要将数据包分别的输入每一个确定出的数据流识别模型。
还需要说明的是,在入侵防御设备发送的数据包较少时,即使这些数据包所属的数据流为异常数据流,但由于数据包数量较少,在输入至数据流识别模型后无法对其进行正确的识别,因此会得到这些数据包所属的数据流不为异常数据流的错误识别结果。但由于数据包的发送通常是连续的,因此,可通过将该数据流后续的数据包输入至数据流识别模型,进而识别出该数据流为异常数据流。
至此,完成图4中所示流程。
为便于理解,本申请通过两种具体实现方式来举例描述如何识别出数据包所属数据流为异常数据流。
实现方式1:
步骤a,这里以入侵防御设备中攻击特征库为IP地址为例进行说明。入侵防御设备接收到数据包111,该数据包111的报文头中携带有源IP地址192.168.3.3。入侵防御设备解析该数据包111以获得其携带的源IP地址192.168.3.3,并将源IP地址192.168.3.3与攻击特征库中的攻击特征进行匹配。这里会产生至少三种匹配结果,一是源IP地址192.168.3.3匹配到相应的攻击特征,进而将该数据包111所属数据流识别为异常数据流,并可将该数据包111丢弃。其余两种结果则是源IP地址192.168.3.3无法进行匹配或是源IP地址192.168.3.3未匹配到相应的攻击特征,进而产生无法对数据包111所属数据流进行识别和识别数据包111所属数据流为正常数据流的两种情况。在这两种情况下,入侵防御设备会将该数据包111发送至网络设备,做进一步的识别。
步骤b,网络设备接收到入侵防御设备发送的数据包111。这里以包特征信息为源IP地址为例进行说明。网络设备解析该数据包111以获得包特征信息,其携带的包特征信息为源IP地址192.168.3.3。网络设备利用该包特征信息在预设的数据包特征表中找到对应的数据包特征表项,例如该表项可以包括有IP地址192.168.3.3和数据流异常等级8级。
步骤c,将步骤b中得到的数据流异常等级4级与指定等级进行比较,若数据流异常等级4级高于指定等级则进入步骤d,若数据流异常等级4级低于指定等级则继续执行本步骤。例如,指定等级可以是6级,则会得到数据流异常等级4级高于指定等级6级的比较结果。在数据流异常等级4低于指定等级6时,确定与数据流异常等级4级所匹配的数据流识别模型,例如数据流识别模型A。将数据包111输入确定出的数据流识别模型A进而得到识别结果。例如,得到识别结果可以为1或0,这里的识别结果1可以表示该数据包所属的数据流为异常数据流,识别结果0可以表示该数据包所属的数据流不为异常数据流。
步骤d,若数据流异常等级4级高于指定等级则会进入本步骤,例如,数据流异常等级8级高于指定等级6级。在数据流异常等级8级高于指定等级6级时,则会直接的将数据包111所属的数据流直接的识别为异常数据流,而无需通过数据流识别模型的识别。
实现方式2:
实现方式2与实现方式1的区别在于步骤b与步骤c存在不同,下面对实现方式2中的步骤b1和步骤c1进行描述。
步骤b1,这里以数据包的包特征信息包括数据包的目的IP地址、预设的数据包特征表包括IP地址和信誉值为例进行说明,这里不同的信誉值表示不同的数据流异常等级。网络设备接收到入侵防御设备发送的数据包111,解析该数据包111得到目的IP地址,例如,目的IP地址为192.11.13.15。将该目的IP地址192.11.13.15作为关键字在预设的数据包特征表中查找包含IP地址192.11.13.15的表项,例如,该表项中记录有IP地址192.11.13.15和信誉值68。该信誉值68则可以表示数据流异常等级为6级,即确定出该数据包所属数据流的数据流异常等级为6级。
步骤c1,利用步骤b1中得到的数据流异常等级6级,在数据流异常等级与数据流识别模型标识的对应关系集合中,查找数据流异常等级为6级的对应关系,例如,该对应关系可以为:数据流异常等级6级-数据流识别模型标识1、数据流识别模型标识2和数据流识别模型标识3,这里的“-”表示对应,这里的数据流识别模型标识1对应于数据流识别模型A、数据流识别模型标识2对应于数据流识别模型B、数据流识别模型标识3对应于数据流识别模型C。将数据包111分别的输入数据流识别模型A、数据流识别模型B和数据流识别模型C中,则可以得到三个识别结果。可以在三个识别结果都表示该数据包所属数据流为异常数据流时,认定该数据包所属数据流为异常数据流,也可以在两个识别结果表示该数据包所属数据流为异常数据流时,就认定该数据包所属数据流为异常数据流。
在本申请识别出数据包所属数据流为异常数据流后,则可以提取该异常数据流的数据流特征用于后续的数据流防御,下面具体描述:
作为一个示例,确定数据包所属的数据流为异常数据流时,提取异常数据流的数据流特征,并将提取到的数据流特征发送至入侵防御设备,以更新入侵防御设备中的攻击特征库。在提取数据流特征时,由于在该数据包之前的其他数据包已经被转发或是拦截,因此,可以通过该数据包所属数据流的后续数据包来提取数据流特征。这里的数据流特征可以数据流的包传输速度,也可以是数据包的源IP地址、MAC地址等,本申请并不限定具体提取何种数据流特征。将提取到的数据流特征发送至入侵防御设备后,入侵防御设备会将该数据流特征添加至攻击特征库中,以实现对攻击特征库的更新。
本示例中,由于能够将异常数据流的数据流特征发送至入侵防御设备,进而实现对入侵防御设备中攻击特征库的更新,解决了入侵防御设备中攻击特征库的更新频率较慢的问题。同时,入侵防御设备在得到异常数据流的数据流特征后,也可以直接的使用该数据流特征对该异常数据流进行识别和防御,提高了对于异常数据流的识别和防御效率。
在本申请识别出数据包所属数据流为异常数据流后,还可以将数据包发送入侵防御设备进行防御处理,下面具体描述:
作为一个示例,确定数据包所属的数据流为异常数据流时,将数据包发送至入侵防御设备,以使入侵防御设备对数据包执行防御策略处理。这里的防御策略可以根据数据包的源IP地址段、目的IP地址段或数据包类型等信息来设定,本申请并不对防御策略的具体实现方式进行限定。
与前述报文转发方法的实施例相对应,本申请还提供了数据流识别装置的实施例。
本申请数据流识别装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网络设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图7所示,为本申请数据流识别装置所在网络设备的一种硬件结构图,除了图7所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的网络设备通常根据该网络设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图5,图5为本申请提供的数据流识别装置结构图,该数据流识别装置包括:
接收单元510,用于接收入侵防御设备发送的数据包,数据包是入侵防御设备在识别出数据包所属的数据流不为异常数据流时发送的;
查找单元420,用于依据数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项;数据包特征表项至少包括包特征信息、数据流异常等级;
识别单元530,用于若数据流异常等级低于指定等级,则将数据包输入至与数据流异常等级匹配的数据流识别模型,依据数据流识别模型的输出结果识别数据包所属的数据流是否为异常数据流;若数据流异常等级高于指定等级,则将数据包所属的数据流识别为异常数据流。
作为一个示例,数据包的包特征信息包括数据包的源IP地址和目的IP地址中的至少一个;
预设的数据包特征表包括IP地址和信誉值,不同的信誉值表示不同的数据流异常等级;
查找单元520依据数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项包括:
数据包的源IP地址和目的IP地址中的至少一个为关键字在预设的数据包特征表中找到包含关键字的表项。
作为一个示例,识别单元530将数据包输入至与数据流异常等级匹配的数据流识别模包括:
从已有的数据流异常等级与数据流识别模型标识的对应关系集合中查找到包含数据流异常等级的目标对应关系;
将目标对应关系中的数据流识别模型标识所对应的数据流识别模型确定为与数据流异常等级匹配的数据流识别模型,其中,数据流异常等级越高,数据流异常等级匹配的数据流识别模型的识别精度就越高。
至此,完成图5所示装置的描述。
作为一个示例,参见图6,该装置进一步包括:
数据流特征发送单元540,用于确定数据包所属的数据流为异常数据流时,提取异常数据流的数据流特征,并将提取到的数据流特征发送至入侵防御设备,以更新入侵防御设备中的攻击特征库。
作为一个示例,参见图6,该装置进一步包括:
数据包发送单元550,用于确定数据包所属的数据流为异常数据流时,将数据包发送至入侵防御设备,以使入侵防御设备对数据包执行防御策略处理。
至此,完成图6所示装置的描述。
参见图7,图7为本申请数据流识别装置所在网络设备的一种硬件结构图,该硬件结构包括:处理器和存储器。
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如图2所示的数据流识别方法。
作为一个实施例,存储器可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,存储器可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,存储器可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图7所示设备的描述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种数据流识别方法,其特征在于,应用于网络设备,所述方法包括:
接收入侵防御设备发送的数据包,所述数据包是所述入侵防御设备在识别出所述数据包所属的数据流不为异常数据流时发送的;
依据所述数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项;数据包特征表项至少包括包特征信息、数据流异常等级;
若所述数据流异常等级低于指定等级,则从已有的数据流异常等级与数据流识别模型标识的对应关系集合中查找到包含所述数据流异常等级的目标对应关系;
将所述目标对应关系中的数据流识别模型标识所对应的数据流识别模型确定为与所述数据流异常等级匹配的数据流识别模型,其中,数据流异常等级越低,数据流异常等级匹配的数据流识别模型的识别精度就越高;
将所述数据包输入至与所述数据流异常等级匹配的数据流识别模型,依据所述数据流识别模型的输出结果识别所述数据包所属的数据流是否为异常数据流;
若所述数据流异常等级高于所述指定等级,则将所述数据包所属的数据流识别为异常数据流。
2.根据权利要求1所述的方法,其特征在于,所述数据包的包特征信息包括所述数据包的源IP地址和目的IP地址中的至少一个;
预设的数据包特征表包括IP地址和信誉值,不同的信誉值表示不同的数据流异常等级;
依据所述数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项包括:
将所述数据包的源IP地址和目的IP地址中的至少一个确定为关键字,在所述预设的数据包特征表中找到包含所述关键字的表项;
将找到的表项确定为所述数据包特征表项。
3.根据权利要求1至2任一项所述的方法,其特征在于,该方法进一步包括:
确定所述数据包所属的数据流为异常数据流时,提取所述异常数据流的数据流特征,并将提取到的所述数据流特征发送至所述入侵防御设备,以更新所述入侵防御设备中的攻击特征库。
4.根据权利要求1至2任一项所述的方法,其特征在于,该方法进一步包括:
确定所述数据包所属的数据流为异常数据流时,将所述数据包发送至所述入侵防御设备,以使所述入侵防御设备对所述数据包执行防御策略处理。
5.一种数据流识别装置,其特征在于,应用于网络设备,所述装置包括:
接收单元,用于接收入侵防御设备发送的数据包,所述数据包是所述入侵防御设备在识别出所述数据包所属的数据流不为异常数据流时发送的;
查找单元,用于依据所述数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项;数据包特征表项至少包括包特征信息、数据流异常等级;
识别单元,用于若所述数据流异常等级低于指定等级,则从已有的数据流异常等级与数据流识别模型标识的对应关系集合中查找到包含所述数据流异常等级的目标对应关系;
将所述目标对应关系中的数据流识别模型标识所对应的数据流识别模型确定为与所述数据流异常等级匹配的数据流识别模型,其中,数据流异常等级越低,数据流异常等级匹配的数据流识别模型的识别精度就越高;
将所述数据包输入至与所述数据流异常等级匹配的数据流识别模型,依据所述数据流识别模型的输出结果识别所述数据包所属的数据流是否为异常数据流;若所述数据流异常等级高于所述指定等级,则将所述数据包所属的数据流识别为异常数据流。
6.根据权利要求5所述的装置,其特征在于,所述数据包的包特征信息包括所述数据包的源IP地址和目的IP地址中的至少一个;
预设的数据包特征表包括IP地址和信誉值,不同的信誉值表示不同的数据流异常等级;
所述查找单元依据所述数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项包括:
所述数据包的源IP地址和目的IP地址中的至少一个为关键字在所述预设的数据包特征表中找到包含所述关键字的表项。
7.根据权利要求5至6任一项所述的装置,其特征在于,该装置进一步包括:
数据流特征发送单元,用于确定所述数据包所属的数据流为异常数据流时,提取所述异常数据流的数据流特征,并将提取到的所述数据流特征发送至所述入侵防御设备,以更新所述入侵防御设备中的攻击特征库。
8.根据权利要求5至6任一项所述的方法,其特征在于,该装置进一步包括:
数据包发送单元,用于确定所述数据包所属的数据流为异常数据流时,将所述数据包发送至所述入侵防御设备,以使所述入侵防御设备对所述数据包执行防御策略处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911043989.3A CN110808972B (zh) | 2019-10-30 | 2019-10-30 | 数据流识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911043989.3A CN110808972B (zh) | 2019-10-30 | 2019-10-30 | 数据流识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110808972A CN110808972A (zh) | 2020-02-18 |
| CN110808972B true CN110808972B (zh) | 2021-12-24 |
Family
ID=69489762
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911043989.3A Active CN110808972B (zh) | 2019-10-30 | 2019-10-30 | 数据流识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110808972B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111817875B (zh) * | 2020-06-03 | 2022-06-28 | 华为技术有限公司 | 检测网络故障的方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808078A (zh) * | 2009-02-13 | 2010-08-18 | 北京启明星辰信息技术股份有限公司 | 一种具备主动防御能力的入侵防御系统及方法 |
| CN105491063A (zh) * | 2015-12-30 | 2016-04-13 | 深圳市深信服电子科技有限公司 | 防御网络入侵的方法及装置 |
| CN106254353A (zh) * | 2016-08-05 | 2016-12-21 | 杭州迪普科技有限公司 | 入侵防护策略的更新方法及装置 |
| CN106789904A (zh) * | 2016-11-23 | 2017-05-31 | 北京邮电大学 | 物联网入侵检测方法及装置 |
| CN108011782A (zh) * | 2017-12-06 | 2018-05-08 | 北京百度网讯科技有限公司 | 用于推送告警信息的方法和装置 |
| CN108156166A (zh) * | 2017-12-29 | 2018-06-12 | 百度在线网络技术(北京)有限公司 | 异常访问识别和接入控制方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9576262B2 (en) * | 2012-12-05 | 2017-02-21 | Microsoft Technology Licensing, Llc | Self learning adaptive modeling system |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
| US10949535B2 (en) * | 2017-09-29 | 2021-03-16 | Microsoft Technology Licensing, Llc | Security model training and threshold selection |
-
2019
- 2019-10-30 CN CN201911043989.3A patent/CN110808972B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808078A (zh) * | 2009-02-13 | 2010-08-18 | 北京启明星辰信息技术股份有限公司 | 一种具备主动防御能力的入侵防御系统及方法 |
| CN105491063A (zh) * | 2015-12-30 | 2016-04-13 | 深圳市深信服电子科技有限公司 | 防御网络入侵的方法及装置 |
| CN106254353A (zh) * | 2016-08-05 | 2016-12-21 | 杭州迪普科技有限公司 | 入侵防护策略的更新方法及装置 |
| CN106789904A (zh) * | 2016-11-23 | 2017-05-31 | 北京邮电大学 | 物联网入侵检测方法及装置 |
| CN108011782A (zh) * | 2017-12-06 | 2018-05-08 | 北京百度网讯科技有限公司 | 用于推送告警信息的方法和装置 |
| CN108156166A (zh) * | 2017-12-29 | 2018-06-12 | 百度在线网络技术(北京)有限公司 | 异常访问识别和接入控制方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| "Dual-Level Attack Detection and Characterization for Networks under DDoS";A. Sardana and R. C. Joshi;《2010 International Conference on Availability, Reliability and Security》;20101231;9-16页 * |
| 一种自适应的多级入侵检测模型;赵岚等;《计算机安全》;20131015(第10期);9-14页 * |
| 网络预警自适性入侵检测系统设计与实现;刘佳;《软件导刊》;20180315(第03期);214-217页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110808972A (zh) | 2020-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11178114B2 (en) | Data processing method, device, and system | |
| US20130312101A1 (en) | Method for simulation aided security event management | |
| US8239341B2 (en) | Method and apparatus for pattern matching | |
| US10659486B2 (en) | Universal link to extract and classify log data | |
| US8336098B2 (en) | Method and apparatus for classifying harmful packet | |
| CN109255237B (zh) | 安全事件关联分析方法及装置 | |
| CN112118249B (zh) | 基于日志和防火墙的安全防护方法及装置 | |
| CN115865525A (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN110808972B (zh) | 数据流识别方法及装置 | |
| CN112351002B (zh) | 一种报文检测方法、装置及设备 | |
| US20030220996A1 (en) | Method for controlling network access for fragments | |
| US20220231945A1 (en) | Message matching table lookup method, system, storage medium, and terminal | |
| CN110752996A (zh) | 一种报文转发方法及装置 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN114297010A (zh) | 一种业务板卡检测方法和装置 | |
| KR100951930B1 (ko) | 부적절한 패킷의 분류 방법 및 장치 | |
| US11133977B2 (en) | Anonymizing action implementation data obtained from incident analysis systems | |
| CN111049948B (zh) | 域名检测方法和装置 | |
| US10936488B1 (en) | Incident response in an information technology environment using cached data from external services | |
| KR101802443B1 (ko) | 컴퓨터 수행 가능한 침입탐지방법, 시스템 및 컴퓨터 판독 가능한 기록매체 | |
| CN111353018A (zh) | 基于深度包检测的数据处理方法、装置和网络设备 | |
| CN118157877A (zh) | 一种ipv6源防护方法、装置及存储介质 | |
| CN113179176B (zh) | 一种日志处理方法、装置、设备及机器可读存储介质 | |
| CN114244809B (zh) | 用于检测目标网络中主机失陷等级的方法及装置 | |
| WO2023284809A1 (zh) | 设备识别的方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |