CN110912936B - 媒体文件安全态势感知方法和防火墙 - Google Patents
媒体文件安全态势感知方法和防火墙 Download PDFInfo
- Publication number
- CN110912936B CN110912936B CN201911328465.9A CN201911328465A CN110912936B CN 110912936 B CN110912936 B CN 110912936B CN 201911328465 A CN201911328465 A CN 201911328465A CN 110912936 B CN110912936 B CN 110912936B
- Authority
- CN
- China
- Prior art keywords
- user
- type
- target
- target user
- port number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种媒体文件安全态势感知方法和防火墙,应用于防火墙,所述防火墙包括多个分析核,每一分析核用于接收来自至少一种用户类型的用户的日志报文,且不同分析核对应的用户类型互不相同,所述方法包括:每一所述分析核根据当前接收到的日志报文对应的端口号,确定所述日志报文的类型;若所述日志报文的类型为预设类型,获取所述日志报文对应的目标用户的用户类型和所述日志报文对应的媒体文件访问量;根据所述媒体文件访问量更新所述目标用户的访问量信息;根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常。
Description
技术领域
本公开涉及计算机技术领域,具体地,涉及一种媒体文件安全态势感知方法和防火墙。
背景技术
对于安全厂商而言,除了保证媒体文件信息安全传输、以及下载到本地文件系统后媒体文件的安全存储,并保证媒体文件不会被泄露以外,还需要对媒体文件的访问日志进行审查分析,从而感知风险并可以及时通知给用户,进一步提高媒体文件系统的安全性。现有技术中,通常采用在媒体文件服务器前端设置防火墙,以通过该防火墙实现上述过程。
而随着计算机技术的发展和用户量的增多,防火墙需要处理大量的日志文件。防火墙通常是采用异构平台下的多核处理机制,在用户态的CPU接收到日志之后,全部发往内核态的CPU,由内核态CPU进行全局分析处理。而通过上述技术方案,当日志文件数据过多时则会给内核态CPU造成过大的资源占用压力,并发性较低,甚至会影响正常的媒体文件传输。
发明内容
本公开的目的是提供一种准确地媒体文件安全态势感知方法和防火墙。
为了实现上述目的,本公开提供一种媒体文件安全态势感知方法,应用于防火墙,所述防火墙包括多个分析核,每一分析核用于接收来自至少一种用户类型的用户的日志报文,且不同分析核对应的用户类型互不相同,所述方法包括:
每一所述分析核根据当前接收到的日志报文对应的端口号,确定所述日志报文的类型;
若所述日志报文的类型为预设类型,获取所述日志报文对应的目标用户的用户类型和所述日志报文对应的媒体文件访问量;
根据所述媒体文件访问量更新所述目标用户的访问量信息;
根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常。
可选地,所述防火墙还包括网卡,所述多个分析核与所述网卡的多个端口号一一对应;所述方法还包括:
所述网卡接收客户端发送的端口请求,其中,所述端口请求包括用户信息和日志报文的目标类型;
根据所述目标类型和所述用户信息指示的用户类型确定目标端口号,并向所述客户端发送所述目标端口号,以使所述客户端基于所述目标端口号向与所述目标端口号对应的分析核发送所述目标类型的日志报文。
可选地,所述根据所述目标类型和所述用户信息指示的用户类型确定目标端口号,包括:
在所述目标类型为所述预设类型的情况下:
若所述用户信息指示的用户类型对应的端口号,则将与所述用户信息指示的用户类型对应的端口号作为所述目标端口号;
若所述用户信息指示的用户类型对应的端口号,将与当前负载最小的分析核对应的端口号作为所述目标端口号。
可选地,所述目标用户的访问量信息包括所述目标用户在多个监测时段内的访问量;所述方法还包括:
若确定所述目标用户对媒体文件的访问存在异常,所述分析核向审批客户端发送审批核验消息,其中,所述审批核验消息包括所述目标用户的用户信息和所述目标用户的访问量信息;
若接收到所述审批客户端发送的、用于指示所述用户为合法用户的指令,将所述目标用户在各个所述监测时段内的访问量输入局部决策树,以通过所述局部决策树确定用于更新所述目标用户的用户类型的目标用户类型,其中,所述局部决策树中包括所述分析核对应的用户类型;
若根据所述局部决策树未确定出所述目标用户类型,则将所述目标用户在各个所述监测时段内的访问量输入全局决策树,以通过所述全局决策树确定所述目标用户类型,其中,所述全局决策树中包括全部所述分析核对应的用户类型;
若根据所述全局决策树未确定出所述目标用户类型,则创建一新的用户类型作为所述目标用户类型,并将所述分析核对应的端口号作为所述目标用户类型对应的端口号;
在将所述分析核对应的端口号作为所述目标用户类型对应的端口号的步骤之后,或者在根据所述局部决策树或所述全局决策树确定出所述目标用户类型的情况下,将所述目标用户的用户类型更新为所述目标用户类型,并向所述目标用户的客户端发送与所述目标用户类型对应的端口号和所述目标用户类型,以使该客户端后续基于该端口号向该端口号对应的分析核发送日志报文。
可选地,每一所述分析核中存储有日志报文的源地址与用户类型的映射表;
所述获取所述日志报文对应的目标用户的用户类型,包括:
根据当前接收到的所述日志报文的源地址查询本地存储的所述映射表,并将所述映射表中与该源地址对应的用户类型确定为所述目标用户的用户类型。
可选地,所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常,包括:
根据属于所述目标用户的用户类型的每一用户的对应于同一访问类型的操作的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常。
可选地,所述访问类型包括读取类型,所述目标用户的访问量信息包括所述目标用户在监测时段内的读取操作对应的读取访问量;
在所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常的步骤之前,所述方法还包括:
确定所述目标用户在监测时段内的读取访问量超过所述属于所述目标用户的用户类型的各个用户在所述监测时段内的平均读取访问量,其中,所述监测时段是基于属于该用户类型的各个用户的对媒体文件的读取行为预先确定的;
所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常,包括:
根据属于所述目标用户的用户类型的每一用户在所述监测时段内的读取访问量,确定所述目标用户对媒体文件的访问是否存在异常。
本公开还提供一种防火墙,所述防火墙包括多个分析核,每一分析核用于接收来自至少一种用户类型的用户的日志报文,且不同分析核对应的用户类型互不相同,每一所述分析核用于:
根据当前接收到的日志报文对应的端口号,确定所述日志报文的类型;
若所述日志报文的类型为预设类型,获取所述日志报文对应的目标用户的用户类型和所述日志报文对应的媒体文件访问量;
根据所述媒体文件访问量更新所述目标用户的访问量信息;
根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常。
可选地,所述防火墙还包括网卡,所述多个分析核与所述网卡的多个端口号一一对应;所述网卡用于:
接收客户端发送的端口请求,其中,所述端口请求包括用户信息;
根据所述用户信息指示的用户类型确定目标端口号,并向所述客户端发送所述目标端口号,以使所述客户端基于所述目标端口号向与所述目标端口号对应的分析核发送日志报文。
可选地,所述网卡用于:
若所述用户信息指示的用户类型存在对应的端口号,则将与所述用户信息指示的用户类型对应的端口号确定为所述目标端口号;
若所述用户信息指示的用户类型不存在对应的端口号,将与当前负载最小的分析核对应的端口号确定为所述目标端口号。
可选地,所述目标用户的访问量信息包括所述目标用户在多个监测时段内的访问量;所述分析核还用于:
若确定所述目标用户对媒体文件的访问存在异常,所述分析核向审批客户端发送审批核验消息,其中,所述审批核验消息包括所述目标用户的用户信息和所述目标用户的访问量信息;
若接收到所述审批客户端发送的、用于指示所述用户为合法用户的指令,将所述目标用户在各个所述监测时段内的访问量输入局部决策树,以通过所述局部决策树确定用于更新所述目标用户的用户类型的目标用户类型,其中,所述局部决策树中包括所述分析核对应的用户类型;
若根据所述局部决策树未确定出所述目标用户类型,则将所述目标用户在各个所述监测时段内的访问量输入全局决策树,以通过所述全局决策树确定所述目标用户类型,其中,所述全局决策树中包括全部所述分析核对应的用户类型;
若根据所述全局决策树未确定出所述目标用户类型,则创建一新的用户类型作为所述目标用户类型,并将所述分析核对应的端口号作为所述目标用户类型对应的端口号;
在将所述分析核对应的端口号作为所述目标用户类型对应的端口号的步骤之后,或者在根据所述局部决策树或所述全局决策树确定出所述目标用户类型的情况下,将所述目标用户的用户类型更新为所述目标用户类型,并向所述目标用户的客户端发送与所述目标用户类型对应的端口号和所述目标用户类型,以使该客户端后续基于该端口号向该端口号对应的分析核发送日志报文。
可选地,每一所述分析核中存储有日志报文的源地址与用户类型的映射表;
所述获取所述日志报文对应的目标用户的用户类型,包括:
根据当前接收到的所述日志报文的源地址查询本地存储的所述映射表,并将所述映射表中与该源地址对应的用户类型确定为所述目标用户的用户类型。
可选地,所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常,包括:
根据属于所述目标用户的用户类型的每一用户的对应于同一访问类型的操作的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常。
可选地,所述访问类型包括读取类型,所述目标用户的访问量信息包括所述目标用户在监测时段内的读取操作对应的读取访问量;
在所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常的步骤之前,所述分析核还用于:
确定所述目标用户在监测时段内的读取访问量超过所述属于所述目标用户的用户类型的各个用户在所述监测时段内的平均读取访问量,其中,所述监测时段是基于属于该用户类型的各个用户的对媒体文件的读取行为预先确定的;
所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常,包括:
根据属于所述目标用户的用户类型的每一用户在所述监测时段内的读取访问量,确定所述目标用户对媒体文件的访问是否存在异常。
在上述技术方案中,分析核可以根据当前接收到的日志报文对应的端口号,确定日志报文的类型,从而可以根据可能存在安全威胁的日志报文进行分析,确定该日志报文对应的用户的访问量信息,并根据属于该用户的用户类型的每一用户的访问量信息,确定该用户对媒体文件的访问是否存在异常。因此,通过上述技术方案,通过确定日志报文的类型从而确定出需要进行异常分析的日志报文,从而可以在一定程度上降低报文数据处理量。并且,在本公开中,是根据属于目标用户的用户类型的每一用户的访问量信息,确定目标用户对媒体文件的访问是否存在异常,也就是说,在确定一用户的对媒体文件的访问是否存在异常时,只需要根据属于该用户的用户类型的各个用户的访问量信息即可,可以进一步降低数据的计算量。并且在本公开的技术方案中,防火墙中不同分析核对应的用户类型不同,由此可以保证属于同一个用户类型的各个用户的日志报文会对应于同一个分析核。因此,在根据属于目标用户的用户类型的每一用户的访问量信息,确定目标用户对媒体文件的访问是否存在异常时,每个分析核可以只根据其接收到的日志报文进行分析,即各个分析核完全可以并发处理且无需加锁处理,从而可以有效提高媒体文件安全态势感知的并发性和效率,进而可以及时发现潜在的安全威胁,为媒体文件系统的安全性提供支持。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1是一种防火墙的示意图;
图2是根据本公开的一种实施方式提供的媒体文件安全态势感知方法的流程图;
图3是根据本公开的一种实施方式提供的媒体文件安全态势感知方法的流程图。
具体实施方式
以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
如背景技术中所述,防火墙通常采用异构平台下的多核处理机制实现。具体地,图1所示,防火墙包括多个CPU,部分CPU(转发CPU 10)运行在用户态,可以用于从网卡20接收日志文报文;部分CPU(处理CPU30)运行在内核态,与转发CPU 10通信,接收日志报文,可以对日志文件报文进行审查分析,以便感知媒体文件的访问风险。但随着日志文件的增多,防火墙需要处理的日志报文的数据也急剧增加,通过上述方式处理日志报文时,当日志文件数据过多时则会给内核态CPU造成过大的资源占用压力,并发性较低,甚至会使得用户态和内核态的CPU传输通道堵塞,从而影响媒体文件的传输,影响媒体文件的整体性能。
基于此,经申请人研究发现,客户端发送的日志文件可以划分成两类,一类是客户端非法访问日志(为便于下文说明,记为A类),即该访问类型对应的操作在客户端就已经确定是不合法的;一类是客户端合法访问日志(为便于下文说明,记为B类),即该访问类型对应的操作在客户端被认为是合法的访问。因此,本公开提供如下方法,既可以快速准确地处理日志报文,又可以避免对媒体文件系统性能的影响。
本公开所述的防火墙可以包括多个分析核(即图1中的转发CPU)和网卡,其中,网卡用于接收日志报文,并对日志报文进行分发,以向分析核发送该日志报文;分析核运行在用户态,与网卡通信,用于从网卡接收日志报文并对日志报文进行处理。以下结合具体的实施例对本公开提供的方法进行详细说明。
图2所示,为根据本公开的一种实施方式提供的媒体文件安全态势感知方法的流程图。其中,态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式。本公开提供的媒体文件安全态势感知方法可以应用于防火墙,所述防火墙包括多个分析核,每一分析核用于接收来自至少一种用户类型的用户的日志报文,且不同分析核对应的用户类型互不相同。如图2所示,所述方法包括:
在S11中,每一分析核根据当前接收到的日志报文对应的端口号,确定日志报文的类型。
其中,该分析核可以是上文所述的运行在用户态的CPU。示例地,可以预先设置上述两类日志报文对应的端口号,从而便于对两类日志报文分别进行处理。示例地,可以根据日志报文的数量确定对应的端口号的数量。经申请人研究发现,A类日志的数量较少,因此,针对A类的日志报文可以确定其端口号为一个,示例地端口号为0;B类日志的数量较大,因此,针对B类的日志报文可以确定其端口号为多个,例如,端口号1-N。N的数值可以根据实际使用场景进行设置,本公开对此不进行限定。
因此,在分析核接收到日志报文时,若该日志报文对应的端口号为0,则可以确定该日志报文为A类,若该日志报文对应的端口号为1,则可以确定该日志报文为B类。
在S12中,若日志报文的类型为预设类型,获取日志报文对应的目标用户的用户类型和日志报文对应的媒体文件访问量。
其中,媒体文件可以是音频文件、视频文件等,该预设类型即为客户端确定为合法访问的日志类型,即上文所述的B类,本公开中通过对客户端认为合法访问的访问量进行分析,从而可以及时发现潜在的安全威胁。
示例地,可以通过对该日志报文进行解析,确定目标用户的用户类型和媒体文件访问量。其中,用户类型可以根据用户的工作职位确定。由于不同的工作职位的用户对媒体文件的访问行为习惯可能差别较大,因此在本公开的方案中,在根据用户的访问量信息进行安全态势感知时,充分考虑了不同的工作职位对用户对媒体文件的访问异常与否的影响,保证该方法的准确性。
在S13中,根据媒体文件访问量更新目标用户的访问量信息。
其中,用户的访问量信息中可以包括用户当前的访问量累计值,例如为1000M。示例地,在S12中对接收到的日志报文进行解析,确定出的该日志报文对应的媒体文件访问量为100M,则更新后用户的访问量信息为该用户当前的访问量的累计值为1100M。
在S14中,根据属于目标用户的用户类型的每一用户的访问量信息,确定目标用户对媒体文件的访问是否存在异常。
作为示例,若目标用户的当前访问量的累计值超过该目标用户的用户类型对应的最大访问量时,可以确定目标用户对媒体文件的访问存在异常。其中,目标用户的用户类型对应的最大访问量可以是通过该用户类型下的各个用户的访问量信息确定出的。示例地,用户类型U1对应用户的最大访问量为100M,用户类型U2对应的用户的最大访问量为1000M。若用户M1对应的当前访问量的累计值为300,用户M1的用户类型为U1,此时,可以确定该用户M1对媒体文件的访问存在异常。而在现有技术的方案中,由于并未考虑不同用户类型对用户对媒体文件的访问的影响,在将所有的用户的访问量信息进行统一处理时,可以由于其他类型用户的影响,未能发现该用户M1对媒体文件的访问存在异常。
因此,在确定目标用户对媒体文件的访问是否存在异常时,通过属于目标用户的用户类型的每一用户的访问量信息进行确定,从而可以避免用户类型不同对判定结果的影响。
在上述技术方案中,分析核可以根据当前接收到的日志报文对应的端口号,确定日志报文的类型,从而可以根据可能存在安全威胁的日志报文进行分析,确定该日志报文对应的用户的访问量信息,并根据属于该用户的用户类型的每一用户的访问量信息,确定该用户对媒体文件的访问是否存在异常。因此,通过上述技术方案,通过确定日志报文的类型从而确定出需要进行异常分析的日志报文,从而可以在一定程度上降低报文数据处理量。并且,在本公开中,是根据属于目标用户的用户类型的每一用户的访问量信息,确定目标用户对媒体文件的访问是否存在异常,也就是说,在确定一用户的对媒体文件的访问是否存在异常时,只需要根据属于该用户的用户类型的各个用户的访问量信息即可,可以进一步降低数据的计算量。并且在本公开的技术方案中,防火墙中不同分析核对应的用户类型不同,由此可以保证属于同一个用户类型的各个用户的日志报文会对应于同一个分析核。因此,在根据属于目标用户的用户类型的每一用户的访问量信息,确定目标用户对媒体文件的访问是否存在异常时,每个分析核可以只根据其接收到的日志报文进行分析,即各个分析核完全可以并发处理且无需加锁处理,从而可以有效提高媒体文件安全态势感知的并发性和效率,进而可以及时发现潜在的安全威胁,为媒体文件系统的安全性提供支持。
如上文所述,不同分析核对应的用户类型互不相同,以下结合具体的实施例对其进行详细说明。
可选地,所述防火墙还包括网卡,所述多个分析核与所述网卡的多个端口号一一对应。示例地,防火墙包括S个分析核,则该S个分析核可以和网卡的S个端口号一一对应,如,第i个分析核和第i个端口号对应。其中,需要进行说明的是,网卡除所述S个端口外还可以包括其他的端口。
所述方法还包括:
所述网卡接收客户端发送的端口请求,其中,所述端口请求包括用户信息和日志报文的目标类型;
根据所述目标类型和所述用户信息指示的用户类型确定目标端口号,并向所述客户端发送所述目标端口号,以使所述客户端基于所述目标端口号向与所述目标端口号对应的分析核发送目标类型的日志报文。
示例地,用户在访问媒体文件时,其可以在客户端进行登录以验证该用户身份的合法性,即用户在客户端输入账户名和密码进行登录。在用户成功登录之后,其可以通过客户端向发送端口请求,其中端口请求包括用户信息和日志报文的目标类型,则该端口请求用于请求与接收该用户对应目标类型的日志报文的端口。因此,在网卡接收到该端口请求时,可以根据该用户类型和目标类型为该用户分配用于其发送日志报文的端口,并向该客户端发送该端口的目标端口号。
可选地,在客户端接收到该目标端口号后,该客户端中的日志线程可以建立与防火墙中该目标端口号对应的端口之间的连接。因此,在从而该客户端可以通过该连接发送该目标类型的日志报文。
可选地,所述根据所述目标类型和所述用户信息指示的用户类型确定目标端口号的一种示例性实施方式如下,该步骤可以包括:
在所述目标类型为所述预设类型的情况下:
若所述用户信息指示的用户类型对应的端口号,则将与所述用户信息指示的用户类型对应的端口号作为所述目标端口号;
若所述用户信息指示的用户类型对应的端口号,将与当前负载最小的分析核对应的端口号作为所述目标端口号。
示例地,网卡初始化时,针对该预设类型的日志报文,可以预先设置用户类型和端口号之间的对应关系。例如,接收到的端口请求中,日志报文的类型为B类,用户类型为U1,此时可以查询该对应关系,若查询到对应的端口号5,则将该端口号5作为目标端口号,以便属于同一用户类型各个用户的日志报文可以对应同一端口号。若通过该对应关系查询不到对应的端口号,则可以根据各个分析核的当前负载情况确定目标端口号,即将当前负载最小的分析核对应的端口号作为所述目标端口号,从而可以保证各个分析核日志报文处理过程中的负载均衡。
例如,用户M1成功登录之后,可以向防火墙发送端口请求,其中,该端口请求中可以包括用户M1的用户信息,并且指示日志报文的类型为B类,则防火墙的网卡接收到该端口请求时,可以根据用户M1的用户类型U1和日志报文的类型B类确定目标端口号,并向客户端发送该目标端口号。
示例地,该目标端口号为Dp,客户端在发送B类的日志报文时,可以基于如下连接发送B类的日志报文:
(客户端ip,客户端端口,防火墙ip,目标端口号Dp)
其中,防火墙可以根据分析核的个数,在网卡中初始化与每一分析核一一对应的网卡队列Q,如,网卡队列Q1对应分析核1,网卡队列Qs对应分析核S。并且,通过filter set配置网卡驱动,使得网卡在接收到日志报文的目的端口号dport为指定的端口号时,将该日志报文发送至指定的网卡队列。
示例地,filter set配置如下:
配置dport=Port1的报文被分给网卡队列Q1,则该类报文被cpu1收到
配置dport=Port2的报文被分给网卡队列Q2,则该类报文被cpu2收到
配置dport=Port3的报文被分给网卡队列Q3,则该类报文被cpu3收到
…
配置dport=PortS的报文被分给网卡队列QS,则该类报文被cpuS收到
因此,客户端在发送日志报文时,其发送至目标端口号的日志报文可以被与该目标端口号对应的分析核收到,从而使得同一用户类型下的所有用户对应的日志报文只能与一个端口交互,保证属于同一用户类型的各个用户的目标类型的日志报文只能被一个分析核收到,因此,在该分析核进行安全态势感知时,只需要根据该分析接收到的日志报文进行分析即可,无需考虑其他分析核接收到的日志报文,提高防火墙处理的并发性能。
可选地,在接收到的端口请求中的目标类型不是预设类型,例如,为上文所述的A类,由于A类日志数量较少且其为客户端已经确认的非法访问的日志,针对此类日志报文,可以预先设置一端口号,且该端口号与接收预设类型的日志报文的端口号不同。即该A类的日志报文可以对应于同一端口号,且该A类的日志报文可以由内核态中的CPU进行处理。则防火墙中的网卡在接收到该端口号的报文时,由于其没有配置对应的filter,则可以基于网卡的RSS(receive side scaling)对该类日志报文进行分发,其中,该过程为现有技术,在此不再赘述。
可选地,本公开还提供以下实施例,以便于快速确定日志报文对应的目标用户的用户类型。其中,在下文所述中,若无特殊说明,日志报文均为预设类型的日志报文。其中,每一所述分析核中存储有日志报文的源地址与用户类型的映射表;所述获取所述日志报文对应的目标用户的用户类型的一种示例性实施方式如下,该步骤可以包括:
根据当前接收到的所述日志报文的源地址查询本地存储的所述映射表,并将所述映射表中与该源地址对应的用户类型确定为所述目标用户的用户类型。
作为示例,每一分析核中存储的映射表可以包含全部的用户类型,从而每一分析核在进行查询时可以无需加锁。作为另一示例,每一分析核中存储的映射表中可以只包括该分析核对应的用户类型,从而一方面可以降低映射表占用的资源,也可以根据日志报文的源地址快速且准确地确定出该用户类型,提高分析核确定用户类型的效率。
在实际使用场景中,在对用户的访问进行异常判定时,对媒体文件进行不同访问类型的操作通常影响不同。例如,通常媒体文件的下载操作耗时可能相对较长,因此,为了提高工作效率,部分用户可能在非工作期间进行媒体文件的下载,从而提升工作期间的效率。而对媒体文件的读取操作,则通常都是实时的。也就是说在非工作期间存在大量的下载访问量可能属于合法访问,而在非工作期间存在大量的读取访问量则可能属于非法访问。在该情况下,若将用户对媒体文件的下载操作和查看操作对应的访问量进行统一计算,则可能会影响对该用户的访问行为的判定结果。因此,基于此,本公开还提供以下实施例,以准确地确定目标用户对媒体文件的访问是否存在异常。
可选地,所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常的一种示例性实现方式如下,该步骤可以包括:
根据属于所述目标用户的用户类型的每一用户的对应于同一访问类型的操作的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常。
示例地,该访问类型可以读取类型或下载类型。即在该实施例中,针对于用户对媒体文件进行下载的访问量和用户对媒体文件进行读取的访问量进行分别统计和分析,从而可以提高对用户行为判定的准确性。
示例地,在分析核中,可以针对于每个用户创建一结构体用于存储该用户的访问量信息,示例地,该用户的访问量信息对应的结构体如下所示:
struct time_part{
uint64_t time_read;代表用户对应于读取类型的访问量
uint64_t time_download;代表户对应于下载类型的访问量
}
其中,所述结构体可以通过哈希表的方式进行存储,即哈希表的key为用户的ID,哈希表的value为该用户对应的结构体,可以便于快速查询到目标用户对应的结构体,从而进行更新。
示例地,可以以一天作为统计时段,从而可以基于用户每天的访问行为进行态势感知,提高态势感知的准确性,从而为保证媒体文件系统的安全性提供支持。
示例地,可以针对于每一用户类型通过机器学习预先训练一异常分析模型。示例地,可以根据属于该用户类型的每个用户对应的下载类型的访问量和该用户类型对应的平均下载访问量,以及该用户异常判定的结果对异常分析模型进行训练。其中,该异常分析模型可以根据现有的机器学习进行训练,在此不再赘述。因此,在该实施例中,可以将该用户当前的下载访问量输入该异常分析模型,根据该异常分析模型的输出结果确定目标用户对媒体文件的访问是否存在异常。示例地,该异常分析模型的结果可以是异常对应的概率,若该概率超过第一预设阈值,则确定目标用户对媒体文件的访问是否存在异常。
可选地,所述访问类型包括读取类型,所述目标用户的访问量信息包括所述目标用户在监测时段内的读取操作对应的读取访问量。其中,读取类型可以包括对视频进行查看、复制等操作。目标用户在监测时段内的读取操作对应的读取访问量为该目标用户从该监测时段的起始点起至当前时刻为止对媒体文件进行读取操作对应的访问量的累计值。
示例地,通过对用户类型U1的各个用户的访问行为进行分析,可以将一天划分成如下的监测时段:
第一监测时段:00:00-8:00,17:00-00:00;用于表示休息期间
第二监测时段:8:00-9:30,13:00-14:30;用于表示工作普通期
第三监测时段:9:30-11:30;用于表示午休期间
第四监测时段:11:30-13:00,14:30-17:00;用于表示工作高峰期
对应地,该用户的访问量信息对应的结构体可以如下所示:
struct time_part{
uint64_t time_high;代表工作高峰期的读取类型的访问量
uint64_t time_low;代表工作普通期的读取类型的访问量
uint64_t time_noon;代表午休期间的读取类型的访问量
uint64_t time_sleep;代表休息期间的读取类型的访问量
}
其中,不同用户类型对应的监测时段的划分可以相同,也可以不同,本公开对此不进行限定。
在所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常的步骤14之前,所述方法还包括:
确定所述目标用户在监测时段内的读取访问量超过所述属于所述目标用户的用户类型的各个用户在所述监测时段内的平均读取访问量,其中,所述监测时段是基于属于该用户类型的各个用户的对媒体文件的读取行为预先确定的。
其中,在本公开的技术方案中,在用户对媒体文件的访问量较低时,此时可以确定该用户对媒体文件的访问不存在异常。因此,在该实施例中,在确定所述目标用户对媒体文件的访问是否存在异常之前,先确定该用户在该监测时段内的读取访问量是否超过属于所述目标用户的用户类型的各个用户在所述监测时段内的平均读取访问量,若该用户在该监测时段内的读取访问量未超过该平均读取访问量,此时可以认为该用户对媒体文件的访问不存在异常,无需进行后续判定。在该用户在该监测时段内的读取访问量超过该平均读取访问量的情况下,表示此时该用户存在异常访问的风险,此时可以执行根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常的步骤。
可选地,针对每一分析核,可以在该分析核中维护该分析核中的各个用户类型对应的各个监测时段的平均读取访问量,从而可以在确定该用户在该监测时段内的读取访问量是否超过该属于所述目标用户的用户类型的各个用户在所述监测时段内的平均读取访问量时,可以直接获取该平均读取访问量,避免重度计算造成的计算资源的浪费。
示例地,所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常,包括:
根据属于所述目标用户的用户类型的每一用户在所述监测时段内的读取访问量,确定所述目标用户对媒体文件的访问是否存在异常。
在该实施例中,在确定目标用户对媒体文件的访问是否存在异常时,由于该用户在不同的监测时间内的读取访问量可能不同,因此,通过分时段内对应的读取访问量进行监测,可以有效提高异常确定的准确性。
示例地,针对每一用户类型的每一监测时段,可以分别训练对应的异常分析模型,其中,异常分析模型的训练方式与上文所述方式类型,在此不再赘述。
通过上述技术方案,当用户在监测时段内的读取访问量超过属于该用户的用户类型的各个用户在该监测时段内的平均读取访问量时,进行后续确定用户对媒体文件的访问是否存在异常的判断,从而可以避免进行不必要的计算,既可以节省分析核的计算资源,也可以保证媒体文件系统的访问安全性。并且,通过划分不同的监测时段对用户对媒体文件的访问进行监测,也可以及时且准确地发现潜在的安全威胁,进一步提高媒体文件安全态势感知方法的准确性。
在一种实施例中,用户类型是根据用户的工作职位预先设置的,而当用户的工作职位发生变化,或者该工作职位的用户变更了工作职责等场景下,该用户的用户类型也可能会发生变化,因此,在确定用户对媒体文件的访问存在异常时,可以通过以下方式进一步确定异常的原因,从而提高该媒体文件安全态势感知方法的适用性。
可选地,所述目标用户的访问量信息包括所述目标用户在多个监测时段内的访问量,其中,该多个监测时段是根据属于该目标用户的用户类型的各个用户的访问行为确定的。
示例地,如图3所示,在图2的基础上,所述方法还包括:
S21中,若确定目标用户对媒体文件的访问存在异常,分析核向审批客户端发送审批核验消息,其中,所述审批核验消息包括所述目标用户的用户信息和所述目标用户的访问量信息。其中,确定所述目标用户对媒体文件的访问存在异常的方式已在上文进行详述,在此不再赘述。
示例地,审批客户端为审批用户对应的客户端,在一种实施例中,可以根据异常的等级,向与该等级下的审批用户对应的客户端发送审批核验消息。可替换地或可附件地,也可以根据异常的等级对用户的访问请求进行控制。示例地,在通过异常分析模型输出用户对媒体文件的访问是否异常的同时,可以输出该异常对应的等级。示例地,可以预先设置异常对应的等级,例如:
第一等级:提示用户安全风险,需用户确认后才可以继续操作
第二等级:禁止用户继续操作,需对应上级审批后才可继续操作
第三等级:禁止用户继续操作,需信息管理员审批后才可继续操作
因此,若确定出该用户对媒体文件的访问存在异常,且异常等级为第三等级,此时则向审批客户端(即信息管理员的客户端)发送审批核验消息,以由信息管理员进行审批。并且,可以禁止用户继续操作,即控制拒绝该用户后续的访问请求。
在S22中,若接收到审批客户端发送的、用于指示用户为合法用户的指令,将目标用户在各个监测时段内的访问量输入局部决策树,以通过局部决策树确定用于更新目标用户的用户类型的目标用户类型,其中,所述局部决策树中包括所述分析核对应的用户类型。
其中,审批用户可以通过审批客户端对异常进行审批核验,若审批用户确定该目标用户的访问合法时,其可以通过审批客户端发送用于指示所述用户为合法用户的指令。而防火墙在接收到该审批结果时,表示该目标用户为合法用户,此时可以重新确定该目标用户的用户类型,从而保证该目标用户的合法访问。若审批用户确认该目标用户为非法访问,则可以发送用于指示所述用户为非法用户的指令,此时可以直接禁止该用户对媒体文件的访问。
示例地,该局部决策树可以通过该分析核对应的用户类型的各个用户的访问量信息进行预先训练。例如,在对该局部决策树训练时,可以根据该分析核中的各个用户的多个监测时段的访问量和该用户的用户类型进行训练。将用户的多个监测时段的访问量输入局部决策树,根据该局部决策树的输出类型与该用户的用户类型之间的误差进行反馈训练,从而获得可以对用户进行准确分类的局部决策树。
因此,将目标用户在各个所述监测时段内的访问量输入局部决策树,若该局部决策树输出的用户类型为空,即表示在该分析核对应的用户类型中不存在与该目标用户匹配的用户类型,若局部决策树输出的用户类型不为空,则可以将该局部决策树输出的用户类型确定为该目标用户类型。
在S23中,若根据局部决策树未确定出所述目标用户类型,则将目标用户在各个监测时段内的访问量输入全局决策树,以通过全局决策树确定目标用户类型,其中,所述全局决策树中包括全部所述分析核对应的用户类型,其中,该全局决策树的确定方式与上文所述局部决策树的确定方式类似,在此不再赘述。
在S24中,若根据全局决策树未确定出目标用户类型,则创建一新的用户类型作为目标用户类型,并将分析核对应的端口号作为目标用户类型对应的端口号。
其中,由于全局决策树中包括全部分析核对应的用户类型,因此,在根据全局决策树未确定出目标用户类型时,表示防火墙中当前没有与该用户匹配的用户类型。这种情况下可以新创建一用户类型,从而将该用户的类型更新为新创建的用户类型,以保证用户类型的准确性。并且,将分析核对应的端口号作为目标用户类型对应的端口号,即该用户更新用户类型之后对应的端口号没有发生变化,由此,可以避免该用户的客户端在后续发送日志报文时更换端口。
可选地,在创建新的用户类型之后,所述方法还可以包括:
根据该目标用户在各个监测时段内的访问量和该新创建的用户类型,更新该分析核对应的局部决策树和全局决策树,从而可以保证各个局部决策树和全局决策树的实时性和最新性,从而保证输出的用户类型的准确性。其中,更新局部决策树和全局决策树的方式与上文所述训练过程类似,在此不再赘述。
在S25中,在将分析核对应的端口号作为目标用户类型对应的端口号的步骤24之后,或者在根据局部决策树或全局决策树确定出目标用户类型的情况下,将目标用户的用户类型更新为目标用户类型,并向目标用户的客户端发送与目标用户类型对应的端口号和目标用户类型,以使该客户端后续基于该端口号向该端口号对应的分析核发送日志报文。
在该实施例中,在根据全局决策树确定出目标用户类型时,该目标用户类型对应的端口号并不是当前分析核,因此在此情况下,客户端的日志线程可以关闭与原来的端口的连接,并重新建立与该目标用户类型对应的端口号的端口建立连接。
其中,需要进行说明的是,局部决策树和全局决策树可以由一分析单元进行训练和更新,该分析单元可以为一个或多个,并可以与分析核耦合,以便于确定目标用户对应的目标用户类型。
在该实施例中,在确定出目标用户对应的目标用户类型之后,向该目标用户的客户端发送该目标用户类型以及目标用户类型对应的端口号,从而可以使得该客户端发送后续日志报文时,可以基于该更新后的端口号发送,从而保证属于同一用户类型的各个用户类型的日志报文发送至同一分析核,提高该日志报文的处理的准确性。因此,通过上述技术方案,在确定目标用户对媒体文件的访问异常时,可以通过审批客户端对该目标用户的异常进行确认,从而在确定该目标用户为合法用户时,重新确定该目标用户的用户类型,一方面可以有效提高媒体文件安全态势感知的结果的准确性,另一方面,可以保证用户类型的准确性,为确定其他用户的访问安全提供数据支持。
本公开还提供一种防火墙,所述防火墙包括多个分析核,每一分析核用于接收来自至少一种用户类型的用户的日志报文,且不同分析核对应的用户类型互不相同,每一所述分析核用于:
根据当前接收到的日志报文对应的端口号,确定所述日志报文的类型;
若所述日志报文的类型为预设类型,获取所述日志报文对应的目标用户的用户类型和所述日志报文对应的媒体文件访问量;
根据所述媒体文件访问量更新所述目标用户的访问量信息;
根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常。
可选地,所述防火墙还包括网卡,所述多个分析核与所述网卡的多个端口号一一对应;所述网卡用于:
接收客户端发送的端口请求,其中,所述端口请求包括用户信息;
根据所述用户信息指示的用户类型确定目标端口号,并向所述客户端发送所述目标端口号,以使所述客户端基于所述目标端口号向与所述目标端口号对应的分析核发送日志报文。
可选地,所述网卡用于:
若所述用户信息指示的用户类型存在对应的端口号,则将与所述用户信息指示的用户类型对应的端口号确定为所述目标端口号;
若所述用户信息指示的用户类型不存在对应的端口号,将与当前负载最小的分析核对应的端口号确定为所述目标端口号。
可选地,所述目标用户的访问量信息包括所述目标用户在多个监测时段内的访问量;所述分析核还用于:
若确定所述目标用户对媒体文件的访问存在异常,所述分析核向审批客户端发送审批核验消息,其中,所述审批核验消息包括所述目标用户的用户信息和所述目标用户的访问量信息;
若接收到所述审批客户端发送的、用于指示所述用户为合法用户的指令,将所述目标用户在各个所述监测时段内的访问量输入局部决策树,以通过所述局部决策树确定用于更新所述目标用户的用户类型的目标用户类型,其中,所述局部决策树中包括所述分析核对应的用户类型;
若根据所述局部决策树未确定出所述目标用户类型,则将所述目标用户在各个所述监测时段内的访问量输入全局决策树,以通过所述全局决策树确定所述目标用户类型,其中,所述全局决策树中包括全部所述分析核对应的用户类型;
若根据所述全局决策树未确定出所述目标用户类型,则创建一新的用户类型作为所述目标用户类型,并将所述分析核对应的端口号作为所述目标用户类型对应的端口号;
在将所述分析核对应的端口号作为所述目标用户类型对应的端口号的步骤之后,或者在根据所述局部决策树或所述全局决策树确定出所述目标用户类型的情况下,将所述目标用户的用户类型更新为所述目标用户类型,并向所述目标用户的客户端发送与所述目标用户类型对应的端口号和所述目标用户类型,以使该客户端后续基于该端口号向该端口号对应的分析核发送日志报文。
可选地,每一所述分析核中存储有日志报文的源地址与用户类型的映射表;
所述获取所述日志报文对应的目标用户的用户类型,包括:
根据当前接收到的所述日志报文的源地址查询本地存储的所述映射表,并将所述映射表中与该源地址对应的用户类型确定为所述目标用户的用户类型。
可选地,所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常,包括:
根据属于所述目标用户的用户类型的每一用户的对应于同一访问类型的操作的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常。
可选地,所述访问类型包括读取类型,所述目标用户的访问量信息包括所述目标用户在监测时段内的读取操作对应的读取访问量;
在所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常的步骤之前,所述分析核还用于:
确定所述目标用户在监测时段内的读取访问量超过所述属于所述目标用户的用户类型的各个用户在所述监测时段内的平均读取访问量,其中,所述监测时段是基于属于该用户类型的各个用户的对媒体文件的读取行为预先确定的;
所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常,包括:
根据属于所述目标用户的用户类型的每一用户在所述监测时段内的读取访问量,确定所述目标用户对媒体文件的访问是否存在异常。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。
Claims (9)
1.一种媒体文件安全态势感知方法,其特征在于,应用于防火墙,所述防火墙包括多个分析核,每一分析核用于接收来自至少一种用户类型的用户的日志报文,且不同分析核对应的用户类型互不相同,所述方法包括:
每一所述分析核根据当前接收到的日志报文对应的端口号,确定所述日志报文的类型;
若所述日志报文的类型为预设类型,获取所述日志报文对应的目标用户的用户类型和所述日志报文对应的媒体文件访问量;
根据所述媒体文件访问量更新所述目标用户的访问量信息;
根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常;
其中,所述目标用户的访问量信息包括所述目标用户在多个监测时段内的访问量,所述防火墙还包括网卡,所述多个分析核与所述网卡的多个端口号一一对应;所述方法还包括:
若确定所述目标用户对媒体文件的访问存在异常,所述分析核向审批客户端发送审批核验消息,其中,所述审批核验消息包括所述目标用户的用户信息和所述目标用户的访问量信息;
若接收到所述审批客户端发送的、用于指示所述用户为合法用户的指令,将所述目标用户在各个所述监测时段内的访问量输入局部决策树,以通过所述局部决策树确定用于更新所述目标用户的用户类型的目标用户类型,其中,所述局部决策树中包括所述分析核对应的用户类型;
若根据所述局部决策树未确定出所述目标用户类型,则将所述目标用户在各个所述监测时段内的访问量输入全局决策树,以通过所述全局决策树确定所述目标用户类型,其中,所述全局决策树中包括全部所述分析核对应的用户类型;
若根据所述全局决策树未确定出所述目标用户类型,则创建一新的用户类型作为所述目标用户类型,并将所述分析核对应的端口号作为所述目标用户类型对应的端口号;
在将所述分析核对应的端口号作为所述目标用户类型对应的端口号的步骤之后,或者在根据所述局部决策树或所述全局决策树确定出所述目标用户类型的情况下,将所述目标用户的用户类型更新为所述目标用户类型,并向所述目标用户的客户端发送与所述目标用户类型对应的端口号和所述目标用户类型,以使该客户端后续基于该端口号向该端口号对应的分析核发送日志报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述网卡接收客户端发送的端口请求,其中,所述端口请求包括用户信息和日志报文的目标类型;
根据所述目标类型和所述用户信息指示的用户类型确定目标端口号,并向所述客户端发送所述目标端口号,以使所述客户端基于所述目标端口号向与所述目标端口号对应的分析核发送所述目标类型的日志报文。
3.根据权利要求2所述的方法,其特征在于,所述根据所述目标类型和所述用户信息指示的用户类型确定目标端口号,包括:
在所述目标类型为所述预设类型的情况下:
若所述用户信息指示的用户类型存在对应的端口号,则将与所述用户信息指示的用户类型对应的端口号作为所述目标端口号;
若所述用户信息指示的用户类型不存在对应的端口号,将与当前负载最小的分析核对应的端口号作为所述目标端口号。
4.根据权利要求1所述的方法,其特征在于,每一所述分析核中存储有日志报文的源地址与用户类型的映射表;
所述获取所述日志报文对应的目标用户的用户类型,包括:
根据当前接收到的所述日志报文的源地址查询本地存储的所述映射表,并将所述映射表中与该源地址对应的用户类型确定为所述目标用户的用户类型。
5.根据权利要求1所述的方法,其特征在于,所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常,包括:
根据属于所述目标用户的用户类型的每一用户的对应于同一访问类型的操作的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常。
6.根据权利要求5所述的方法,其特征在于,所述访问类型包括读取类型,所述目标用户的访问量信息包括所述目标用户在监测时段内的读取操作对应的读取访问量;
在所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常的步骤之前,所述方法还包括:
确定所述目标用户在监测时段内的读取访问量超过所述属于所述目标用户的用户类型的各个用户在所述监测时段内的平均读取访问量,其中,所述监测时段是基于属于该用户类型的各个用户的对媒体文件的读取行为预先确定的;
所述根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常,包括:
根据属于所述目标用户的用户类型的每一用户在所述监测时段内的读取访问量,确定所述目标用户对媒体文件的访问是否存在异常。
7.一种防火墙,其特征在于,所述防火墙包括多个分析核,每一分析核用于接收来自至少一种用户类型的用户的日志报文,且不同分析核对应的用户类型互不相同,所述防火墙还包括网卡,所述多个分析核与所述网卡的多个端口号一一对应,每一所述分析核用于:
根据当前接收到的日志报文对应的端口号,确定所述日志报文的类型;
若所述日志报文的类型为预设类型,获取所述日志报文对应的目标用户的用户类型和所述日志报文对应的媒体文件访问量;
根据所述媒体文件访问量更新所述目标用户的访问量信息;
根据属于所述目标用户的用户类型的每一用户的访问量信息,确定所述目标用户对媒体文件的访问是否存在异常;
其中,所述目标用户的访问量信息包括所述目标用户在多个监测时段内的访问量;所述分析核还用于:
若确定所述目标用户对媒体文件的访问存在异常,所述分析核向审批客户端发送审批核验消息,其中,所述审批核验消息包括所述目标用户的用户信息和所述目标用户的访问量信息;
若接收到所述审批客户端发送的、用于指示所述用户为合法用户的指令,将所述目标用户在各个所述监测时段内的访问量输入局部决策树,以通过所述局部决策树确定用于更新所述目标用户的用户类型的目标用户类型,其中,所述局部决策树中包括所述分析核对应的用户类型;
若根据所述局部决策树未确定出所述目标用户类型,则将所述目标用户在各个所述监测时段内的访问量输入全局决策树,以通过所述全局决策树确定所述目标用户类型,其中,所述全局决策树中包括全部所述分析核对应的用户类型;
若根据所述全局决策树未确定出所述目标用户类型,则创建一新的用户类型作为所述目标用户类型,并将所述分析核对应的端口号作为所述目标用户类型对应的端口号;
在将所述分析核对应的端口号作为所述目标用户类型对应的端口号的步骤之后,或者在根据所述局部决策树或所述全局决策树确定出所述目标用户类型的情况下,将所述目标用户的用户类型更新为所述目标用户类型,并向所述目标用户的客户端发送与所述目标用户类型对应的端口号和所述目标用户类型,以使该客户端后续基于该端口号向该端口号对应的分析核发送日志报文。
8.根据权利要求7所述的防火墙,其特征在于,所述网卡用于:
接收客户端发送的端口请求,其中,所述端口请求包括用户信息;
根据所述用户信息指示的用户类型确定目标端口号,并向所述客户端发送所述目标端口号,以使所述客户端基于所述目标端口号向与所述目标端口号对应的分析核发送日志报文。
9.根据权利要求8所述的防火墙,其特征在于,所述网卡用于:
若所述用户信息指示的用户类型存在对应的端口号,则将与所述用户信息指示的用户类型对应的端口号确定为所述目标端口号;
若所述用户信息指示的用户类型不存在对应的端口号,将与当前负载最小的分析核对应的端口号确定为所述目标端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911328465.9A CN110912936B (zh) | 2019-12-20 | 2019-12-20 | 媒体文件安全态势感知方法和防火墙 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911328465.9A CN110912936B (zh) | 2019-12-20 | 2019-12-20 | 媒体文件安全态势感知方法和防火墙 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110912936A CN110912936A (zh) | 2020-03-24 |
| CN110912936B true CN110912936B (zh) | 2022-02-18 |
Family
ID=69827051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911328465.9A Active CN110912936B (zh) | 2019-12-20 | 2019-12-20 | 媒体文件安全态势感知方法和防火墙 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110912936B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103577307A (zh) * | 2013-11-07 | 2014-02-12 | 浙江中烟工业有限责任公司 | 基于xml规则模型的防火墙日志自动提取与分析方法 |
| CN104486098A (zh) * | 2014-11-26 | 2015-04-01 | 中国建设银行股份有限公司 | 一种访问故障监控方法及装置 |
| CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
| CN106470214A (zh) * | 2016-10-21 | 2017-03-01 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
| CN107332802A (zh) * | 2016-04-28 | 2017-11-07 | 中国移动通信集团江西有限公司 | 一种防火墙策略监控方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4405360B2 (ja) * | 2004-10-12 | 2010-01-27 | パナソニック株式会社 | ファイアウォールシステム及びファイアウォール制御方法 |
| CN107809331B (zh) * | 2017-10-25 | 2020-11-24 | 北京京东尚科信息技术有限公司 | 识别异常流量的方法和装置 |
| CN109146661A (zh) * | 2018-07-04 | 2019-01-04 | 深圳市买买提信息科技有限公司 | 用户类型预测方法、装置、电子设备及存储介质 |
-
2019
- 2019-12-20 CN CN201911328465.9A patent/CN110912936B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103577307A (zh) * | 2013-11-07 | 2014-02-12 | 浙江中烟工业有限责任公司 | 基于xml规则模型的防火墙日志自动提取与分析方法 |
| CN104486098A (zh) * | 2014-11-26 | 2015-04-01 | 中国建设银行股份有限公司 | 一种访问故障监控方法及装置 |
| CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
| CN107332802A (zh) * | 2016-04-28 | 2017-11-07 | 中国移动通信集团江西有限公司 | 一种防火墙策略监控方法及装置 |
| CN106470214A (zh) * | 2016-10-21 | 2017-03-01 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 《Linux系统下Web网站服务器反向代理设计与实现》;粟毅;《信息与电脑(理论版)》;20180925;全文 * |
| 《基于决策树的防火墙设计与实现》;李洪林;《中国硕士学位论文全文数据库 信息技术辑》;20181001;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110912936A (zh) | 2020-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11271955B2 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
| CN109076063B (zh) | 在云环境中保护动态和短期虚拟机实例 | |
| US20190207966A1 (en) | Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store | |
| US8661505B2 (en) | Policy evaluation in controlled environment | |
| EP1542426B1 (en) | Security-related programming interface | |
| US7484099B2 (en) | Method, apparatus, and product for asserting physical presence with a trusted platform module in a hypervisor environment | |
| US7788366B2 (en) | Centralized network control | |
| US8433792B2 (en) | System and method for optimization of execution of security tasks in local network | |
| US7592906B1 (en) | Network policy evaluation | |
| US7506056B2 (en) | System analyzing configuration fingerprints of network nodes for granting network access and detecting security threat | |
| US20080072049A1 (en) | Software authorization utilizing software reputation | |
| CN103404081A (zh) | 对网络业务进行采样 | |
| CN111061685A (zh) | 日志查询方法、装置、节点设备及存储介质 | |
| CN114389882B (zh) | 网关流量控制方法、装置、计算机设备及存储介质 | |
| Hessam et al. | A new approach for detecting violation of data plane integrity in Software Defined Networks | |
| CN110912936B (zh) | 媒体文件安全态势感知方法和防火墙 | |
| KR101775517B1 (ko) | 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법 | |
| CN114365089A (zh) | 用于容器虚拟化计算设备中的过载保护的方法 | |
| KR102691082B1 (ko) | 해시 기반 악성파일 판단 방법 및 이를 이용한 시스템 | |
| US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
| CN112287252B (zh) | 网站域名劫持检测方法、装置、设备及存储介质 | |
| CN114039778A (zh) | 一种请求处理方法、装置、设备及可读存储介质 | |
| EP1722531B1 (en) | Method and system for detecting malicious wireless applications | |
| EP3243313B1 (en) | System and method for monitoring a computer system using machine interpretable code | |
| CN117938962B (zh) | 用于cdn的网络请求调度方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |