CN111314373A - 一种报文监控方法及装置 - Google Patents
一种报文监控方法及装置 Download PDFInfo
- Publication number
- CN111314373A CN111314373A CN202010148349.5A CN202010148349A CN111314373A CN 111314373 A CN111314373 A CN 111314373A CN 202010148349 A CN202010148349 A CN 202010148349A CN 111314373 A CN111314373 A CN 111314373A
- Authority
- CN
- China
- Prior art keywords
- message
- bitmap
- data
- data message
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书提供一种报文监控方法及装置,其中方法包括:获取终端向服务器发送的数据报文;根据所述数据报文的发送时间、报文长度和预设位置处信息,生成报文结构位图;在确定所述报文结构位图在预设的白名单中时,将所述数据报文转发给所述服务器;所述白名单中包括:根据安全数据报文预先生成的至少一个报文结构位图。以可靠识别正常的数据报文,过滤掉异常的攻击报文。
Description
技术领域
本说明书涉及互联网技术领域,尤其涉及一种报文监控方法及装置。
背景技术
主流网络安全产品包括基础防火墙类和IPS(Intrusion Prevention System入侵防御系统)类。其中,基础防火墙类可实现基本包过滤策略,而IPS类可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题,它会事先收集已知的攻击模式存放到特征库中,然后通过模式匹配去阻断非法访问。
但是,由于当前网络环境异常复杂,各种新的攻击模式不断涌现,特征库的更新速度远远赶不上攻击模式的出现速度。所以,IPS类也不能很好地防护新型攻击模式。
发明内容
本说明书至少一个实施例提供了一种报文监控方法,以可靠识别正常的数据报文,过滤掉异常的攻击报文。
第一方面,提供了一种报文监控方法,所述方法包括:
获取终端向服务器发送的数据报文;
根据所述数据报文的发送时间、报文长度和预设位置处信息,生成报文结构位图;
在确定所述报文结构位图在预设的白名单中时,将所述数据报文转发给所述服务器;所述白名单中包括:根据安全数据报文预先生成的至少一个报文结构位图。
第二方面,提供了一种报文监控装置,所述装置包括:
数据报文获取模块,用于获取终端向服务器发送的数据报文;
结构位图生成模块,用于根据所述数据报文的发送时间、报文长度和预设位置处信息,生成报文结构位图;
数据报文处理模块,用于在确定所述报文结构位图在预设的白名单中时,将所述数据报文转发给所述服务器;所述白名单中包括:根据安全数据报文预先生成的至少一个报文结构位图。
第三方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本说明书任一实施例所述的报文监控方法。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现本说明书任一实施例所述报文监控方法的步骤。
由以上技术方案可以看出,本说明书至少一个实施例中,在获取终端向服务器发送的数据报文后,根据数据报文的发送时间、报文长度和预设位置处信息生成报文结构位图,通过判断该报文结构位图是否在白名单中,对该数据报文执行阻断和放通。这种通过比较白名单的方式,不依赖最新的攻击模型,能可靠识别正常的数据报文,过滤掉异常的攻击报文。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
图1是根据一示例性实施例示出的一种报文监控方法流程图;
图2是根据一示例性实施例示出的另一种白名单建立方法流程图;
图3是根据一示例性实施例示出的一种报文监控装置示意图;
图4是根据一示例性实施例示出的另一种报文监控装置示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
基础防火墙可以实现基本包过滤策略,但是只能工作在4层以下。IPS可以解析到数据包的内容,解决了传统的防火墙只能工作在4层以下的问题,但是,其需要事先收集已知的攻击模式存放在特征库中,在工作时通过模式匹配去阻断非法访问。由于当前网络环境异常复杂,网络中新型的攻击模式层出不穷。而IPS特征库中的攻击模式的更新速度,难以跟上网络中新型攻击模式的更新速度,所以IPS也不能很好的防护各种新型的攻击模式。
基于以上新型攻击模式不断涌现的网络环境,本说明书提供了一种报文监控方法:获取终端向服务器发送的数据报文,并根据该数据报文的发送时间、报文长度和预设位置处信息生成报文结构位图,将该报文结构位图与白名单中的报文结构位图进行比较,根据比较结果执行对该数据报文的监控。这种利用数据报文生成的报文结构位图与白名单中报文结构位图比较的方法,在不依赖不断更新的攻击模型的基础上,能更加安全的防护新型攻击模式,实现对数据报文的安全监控。
本说明书提供的报文监控方法的执行主体可以是处于终端与服务器之间的网络安全防护设备。其中防护设备可以是实体设备,也可以是集成在终端或服务器中的一个防护模块,本说明书对防护设备的具体形式不作任何限制。可以理解的是,凡是能够执行本说明书提供的报文监控方案的主体,均可以看作防护设备。且本说明书对终端、通信网络的协议和组网结构、服务器的具体实现方式等均不做限定。
其中,终端和服务器之间通过通信网络(如互联网和/或移动通信网络)相互可访问;在一些应用场景中,终端与服务器之间也可以通过无线局域网进行通信。服务器可以是一个物理或逻辑服务器,也可以是由两个或两个以上分担不同职责的物理或逻辑服务器、相互协同来实现本申请实施例中服务器的各项功能。本说明书中,终端可以是手机、平板电脑、个人电脑、笔记本等设备,也可以是一些在特定场景中的一些专用终端,例如在水利系统中部署的安全监测终端。以下,以水利系统中大量部署的安全监测终端向服务器发送报文数据为具体场景,对本说明书提供的报文监控方法进行说明。
为了使本说明书提供的报文监控方法更加清楚,下面结合附图和具体实施例对本说明书提供的方案执行过程进行详细描述。
参见图1,图1是本说明书提供的实施例示出的一种报文监控方法流程图。如图1所示,该流程包括:
步骤101,获取终端向服务器发送的数据报文。
水利系统中部署了大量的安全监测终端,每一个安全监测终端均需在预设时间内向对应的服务器发送数据报文,以将安全监测终端监测到的信息返回至服务器,供水利系统或相关管理人员进行监测或查验。在本步骤中,在服务器接收到该数据报文之前,由防护设备获取安全监测终端发送的数据报文,并对该数据报文进行识别。经过识别后,防护设备将安全的数据报文,转发至服务器,以保证水利系统的正常监测工作;将存在风险的数据报文进行阻断或丢弃,防止该风险数据报文发送至服务器,对水利系统正常监测工作造成影响。
步骤102,根据所述数据报文的发送时间、报文长度和预设位置处信息,生成报文结构位图。
防护设备获取到该数据报文后,根据数据报文的具体内容获取对应发送该数据报文的发送时间;或者,防护设备根据实际收到该数据报文的时间确定对应发送该数据报文的发送时间。
在水利系统中,本步骤需要获取安全监测终端发送数据报文的实际发送时间,其中防护设备获取发送时间的方式不做限制,可以是通过获取的数据报文获取发送时间,也可以是通过实际接收到数据报文的接收时间确定出对应安全监测终端发送该数据报文的时间。例如,工作人员预先设置安全监测终端,在上午十一点将监测数据通过报文发送至服务器,其中报文中包含了发送时间信息,防护设备可以根据报文中包含的发送时间信息确定该数据报文的发送时间。或者,防护设备根据实际接收数据报文的时间“上午十一点零一秒”,确定出对应安全监测终端实际发送数据报文的时间是上午十一点整。
安全防护设备根据获取的数据报文的长度、数据报文预设位置处信息及数据报文的发送时间,分别对应不同的位图标识位存储,生成对应该数据报文的报文结构位图。
在一个例子中,所述预设位置处信息包括:数据位置、数据长度和数据内容。在这个例子中,防护设备可以从接收到的数据报文中预先设置位置处获取信息,并将预先设置的位置处包含的数据的长度和内容,连同该预先设置的位置信息,分别对应不同的位图标识位存储,组成一个完整的预设位置处信息。一个完整的报文结构位图中,至少包含这样组成的一个完整的预设位置处信息。其中,预设的位置可以是管理人员根据终端实际发送数据报文的报文结构结合经验确定的,也可以是某一个终端在发送数据报文时,将报文中固定不变的数据所处的位置设置为预设位置。
表1—报文结构位图示例
如上表1为一个报文结构位图的示例,其中表格第一行的整数1-n为报文结构位图中的位图标识位,每一个标识位对应一个具体的存储空间,而每一个位图标识位对应的存储空间的大小可以相等或不等,可以按照结构位图实际使用过程中来确定。
例如,用第1位图标识位对应的存储空间来存储数据报文的发送时间,第2位图标识位对应的存储空间存储该数据报文的总长度,第3位图标识位对应存储预设位置处信息中的数据位置,第4位图标识位对应存储预设位置处信息中的数据长度,第5位图标识位对应存储预设位置处信息中的数据内容。以此类推,在剩下的位图标识位对应的存储空间中对应存储预设位置处信息中的各个数据信息。
或者,可以使用多个位图标识位对应的多个存储空间来存储一个完整的数据,例如利用第1位图标识位和第二位图标识位来共同存储数据报文发送的时间信息,利用第3和第4位图标识位对应的存储空间来共同存储数据报文的总长度信息。本说明书对报文结构位图的具体实现形式不作任何限制。
在另一个例子中,所述数据内容包括:所述数据报文对应的传输控制协议TCP的源端口信息、TCP的目的端口信息或者数据报文的校验信息。在这个例子中,预设位置处信息中包含的数据内容可以是根据数据报文的结构,确定出的某些关键结构处的内容,例如将数据报文中包含的TCP的源端口信息、TCP的目的端口信息或者数据报文的校验信息等报文中关键结构处的数据信息。本说明书提供的报文监控方法,正是根据获取的数据报文的发送时间、报文长度以及这些报文关键结构处的信息生成的报文结构位图,来识别数据报文的安全性,从而实现对数据报文的监控。
步骤103,在确定所述报文结构位图在预设的白名单中时,将所述数据报文转发给所述服务器;所述白名单中包括:根据安全数据报文预先生成的至少一个报文结构位图。
防护设备中预先在白名单中存储了多个报文结构位图,其中白名单中的报文结构位图是根据该设备向服务器发送的确定安全的安全数据报文生成的。防护设备将获取的数据报文生成的报文结构位图与白名单中的各个报文结构位图,若白名单中存在一致的报文结构位图,则说明防护设备获取的终端向服务器发送的数据报文是安全的。此时,防护设备可以将该数据报文转发至服务器,以供服务器侧对数据报文中的信息进行处理。若防护设备获取的数据报文生成的报文结构位图,与白名单中的各报文结构位图均不同,则可以确定该数据报文是存在安全风险的数据报文,阻断该数据报文向服务器发送,以防止服务器产生安全隐患。
在一个例子中,所述确定所述报文结构位图在预设的白名单中,包括:将所述报文结构位图与所述白名单中的各个报文结构位图进行对应位图标识位的比较,若各个位图标识位的内容均相同,确定所述报文结构位图在预设的白名单中。以表1所示的报文结构位图为例,防护设备根据数据报文生成的报文结构位图中的第1位图标识位对应的时间信息,与白名单中对应的报文结构位图中第1位图标识位对应的时间信息相同;数据报文生成的报文结构位图中的第2标识位对应的报文长度,与白名单中对应的报文结构位图中第2位图标识位对应的报文长度相同;以此类推,生成的报文结构位图中的其余各个标识位对应存储的数据,与白名单中对应报文结构位图中的对应的各个标识位对应存储的数据相同,即:两个报文结构位图完全一致,则确定生成的报文结构位图在预设的白名单中。
本实施例的报文监控方法,通过获取终端向服务器发送的数据报文并生成报文结构位图,判断该报文结构位图在预设的白名单中,才将数据报文转发至服务器,否则丢弃该数据报文。这种方式利用了白名单的机制,其中白名单中包含根据安全的数据报文生成的报文结构位图,不再依赖不断更新的攻击模型,也能可靠识别安全的数据报文,从而能够安全防护各种新型的攻击模式,实现对数据报文的安全监控。
参见图2,图2是本说明书提供的白名单建立流程示意图。如图2所示,该流程可以包括:
步骤201,获取所述终端设置的发送所述数据报文的预计发送时间。
以水利系统为例,部署的安全监测终端会定时向对应的服务器发送监测数据,其中定时发送的时间可以是管理人员预先设置好的,或者安全监测终端根据自身情况自动生成的发送时间。本步骤中,获取该安全监测终端设置的发送数据报文的时间,即预计发送时间。
步骤202,根据所述终端类型,确定所述数据报文的预计报文长度。
以水利系统中部署的安全监测终端为例,不同厂家生产的终端是不同的,或者同一厂家生产的终端不同型号的终端是不同的。本步骤中,根据终端的类型或型号,确定出该终端发送的数据报文的长度。
步骤203,根据预先确定安全的所述安全数据报文,确定预计位置处信息。
通过检测设备或管理人员对终端发送的历史数据报文进行检测,从历史数据报文中获取确定安全的数据报文作为安全数据报文,根据该终端的安全数据报文的结构确定出预计位置处信息。
其中,预计位置及对应的信息可以是安全数据报文中报文的关键结构处的位置及对应信息,例如安全数据报文中TCP的源端口或目的端口信息所对应的位置及信息;或者安全数据报文中校验信息所对应的位置及信息,例如利用CRC(Cyclic Redundancy Check,循环冗余校验)校验方式时,报文中校验信息的对应位置及CRC校验信息。本说明书对报文的校验方式不做任何限制,校验方式可以是奇偶校验、格雷码校验、和校验或异或校验等。且,预计位置具体在数据报文中开始计算的启示点可以根据报文结构位图生成时具体确定,例如,数据位置可以从报文中IP信息结束后的位置作为起始点。
步骤204,将所述预计发送时间、预计报文长度和预计位置处信息,分别对应不同的位图标识位存储,生成对应所述安全数据报文的报文结构位图。
表2—报文结构位图示例
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 00 | 14 | 06 | 01 | 02 | 1a | 08 | 03 | 02 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| d6 | 6a | … | … | 142 | 00 | 05 | 01 |
如上表2示出的报文结构位图,其中第1和第2位图标识位对应存储安全数据报文的预计发送时间,即预计发送时间是11:00;第3和第4位图标识对应存储安全数据报文的报文长度,即预计报文长度是146字节(本例子中以字节为长度计算单位,也可以其他单位计量);第5、6、7、8位图标识位来共同存储一组安全数据报文的预计位置处信息,其中,第5位图标识位对应存储该组数据的位置为第1位置,第5位图标识位对应存储该组数据的长度为2个字节,第7、8位图标识位对应存储该组数据的内容为1a 08。以此类推,第9、10、11、12位图标识位共同存储另一组预计位置处信息。
其中,在位图标识位对应存储时,可以根据具体存储数据的不同,用不同的数据进行表示。继续以上表2示出的报文结构位图为例,其中第15、16、17、18位图标识位对应存储了安全数据报文的一组预计位置处的校验信息。其中,第15位图标识位对应存储了该组数据的位置,第16位图标识位对应00用来表示该组数据内容长度是可变的,第17位图标识位对应的05用来表示该组数据内容的实际长度是5个字节,第18位图标识位对应的01用来表示该组数据的校验方式是CRC。
步骤205,将所述对应安全数据报文的报文结构位图加入白名单。
根据安全数据报文生成多个报文结构位图并加入白名单中。其中,不同的终端类型,可根据不同的安全数据报文生成不同的报文结构位图。例如,水利系统中不同厂家生产的安全监测终端,可对应不同的安全数据报文生成不同的报文结构位图;或者,同一厂家生产的不同型号的安全监测终端,对应不同的安全数据报文生成不同的报文结构位图。
将这些对应安全数据报文生成的报文结构位图加入白名单中,以在终端实际发送数据报文时,利用白名单中的报文结构位图来判断数据报文是否是安全的,从而实现对报文的监控。
图3所示,本说明书提供了一种报文监控装置,该装置可以执行本说明书任一实施例的报文监控方法。该装置可以包括数据报文获取模块301、结构位图生成模块302和数据报文处理模块303。其中:
数据报文获取模块301,用于获取终端向服务器发送的数据报文;
结构位图生成模块302,用于根据所述数据报文的发送时间、报文长度和预设位置处信息,生成报文结构位图;
数据报文处理模块303,用于在确定所述报文结构位图在预设的白名单中时,将所述数据报文转发给所述服务器;所述白名单中包括:根据安全数据报文预先生成的至少一个报文结构位图。
可选地,如图4所示,所述装置还包括:
时间获取模块401,用于获取所述终端设置的发送所述数据报文的预计发送时间;
长度确定模块402,用于根据所述终端类型,确定所述数据报文的预计报文长度;
信息确定模块403,用于根据预先确定安全的所述安全数据报文,确定预计位置处信息;
位图生成模块404,用于将所述预计发送时间、预计报文长度和预计位置处信息,分别对应不同的位图标识位存储,生成对应所述安全数据报文的报文结构位图;
白名单模块405,用于将所述对应安全数据报文的报文结构位图加入白名单。
可选地,如图4所示,所述数据报文处理模块303,包括:
比较子模块501,用于将所述报文结构位图与所述白名单中的各个报文结构位图进行对应位图标识位的比较,若各个位图标识位的内容均相同,确定所述报文结构位图在预设的白名单中。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书至少一个实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本说明书还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时能够实现本说明书任一实施例的报文监控方法。
本说明书还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时能够实现本说明书任一实施例的报文监控方法。
其中,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等,本申请并不对此进行限制。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用于限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (10)
1.一种报文监控方法,其特征在于,所述方法包括:
获取终端向服务器发送的数据报文;
根据所述数据报文的发送时间、报文长度和预设位置处信息,生成报文结构位图;
在确定所述报文结构位图在预设的白名单中时,将所述数据报文转发给所述服务器;所述白名单中包括:根据安全数据报文预先生成的至少一个报文结构位图。
2.根据权利要求1所述的方法,其特征在于,
所述预设位置处信息包括:数据位置、数据长度和数据内容。
3.根据权利要求2所述的方法,其特征在于,
所述数据内容包括:所述数据报文对应的传输控制协议TCP的源端口信息、TCP的目的端口信息或者数据报文的校验信息。
4.根据权利要求1所述的方法,其特征在于,所述获取终端向服务器发送的数据报文之前,还包括:
获取所述终端设置的发送所述数据报文的预计发送时间;
根据所述终端类型,确定所述数据报文的预计报文长度;
根据预先确定安全的所述安全数据报文,确定预计位置处信息;
将所述预计发送时间、预计报文长度和预计位置处信息,分别对应不同的位图标识位存储,生成对应所述安全数据报文的报文结构位图;
将所述对应安全数据报文的报文结构位图加入白名单。
5.根据权利要求1-4任一所述的方法,其特征在于,所述确定所述报文结构位图在预设的白名单中,包括:
将所述报文结构位图与所述白名单中的各个报文结构位图进行对应位图标识位的比较,若各个位图标识位的内容均相同,确定所述报文结构位图在预设的白名单中。
6.一种报文监控装置,其特征在于,所述装置包括:
数据报文获取模块,用于获取终端向服务器发送的数据报文;
结构位图生成模块,用于根据所述数据报文的发送时间、报文长度和预设位置处信息,生成报文结构位图;
数据报文处理模块,用于在确定所述报文结构位图在预设的白名单中时,将所述数据报文转发给所述服务器;所述白名单中包括:根据安全数据报文预先生成的至少一个报文结构位图。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
时间获取模块,用于获取所述终端设置的发送所述数据报文的预计发送时间;
长度确定模块,用于根据所述终端类型,确定所述数据报文的预计报文长度;
信息确定模块,用于根据预先确定安全的所述安全数据报文,确定预计位置处信息;
位图生成模块,用于将所述预计发送时间、预计报文长度和预计位置处信息,分别对应不同的位图标识位存储,生成对应所述安全数据报文的报文结构位图;
白名单模块,用于将所述对应安全数据报文的报文结构位图加入白名单。
8.根据权利要求6所述的装置,其特征在于,所述数据报文处理模块,包括:
比较子模块,用于将所述报文结构位图与所述白名单中的各个报文结构位图进行对应位图标识位的比较,若各个位图标识位的内容均相同,确定所述报文结构位图在预设的白名单中。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-5任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1-5中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010148349.5A CN111314373A (zh) | 2020-03-05 | 2020-03-05 | 一种报文监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010148349.5A CN111314373A (zh) | 2020-03-05 | 2020-03-05 | 一种报文监控方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111314373A true CN111314373A (zh) | 2020-06-19 |
Family
ID=71147299
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010148349.5A Pending CN111314373A (zh) | 2020-03-05 | 2020-03-05 | 一种报文监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111314373A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790313A (zh) * | 2017-03-31 | 2017-05-31 | 杭州迪普科技股份有限公司 | 入侵防御方法及装置 |
| CN108418844A (zh) * | 2018-06-19 | 2018-08-17 | 北京云枢网络科技有限公司 | 一种应用层攻击的防护方法及攻击防护端 |
| CN108600279A (zh) * | 2018-07-31 | 2018-09-28 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN110099058A (zh) * | 2019-05-06 | 2019-08-06 | 江苏亨通工控安全研究院有限公司 | Modbus报文检测方法、装置、电子设备及存储介质 |
| JP2020005113A (ja) * | 2018-06-27 | 2020-01-09 | マレリ株式会社 | 通信監視装置 |
-
2020
- 2020-03-05 CN CN202010148349.5A patent/CN111314373A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790313A (zh) * | 2017-03-31 | 2017-05-31 | 杭州迪普科技股份有限公司 | 入侵防御方法及装置 |
| CN108418844A (zh) * | 2018-06-19 | 2018-08-17 | 北京云枢网络科技有限公司 | 一种应用层攻击的防护方法及攻击防护端 |
| JP2020005113A (ja) * | 2018-06-27 | 2020-01-09 | マレリ株式会社 | 通信監視装置 |
| CN108600279A (zh) * | 2018-07-31 | 2018-09-28 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN110099058A (zh) * | 2019-05-06 | 2019-08-06 | 江苏亨通工控安全研究院有限公司 | Modbus报文检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9106681B2 (en) | Reputation of network address | |
| JP3758661B2 (ja) | 不正監視プログラム、不正監視の方法及び不正監視システム | |
| US9661006B2 (en) | Method for protection of automotive components in intravehicle communication system | |
| CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
| CN105933467B (zh) | 一种客户端主机信息变更的周期性检测方法 | |
| CN111464525A (zh) | 一种会话识别方法、装置、控制设备及存储介质 | |
| Samaila et al. | Security threats and possible countermeasures in IoT applications covering different industry domains | |
| CN112187807B (zh) | 一种分支网络网关监控方法、装置及存储介质 | |
| CN108985040A (zh) | 使用密码钥匙登录的方法和装置、存储介质及处理器 | |
| CN111314373A (zh) | 一种报文监控方法及装置 | |
| CN115150209B (zh) | 数据处理方法、工业控制系统、电子设备及存储介质 | |
| CN107341389A (zh) | 防止设备复用的方法及装置 | |
| CN111786940A (zh) | 一种数据处理方法及装置 | |
| CN108738015A (zh) | 网络安全保护方法、设备及系统 | |
| CN112989355B (zh) | 一种漏洞威胁感知方法、装置、存储介质和设备 | |
| CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| JP2005322261A (ja) | 不正監視プログラム、不正監視の方法及び不正監視システム | |
| CN105393497B (zh) | 一种生成访问控制列表规则的方法、装置及系统 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| CN110958267B (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
| US11520884B2 (en) | Dummy information insertion device, dummy information insertion method, and storage medium | |
| CN113127855A (zh) | 安全防护系统及方法 | |
| CN113326321B (zh) | 一种基于区块链的用户数据管理方法和装置 | |
| CN111242770B (zh) | 风险设备识别方法、装置、电子设备及可读存储介质 | |
| CN114422214B (zh) | 一种访问信息处理方法、装置、设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200619 |
|
| WD01 | Invention patent application deemed withdrawn after publication |