CN111371740B - 一种报文流量监控方法、系统及电子设备 - Google Patents
一种报文流量监控方法、系统及电子设备 Download PDFInfo
- Publication number
- CN111371740B CN111371740B CN202010097125.6A CN202010097125A CN111371740B CN 111371740 B CN111371740 B CN 111371740B CN 202010097125 A CN202010097125 A CN 202010097125A CN 111371740 B CN111371740 B CN 111371740B
- Authority
- CN
- China
- Prior art keywords
- message
- flow
- forwarding
- traffic
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种报文流量监控方法、系统及电子设备,该方法包括:被配置为执行镜像功能的交换机引导报文流量至交换机的目的端口;基于抓包工具获取报文流量以形成流量表;对流量表中报文在南北向上所形成的转发指标执行排序操作,对符合设定告警阈值的报文执行对外通知,报文流量监控方法运行于服务器中,转发指标以配置文件的形式保存至工作目录中。通过本发明所揭示的报文流量监控方法、系统及电子设备,降低了对报文在转发过程中所形成的流量进行监控与预警的部署成本,使得对流量进行监控的实时性得以提高;同时,降低了在对流量进行监控过程中对正常流量的干扰同时,并能够对网络攻击及异常访问所对应的IP地址予以封堵。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种报文网络流量监控方法、系统及一种电子设备。
背景技术
随着云计算时代突飞猛进般的持续发展,越来越多的企业,单位都会应用到云计算,云计算本身的特点就存在资源可复用,特别在网络资源的重复利用中,参差不齐的网络报文都集中在各个设备当中。防火墙对于数据中心来说则是必不可少的,而每个安全厂商都拥有自己的体系和方法,对于小型成本的数据中心而言,低成本的网络处理方案就成为主流。
然而,对于小型数据中心或单个主机服务而言,防火墙成本较高,且防火墙为硬件设备,存在故障率,且故障时很大程度反而会影响正在运行的业务。同时,手动分析网络流量则存在人工成本较大的缺陷;同时,在遭受到网络攻击时,无法对网络流量进行有效管控与排查,多数需要互联网运营商(ISP)接入检查,后续无法具体了解网络异常时的网络状态。同时,如果仅仅依赖防火墙,则在出现巨量的数据报文转发场景中时,如果防火墙自身的硬件性能不足,则会导致对数据报文的转发及流量监控出现异常。
同时,申请人经过检索后发现,公开号为CN 108123911 A的中国发明专利申请公开了一种通过流量检测网络攻击的方法。该现有技术在被保护网络的连接互联网链路上串联部署网络流量分析器,流量分析器监控所有的网络报文流量的大小,获得原始网络流量数据;同一流量网络报文在小于5秒时间内出现十次以上,确认为网络攻击。申请人指出,上述现有技术仅通过流量网络报文在设定的时间段内出现的次数以判断是否为网络攻击,仅具有检测流量攻击的效果;同时,被保护网络的连接互联网链路上串联部署网络流量分析器,在一定程度上会对报文流量产生干涉,由此对正常访问的用户的业务会造成一定影响;此外,上述现有技术还存在受到诱导攻击的风险;最后,在现有技术也存在功能单一的局限性。
发明内容
本发明的目的在于揭示一种报文网络流量监控方法、系统及一种电子设备,用以解决现有技术中所存在的缺陷,尤其是为了降低对报文在转发过程中所形成的流量进行监控与预警的部署成本与并实现实时监控,实现降低在对流量进行监控过程中对正常流量的干扰同时,实现对网络攻击及异常访问所对应的IP地址予以封堵。
为实现上述第一个目的,本发明提供了一种报文流量监控方法,包括:
被配置为执行镜像功能的交换机引导报文流量至交换机的目的端口;
基于抓包工具获取报文流量以形成流量表;
对流量表中报文在南北向上所形成的转发指标执行排序操作,对符合设定告警阈值的报文执行对外通知,所述报文流量监控方法运行于服务器中,所述转发指标以配置文件的形式保存至工作目录中。
作为本发明的进一步改进,所述目的端口位于加载服务的至少一个第一网卡上,所述第一网卡被配置为混杂模式。
作为本发明的进一步改进,在对符合设定告警阈值的报文对外通知之后予以屏蔽符合设定告警阈值的报文所对应的IP地址。
作为本发明的进一步改进,所述方法还包括:
在形成流量表之后,将所述流量表保存至物理资源中,所述物理资源由第一存储器和/或第二存储器组成,所述第一存储器选自内存或者JVM。
作为本发明的进一步改进,所述配置文件的格式为xml、ini、cfg或者config。
作为本发明的进一步改进,所述方法还包括:对流量表中报文在南北向上所形成的转发指标执行排序操作所形成的数据写入日志文件,并将日志文件保存至服务器中。
作为本发明的进一步改进,对流量表中报文在南北向上所形成的转发指标执行排序操作形成流量报告文件,所述流量报告文件记载南北向流量数据,并定义出构成排序操作所依赖的转发指标。
作为本发明的进一步改进,所述转发指标由的确定具体为:
统计交换机的目的端口所转发的报文的IP地址,合并相同IP地址的报文流量以统计单位时间的流量及带宽比率。
作为本发明的进一步改进,在被配置为执行镜像功能的交换机引导报文流量至交换机的目的端口之前,还包括确定转发指标;
所述转发指标包括工作目录、第一网卡的名称、报文所形成的数据规格、流量报告文件的保存数量及保存截止时间、物理资源使用量或者通知管理员的路径中的一种或者几种的组合。
作为本发明的进一步改进,所述方法还包括:将流量报告文件所包含的生成时间记载至工作目录。
作为本发明的进一步改进,所述通知管理员的操作由服务器所配置的第二网卡使用核心路由器以文本消息、邮件或者对话框的方式对管理员予以通知,所述第二网卡未被配置为混杂模式。
作为本发明的进一步改进,屏蔽报文的操作由互联网运营商执行或者服务器向核心路由器发送封堵IP地址的BGP路由信息。
作为本发明的进一步改进,所述服务器逻辑上位于计算机、数据中心或者分布式计算机集群中;
所述抓包工具选自TcpDump模块或者支持Ethernet、IPv4、IPv6、UDP、TCP、SCTP、ARP、RARP、DHCP、DHCPv6、ICMP、ICMPv6、IGMP、DNS、LLDP、RSVP、FTP、NETBIOS、GRE、IMAP、POP3、RTCP、RTP、SSH、TELNET、NTP、LDAP、XMPP、VLAN、VXLAN、BGP、OSPF、SMB3、iSCSI、OpenFlow、SIP、SDP、MSRP、MGCP、H.245、H.323、Q.931/H.225、SCCP、SCMG、SS7 ISUP、TCAP、GSM MAP R4、GSM SM-TP、M3UA、M2UA、M2PA、CAPWAP、IEEE 802.11协议的网络数据包编辑器。
作为本发明的进一步改进,所述方法还包括:
对服务器下发实时流量监控工具Iftop,并通过实时流量监控工具Iftop对由第一网卡所转发的所有报文所形成的总实时流量与通过由第一网卡所转发的并具有确定转发地址的报文所形成的正常实时流量进行比较,
当所述总实时流量超过正常实时流量时,将超出部分的报文所对应的IP地址执行对外通知的操作。
基于相同发明思想,本发明还揭示了一种报文流量监控系统,包括:交换机、核心路由器及服务器;
所述交换机被配置为执行镜像功能并引导报文流量至交换机的目的端口,所述服务器配置出至少一个与交换机建立报文转发链路的第一网卡,以及至少一个与核心路由器建立报文转发链路的第二网卡,报文抓取单元,分析单元以及报告生成单元;
所述报文抓取单元基于抓包工具获取报文流量以形成流量表,
所述分析单元对流量表中报文在南北向上所形成的转发指标执行排序操作,对符合设定告警阈值的报文通过第二网卡执行对外通知。
最后,相同发明思想,本发明还揭示了一种电子设备,包括:
至少一个处理器,至少一个存储器,总线和I/O设备;
所述处理器和存储器及I/O设备通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令以执行如上述任一项发明创造所揭示的报文流量监控方法。
与现有技术相比,本发明的有益效果是:
通过本发明所揭示的报文流量监控方法、系统及电子设备,降低了对报文在转发过程中所形成的流量进行监控与预警的部署成本,使得对流量进行监控的实时性得以提高;同时,降低了在对流量进行监控过程中对正常流量的干扰;同时,并能够对网络攻击及异常访问所对应的IP地址予以封堵。
附图说明
图1为本发明一种报文流量监控方法的流程图;
图2为在基于Linux主机所配置的服务器中运行该报文流量监控方法的实例;
图3为本发明一种报文流量监控系统的拓扑图;
图4为通过图3所示出的报文流量监控系统对用户所操作的客户端与响应于用户发起的请求操作的服务端之间基于报文转发过程中所形成的报文流量进行监控的示意图;
图5为本发明一种电子设备的拓扑图。
具体实施方式
下面结合附图所示的各实施方式对本发明进行详细说明,但应当说明的是,这些实施方式并非对本发明的限制,本领域普通技术人员根据这些实施方式所作的功能、方法、或者结构上的等效变换或替代,均属于本发明的保护范围之内。
在详细阐述本发明各个实施例之前,首先对本发明之核心要义及术语予以概述,并通过下述多个实施例予以详述。
术语“逻辑”包括用于执行任务的任何物理和有形功能。例如,流程图中所示的每个操作对应于用于执行该操作的逻辑组件。可以使用例如在计算机设备上运行的软件、硬件(例如,芯片实现的逻辑功能)等、和/或其任何组合来执行操作。当由计算设备实现时,逻辑组件表示作为无论以何种方式实现的计算机系统的物理部分的电组件。
短语“配置为”或者短语“被配置为”包括可以构造任何种类的物理和有形的功能以执行标识的操作的任何方式。功能可以被配置为使用例如在计算机设备上运行的软件、硬件(例如,芯片实现的逻辑功能)等、和/或其任何组合来执行操作。
术语“流量”在本实施例中为基于用户在某一种输入计算机系统可识别的操作指令并通过无线网络、有线网络、Internet访问能够响应用户发起的访问请求,以建立会话关系的过程中在对端之间所形成的数据流,此种数据流既可以是报文(Message)在目的端(Destination)与源端(Source)之间的转发所形成,也可以基于特定的数据块或者文件在对端之间所形成的数据流。同时,在本申请中,术语“数据报文”与“报文”具等同技术含义。
如图1所示,本发明所揭示的一种报文流量监控方法、系统及电子设备,尤其以该报文流量监控方法为典型范例。该报文流量监控方法,包括步骤S1、被配置为执行镜像功能的交换机10引导报文流量至交换机10的目的端口;步骤S2、基于抓包工具获取报文流量以形成流量表;步骤S3、对流量表中报文在南北向上所形成的转发指标执行排序操作,对符合设定告警阈值的报文执行对外通知,所述报文流量监控方法运行于服务器30中,所述转发指标以配置文件的形式保存至工作目录(etc目录)中。工作目录是基于Linux内核所配置出的云主机或者虚拟机集群等计算机系统中的Linux内核参数配置。
该报文流量监控方法基于交换机10的端口镜像功能,将报文在单播或者广播过程中所形成的流量复制并引导至物理网卡上(如图2所示出的第一网卡31),将流量统计、监控、报警及形成流量报告文件等处理过程由图2中的服务器30所执行。在基于流量复制的条件下,不需要对源端51或者源端52与目的端61之间基于交换机10所形成的任意一条南北向数据报文所对应的流量进行处理,将不会存在一些数据报文被传统防火墙预先配置且固定不变的数据报文转发规则导致的正常业务报文丢弃的现象,也不会将流量进行诱导攻击,所有的流量统计、监控、报警及形成流量报告文件的判断可由管理员进行人工判断或通过自定义脚本来进行自动判断后执行下一步的阻断操作。由此降低了与交换机10连接的防火墙对流量监控与IP地址过滤的开销,因此通过本发明所揭示的技术方案,可极大地降低了对防火墙性能指标的要求。
本申请所揭示的方法、系统及电子设备的具体技术方案通过下述实施例予以具体阐述。
实施例一:
参图1与图2所揭示的本发明一种报文流量监控方法的一种具体实施方式。
本实施例所揭示的报文流量监控方法,包括:
首先,执行步骤S1、被配置为执行镜像功能的交换机10引导报文流量至交换机10的目的端口。“目的端口”也称之为“观察端口”,可利用监控设备来观察、分析复制到观察端口上的报文,以实现网络监控和故障排除。目的端口位于加载服务的至少一个第一网卡31上,第一网卡31被配置为混杂模式(Promiscuous Mode)。该第一网卡31为物理网卡。将第一网卡31配置为混杂模式的目的是接收所有通过该第一网卡31所转发的数据包(报文由数据包组成),并包括转发给服务器30的数据包,且不需要验证MAC地址。通过将第一网卡31配置为混杂模式,可以捕捉任何一个冲突域上传输的数据包。同时,被捕捉的数据包将以文件的形式存储于服务器30的内存或者磁盘当中,应用该报文流量监控方法的报文流量监控系统200将会判断配置文件(例如,下文所揭示的“下发至服务器30的配置文件ipdy.cfg”)中的配置和判断内存情况以及磁盘情况对通过第一网卡31所捕捉的数据包进行临时保存,并自动删除已经产生报告的数据包文件,从而确保报文流量监控系统200不会因为内存或磁盘空间耗尽而影响抓包工具的抓包性能。其中,前述所提及的“文件”是由抓包工具所形成的流量表中用于描述数据包属性的描述文件,该描述文件中包含记载数据包的生成时间、Tag、内网MAC地址、端口号、协议名、文件长度、分片信息、ACK编号、源端IP地址、目的端IP地址。
需要说明的是,在本实施例中,虽然图2示出了服务器30,并不意味将该服务器30排除选用虚拟态的云主机、虚拟机(VM)或者容器(Container)的选用。本实施例所揭示的报文流量监控方法在实际场景中可被理解为一种程序,并在逻辑上独立地运行于云平台的云主机、虚拟机或者容器(Container)中(以下简称“服务端”),以在服务端3响应用户(User)在客户端2发起的访问请求时,对某一个和/或某几个客户端与服务端之间,基于报文在南北向所形成的报文流量进行监控、报警,并对认定为异常的网络攻击及异常流量的IP地址予以封堵。同时,图2所示出的服务器30还可被理解为一种程序,并以服务进程常驻形式运行本实施例所揭示的一种报文流量监控方法。
同时,该服务器30逻辑上位于计算机、数据中心(IDC)或者分布式计算机集群中。抓包工具选自TcpDump模块或者支持Ethernet、IPv4、IPv6、UDP、TCP、SCTP、ARP、RARP、DHCP、DHCPv6、ICMP、ICMPv6、IGMP、DNS、LLDP、RSVP、FTP、NETBIOS、GRE、IMAP、POP3、RTCP、RTP、SSH、TELNET、NTP、LDAP、XMPP、VLAN、VXLAN、BGP、OSPF、SMB3、iSCSI、OpenFlow、SIP、SDP、MSRP、MGCP、H.245、H.323、Q.931/H.225、SCCP、SCMG、SS7 ISUP、TCAP、GSM MAP R4、GSM SM-TP、M3UA、M2UA、M2PA、CAPWAP、IEEE 802.11协议的网络数据包编辑器,并在本实施例中将该抓包工具选用TcpDump模块作为范例予以详述。
TcpDump模块是Linux操作系统的一个应用模块,该应用模块可根据管理员的定义对网络上的数据包进行截获。在本实施例中,可通过该TcpDump模块对第一网卡31所转发的报文进行抓取报文33操作。基于交换机10的端口镜像功能,使得通过被TcpDump模块抓取的报文是镜像报文所形成的镜像流量,因此通过该第一网卡31所获取的镜像流量就是服务端3与客户端2之间所转发的报文流量。客户端2在图2中以源端51~源端53予以代替,服务端3在图2中以目的端61~目的端62予以代替。
结合图4所示,基于本方法的实施,可对服务端3与客户端2之间的南向流量11与北向流量12进行监控及报警。服务端3作为一种虚拟资源,通常由物理资源40形成。当然,图4中的物理资源40通常还可包括CPU、内存、防火墙、网关、边缘路由器、磁盘和/或磁盘阵列等。流量表可被写入第一存储器41和/或第二存储器42中,以被图3中的服务器30所调用。
在本实施例中,在执行上述步骤S1之前,即在被配置为执行镜像功能的交换机10引导报文流量至交换机10的目的端口之前,还包括确定转发指标。具体的,该转发指标包括工作目录、第一网卡的名称、报文所形成的数据规格、流量报告文件的保存数量及保存截止时间、物理资源使用量或者通知管理员的路径中的一种或者几种的组合。确定转发指标的操作能够确保服务器30能够保存其所配置出第一网卡31所转发的报文所形成的流量。其中,设置流量报告的保存数量的转发指标是为了在服务器30中保存的数量保持在合理范围内。例如,若将流量报告的保存数量设置为三十个,则该服务器30收到第三十一个流量报告时,则会将第一个流量报告执行删除。同时,通知管理员的路径包括设置用于通知管理员的邮箱地址、手机号、传真号、微信账号、陌陌账号、QQ账号等,从而便于将报警信息向管理员进行告知。
接下来,执行步骤S2、执行基于抓包工具获取报文流量以形成流量表的步骤。
结合图4所示,在基于TcpDump模块抓取报文流量并形成流量表之后,将流量表保存至物理资源40中,物理资源40由第一存储器41和/或第二存储器42组成,第一存储器41选自内存或者JVM,并最优选为内存。该第二存储器42可被配置为机械磁盘,固态硬盘或者其他任何类型且具有大容量存储介质中。尤其是,当该服务器30被配置为物理态服务器时,将该流量表直接写入服务器30所挂载的内存,由此避免了将流量表频繁写入机械磁盘中,并在后续的调用过程中对物理态的服务器所造成的计算开销增加的弊端,从而提高了该物理态服务器的整体性能。
在本实施例中,该方法的步骤S2中还包括:对流量表中报文在南北向上所形成的转发指标执行排序操作所形成的数据写入日志文件,并将日志文件保存至服务器30中。结合图2所示,源端51~源端53,以及目的端61及目的端62之间建立会话后基于报文转发在南北向所产生的报文流量记录在流量表中。通过上述写入日志文件的操作,使得服务器30能够知悉目的端所对应的外网IP地址。在报文流量触发之前所设定转发指标中的一个或者几个转发指标时,能够快速定位出异常的外网IP地址。
申请人在本实施例中示出了日志文件的一个实例(instance)的部分代码,具体如下:
20190227162933-4
20190227162933-5
tcpdump:verbose output suppressed,use-v or-vv for full protocoldecode listening on eth0,link-type EN10MB(Ethernet),capture size 262144 bytestcpdump:verbose output suppressed,use-v or-vv for full protocol decodelistening on eth0,link-type EN10MB(Ethernet),capture size 262144 bytes
10 packets captured
11 packets received by filter
0 packets dropped by kernel
10 packets captured
11 packets received by filter
0 packets dropped by kernel
7>5 Delete File:20190227162928-1.info
7>5 Delete File:20190227162928-1.info
6>5 Delete File:20190227162930-3.info
6>5 Delete File:20190227162930-3.info
在步骤S2中还优选需要确定转发指标,且转发指标由的确定具体为:统计交换机10的目的端口所转发的报文的IP地址,合并相同IP地址的报文流量以统计单位时间的流量及带宽比率。第一网卡31会统计南北向的报文流量,并统计具相同IP地址的报文数量。合并具有相同IP地址的报文流量,以根据一定时间计算当前的流量带宽,并以KB/S统计流量带宽(即前述单位时间的流量)。同时,以PKG/S为单位计算具体的外网IP地址基于该第一网卡31转发报文所形成的每秒报文数这一转发指标(即前述带宽比率)。然后,按照外网IP地址与客户端2之间的报文流量进行排序,并按照报文流量从高至低的顺序进行排序后,保存至流量报告文件。
上文中“20190227162928-1.info”即代表一个流量报告文件。
从而最终通过图3所示出的分析单元38完成合并排序分析34,并最终通过报告生成单元39执行生成报告36的操作,以最终生成流量报告文件。
申请人在本实施例中示出了流量报告文件的一个实例(instance)的部分代码,具体如下:
total time:617.4 seconds
[In]pkg count:1544112,pkg rate:2501.12pkg/s,bytes count:495553854,bytes rate:783.88KB/s,body bytes:412171806,body bytes rate
:651.98KB/s,payload percent:83.2%
[Out]pkg count:1433325,pkg rate:2321.67pkg/s,bytes count:388114528,bytes rate:613.93KB/s,body bytes:310714978,body bytes rate
:491.49KB/s,payload percent:80.1%
829445 192.168.1.135.52575[out]4.15%
419578 192.168.1.18.12552[in]2.10%
395050 192.168.1.86.5543[in]1.98%
365653 192.168.1.124.6643[in]1.83%
344537 192.168.1.59.80[in]1.72%
341904 192.168.1.59.80[out]1.71%
230625 192.168.1.86.5543[out]1.15%
223224 192.168.1.124.6643[out]1.12%
199580 192.168.1.123.80[in]1.00%
197658 192.168.1.123.80[out]0.99%
174942 192.168.1.101.5543[in]0.87%
158196 192.168.1.18.12552[out]0.79%
117107 120.132.31.100.80[in]0.59%
104166 192.168.1.101.5543[out]0.52%
81717 192.168.1.106.56433[in]0.41%
80667 192.168.1.111.6969[in]0.40%
79599 192.168.1.111.6969[out]0.40%
79148 120.132.31.100.80[out]0.40%
63739 192.168.1.81.80[in]0.32%
62970 192.168.1.15.80[out]0.31%
61278 192.168.1.171[in]0.31%
59704 192.168.1.171[out]0.30%
59531 192.168.1.172[in]0.30%
55267 192.168.1.89.5543[out]0.28%
52719 192.168.1.89.5543[in]0.26%
51720 192.168.1.15.80[in]0.26%
50362 192.168.1.230.80[in]0.25%
50359 222.90.83.244.6363[in]0.25%
48662 192.168.1.230.80[out]0.24%
46596 192.168.1.81.80[out]0.23%
43975 192.168.1.216.443[in]0.22%
43674 192.168.1.106.56433[out]0.22%
39362 192.168.1.236.80[out]0.20%
38238 192.168.1.216.443[out]0.19%
36111 192.168.1.34.80[out]0.18%
35996 192.168.1.236.80[in]0.18%
35784 192.168.1.34.80[in]0.18%
[out]为南向流量,[in]为北向流量,内网IP:192.168.1.135占用带宽比例为4.15%,如果192.168.1.135收到网络攻击,带宽比例的数值会明显升高。下发至服务器30的配置文件ipdy.cfg包含的总带宽设定阈值(一种告警阈值)或者排名靠前的若干内网IP所消耗的网络带宽设定阈值(一种告警阈值),只要触发其中任意一个告警阈值所设定的具体阈值,则触发报警事件,一旦触发报警事件,则程序(即报文流量监控方法)或者管理员即可执行发生网络流量异常的内网IP地址。
同时,在本实施例中,分析单元38所执行的合并排序分析34的操作具体为:将抓包工具所抓取的报文生成文件中的各类元素(抓包工具所形成的流量表中用于描述数据包属性的描述文件,该描述文件中包含记载数据包的生成时间、Tag、内网MAC地址、端口号、协议名、文件长度、分片信息、ACK编号、源端IP地址、目的端IP地址)进行提取,其中将每个报文的源地址、目的地址及端口取出后进行合并同类、求和、占比后进行排序,将时间,报文大小进行换算得出带宽的相关信息。
然后,执行步骤S3、对流量表中报文在南北向上所形成的转发指标执行排序操作,对符合设定告警阈值的报文执行对外通知,所述报文流量监控方法运行于服务器30中,所述转发指标以配置文件的形式保存至工作目录中。在本实施例中,所谓“南北向”(NORTH-SOUTH traffic)是客户端与服务端之间所形成的数据流量。最终所生成的流量报告文件被第二网卡32所调用,并通知管理员。
具体的,该配置文件的格式为xml、ini、cfg或者config;更优选的,在本实施例中,下发至服务器30的配置文件为ipdy.cfg。
转发指标所包含的工作目录、第一网卡的名称、报文所形成的数据规格、流量报告文件的保存数量及保存截止时间、物理资源使用量或者通知管理员的路径均可以ipdy.cfg的格式下发并配置至服务器30中,并在服务器30启动时予以同步配置。因此,本实施例所揭示的报文流量监控方法显著地降低了防火墙物理性能的要求,降低了对报文在转发过程中所形成的流量进行监控与预警的部署成本,使得对报文流量进行监控的实时性得以提高;同时,基于旁路部署的方案,降低了在对流量进行监控过程中对正常流量所造成的干扰。
在本实施例中,对流量表中报文在南北向上所形成的转发指标执行排序操作形成流量报告文件,所述流量报告文件记载南北向流量数据,并定义出构成排序操作所依赖的转发指标。在本实施例中,该报文流量监控方法还包括:将流量报告文件所包含的生成时间记载至工作目录。通过生成时间,能够便于管理员通过生成时间确定工作目录中所保存的流量报告文件,以实现对流量报告文件的高效管理。
在本实施例中,通知管理员的操作由服务器30所配置的第二网卡32使用核心路由器20以文本消息、邮件或者对话框等多种方式对管理员予以通知,第二网卡32未被配置为混杂模式。未被配置为混杂模式的第二网卡32仅用于对指定IP地址的报文执行转发,并仅将流量报告文件按照设定的转发路径通过核心路由器20转发至管理员。因此,本实施例所揭示的技术方案,能够便于管理员定期的获取流量报告文件。
在步骤S3中,对外通知事件不仅仅可为向管理员以之前配置的管理员的邮箱地址、手机号、传真号、微信账号、陌陌账号、QQ账号等方式予以实现,以便于将报警信息向管理员进行告知;同时,还可以采用向用户告知的对外通知形式,并由用户通知管理员。
在本实施例中,通过交换机10的端口镜像功能所获得的镜像流量不需要区分南北向流量,仅需要通过第一网卡31的接口将所有流量通过交换机10的镜像功能将流量复制到如图2所示出的第一网卡31,以自动分类排序区分南北向流量。这也是区别于现有的防火墙的流量处理方式。通过交换机10快速镜像后转发至第一网卡31的接口,由此不会影响到正常用户基于正常业务访问及响应所产生的正常数据报文的转发。在本实施例中,该交换机10为二层交换机或者三层交换机,只要该交换机10具端口镜像功能即可。
相对于传统的流量诱导攻击方式会将数据报文上传至交换机10的CPU判断后再进行引流,其虽然能实时处理异常攻击报文,但是随着数据报文数量的不断增加,不仅会产生CPU的性能瓶颈的缺陷,还有可能出现对正常的数据报文丢弃的弊端,对于熟悉防火墙特点的攻击者能轻易的利用传统的流量诱导攻击方式来试探防火墙的极限处理能力,从而导致配置该交换机10的计算机装置或者云计算平台/系统存在极大的安全隐患。
实施例二:
重新结合图2所示,本实施例作为实施例一所揭示的报文流量监控方法的进一步优化方案,其与实施例一所揭示的报文流量转发监控方法相比,主要区别在于,本实施例所揭示的报文流量转发监控方法中在步骤S3执行完毕之后,还包括:在对符合设定告警阈值的报文对外通知之后予以屏蔽符合设定告警阈值的报文所对应的IP地址。
屏蔽报文的操作由互联网运营商(ISP)执行或者服务器30向核心路由器20发送封堵IP地址的BGP路由信息。更具体的,当需要对某个需要执行屏蔽操作的报文所对应的外网IP地址执行封堵时,封堵方式是发送封堵IP的封堵指令是发送给边缘路由器(未示出),通过BGP协议同步到核心路由器20,或者管理员直接向核心路由器20下发封堵IP的封堵指令。边缘路由器负责将服务器30接入广域网。
优选的,在本实施例中,需要提前部署边缘路由器,并将边缘路由器使用管理专线(Private Line)连接到服务器30,使该服务器30能够路由该封堵指令到边缘路由器,并且BGP协议同步路由需要互联网运营商的核心路由上配置与边缘路由器为对等体邻居,才能正常同步封堵IP的封堵指令,若无法实现上述配置条件,则通过本发明所揭示的技术方案,也能通过管理员将封堵指令发给ISP进行封堵。
同时,对服务器30下发实时流量监控工具Iftop,并通过实时流量监控工具Iftop对由第一网卡31所转发的所有报文所形成的总实时流量与通过由第一网卡31所转发的并具有确定转发地址的报文所形成的正常实时流量进行比较,当所述总实时流量超过正常实时流量时,将超出部分的报文所对应的IP地址执行对外通知的操作。实时流量监控工具Iftop用来监控第一网卡31的实时流量(可以指定网段)、反向解析IP、显示端口信息等。
本实施例所指执行对外通知的操作参实施例一所述。具体的,该实时流量监控工具Iftop可被配置于第一网卡31上。本实施例进一步优化了实施例一的技术方案,当总实时流量超过正常实时流量时直接通知管理员,因为只有当第一网卡31所转发的并具有确定转发地址的报文所形成的正常实时流量与总实时流量相同时或者小于实时总实时流量时,才能确保不存在网络攻击或者异常报文流量,由此进一步提高了该报文监控方法的灵敏度以及对异常报文的监测效果。
BGP(Border Gateway Protocol,边界网关协议),用于自治系统之间动态交换路由信息的路由协议。为了达到集中控制的目的,独立设置了BGP路由反射器(RR)。RR路由反射器的设定除了便于集中控制路由信息的分发外,还有一个重要原因就是消除BGP协议不转发IBGP路由的限制,同时也减少了网络中重复BGP路由信息的传递。IBGP(InternalBorder Gateway Protocol,内部BGP),属于BGP关系的一种,在同一个自治系统内部各路由器之间存在。用于在各路由器之间通过BGP协议传播路由信息。IBGP居关系也可以在各路由器与路由反射器RR之间存在,通过路由反射器RR转发路由信息。IP地址快速封堵是表示通过使用网络技术使某IP地址丧失与其它IP通讯的功能,对于互联网络来说,就是指无法上网、无法与外界的通讯。这通常是网络服务提供商(ISP)用于针对网络中非法用户或非法攻击行为的一种操作方式。在本实施例中,通过加载基于BGP协议的封堵指令即图2中的BGP指令35。BGP指令35通过第二网卡32发送至核心路由器20,实现了自动把访问该需要封堵IP地址的报文流量予以丢弃,从而达到快速封堵外网IP地址的目的。
本实施例所揭示的报文流量监控方法与实施例一中相同部分的技术方案,请参实施例一所述,在此不再赘述。
实施例三:
结合图3与图4所示,本实施例揭示了一种报文流量监控系统200的一种具体实施方式。
本实施例所揭示的一种报文流量监控系统200,其包括:
交换机10、核心路由器20及服务器30。交换机10被配置为执行镜像功能并引导报文流量至交换机10的目的端口。服务器30配置出至少一个与交换机建立报文转发链路的第一网卡31,以及至少一个与核心路由器20建立报文转发链路的第二网卡32,报文抓取单元37,分析单元38以及报告生成单元39。
报文抓文流量以形成流量表。服务器30逻辑上位于计算机(PC)、数据中心(IDC)或者分布式计算机集群中。抓包工具选自TcpDump模块或者支持Ethernet、IPv4、IPv6、UDP、TCP、SCTP、ARP、RARP、DHCP、DHCPv6、ICMP、ICMPv6、IGMP、DNS、LLDP、RSVP、FTP、NETBIOS、GRE、IMAP、POP3、RTCP、RTP、SSH、TELNET、NTP、LDAP、XMPP、VLAN、VXLAN、BGP、OSPF、SMB3、iSCSI、OpenFlow、SIP、SDP、MSRP、MGCP、H.245、H.323、Q.931/H.225、SCCP、SCMG、SS7 ISUP、TCAP、GSM MAP R4、GSM SM-TP、M3UA、M2UA、M2PA、CAPWAP、IEEE 802.11协议的网络数据包编辑器;且在本实施例中,该抓包工具选择支持UDP协议的网络数据包编辑器,例如WireEdit工具。分析单元38对流量表中报文在南北向上所形成的转发指标执行排序操作,对符合设定告警阈值的报文通过第二网卡32执行对外通知。第二网卡32以电子邮件、即时通信消息或者电话等一种或者几种途径通知管理员。
在对外通知过程中,服务器30所配置的第二网卡32将报警信息通过核心路由器20转发管理员,管理员可登陆服务器30的后端查找并定位上述报警信息;当然,该核心路由器20还可通过短信、微信、QQ或者邮件等形式通知管理员。本实施例所揭示的报文流量监控系统200能够运行如实施例一和/或实施例二所揭示的一种报文流量监控方法。
本实施例所揭示的报文流量监控系统200与实施例一和/或实施例二中具有相同部分的技术方案,请参实施例一和/或实施例二所述,在此不再赘述。
实施例四:
参图5所示,基于上述实施例一至实施例三中任一项或者几个实施例所揭示的技术方案,本实施例具体揭示了一种电子设备100的一种具体实施方式。
该电子设备100包括:
至少一个处理器101,至少一个存储器102,总线104和I/O设备103。
处理器101和存储器102及I/O设备103通过所述总线104完成相互间的通信。存储器102存储有可被所述处理器101执行的程序指令,处理器101调用所述程序指令以执行如实施例一所揭示的报文流量监控方法。
该存储器102包括但不限于内存、非易失性存储器(Non-volatile Memory,NVM)、基于DMA控制器与处理器101直连的DMA存储器等。处理器101可为中央处理器(CPU)、现场可编程门阵列(FPGA);专用集成电路(ASIC);应用特定的标准产品(ASSP);系统级芯片系统(SOC);复杂可编程逻辑器件(CPLD)等。
同时,该电子设备100还可被理解为通过上述组件(即至少一个处理器101,至少一个存储器102,总线104和I/O设备103)所配置出的具有物理态和/或虚拟态的计算机装置、计算机集群、虚拟机集群、数据中心或者分布式计算机集群等。
本实施例所揭示的电子设备100中与实施例一至实施例三中具有相同部分的技术方案,请参实施例一至实施例三所述,在此不再赘述。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (15)
1.一种报文流量监控方法,其特征在于,包括:
被配置为执行镜像功能的交换机引导报文流量至交换机的目的端口;
基于抓包工具获取报文流量以形成流量表;
对流量表中报文在南北向上所形成的转发指标执行排序操作,对符合设定告警阈值的报文执行对外通知,所述报文流量监控方法运行于服务器中,所述转发指标以配置文件的形式保存至工作目录中;
所述目的端口位于加载服务的至少一个第一网卡上,所述第一网卡被配置为混杂模式。
2.根据权利要求1所述的方法,其特征在于,在对符合设定告警阈值的报文对外通知之后予以屏蔽符合设定告警阈值的报文所对应的IP地址。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在形成流量表之后,将所述流量表保存至物理资源中,所述物理资源由第一存储器和/或第二存储器组成,所述第一存储器选自内存或者JVM。
4.根据权利要求1所述的方法,其特征在于,所述配置文件的格式为xml、ini、cfg或者config。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:对流量表中报文在南北向上所形成的转发指标执行排序操作所形成的数据写入日志文件,并将日志文件保存至服务器中。
6.根据权利要求5所述的方法,其特征在于,对流量表中报文在南北向上所形成的转发指标执行排序操作形成流量报告文件,所述流量报告文件记载南北向流量数据,并定义出构成排序操作所依赖的转发指标。
7.根据权利要求6所述的方法,其特征在于,所述转发指标的确定具体为:
统计交换机的目的端口所转发的报文的IP地址,合并相同IP地址的报文流量以统计单位时间的流量及带宽比率。
8.根据权利要求6所述的方法,其特征在于,在被配置为执行镜像功能的交换机引导报文流量至交换机的目的端口之前,还包括确定转发指标;
所述转发指标包括工作目录、第一网卡的名称、报文所形成的数据规格、流量报告文件的保存数量及保存截止时间、物理资源使用量或者通知管理员的路径中的一种或者几种的组合。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:将流量报告文件所包含的生成时间记载至工作目录。
10.根据权利要求8所述的方法,其特征在于,所述通知管理员的操作由服务器所配置的第二网卡使用核心路由器以文本消息、邮件或者对话框的方式对管理员予以通知,所述第二网卡未被配置为混杂模式。
11.根据权利要求10所述的方法,其特征在于,屏蔽报文的操作由互联网运营商执行或者服务器向核心路由器发送封堵IP地址的BGP路由信息。
12.根据权利要求8所述的方法,其特征在于,所述服务器逻辑上位于计算机、数据中心或者分布式计算机集群中;
所述抓包工具选自TcpDump模块或者支持Ethernet、IPv4、IPv6、UDP、TCP、SCTP、ARP、RARP、DHCP、DHCPv6、ICMP、ICMPv6、IGMP、DNS、LLDP、RSVP、FTP、NETBIOS、GRE、IMAP、POP3、RTCP、RTP、SSH、TELNET、NTP、LDAP、XMPP、VLAN、VXLAN、BGP、OSPF、SMB3、iSCSI、OpenFlow、SIP、SDP、MSRP、MGCP、H.245、H.323、Q.931/H.225、SCCP、SCMG、SS7 ISUP、TCAP、GSM MAP R4、GSM SM-TP、M3UA、M2UA、M2PA、CAPWAP、IEEE 802.11协议的网络数据包编辑器。
13.根据权利要求5所述的方法,其特征在于,所述方法还包括:
对服务器下发实时流量监控工具Iftop,并通过实时流量监控工具Iftop对由第一网卡所转发的所有报文所形成的总实时流量与通过由第一网卡所转发的并具有确定转发地址的报文所形成的正常实时流量进行比较,
当所述总实时流量超过正常实时流量时,将超出部分的报文所对应的IP地址执行对外通知的操作。
14.一种报文流量监控系统,其特征在于,包括:交换机、核心路由器及服务器;
所述交换机被配置为执行镜像功能并引导报文流量至交换机的目的端口,所述服务器配置出至少一个与交换机建立报文转发链路的第一网卡,以及至少一个与核心路由器建立报文转发链路的第二网卡,报文抓取单元,分析单元以及报告生成单元;
所述报文抓取单元基于抓包工具获取报文流量以形成流量表,
所述分析单元对流量表中报文在南北向上所形成的转发指标执行排序操作,对符合设定告警阈值的报文通过第二网卡执行对外通知,所述转发指标以配置文件的形式保存至工作目录中;
所述目的端口位于加载服务的至少一个第一网卡上,所述第一网卡被配置为混杂模式。
15.一种电子设备,其特征在于,包括:
至少一个处理器,至少一个存储器,总线和I/O设备;
所述处理器和存储器及I/O设备通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令以执行如权利要求1至13中任一所述的报文流量监控方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010097125.6A CN111371740B (zh) | 2020-02-17 | 2020-02-17 | 一种报文流量监控方法、系统及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010097125.6A CN111371740B (zh) | 2020-02-17 | 2020-02-17 | 一种报文流量监控方法、系统及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111371740A CN111371740A (zh) | 2020-07-03 |
CN111371740B true CN111371740B (zh) | 2022-06-07 |
Family
ID=71204259
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010097125.6A Active CN111371740B (zh) | 2020-02-17 | 2020-02-17 | 一种报文流量监控方法、系统及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111371740B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111953565B (zh) * | 2020-08-10 | 2022-03-01 | 苏州浪潮智能科技有限公司 | 一种虚拟化环境中带宽检测的方法、系统、设备及介质 |
CN112202646B (zh) * | 2020-12-03 | 2021-02-26 | 观脉科技(北京)有限公司 | 一种流量分析方法和系统 |
CN113132358A (zh) * | 2021-03-29 | 2021-07-16 | 井芯微电子技术(天津)有限公司 | 策略分发器、拟态交换机及网络系统 |
CN113922984B (zh) * | 2021-09-02 | 2024-02-02 | 成都安恒信息技术有限公司 | 一种客户端应用的网络访问识别和管控方法 |
CN114598493B (zh) * | 2022-01-14 | 2023-09-05 | 浙江省通信产业服务有限公司 | 一种网络流量采集方法 |
CN116132386B (zh) * | 2023-04-19 | 2023-06-27 | 安超云软件有限公司 | 混合工作负载引流方法及计算机集群 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105515921A (zh) * | 2016-01-25 | 2016-04-20 | 盛科网络(苏州)有限公司 | 实现网络分片报文流量实时监测的方法和装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8873717B2 (en) * | 2010-11-23 | 2014-10-28 | Centurylink Intellectual Property Llc | Emergency alert signaling |
CN102104611A (zh) * | 2011-03-31 | 2011-06-22 | 中国人民解放军信息工程大学 | 一种基于混杂模式的DDoS攻击检测方法及装置 |
CN104821922B (zh) * | 2015-02-12 | 2019-03-15 | 新华三技术有限公司 | 一种流量分担方法和设备 |
CN105245504A (zh) * | 2015-09-10 | 2016-01-13 | 北京汉柏科技有限公司 | 一种云计算网络中南北向流量安全防护系统 |
CN109587179B (zh) * | 2019-01-28 | 2021-04-20 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
CN110324210B (zh) * | 2019-08-06 | 2020-12-25 | 杭州安恒信息技术股份有限公司 | 基于icmp协议进行隐蔽信道通信的检测方法及装置 |
-
2020
- 2020-02-17 CN CN202010097125.6A patent/CN111371740B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105515921A (zh) * | 2016-01-25 | 2016-04-20 | 盛科网络(苏州)有限公司 | 实现网络分片报文流量实时监测的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111371740A (zh) | 2020-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111371740B (zh) | 一种报文流量监控方法、系统及电子设备 | |
US10917322B2 (en) | Network traffic tracking using encapsulation protocol | |
US10382451B2 (en) | Integrated security system having rule optimization | |
US10742682B2 (en) | Attack data packet processing method, apparatus, and system | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
CN107241186B (zh) | 网络设备和用于网络通信的方法 | |
US9264402B2 (en) | Systems involving firewall of virtual machine traffic and methods of processing information associated with same | |
Masoud et al. | On preventing ARP poisoning attack utilizing Software Defined Network (SDN) paradigm | |
CN105743878B (zh) | 使用蜜罐的动态服务处理 | |
US10033602B1 (en) | Network health management using metrics from encapsulation protocol endpoints | |
US11575566B2 (en) | Telecommunication network analytics platform | |
AbdelSalam et al. | Mitigating ARP spoofing attacks in software-defined networks | |
Fan et al. | A novel SDN based stealthy TCP connection handover mechanism for hybrid honeypot systems | |
CN107634971B (zh) | 一种检测洪水攻击的方法及装置 | |
EP3166279B1 (en) | Integrated security system having rule optimization | |
CN111953748A (zh) | 会话记录生成方法、装置及存储介质 | |
CN114666249A (zh) | 云平台上的流量采集方法、设备以及计算机可读存储介质 | |
EP3166281B1 (en) | Integrated security system having threat visualization | |
EP3166280B1 (en) | Integrated security system having threat visualization and automated security device control | |
US11665079B1 (en) | Probe-triggered full device state capture, export, and correlation | |
US20230088193A1 (en) | System and method for managing a network device | |
Nagy | Automation of DDoS Attack Mitigation | |
CN111431913B (zh) | 路由器通告防护机制存在性检测方法及装置 | |
US20230113518A1 (en) | Distributed Network Flow Record | |
US20240154896A1 (en) | Methods, systems, and computer readable media for smartswitch service chaining |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |