CN111404891A - 一种应用于水质监控系统的数据流量监测方法及装置 - Google Patents
一种应用于水质监控系统的数据流量监测方法及装置 Download PDFInfo
- Publication number
- CN111404891A CN111404891A CN202010148874.7A CN202010148874A CN111404891A CN 111404891 A CN111404891 A CN 111404891A CN 202010148874 A CN202010148874 A CN 202010148874A CN 111404891 A CN111404891 A CN 111404891A
- Authority
- CN
- China
- Prior art keywords
- legal
- water quality
- data flow
- quality monitoring
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种应用于水质监控系统的数据流量监测方法及装置,所述方法包括:获取由合法水质监测终端发送至水质监控中心的合法数据流量;对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集;基于所述合法特征集对接收到的待检测数据流量进行匹配,在所述待检测数据流量匹配于所述合法特征集的情况下,将所述待检测数据流量转发至所述水质监控中心,以及在所述待检测数据流量不匹配的情况下,拒绝对所述数据流量的转发。通过本申请的技术方案,能够提高数据流量的检测效率,降低用工成本。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种应用于水质监控系统的数据流量监测方法及装置。
背景技术
在工农业高速发展的当代社会中,用于生产生活的人类劳动与水资源密不可分。与此同时,不正当、不规范的污水排放逐步导致水体污染、水质恶化,尤其是高污染的工业废水,在没有通过严格的污水排放管控的情况下,其排放将对生态环境的安全造成严重威胁。
为实现对水体污染的管控和水资源保护,水质监测系统应运而生。水质监测是监视和测定水体中污染物的种类、各类污染物的浓度及变化趋势,评价水质状况的过程。水质监测系统可应用于水资源循环利用的各个环节,在及时掌握水源地水质状况、预警重大或突发性水质污染事故、保护饮用水安全、控制污水达标排放等方面发挥着重要作用。
与此同时,实现对水质监测系统中所部署的大量水质监测终端的安全管控,则是水质检测系统能够正常运行的关键。在相关技术中,通过现场调研的方式,即由人工获取水质监测系统中各个水质监测终端所发送的报文信息进而对报文信息的安全性进行验证,然而该方式不仅效率低下、准确性较低,而且耗费大量的人力物力成本,制约着水质监测系统的发展。
发明内容
有鉴于此,本申请提供一种应用于水质监控系统的数据流量监测方法及装置,以解决相关技术中存在的技术问题。
具体地,本申请是通过如下技术方案实现的:
一种应用于水质监控系统的数据流量监测方法,应用于网络设备,所述方法包括:
获取由合法水质监测终端发送至水质监控中心的合法数据流量;
对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集;
基于所述合法特征集对接收到的待检测数据流量进行匹配,在所述待检测数据流量匹配于所述合法特征集的情况下,将所述待检测数据流量转发至所述水质监控中心,以及在所述待检测数据流量不匹配的情况下,拒绝对所述数据流量的转发。
可选的,所述对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集,包括:
解析所述合法水质监测终端与水质监控中心之间所交互的合法数据流量,以确定所述合法数据流量对应的合法数据特征,其中,所述合法数据特征包括多个特征类别;
统计对应于预设特征类别的特征信息的重复频率,以将所述重复频率超过频率阈值的特征信息确定为所述合法特征集中的特征信息。
可选的,所述对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集,包括:
获取合法水质监测终端与水质监控中心之间用于交互合法数据流量的端口号;
顺序记录基于所述端口号接收到的合法数据流量的时刻信息;
在所记录的各个相邻时刻之间的间隔时长均小于时长阈值的情况下,将所述合法数据流量对应于各个特征类别的特征信息确定为所述合法特征集中的特征信息。
可选的,所述对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集,包括:
根据所述合法数据流量确定所述合法水质监测终端的IP地址;基于前端交换机的ARP表学习所述IP地址对应的MAC地址;将所学习到的MAC地址与所述IP地址之间的关联信息确定为所述合法特征集中的特征信息;或者,
基于所述合法数据流量确定所述合法水质监测终端的IP地址和MAC地址;将所述IP地址与所述MAC地址之间的关联关系确定为所述合法特征集中的特征信息。
可选的,所述数据特征中的特征类别包括下述中的至少一种:数据字段信息、协议信息、端口信息和IP地址信息。
根据本申请的第二方面,提出了一种应用于水质监控系统的数据流量监测装置,应用于网络设备,所述装置包括:
获取单元,获取由合法水质监测终端发送至水质监控中心的合法数据流量;
特征集构建单元,对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集;
处理单元,基于所述合法特征集对接收到的待检测数据流量进行匹配,在所述待检测数据流量匹配于所述合法特征集的情况下,将所述待检测数据流量转发至所述水质监控中心,以及在所述待检测数据流量不匹配的情况下,拒绝对所述数据流量的转发。
可选的,所述特征集构建单元具体用于:
解析所述合法水质监测终端与水质监控中心之间所交互的合法数据流量,以确定所述合法数据流量对应的合法数据特征,其中,所述合法数据特征包括多个特征类别;
统计对应于预设特征类别的特征信息的重复频率,以将所述重复频率超过频率阈值的特征信息确定为所述合法特征集中的特征信息。
可选的,所述特征集构建单元具体用于:
获取合法水质监测终端与水质监控中心之间用于交互合法数据流量的端口号;
顺序记录基于所述端口号接收到的合法数据流量的时刻信息;
在所记录的各个相邻时刻之间的间隔时长均小于时长阈值的情况下,将所述合法数据流量对应于各个特征类别的特征信息确定为所述合法特征集中的特征信息。
可选的,所述特征集构建单元具体用于:
根据所述合法数据流量确定所述合法水质监测终端的IP地址;基于前端交换机的ARP表学习所述IP地址对应的MAC地址;将所学习到的MAC地址与所述IP地址之间的关联信息确定为所述合法特征集中的特征信息;或者,
基于所述合法数据流量确定所述合法水质监测终端的IP地址和MAC地址;将所述IP地址与所述MAC地址之间的关联关系确定为所述合法特征集中的特征信息。
可选的,所述数据特征中的特征类别包括下述中的至少一种:数据字段信息、协议信息、端口信息和IP地址信息。
根据本申请的第三方面,提出了一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为可执行指令以实现第一方面中任一项所述的方法。
根据本申请的第四方面,提出了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现第一方面中任一项所述方法的步骤。
由以上技术方案可见,可以由网络设备根据对由合法水质监测终端发送的合法数据流量所提取的数据特征构建合法特征集,进而基于所构建的合法特征集对接收到的待检测数据流量进行匹配,并在待检测数据流量匹配合法特征集的情况下,将待检测数据流量转发至水质监控中心,而在待检测数据流量不匹配于合法特征集的情况下,拒绝对数据流量的转发,可见不论是对合法数据流量进行特征提取的过程,或是对待检测数据流量的合法性进行验证的过程,均由网络设备自动完成而无需人工参与,从而避免在因人工误差导致匹配效率低下的问题,降低用工成本。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是根据本申请一示例性实施例中的一种水质监测系统的组网图;
图2是根据本申请一示例性实施例中的另一种水质监测系统的组网图;
图3是根据本申请一示例性实施例提供的一种应用于水质监控系统的数据流量监测方法的流程图;
图4a是根据本申请一示例性实施例提供的一种应用于水质监控系统的合法数据流量的特征提取方法之一的流程图;
图4b是根据本申请一示例性实施例提供的一种应用于水质监控系统的合法数据流量的特征提取方法之二的流程图;
图4c是根据本申请一示例性实施例提供的一种应用于水质监控系统的合法数据流量的特征提取方法之三的流程图;
图4d是根据本申请一示例性实施例提供的一种应用于水质监控系统的合法数据流量的特征提取方法之四的流程图;
图5是根据本申请一示例性实施例提供的一种应用于水质监控系统的数据流量监测方法的流程图;
图6是根据本申请一示例性实施例中的一种电子设备的示意结构图;
图7是根据本申请一示例性实施例中的一种应用于水质监控系统的数据流量监测装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,图1是根据本申请一示例性实施例中的一种水质监测系统的组网图,如图1所示,水质监测系统的组网图中可以包括一个或多个水质监测终端,例如图1中作为示例性的水质监测终端101、水质监测终端102,水质监测终端通过运行有数据流量监测方法的网络设备104接入水质监控中心105,在图1示例性的组网图中,水质监测终端与网络设备之间可以通过交换机进行连接,如图中所示的交换机103,其中,网络设备可以为支持同一子网内的数据交换的二层交换机,或者具备路由功能的三层交换机、路由器等,本申请对网络设备的具体形式不做限制。
图2是根据本申请一示例性实施例中的另一种水质监测系统的组网图,如图2所示,水质监测系统的组网图中可以包括多个水质监测终端,例如图1中作为示例性的水质监测终端101、水质监测终端102、水质监测终端103、水质监测终端104,其中,水质监测终端101、水质监测终端102位于同一个子网内,水质监测终端103、水质监测终端104位于同一个子网内,分别通过交换机105和交换机106接入具备路由功能的网络设备107,进而基于网络设备107与水质监控中心108进行通信。
在实际应用过程中,各个水质监测终端与交换机之间、交换机与网络设备之间、网络设备与水质监控中心之间可以通过网络实现信息通信,网络可以基于有线或者无线实现电信通信,诸如所述网络可以为包括局域网(LAN)、广域网(WAN)、内部网、互联网、移动电话网络、虚拟专用网(VPN)、蜂窝式移动通信网络或其任何组合。
为对本申请的具体实施方案进行详细阐述,提供下列实施例:
图3是根据本申请一示例性实施例提供的一种应用于水质监控系统的数据流量监测方法的流程图,如图3所示,该方法应用于网络设备,可以包括以下步骤:
步骤301,获取由合法水质监测终端发送至水质监控中心的合法数据流量。
步骤302,对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集。
基于合法数据流量进行特征提取,经过提取而得到的数据特征可对应于多种特征类别,特征类别包括下述中的至少一种:数据字段信息、协议信息、端口信息和IP地址信息,进而构造包含所提取的数据特征的合法特征集的具体过程可以涉及多种情况:
在一实施例中,可以通过解析合法水质监测终端与水质监控中心之间所交互的合法数据流量,确定合法数据流量对应的合法数据特征,所得到的合法数据特征可以包括多个特征类别;
进一步的,对各个特征类别对应的特征信息的重复频率进行统计,进而将所述重复频率超过频率阈值的特征信息确定为所述合法特征集中的特征信息。
在另一实施例中,可以获取合法水质监测终端与水质监控中心之间用于交互合法数据流量的端口号,进而顺序记录基于端口号接收到的合法数据流量的时刻;
进一步的,在判断所记录的各个相邻时刻之间的间隔时长均小于时长阈值的情况下,将合法数据流量对应于各个特征类别的特征信息确定为合法特征集中的特征信息。
在又一实施例中,可以根据合法数据流量确定合法水质监测终端的IP地址,进而基于前端交换机的ARP表学习到所述IP地址对应的MAC地址,以根据所学习到的MAC地址与IP地址之间的关联信息确定为合法特征集中的特征信息。或者,
基于合法数据流量确定合法水质监测终端的IP地址和MAC地址,进而将IP地址与MAC地址之间的关联关系确定为合法特征集中的特征信息。
步骤303,基于所述合法特征集对接收到的待检测数据流量进行匹配,在所述待检测数据流量匹配于所述合法特征集的情况下,将所述待检测数据流量转发至所述水质监控中心,以及在所述待检测数据流量不匹配的情况下,拒绝对所述数据流量的转发。
通过上述技术方案可知,可以由网络设备根据对由合法水质监测终端发送的合法数据流量所提取的数据特征构建合法特征集,进而基于所构建的合法特征集对接收到的待检测数据流量进行匹配,并在待检测数据流量匹配合法特征集的情况下,将待检测数据流量转发至水质监控中心,而在待检测数据流量不匹配于合法特征集的情况下,拒绝对数据流量的转发,可见不论是对合法数据流量进行特征提取的过程,或是对待检测数据流量的合法性进行验证的过程,均由网络设备自动完成而无需人工参与,从而避免在因人工误差导致匹配效率低下的问题,降低用工成本。
图4a是根据本申请一示例性实施例提供的一种应用于水质监控系统的合法数据流量的特征提取方法之一的流程图,图4b是根据本申请一示例性实施例提供的一种应用于水质监控系统的合法数据流量的特征提取方法之二的流程图,图4c是根据本申请一示例性实施例提供的一种应用于水质监控系统的合法数据流量的特征提取方法之三的流程图,图4d是根据本申请一示例性实施例提供的一种应用于水质监控系统的合法数据流量的特征提取方法之四的流程图,如图4a、图4b、图4c、图4d所示,该方法应用于网络设备,可以包括以下步骤:
步骤401,获取由合法水质监测终端发送至水质监控中心的合法数据流量。
在一实施例中,可以基于服务端口接收到的数据流量的报文特征来确定合法水质监测终端发送至水质监控中心的合法数据流量。
具体的,可以针对各个服务端口统计访问该服务端口的数据流量的报文特征,在已确定为合法水质监测终端发送的合法数据流量均访问该服务端口的情况下,将该服务端口确定为合法水质监测终端与水质监控中心之间的业务端口,进而通过获取流经该服务端口的数据流量,确定为获取由合法水质监测终端发送至水质监控中心的合法数据流量。
在实际应用过程中,例如可以通过IP地址标记已经确定为合法水质监测终端,诸如已确定为合法水质监测终端为合法水质监测终端1、合法水质监测终端2、合法水质监测终端3,相应的,合法水质监测终端1、合法水质监测终端2、合法水质监测终端3分别对应的IP地址为IP地址a、IP地址b、IP地址c,可以针对各个服务端口记录访问该服务端口的数据流量的IP地址,诸如访问服务端口100的全部数据流量对应的源IP地址涉及到IP地址a、IP地址x、IP地址y、IP地址z;访问服务端口200的全部数据流量对应的源IP地址涉及到IP地址a、IP地址b、IP地址c;访问服务端口300的全部数据流量对应的源IP地址涉及到IP地址a、IP地址e、IP地址f、IP地址g。
进一步的,在通过IP地址标记已经确定为合法水质监测终端的情况下,已确定为合法水质监测终端发送的合法数据流量对应的数据特征中包含合法水质监测终端的源IP地址信息。因而,凡数据特征中的源IP地址涉及IP地址a、IP地址b、IP地址c的数据流量确定为合法水质监测终端发送的合法数据流量,相应的,服务端口200确定为合法水质监测终端与水质监控中心之间的业务端口,且将流经服务端口200的数据流量,确定为由合法水质监测终端发送至水质监控中心的合法数据流量。
容易理解的是:还可以通过诸如MAC地址等其他标识信息标记已经确定为合法水质监测终端,本申请对标记合法水质监测终端的标识信息的具体形式不做限制。
步骤402,解析合法水质监测终端与水质监控中心之间所交互的合法数据流量,以确定合法数据流量对应于各个特征类别的特征信息。
在一实施例中,可以通过解析合法水质监测终端与水质监控中心之间所交互的合法数据流量,确定合法数据流量对应的合法数据特征,所得到的合法数据特征可以包括多种特征类别,诸如数据字段信息、协议信息、端口信息和IP地址信息等。
合法数据特征对应的特征类别可以涉及预设位置对应的数据字段信息,诸如合法数据流量中涉及到数据信息“Data:17830300decbbfb76bf5ff…”,相应的,可以将数据信息的前4位字段信息1783确定为该合法数据流量对应的一项特征信息,当然也可以前5位字段信息或者前10位,容易理解用于确定为特征信息的数据信息的具体位置可以根据实际情况进行设置,本申请对此不做限定。
作为合法数据特征的特征类别,除了数据字段信息之外,还可以为协议信息、端口信息、IP地址信息、发送时间、接收时间、MAC地址信息等。在实际应用过程中,协议信息对应的特征信息诸如TCP或者UDP,端口信息对应的特征信息诸如源端口号或者目的端口号,IP地址信息对应的特征信息诸如源IP地址或者目的IP地址。
步骤403a,统计对应于预设特征类别的特征信息的重复频率。
在一实施例中,可以统计预设特征类别对应的特征信息以及特征信息之间的关联关系。诸如可以对解析合法水质监测终端与水质监控中心之间所交互的合法数据流量的数据字段信息、协议信息、源IP地址、目的IP地址、源端口号、目的端口号及其相互之间的关联关系进行统计,以由统计数值反映数据字段信息、协议信息、源IP地址、目的IP地址、源端口号、目的端口号及其相互之间的关联关系的重复频率。当然,用于统计的预设特征类别可以根据实际应用需要做调整,诸如用于统计的预设特征类别也可以为源IP地址、目的IP地址、源端口号、目的端口号及其相互之间的关联关系。
步骤404a,在特征信息的重复频率超过频率阈值的情况下,将该特征信息确定为合法特征集中的特征信息。
合法特征集中的特征信息可以为单个特征类别对应的特征信息,或者多个特征类别对应的特征信息以及特征信息之间的关联关系。
以多个特征类别对应的特征信息以及特征信息之间的关联关系作为合法特征集中的特征信息为例,对特征信息的重复频率超过频率阈值的情况做简要说明:针对合法数据流量解析后所确定的对应于预设特征类别的特征信息,诸如:数据字段信息1783、协议信息TCP、源IP地址10.22.134.57、目的IP地址10.100.120.66、源端口号2618、目的端口号8090,在初次接收到该组特征信息的情况下,相应的重复频数值设置为初始值,再次接收到该组特征信息的情况下,相应的重复频数值在初始值的基础上增加一个预设变量值,例如在初次接收到该组特征信息的情况下,重复频数值设置为1,在再次接收到该组特征信息的情况下,重复频数值在1的基础上增加预设的变量值1后更新为2,从而在该组特征信息“数据字段信息1783、协议信息TCP、源IP地址10.22.134.57、目的IP地址10.100.120.66、源端口号2618、目的端口号8090”的重复频率超过频率阈值的情况下,确定包含数据字段信息1783、协议信息TCP、源IP地址10.22.134.57、目的IP地址10.100.120.66、源端口号2618、目的端口号8090及其相互之间的关联关系的特征信息为合法特征集中的特征信息。
用于判断特征信息的重复频率是否能够使得特征信息确定为合法特征集中的特征信息的频率阈值可以为预设数值;或者实时根据算法确定的百分比,诸如预设数值占预设时长内接收到的数据流量个数的比值、重复次数与预设数值的比值等。相应的,在频数阈值为具体数值的情况下,用于表征特征信息重复频率的可以为重复频数值,在频数阈值为百分比的情况下,用于表征特征信息重复频率的可以为重复频率值。
步骤403b,顺序记录基于业务端口接收到的合法数据流量的时刻信息。
基于所确定的合法水质监测终端与水质监控中心之间用于交互合法数据流量的端口号,可以对访问该端口号的合法数据流量对应的发送时刻或者网络设备接收到该合法数据流量的接收时刻进行记录。
步骤404b,在包含相同数据特征的合法数据流量的时刻信息之间的间隔时长均小于时长阈值的情况下,将该合法数据流量的数据特征确定为合法特征集中的特征信息。
在一实施例中,针对基于业务端口接收到的顺序记录的合法数据流量的时刻信息,可以对各个相邻时刻之间的间隔时长逐个与时长阈值进行比较,其中,时刻顺序记录的合法数据流量包含相同的预设特征类别的特征信息,进而确定包含相同数据特征的合法数据流量的时刻信息之间的间隔时长均小于时长阈值。
在另一实施例中,针对基于业务端口接收到的顺序记录的合法数据流量的时刻信息,其中,时刻顺序记录的合法数据流量包含相同的预设特征类别的特征信息,可以确定顺序记录的时刻信息之间的间隔时长的最大值和最小值,进而判断间隔时长的最大值和最小值的差值是否小于预设阈值,并在间隔时长的最大值和最小值的差值小于预设阈值的情况下,确定包含相同数据特征的合法数据流量的时刻信息之间的间隔时长均小于时长阈值。
步骤403c,统计对应于各个特征类别的特征信息的重复频率。
步骤404c,在特征信息的重复频率超过频率阈值的合法数据流量中,确定包含相同数据特征的合法数据流量的接收时刻之间的间隔时长。
步骤405c,在包含相同数据特征的合法数据流量的接收时刻之间的间隔时长均小于时长阈值的情况下,将该合法数据流量的数据特征确定为合法特征集种的特征信息。
在实际应用过程中,图4a中的步骤403a~步骤404a可以与图4b中的步骤403b~步骤404b进行合并,即图4c中的步骤403c~步骤405c,在步骤403c~步骤405c中的细节信息可参考步骤403a~步骤404a和步骤403b~步骤404b对应的阐述,在此不再赘述。
步骤403d,根据合法数据流量确定合法水质监测终端的IP地址及该IP地址对应的MAC地址。
周期性地监听匹配于合法特征库中的特征信息的数据流量,基于数据流量对应的IP地址确定该IP地址对应的MAC地址的过程可以有多种方式:
在一实施例中,在网络设备为二层交换机的情况下,网络设备工作在OSI七层协议中的数据链路层上,因而作为数据链路层设备的网络设备可以直接使用mac地址作为转发依据。
具体的,在网络设备接收到合法数据流量时,通过解析包头中的源MAC地址信息便可直接确定该合法数据流量对应的源MAC地址。
在后续的合法数据流量转发过程中,网络设备可以通过读取包头中的目的MAC地址,在地址表中确定目的MAC地址对应的端口并将接收到的合法数据流量复制到所查找到的端口,而若在地址表中无法确定目的MAC地址对应的端口,则将该合法数据流量广播到所有端口。
在另一实施例中,作为三层交换机或者路由器的网络设备工作在OSI七层协议中的网络层上,实现在大型局域网内部的基于IP地址的数据快速转发。
具体的,在网络设备接收到合法水质监测终端发送至水质监控中心的合法数据流量的情况下,可以通过子网掩码获得网络地址,以判断网络设备自身是否与水质监控中心位于同一网段内,如果在同一网段内,则网络设备可以学习其他交换机中的ARP表以确定水质监测终端的IP地址所对应的MAC地址,则在合法数据流量后期发送的过程中,可以通过二层交换模块确定MAC地址表中MAC地址所对应的端口,进而直接将合法数据流量转发至MAC地址所对应的端口;在不同网段内的情况下,可以将合法数据流量发送至操作系统中预设好的缺省网关,在网络设备查询路由表确定到达水质监控中心的路由后,对合法数据流量构造新的帧头,以缺省网关的MAC地址作为源MAC地址,以水质监控中心的MAC地址为目的MAC地址进行合法数据流量的后续转发。
步骤404d,将IP地址与MAC地址之间的对应关系确定为合法特征集中的特征信息。
通过上述实施例可知,可以获取并解析合法水质监测终端与水质监控中心之间交互的合法数据流量,进而确定合法数据流量对应于各个特征类别的特征信息,进而通过预设的判断条件,将满足预设判断条件的特征信息确定为用于对待检测数据流量和待检测水质监测终端进行检测判断的合法特征信息,进而可通过包含合法特征信息的合法特征集对进行未知数据流量和未知水质监测终端的判断,在合法特征信息的提取过程中,由网络设备自动完成而无需人工逐个提取,在提高了合法特征信息的提取效率的基础上,降低了用工成本。
图5是根据本申请一示例性实施例提供的一种应用于水质监控系统的数据流量监测方法的流程图,如图5所示,该方法应用于网络设备,可以包括下述步骤:
步骤501,接收由待检测水质监测终端发送至水质监控中心的待检测数据流量。
步骤502,解析接收到的待检测数据流量的数据特征。
在实际应用过程中,可以周期性的监听由待检测水质监测终端发送至水质监控中心的待检测数据流量,基于解析监听到的待检测数据流量的数据特征与合法特征集中的特征信息进行匹配,合法数据特征可以包括多种特征类别,诸如数据字段信息、协议信息、端口信息和IP地址信息等,相应的,对监听到的待监测数据流量的数据特征解析后而得到的数据特征可以涉及到多种特征类别,诸如数据字段信息、协议信息、端口信息和IP地址信息等。
当然,作为合法数据特征的特征类别,除了数据字段信息之外,还可以为协议信息、端口信息、IP地址信息、发送时间、接收时间、MAC地址信息等。在实际应用过程中,协议信息对应的特征信息诸如TCP或者UDP,端口信息对应的特征信息诸如源端口号或者目的端口号,IP地址信息对应的特征信息诸如源IP地址或者目的IP地址。
步骤503,基于合法特征集对接收到的待检测数据流量的数据特征进行匹配,在匹配于合法特征集的情况下,将待检测数据流量转发至水质监控中心;在待检测数据流量不匹配于合法特征集的情况下,拒绝对所述数据流量的转发。
在一实施例中,网络设备可以通过解析包头中的MAC地址信息,直接确定接收到的待检测数据流量对应的MAC地址信息,进而根据待监测数据流量中的IP地址信息和所确定的MAC地址信息匹配合法特征集中的IP地址信息与MAC地址信息,进而在匹配于合法特征集的情况下,将待检测数据流量转发至水质监控中心;而在待检测数据流量的IP地址和MAC地址的对应关系不匹配于合法特征集的情况下,拒绝对待检测数据流量的转发;进一步的,可以发送告警信息以警示待检测数据流量对应的待检测水质监测终端存在风险。
在另一实施例中,在网络设备接收到待检测水质监测终端发送至水质监控中心的待检测数据流量的情况下,可以通过子网掩码获得网络地址,以判断网络设备自身是否与水质监控中心位于同一网段内,如果在同一网段内,则网络设备可以学习其他交换机中的ARP表以确定待检测水质监测终端的IP地址所对应的MAC地址,则在待检测数据流量后期发送的过程中,可以通过二层交换模块确定MAC地址表中MAC地址所对应的端口,进而直接将待检测数据流量转发至MAC地址所对应的端口;在不同网段内的情况下,可以将待检测数据流量发送至操作系统中预设好的缺省网关,在网络设备查询路由表确定到达水质监控中心的路由后,对待检测数据流量构造新的帧头,以缺省网关的MAC地址作为源MAC地址,以水质监控中心的MAC地址为目的MAC地址进行待检测数据流量的后续转发。
在又一实施例中,可以对待检测数据流量对应于各个特征类别的特征信息的合法性逐一进行比对,即通过提取待检测数据流量中的特征信息以确定待检测数据流量中的特征信息是否匹配于合法特征集中的特征信息。具体的,确定待检测数据流量对应于各个特征类别的待检测特征信息,进而与合法特征集中的各个特征类别对应的合法特征信息进行比对判断,在待检测特征信息涉及多个特征类别和多个特征类别的特征信息之间的关联关系的情况下,判断各个特征类别对应的特征信息和各个特征类别的特征信息之间的关联关系是否与合法特征信息中的相匹配,或者在待检测特征信息仅涉及一个特征类别的情况下,将该涉及单一类别的特征信息与合法特征集中的特征信息进行比对。
通过上述实施例,对于接收到的由待检测水质监测终端发送的待检测数据流量,网络设备可以自动解析该待检测数据流量对应的数据特征,进而基于合法特征集对解析处的数据特征进行匹配,在对待检测数据流量的合法性进行匹配验证的过程中,无需人工参与,使得在确保对待检测数据流量匹配的准确性的情况下,提到了数据流量的检测效率且降低了用工成本。
图6是根据本申请一示例性实施例中的一种电子设备的示意结构图。请参考图6,在硬件层面,该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成应用于水质监控系统的数据流量监测装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参考图7,图7是根据本申请一示例性实施例中的一种应用于水质监控系统的数据流量监测装置的框图,如图7所示,在软件实施方式中,该应用于水质监控系统的数据流量监测装置可以包括:
获取单元701,获取由合法水质监测终端发送至水质监控中心的合法数据流量;
特征集构建单元702,对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集;
处理单元703,基于所述合法特征集对接收到的待检测数据流量进行匹配,在所述待检测数据流量匹配于所述合法特征集的情况下,将所述待检测数据流量转发至所述水质监控中心,以及在所述待检测数据流量不匹配的情况下,拒绝对所述数据流量的转发。
可选的,所述特征集构建单元702具体用于:
解析所述合法水质监测终端与水质监控中心之间所交互的合法数据流量,以确定所述合法数据流量对应的合法数据特征,其中,所述合法数据特征包括多个特征类别;
统计对应于预设特征类别的特征信息的重复频率,以将所述重复频率超过频率阈值的特征信息确定为所述合法特征集中的特征信息。
可选的,所述特征集构建单元702具体用于:
获取合法水质监测终端与水质监控中心之间用于交互合法数据流量的端口号;
顺序记录基于所述端口号接收到的合法数据流量的时刻信息;
在所记录的各个相邻时刻之间的间隔时长均小于时长阈值的情况下,将所述合法数据流量对应于各个特征类别的特征信息确定为所述合法特征集中的特征信息。
可选的,所述特征集构建单元702具体用于:
根据所述合法数据流量确定所述合法水质监测终端的IP地址;基于前端交换机的ARP表学习所述IP地址对应的MAC地址;将所学习到的MAC地址与所述IP地址之间的关联信息确定为所述合法特征集中的特征信息;或者,
基于所述合法数据流量确定所述合法水质监测终端的IP地址和MAC地址;将所述IP地址与所述MAC地址之间的关联关系确定为所述合法特征集中的特征信息。
可选的,所述数据特征中的特征类别包括下述中的至少一种:数据字段信息、协议信息、端口信息和IP地址信息。
所述装置与上述方法相对应,更多相同的细节不再一一赘述。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种应用于水质监控系统的数据流量监测方法,其特征在于,应用于网络设备,所述方法包括:
获取由合法水质监测终端发送至水质监控中心的合法数据流量;
对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集;
基于所述合法特征集对接收到的待检测数据流量进行匹配,在所述待检测数据流量匹配于所述合法特征集的情况下,将所述待检测数据流量转发至所述水质监控中心,以及在所述待检测数据流量不匹配的情况下,拒绝对所述数据流量的转发。
2.根据权利要求1所述方法,其特征在于,所述对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集,包括:
解析所述合法水质监测终端与水质监控中心之间所交互的合法数据流量,以确定所述合法数据流量对应的合法数据特征,其中,所述合法数据特征包括多个特征类别;
统计对应于预设特征类别的特征信息的重复频率,以将所述重复频率超过频率阈值的特征信息确定为所述合法特征集中的特征信息。
3.根据权利要求1所述方法,其特征在于,所述对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集,包括:
获取合法水质监测终端与水质监控中心之间用于交互合法数据流量的端口号;
顺序记录基于所述端口号接收到的合法数据流量的时刻信息;
在所记录的各个相邻时刻之间的间隔时长均小于时长阈值的情况下,将所述合法数据流量对应于各个特征类别的特征信息确定为所述合法特征集中的特征信息。
4.根据权利要求1所述方法,其特征在于,所述对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集,包括:
根据所述合法数据流量确定所述合法水质监测终端的IP地址;基于前端交换机的ARP表学习所述IP地址对应的MAC地址;将所学习到的MAC地址与所述IP地址之间的关联信息确定为所述合法特征集中的特征信息;或者,
基于所述合法数据流量确定所述合法水质监测终端的IP地址和MAC地址;将所述IP地址与所述MAC地址之间的关联关系确定为所述合法特征集中的特征信息。
5.根据权利要求1所述方法,其特征在于,所述数据特征中的特征类别包括下述中的至少一种:数据字段信息、协议信息、端口信息和IP地址信息。
6.一种应用于水质监控系统的数据流量监测装置,其特征在于,应用于网络设备,所述装置包括:
获取单元,获取由合法水质监测终端发送至水质监控中心的合法数据流量;
特征集构建单元,对所述合法数据流量进行特征提取,并基于提取的数据特征构建合法特征集;
处理单元,基于所述合法特征集对接收到的待检测数据流量进行匹配,在所述待检测数据流量匹配于所述合法特征集的情况下,将所述待检测数据流量转发至所述水质监控中心,以及在所述待检测数据流量不匹配的情况下,拒绝对所述数据流量的转发。
7.根据权利要求6所述装置,其特征在于,所述特征集构建单元具体用于:
解析所述合法水质监测终端与水质监控中心之间所交互的合法数据流量,以确定所述合法数据流量对应的合法数据特征,其中,所述合法数据特征包括多个特征类别;
统计对应于预设特征类别的特征信息的重复频率,以将所述重复频率超过频率阈值的特征信息确定为所述合法特征集中的特征信息。
8.根据权利要求6所述装置,其特征在于,所述特征集构建单元具体用于:
获取合法水质监测终端与水质监控中心之间用于交互合法数据流量的端口号;
顺序记录基于所述端口号接收到的合法数据流量的时刻信息;
在所记录的各个相邻时刻之间的间隔时长均小于时长阈值的情况下,将所述合法数据流量对应于各个特征类别的特征信息确定为所述合法特征集中的特征信息。
9.根据权利要求6所述装置,其特征在于,所述特征集构建单元具体用于:
根据所述合法数据流量确定所述合法水质监测终端的IP地址;基于前端交换机的ARP表学习所述IP地址对应的MAC地址;将所学习到的MAC地址与所述IP地址之间的关联信息确定为所述合法特征集中的特征信息;或者,
基于所述合法数据流量确定所述合法水质监测终端的IP地址和MAC地址;将所述IP地址与所述MAC地址之间的关联关系确定为所述合法特征集中的特征信息。
10.根据权利要求6所述装置,其特征在于,所述数据特征中的特征类别包括下述中的至少一种:数据字段信息、协议信息、端口信息和IP地址信息。
11.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为可执行指令以实现如权利要求1-5中任一项所述的方法。
12.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-5中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010148874.7A CN111404891A (zh) | 2020-03-05 | 2020-03-05 | 一种应用于水质监控系统的数据流量监测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010148874.7A CN111404891A (zh) | 2020-03-05 | 2020-03-05 | 一种应用于水质监控系统的数据流量监测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111404891A true CN111404891A (zh) | 2020-07-10 |
Family
ID=71430547
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010148874.7A Pending CN111404891A (zh) | 2020-03-05 | 2020-03-05 | 一种应用于水质监控系统的数据流量监测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111404891A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106130962A (zh) * | 2016-06-13 | 2016-11-16 | 浙江宇视科技有限公司 | 一种报文处理方法和装置 |
| CN110012038A (zh) * | 2019-05-29 | 2019-07-12 | 中国人民解放军战略支援部队信息工程大学 | 一种网络攻击防御方法及系统 |
| CN110290124A (zh) * | 2019-06-14 | 2019-09-27 | 杭州迪普科技股份有限公司 | 一种交换机入端口阻断方法及装置 |
-
2020
- 2020-03-05 CN CN202010148874.7A patent/CN111404891A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106130962A (zh) * | 2016-06-13 | 2016-11-16 | 浙江宇视科技有限公司 | 一种报文处理方法和装置 |
| CN110012038A (zh) * | 2019-05-29 | 2019-07-12 | 中国人民解放军战略支援部队信息工程大学 | 一种网络攻击防御方法及系统 |
| CN110290124A (zh) * | 2019-06-14 | 2019-09-27 | 杭州迪普科技股份有限公司 | 一种交换机入端口阻断方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107948172B (zh) | 一种基于人工智能行为分析的车联网入侵攻击检测方法和系统 | |
| CN111934921B (zh) | 一种网络拓扑发现方法及装置、设备、存储介质 | |
| CN107124434B (zh) | 一种dns恶意攻击流量的发现方法及系统 | |
| CN107786440B (zh) | 一种数据报文转发的方法及装置 | |
| CN107888605A (zh) | 一种物联网云平台流量安全分析方法和系统 | |
| CN111541892A (zh) | 识别局域网中的摄像装置的方法、数据交换设备及系统 | |
| CN112565229B (zh) | 隐蔽通道检测方法及装置 | |
| CN112600793A (zh) | 一种基于机器学习的物联网设备分类识别方法及系统 | |
| CN111953527B (zh) | 一种网络攻击还原系统 | |
| CN105119827A (zh) | 一种路由器地理位置的判断方法 | |
| CN108512816B (zh) | 一种流量劫持的检测方法及装置 | |
| CN114374626A (zh) | 一种5g网络条件下的路由器性能检测方法 | |
| CN112449371B (zh) | 一种无线路由器的性能评测方法及电子设备 | |
| CN106603471B (zh) | 一种防火墙策略检测方法及装置 | |
| CN111565196B (zh) | 一种KNXnet/IP协议入侵检测方法、装置、设备及介质 | |
| CN111404891A (zh) | 一种应用于水质监控系统的数据流量监测方法及装置 | |
| CN105634868A (zh) | 一种网络扫描发包速率探测系统及方法 | |
| CN110138682A (zh) | 一种流量识别方法及装置 | |
| CN114172861B (zh) | 一种网络地址转换设备的识别方法及装置 | |
| CN104065630A (zh) | 一种面向IPv6网络的假冒源地址报文探测方法 | |
| CN112153027B (zh) | 仿冒行为识别方法、装置、设备及计算机可读存储介质 | |
| CA3186107A1 (en) | Method, apparatus, system, device, and storage medium for implementing terminal verification | |
| JP2015097330A (ja) | サービス推定装置及び方法 | |
| CN115514721B (zh) | 未知组播数据的处理方法及装置、计算设备、存储介质 | |
| CN114666072B (zh) | 非法转接点检测方法、服务器、平台、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200710 |
|
| RJ01 | Rejection of invention patent application after publication |