CN111698168A - 消息处理方法、装置、存储介质及处理器 - Google Patents

消息处理方法、装置、存储介质及处理器 Download PDF

Info

Publication number
CN111698168A
CN111698168A CN202010432820.3A CN202010432820A CN111698168A CN 111698168 A CN111698168 A CN 111698168A CN 202010432820 A CN202010432820 A CN 202010432820A CN 111698168 A CN111698168 A CN 111698168A
Authority
CN
China
Prior art keywords
port
message
target
behavior baseline
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010432820.3A
Other languages
English (en)
Other versions
CN111698168B (zh
Inventor
贺雪峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Ji'an Jinxin Information Technology Co ltd
Original Assignee
Beijing Ji'an Jinxin Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Ji'an Jinxin Information Technology Co ltd filed Critical Beijing Ji'an Jinxin Information Technology Co ltd
Priority to CN202010432820.3A priority Critical patent/CN111698168B/zh
Publication of CN111698168A publication Critical patent/CN111698168A/zh
Application granted granted Critical
Publication of CN111698168B publication Critical patent/CN111698168B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • H04L49/253Routing or path finding in a switch fabric using establishment or release of connections between ports

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种消息处理方法、装置、存储介质及处理器。该方法包括:对目标交换机的各个端口的会话日志进行采集,其中,目标交换机为多个业务终端设备连接的第一个接入交换机,每个业务终端设备对应连接目标交换机的一个端口;基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线,其中,一条会话至少产生一个报文,行为基线用于表征端口连接的业务终端收发的报文需要满足的条件;在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文。通过本申请,解决了相关技术中难以全面分析网络中的业务报文并及时处理异常报文的问题。

Description

消息处理方法、装置、存储介质及处理器
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种消息处理方法、装置、存储介质及处理器。
背景技术
为了保证网络安全,需要对各个业务终端的业务进行监控,具体地,可以采集网络行为数据采集、并对网络行为数据进行分析和处置。
在进行数据采集时,为了较全面地采集数据,采集点部署的位置非常关键,在相关技术中,主要是通过部署在关键路径上的探针装置或核心交换机上做端口镜像方式获取网络流量,存在一些弊端,例如,若在交换机的上联口线路上部署探针,则采集不到交换机下联口之间的互相访问的流量;若利用交换机的端口镜像功能,一般只提供一个可配置的镜像端口,流经交换机的其他端口的流量则无法采集到。
在进行网络行为数据分析时,相关技术中利用深层包检测技术,对报文的协议、访问关系做分析,提取网内用户的行为基线模型,但网内主机对互联网的访问行为很复杂,行为基线模型很难收敛。此外,由于采集的数据范围是分析网络行为的基础,现有的数据采集方式难以做到内网流量全覆盖,因此难以实现客观的内网终端行为模型。因而,这种采集数据的方式以及分析模型建立方式,无法避免的存在误报和漏报情况。
在进行异常数据处理时,主要靠管理平台与防火墙类设备的联动配置阻断策略,或配置汇聚交换机、核心交换机中的访问控制列表实现异常主机的阻断,或通过认证系统取消异常主机的授权。但是,传统网络接入交换机只有简单的网管功能,无法支撑对网内终端行为基线数据的采集,更无法完成对违反基线的异常行为的处置。而高端的交换机虽然能够提供可镜像的网络接口,但是这类交换机通常部署在汇聚层或核心层,无法覆盖汇聚层以下的网络流量。也即,针对终端违反基线后的处置则很难与数据采集、基线分析统一规划,无法完成自动化处置,需要人工确认并手动处置。
针对相关技术中难以全面分析网络中的业务报文并及时处理异常报文的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供一种消息处理方法、装置、存储介质及处理器,以解决相关技术中难以全面分析网络中的业务报文并及时处理异常报文的问题。
根据本申请的一个方面,提供了一种消息处理方法。该方法包括:对目标交换机的各个端口的会话日志进行采集,其中,目标交换机为多个业务终端设备连接的第一个接入交换机,每个业务终端设备对应连接目标交换机的一个端口;基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线,其中,一条会话至少产生一个报文,行为基线用于表征端口连接的业务终端收发的报文需要满足的条件;在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文。
可选地,在基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线之后,该方法还包括:对符合行为基线的报文,按照报文对应的转发规则转发报文。
可选地,在基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线之后,该方法还包括:在存在目标端口的报文不符合目标端口对应的行为基线的情况下,触发报警信息。
可选地,在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文之后,该方法还包括:分析目标端口的报文是否为异常报文;在目标端口的报文为异常报文的情况下,按照第二预设处理规则处理异常报文。
可选地,在基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线之前,该方法还包括:在预设时间段内获取各个端口的会话日志数据,并分别将各个端口的会话日志数据作为各个端口对应的训练数据集,其中,会话日志数据包括报文信息;根据各个端口对应的训练数据集分别建立各个端口对应的行为基线模型,得到多个行为基线模型;获取各个行为基线模型的模型数据,得到多组模型数据,其中,每组模型数据包括行为基线和第一预设处理规则,行为基线包括预设报文信息;将多组模型数据配置到目标交换机的芯片中的匹配表中。
可选地,在根据各个端口对应的训练数据集分别建立各个端口对应的行为基线模型,得到多个行为基线模型之前,该方法还包括:将各个端口产生的会话日志数据发送至目标交换机以外的建模终端;在建模终端执行建立行为基线模型的步骤。
可选地,在分析目标端口的报文是否为异常报文之后,该方法还包括:在目标端口的报文是正常报文的情况下,将报文添加至目标端口对应的训练数据集,得到更新后的训练数据集;根据更新后的训练数据集训练目标端口对应的行为基线模型。
可选地,基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线包括:获取经过目标端口的目标报文的报文信息,得到目标报文信息;将目标报文信息与匹配表中目标端口对应的行为基线进行匹配;在目标报文信息与目标端口对应的行为基线匹配的情况下,确定目标报文符合目标端口对应的行为基线。
可选地,预设报文信息至少包括以下之一:报文的IP地址、报文的端口信息、报文的协议、报文的时间特征、报文的带宽特征。
可选地,行为基线包括多个预设报文信息的情况下,将目标报文信息与匹配表中目标端口对应的行为基线进行匹配包括:确定多个子报文信息与多个预设报文信息进行匹配的匹配顺序,其中,由多个子报文信息构成目标报文信息;将各个子报文信息按照匹配顺序依次与多个预设报文信息进行匹配,其中,在前一个子报文信息与对应预设报文信息匹配的情况下,执行后一个子报文信息与对应预设报文信息的匹配步骤,直至出现子报文信与对应预设报文信息不匹配的情况。
可选地,在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文包括:在目标子报文信息与对应的目标预设报文信息不匹配的情况下,按照第一预设处理规则中的目标子规则处理目标报文,其中,第一预设处理规则中包括多个子规则,目标子规则与目标预设报文信息之间存在对应关系。
根据本申请的另一方面,提供了一种消息处理装置。该装置包括:采集单元,用于对目标交换机的各个端口的会话日志进行采集,其中,目标交换机为多个业务终端设备连接的第一个接入交换机,每个业务终端设备对应连接目标交换机的一个端口;判断单元,用于基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线,其中,一条会话至少产生一个报文,行为基线用于表征端口连接的业务终端收发的报文需要满足的条件;第一处理单元,用于在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文。
为了实现上述目的,根据本申请的另一方面,提供了一种存储介质,存储介质包括存储的程序,其中,程序执行上述任意一种消息处理方法。
为了实现上述目的,根据本申请的另一方面,提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一种消息处理方法。
通过本申请,采用以下步骤:对目标交换机的各个端口的会话日志进行采集,其中,目标交换机为多个业务终端设备连接的第一个接入交换机,每个业务终端设备对应连接目标交换机的一个端口;基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线,其中,一条会话至少产生一个报文,行为基线用于表征端口连接的业务终端收发的报文需要满足的条件;在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文,解决了相关技术中难以全面分析网络中的业务报文并及时处理异常报文的问题。通过在交换机上判断各个端口的报文是否符合端口对应的行为基线,并对不符合行为基线的报文进行处理,解决了相关技术中难以全面分析网络中的业务报文并及时处理异常报文的问题,进而达到了全面分析网络中的业务报文并及时处理异常报文的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的消息处理方法的流程图;
图2是根据本申请实施例提供的消息处理方法中,对外访问行为基线匹配表的示意图;
图3是根据本申请实施例提供的消息处理方法中,对内访问行为基线匹配表的示意图;
图4是根据本申请实施例提供的消息处理方法中,目标业务场景的网络拓扑图;
图5是根据本申请实施例提供的消息处理方法中,安全接入交换机-1中的端口FE1上的基线配置策略;
图6是根据本申请实施例提供的消息处理方法中,安全接入交换机-1中的端口FE2上的基线配置策略;
图7是根据本申请实施例的另一种消息处理方法的示意图;
图8是根据本申请实施例的另一种消息处理方法的流程图;以及
图9是根据本申请实施例提供的消息处理装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请的实施例,提供了一种消息处理方法。
图1是根据本申请实施例的消息处理方法的流程图。如图1所示,该方法包括以下步骤:
步骤S101,对目标交换机的各个端口的会话日志进行采集,其中,目标交换机为多个业务终端设备连接的第一个接入交换机,每个业务终端设备对应连接目标交换机的一个端口。
需要说明的是,由于目标交换机为多个业务终端设备连接的第一个接入交换机,对目标交换机的各个端口的会话日志进行采集,可以无死角的采集到网内所有业务终端的网络行为数据,为全网全流量的分析奠定了基础。
此外,还需要说明的是,在接入交换机核心芯片中设置基于会话的流量日志采集和上报功能,采用采集会话日志的方式采集业务流量,一方面,由于所有经过接入交换机的流量都产生会话日志,可以实现全覆盖、无遗漏的流量采集,解决了基础数据采集不完整的问题。另一方面,在产生会话日志时,并不是每个包产生一条日志信息,而是无论一条会话包含多少个数据包,每条会话在产生和消失时共产生两条日志,相对于netflow每个包都产生一条日志的方式,日志总量减少,提高了采集的效率,减小了内存的占用。
具体地,接入交换机核心芯片中设置有会话管理模块,会话管理模块用于维护会话表,当有新建会话的时候,将产生一条日志信息,当会话老化或会话自动拆除的时候再产生一条日志信息,这些产生的日志信息发往会话日志处理模块。
此外,会话的流量日志采集和上报功能在芯片内部实现,不会影响接入交换机正常功能和性能。
步骤S102,基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线,其中,一条会话至少产生一个报文,行为基线用于表征端口连接的业务终端收发的报文需要满足的条件。
具体地,在业务终端接入网络的第一个点(目标交换机)中对每台接入的终端的报文进行行为基线的匹配比对,由于目标交换机网口数量可控,接入终端的数量也可控,在芯片中实现基线比对功能的资源可控。
此外,由于分析系统只对违反基线的行为做分析,网内99%正常行为流量都不需要分析,在目标交换机上实现终端基线行为匹配,可以大幅度降低全网分析资源的规模,降低成本。
步骤S103,在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文。
需要说明的是,可以在接入交换机上设置多种处置手段来实现异常行为的自动化处置,例如,“丢弃”、“阻断”“流量远程镜向”、“流量重定向”等,形成分析、处置联动机制,快速发现异常流量,及时处置内网攻击渗透行为。
本申请实施例提供的消息处理方法,通过对目标交换机的各个端口的会话日志进行采集,其中,目标交换机为多个业务终端设备连接的第一个接入交换机,每个业务终端设备对应连接目标交换机的一个端口;基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线,其中,一条会话至少产生一个报文,行为基线用于表征端口连接的业务终端收发的报文需要满足的条件;在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文,解决了相关技术中难以全面分析网络中的业务报文并及时处理异常报文的问题。通过在交换机上判断各个端口的报文是否符合端口对应的行为基线,并对不符合行为基线的报文进行处理,解决了相关技术中难以全面分析网络中的业务报文并及时处理异常报文的问题,进而达到了全面分析网络中的业务报文并及时处理异常报文的效果。
可选地,在本申请实施例提供的消息处理方法中,在基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线之后,该方法还包括:对符合行为基线的报文,按照报文对应的转发规则转发报文。
具体地,在报文符合行为基线的情况下,说明报文不存在异常,转发至目的地址即可。
可选地,在本申请实施例提供的消息处理方法中,在基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线之后,该方法还包括:在存在目标端口的报文不符合目标端口对应的行为基线的情况下,触发报警信息。
需要说明的是,在报文不符合行为基线的情况下,说明报文存在异常的可能,产生报警信息以提示用户。
可选地,在本申请实施例提供的消息处理方法中,在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文之后,该方法还包括:分析目标端口的报文是否为异常报文;在目标端口的报文为异常报文的情况下,按照第二预设处理规则处理异常报文。
需要说明的是,在报文不符合行为基线的情况下,说明报文存在异常的可能,需要在网络异常行为程序中进行进一步分析,确定是否是异常报文,在确定是异常报文的情况下,对异常报文进行进一步的处理,具体地,可以将异常报文重定向到其他设备,并将产生的会话日志、基线匹配报警记录消息封装成UDP包发到指定的地址,进行分析与处理。
通过模型训练的方式确定行为基线,可选地,在本申请实施例提供的消息处理方法中,在基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线之前,该方法还包括:在预设时间段内获取各个端口的会话日志数据,并分别将各个端口的会话日志数据作为各个端口对应的训练数据集,其中,会话日志数据包括报文信息;根据各个端口对应的训练数据集分别建立各个端口对应的行为基线模型,得到多个行为基线模型;获取各个行为基线模型的模型数据,得到多组模型数据,其中,每组模型数据包括行为基线和第一预设处理规则,行为基线包括预设报文信息;将多组模型数据配置到目标交换机的芯片中的匹配表中。
具体地,通过在一段时间内采集的会话日志数据训练行为基线模型,行为基线模型用于表征违反何种行为基线需要采取怎样的处理措施,行为基线包括预设报文信息,预设报文信息包括类型名称以及为每个类型对应的阈值。
进一步地,将模型数据配置到目标交换机的芯片中的匹配表中,匹配表是一组片内SRAM,由CPU接口模块完成初始化和增加、删除、更改等操作。
行为基线模型的建立在目标交换机之外进行,可选地,在本申请实施例提供的消息处理方法中,在根据各个端口对应的训练数据集分别建立各个端口对应的行为基线模型,得到多个行为基线模型之前,该方法还包括:将各个端口产生的会话日志数据发送至目标交换机以外的建模终端;在建模终端执行建立行为基线模型的步骤。
需要说明的是,行为基线模型的建立不需要接入交换机本身直接参与,而是由后台分析系统软件根据接入交换机上报的流量日志分析后完成,进一步地,在训练形成行为基线模型后,行为模型管理软件再通过配置通道将行为基线模型数据写入对应接入交换机的匹配表中。
为了提高模型的准确性,可选地,在本申请实施例提供的消息处理方法中,在分析目标端口的报文是否为异常报文之后,该方法还包括:在目标端口的报文是正常报文的情况下,将报文添加至目标端口对应的训练数据集,得到更新后的训练数据集;根据更新后的训练数据集训练目标端口对应的行为基线模型。
需要说明的是,将正常报文添加至训练数据集,并不断更新行为基线模型,从而提高了模型的准确性。
可选地,在本申请实施例提供的消息处理方法中,基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线包括:获取经过目标端口的目标报文的报文信息,得到目标报文信息;将目标报文信息与匹配表中目标端口对应的行为基线进行匹配;在目标报文信息与目标端口对应的行为基线匹配的情况下,确定目标报文符合目标端口对应的行为基线。
具体地,目标交换机的芯片中包括包头分析模块、基线比较模块以及匹配表,根据包头分析模块提取目标报文的五元组信息,得到目标报文信息,再在匹配表中读取目标报文信息对应的行为基线,通过行为基线比较模块做行为基线匹配过滤,并给出是否符合行为基线的结论。
需要说明的是,在进行行为基线匹配过滤时,可以为接入交换机的每个端口在匹配表中分配一段空间,根据输入端口号查询到对应匹配表偏移起始地址,表内信息可以以链表方式存储,因而可以根据前一项的匹配结果找到下一项匹配内容的存储地址,包括起始地址和结束地址,每一项匹配内容由大到小排列,可按二分法进行比较和匹配,在该方式下,每次对基线匹配表做增加、删除、更改操作都需要全表更新。此外,还可以采用片内TCAM(ternary content addressable memory)方式完成匹配查询,本申请实施例对具体查询方式不做限定。
可选地,在本申请实施例提供的消息处理方法中,预设报文信息至少包括以下之一:报文的IP地址、报文的端口信息、报文的协议、报文的时间特征、报文的带宽特征。
可选地,在本申请实施例提供的消息处理方法中,行为基线包括多个预设报文信息的情况下,将目标报文信息与匹配表中目标端口对应的行为基线进行匹配包括:确定多个子报文信息与多个预设报文信息进行匹配的匹配顺序,其中,由多个子报文信息构成目标报文信息;将各个子报文信息按照匹配顺序依次与多个预设报文信息进行匹配,其中,在前一个子报文信息与对应预设报文信息匹配的情况下,执行后一个子报文信息与对应预设报文信息的匹配步骤,直至出现子报文信与对应预设报文信息不匹配的情况。
需要说明的是,行为基线包括多个预设报文信息的情况下,目标报文信息的多个子报文信息按匹配顺序分别与对应的预设报文信息进行匹配,在每条子报文信息均匹配的情况下,说明目标报文符合行为基线。
具体地,以预设报文信息包括地址信息、端口信息、时间范围特征以及流量特征为例,进行行为基线匹配:
如图2所示,在对外访问行为进行行为基线匹配时,先根据报文输入的端口号计算该端口的基线匹配表偏移地址,读取表中源IP地址信息与输入报文的源IP地址做比较,源IP地址可以只有一个,也可以有多个;在匹配到的情况下,读取基线匹配表中的目的IP地址列表,目的IP地址可以是N个,与输入报文的目的IP地址做比较;在至少匹配到一个的情况下,读取该目的IP地址对应的目的端口列表做比较,目的端口可以是N个;在至少匹配到一个的情况下,读取表中该端口对应的时间范围特征参数,与当前时间做比较;在当前时间位于基线时间范围内的情况下,读取表中该端口对应的流量特征基线参数暂不做处理,传送到会话模块和带宽控制模块中,计算当前会话的流量参数,再与基线参数做比较。在上述各步骤中,如果存在一个步骤未能匹配到结果,则产生告警信息。
进一步地,如图3所示,在对内访问行为进行行为基线匹配时,先匹配报文的目的IP地址,再匹配目的端口以及源IP地址信息,然后匹配时间范围特征以及流量特征,具体的匹配方式与对外访问行为的行为基线匹配步骤相同。
可选地,在本申请实施例提供的消息处理方法中,在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文包括:在目标子报文信息与对应的目标预设报文信息不匹配的情况下,按照第一预设处理规则中的目标子规则处理目标报文,其中,第一预设处理规则中包括多个子规则,目标子规则与目标预设报文信息之间存在对应关系。
具体的,每条子报文信息均对应一个子规则,子规则可以包括报文通过、报文丢弃、将报文通过同时做远程镜像到分析平台、以及将报文做重定向到实时处理平台等。
接下来,在具体的业务场景下介绍行为基线的匹配过程:
如图4所示,为目标业务场景下的网络拓扑图,其中,安全接入交换机-1具备网络行为基线匹配功能,在FE1口连接PC-1,IP地址为192.168.1.101,在FE2口连接PC-2,IP地址为192.168.1.102;网内有两台服务器,服务器-1是邮件服务器,IP地址为192.168.1.5,开放TCP-25端口;服务器-2是数据库服务器,IP地址为192.168.1.6,开放TCP-1433端口。
基线配置需求如下:在安全交换机-1上配置PC-1和PC-2的行为基线,允许PC-1上班时间访问服务器-1的TCP 25端口,允许PC-2任意时间访问服务器-1的TCP-25/110端口、允许PC-2上班时间访问服务器-2的TCP-1433端口,如图5所示,为安全接入交换机-1中的端口FE1上的基线配置策略,如图6所示,为安全接入交换机-1中的端口FE2上的基线配置策略。
具体的,在上班时间PC-1访问服务器-1的TCP 25端口时,行为基线匹配的具体过程如下:
首先,PC-1发送PKT-1给服务器-1,封装如下:源IP=192.168.1.101,目的IP=192.168.1.5,源端口=10000,目的端口=25,时间是上午10点。
进一步地,安全交换机1在FE1口收到PKT-1报文,并解析出五元组信息,根据输入端口FE1,读取行为基线匹配表信息1,也即源IP地址,进行源IP地址匹配;读取基线匹配表信息2,也即目的IP地址,进行目的IP地址匹配;读取基线匹配表信息3,也即目的端口,进行目的端口号匹配;读取基线匹配表信息4,也即时间特征,与当前时间做匹配,确认符合时间基线;读取基线匹配表信息5,与带宽流量统计值做比对,在确认在基线时,说明PKT-1报文在基线设定之内,正常转发PKT-1报文。
然后,从服务器-1返回报文PKT-2,接入交换机-1收到该报文后,根据查询MAC表结果,确认转发的目的端口是FE1,再调换源地址和目的地址,匹配一遍基线匹配表,在匹配的情况下,确认PKT-2报文在基线设定之内,正常转发PKT-2报文。
具体地,在上班时间PC-2访问服务器-2的TCP 21端口,行为基线匹配的具体过程如下:
首先,PC-2发送PKT-3给服务器-2,封装如下:源IP=192.168.1.102,目的IP=192.168.1.6,源端口=10001,目的端口=21,时间为上午10点。
然后,接入交换机-1在FE2口收到PKT-3报文,并解析出五元组信息,根据输入端口FE2,读取行为基线匹配表信息1,也即源IP地址:192.168.1.102,进行源IP地址匹配;在匹配的情况下,读取基线匹配表信息2,也即目的IP地址:192.168.1.5和192.168.1.6。进行目的IP地址匹配;读取基线匹配表信息3,也即目的端口:TCP 1433,目的端口号不匹配,读取匹配表信息3的违反基线处置参数,包括报警、丢弃,接入交换机-1产生一条违反基线行为告警信息发往网络行为异常报警分析服务器,同时将PKT-3报文丢弃。
图7是根据本申请实施例的另一种消息处理方法的示意图。如图7所示,该方法包括:
在接入交换机的核心芯片中为每个网口设计行为基线匹配表,当行为基线匹配功能启动后,每个端口进行基础信息的采集,并将对所有经过该端口的报文做匹配过滤,符合基线的报文正常转发,违反基线的报文则产生报警信息,并将报文发送给网络异常行为分析软件,按配置的策略执行“转发”、“丢弃”、“远程镜像”、“重定向”等操作。
接入交换机会产生流量会话日志数据,在行为基线匹配功能启动前,将交换机的会话日志数据发送给网络行为基线分析和建模软件,网络行为基线分析和建模软件经过一段时间的数据采集后,对每个网内主机建立网络行为基线模型。在建模后,通过网络行为模型管理软件将模型数据配置到接入交换机的行为基线匹配表中,网络行为模型管理软件还保存和维护网络行为分析和建模软件提供的、针对每个内网终端的行为模型,并维护内网终端与安全接入交换机关联关系。
此外,通过网络异常行为分析软件一方面收集安全接入交换机发来的违反基线的行为报警信息,并将报警信息初步筛选和分析后,另一方面将判别为正常行为的内容反馈给网络行为基线分析软件,以更新基线模型。
图8是根据本申请实施例的另一种消息处理方法的流程图。如图8所示,该方法包括:
首先,安全交换机采集流经本设备的流量会话日志,并发送给网络行为基线分析和建模服务器;网络行为基线分析和建模软件根据一段时间采集到的数据,对接入交换机上连接的每个终端做行为基线建模;网络行为基线分析和建模软件将分析完成的网内终端的行为基线模型数据传给网络行为模型管理软件;网络行为模型管理软件再根据自己维护的网内终端接入交换机编号和网口编号,将行为基线模型配置到对应的安全接入交换机的行为基线匹配表中,并开启行为基线匹配功能。
然后,安全接入交换机对流经各个网口的所有报文做行为基线匹配过滤,匹配到的报文正常转发,未匹配到的报文产生报警信息发送给网络异常行为分析软件,违反行为基线的报文按配置策略做处置。
最后,网络异常行为分析软件对违反基线行为做进一步分析,确认为正常行为的,发送消息给网络行为基线分析和建模软件,以更新基线模型数据,确认为攻击行为的,则执行下一步处置行动。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种消息处理装置,需要说明的是,本申请实施例的消息处理装置可以用于执行本申请实施例所提供的用于消息处理方法。以下对本申请实施例提供的消息处理装置进行介绍。
图9是根据本申请实施例的消息处理装置的示意图。如图9所示,该装置包括:采集单元10、判断单元20、第一处理单元30。
具体地,采集单元10,用于对目标交换机的各个端口的会话日志进行采集,其中,目标交换机为多个业务终端设备连接的第一个接入交换机,每个业务终端设备对应连接目标交换机的一个端口。
判断单元20,用于基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线,其中,一条会话至少产生一个报文,行为基线用于表征端口连接的业务终端收发的报文需要满足的条件。
第一处理单元30,用于在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文。
本申请实施例提供的消息处理装置,通过采集单元10对目标交换机的各个端口的会话日志进行采集,其中,目标交换机为多个业务终端设备连接的第一个接入交换机,每个业务终端设备对应连接目标交换机的一个端口;判断单元20基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线,其中,一条会话至少产生一个报文,行为基线用于表征端口连接的业务终端收发的报文需要满足的条件;第一处理单元30在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文,通过在交换机上判断各个端口的报文是否符合端口对应的行为基线,并对不符合行为基线的报文进行处理,解决了相关技术中难以全面分析网络中的业务报文并及时处理异常报文的问题,进而达到了全面分析网络中的业务报文并及时处理异常报文的效果。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:转发单元,用于在基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线之后,对符合行为基线的报文,按照报文对应的转发规则转发报文。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:报警单元,用于在基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线之后,在存在目标端口的报文不符合目标端口对应的行为基线的情况下,触发报警信息。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:分析单元,用于在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文之后,分析目标端口的报文是否为异常报文;第二处理单元,用于在目标端口的报文为异常报文的情况下,按照第二预设处理规则处理异常报文。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:第一获取单元,用于在基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线之前,在预设时间段内获取各个端口的会话日志数据,并分别将各个端口的会话日志数据作为各个端口对应的训练数据集,其中,会话日志数据包括报文信息;构建单元,用于根据各个端口对应的训练数据集分别建立各个端口对应的行为基线模型,得到多个行为基线模型;第二获取单元,用于获取各个行为基线模型的模型数据,得到多组模型数据,其中,每组模型数据包括行为基线和第一预设处理规则,行为基线包括预设报文信息;配置单元,用于将多组模型数据配置到目标交换机的芯片中的匹配表中。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:发送单元,用于在根据各个端口对应的训练数据集分别建立各个端口对应的行为基线模型,得到多个行为基线模型之前,将各个端口产生的会话日志数据发送至目标交换机以外的建模终端;执行单元,用于在建模终端执行建立行为基线模型的步骤。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:添加单元,用于在分析目标端口的报文是否为异常报文之后,在目标端口的报文是正常报文的情况下,将报文添加至目标端口对应的训练数据集,得到更新后的训练数据集;更新单元,用于根据更新后的训练数据集训练目标端口对应的行为基线模型。
可选地,在本申请实施例提供的消息处理装置中,判断单元20包括:获取模块,用于获取经过目标端口的目标报文的报文信息,得到目标报文信息;匹配模块,用于将目标报文信息与匹配表中目标端口对应的行为基线进行匹配;确定模块,用于在目标报文信息与目标端口对应的行为基线匹配的情况下,确定目标报文符合目标端口对应的行为基线。
可选地,在本申请实施例提供的消息处理装置中,预设报文信息至少包括以下之一:报文的IP地址、报文的端口信息、报文的协议、报文的时间特征、报文的带宽特征。
可选地,在本申请实施例提供的消息处理装置中,匹配模块包括:确定子模块,用于确定多个子报文信息与多个预设报文信息进行匹配的匹配顺序,其中,由多个子报文信息构成目标报文信息;匹配子模块,用于将各个子报文信息按照匹配顺序依次与多个预设报文信息进行匹配,其中,在前一个子报文信息与对应预设报文信息匹配的情况下,执行后一个子报文信息与对应预设报文信息的匹配步骤,直至出现子报文信与对应预设报文信息不匹配的情况。
可选地,在本申请实施例提供的消息处理装置中,第一处理单元30包括:处理模块,用于在目标子报文信息与对应的目标预设报文信息不匹配的情况下,按照第一预设处理规则中的目标子规则处理目标报文,其中,第一预设处理规则中包括多个子规则,目标子规则与目标预设报文信息之间存在对应关系。
所述消息处理装置包括处理器和存储器,上述采集单元10、判断单元20、第一处理单元30等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决相关技术中难以全面分析网络中的业务报文并及时处理异常报文的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述消息处理方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述消息处理方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:对目标交换机的各个端口的会话日志进行采集,其中,目标交换机为多个业务终端设备连接的第一个接入交换机,每个业务终端设备对应连接目标交换机的一个端口;基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线,其中,一条会话至少产生一个报文,行为基线用于表征端口连接的业务终端收发的报文需要满足的条件;在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:对目标交换机的各个端口的会话日志进行采集,其中,目标交换机为多个业务终端设备连接的第一个接入交换机,每个业务终端设备对应连接目标交换机的一个端口;基于各个端口的会话日志,分别判断经过各个端口的报文是否符合端口对应的行为基线,其中,一条会话至少产生一个报文,行为基线用于表征端口连接的业务终端收发的报文需要满足的条件;在存在目标端口的报文不符合目标端口对应的行为基线的情况下,按照第一预设处理规则处理目标端口的报文。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (14)

1.一种消息处理方法,其特征在于,包括:
对目标交换机的各个端口的会话日志进行采集,其中,所述目标交换机为多个业务终端设备连接的第一个接入交换机,每个所述业务终端设备对应连接所述目标交换机的一个端口;
基于所述各个端口的会话日志,分别判断经过所述各个端口的报文是否符合端口对应的行为基线,其中,一条会话至少产生一个报文,所述行为基线用于表征端口连接的所述业务终端收发的报文需要满足的条件;
在存在目标端口的报文不符合所述目标端口对应的行为基线的情况下,按照第一预设处理规则处理所述目标端口的报文。
2.根据权利要求1所述的方法,其特征在于,在基于所述各个端口的会话日志,分别判断经过所述各个端口的报文是否符合端口对应的行为基线之后,所述方法还包括:
对符合行为基线的报文,按照所述报文对应的转发规则转发所述报文。
3.根据权利要求1所述的方法,其特征在于,在基于所述各个端口的会话日志,分别判断经过所述各个端口的报文是否符合端口对应的行为基线之后,所述方法还包括:
在存在目标端口的报文不符合所述目标端口对应的行为基线的情况下,触发报警信息。
4.根据权利要求1所述的方法,其特征在于,在存在目标端口的报文不符合所述目标端口对应的行为基线的情况下,按照第一预设处理规则处理所述目标端口的报文之后,所述方法还包括:
分析所述目标端口的报文是否为异常报文;
在所述目标端口的报文为异常报文的情况下,按照第二预设处理规则处理所述异常报文。
5.根据权利要求4所述的方法,其特征在于,在基于所述各个端口的会话日志,分别判断经过所述各个端口的报文是否符合端口对应的行为基线之前,所述方法还包括:
在预设时间段内获取所述各个端口的会话日志数据,并分别将所述各个端口的会话日志数据作为所述各个端口对应的训练数据集,其中,所述会话日志数据包括报文信息;
根据所述各个端口对应的训练数据集分别建立所述各个端口对应的行为基线模型,得到多个所述行为基线模型;
获取各个所述行为基线模型的模型数据,得到多组模型数据,其中,每组所述模型数据包括所述行为基线和所述第一预设处理规则,所述行为基线包括预设报文信息;
将所述多组模型数据配置到所述目标交换机的芯片中的匹配表中。
6.根据权利要求5所述的方法,其特征在于,在根据所述各个端口对应的训练数据集分别建立所述各个端口对应的行为基线模型,得到多个所述行为基线模型之前,所述方法还包括:
将所述各个端口产生的所述会话日志数据发送至所述目标交换机以外的建模终端;
在所述建模终端执行建立行为基线模型的步骤。
7.根据权利要求5所述的方法,其特征在于,在分析所述目标端口的报文是否为异常报文之后,所述方法还包括:
在所述目标端口的报文是正常报文的情况下,将所述报文添加至所述目标端口对应的训练数据集,得到更新后的训练数据集;
根据所述更新后的训练数据集训练所述目标端口对应的行为基线模型。
8.根据权利要求5所述的方法,其特征在于,基于所述各个端口的会话日志,分别判断经过所述各个端口的报文是否符合端口对应的行为基线包括:
获取经过目标端口的目标报文的报文信息,得到目标报文信息;
将所述目标报文信息与所述匹配表中所述目标端口对应的行为基线进行匹配;
在所述目标报文信息与所述目标端口对应的行为基线匹配的情况下,确定所述目标报文符合所述目标端口对应的所述行为基线。
9.根据权利要求5所述的方法,其特征在于,所述预设报文信息至少包括以下之一:报文的IP地址、报文的端口信息、报文的协议、报文的时间特征、报文的带宽特征。
10.根据权利要求8所述的方法,其特征在于,所述行为基线包括多个预设报文信息的情况下,将所述目标报文信息与所述匹配表中所述目标端口对应的行为基线进行匹配包括:
确定多个子报文信息与所述多个预设报文信息进行匹配的匹配顺序,其中,由所述多个子报文信息构成所述目标报文信息;
将各个子报文信息按照所述匹配顺序依次与所述多个预设报文信息进行匹配,其中,在前一个子报文信息与对应预设报文信息匹配的情况下,执行后一个子报文信息与对应预设报文信息的匹配步骤,直至出现子报文信与对应预设报文信息不匹配的情况。
11.根据权利要求10所述的方法,其特征在于,在存在目标端口的报文不符合所述目标端口对应的行为基线的情况下,按照第一预设处理规则处理所述目标端口的报文包括:
在目标子报文信息与对应的目标预设报文信息不匹配的情况下,按照所述第一预设处理规则中的目标子规则处理所述目标报文,其中,所述第一预设处理规则中包括多个子规则,所述目标子规则与所述目标预设报文信息之间存在对应关系。
12.一种消息处理装置,其特征在于,包括:
采集单元,用于对目标交换机的各个端口的会话日志进行采集,其中,所述目标交换机为多个业务终端设备连接的第一个接入交换机,每个所述业务终端设备对应连接所述目标交换机的一个端口;
判断单元,用于基于所述各个端口的会话日志,分别判断经过所述各个端口的报文是否符合端口对应的行为基线,其中,一条会话至少产生一个报文,所述行为基线用于表征端口连接的所述业务终端收发的报文需要满足的条件;
第一处理单元,用于在存在目标端口的报文不符合所述目标端口对应的行为基线的情况下,按照第一预设处理规则处理所述目标端口的报文。
13.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至11中任意一项所述的消息处理方法。
14.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至11中任意一项所述的消息处理方法。
CN202010432820.3A 2020-05-20 2020-05-20 消息处理方法、装置、存储介质及处理器 Active CN111698168B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010432820.3A CN111698168B (zh) 2020-05-20 2020-05-20 消息处理方法、装置、存储介质及处理器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010432820.3A CN111698168B (zh) 2020-05-20 2020-05-20 消息处理方法、装置、存储介质及处理器

Publications (2)

Publication Number Publication Date
CN111698168A true CN111698168A (zh) 2020-09-22
CN111698168B CN111698168B (zh) 2022-06-28

Family

ID=72477127

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010432820.3A Active CN111698168B (zh) 2020-05-20 2020-05-20 消息处理方法、装置、存储介质及处理器

Country Status (1)

Country Link
CN (1) CN111698168B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114866276A (zh) * 2022-03-21 2022-08-05 杭州薮猫科技有限公司 异常传输文件的终端检测方法、装置、存储介质及设备
CN117278660A (zh) * 2023-11-21 2023-12-22 华信咨询设计研究院有限公司 一种基于dpdk技术的流量过滤的协议解析方法

Citations (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070078955A1 (en) * 2005-09-15 2007-04-05 Xelor Software Pty Ltd Service quality management in packet networks
US20070226532A1 (en) * 2006-03-22 2007-09-27 Yasuhiro Matsuda Network node, switch, and network failure recovery method
CN104537120A (zh) * 2015-01-26 2015-04-22 浪潮通信信息系统有限公司 一种基于用户行为分析的dns数据挖掘系统及方法
CN104821925A (zh) * 2015-04-28 2015-08-05 福建星网锐捷网络有限公司 一种数据交互方法、系统及设备
CN104954165A (zh) * 2015-04-20 2015-09-30 华为技术有限公司 一种链路分析的方法、设备及系统
CN104965851A (zh) * 2015-04-28 2015-10-07 上海新储集成电路有限公司 一种分析数据的系统及方法
CN105071948A (zh) * 2015-07-06 2015-11-18 李雅妮 一种接入交换机的自动部署方法及装置
CN105407011A (zh) * 2015-10-26 2016-03-16 贵州电网公司信息通信分公司 一种it基础平台监控指标采集系统及采集方法
CN105703930A (zh) * 2014-11-26 2016-06-22 杭州迪普科技有限公司 基于应用的会话日志处理方法及装置
CN105723657A (zh) * 2014-09-26 2016-06-29 华为技术有限公司 交换机、控制器、系统及链路质量检测方法
US20160269288A1 (en) * 2014-06-27 2016-09-15 International Business Machines Corporation Dual purpose on-chip buffer memory for low latency switching
CN106254353A (zh) * 2016-08-05 2016-12-21 杭州迪普科技有限公司 入侵防护策略的更新方法及装置
CN106656822A (zh) * 2017-02-13 2017-05-10 北京邮电大学 一种软件定义网络流表更新的方法及装置
US20180052862A1 (en) * 2015-10-26 2018-02-22 Hitachi, Ltd. Log collection system and log collection method
CN107819695A (zh) * 2017-10-19 2018-03-20 西安电子科技大学 一种基于sdn的分布式控制负载均衡系统与方法
CN108199906A (zh) * 2018-02-07 2018-06-22 深圳市风云实业有限公司 一种sdn构架中异常流量处理方法、装置和用户终端
CN108574614A (zh) * 2017-03-10 2018-09-25 华为技术有限公司 一种报文处理方法、设备及网络系统
CN108696402A (zh) * 2017-03-31 2018-10-23 丛林网络公司 虚拟路由器的基于会话的业务统计记录
CN108833430A (zh) * 2018-06-29 2018-11-16 华中科技大学 一种软件定义网络的拓扑保护方法
CN108965208A (zh) * 2017-05-19 2018-12-07 南京骏腾信息技术有限公司 基于相关性分析的日志审计方法
CN109302323A (zh) * 2018-11-20 2019-02-01 山东超越数控电子股份有限公司 一种交换机动态监测系统
CN109639593A (zh) * 2018-12-24 2019-04-16 南京中孚信息技术有限公司 一种深度报文分析系统的升级方法及装置
CN109743195A (zh) * 2018-12-11 2019-05-10 中国联合网络通信集团有限公司 一种安全基线的核查方法和装置
CN110008462A (zh) * 2018-01-05 2019-07-12 阿里巴巴集团控股有限公司 一种命令序列检测方法及命令序列处理方法
EP3518478A1 (en) * 2018-01-29 2019-07-31 GE Aviation Systems Limited Configurable network switch for industrial control systems including deterministic networks
CN110198298A (zh) * 2018-10-11 2019-09-03 腾讯科技(深圳)有限公司 一种信息处理方法、装置及存储介质
CN110535854A (zh) * 2019-08-28 2019-12-03 南京市晨枭软件技术有限公司 一种用于工业控制系统入侵检测方法及系统
CN111049762A (zh) * 2019-12-23 2020-04-21 上海金仕达软件科技有限公司 数据采集方法、装置、存储介质及交换机

Patent Citations (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070078955A1 (en) * 2005-09-15 2007-04-05 Xelor Software Pty Ltd Service quality management in packet networks
US20070226532A1 (en) * 2006-03-22 2007-09-27 Yasuhiro Matsuda Network node, switch, and network failure recovery method
US20160269288A1 (en) * 2014-06-27 2016-09-15 International Business Machines Corporation Dual purpose on-chip buffer memory for low latency switching
CN105723657A (zh) * 2014-09-26 2016-06-29 华为技术有限公司 交换机、控制器、系统及链路质量检测方法
CN105703930A (zh) * 2014-11-26 2016-06-22 杭州迪普科技有限公司 基于应用的会话日志处理方法及装置
CN104537120A (zh) * 2015-01-26 2015-04-22 浪潮通信信息系统有限公司 一种基于用户行为分析的dns数据挖掘系统及方法
CN104954165A (zh) * 2015-04-20 2015-09-30 华为技术有限公司 一种链路分析的方法、设备及系统
CN104965851A (zh) * 2015-04-28 2015-10-07 上海新储集成电路有限公司 一种分析数据的系统及方法
CN104821925A (zh) * 2015-04-28 2015-08-05 福建星网锐捷网络有限公司 一种数据交互方法、系统及设备
CN105071948A (zh) * 2015-07-06 2015-11-18 李雅妮 一种接入交换机的自动部署方法及装置
CN105407011A (zh) * 2015-10-26 2016-03-16 贵州电网公司信息通信分公司 一种it基础平台监控指标采集系统及采集方法
US20180052862A1 (en) * 2015-10-26 2018-02-22 Hitachi, Ltd. Log collection system and log collection method
CN106254353A (zh) * 2016-08-05 2016-12-21 杭州迪普科技有限公司 入侵防护策略的更新方法及装置
CN106656822A (zh) * 2017-02-13 2017-05-10 北京邮电大学 一种软件定义网络流表更新的方法及装置
US20190296966A1 (en) * 2017-03-10 2019-09-26 Huawei Technologies Co., Ltd. Packet Processing Method, Device, and Network System
CN108574614A (zh) * 2017-03-10 2018-09-25 华为技术有限公司 一种报文处理方法、设备及网络系统
CN108696402A (zh) * 2017-03-31 2018-10-23 丛林网络公司 虚拟路由器的基于会话的业务统计记录
CN108965208A (zh) * 2017-05-19 2018-12-07 南京骏腾信息技术有限公司 基于相关性分析的日志审计方法
CN107819695A (zh) * 2017-10-19 2018-03-20 西安电子科技大学 一种基于sdn的分布式控制负载均衡系统与方法
CN110008462A (zh) * 2018-01-05 2019-07-12 阿里巴巴集团控股有限公司 一种命令序列检测方法及命令序列处理方法
EP3518478A1 (en) * 2018-01-29 2019-07-31 GE Aviation Systems Limited Configurable network switch for industrial control systems including deterministic networks
US20190238470A1 (en) * 2018-01-29 2019-08-01 Ge Aviation Systems Limited Configurable network swtich for industrial control systems including deterministic networks
CN108199906A (zh) * 2018-02-07 2018-06-22 深圳市风云实业有限公司 一种sdn构架中异常流量处理方法、装置和用户终端
CN108833430A (zh) * 2018-06-29 2018-11-16 华中科技大学 一种软件定义网络的拓扑保护方法
CN110198298A (zh) * 2018-10-11 2019-09-03 腾讯科技(深圳)有限公司 一种信息处理方法、装置及存储介质
CN109302323A (zh) * 2018-11-20 2019-02-01 山东超越数控电子股份有限公司 一种交换机动态监测系统
CN109743195A (zh) * 2018-12-11 2019-05-10 中国联合网络通信集团有限公司 一种安全基线的核查方法和装置
CN109639593A (zh) * 2018-12-24 2019-04-16 南京中孚信息技术有限公司 一种深度报文分析系统的升级方法及装置
CN110535854A (zh) * 2019-08-28 2019-12-03 南京市晨枭软件技术有限公司 一种用于工业控制系统入侵检测方法及系统
CN111049762A (zh) * 2019-12-23 2020-04-21 上海金仕达软件科技有限公司 数据采集方法、装置、存储介质及交换机

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
PETER TEOH: "DIDAFIT: Detecting Intrusions in Databases Through Fingerprinting", 《RESEARCHGATE》 *
刘强: "基于数据挖掘的入侵检测系统设计与实现", 《CNKI中国硕士论文全文数据库》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114866276A (zh) * 2022-03-21 2022-08-05 杭州薮猫科技有限公司 异常传输文件的终端检测方法、装置、存储介质及设备
CN114866276B (zh) * 2022-03-21 2024-06-11 杭州薮猫科技有限公司 异常传输文件的终端检测方法、装置、存储介质及设备
CN117278660A (zh) * 2023-11-21 2023-12-22 华信咨询设计研究院有限公司 一种基于dpdk技术的流量过滤的协议解析方法
CN117278660B (zh) * 2023-11-21 2024-03-29 华信咨询设计研究院有限公司 一种基于dpdk技术的流量过滤的协议解析方法

Also Published As

Publication number Publication date
CN111698168B (zh) 2022-06-28

Similar Documents

Publication Publication Date Title
CN109962903B (zh) 一种家庭网关安全监控方法、装置、系统和介质
US10547674B2 (en) Methods and systems for network flow analysis
CN104115463B (zh) 用于处理网络元数据的流式传输方法和系统
WO2022083226A1 (zh) 异常识别方法和系统、存储介质及电子装置
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
CN101924757A (zh) 追溯僵尸网络的方法和系统
CN112165459B (zh) 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法
US12113833B2 (en) Distributed network and security operations platform
AU2024204827A1 (en) Extensible analytics and recommendation engine for network traffic data
CN111698168B (zh) 消息处理方法、装置、存储介质及处理器
CN114679292B (zh) 基于网络空间测绘的蜜罐识别方法、装置、设备及介质
US11343143B2 (en) Using a flow database to automatically configure network traffic visibility systems
CN111314276A (zh) 一种对多个攻击行为检测的方法、装置及系统
CN112463772B (zh) 日志处理方法、装置、日志服务器及存储介质
US20240171484A1 (en) Methods and Apparatuses for Providing an Analytic Result Relating to Tunneling Traffic to a Consumer Network Function
CN112217777A (zh) 攻击回溯方法及设备
TWI704782B (zh) 骨幹網路異常流量偵測方法和系統
US11949570B2 (en) Methods, systems, and computer readable media for utilizing machine learning to automatically configure filters at a network packet broker
CN113285937B (zh) 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统
CN115633359A (zh) Pfcp会话安全检测方法、装置、电子设备和存储介质
KR102318686B1 (ko) 개선된 네트워크 보안 방법
CN113573350B (zh) 一种无线设备风险监控方法和装置
CN114221808B (zh) 安全策略部署方法、装置、计算机设备及可读存储介质
EP3474489B1 (en) A method and a system to enable a (re-)configuration of a telecommunications network
CN115221020A (zh) 一种日志规则判定方法、系统、存储介质以及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant