CN111741127A - 通信连接阻断方法、装置、电子设备及存储介质 - Google Patents
通信连接阻断方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111741127A CN111741127A CN202010713803.7A CN202010713803A CN111741127A CN 111741127 A CN111741127 A CN 111741127A CN 202010713803 A CN202010713803 A CN 202010713803A CN 111741127 A CN111741127 A CN 111741127A
- Authority
- CN
- China
- Prior art keywords
- data
- data packet
- target
- application layer
- quadruple
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种通信连接阻断方法、装置、电子设备及存储介质,从待检测报文数据流的第一数据包中解析得出源地址、源端口、目的地址及目的端口,得到目标四元组;查询第一数据表中是否存在目标四元组;若存在,获取第一数据包的确认字符值及目标四元组表示的第二数据包的序列号;当序列号与确认字符值匹配时,从第一数据包中解析出应用层数据,并确定第二数据对应的目标预设响应阻断规则;判断第一数据包的应用层数据是否满足目标预设响应阻断规则;当满足时,阻断待检测报文数据流对应的通信连接。仅对待检测报文数据流中的第一数据包进行分析,不用对整个待检测报文数据流进行会话流重组,能够节约计算及存储资源。
Description
技术领域
本申请涉及通信技术领域,特别是涉及通信连接阻断方法、装置、电子设备及存储介质。
背景技术
TCP(传输控制协议,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议。在基于TCP协议的通信连接过程中需要进行三次“握手”,三次“握手”完成,客户端和服务器端便建立了基于TCP的长连接,从而实现数据的传输。
在实际通信的过程中,不法分子可能会使用基于TCP协议的长连接向服务器端/客户端发起攻击,例如,基于长连接在短时间内向服务器端/客户端发送大量数据从而造成服务器端/客户端异常。因此在基于长连接的通信连接建立后,服务器端/客户端会采用旁路阻断的方式切断异常的基于长连接的通信连接。
相关技术中,服务器端/客户端会将基于长连接接收到的报文数据流的所有数据包进行会话重组,得到完整的通信数据,并统计单位时间内同一数据源发送的完整的通信数据的数据量,当该数据量大于一定阈值时,则切断该长连接。但是采用上述方法,需要对同一报文数据流的所有数据包进行会话重组,因为会话流重组涉及到IP(InternetProtocol,网际互连协议)分片、丢包、重传、乱序等等较多的技术问题,会增加造成性能损耗和内存开销,浪费了计算及存储资源。
发明内容
本申请实施例的目的在于提供一种通信连接阻断方法、装置、电子设备及存储介质,以实现节约计算及存储资源。具体技术方案如下:
第一方面,本申请实施例提供一种通信连接阻断方法,所述方法包括:
获取待检测报文数据流中的第一数据包,其中,所述第一数据包中携带有源地址、源端口、目的地址及目的端口;
从所述第一数据包中解析出源地址、源端口、目的地址及目的端口,得到目标四元组;
查询第一数据表中是否存在所述目标四元组,其中,所述第一数据表中存储有满足预设请求阻断规则的请求报文数据包的四元组、各四元组表示的请求报文数据包所满足的预设请求阻断规则,针对任一请求报文数据包,该请求报文数据包的四元组包括该请求报文数据包的源地址、目的地址、源端口及目的端口;
当所述第一数据表中存在所述目标四元组、且所述第一数据包为响应报文数据包时,获取所述第一数据包的确认字符值及所述目标四元组表示的第二数据包的序列号;
当所述第二数据包的序列号与所述第一数据包的确认字符值匹配时,从所述第一数据包中解析出应用层数据,并确定所述第二数据包满足的预设请求阻断规则所对应的预设响应阻断规则,得到目标预设响应阻断规则,其中,预设请求阻断规则与预设响应阻断规则之间一一对应;
判断所述第一数据包的应用层数据是否满足所述目标预设响应阻断规则;
当所述第一数据包的应用层数据满足所述目标预设响应阻断规则时,阻断所述待检测报文数据流对应的通信连接。
在一种可能的实施方式中,在所述判断所述第一数据包的应用层数据是否满足所述目标预设响应阻断规则之后,所述方法还包括:
当所述第一数据包的应用层数据满足所述目标预设响应阻断规则时,将所述目标四元组保存到第二数据表中;
在所述从所述第一数据包中解析出源地址、源端口、目的地址及目的端口,得到目标四元组之后,所述方法还包括:
查询所述第二数据表中是否存在所述目标四元组;
当所述第二数据表中存在所述目标四元组时,阻断所述待检测报文数据流对应的通信连接;
所述查询第一数据表中是否存在所述目标四元组,包括:
当所述第二数据表中不存在所述目标四元组时,查询第一数据表中是否存所述目标四元组。
在一种可能的实施方式中,在所述查询第一数据表中是否存在所述目标四元组之后,所述方法还包括:
当所述第一数据表中不存在所述目标四元组、且所述第一数据包为请求报文数据包时,从所述第一数据包中解析出应用层数据;
判断所述第一数据包的应用层数据是否满足预设请求阻断规则;
当所述第一数据包的应用层数据满足任一预设请求阻断规则时,将所述目标四元组及所述目标四元组满足的预设请求阻断规则保存到所述第一数据表中。
在一种可能的实施方式中,在所述查询第一数据表中是否存在所述目标四元组之后,所述方法还包括:
当所述第一数据表中存在所述目标四元组、且所述第一数据包为请求报文数据包时,从所述第一数据包中解析出应用层数据;
判断所述第一数据包的应用层数据是否满足预设请求阻断规则;
当所述第一数据包的应用层数据满足任一预设请求阻断规则时,根据所述第一数据包的应用层数据满足的预设请求阻断规则更新所述第一数据表中所述目标四元组对应的预设请求阻断规则。
在一种可能的实施方式中,所述方法还包括:
获取非法协议交互报文,得到样本交互报文;
提取所述样本交互报文中请求报文的应用层数据,得到第一样本应用层数据;提取所述样本交互报文中响应报文的应用层数据,得到第二样本应用层数据;
提取所述第一样本应用层数据的特征,得到预设请求阻断规则;提取所述第二样本应用层数据的特征,得到预设响应阻断规则。
第二方面,本申请实施例提供了一种通信连接阻断装置,所述装置包括:
数据包获取模块,用于获取待检测报文数据流中的第一数据包,其中,所述第一数据包中携带有源地址、源端口、目的地址及目的端口;
端口数据获取模块,用于从所述第一数据包中解析出源地址、源端口、目的地址及目的端口,得到目标四元组;
第一数据表查询模块,用于查询第一数据表中是否存在所述目标四元组,其中,所述第一数据表中存储有满足预设请求阻断规则的请求报文数据包的四元组、各四元组表示的请求报文数据包所满足的预设请求阻断规则,针对任一请求报文数据包,该请求报文数据包的四元组包括该请求报文数据包的源地址、目的地址、源端口及目的端口;
序列号获取模块,用于当所述第一数据表中存在所述目标四元组、且所述第一数据包为响应报文数据包时,获取所述第一数据包的确认字符值及所述目标四元组表示的第二数据包的序列号;
阻断规则获取模块,用于当所述第二数据包的序列号与所述第一数据包的确认字符值匹配时,从所述第一数据包中解析出应用层数据,并确定所述第二数据包满足的预设请求阻断规则所对应的预设响应阻断规则,得到目标预设响应阻断规则,其中,预设请求阻断规则与预设响应阻断规则之间一一对应;
第一规则匹配模块,用于判断所述第一数据包的应用层数据是否满足所述目标预设响应阻断规则;
第一阻断模块,用于当所述第一数据包的应用层数据满足所述目标预设响应阻断规则时,阻断所述待检测报文数据流对应的通信连接。
在一种可能的实施方式中,所述装置还包括:
第二数据表更新模块,用于当所述第一数据包的应用层数据满足所述目标预设响应阻断规则时,将所述目标四元组保存到第二数据表中;
第二数据表查询模块,用于查询所述第二数据表中是否存在所述目标四元组;当所述第二数据表中存在所述目标四元组时,阻断所述待检测报文数据流对应的通信连接;
所述第一数据表查询模块,具体用于当所述第二数据表中不存在所述目标四元组时,查询第一数据表中是否存在所述目标四元组。
在一种可能的实施方式中,所述装置还包括:
第一数据解析模块,用于当所述第一数据表中不存在所述目标四元组、且所述第一数据包为请求报文数据包时,从所述第一数据包中解析出应用层数据;
第二规则匹配模块,用于判断所述第一数据包的应用层数据是否满足预设请求阻断规则;
第一数据表写入模块,用于当所述第一数据包的应用层数据满足任一预设请求阻断规则时,将所述目标四元组及所述目标四元组满足的预设请求阻断规则保存到所述第一数据表中。
在一种可能的实施方式中,所述装置还包括:
第二数据解析模块,用于当所述第一数据表中存在所述目标四元组、且所述第一数据包为请求报文数据包时,从所述第一数据包中解析出应用层数据;
第三规则匹配模块,用于判断所述第一数据包的应用层数据是否满足预设请求阻断规则;
第一数据表更新模块,用于当所述第一数据包的应用层数据满足任一预设请求阻断规则时,根据所述第一数据包的应用层数据满足的预设请求阻断规则更新所述第一数据表中所述目标四元组对应的预设请求阻断规则。
在一种可能的实施方式中,所述装置还包括:阻断规则获取模块,用于获取非法协议交互报文,得到样本交互报文;提取所述样本交互报文中请求报文的应用层数据,得到第一样本应用层数据;提取所述样本交互报文中响应报文的应用层数据,得到第二样本应用层数据;提取所述第一样本应用层数据的特征,得到预设请求阻断规则;提取所述第二样本应用层数据的特征,得到预设响应阻断规则。
第三方面,本申请实施例提供了一种电子设备,包括处理器及存储器;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序时,实现上述任一所述的通信连接阻断方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的通信连接阻断方法。
本申请实施例提供的通信连接阻断方法、装置、电子设备及存储介质,获取待检测报文数据流中的第一数据包,其中,第一数据包中携带有源地址及目的端口;从第一数据包中解析出源地址、源端口、目的地址及目的端口,得到目标四元组;查询第一数据表中是否存在目标四元组;当第一数据表中存在目标四元组、且第一数据包为响应报文数据包时,获取第一数据包的确认字符值及目标四元组表示的第二数据包的序列号;当第二数据包的序列号与第一数据包的确认字符值匹配时,从第一数据包中解析出应用层数据,并确定第二数据包满足的预设请求阻断规则所对应的预设响应阻断规则,得到目标预设响应阻断规则;判断第一数据包的应用层数据是否满足目标预设响应阻断规则; 当第一数据包的应用层数据满足目标预设响应阻断规则时,阻断待检测报文数据流对应的通信连接。仅对待检测报文数据流中的第一数据包进行分析,不用对整个待检测报文数据流进行会话流重组,能够节约计算及存储资源。当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的通信连接阻断方法的第一种示意图;
图2为本申请实施例的通信连接阻断方法的第二种示意图;
图3为本申请实施例的通信连接阻断方法的第三种示意图;
图4为本申请实施例的通信连接阻断方法的第四种示意图;
图5为本申请实施例的预设响应阻断规则及预设请求阻断规则获取方法的第一种示意图;
图6为本申请实施例的预设响应阻断规则及预设请求阻断规则获取方法的第二种示意图;;
图7为本申请实施例的通信连接阻断方法的第五种示意图;
图8为本申请实施例的通信连接阻断装置的一种示意图;
图9为本申请实施例的电子设备的一种示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
首先,对本申请中的术语进行解释:
应用协议识别:本文应用协议指网络通信过程,通信双方所使用的报文。其内容包括定义消息的内容、消息类型的语法结构、域所包含的信息的含义,确定通信程序何时发送消息和接收消息的规则。而应用协议识别指对该网络通信报文进行检测识别该指定端口在使用何种应用协议进行通信。
旁路阻断:旁路阻断指的是在交换机或相关设备中将旁路监听通信链路中的流量报文,并利用TCP Reset(重置)阻断技术进行TCP会话重置,造成TCP无法正常通信。
本申请实施例提供了一种通信连接阻断方法,参见图1,该方法包括:
S101,获取待检测报文数据流中的第一数据包,其中,上述第一数据包中携带有源地址、源端口、目的地址及目的端口。
本申请实施例的通信连接阻断方法应用于能够进行长连接通信的电子设备,具体的,该电子设备可以为服务器、个人电脑、智能手机、智能摄像机或硬盘录像机等。本申请实施例中的长连接可以为基于TCP协议的通信连接。
待检测报文数据流为一次数据传输过程中的多个数据包的集合,第一数据包为携带有源地址、源端口、目的地址及目的端口的数据包。可以通过预设的抓包工具进行抓包,从而得到第一数据包。第一数据包可以通过预设规则与除第一数据包外的其他数据包进行区分,预设规则为用于区分第一数据包及其他数据包的规则,例如第一数据可以采用预设格式或预设字段等与其他数据包进行区分。一种实施方式中,在一次数据传输的过程中,将第一数据包作为第一个数据包进行发送,此时获取待检测报文数据流中的第一个数据包作为第一数据包。
S102,从上述第一数据包中解析出源地址、源端口、目的地址及目的端口,得到目标四元组。
将第一数据包的源地址(一般用IP地址表示,也称为源IP地址)、源端口、目的地址及目的端口(一般用端口号表示),称为目标四元组。
S103,查询第一数据表中是否存在目标四元组,其中,上述第一数据表中存储有满足预设请求阻断规则的请求报文数据包的四元组、各四元组表示的请求报文数据包所满足的预设请求阻断规则,针对任一请求报文数据包,该请求报文数据包的四元组包括该请求报文数据包的源地址、目的地址、源端口及目的端口。
第一数据表中存储有满足预设请求阻断规则的请求报文数据包的四元组,同时还存储有每个四元组表示的请求报文数据包所满足的预设请求阻断规则。请求报文数据包的四元组包括该请求报文数据包的源地址、目的地址(一般用IP地址表示,也称为目的IP地址)、源端口(一般用端口号表示)及目的端口,四元组的指针指向该四元组表示的请求报文数据包。可选的,第一数据表可以为哈希表,此时也可以将第一数据表称为关联分析哈希表。采用哈希表存储四元组,四元组检索及读取效率高。
查询第一数据表,判断第一数据表中是否存在目标四元组,即判断第一数据表中是否存在一个四元组的源地址、源端口、目的地址及目的端口与目标四元组的源地址、源端口、目的地址及目的端口相同。
S104,当上述第一数据表中存在上述目标四元组、且上述第一数据包为响应报文数据包时,获取上述第一数据包的确认字符值及上述目标四元组表示的第二数据包的序列号。
若第一数据表中存在目标四元组、且第一数据包为响应报文数据包,则解析出第一数据包的ACK (Acknowledge Character,确认字符)值,同时按照目标四元组查询目标四元组表示的请求报文数据包,即第二数据包,从而获取第二数据包的序列号。
S105,当上述第二数据包的序列号与上述第一数据包的确认字符值匹配时,从上述第一数据包中解析出应用层数据,并确定上述第二数据包满足的预设请求阻断规则所对应的预设响应阻断规则,得到目标预设响应阻断规则,其中,预设请求阻断规则与预设响应阻断规则之间一一对应。
在长连接中,同一长连接的请求报文的序列号与响应报文的ACK值是存在匹配关系的。以TCP协议的长连接为例,基于TCP协议的同一长连接其响应报文的ACK值等于请求报文的Seq+len(payload),其中,Seq为请求报文的序列号,len(payload)为报文载荷内容的长度
若第一数据包的ACK值等于第二数据包的Seq+len(payload)则表示第二数据包的序列号与第一数据包的确认字符值匹配,否则表示第二数据包的序列号与第一数据包的确认字符值不匹配。
当第二数据包的序列号与上述第一数据包的确认字符值匹配时,从第一数据包中解析出应用层数据,应用层数据为报文的数据部分中的数据,即实际通信的数据内容,例如,请求、图像或声音等。
从第一数据表中获取第二数据包满足的预设请求阻断规则,并按照预设映射关系,获取第二数据包满足的预设请求阻断规则所对应的预设响应阻断规则,作为目标预设响应阻断规则。预设映射关系中记录了预设请求阻断规则与预设响应阻断规则之间的对应关系,且预设请求阻断规则与预设响应阻断规则一一对应。
S106,判断上述第一数据包的应用层数据是否满足目标预设响应阻断规则。
提取第一数据包的应用层数据,判断第一数据包的应用层数据是否与目标预设响应阻断规则的特征相匹配,如果匹配则判定第一数据包的应用层数据满足目标预设响应阻断规则,否则判定第一数据包的应用层数据不满足目标预设响应阻断规则。
S107,当上述第一数据包的应用层数据满足上述目标预设响应阻断规则时,阻断上述待检测报文数据流对应的通信连接。
当第一数据包的应用层数据满足目标预设响应阻断规则时,阻断待检测报文数据流对应的通信连接,具体可以通过相关技术中的旁路阻断方法阻断待检测报文数据流对应的通信连接,此处不做具体限定。
为了保证本申请通信连接阻断方法的准确性,请求报文大小应当不大于一个MTU(Maximum Transmission Unit,最大传输单元),响应报文可以为任意长度。协议识别关键特征应当分别存在于请求报文和响应报文的第一个数据包中。请求报文或响应报文至少一方不可伪造性。
在本申请实施例中,仅对待检测报文数据流中的第一数据包进行分析,不用对整个待检测报文数据流进行会话流重组,能够节约计算及存储资源。
在一种可能的实施方式中,参见图2,在上述判断上述第一数据包的应用层数据是否满足目标预设响应阻断规则之后,上述方法还包括:
S108,当上述第一数据包的应用层数据满足上述目标预设响应阻断规则时,将上述目标四元组保存到第二数据表中。
第二数据表中存储有需要阻断的通讯的四元组,当确定需要阻断第一数据包对应的通信连接时,将第一数据包的四元组添加到第二数据表中。可选的,第二数据表可以为哈希表,此时也可以将第二数据表称为阻断哈希表。
在上述从上述第一数据包中解析出源地址、源端口、目的地址及目的端口,得到目标四元组之后,上述方法还包括:
S109,查询上述第二数据表中是否存上述目标四元组。
查询第二数据表,判断第二数据表中是否存在目标四元组,即判断第二数据表中是否存在一个四元组的源地址、源端口、目的地址及目的端口与目标四元组的源地址、源端口、目的地址及目的端口相同。
S110,当上述第二数据表中存在上述目标四元组时,阻断上述待检测报文数据流对应的通信连接;
上述查询第一数据表中是否存在上述目标四元组,包括:
S1031,当上述第二数据表中不存在上述目标四元组时,查询第一数据表中是否存在上述目标四元组。
在本申请实施例中,当第二数据表中存在目标四元组时,说明待检测报文数据流对应的通信连接应当被阻断,因此阻断待检测报文数据流对应的通信连接。
在一次或较少次数匹配预设响应阻断规则成功后,将该通信对应的四元组存储在第二数据表中,后续可以仅根据报文的四元组查询第二数据表即可实现阻断的快速判断,无需进行应用层数据的检测,大大降低了阻断判断的复杂度,节约计算及存储资源。
在一种可能的实施方式中,参见图3,在上述查询第一数据表中是否存在上述目标四元组之后,上述方法还包括:
S111,当上述第一数据表中不存在上述目标四元组、且上述第一数据包为请求报文数据包时,从上述第一数据包中解析出应用层数据。
S112,判断上述第一数据包的应用层数据是否满足预设请求阻断规则。
可选的,若在所有的预设请求阻断规则中,第一数据包的应用层数据一个也不满足,可以直接丢弃第一数据包。
S113,当上述第一数据包的应用层数据满足任一预设请求阻断规则时,将上述目标四元组及上述目标四元组满足的预设请求阻断规则保存到上述第一数据表中。
当第一数据表中未存储有目标四元组、且第一数据包的应用层数据满足任一预设请求阻断规则时,将第一数据表的四元组数据存储至第一数据表中,同时关联存储第一数据包的应用层数据满足的预设请求阻断规则。
在本申请实施例中,将同一通信连接中的请求报文与响应报文分别进行预设请求阻断规则及预设响应阻断规则的检测,能够实现对通信连接的双向检测,能够在请求报文或响应报文至少一方不是伪造的情况下,准确进行阻断判断识别,相比于仅进行单向检测,大大提高了通信连接阻断的准确率。
在一种可能的实施方式中,参见图4,在上述查询第一数据表中是否存在上述目标四元组之后,上述方法还包括:
S114,当上述第一数据表中存在上述目标四元组、且上述第一数据包为请求报文数据包时,从上述第一数据包中解析出应用层数据。
S115,判断上述第一数据包的应用层数据是否满足预设请求阻断规则。
可选的,当第一数据包的应用层数据不满足预设请求阻断规则时,可以直接丢弃第一数据包。
S116,当上述第一数据包的应用层数据满足任一预设请求阻断规则时,根据上述第一数据包的应用层数据满足的预设请求阻断规则更新上述第一数据表中上述目标四元组对应的预设请求阻断规则。
目标四元组对应的预设请求阻断规则即为目标四元组对应的请求报文数据包满足的预设请求阻断规则,可以将第一数据表中目标四元组对应的预设请求阻断规则更新为第一数据包的应用层数据满足的预设请求阻断规则。
在本申请实施例中,对第一数据表中的四元组对应的预设请求阻断规则进行更新,提高第一数据表中数据的实时性,能够增加阻断判断的准确度,从而提高通信连接阻断的准确率。
在一种可能的实施方式中,参见图5,获取预设响应阻断规则及预设请求阻断规则的方法包括:
S117,获取非法协议交互报文,得到样本交互报文。
此处的非法协议交互报文是指与规定的合法协议所使用的协议不同的报文,例如,可以为具备通用性或高频次发送的交互报文。样本交互报文包括请求报文及响应报文。
S118,提取上述样本交互报文中请求报文的应用层数据,得到第一样本应用层数据;提取上述样本交互报文中响应报文的应用层数据,得到第二样本应用层数据。
S119,提取上述第一样本应用层数据的特征,得到预设请求阻断规则;提取上述第二样本应用层数据的特征,得到预设响应阻断规则。
可选的,预设响应阻断规则及预设请求阻断规则的获取方法可以参见图6,包括:
步骤一,利用预设抓包工具获取非法协议交互报文,提取具备通用性或高频次发送的交互报文,以下称为PU(Packet unit)报文。
步骤二,PU报文拆分为PU-req(请求报文),PU-rsp(响应报文)。
步骤三,提取PU-req特征形成匹配规则rule_req,即预设请求阻断规则。
步骤四,提取PU-rsp特征形成匹配规则rule_rsp,即预设响应阻断规则。
步骤五,组合rule_req、rule_rsp指定命中后续action(行为),完成一条规则rule_proto编写,其中,一条rule_proto包括一个rule_req及该rule_req对应的rule_rsp。
本申请实施例还提供了一种通信连接阻断方法,参见图7,包括:
S201,捕获待检测报文数据流,提取待检测报文数据中PktA源IP地址、源端口、目的IP地址及目的端口,得到目标四元组。
从待检测报文数据流中抓取第一数据包:PktA,从PktA中提取源地址、源端口、目的IP地址及目的端口,作为目标四元组,查询第二数据表中是否存在目标四元组。
S202,判断目标四元组是否在于第二数据表中,若判断结果为是,则执行S203。
S203,发送TCP阻断报文,报文处理结束。
S204,若S202判断结果为否,判断PktA的目标四元组是否存在于第一数据表中。
S205,若S204判断结果为是,判断是否存在报文PktB且其Seq+len(payload)等于PktA的ACK值。
S206,若S204判断结果为否,解析PktA中的应用层数据,使用所属规则的rule_req进行匹配检测,并判断是否满足rule_req,若该判断结果为否,执行S208。
S207,若S205判断结果为是,解析PktA中的应用层数据,使用PktB满足的rule_req所对应的rule_rsq进行匹配检测,并判断是否满足该rule_rsp,若该判断结果为否,执行S208。
S208,若S205/S206/S207判断结果为否,丢弃报文。
S209,若S206判断结果为是,将PktA的四元组及其命中的规则添加到第一数据表中。
S210,若S207判断结果为是,将目标四元组添加到第二数据表中,并执行S203。
本申请实施例还提供了一种通信连接阻断装置,参见图8,该装置包括:
数据包获取模块801,用于获取待检测报文数据流中的第一数据包,其中,所述第一数据包中携带有源地址、源端口、目的地址及目的端口;
端口数据获取模块802,用于从上述第一数据包中解析出源地址、源端口、目的地址及目的端口,得到目标四元组;
第一数据表查询模块803,用于查询第一数据表中是否存在同时包括上述第一源地址及上述第一目的端口的目标四元组,其中,上述第一数据表中存储有满足预设请求阻断规则的请求报文数据包的四元组、各四元组表示的请求报文数据包所满足的预设请求阻断规则,针对任一请求报文数据包,该请求报文数据包的四元组包括该请求报文数据包的源地址、目的地址、源端口及目的端口;
序列号获取模块804,用于当上述第一数据表中存在上述目标四元组、且上述第一数据包为响应报文数据包时,获取上述第一数据包的确认字符值及上述目标四元组表示的第二数据包的序列号;
阻断规则获取模块805,用于当上述第二数据包的序列号与上述第一数据包的确认字符值匹配时,从上述第一数据包中解析出应用层数据,并确定上述第二数据包满足的预设请求阻断规则所对应的预设响应阻断规则,得到目标预设响应阻断规则,其中,预设请求阻断规则与预设响应阻断规则之间一一对应;
第一规则匹配模块806,用于判断上述第一数据包的应用层数据是否满足目标预设响应阻断规则;
第一阻断模块807,用于当上述第一数据包的应用层数据满足上述目标预设响应阻断规则时,阻断上述待检测报文数据流对应的通信连接。
在一种可能的实施方式中,上述装置还包括:
第二数据表更新模块,用于当上述第一数据包的应用层数据满足上述目标预设响应阻断规则时,将上述目标四元组保存到第二数据表中;
第二数据表查询模块,用于查询上述第二数据表中是否存在上述目标四元组;当上述第二数据表中存在上述目标四元组时,阻断上述待检测报文数据流对应的通信连接;
上述第一数据表查询模块,具体用于当上述第二数据表中不存在上述目标四元组时,查询第一数据表中是否存在上述目标四元组。
在一种可能的实施方式中,上述装置还包括:
第一数据解析模块,用于当上述第一数据表中不存在上述目标四元组、且上述第一数据包为请求报文数据包时,从上述第一数据包中解析出应用层数据;
第二规则匹配模块,用于判断上述第一数据包的应用层数据是否满足预设请求阻断规则;
第一数据表写入模块,用于当上述第一数据包的应用层数据满足任一预设请求阻断规则时,将上述目标四元组及上述目标四元组满足的预设请求阻断规则保存到上述第一数据表中。
在一种可能的实施方式中,上述装置还包括:
第二数据解析模块,用于当上述第一数据表中存在上述目标四元组、且上述第一数据包为请求报文数据包时,从上述第一数据包中解析出应用层数据;
第三规则匹配模块,用于判断上述第一数据包的应用层数据是否满足预设请求阻断规则;
第一数据表更新模块,用于当上述第一数据包的应用层数据满足任一预设请求阻断规则时根据上述第一数据包的应用层数据满足的预设请求阻断规则更新上述第一数据表中上述目标四元组对应的预设请求阻断规则。
在一种可能的实施方式中,上述装置还包括:阻断规则获取模块,用于获取非法协议交互报文,得到样本交互报文;提取上述样本交互报文中请求报文的应用层数据,得到第一样本应用层数据;提取上述样本交互报文中响应报文的应用层数据,得到第二样本应用层数据;提取上述第一样本应用层数据的特征,得到预设请求阻断规则;提取上述第二样本应用层数据的特征,得到预设响应阻断规则。
本申请实施例还提供了一种电子设备,包括:处理器及存储器;
上述存储器,用于存放计算机程序;
上述处理器用于执行上述存储器存放的计算机程序时,实现如下步骤:
获取待检测报文数据流中的第一数据包,其中,所述第一数据包中携带有源地址、源端口、目的地址及目的端口;
从上述第一数据包中解析出源地址、源端口、目的地址及目的端口,得到目标四元组;
查询第一数据表中是否存在上述目标四元组,其中,上述第一数据表中存储有满足预设请求阻断规则的请求报文数据包的四元组、各四元组表示的请求报文数据包所满足的预设请求阻断规则,针对任一请求报文数据包,该请求报文数据包的四元组包括该请求报文数据包的源地址、目的地址、源端口及目的端口;
当上述第一数据表中存在上述目标四元组、且上述第一数据包为响应报文数据包时,获取上述第一数据包的确认字符值及上述目标四元组表示的第二数据包的序列号;
当上述第二数据包的序列号与上述第一数据包的确认字符值匹配时,从上述第一数据包中解析出应用层数据,并确定上述第二数据包满足的预设请求阻断规则所对应的预设响应阻断规则,得到目标预设响应阻断规则,其中,预设请求阻断规则与预设响应阻断规则之间一一对应;
判断上述第一数据包的应用层数据是否满足目标预设响应阻断规则;
当上述第一数据包的应用层数据满足上述目标预设响应阻断规则时,阻断上述待检测报文数据流对应的通信连接。
可选的,参见图9,本申请实施例的电子设备还包括通信接口902和通信总线904,其中,处理器901,通信接口902,存储器903通过通信总线904完成相互间的通信。
可选的,上述处理器用于执行上述存储器存放的计算机程序时,还能够实现上述任一通信连接阻断方法。
上述电子设备提到的通信总线可以是PCI(Peripheral ComponentInterconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例还提供了一种计算机可读存储介质,上述计算机可读存储介质内存储有计算机程序,上述计算机程序被处理器执行时实现上述任一通信连接阻断方法。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一通信连接阻断方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk (SSD))等。
需要说明的是,在本文中,各个可选方案中的技术特征只要不矛盾均可组合来形成方案,这些方案均在本申请公开的范围内。诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、存储介质及计算机程序产品的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (12)
1.一种通信连接阻断方法,其特征在于,所述方法包括:
获取待检测报文数据流中的第一数据包,其中,所述第一数据包中携带有源地址、源端口、目的地址及目的端口;
从所述第一数据包中解析出源地址、源端口、目的地址及目的端口,得到目标四元组;
查询第一数据表中是否存在所述目标四元组,其中,所述第一数据表中存储有满足预设请求阻断规则的请求报文数据包的四元组、各四元组表示的请求报文数据包所满足的预设请求阻断规则,针对任一请求报文数据包,该请求报文数据包的四元组包括该请求报文数据包的源地址、目的地址、源端口及目的端口;
当所述第一数据表中存在所述目标四元组、且所述第一数据包为响应报文数据包时,获取所述第一数据包的确认字符值及所述目标四元组表示的第二数据包的序列号;
当所述第二数据包的序列号与所述第一数据包的确认字符值匹配时,从所述第一数据包中解析出应用层数据,并确定所述第二数据包满足的预设请求阻断规则所对应的预设响应阻断规则,得到目标预设响应阻断规则,其中,预设请求阻断规则与预设响应阻断规则之间一一对应;
判断所述第一数据包的应用层数据是否满足所述目标预设响应阻断规则;
当所述第一数据包的应用层数据满足所述目标预设响应阻断规则时,阻断所述待检测报文数据流对应的通信连接。
2.根据权利要求1所述的方法,其特征在于,在所述判断所述第一数据包的应用层数据是否满足所述目标预设响应阻断规则之后,所述方法还包括:
当所述第一数据包的应用层数据满足所述目标预设响应阻断规则时,将所述目标四元组保存到第二数据表中;
在所述从所述第一数据包中解析出源地址、源端口、目的地址及目的端口,得到目标四元组之后,所述方法还包括:
查询所述第二数据表中是否存在所述目标四元组;
当所述第二数据表中存在所述目标四元组时,阻断所述待检测报文数据流对应的通信连接;
所述查询第一数据表中是否存在所述目标四元组,包括:
当所述第二数据表中不存在所述目标四元组时,查询第一数据表中是否存所述目标四元组。
3.根据权利要求1所述的方法,其特征在于,在所述查询第一数据表中是否存在所述目标四元组之后,所述方法还包括:
当所述第一数据表中不存在所述目标四元组、且所述第一数据包为请求报文数据包时,从所述第一数据包中解析出应用层数据;
判断所述第一数据包的应用层数据是否满足预设请求阻断规则;
当所述第一数据包的应用层数据满足任一预设请求阻断规则时,将所述目标四元组及所述目标四元组满足的预设请求阻断规则保存到所述第一数据表中。
4.根据权利要求1所述的方法,其特征在于,在所述查询第一数据表中是否存在所述目标四元组之后,所述方法还包括:
当所述第一数据表中存在所述目标四元组、且所述第一数据包为请求报文数据包时,从所述第一数据包中解析出应用层数据;
判断所述第一数据包的应用层数据是否满足预设请求阻断规则;
当所述第一数据包的应用层数据满足任一预设请求阻断规则时,根据所述第一数据包的应用层数据满足的预设请求阻断规则更新所述第一数据表中所述目标四元组对应的预设请求阻断规则。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取非法协议交互报文,得到样本交互报文;
提取所述样本交互报文中请求报文的应用层数据,得到第一样本应用层数据;提取所述样本交互报文中响应报文的应用层数据,得到第二样本应用层数据;
提取所述第一样本应用层数据的特征,得到预设请求阻断规则;提取所述第二样本应用层数据的特征,得到预设响应阻断规则。
6.一种通信连接阻断装置,其特征在于,所述装置包括:
数据包获取模块,用于获取待检测报文数据流中的第一数据包,其中,所述第一数据包中携带有源地址、源端口、目的地址及目的端口;
端口数据获取模块,用于从所述第一数据包中解析出源地址、源端口、目的地址及目的端口,得到目标四元组;
第一数据表查询模块,用于查询第一数据表中是否存在所述目标四元组,其中,所述第一数据表中存储有满足预设请求阻断规则的请求报文数据包的四元组、各四元组表示的请求报文数据包所满足的预设请求阻断规则,针对任一请求报文数据包,该请求报文数据包的四元组包括该请求报文数据包的源地址、目的地址、源端口及目的端口;
序列号获取模块,用于当所述第一数据表中存在所述目标四元组、且所述第一数据包为响应报文数据包时,获取所述第一数据包的确认字符值及所述目标四元组表示的第二数据包的序列号;
阻断规则获取模块,用于当所述第二数据包的序列号与所述第一数据包的确认字符值匹配时,从所述第一数据包中解析出应用层数据,并确定所述第二数据包满足的预设请求阻断规则所对应的预设响应阻断规则,得到目标预设响应阻断规则,其中,预设请求阻断规则与预设响应阻断规则之间一一对应;
第一规则匹配模块,用于判断所述第一数据包的应用层数据是否满足所述目标预设响应阻断规则;
第一阻断模块,用于当所述第一数据包的应用层数据满足所述目标预设响应阻断规则时,阻断所述待检测报文数据流对应的通信连接。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二数据表更新模块,用于当所述第一数据包的应用层数据满足所述目标预设响应阻断规则时,将所述目标四元组保存到第二数据表中;
第二数据表查询模块,用于查询所述第二数据表中是否存在所述目标四元组;当所述第二数据表中存在所述目标四元组时,阻断所述待检测报文数据流对应的通信连接;
所述第一数据表查询模块,具体用于当所述第二数据表中不存在所述目标四元组时,查询第一数据表中是否存在所述目标四元组。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一数据解析模块,用于当所述第一数据表中不存在所述目标四元组、且所述第一数据包为请求报文数据包时,从所述第一数据包中解析出应用层数据;
第二规则匹配模块,用于判断所述第一数据包的应用层数据是否满足预设请求阻断规则;
第一数据表写入模块,用于当所述第一数据包的应用层数据满足任一预设请求阻断规则时,将所述目标四元组及所述目标四元组满足的预设请求阻断规则保存到所述第一数据表中。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第二数据解析模块,用于当所述第一数据表中存在所述目标四元组、且所述第一数据包为请求报文数据包时,从所述第一数据包中解析出应用层数据;
第三规则匹配模块,用于判断所述第一数据包的应用层数据是否满足预设请求阻断规则;
第一数据表更新模块,用于当所述第一数据包的应用层数据满足任一预设请求阻断规则时,根据所述第一数据包的应用层数据满足的预设请求阻断规则更新所述第一数据表中所述目标四元组对应的预设请求阻断规则。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:阻断规则获取模块,用于获取非法协议交互报文,得到样本交互报文;提取所述样本交互报文中请求报文的应用层数据,得到第一样本应用层数据;提取所述样本交互报文中响应报文的应用层数据,得到第二样本应用层数据;提取所述第一样本应用层数据的特征,得到预设请求阻断规则;提取所述第二样本应用层数据的特征,得到预设响应阻断规则。
11.一种电子设备,其特征在于,包括处理器及存储器;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序时,实现权利要求1-5任一所述的通信连接阻断方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一所述的通信连接阻断方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010713803.7A CN111741127B (zh) | 2020-07-23 | 2020-07-23 | 通信连接阻断方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010713803.7A CN111741127B (zh) | 2020-07-23 | 2020-07-23 | 通信连接阻断方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111741127A true CN111741127A (zh) | 2020-10-02 |
CN111741127B CN111741127B (zh) | 2020-11-13 |
Family
ID=72657296
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010713803.7A Active CN111741127B (zh) | 2020-07-23 | 2020-07-23 | 通信连接阻断方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111741127B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112738110A (zh) * | 2020-12-30 | 2021-04-30 | 绿盟科技集团股份有限公司 | 一种旁路阻断方法、装置、电子设备和存储介质 |
CN114745176A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 数据传输控制方法、装置、计算机设备和存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090161680A1 (en) * | 2007-12-21 | 2009-06-25 | Nec Corporation | Gateway apparatus, packet forwarding method, and program |
CN103051605A (zh) * | 2012-11-21 | 2013-04-17 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和系统 |
CN105610852A (zh) * | 2016-01-15 | 2016-05-25 | 腾讯科技(深圳)有限公司 | 处理ack洪泛攻击的方法和装置 |
CN106911644A (zh) * | 2015-12-23 | 2017-06-30 | 中国移动通信集团广西有限公司 | 一种报文重组方法和设备 |
CN109450940A (zh) * | 2018-12-25 | 2019-03-08 | 南京中新赛克科技有限责任公司 | 一种实现网络流量封堵的装置和方法 |
CN110868380A (zh) * | 2018-12-19 | 2020-03-06 | 北京安天网络安全技术有限公司 | 网络流量安全监测方法、装置、电子设备及存储介质 |
-
2020
- 2020-07-23 CN CN202010713803.7A patent/CN111741127B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090161680A1 (en) * | 2007-12-21 | 2009-06-25 | Nec Corporation | Gateway apparatus, packet forwarding method, and program |
CN103051605A (zh) * | 2012-11-21 | 2013-04-17 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和系统 |
CN106911644A (zh) * | 2015-12-23 | 2017-06-30 | 中国移动通信集团广西有限公司 | 一种报文重组方法和设备 |
CN105610852A (zh) * | 2016-01-15 | 2016-05-25 | 腾讯科技(深圳)有限公司 | 处理ack洪泛攻击的方法和装置 |
CN110868380A (zh) * | 2018-12-19 | 2020-03-06 | 北京安天网络安全技术有限公司 | 网络流量安全监测方法、装置、电子设备及存储介质 |
CN109450940A (zh) * | 2018-12-25 | 2019-03-08 | 南京中新赛克科技有限责任公司 | 一种实现网络流量封堵的装置和方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112738110A (zh) * | 2020-12-30 | 2021-04-30 | 绿盟科技集团股份有限公司 | 一种旁路阻断方法、装置、电子设备和存储介质 |
CN114745176A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 数据传输控制方法、装置、计算机设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111741127B (zh) | 2020-11-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108156056B (zh) | 网络质量测量方法及其装置 | |
CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
CN107294982B (zh) | 网页后门检测方法、装置及计算机可读存储介质 | |
CN110519265B (zh) | 一种防御攻击的方法及装置 | |
US20150350232A1 (en) | Method, Device and System for Recognizing Network Behavior of Program | |
CN111741127B (zh) | 通信连接阻断方法、装置、电子设备及存储介质 | |
WO2019228369A1 (zh) | 消息处理方法及相关产品 | |
CN115398860A (zh) | 一种会话检测方法、装置、检测设备及计算机存储介质 | |
CN110888838A (zh) | 基于对象存储的请求处理方法、装置、设备及存储介质 | |
CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
CN113574841A (zh) | 一种信息处理方法及装置、设备、存储介质 | |
CN110719215A (zh) | 虚拟网络的流信息采集方法及装置 | |
CN104333483A (zh) | 互联网应用流量识别方法、系统及识别装置 | |
CN115002025B (zh) | 一种数据安全传输方法、系统及云平台 | |
CN104333461A (zh) | 互联网应用流量识别方法、系统及识别装置 | |
WO2022183794A1 (zh) | 一种流量处理方法、及防护系统 | |
CN114070800B (zh) | 一种结合深度包检测和深度流检测的secs2流量快速识别方法 | |
CN110798451A (zh) | 一种安全认证的方法及装置 | |
CN110830416A (zh) | 网络入侵检测方法和装置 | |
US11003513B2 (en) | Adaptive event aggregation | |
CN114697066A (zh) | 网络威胁检测方法和装置 | |
CN112637223A (zh) | 应用协议识别方法、装置、计算机设备和存储介质 | |
KR20060063564A (ko) | 샘플링과 시그너쳐 검색 기능을 구비한 인터넷 프로토콜패킷 수집 장치 및 그 방법 | |
CN114050917B (zh) | 音频数据的处理方法、装置、终端、服务器及存储介质 | |
CN110868360B (zh) | 流量统计方法、电子设备、系统及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |