CN112104523B - 流量透传的检测方法、装置、设备及存储介质 - Google Patents

流量透传的检测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN112104523B
CN112104523B CN202010951339.5A CN202010951339A CN112104523B CN 112104523 B CN112104523 B CN 112104523B CN 202010951339 A CN202010951339 A CN 202010951339A CN 112104523 B CN112104523 B CN 112104523B
Authority
CN
China
Prior art keywords
transparent transmission
request messages
domain name
address
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010951339.5A
Other languages
English (en)
Other versions
CN112104523A (zh
Inventor
兰婷
赵越
王瑜
孙宏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202010951339.5A priority Critical patent/CN112104523B/zh
Publication of CN112104523A publication Critical patent/CN112104523A/zh
Application granted granted Critical
Publication of CN112104523B publication Critical patent/CN112104523B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/54Presence management, e.g. monitoring or registration for receipt of user log-on information, or the connection status of the users
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供一种流量透传的检测方法、装置、设备及存储介质,该方法包括:获取预设时长内的多个get请求报文和多个DNS请求报文;根据多个get请求报文和多个DNS请求报文,确定多个get请求报文中与多个DNS请求报文均不匹配的get请求报文个数;根据多个get请求报文,确定IP地址匹配异常次数以及发送的多个get请求报文的请求访问次数;根据请求访问次数、不匹配的get请求报文个数以及IP地址匹配异常次数,确定流量透传可疑度;将流量透传可疑度上报至终端,以使终端根据流量透传可疑度执行相应的防透传策略。本申请实施例提供的方法能够解决现有技术中检测透传行为的操作灵活性较低且具有局限性的问题。

Description

流量透传的检测方法、装置、设备及存储介质
技术领域
本申请实施例涉及检测技术领域,尤其涉及一种流量透传的检测方法、装置、设备及存储介质。
背景技术
目前互联网有很多电信运营商,不同的运营商之间的网络访问需要通过预设的互联互通来完成,并根据协议进行结算。除了进行结算,经过这种规范的互相访问便于运营商进行流量等网络管理,以保障网络的顺畅与稳定。
近年来,出现了一种透传行为,该透传行为对运营商的经济造成显而易见的损失,对运营商的运营维护造成不利影响,并且不利于互联网运营的安全与稳定,目前已有的防透传方法有:方案1、在异网配置检测探针端:当检测数据的路由信息中没有包含互联互通网关,且检测探针端发送的数据包中的源IP地址为防透传运营商所有的IP地址时,则认为该检测探针端通过异网透传方式发送检测数据;方案2、在IDC服务器端采集至少一个IP的流量数据:这里IP的流量数据包括机房外访流量、机房外访http get数量、VPN疑似流量占比、单纯外访流量和异常应用数量中的任意一个或多个;根据所述流量数据对所述IP进行多层统计分析,得到至少一个疑似私接IP;对所述疑似私接IP抓取数据包,确定为透传IP。
但是方案1需要在异网布设探针,操作灵活性存在一定限制,且需要配置管理服务器对探针端进行验证、控制执行检测程序,流程复杂,同时只能对部分数据进行检测,结果不全面;方案2只使用户布设在IDC服务器端,对大用户透传行为进行检测,无法针对互联网海量用户进行检测,检测具有局限性。因此,现有技术检测透传行为的操作灵活性较低且具有局限性。
发明内容
本申请实施例提供一种流量透传的检测方法、装置、设备及存储介质,以解决现有技术中检测透传行为的操作灵活性较低且具有局限性的问题。
第一方面,本申请实施例提供一种流量透传的检测方法,包括:
获取预设时长内的上行流量数据包,所述上行流量数据包包括多个get请求报文和多个DNS请求报文;
确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数以及发送的所述多个get请求报文的请求访问次数;
根据所述多个get请求报文,确定IP地址匹配异常次数;
根据所述请求访问次数、所述不匹配的get请求报文个数以及IP地址匹配异常次数,确定流量透传可疑度;
将所述流量透传可疑度上报至终端,以使所述终端根据所述流量透传可疑度执行相应的防透传策略。
在一种可能的设计中,在所述确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数之前,所述方法还包括:
解析所述多个get请求报文,得到各个所述get请求报文中的第一IP地址和第一域名;
解析所述多个DNS请求报文,得到各个所述DNS请求报文中的第二IP地址和第二域名;
针对各个所述第一域名,在所述多个DNS请求报文对应的多个第二域名中查找是否存在与所述第一域名一致的域名;
若不存在与所述第一域名一致的域名,则通过dig工具对所述第一域名进行反查,获取与所述第一域名对应的目标IP地址;
确定与所述目标IP地址关联的目标域名;
若所述目标域名不是预设运营商的域名,则确定所述目标IP地址对应的用户存在透传可疑行为;
通过所述目标IP地址,获取存在透传可疑行为的用户的历史上网数据。
在一种可能的设计中,所述确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数,包括:
获取所述不存在与所述第一域名一致的域名对应的get请求报文的第一次数;
针对存在与所述第一域名一致的域名对应的各个第一get请求报文,将所述第一get请求报文中的第一IP地址和第一域名作为所述第一get请求报文的第一解析结果;
针对各个所述DNS请求报文,将所述第二IP地址和第二域名作为所述DNS请求报文的第二解析结果;
将任一个所述第一解析结果与各个所述第二解析结果进行比对的操作作为一轮比对,确定比对中存在不一致的轮数;
将所述第一次数和所述轮数之和作为所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数。
在一种可能的设计中,所述根据所述多个get请求报文,确定IP地址匹配异常次数,包括:
针对所述存在透传可疑行为的用户对应的所述get请求报文,通过dig工具对所述第一域名进行预设次数反查,获取与所述预设次数对应个数的第三IP地址;
将所述预设次数对应个数的第三IP地址分别与所述第一IP地址比对,若均不一致,则确定所述存在透传可疑行为的用户对应的IP地址匹配异常;
将比对中存在均不一致的第三次数作为所述IP地址匹配异常次数。
在一种可能的设计中,所述根据所述请求访问次数、所述不匹配的get请求报文个数以及IP地址匹配异常次数,确定流量透传可疑度,包括:
对所述不匹配的get请求报文个数和所述请求访问次数进行比例计算,得到第一百分比;
将所述IP地址匹配异常次数和所述请求访问次数进行比例计算,得到第二百分比;
对所述第一百分比和第二百分比取平均值,并将所述平均值作为所述流量透传可疑度。
在一种可能的设计中,所述将所述流量透传可疑度上报至终端,以使所述终端根据所述流量透传可疑度执行相应的防透传策略,包括:
根据所述流量透传可疑度,通过预设等级规则,确定所述流量透传可疑度的等级;
若所述等级满足上报终端的条件,则将所述流量透传可疑度、存在透传可疑行为的用户的IP地址以及历史上网数据发送至终端,以使所述终端根据所述流量透传可疑度、存在透传可疑行为的用户的IP地址以及历史上网数据执行相应的防透传策略。
在一种可能的设计中,在所述确定流量透传可疑度之后,所述方法还包括:
对每个存在透传可疑行为的用户对应的请求访问次数、不匹配的get请求报文个数、IP地址匹配异常次数、第一百分比、第二百分比进行格式化;
根据格式化的结果,生成表格,用以查看每个存在透传可疑行为的用户的状态。
第二方面,本申请实施例提供一种流量透传的检测装置,包括:
获取模块,用于获取预设时长内的上行流量数据包,所述上行流量数据包包括多个get请求报文和多个DNS请求报文;
第一匹配模块,用于确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数以及发送的所述多个get请求报文的请求访问次数;
第二匹配模块,用于根据所述多个get请求报文,确定IP地址匹配异常次数;
流量透传可疑度确定模块,用于根据所述请求访问次数、所述不匹配的get请求报文个数以及IP地址匹配异常次数,确定流量透传可疑度;
处理模块,用于将所述流量透传可疑度上报至终端,以使所述终端根据所述流量透传可疑度执行相应的防透传策略。
第三方面,本申请实施例提供一种流量透传的检测设备,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第一方面及第一方面可能的设计所述的流量透传的检测方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一方面及第一方面可能的设计所述的流量透传的检测方法。
本实施例提供的流量透传的检测方法、装置、设备及存储介质,首先获取预设时长内的上行流量数据包,这里上行流量数据包包括多个get请求报文和多个DNS请求报文,然后根据多个get请求报文和多个DNS请求报文,确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数,根据多个get请求报文,确定,确定IP地址匹配异常次数以及发送的所述多个get请求报文的请求访问次数;再基于获取的请求访问次数、所述不匹配的get请求报文个数以及IP地址匹配异常次数来确定流量透传可疑度,并进行数据上报,以使接收到流量透传可疑度的终端能够执行相应的防透传策略,因此,通过对预设时长内的多个get请求报文和多个DNS请求报文进行分析,适用于互联网海量普通宽带用户场景的流量透传行为的检测,可对全量用户数据包进行分析,得出多个get请求报文和多个DNS请求报文不匹配的次数、多个get请求报文中IP地址匹配异常次数,并通过与多个get请求报文的总个数进行数据处理,无需在异网布设探针即可得到流量透传可疑度即存在可疑透传行为数值,分析过程全面、准确性较高,且灵活性较高,并将该数值上报至终端,使得终端可以根据该数值实施防透传策略,进而为互联网运营的安全与稳定提供了保障。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的流量透传的检测方法的场景示意图;
图2为本申请实施例提供的流量透传的检测方法的流程示意图;
图3为本申请另一实施例提供的流量透传的检测方法的流程示意图;
图4为本申请又一实施例提供的流量透传的检测方法的流程示意图;
图5为本申请实施例提供的流量透传的检测装置的结构示意图;
图6为本申请实施例提供的流量透传的检测设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例,例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
目前已有的防透传方法有:方案1、在异网配置检测探针端:当检测数据的路由信息中没有包含互联互通网关,且检测探针端发送的数据包中的源IP地址为防透传运营商所有的IP地址时,则认为该检测探针端通过异网透传方式发送检测数据,但是该方案1需要在异网布设探针,操作灵活性存在一定限制,且需要配置管理服务器对探针端进行验证、控制执行检测程序,流程复杂,同时只能对部分数据进行检测,结果不全面;方案2、在IDC服务器端采集至少一个IP的流量数据:这里IP的流量数据包括机房外访流量、机房外访http get数量、VPN疑似流量占比、单纯外访流量和异常应用数量中的任意一个或多个;根据所述流量数据对所述IP进行多层统计分析,得到至少一个疑似私接IP;对所述疑似私接IP抓取数据包,确定为透传IP,但是该方案2只使用户布设在IDC服务器端,对大用户透传行为进行检测,无法针对互联网海量用户进行检测,检测具有局限性。因此,现有技术检测透传行为的操作灵活性较低且具有局限性。
为了解决上述问题,本申请的技术构思是可应用于全网用户或指定用户,通过对http get报文和DNS报文分析提取,并结合流量透传可疑度算法进行逻辑判断,找出疑似流量透传用户,分析过程全面、准确性较高,然后对该用户执行防透传策略,保证互联网运营的安全与稳定。
下面以具体地实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
参考图1,图1为本申请实施例提供的流量透传的检测方法的场景示意图。在实际应用中,流量透传的检测方法的执行主体可以为流量透传的检测装置,比如服务器10。该流量透传的检测装置可以应用于互联网海量普通宽带用户场景的流量透传行为检测,用于对全量用户数据包进行分析。经过分析得到的流量透传可疑度这一指标即可简单快速判断流量透传行为发生的可能性,并且可记录流量透传行为发生的时间和get请求的IP,便于更精准定位用户。此外,可以将流量透传可疑度、流量透传行为发生的时间和get请求的IP上报至终端20(这里的终端可以是透传管理相关部门),然后通过终端对流量透传行为进行监控和控制流量透传行为,保证网络的安全和稳定,进而提高正常使用流量的用户的体验。
具体地,如何实现对流量透传的检测的,参见图2所示,图2为本申请实施例提供的流量透传的检测方法的流程示意图。
参见图2,所述流量透传的检测方法,包括:
S201、获取预设时长内的上行流量数据包,所述上行流量数据包包括多个get请求报文和多个DNS请求报文。
本实施例中,这里的预设时长可以根据网络环境或是服务器的配置灵活设定。这里对获取的上行流量数据包中的用户不做限定,可以是海量普通宽带用户,在具体检测透传行为时,可以分批次检测。其中,可以配置抓包分析的监控时长和检测用户范围:抓包单位时间可以在配置文件中进行设置,单位为分钟。由于DNS解析结果会根据TTL值(即域名解析在DNS服务器中存留时间)缓存一定时间,当本网用户发起的请求是使用缓存解析时,无法找到对应的DNS请求,这种情况下存在TTL值导致的判断误差。因此监控时长不应设置过短,通常监控时长越长判断结果越精确。检测用户范围可在配置文件中进行设置。若不设置默认为全网用户,也可以指定一个或多个IP用户地址对数据包进行过滤。
具体地,在用户汇聚层交换机抓取全量上行流量数据包,包括抓取所有的httpget报文(即get请求报文)和DNS请求报文,为了简化数据,可以先对上行流量数据包进行去重过滤。
其中,可以通过服务器中的数据解析模块对get请求报文和DNS请求报文进行解析并分析。
具体地,可以通过以下步骤实现:
步骤a1、解析所述多个get请求报文,得到各个所述get请求报文中的第一IP地址和第一域名。
步骤a2、解析所述多个DNS请求报文,得到各个所述DNS请求报文中的第二IP地址和第二域名。
步骤a3、针对各个所述第一域名,在所述多个DNS请求报文对应的多个第二域名中查找是否存在与所述第一域名一致的域名。
步骤a4、若不存在与所述第一域名一致的域名,则通过dig工具对所述第一域名进行反查,获取与所述第一域名对应的目标IP地址。
步骤a5、确定与所述目标IP地址关联的目标域名。
步骤a6、若所述目标域名不是预设运营商的域名,则确定所述目标IP地址对应的用户存在透传可疑行为。
步骤a7、通过所述目标IP地址,获取存在透传可疑行为的用户的历史上网数据。
本实施例中,首先分别对多个get请求报文和多个DNS请求报文进行解析,得到get请求报文的第一解析结果和DNS请求报文的第二解析结果。这里第一解析结果包括第一IP地址和第一域名,第二解析结果包括第二IP地址和第二域名。然后根据第一解析结果和第二解析结果,初步判断是否存在透传可疑行为:将每个第一域名分别与各个第二域名进行比对,针对每个第一域名,若在多个第二域名中查找到与第一域名一致的域名,则说明该上网行为是合法的,不存在透传行为,无需再次进行检测透传可疑行为;若在多个第二域名中未查找到与第一域名一致的域名,则说明该第一IP地址对应的用户可能存在透传行为,需要进一步地检测。
具体地,使用dig工具对get请求报文中统一资源定位符(Uniform ResourceLocator,URL)中的域名即第一域名进行反查,获取发出get请求报文的IP地址。其中,为了防止大量的dig请求导致的泛洪攻击风险,有以下两个应对方法:
a)对dig解析结果进行缓存,当为重复的域名URL时直接的读取缓存结果,则不需要重复进行dig请求。
b)分批次对第一域名进行dig请求,每次dig N个域名,dig完成后休息M秒再进行下一轮dig。M、N值可根据服务器性能进行配置。
其中,通过dig工具对所述第一域名进行反查得到第一域名对应的目标IP地址,然后确定与所述目标IP地址关联的目标域名,进而确定该目标域名是否是预设运营商的域名,若不是,则确定该目标IP地址对应的用户存在透传可疑行为,并根据目标IP地址追溯存在透传可疑行为的用户的历史上网数据,这里历史上网数据包括get请求发生的时间。
SS202、根据多个get请求报文和多个DNS请求报文,确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数。
本实施例中,对多个get请求报文和多个DNS请求报文分别解析后,可以对第一解析结果和第二解析结果进行比对,确定是否存在不匹配的get请求报文和DNS请求报文,并统计不匹配的次数。
S203、根据所述多个get请求报文,确定IP地址匹配异常次数以及发送的所述多个get请求报文的请求访问次数。
本实施例中,这里的发送的所述多个get请求报文的请求访问次数为单位时间内源IP发出的全部get请求次数,即多个get请求报文的个数。根据解析后的get请求报文,可以通过dig工具来反查这部分可能存在透传行为所对应的get请求报文中的第一域名,将反查出的IP地址与第一IP地址进行比对,若比对一致,则说明该流量使用行为是合法的,不存在透传行为,若比对不一致,则说明该流量使用行为是透传可疑行为,可以统计不一致的个数即IP地址匹配异常次数。
S204、根据所述请求访问次数、所述不匹配的get请求报文个数以及IP地址匹配异常次数,确定流量透传可疑度。
S205、将所述流量透传可疑度上报至终端,以使所述终端根据所述流量透传可疑度执行相应的防透传策略。
本实施例中,根据所述请求访问次数、所述不匹配的get请求报文个数以及IP地址匹配异常次数,通过流量透传可疑度算法能够计算出流量透传可疑度数值,并将该数值进行上报,用以提示相关管理部分来对该透传可疑行为进行监督和控制,保证网络的安全和稳定。
本申请提供的流量透传的检测方法,通过获取预设时长内的上行流量数据包,这里上行流量数据包包括多个get请求报文和多个DNS请求报文,然后根据多个get请求报文和多个DNS请求报文,确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数,根据多个get请求报文,确定,确定IP地址匹配异常次数以及发送的所述多个get请求报文的请求访问次数;再基于获取的请求访问次数、所述不匹配的get请求报文个数以及IP地址匹配异常次数来确定流量透传可疑度,并进行数据上报,以使接收到流量透传可疑度的终端能够执行相应的防透传策略,因此,通过对预设时长内的多个get请求报文和多个DNS请求报文进行分析,适用于互联网海量普通宽带用户场景的流量透传行为的检测,可对全量用户数据包进行分析,得出多个get请求报文和多个DNS请求报文不匹配的次数、多个get请求报文中IP地址匹配异常次数,并通过与多个get请求报文的总个数进行数据处理,无需在异网布设探针即可得到流量透传可疑度即存在可疑透传行为数值,分析过程全面、准确性较高,且灵活性较高,并将该数值上报至终端,使得终端可以根据该数值实施防透传策略,进而为互联网运营的安全与稳定提供了保障。
参见图3,图3为本申请另一实施例提供的流量透传的检测方法的流程示意图,本实施例在上述实施例的基础上,例如,在图2所述的实施例的基础上,对S202进行了详细说明。所述确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数,可以包括:
S301、获取所述不存在与所述第一域名一致的域名对应的get请求报文的第一次数。
S302、针对存在与所述第一域名一致的域名对应的各个第一get请求报文,将所述第一get请求报文中的第一IP地址和第一域名作为所述第一get请求报文的第一解析结果。
S303、针对各个所述DNS请求报文,将所述第二IP地址和第二域名作为所述DNS请求报文的第二解析结果。
S304、将任一个所述第一解析结果与各个所述第二解析结果进行比对的操作作为一轮比对,确定比对中存在不一致的轮数。
S305、将所述第一次数和所述轮数之和作为所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数。
本实施例中,针对存在与所述第一域名一致的域名对应的各个第一get请求报文,将所述第一get请求报文中的第一IP地址和第一域名作为所述第一get请求报文的第一解析结果,其中每个第一解析结果分别与每个第二解析结果进行一轮比对,一个第一解析结果与一个第二解析结果的比对过程是将第一解析结果中的第一IP地址与第二解析结果中的第二IP地址比对且将第一解析结果中的第一域名与第二解析结果中的第二域名进行比对,若一轮比对中,第一解析结果与各个第二解析结果均不一致,则说明该第一解析结果对应的get请求报文与各个DNS请求报文不匹配,且记录该轮次比对不匹配,且记录不一致的轮数加1。依次类推,直到确定比对中存在的所有不一致的轮数。然后累加到上述dig操作时不存在与所述第一域名一致的域名对应的get请求报文的个数即第一次数。其中,将所述第一次数和所述轮数之和作为所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数。这里得到的是关于get请求报文结合DNS请求报文不匹配的数据。
参见图4所示,图4为本申请又一实施例提供的流量透传的检测方法的流程示意图,本实施例在上述实施例的基础上,例如,在图2所述的实施例的基础上,对S203进行了详细说明。所述根据所述多个get请求报文,确定IP地址匹配异常次数,可以包括:
S401、针对所述存在透传可疑行为的用户对应的所述get请求报文,通过dig工具对所述第一域名进行预设次数反查,获取与所述预设次数对应个数的第三IP地址。
S402、将所述预设次数对应个数的第三IP地址分别与所述第一IP地址比对,若均不一致,则确定所述存在透传可疑行为的用户对应的IP地址匹配异常。
S403、将比对中存在均不一致的第三次数作为所述IP地址匹配异常次数。
本实施例中,在使用dig工具对可能存在透传行为所对应的get请求报文中的第一域名进行反查过程中,可以针对一个第一域名进行多次dig操作,将多次dig操作对应的所有IP结果记录为地址池IP组,再在此IP组中查找http get请求中的目的IP,若IP组中存在IP与目的IP对应则记为正常,若不存在IP与之对应则记为异常,并统计IP地址匹配异常次数。这里的IP地址匹配异常次数可以是通过对get请求报文的URL中的host(域名)部分进行dig操作得到的。
具体地,由于dig操作产生的结果不唯一,针对存在透传可疑行为的用户对应的所述get请求报文,通过dig工具对所述第一域名进行预设次数的查询,比如3次。此处在本地dig操作3次,dig出来的所有IP结果记录为地址池IP组,比如IP地址1、IP地址2、IP地址3,将IP地址1、IP地址2、IP地址3分别与存在透传可疑行为的用户对应的所述get请求报文中的第一IP地址进行比对,若比对一致,记为正常;若比对不一致,记为异常,并记录该异常次数加1,统计比对中存在均不一致的次数即第三次数,该第三次数即为IP地址匹配异常次数。这里得到的是通过dig操作得出的IP地址与抓取的源IP地址不匹配的数据。
结合get请求报文结合DNS请求报文不匹配的数据和通过dig操作得出的IP地址与抓取的源IP地址不匹配的数据,计算流量透传可疑度更为全面,计算结果较为准确。
在一种可能的设计中,根据图3和图4所述的实施例中匹配异常的统计,可以基于流量透传可疑度算法来确定流量透传可疑度。具体地,可以通过以下步骤实现:
步骤b1、对所述不匹配的get请求报文个数和所述请求访问次数进行比例计算,得到第一百分比。
步骤b2、将所述IP地址匹配异常次数和所述请求访问次数进行比例计算,得到第二百分比。
步骤b3、对所述第一百分比和第二百分比取平均值,并将所述平均值作为所述流量透传可疑度。
本实施例中,通过MISS百分比计算公式,计算得到第一百分比:MISS百分比=MISS次数/get总次数*100%
其中,MISS次数(即不匹配的get请求报文个数)为单位时间内,http get请求中的源IP及host(域名)是否有对应的DNS请求报文,并且与DNS请求报文中的源IP及host(域名)对应,若均匹配成功则记为非MISS,否则记为MISS。get总次数(即请求访问次数)为单位时间内源IP发出的全部get请求次数。
通过网内解析IP匹配异常度计算公式,计算得到第二百分比:网内解析IP匹配异常度=网内解析IP匹配异常次数/get总次数*100%。
其中,网内解析IP匹配异常次数(即IP地址匹配异常次数)为对get请求报文的URL中的host(域名)部分进行dig操作。由于dig结果不唯一,此处在本地dig操作3次,dig出来的所有IP结果记录为地址池IP组。再在此IP组中查找http get请求中的目的IP,若IP组中存在IP与目的IP对应则记为正常,若不存在IP与之对应则记为异常。
然后通过流量透传可疑度计算公式,得到流量透传可疑度:流量透传可疑度=(MISS百分比+网内解析IP匹配异常度)/2。
其中,流量透传可疑度的范围为0~100%,值越大,透传可能性越大。根据流量透传可疑度值的大小即可以综合判断透传行为发生的可能性。
在一种可能的设计中,为了保证网络使用的安全性和稳定性,可以将所述流量透传可疑度上报至终端,以使所述终端根据所述流量透传可疑度执行相应的防透传策略,具体地,可以通过以下步骤实现:
步骤c1、根据所述流量透传可疑度,通过预设等级规则,确定所述流量透传可疑度的等级。
步骤c2、若所述等级满足上报终端的条件,则将所述流量透传可疑度、存在透传可疑行为的用户的IP地址以及历史上网数据发送至终端,以使所述终端根据所述流量透传可疑度、存在透传可疑行为的用户的IP地址以及历史上网数据执行相应的防透传策略。
本实施例中,可以根据流量透传可疑度(数值)对用户可能存在透传行为的等级进行评价。比如,该数值小于30%,则流量透传可疑度的等级低;该数值大于等于30%小于50%,则流量透传可疑度的等级较低;该数值大于等于50%小于70%,则流量透传可疑度的等级中;该数值大于等于70%小于90%,则流量透传可疑度的等级较高;该数值大于等于90%小于100%,则流量透传可疑度的等级高。
其中,在所述确定流量透传可疑度之后,可以对每个存在透传可疑行为的用户对应的请求访问次数、不匹配的get请求报文个数、IP地址匹配异常次数、第一百分比、第二百分比进行格式化;根据格式化的结果,生成表格,用以查看每个存在透传可疑行为的用户的状态。
具体地,根据上述服务器中配置的逻辑判断模块输出的结果,格式化处理输出针对每个用户每个IP的透传信息表。样表格式如下表1所示。下表1列出了两组示例数据,第一组流量透传可疑度98.5%,透传可疑度高;第二组流量透传可疑度10%,透传可疑度低。
表1
Figure BDA0002677057310000141
当进行下钻查询(dig查询)时,会额外记录get请求的目的IP地址和get请求发生的时间,如表2所示。
表2
用户信息 get请求IP get请求时间
12.12.12.12:111 61.135.169.121 2019.11.11 13:15:25
13.13.13.13:333 61.135.169.125 2019.11.11 13:15:35
因此,本申请适用于互联网海量普通宽带用户场景的流量透传行为检测,而非IDC服务器方案或异网探针检测,可以通过流量透传可疑度这一指标即可简单快速判断流量透传行为发生的可能性,同时可记录流量透传行为发生的时间和get请求的IP,便于更精准定位用户。
为了实现所述流量透传的检测方法,本实施例提供了一种流量透传的检测装置。参见图5,图5为本申请实施例提供的流量透传的检测装置的结构示意图;所述流量透传的检测装置50,包括:获取模块501、第一匹配模块502、第二匹配模块503、流量透传可疑度确定模块504以及处理模块505;获取模块501,用于获取预设时长内的上行流量数据包,所述上行流量数据包包括多个get请求报文和多个DNS请求报文;第一匹配模块502,用于根据多个get请求报文和多个DNS请求报文,确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数;第二匹配模块503,用于根据所述多个get请求报文,确定IP地址匹配异常次数以及发送的所述多个get请求报文的请求访问次数;流量透传可疑度确定模块504,用于根据所述请求访问次数、所述不匹配的get请求报文个数以及IP地址匹配异常次数,确定流量透传可疑度;处理模块505,用于将所述流量透传可疑度上报至终端,以使所述终端根据所述流量透传可疑度执行相应的防透传策略。
本实施例通过设置获取模块501、第一匹配模块502、第二匹配模块503、流量透传可疑度确定模块504以及处理模块505,用于获取预设时长内的上行流量数据包,这里上行流量数据包包括多个get请求报文和多个DNS请求报文,然后根据多个get请求报文和多个DNS请求报文,确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数,根据多个get请求报文,确定,确定IP地址匹配异常次数以及发送的所述多个get请求报文的请求访问次数;再基于获取的请求访问次数、所述不匹配的get请求报文个数以及IP地址匹配异常次数来确定流量透传可疑度,并进行数据上报,以使接收到流量透传可疑度的终端能够执行相应的防透传策略,因此,通过对预设时长内的多个get请求报文和多个DNS请求报文进行分析,适用于互联网海量普通宽带用户场景的流量透传行为的检测,可对全量用户数据包进行分析,得出多个get请求报文和多个DNS请求报文不匹配的次数、多个get请求报文中IP地址匹配异常次数,并通过与多个get请求报文的总个数进行数据处理,无需在异网布设探针即可得到流量透传可疑度即存在可疑透传行为数值,分析过程全面、准确性较高,且灵活性较高,并将该数值上报至终端,使得终端可以根据该数值实施防透传策略,进而为互联网运营的安全与稳定提供了保障。
本实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。
在一种可能的设计中,所述特征向量包括个性特征数据和网络质量数据;所述装置还包括:解析模块;解析模块,用于在所述确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数之前,解析所述多个get请求报文,得到各个所述get请求报文中的第一IP地址和第一域名;解析所述多个DNS请求报文,得到各个所述DNS请求报文中的第二IP地址和第二域名;针对各个所述第一域名,在所述多个DNS请求报文对应的多个第二域名中查找是否存在与所述第一域名一致的域名;若不存在与所述第一域名一致的域名,则通过dig工具对所述第一域名进行反查,获取与所述第一域名对应的目标IP地址;确定与所述目标IP地址关联的目标域名;若所述目标域名不是预设运营商的域名,则确定所述目标IP地址对应的用户存在透传可疑行为;通过所述目标IP地址,获取存在透传可疑行为的用户的历史上网数据。
在一种可能的设计中,第一匹配模块502,具体用于:获取所述不存在与所述第一域名一致的域名对应的get请求报文的第一次数;针对存在与所述第一域名一致的域名对应的各个第一get请求报文,将所述第一get请求报文中的第一IP地址和第一域名作为所述第一get请求报文的第一解析结果;针对各个所述DNS请求报文,将所述第二IP地址和第二域名作为所述DNS请求报文的第二解析结果;将任一个所述第一解析结果与各个所述第二解析结果进行比对的操作作为一轮比对,确定比对中存在不一致的轮数;将所述第一次数和所述轮数之和作为所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数。
在一种可能的设计中,第二匹配模块503,还具体用于:针对所述存在透传可疑行为的用户对应的所述get请求报文,通过dig工具对所述第一域名进行预设次数反查,获取与所述预设次数对应个数的第三IP地址;将所述预设次数对应个数的第三IP地址分别与所述第一IP地址比对,若均不一致,则确定所述存在透传可疑行为的用户对应的IP地址匹配异常;将比对中存在均不一致的第三次数作为所述IP地址匹配异常次数。
在一种可能的设计中,流量透传可疑度确定模块,具体用于:对所述不匹配的get请求报文个数和所述请求访问次数进行比例计算,得到第一百分比;将所述IP地址匹配异常次数和所述请求访问次数进行比例计算,得到第二百分比;对所述第一百分比和第二百分比取平均值,并将所述平均值作为所述流量透传可疑度。
在一种可能的设计中,处理模块,具体用于:根据所述流量透传可疑度,通过预设等级规则,确定所述流量透传可疑度的等级;若所述等级满足上报终端的条件,则将所述流量透传可疑度、存在透传可疑行为的用户的IP地址以及历史上网数据发送至终端,以使所述终端根据所述流量透传可疑度、存在透传可疑行为的用户的IP地址以及历史上网数据执行相应的防透传策略。
在一种可能的设计中,所述装置还包括:输出模块;输出模块,用于在所述确定流量透传可疑度之后,对每个存在透传可疑行为的用户对应的请求访问次数、不匹配的get请求报文个数、IP地址匹配异常次数、第一百分比、第二百分比进行格式化;根据格式化的结果,生成表格,用以查看每个存在透传可疑行为的用户的状态。
为了实现所述流量透传的检测方法,本实施例提供了一种流量透传的检测设备。图6为本申请实施例提供的流量透传的检测设备的结构示意图。如图6所示,本实施例的流量透传的检测设备60包括:处理器601以及存储器602;其中,存储器602,用于存储计算机执行指令;处理器601,用于执行存储器存储的计算机执行指令,以实现上述实施例中所执行的各个步骤。具体可以参见上述方法实施例中的相关描述。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上述的流量透传的检测方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。另外,在本申请各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。上述模块成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(英文:processor)执行本申请各个实施例所述方法的部分步骤。应理解,上述处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(PeripheralComponent,PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。上述存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(Application Specific Integrated Circuits,简称:ASIC)中。当然,处理器和存储介质也可以作为分立组件存在于电子设备或主控设备中。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (9)

1.一种流量透传的检测方法,其特征在于,包括:
获取预设时长内的上行流量数据包,所述上行流量数据包包括多个get请求报文和多个DNS请求报文;
根据多个get请求报文和多个DNS请求报文,解析所述多个get请求报文,得到各个所述get请求报文中的第一IP地址和第一域名;
解析所述多个DNS请求报文,得到各个所述DNS请求报文中的第二IP地址和第二域名;
针对各个所述第一域名,在所述多个DNS请求报文对应的多个第二域名中查找是否存在与所述第一域名一致的域名;
若不存在与所述第一域名一致的域名,则通过dig工具对所述第一域名进行反查,获取与所述第一域名对应的目标IP地址;
确定与所述目标IP地址关联的目标域名;
若所述目标域名不是预设运营商的域名,则确定所述目标IP地址对应的用户存在透传可疑行为;
通过所述目标IP地址,获取存在透传可疑行为的用户的历史上网数据;
确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数;
根据所述多个get请求报文,确定IP地址匹配异常次数以及发送的所述多个get请求报文的请求访问次数;
根据所述请求访问次数、所述不匹配的get请求报文个数以及IP地址匹配异常次数,确定流量透传可疑度;
将所述流量透传可疑度上报至终端,以使所述终端根据所述流量透传可疑度执行相应的防透传策略。
2.根据权利要求1所述的方法,其特征在于,所述确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数,包括:
获取所述不存在与所述第一域名一致的域名对应的get请求报文的第一次数;
针对存在与所述第一域名一致的域名对应的各个第一get请求报文,将所述第一get请求报文中的第一IP地址和第一域名作为所述第一get请求报文的第一解析结果;
针对各个所述DNS请求报文,将所述第二IP地址和第二域名作为所述DNS请求报文的第二解析结果;
将任一个所述第一解析结果与各个所述第二解析结果进行比对的操作作为一轮比对,确定比对中存在不一致的轮数;
将所述第一次数和所述轮数之和作为所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数。
3.根据权利要求1所述的方法,其特征在于,所述根据所述多个get请求报文,确定IP地址匹配异常次数,包括:
针对所述存在透传可疑行为的用户对应的所述get请求报文,通过dig工具对所述第一域名进行预设次数反查,获取与所述预设次数对应个数的第三IP地址;
将所述预设次数对应个数的第三IP地址分别与所述第一IP地址比对,若均不一致,则确定所述存在透传可疑行为的用户对应的IP地址匹配异常;
将比对中存在均不一致的第三次数作为所述IP地址匹配异常次数。
4.根据权利要求1所述的方法,其特征在于,所述根据所述请求访问次数、所述不匹配的get请求报文个数以及IP地址匹配异常次数,确定流量透传可疑度,包括:
对所述不匹配的get请求报文个数和所述请求访问次数进行比例计算,得到第一百分比;
将所述IP地址匹配异常次数和所述请求访问次数进行比例计算,得到第二百分比;
对所述第一百分比和第二百分比取平均值,并将所述平均值作为所述流量透传可疑度。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述将所述流量透传可疑度上报至终端,以使所述终端根据所述流量透传可疑度执行相应的防透传策略,包括:
根据所述流量透传可疑度,通过预设等级规则,确定所述流量透传可疑度的等级;
若所述等级满足上报终端的条件,则将所述流量透传可疑度、存在透传可疑行为的用户的IP地址以及历史上网数据发送至终端,以使所述终端根据所述流量透传可疑度、存在透传可疑行为的用户的IP地址以及历史上网数据执行相应的防透传策略。
6.根据权利要求4所述的方法,其特征在于,在所述确定流量透传可疑度之后,所述方法还包括:
对每个存在透传可疑行为的用户对应的请求访问次数、不匹配的get请求报文个数、IP地址匹配异常次数、第一百分比、第二百分比进行格式化;
根据格式化的结果,生成表格,用以查看每个存在透传可疑行为的用户的状态。
7.一种流量透传的检测装置,其特征在于,包括:
获取模块,用于获取预设时长内的上行流量数据包,所述上行流量数据包包括多个get请求报文和多个DNS请求报文;
第一匹配模块,用于根据多个get请求报文和多个DNS请求报文,确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数;
第二匹配模块,用于根据所述多个get请求报文,确定IP地址匹配异常次数以及发送的所述多个get请求报文的请求访问次数;
流量透传可疑度确定模块,用于根据所述请求访问次数、所述不匹配的get请求报文个数以及IP地址匹配异常次数,确定流量透传可疑度;
处理模块,用于将所述流量透传可疑度上报至终端,以使所述终端根据所述流量透传可疑度执行相应的防透传策略;
解析模块,用于在所述确定所述多个get请求报文中与所述多个DNS请求报文均不匹配的get请求报文个数之前,解析所述多个get请求报文,得到各个所述get请求报文中的第一IP地址和第一域名;解析所述多个DNS请求报文,得到各个所述DNS请求报文中的第二IP地址和第二域名;针对各个所述第一域名,在所述多个DNS请求报文对应的多个第二域名中查找是否存在与所述第一域名一致的域名;若不存在与所述第一域名一致的域名,则通过dig工具对所述第一域名进行反查,获取与所述第一域名对应的目标IP地址;确定与所述目标IP地址关联的目标域名;若所述目标域名不是预设运营商的域名,则确定所述目标IP地址对应的用户存在透传可疑行为;通过所述目标IP地址,获取存在透传可疑行为的用户的历史上网数据。
8.一种流量透传的检测设备,其特征在于,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如权利要求1-6任一项所述的流量透传的检测方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如权利要求1-6任一项所述的流量透传的检测方法。
CN202010951339.5A 2020-09-11 2020-09-11 流量透传的检测方法、装置、设备及存储介质 Active CN112104523B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010951339.5A CN112104523B (zh) 2020-09-11 2020-09-11 流量透传的检测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010951339.5A CN112104523B (zh) 2020-09-11 2020-09-11 流量透传的检测方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN112104523A CN112104523A (zh) 2020-12-18
CN112104523B true CN112104523B (zh) 2022-04-12

Family

ID=73752171

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010951339.5A Active CN112104523B (zh) 2020-09-11 2020-09-11 流量透传的检测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN112104523B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115292330B (zh) * 2022-09-28 2022-12-20 平安银行股份有限公司 一种数据收集方法及装置
CN115767144B (zh) * 2022-10-26 2024-07-23 杭州迪普科技股份有限公司 目标视频的上传对象确定方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016150169A1 (zh) * 2015-03-25 2016-09-29 中兴通讯股份有限公司 一种安全通信方法、网关、网络侧服务器及系统
CN106656651A (zh) * 2016-10-14 2017-05-10 恒安嘉新(北京)科技有限公司 一种检测数据透传的方法及设备
CN107528908A (zh) * 2017-09-04 2017-12-29 北京新流万联网络技术有限公司 Http透明代理缓存的实现方法和系统
CN109451091A (zh) * 2018-11-29 2019-03-08 华为技术有限公司 防护方法及代理设备
CN110166359A (zh) * 2019-05-27 2019-08-23 新华三信息安全技术有限公司 一种报文转发方法及装置
CN111405039A (zh) * 2020-03-16 2020-07-10 深圳市网心科技有限公司 一种数据透传方法、装置、系统和客户端及服务器

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7689671B2 (en) * 2007-03-09 2010-03-30 International Business Machines Corporation System and method for multiple IP addresses during domain name resolution
WO2016164050A1 (en) * 2015-04-10 2016-10-13 Hewlett Packard Enterprise Development Lp Network anomaly detection
GB2545491B (en) * 2015-12-18 2020-04-29 F Secure Corp Protection against malicious attacks
US10904947B2 (en) * 2018-05-16 2021-01-26 Huawei Technologies Co., Ltd. Message and system for application function influence on traffic routing

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016150169A1 (zh) * 2015-03-25 2016-09-29 中兴通讯股份有限公司 一种安全通信方法、网关、网络侧服务器及系统
CN106656651A (zh) * 2016-10-14 2017-05-10 恒安嘉新(北京)科技有限公司 一种检测数据透传的方法及设备
CN107528908A (zh) * 2017-09-04 2017-12-29 北京新流万联网络技术有限公司 Http透明代理缓存的实现方法和系统
CN109451091A (zh) * 2018-11-29 2019-03-08 华为技术有限公司 防护方法及代理设备
CN110166359A (zh) * 2019-05-27 2019-08-23 新华三信息安全技术有限公司 一种报文转发方法及装置
CN111405039A (zh) * 2020-03-16 2020-07-10 深圳市网心科技有限公司 一种数据透传方法、装置、系统和客户端及服务器

Also Published As

Publication number Publication date
CN112104523A (zh) 2020-12-18

Similar Documents

Publication Publication Date Title
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN107124434B (zh) 一种dns恶意攻击流量的发现方法及系统
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
CN112104523B (zh) 流量透传的检测方法、装置、设备及存储介质
CN107682345B (zh) Ip地址的检测方法、检测装置及电子设备
CN107733867B (zh) 一种发现僵尸网络及防护的方法、系统和存储介质
CN112184091A (zh) 工控系统安全威胁评估方法、装置和系统
CN108206769B (zh) 过滤网络质量告警的方法、装置、设备和介质
CN114598506B (zh) 工控网络安全风险溯源方法、装置、电子设备及存储介质
CN111526109B (zh) 自动检测web威胁识别防御系统的运行状态的方法及装置
CN1578231A (zh) 检测拒绝服务攻击的方法
CN108965318B (zh) 检测工业控制网络中未授权接入设备ip的方法及装置
CN108347359B (zh) 一种大型网络地址转换出口判断方法及装置
CN105813114B (zh) 一种确定接入共享主机方法及装置
CN112839005B (zh) Dns域名异常访问监控方法及装置
CN106411951B (zh) 网络攻击行为检测方法及装置
CN116668080A (zh) 一种流量异常评估方法及装置、电子设备和存储介质
CN111106980B (zh) 一种带宽捆绑检测方法和装置
CN117255005B (zh) 一种基于cdn的业务告警处理方法、装置、设备及介质
CN114143088B (zh) 网络故障诊断方法、装置、设备及计算机可读存储介质
CN116527378B (zh) 一种云手机监控管理方法和系统
CN114024765B (zh) 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法
CN117997586B (zh) 基于数据可视化的网络安全检测系统
CN109873829B (zh) 一种基于二进制哈希表的活动ip主机数量统计方法
KR102471618B1 (ko) 넷플로우 기반 대규모 서비스망 불법 접속 추적 방법 및 그를 위한 장치 및 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant