CN112532593A - 一种攻击报文的处理方法、装置、设备和介质 - Google Patents
一种攻击报文的处理方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN112532593A CN112532593A CN202011279726.5A CN202011279726A CN112532593A CN 112532593 A CN112532593 A CN 112532593A CN 202011279726 A CN202011279726 A CN 202011279726A CN 112532593 A CN112532593 A CN 112532593A
- Authority
- CN
- China
- Prior art keywords
- message
- packet
- attack
- database
- load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种攻击报文的处理方法、装置、设备和介质,所述方法包括:获取网卡接收的至少一段流量报文,每段所述流量报文包含头部信息和负载;检测确定所述至少一段流量报文为多段的攻击报文时,提取所述攻击报文的头部信息存入数据库;根据所述头部信息得到关联值,所述关联值用于作为所述攻击报文的标识;依次结合所述关联值和每段所述攻击报文的负载为负载包,将所述负载包存入所述数据库中所述头部信息对应的位置;转发所述头部信息和所述负载包到分析中心,所述分析中心用于分析所述攻击报文。本公开使用数据量更小的关联值代替头部信息进行重复传输,提高了网络传输带宽的有效利用率。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种攻击报文的处理方法、装置、设备和介质。
背景技术
随着大数据时代的到来,网络安全态势感知成了抵御未知威胁的有效武器,探针作为大数据的数据来源更是网络安全中重要的一环。探针可以根据网络流量进行数据包的捕获、过滤和分析,找到网络流量中具有攻击特征的攻击报文发送给大数据平台进行安全威胁分析。但是作为实时展示数据信息的技术,探针与大数据分析平台之间的数据传输性能是个令人头疼的问题。
现有技术中,针对攻击报文,按照一般的MTU(Maximum Transmission Unit,最大传输单元)值将攻击报文分段,每段报文必须带有头部信息,便于大数据分析中心接收之后对报文进行关联和重组。在攻击报文很大的情况下,会将攻击报文拆分为多段,然后传输,拆分后多段的报文带有过多过长的重复的头部信息,不利于传输性能。
发明内容
有鉴于此,本公开提供一种攻击报文的处理方法、装置、设备和介质,以提高攻击报文的传输效率。
具体地,本公开是通过如下技术方案实现的:
第一方面,提供一种攻击报文的处理方法,所述方法包括:
获取网卡接收的至少一段流量报文,每段所述流量报文包含头部信息和负载;
检测确定所述至少一段流量报文为多段的攻击报文时,提取所述攻击报文的头部信息存入数据库;
根据所述头部信息得到关联值,所述关联值用于作为所述攻击报文的标识;
依次结合所述关联值和每段所述攻击报文的负载为负载包,将所述负载包存入所述数据库中所述头部信息对应的位置;
转发所述数据库中所述头部信息和所述负载包到分析中心,所述分析中心用于分析所述攻击报文。
第二方面,一种攻击报文的处理装置,所述装置包括:
接收模块,用于获取网卡接收的至少一段流量报文,每段所述流量报文包含头部信息和负载;
检测模块,用于检测确定所述至少一段流量报文为多段的攻击报文时,提取所述攻击报文的头部信息存入数据库;
关联模块,用于根据所述头部信息得到关联值,所述关联值用于作为所述攻击报文的标识;
结合模块,用于依次结合所述关联值和每段所述攻击报文的负载为负载包,将所述负载包存入所述数据库中所述头部信息对应的位置;
转发模块,用于转发所述数据库中所述头部信息和所述负载包到分析中心,所述分析中心用于分析所述攻击报文。
第三方面,提供一种电子设备,所述设备包括存储器、处理器,所述存储器用于存储可在处理器上运行的计算机指令,所述处理器用于在执行所述计算机指令时实现本公开任一实施例所述的方法。
第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现本公开任一实施例所述的方法。
本公开的技术方案中设置关联值代替头部信息连接多段报文,使用数据量更小的关联值代替头部信息进行重复传输,使用数据库作为传输的中转,在攻击报文很大的情况下,提高了网络传输的带宽的有效利用率,减轻传输的带宽压力,加强了传输性能。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
为了更清楚地说明本公开一个或多个实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开一个或多个实施例中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例示出的一种攻击报文的处理方法的流程图;
图2是本公开实施例示出的一种攻击报文的处理装置的框图;
图3是本公开实施例示出的另一种攻击报文的处理装置的框图;
图4是本公开实施例示出的一种电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参见图1,图1为本公开示出的一种攻击报文的处理方法的流程图,该方法可用于探针服务器,包括以下步骤:
步骤S101,获取网卡接收的至少一段流量报文,每段所述流量报文包含头部信息和负载。
网卡是接收网络数据的硬件设备,对流经网络设备的网络流量进行安全分析时,可以镜像要分析的网络流量到探针的网卡上。例如,可以在不影响网络设备对网络流量进行正常处理的情况下,将经过网络设备上指定端口的网络流量复制到网卡。网卡设置有MTU(Maximum Transmission Unit,最大传输单元),MTU指定了可传输数据包的最大尺寸,超过此最大尺寸的数据包将被拆分后再传输。
网卡接收镜像的网络流量时,将其中超出MTU限制的原始流量报文拆分为多段符合MTU要求的流量报文,每段拆分后的流量报文都带有原始流量报文的头部信息,以使拆分后的流量报文关联,每段拆分后的流量报文还带有原始流量报文拆分后的负载;没有超出MTU限制的原始流量报文则不拆分。头部信息包含源地址、目的地址和协议类型等三层和四层的网络协议栈信息,负载是原始流量报文中头部信息之外的载荷数据。
获取网卡接收的流量报文,可以是多段的拆分后的流量报文,也可以是未拆分的流量报文,每段流量报文都包含原始流量报文的头部信息和负载。本公开对获取流量报文的方法不做限制。例如,探针服务器可以由检测引擎通过pf-ring、af-packet等抓包方法从网卡上获取流量报文。
步骤S102,检测确定所述至少一段流量报文为多段的攻击报文时,提取所述攻击报文的头部信息存入数据库。
对流量报文进行检测,当确定流量报文为多段的具有攻击特征的攻击报文时,提取每段所述攻击报文中的原始流量报文的头部信息存入数据库。
在一实施例中,可以是由探针服务器中的检测引擎对至少一段流量报文进行检测,首先,当至少一段流量报文为多段的流量报文时,将多段的流量报文重组得到完整报文,对完整报文进行检测,检测到完整报文有攻击特征时,则可以确定有攻击特征的完整报文为原始攻击报文,其对应的至少一段流量报文为多段的攻击报文。
每段攻击报文中都有原始攻击报文的头部信息,提取攻击报文中的原始流量报文的头部信息存入数据库,只需存入一次原始流量报文的头部信息。这里的数据库可以是各种类型的数据库,比如可以是Redis(Remote Dictionary Server,远程字典服务)数据库。
步骤S103,根据所述头部信息得到关联值,所述关联值用于作为所述攻击报文的标识。
被拆分的多段攻击报文通过相同的原始攻击报文的头部信息关联彼此,可以根据头部信息计算出一个关联值,用来标识多段攻击报文属于同一个原始攻击报文。
例如,通过头部信息中的ip地址,端口信息和其他三、四层的网络协议栈信息计算哈希值,如下公式:
a=hash(ip,port,…) (1)
哈希值a即为关联值,关联着相同头部信息的多段攻击报文,还可以用字典编号的方式计算关联值,本公开不限制关联值的获得方法。
又例如,还可以将上个例子计算得到的哈希值与当前攻击报文的时间戳联合拼接为关联值a+timestap,当时间戳timestap为156003534时,当前攻击报文的关联值可以是拼接成的字符串a156003534。
步骤S104,依次结合所述关联值和每段所述攻击报文的负载为负载包,将所述负载包存入所述数据库中所述头部信息对应的位置。
将计算得到的关联值与每段攻击报文中的负载依次结合成多个负载包。本公开不对结合的方式做限制,例如,可以将每段所述攻击报文的负载分别与关联值合并成负载包,可以将每段所述攻击报文的负载加密后与关联值合并成负载包。
在一实施例中,可以对于每段所述攻击报文,合并所述关联值和所述攻击报文的负载为合并包后,将合并包压缩为负载包。压缩处理后,可以缩减攻击报文的体积,进一步提升传输带宽的利用率。
将负载包存入数据库中与该攻击报文已存储的头部信息对应的位置。例如,可以将负载包按拆分后的顺序存储到头部信息之后,也可以将负载包存储到头部信息所在地址的指针指向的位置。
步骤S105,转发所述数据库中所述头部信息和所述负载包到分析中心,所述分析中心用于分析所述攻击报文。
分析中心用于分析攻击报文,可以是远端的服务器。转发数据库中攻击报文的头部信息和负载包到分析中心后,可以删除数据库中攻击报文的头部信息和负载包。
在一实施例中,可以接收配置的传输设置,按照所述传输设置,转发所述头部信息和所述负载包到分析中心。比如,接收到的传输设置可以是传输速率和传输格式,接收到传输格式为json、传输速率为1兆比特率时,按照json格式,1兆比特率的速率传输头部信息和负载包到远端的分析中心;接收到的传输设置是传输格式为xml时,按照xml格式传输头部信息和负载包到远端的分析中心。
本公开实施例的技术方案中设置关联值代替头部信息连接多段报文,使用数据量更小的关联值代替头部信息进行重复传输,只传输一次头部信息,使用数据库作为传输的中转,在攻击报文很大的情况下,提高了网络传输的带宽的有效利用率,减轻传输的带宽压力,加强了传输性能。
基于上述实施例,在另一实施例中,在检测确定所述至少一段流量报文为多段的攻击报文时,还有一种情况,即检测确定所述至少一段流量报文为一段攻击报文。比如,网卡接收的流量报文没有超出MTU限制时,是一段未拆分的流量报文,探针服务器捕获后可以直接检测流量报文是否有攻击特征,当确定流量报文有攻击特征时,则确定为攻击报文。可以将攻击报文的头部信息存入数据库,攻击报文的负载压缩后存入数据库中头部信息的对应位置,转发数据库中攻击报文的头部信息和负载到分析中心。由于传输过程中不需要对攻击报文进行解析,所以可以对攻击报文的负载进行压缩来缩减体积,节约传输带宽。
在本实施例或本公开其他某些实施例中,所述方法还可以包括:
检测确定所述至少一段流量报文为多段的攻击报文的同时,分析所述流量报文得到检测日志。可以是探针服务器中的检测引擎对流量报文进行检测的时候,对流量报文进行逐层拆解和分析,除了检测到流量报文是否为攻击报文,还会得到检测日志。检测日志用于记录当前的事件和系统运行状态。比如,检测引擎为流量检测引擎和攻击检测引擎时,对流量报文进行逐层拆解和分析,除了可以确定流量报文为攻击报文,还可以得到流量日志和攻击日志,流量日志记录此刻流量报文的信息,攻击日志记录攻击报文的攻击行为。
根据所述头部信息得到关联值后,还结合所述关联值和所述检测日志为日志包,将所述日志包存入所述数据库。如此,关联值不仅关联了多段的攻击报文,还关联了攻击报文的检测日志。
转发所述数据库中所述日志包到分析中心。也可以将攻击报文的日志包与攻击报文的头部信息和负载包一起转发至分析中心。
定期存储所述数据库中的所述日志包到本地的磁盘,以此完成相对于分析中心的远端存储功能。
本公开实施例除了实现攻击报文去重传输外,还实现了日志的收集管理,避免了使用传统的syslog协议时,在大流量情况下日志发送出现的延迟。
在上述实施例的基础上,在本实施例或本公开其他某些实施例中,
将所述日志包存入所述数据库,还可以是将所述日志包与所述数据库中的第一关键值对应存储。比如,对于键值对类型的Redis数据库,在存储日志包时使用log作为关键值key,日志包即为log对应的值value。
所述提取所述攻击报文的头部信息存入数据库,还可以是提取所述攻击报文的头部信息,将所述头部信息与所述数据库中的第二关键值对应存储。比如,对于键值对类型的Redis数据库,在存储头部信息时使用packet作为关键值key,头部信息即为packet对应的value,将负载包存入数据库中头部信息对应的位置时,负载包也相应地为packet对应的value。
根据第一关键值,监听所述日志包的存储状态。比如,设置监听key为log的value,即可监听日志包的存入、取出和存储量等情况。
根据第二关键值,监听所述头部信息和所述负载包的存储状态。比如,设置监听key为packet的value,即可监听攻击报文的头部信息和负载包的存入、取出和存储量等情况。
接收配置的传输设置,除了攻击报文的传输设置,还可以是日志包的传输设置,按照所述传输设置,转发日志包到分析中心。
本公开实施例使用数据库对检测日志和攻击报文进行统一管理,提高了检测日志和攻击报文管理传输的效率。
如图2所示,图2是本公开实施例示出的一种攻击报文的处理装置的框图,所述装置包括:
接收模块21,用于获取网卡接收的至少一段流量报文,每段所述流量报文包含头部信息和负载;
检测模块22,用于检测确定所述至少一段流量报文为多段的攻击报文时,提取所述攻击报文的头部信息存入数据库;
关联模块23,用于根据所述头部信息得到关联值,所述关联值用于作为所述攻击报文的标识;
结合模块24,用于依次结合所述关联值和每段所述攻击报文的负载为负载包,将所述负载包存入所述数据库中所述头部信息对应的位置;
转发模块25,用于转发所述数据库中所述头部信息和所述负载包到分析中心,所述分析中心用于分析所述攻击报文。
本公开的技术方案使用数据库作为传输的中转站,设置关联值代替头部信息连接多段报文,使用数据量更小的关联值代替头部信息进行重复传输,只传输一次头部信息,在攻击报文很大的情况下,提高了网络传输的带宽的有效利用率,减轻传输的带宽压力,加强了传输性能。
如图3所示,图3是本公开实施例示出的另一种攻击报文的处理装置的框图,在前述装置实施例的基础上,
所述检测模块22,还包括:
日志分析模块221,用于分析所述流量报文得到检测日志;
报文检测模块222,用于当所述至少一段流量报文为多段的流量报文时,将所述多段的流量报文重组得到完整报文,对所述完整报文进行检测,确定所述完整报文有攻击特征时,则确定所述完整报文对应的所述至少一段流量报文为多段的攻击报文。
所述结合模块24,还包括:
日志结合模块241,用于结合所述关联值和所述检测日志为日志包,将所述日志包存入所述数据库;
压缩结合模块242,用于对于每段所述攻击报文,合并所述关联值和所述攻击报文的负载为合并包,将所述合并包压缩为负载包。
所述转发模块25,还用于转发所述数据库中所述日志包到分析中心;
所述装置还包括存储模块26,用于定期存储所述数据库中的所述日志包到磁盘。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本公开还提供了一种电子设备,如图4所示,所述电子设备包括存储器301、处理器302,所述存储器301用于存储可在处理器302上运行的计算机指令,所述处理器302用于在执行所述计算机指令时实现本公开任一实施例所述的漏洞扫描任务调度的方法。
本公开还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现本公开任一实施例所述的漏洞扫描任务调度的方法。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (10)
1.一种攻击报文的处理方法,其特征在于,所述方法包括:
获取网卡接收的至少一段流量报文,每段所述流量报文包含头部信息和负载;
检测确定所述至少一段流量报文为多段的攻击报文时,提取所述攻击报文的头部信息存入数据库;
根据所述头部信息得到关联值,所述关联值用于作为所述攻击报文的标识;
依次结合所述关联值和每段所述攻击报文的负载为负载包,将所述负载包存入所述数据库中所述头部信息对应的位置;
转发所述数据库中所述头部信息和所述负载包到分析中心,所述分析中心用于分析所述攻击报文。
2.根据权利要求1所述的方法,其特征在于,所述依次结合所述关联值和每段所述攻击报文的负载为负载包,包括:
对于每段所述攻击报文,合并所述关联值和所述攻击报文的负载为合并包;
将所述合并包压缩为负载包。
3.根据权利要求1所述的方法,其特征在于,所述检测确定所述至少一段流量报文为多段的攻击报文,包括:
当所述至少一段流量报文为多段的流量报文时,将所述多段的流量报文重组得到完整报文;
对所述完整报文进行检测,确定所述完整报文有攻击特征时,则确定所述完整报文对应的所述至少一段流量报文为多段的攻击报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
分析所述流量报文得到检测日志;
结合所述关联值和所述检测日志为日志包,将所述日志包存入所述数据库;
转发所述数据库中所述日志包到分析中心;
定期存储所述数据库中的所述日志包到磁盘。
5.根据权利要求4所述的方法,其特征在于,
所述将所述日志包存入所述数据库,包括:
将所述日志包与所述数据库中的第一关键值对应存储;
所述提取所述攻击报文的头部信息存入数据库,包括:
提取所述攻击报文的头部信息,将所述头部信息与所述数据库中的第二关键值对应存储;
所述方法还包括:
根据所述第一关键值,监听所述日志包的存储状态;和/或,根据所述第二关键值,监听所述头部信息和所述负载包的存储状态。
6.根据权利要求1所述的方法,其特征在于,所述转发所述数据库中所述头部信息和所述负载包到分析中心,包括:
接收配置的传输设置;
按照所述传输设置,转发所述头部信息和所述负载包到分析中心。
7.一种攻击报文的处理装置,其特征在于,所述装置包括:
接收模块,用于获取网卡接收的至少一段流量报文,每段所述流量报文包含头部信息和负载;
检测模块,用于检测确定所述至少一段流量报文为多段的攻击报文时,提取所述攻击报文的头部信息存入数据库;
关联模块,用于根据所述头部信息得到关联值,所述关联值用于作为所述攻击报文的标识;
结合模块,用于依次结合所述关联值和每段所述攻击报文的负载为负载包,将所述负载包存入所述数据库中所述头部信息对应的位置;
转发模块,用于转发所述数据库中所述头部信息和所述负载包到分析中心,所述分析中心用于分析所述攻击报文。
8.根据权利要求7所述的装置,其特征在于,
所述检测模块,还用于分析所述流量报文得到检测日志;
所述结合模块,还用于结合所述关联值和所述检测日志为日志包,将所述日志包存入所述数据库;
所述转发模块,还用于转发所述数据库中所述日志包到分析中心;
所述装置还包括存储模块,用于定期存储所述数据库中的所述日志包到磁盘。
9.一种电子设备,其特征在于,所述设备包括存储器、处理器,所述存储器用于存储可在处理器上运行的计算机指令,所述处理器用于在执行所述计算机指令时实现权利要求1至8任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至8任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011279726.5A CN112532593B (zh) | 2020-11-16 | 2020-11-16 | 一种攻击报文的处理方法、装置、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011279726.5A CN112532593B (zh) | 2020-11-16 | 2020-11-16 | 一种攻击报文的处理方法、装置、设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112532593A true CN112532593A (zh) | 2021-03-19 |
CN112532593B CN112532593B (zh) | 2022-06-28 |
Family
ID=74981402
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011279726.5A Active CN112532593B (zh) | 2020-11-16 | 2020-11-16 | 一种攻击报文的处理方法、装置、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112532593B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115118493A (zh) * | 2022-06-27 | 2022-09-27 | 北京天融信网络安全技术有限公司 | 报文查询方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102231747A (zh) * | 2011-07-18 | 2011-11-02 | 杭州华三通信技术有限公司 | 一种攻击报文的获取方法和设备 |
US20130107892A1 (en) * | 2011-10-28 | 2013-05-02 | Emulex Design & Manufacturing Corporation | Method for parsing network packets having future defined tags |
CN106161479A (zh) * | 2016-09-21 | 2016-11-23 | 杭州迪普科技有限公司 | 一种支持特征跨包的编码攻击检测方法和装置 |
CN106961425A (zh) * | 2017-03-08 | 2017-07-18 | 南京龙渊微电子科技有限公司 | 一种6lowpan数据报的压缩重组系统和方法 |
CN109246012A (zh) * | 2017-07-10 | 2019-01-18 | 中兴通讯股份有限公司 | 报文转发方法、装置及计算机可读存储介质 |
-
2020
- 2020-11-16 CN CN202011279726.5A patent/CN112532593B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102231747A (zh) * | 2011-07-18 | 2011-11-02 | 杭州华三通信技术有限公司 | 一种攻击报文的获取方法和设备 |
US20130107892A1 (en) * | 2011-10-28 | 2013-05-02 | Emulex Design & Manufacturing Corporation | Method for parsing network packets having future defined tags |
CN106161479A (zh) * | 2016-09-21 | 2016-11-23 | 杭州迪普科技有限公司 | 一种支持特征跨包的编码攻击检测方法和装置 |
CN106961425A (zh) * | 2017-03-08 | 2017-07-18 | 南京龙渊微电子科技有限公司 | 一种6lowpan数据报的压缩重组系统和方法 |
CN109246012A (zh) * | 2017-07-10 | 2019-01-18 | 中兴通讯股份有限公司 | 报文转发方法、装置及计算机可读存储介质 |
Non-Patent Citations (2)
Title |
---|
刘智海: "一种基于LoRa网络的IPv6报头压缩算法", 《信息通信》 * |
李占波等: "改进的6LoWPAN分片地址压缩方案", 《计算机工程与设计》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115118493A (zh) * | 2022-06-27 | 2022-09-27 | 北京天融信网络安全技术有限公司 | 报文查询方法、装置、电子设备及存储介质 |
CN115118493B (zh) * | 2022-06-27 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 报文查询方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112532593B (zh) | 2022-06-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
US8726382B2 (en) | Methods and systems for automated detection and tracking of network attacks | |
KR101409921B1 (ko) | 스위치 asic 내에 라인-레이트 애플리케이션 인식을 통합하기 위한 시스템 및 방법 | |
US8135979B2 (en) | Collecting network-level packets into a data structure in response to an abnormal condition | |
US9571373B2 (en) | System and method for combining server side and network side transaction tracing and measurement data at the granularity level of individual transactions | |
US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
US9473380B1 (en) | Automatic parsing of binary-based application protocols using network traffic | |
KR101295708B1 (ko) | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 | |
CN114389792B (zh) | 一种web日志nat前后关联方法及系统 | |
CN115776449B (zh) | 列车以太网通信状态监测方法及系统 | |
CN112532614A (zh) | 一种用于电网终端的安全监测方法和系统 | |
CN110691007A (zh) | 一种精确测量quic连接丢包率的方法 | |
CN112532593B (zh) | 一种攻击报文的处理方法、装置、设备和介质 | |
CN114338439B (zh) | 一种通用的网络流量解析装置和方法 | |
WO2021190050A1 (zh) | 监控业务的方法、装置和系统 | |
JP2003298655A (ja) | サイト領域内ボトルネック特定方法 | |
CN110247822B (zh) | 一种网络业务监控用的网元及其业务处理方法 | |
US11477069B2 (en) | Inserting replay events in network production flows | |
Salem et al. | Transforming voluminous data flow into continuous connection vectors for IDS | |
CN113630396B (zh) | 处理网络安全告警信息的方法、装置及系统 | |
KR101956882B1 (ko) | 비트맵 기반의 분산 네트워크 빈발 이벤트 수집 장치 및 방법, 이를 저장하는 기록매체 | |
CN118264433A (zh) | 基于非关联特征反向识别的匿名网络流量关联方法及装置 | |
CN110196862B (zh) | 一种数据场景构造方法、装置、服务器与系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |