CN112653657A - 网络数据分析融合方法、系统、电子设备及存储介质 - Google Patents
网络数据分析融合方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112653657A CN112653657A CN202010634837.7A CN202010634837A CN112653657A CN 112653657 A CN112653657 A CN 112653657A CN 202010634837 A CN202010634837 A CN 202010634837A CN 112653657 A CN112653657 A CN 112653657A
- Authority
- CN
- China
- Prior art keywords
- network data
- network
- data analysis
- comparison result
- analyzing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络数据分析融合方法、系统、电子设备及存储介质,其中,所述方法包括:建立网络数据分析数据库;获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;根据所述网络数据比对结果,对所述网络数据进行分析融合。通过建立网络数据分析数据库,截取网络数据片段,将网络数据片段作为关键字,在网络数据分析数据库进行查询,迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间。
Description
技术领域
本发明涉及数据分析处理技术领域,更具体地说,涉及一种网络数据分析融合方法、系统、电子设备及存储介质。
背景技术
随着网络技术的发展,计算机网络规模不断扩大,信息高速公路不断提速以及网络应用越来越频繁、越来越普遍,网上购物等网上交易也越来越多。在人们享受网络便捷的同时,也有越来越多的用户收到黑客等的攻击。可见,网络安全面临着越来越严峻的考验,妥善解决网络安全问题也提上日程。我们需要一种网络数据分析融合方法,对网络数据进行详细地分析,再将网络信息进行融合,人们希望能够准确得知网络数据内容。当前获取网络数据准确内容知识贫乏,网络漏洞屡见不鲜,人们的财产损失也时有发生。
因此,现有技术亟待有很大的进步。
发明内容
本发明要解决的技术问题在于当前获取网络数据准确内容知识贫乏,网络漏洞屡见不鲜,人们的财产损失也时有发生,针对现有技术的上述的缺陷,本发明一方面提供一种网络数据分析融合方法,包括:
建立网络数据分析数据库;
获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
根据所述网络数据比对结果,对所述网络数据进行分析融合。
在本发明所述的网络数据分析融合方法中,所述建立网络数据分析数据库包括:建立网络协议、操作系统数据库。
在本发明所述的网络数据分析融合方法中,所述获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果包括:
提取所述网络数据片段;
将所述网络数据片段作为关键字,在所述网络数据分析数据库中进行查询;
如果查询到,则分析所述网络数据类别且输出网络数据类别,网络数据比对结果为所述网络数据类别,否则输出网络数据比对结果为空。
在本发明所述的网络数据分析融合方法中,所述根据所述网络数据比对结果,对所述网络数据进行分析融合包括:
判断所述网络数据比对结果;
如果所述网络数据比对结果不为空,则根据所述网络数据比对结果,对所述网络数据进行分析,输出分析结果信息;
将分析结果信息进行融合,输出网络数据信息融合结果。
另一方面,本发明还提供一种网络数据分析融合装置,包括:
网络数据分析数据库建立模块,用于建立网络数据分析数据库;
网络数据与网络数据分析数据库比对模块,用于获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
网络数据分析融合模块,用于根据所述网络数据比对结果,对所述网络数据进行分析融合。
在本发明所述的网络数据分析融合装置中,所述网络数据分析数据库建立模块包括:网络协议数据库存储模块和操作系统数据库存储模块。
在本发明所述的网络数据分析融合装置中,所述网络数据分析融合模块包括:
网络数据截取模块,用于提取所述网络数据片段;
网络数据查询模块,用于将所述网络数据片段作为关键字,在所述网络数据分析数据库中进行查询;
查询结果输出模块,用于如果查询到,则分析所述网络数据类别且输出所述网络数据类别,否则输出查询结果为空。
在本发明所述的网络数据分析融合装置中,所述网络数据分析融合模块包括:
网络数据比对结果判断模块,用于判断所述网络数据比对结果;
分析结果信息输出模块,用于如果所述网络数据比对结果不为空,则根据所述网络数据比对结果,对所述网络数据进行分析,输出分析结果信息;
信息融合模块,用于将分析结果信息进行融合,输出网络数据信息融合结果。
另一方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时,实现上述网络数据分析融合方法的步骤。
另一方面,本发明还提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述网络数据分析融合方法的步骤。
实施本发明的网络数据分析融合方法,具有以下有益效果:通过建立网络数据分析数据库,截取网络数据片段,将网络数据片段作为关键字,在网络数据分析数据库进行查询,迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间。
附图说明
通过阅读下文优选的具体实施方式中的详细描述,本发明各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。说明书附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。显而易见地,下面描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明一种网络数据分析融合方法流程图。
图2是本发明又一种网络数据分析融合方法流程图。
图3是本发明又一种网络数据分析融合方法流程图。
图4是本发明一种网络数据分析融合装置结构示意图。
图5是本发明又一种网络数据分析融合装置结构示意图。
图6是本发明又一种网络数据分析融合装置结构示意图。
图7是本发明又一种网络数据分析融合装置结构示意图。
图8为根据本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
下面结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下,所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供的网络数据分析融合方法可应用于各种服务器端、终端。该服务器端、终端设备包括但不限于个人计算机、服务器计算机、手持式或膝上型设备、移动设备(如手机、移动电话、平板电脑、PDA、媒体播放器等)、消费型电子设备、车载计算机、智能手表、电视机,以及其他具有显示屏幕的终端设备等等。
实施例一
请参阅图1,为本发明网络数据分析融合方法流程图。如图1所示,在本发明第一实施例提供的网络数据分析融合方法中,至少包括步骤,
S11、建立网络数据分析数据库;
通常来说,网络数据分为四层:应用层,传输层、网络层、链路层。应用层对应OSI七层网络模型中的应用层、表示层、会话层。传输层对应OSI七层网络模型中的传输层。网络层对应OSI七层网络模型中的网络层。链路层对应OSI七层网络模型中的数据链路层和物理层。OSI七层网络模型中的应用层对应的网络协议有HTTP、TFTP、FTP、NFS、WAIS、SMTP;表示层对应的网络协议有Telnet、Rlogin、SNMP、Gopher;会话层对应的网络协议有SMTP、DNS。传输层对应的网络协议有TCP、UDP。网络层对应的网络协议有IP、ICMP、ARP、RARP、AKP、UUCP。OSI七层网络模型中的数据链路层对应的网络协议有FDDI、Ethernet、Arpanet、PDN、SLIP、PPP;物理层对应的网络协议有IEEE 802.1A、IEEE 802.2到IEEE 802.11。
网络数据分析数据库存储多种协议规范,例如HTTP、TFTP、FTP、NFS、WAIS、SMTP、Telnet、Rlogin、SNMP、Gopher、SMTP、DNS、TCP、UDP、IP、ICMP、ARP、RARP、AKP、UUCP、FDDI、Ethernet、Arpanet、PDN、SLIP、PPP、IEEE 802.1A、IEEE 802.2到IEEE 802.11等协议的协议名称、协议描述、报文格式等。以下以DNS协议为例进行说明。如协议名称为DNS。
协议描述为:域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。在因特网上域名与IP地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析系统来完成,DNS就是进行域名解析的系统。报文格式为:DNS使用TCP和UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
(1)标识:占两个字节,同一个问题的查询和响应标识必须相同。
(2)标志:占两个字节QR:这一位是查询和响应报文的标志,0表示查询报文,1表示响应报文;Opcode:操作码占4bit,值为0表示标准查询,值为1表示反向查询,值为2表示服务器状态请求。标准查询是给出主机名查询其对应的IP;反向查询是给出IP查询其对应的主机名;AA:占1bit,表示该域名服务器是否是授权给该域的,1表示授权,0表示未授权;TC:占1bit,表示是否可截断。当使用UDP时,若此位为1,表示当响应报文的总长度超过512字节时,只返回前512个字节,是可截断的;RD:占1bit,表示是否期望递归。为1时表示查询方式是递归查询;如果该位为0,且被请求的域名服务器没有一个授权回答,则查询方式为迭代查询;RA:占1bit,表示是否可用递归。如果域名服务器支持递归查询,则在响应中将该比特设置为1,大多数名字服务器都提供递归查询,除了某些根服务器;随后的3bit字段必须为0;Rcode:结果代码占4bit,值为0表明没有差错,值为1表明报文格式出错,值为2表明服务器查询失败,值为3表明名字出错。
S12获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
需要说明的是,安全数据源是网络安全分析的基础,合理正确地选择数据源可以提供判断的准确性、全面性,降低判断的难度。然而,由于现代网络系统庞大而复杂,运行过程中往往产生海量的多元异构数据。在选择网络数据时,应考虑具有广泛代表性、信息丰富性、高可靠性、变化实时性记忆低冗余性等特点。也就是说,选择网络数据,有必要对网络数据的安全性进行检测。
通过实时截获或者从文件读取到网络数据。将获取的网络数据与已有的网络数据分析数据库进行比对。当发现获取的网络数据与网络数据分析数据库有匹配的,则能快速定位出当前网络数据是什么协议类型的数据包,则输出当前网络数据协议类型、数据内容等。
S13、根据所述网络数据比对结果,对所述网络数据进行分析融合。
得知当前网络数据协议类型、数据内容等信息后,可以将数据内容各种特征进行分析融合,提升网络数据的研究价值。
可见,实施本实施例,通过建立网络数据分析数据库,解析网络数据,定位出网络数据所涉及的网络协议,根据网络数据解析结果,在网络数据分析数据库查询,迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间。
具体实施时,采用本实施例,可以识别和分析HTTP、TFTP、FTP、NFS、WAIS、SMTP、Telnet、Rlogin、SNMP、Gopher、SMTP、DNS、TCP、UDP、IP、ICMP、ARP、RARP、AKP、UUCP、FDDI、Ethernet、Arpanet、PDN、SLIP、PPP、IEEE 802.1A、IEEE 802.2到IEEE 802.11等协议,能够综合多种方法对主机进行操作系统识别;能够支持多种协议会话事件的提取,例如包括HTTP/FTP请求/响应、DNS事件、密钥交换、SNMP网络管理等事件类型;能够支持对TLS/SSL加密流量的应用指纹构建和检测识别;能够支持对TCP会话进行重组,并统计会话流特征,包括五元组、应用类型、大小、持续时间等;能够支持对UDP流量进行统计分析,并统计流特征,包括五元组、包大小等;能够与预置的IP标注信息、端口协议配置信息进行关联,支持上述信息的批量导入导出等;能够对协议提取的信息进行融合,包括主机名、域名、操作系统、用户名、开放端口、流量特征、IP协议号等;能够从协议中恢复还原各种文件,其中包括邮件、文档、音频等内容,并记录文件传输元数据和原始会话流,并支持关联检索等;还可以将分析后的数据进行模糊检索;支持对提取的各类信息进行高级检索,支持检索条件的逻辑运算等;能够支持多类型应用客户端和服务端角色判断,例如DNS服务器、FTP服务器、HTTP服务器等。
实施例二
请参阅图2,为本发明又一网络数据分析融合方法流程图。如图2所示,一种网络数据分析融合方法,至少包括步骤:
S21、建立网络协议、操作系统数据库;
网络协议、操作系统数据库存储多种协议规范,例如HTTP、TFTP、FTP、NFS、WAIS、SMTP、Telnet、Rlogin、SNMP、Gopher、SMTP、DNS、TCP、UDP、IP、ICMP、ARP、RARP、AKP、UUCP、FDDI、Ethernet、Arpanet、PDN、SLIP、PPP、IEEE 802.1A、IEEE 802.2到IEEE 802.11等协议的协议名称、协议描述、报文格式等。以下以DNS协议为例进行说明。如协议名称为DNS;也存储多种操作系统特征。这样通过建立标准库,为网络数据提供比对的基础。
操作系统数据库存储有当前流程的操作系统类别,如WINDOWS NT/2000、WINDOWS95/98、UNIX、LINUX、WIN7等。TTL(Time To Live,生存时间)是IP协议包中的一个值,当使用Ping命令进行网络连通测试或者是测试网速的时候,本地计算机会向目的主机发送数据包。不同的操作系统的默认TTL值是不同的,所以可以通过TTL值来判断主机的操作系统。下面是默认操作系统的TTL值:WINDOWS NT/2000的TTL值为128;WINDOWS 95/98的TTL值为32;UNIX的TTL值为255;LINUX的TTL值为64;WIN7的TTL值为64。
例如由某段网络数据解析出来自百度,则可以通过ping百度来判断源主机操作系统:
ping www.baidu.com
Pinging www.a.shifen.com[61.135.169.125]with 32 bytes of data:
Reply from 61.135.169.125:bytes=32 time=46ms TTL=54
Reply from 61.135.169.125:bytes=32 time=42ms TTL=54
Reply from 61.135.169.125:bytes=32 time=42ms TTL=54
Reply from 61.135.169.125:bytes=32 time=43ms TTL=54
Ping statistics for 61.135.169.125:
Packets:Sent=4,Received=4,Lost=0(0%loss),
Approximate round trip times in milli-seconds:
Minimum=42ms,Maximum=46ms,Average=43ms
从TTL的值可以判断出源主机是linux操作系统。
S22、获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
S23、根据所述网络数据比对结果,对所述网络数据进行分析融合。
与实施例一步骤S11相比,本实施例采用的技术方案为建立网络协议、操作系统数据库。这样通过建立网络协议、操作系统标准库,为网络数据提供比对基础。
可见,通过采用本实施例,通过建立网络协议、操作系统数据库,网络协议、操作系统数据库里存有多种网络协议、操作系统信息,在网络数据分析数据库查询,能够迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间。
实施例三
图3是本发明又一网络数据分析融合方法流程图。如图3所示,一种网络数据分析融合方法,至少包括步骤:
S31、建立网络数据分析数据库;
S32、提取所述网络数据片段;
S33、将所述网络数据片段作为关键字,在所述网络数据分析数据库中进行查询;
一般来说,网络数据是一段比较长的数据流。为了尽快定位出这段网络数据是属于OSI七层网络模型中的哪一层,选择截取网络数据中的片段来进行分析。这样节省时间。需要说明的是:提取所述网络数据片段大小需要根据完整的网络数据大小、分析融合需求来进行选择,这里不对网络数据片段大小进行限制。
S34、如果查询到,则分析所述网络数据类别且输出网络数据类别,网络数据比对结果为所述网络数据类别,否则输出网络数据比对结果为空;
需要说明的是,网络数据类别包括OSI七层网络模型中的具体层数,具体涉及的网络协议等,还可以输出网络日志、数据流信息、源主机操作系统、多种协议会话事件的提取(例如包括HTTP/FTP请求/响应、DNS事件、密钥交换、SNMP网络管理等事件类型等);对TLS/SSL加密流量的应用指纹构建和检测识别信息;对TCP会话进行重组信息,并统计会话流特征,包括五元组、应用类型、大小、持续时间等;对UDP流量进行统计分析结果,并统计流特征,包括五元组、包大小等。
S35、根据所述网络数据比对结果,对所述网络数据进行分析融合。
可见,通过采用本发明实施例,通过建立网络数据分析数据库,在网络数据分析数据库查询,迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间。
实施例四
图4是本发明一种网络数据分析融合装置结构示意图。如图4所示,一种网络数据分析融合装置,至少包括:
网络数据分析数据库建立模块10,用于建立网络数据分析数据库;
通常来说,网络数据分为四层:应用层,传输层、网络层、链路层。应用层对应OSI七层网络模型中的应用层、表示层、会话层。传输层对应OSI七层网络模型中的传输层。网络层对应OSI七层网络模型中的网络层。链路层对应OSI七层网络模型中的数据链路层和物理层。OSI七层网络模型中的应用层对应的网络协议有HTTP、TFTP、FTP、NFS、WAIS、SMTP;表示层对应的网络协议有Telnet、Rlogin、SNMP、Gopher;会话层对应的网络协议有SMTP、DNS。传输层对应的网络协议有TCP、UDP。网络层对应的网络协议有IP、ICMP、ARP、RARP、AKP、UUCP。OSI七层网络模型中的数据链路层对应的网络协议有FDDI、Ethernet、Arpanet、PDN、SLIP、PPP;物理层对应的网络协议有IEEE 802.1A、IEEE 802.2到IEEE 802.11。
网络数据分析数据库存储多种协议规范,例如HTTP、TFTP、FTP、NFS、WAIS、SMTP、Telnet、Rlogin、SNMP、Gopher、SMTP、DNS、TCP、UDP、IP、ICMP、ARP、RARP、AKP、UUCP、FDDI、Ethernet、Arpanet、PDN、SLIP、PPP、IEEE 802.1A、IEEE 802.2到IEEE 802.11等协议的协议名称、协议描述、报文格式等。以下以DNS协议为例进行说明。如协议名称为DNS。
协议描述为:域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。在因特网上域名与IP地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析系统来完成,DNS就是进行域名解析的系统。
报文格式为:DNS使用TCP和UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
(1)标识:占两个字节,同一个问题的查询和响应标识必须相同。
(2)标志:占两个字节QR:这一位是查询和响应报文的标志,0表示查询报文,1表示响应报文;Opcode:操作码占4bit,值为0表示标准查询,值为1表示反向查询,值为2表示服务器状态请求。标准查询是给出主机名查询其对应的IP;反向查询是给出IP查询其对应的主机名;AA:占1bit,表示该域名服务器是否是授权给该域的,1表示授权,0表示未授权;TC:占1bit,表示是否可截断。当使用UDP时,若此位为1,表示当响应报文的总长度超过512字节时,只返回前512个字节,是可截断的;RD:占1bit,表示是否期望递归。为1时表示查询方式是递归查询;如果该位为0,且被请求的域名服务器没有一个授权回答,则查询方式为迭代查询;RA:占1bit,表示是否可用递归。如果域名服务器支持递归查询,则在响应中将该比特设置为1,大多数名字服务器都提供递归查询,除了某些根服务器;随后的3bit字段必须为0;Rcode:结果代码占4bit,值为0表明没有差错,值为1表明报文格式出错,值为2表明服务器查询失败,值为3表明名字出错。
网络数据与网络数据分析数据库比对模块20,用于获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
通过实时截获或者从文件读取到网络数据。将获取的网络数据与已有的网络数据分析数据库进行比对。当发现获取的网络数据与网络数据分析数据库有匹配的,则能快速定位出当前网络数据是什么协议类型的数据包,则输出当前网络数据协议类型、数据内容等。
网络数据分析融合模块30,用于根据所述网络数据比对结果,对所述网络数据进行分析融合。
得知当前网络数据协议类型、数据内容等信息后,可以将数据内容各种特征进行分析融合,提升网络数据的研究价值。
可见,实施本实施例,通过建立网络数据分析数据库,解析网络数据,定位出网络数据所涉及的网络协议,根据网络数据解析结果,在网络数据分析数据库查询,迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间。
具体实施时,采用本实施例,可以识别和分析HTTP、TFTP、FTP、NFS、WAIS、SMTP、Telnet、Rlogin、SNMP、Gopher、SMTP、DNS、TCP、UDP、IP、ICMP、ARP、RARP、AKP、UUCP、FDDI、Ethernet、Arpanet、PDN、SLIP、PPP、IEEE 802.1A、IEEE 802.2到IEEE 802.11等协议,能够综合多种方法对主机进行操作系统识别;能够支持多种协议会话事件的提取,例如包括HTTP/FTP请求/响应、DNS事件、密钥交换、SNMP网络管理等事件类型;能够支持对TLS/SSL加密流量的应用指纹构建和检测识别;能够支持对TCP会话进行重组,并统计会话流特征,包括五元组、应用类型、大小、持续时间等;能够支持对UDP流量进行统计分析,并统计流特征,包括五元组、包大小等;能够与预置的IP标注信息、端口协议配置信息进行关联,支持上述信息的批量导入导出等;能够对协议提取的信息进行融合,包括主机名、域名、操作系统、用户名、开放端口、流量特征、IP协议号等;能够从协议中恢复还原各种文件,其中包括邮件、文档、音频等内容,并记录文件传输元数据和原始会话流,并支持关联检索等;还可以将分析后的数据进行模糊检索;支持对提取的各类信息进行高级检索,支持检索条件的逻辑运算等;能够支持多类型应用客户端和服务端角色判断,例如DNS服务器、FTP服务器、HTTP服务器等。
实施例五
图5是本发明又一种网络数据分析融合装置结构示意图。如图5所示,一种网络数据分析融合装置,至少包括:
网络数据分析数据库建立模块10,用于建立网络数据分析数据库;
网络数据分析数据库建立模块10至少包括网络协议数据库存储模块11和操作系统数据库存储模块12;
网络数据与网络数据分析数据库比对模块20,用于获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
网络数据分析融合模块30,用于根据所述网络数据比对结果,对所述网络数据进行分析融合。
在实施例四的基础上,网络数据分析数据库建立模块10至少又包括网络协议数据库存储模块11和操作系统数据库存储模块12。网络协议、操作系统数据库存储多种协议规范,例如HTTP、TFTP、FTP、NFS、WAIS、SMTP、Telnet、Rlogin、SNMP、Gopher、SMTP、DNS、TCP、UDP、IP、ICMP、ARP、RARP、AKP、UUCP、FDDI、Ethernet、Arpanet、PDN、SLIP、PPP、IEEE 802.1A、IEEE 802.2到IEEE 802.11等协议的协议名称、协议描述、报文格式等。以下以DNS协议为例进行说明。如协议名称为DNS;也存储多种操作系统特征。这样通过建立标准库,为网络数据提供比对的基础。
操作系统数据库存储有当前流程的操作系统类别,如WINDOWS NT/2000、WINDOWS95/98、UNIX、LINUX、WIN7等。TTL(Time To Live,生存时间)是IP协议包中的一个值,当使用Ping命令进行网络连通测试或者是测试网速的时候,本地计算机会向目的主机发送数据包。不同的操作系统的默认TTL值是不同的,所以可以通过TTL值来判断主机的操作系统。下面是默认操作系统的TTL值:WINDOWS NT/2000的TTL值为128;WINDOWS 95/98的TTL值为32;UNIX的TTL值为255;LINUX的TTL值为64;WIN7的TTL值为64。
例如由某段网络数据解析出该网络数据来自百度,则可以通过ping百度来判断源主机操作系统:
ping www.baidu.com
Pinging www.a.shifen.com[61.135.169.125]with 32 bytes of data:
Reply from 61.135.169.125:bytes=32 time=46ms TTL=54
Reply from 61.135.169.125:bytes=32 time=42ms TTL=54
Reply from 61.135.169.125:bytes=32 time=42ms TTL=54
Reply from 61.135.169.125:bytes=32 time=43ms TTL=54
Ping statistics for 61.135.169.125:
Packets:Sent=4,Received=4,Lost=0(0%loss),
Approximate round triptimes in milli-seconds:
Minimum=42ms,Maximum=46ms,Average=43ms
从TTL的值可以判断出源主机是linux操作系统。
可见,通过采用本实施例,通过建立网络协议、操作系统数据库,网络协议、操作系统数据库里存有多种网络协议、操作系统信息,在网络数据分析数据库查询,能够迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间。
实施例六
图6是本发明又一种网络数据分析融合装置结构示意图。如图6所示,一种网络数据分析融合装置,至少包括:
网络数据分析数据库建立模块10,用于建立网络数据分析数据库;
网络数据与网络数据分析数据库比对模块20,用于获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
网络数据与网络数据分析数据库比对模块20又至少包括:
网络数据截取模块21,用于提取所述网络数据片段;
网络数据查询模块22,用于将所述网络数据片段作为关键字,在所述网络数据分析数据库中进行查询;
查询结果输出模块23,用于如果查询到,则分析所述网络数据类别且输出所述网络数据类别,否则输出查询结果为空;
网络数据分析融合模块30,用于根据所述网络数据比对结果,对所述网络数据进行分析融合。
在实施例四的基础上,网络数据与网络数据分析数据库比对模块20又至少包括:网络数据截取模块21,用于提取所述网络数据片段;网络数据查询模块22,用于将所述网络数据片段作为关键字,在所述网络数据分析数据库中进行查询;查询结果输出模块23,用于如果查询到,则分析所述网络数据类别且输出所述网络数据类别,否则输出查询结果为空。一般来说,网络数据是一段比较长的数据流。为了尽快定位出这段网络数据是属于OS I七层网络模型中的哪一层,选择截取网络数据中的片段来进行分析。这样节省时间。需要说明的是:提取所述网络数据片段大小需要根据完整的网络数据大小、分析融合需求来进行选择,这里不对网络数据片段大小进行限制。
可见,通过采用本实施例,通过建立网络协议、操作系统数据库,网络协议、操作系统数据库里存有多种网络协议、操作系统信息,在网络数据分析数据库查询,能够迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间。
实施例七
图7是本发明又一种网络数据分析融合装置结构示意图。如图7所示,一种网络数据分析融合装置,至少包括:
网络数据分析数据库建立模块10,用于建立网络数据分析数据库;
网络数据与网络数据分析数据库比对模块20,用于获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
网络数据分析融合模块30,用于根据所述网络数据比对结果,对所述网络数据进行分析融合;
网络数据分析融合模块30又至少包括:
网络数据比对结果判断模块31,用于判断所述网络数据比对结果;
分析结果信息输出模块32,用于如果所述网络数据比对结果不为空,则根据所述网络数据比对结果,对所述网络数据进行分析,输出分析结果信息;
信息融合模块33,用于将分析结果信息进行融合,输出网络数据信息融合结果。
与实施例四相比,网络数据分析融合模块30又至少包括:网络数据比对结果判断模块31,用于判断所述网络数据比对结果;分析结果信息输出模块32,用于如果所述网络数据比对结果不为空,则根据所述网络数据比对结果,对所述网络数据进行分析,输出分析结果信息;信息融合模块33,用于将分析结果信息进行融合,输出网络数据信息融合结果。
可见,实施本实施例,通过建立网络数据分析数据库,解析网络数据,定位出网络数据所涉及的网络协议,根据网络数据解析结果,在网络数据分析数据库查询,迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间。
实施例八
图8为根据本发明实施例提供的电子设备的实体结构示意图。基于上述实施例的内容,如图8所示,该电子设备可以包括:处理器(processor)301、存储器(memory)302和总线303;其中,处理器301和存储器302通过总线303完成相互间的通信;处理器301用于调用存储在存储器302中并可在处理器301上运行的计算机程序指令,以执行上述各方法实施例所提供的网络数据分析融合方法,例如包括:
S11、建立网络数据分析数据库;
S12、获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
S13、根据所述网络数据比对结果,对所述网络数据进行分析融合。
此外,上述的存储器302中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案实质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例基于人脸识别生成备忘录的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘,只读存储器(ROM,Read-Only Memory)、随机存储存储器(RAM,Random AccessMemory)、磁碟或者光盘等各种存储程序代码的介质。
采用本实施例,通过建立网络数据分析数据库,截取网络数据片段,将网络数据片段作为关键字,在网络数据分析数据库进行查询,迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间。
实施例九
本发明另一实施例公开一种计算机程序产品,计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令被计算机执行时,计算机能够执行上述各实施例所提供的网络数据分析融合方法,例如包括步骤:
S11、建立网络数据分析数据库;
S12、获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
S13、根据所述网络数据比对结果,对所述网络数据进行分析融合。
采用本实施例,通过建立网络数据分析数据库,截取网络数据片段,将网络数据片段作为关键字,在网络数据分析数据库进行查询,迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间。
实施例十
本发明另一实施例提供-种非暂态计算机可读存储介质,非暂态计算机可读存储介质存储计算机指令,计算机指令使计算机执行上述各方法实施例所提供的网络数据分析融合方法,例如包括步骤:
S11、建立网络数据分析数据库;
S12、获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
S13、根据所述网络数据比对结果,对所述网络数据进行分析融合。
采用本实施例,通过建立网络数据分析数据库,截取网络数据片段,将网络数据片段作为关键字,在网络数据分析数据库进行查询,迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间。
综上所述,本发明通过以上实施例的设计,其有益效果是:通过建立网络数据分析数据库,截取网络数据片段,将网络数据片段作为关键字,在网络数据分析数据库进行查询,迅速分析、定位出网络数据类型,将网络数据不同类型信息进行多信息融合,准确识别出网络数据,过滤将对网络造成安全风险的数据,这样确保了网络数据传输的安全,净化了网络数据传输空间,可普遍适用于网络数据传输技术领域。
本发明是根据特定实施例进行描述的,但本领域的技术人员应明白在不脱离本发明范围时,可进行各种变化和等同替换。此外,为适应本发明技术的特定场合,可对本发明进行诸多修改而不脱离其保护范围。因此,本发明并不限于在此公开的特定实施例,而包括所有落入到权利要求保护范围的实施例。
Claims (10)
1.一种网络数据分析融合方法,其特征在于,包括:
建立网络数据分析数据库;
获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
根据所述网络数据比对结果,对所述网络数据进行分析融合。
2.根据权利要求1所述的网络数据分析融合方法,其特征在于,所述建立网络数据分析数据库包括:建立网络协议、操作系统数据库。
3.根据权利要求1所述的网络数据分析融合方法,其特征在于,所述获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果包括:
提取所述网络数据片段;
将所述网络数据片段作为关键字,在所述网络数据分析数据库中进行查询;
如果查询到,则分析所述网络数据类别且输出网络数据类别,网络数据比对结果为所述网络数据类别,否则输出网络数据比对结果为空。
4.根据权利要求1所述的网络数据分析融合方法,其特征在于,所述根据所述网络数据比对结果,对所述网络数据进行分析融合包括:
判断所述网络数据比对结果;
如果所述网络数据比对结果不为空,则根据所述网络数据比对结果,对所述网络数据进行分析,输出分析结果信息;
将分析结果信息进行融合,输出网络数据信息融合结果。
5.一种网络数据分析融合装置,其特征在于,包括:
网络数据分析数据库建立模块,用于建立网络数据分析数据库;
网络数据与网络数据分析数据库比对模块,用于获取网络数据,解析所述网络数据,将所述网络数据与所述网络数据分析数据库进行比对,生成网络数据比对结果;
网络数据分析融合模块,用于根据所述网络数据比对结果,对所述网络数据进行分析融合。
6.根据权利要求1所述的网络数据分析融合方法,其特征在于,所述网络数据分析数据库建立模块包括:网络协议数据库存储模块和操作系统数据库存储模块。
7.根据权利要求1所述的网络数据分析融合方法,其特征在于,所述网络数据分析融合模块包括:
网络数据截取模块,用于提取所述网络数据片段;
网络数据查询模块,用于将所述网络数据片段作为关键字,在所述网络数据分析数据库中进行查询;
查询结果输出模块,用于如果查询到,则分析所述网络数据类别且输出所述网络数据类别,否则输出查询结果为空。
8.根据权利要求1所述的网络数据分析融合方法,其特征在于,所述网络数据分析融合模块包括:
网络数据比对结果判断模块,用于判断所述网络数据比对结果;
分析结果信息输出模块,用于如果所述网络数据比对结果不为空,则根据所述网络数据比对结果,对所述网络数据进行分析,输出分析结果信息;
信息融合模块,用于将分析结果信息进行融合,输出网络数据信息融合结果。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时,实现如权利要求1至4任一项所述网络数据分析融合方法的步骤。
10.一种存储介质,所述存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述网络数据分析融合方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010634837.7A CN112653657A (zh) | 2020-07-03 | 2020-07-03 | 网络数据分析融合方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010634837.7A CN112653657A (zh) | 2020-07-03 | 2020-07-03 | 网络数据分析融合方法、系统、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112653657A true CN112653657A (zh) | 2021-04-13 |
Family
ID=75347105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010634837.7A Withdrawn CN112653657A (zh) | 2020-07-03 | 2020-07-03 | 网络数据分析融合方法、系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112653657A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172980A (zh) * | 2021-12-08 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 一种识别操作系统类型的方法、系统、装置、设备及介质 |
| CN114936222A (zh) * | 2022-03-30 | 2022-08-23 | 北京元年科技股份有限公司 | 基于udp广播协议的数据库集群的数据查询方法及装置 |
| CN115103000A (zh) * | 2022-06-20 | 2022-09-23 | 北京鼎兴达信息科技股份有限公司 | 基于NetStream对铁路数据网进行业务会话还原和分析方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106571940A (zh) * | 2015-10-08 | 2017-04-19 | 中国移动通信集团广东有限公司 | 一种融合网管数据与资源数据的方法和装置 |
| CN107122415A (zh) * | 2017-03-31 | 2017-09-01 | 江苏速度信息科技股份有限公司 | 地名地址库数据融合集成的系统 |
-
2020
- 2020-07-03 CN CN202010634837.7A patent/CN112653657A/zh not_active Withdrawn
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106571940A (zh) * | 2015-10-08 | 2017-04-19 | 中国移动通信集团广东有限公司 | 一种融合网管数据与资源数据的方法和装置 |
| CN107122415A (zh) * | 2017-03-31 | 2017-09-01 | 江苏速度信息科技股份有限公司 | 地名地址库数据融合集成的系统 |
Non-Patent Citations (2)
| Title |
|---|
| 于滢: "网络安全态势感知系统的研究", 《电脑知识与技术》 * |
| 陆明华: ""天地图?上海"与主节点数据融合方案研究", 《测绘与空间地理信息》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172980A (zh) * | 2021-12-08 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 一种识别操作系统类型的方法、系统、装置、设备及介质 |
| CN114936222A (zh) * | 2022-03-30 | 2022-08-23 | 北京元年科技股份有限公司 | 基于udp广播协议的数据库集群的数据查询方法及装置 |
| CN115103000A (zh) * | 2022-06-20 | 2022-09-23 | 北京鼎兴达信息科技股份有限公司 | 基于NetStream对铁路数据网进行业务会话还原和分析方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
| CN112653657A (zh) | 网络数据分析融合方法、系统、电子设备及存储介质 | |
| US8065722B2 (en) | Semantically-aware network intrusion signature generator | |
| EP2244418B1 (en) | Database security monitoring method, device and system | |
| CN114157502B (zh) | 一种终端识别方法、装置、电子设备及存储介质 | |
| CN109165144B (zh) | 一种基于变长记录的安全日志压缩存储和检索方法 | |
| CN110808865B (zh) | 一种被动工控网络拓扑发现方法及工控网络安全管理系统 | |
| US20190007292A1 (en) | Apparatus and method for monitoring network performance of virtualized resources | |
| CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
| EP3065343B1 (en) | Network monitoring method and apparatus, and packet filtering method and apparatus | |
| CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
| CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN110225045A (zh) | 全链路数据鉴权方法、装置、设备及存储介质 | |
| TWM594841U (zh) | 封包擷取分析裝置及具有該封包擷取分析裝置之網路資安系統 | |
| CN112532614A (zh) | 一种用于电网终端的安全监测方法和系统 | |
| CN112822204A (zh) | 一种nat的检测方法、装置、设备及介质 | |
| US20110016208A1 (en) | Apparatus and method for sampling security event based on contents of the security event | |
| CN114189455B (zh) | 基于ebpf技术的容器网络流量监控统计方法及系统 | |
| CN114650185A (zh) | 一种以网络数据资产为核心的安全风险分析方法和安全监控管理系统 | |
| CN103236940A (zh) | 内容处理方法和装置及网络设备 | |
| CN114338600A (zh) | 一种设备指纹的推选方法、装置、电子设备和介质 | |
| CN110830416A (zh) | 网络入侵检测方法和装置 | |
| KR20020049462A (ko) | 인터넷상 트래픽의 상위 계층 프로토콜들을 구분하는 방법및 장치 | |
| Haghighat et al. | Payload attribution via character dependent multi-bloom filters | |
| US7266088B1 (en) | Method of monitoring and formatting computer network data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210413 |