CN112769790A - 流量处理方法、装置、设备及存储介质 - Google Patents
流量处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112769790A CN112769790A CN202011611683.6A CN202011611683A CN112769790A CN 112769790 A CN112769790 A CN 112769790A CN 202011611683 A CN202011611683 A CN 202011611683A CN 112769790 A CN112769790 A CN 112769790A
- Authority
- CN
- China
- Prior art keywords
- matching result
- item
- matched
- source
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种流量处理方法、装置、设备及存储介质,所述方法包括:获取TCP流量,并从所述TCP流量中提取待匹配项目;根据待匹配项目中的源IP和目的IP中的至少一个获取对应的IP节点内的设备属性和学习特征,并根据所述设备属性获取对应的属性节点内的基础特征;根据所述待匹配项目与基础特征确定第一匹配结果,并根据待匹配项目与学习特征确定第二匹配结果;响应于所述第一匹配结果不符合第一预设条件且所述第二匹配结果不符合第二预设条件,根据待匹配项目与共享特征确定第三匹配结果;响应于所述第一匹配结果符合第一预设条件、所述第二匹配结果符合第二预设条件或所述第三匹配结果符合第三预设条件,放通所述TCP流量。
Description
技术领域
本公开涉及资产管理技术领域,具体涉及一种流量处理方法、装置、设备及存储介质。
背景技术
网络及信息化的普及让各行各业都从中获取到巨大的便利,例如医院放射科的医疗系统,将设备、工作站及存储服务器等业务模块进行网络互连,通过网络协议的规范实现标准化通信,大大提高了医院业务系统的工作流程和工作效率。但是医疗系统中存在各种安全威胁,例如病毒和异常流量,相关技术并无法准确识别和处理这些威胁。
发明内容
本公开提供一种流量处理方法、装置、设备及存储介质。
具体地,本公开是通过如下技术方案实现的:
第一方面,提供一种流量处理方法,应用于预设的流量处理系统,所述流量处理系统内设有特征库,所述特征库包括IP子库和属性子库,所述IP子库包括多个IP节点,每个IP节点内存储有设备属性和学习特征,所述属性子库包括多个属性节点,每个属性节点内存储有基础特征和共享特征,其中,所述学习特征、所述基础特征和所述共享特征均包括IP和端口中的至少一个;所述方法包括:
获取TCP流量,并从所述TCP流量中提取待匹配项目,其中,所述待匹配项目包括源IP、目的IP、源端口和目的端口;
根据待匹配项目中的源IP和目的IP中的至少一个获取对应的IP节点内的设备属性和学习特征,并根据所述设备属性获取对应的属性节点内的基础特征;
根据所述待匹配项目与基础特征确定第一匹配结果,并根据待匹配项目与学习特征确定第二匹配结果;
响应于所述第一匹配结果不符合第一预设条件且所述第二匹配结果不符合第二预设条件,根据所述设备属性获取对应的属性节点内的共享特征,并根据待匹配项目与共享特征确定第三匹配结果;
响应于所述第一匹配结果符合第一预设条件、所述第二匹配结果符合第二预设条件或所述第三匹配结果符合第三预设条件,放通所述TCP流量。
在一个实施例中,根据提取到的源IP和目的IP分别获取对应的IP节点内的设备属性和学习特征,并分别根据所述设备属性获取对应的属性节点内的基础特征时:
所述根据所述待匹配项目与基础特征确定第一匹配结果,包括:分别确定源IP对应的第一匹配结果和目的IP对应的第一匹配结果;所述第一匹配结果符合第一预设条件,包括:所述源IP对应的第一匹配结果和所述目的IP对应的第一匹配结果均符合第一预设条件;
所述根据所述待匹配项目与学习特征确定第二匹配结果,包括:分别确定源IP对应的第二匹配结果和目的IP对应的第二匹配结果;所述第二匹配结果符合第二预设条件,包括:所述源IP对应的第二匹配结果和所述目的IP对应的第二匹配结果均符合第二预设条件;
所述根据所述待匹配项目与共享特征确定第三匹配结果,包括:分别确定源IP对应的第三匹配结果和目的IP对应的第三匹配结果;所述第三匹配结果符合第三预设条件,包括:所述源IP对应的第三匹配结果和所述目的IP对应的第三匹配结果均符合第三预设条件。
在一个实施例中,所述学习特征、所述基础特征和所述共享特征均还包括协议特征;所述待匹配项目还包括协议特征。
在一个实施例中,所述协议特征包括预设标准协议的特征、预设报文字段的特征和自定义的特征中的至少一个。
在一个实施例中,还包括:
根据所述源IP对应的IP节点内存储的设备属性确定第一匹配项目,其中,所述第一匹配项目包括待匹配项目中的至少一项;和/或,
根据所述目的IP对应的IP节点内存储的设备属性确定第二匹配项目,其中,所述第二匹配项目包括待匹配项目中的至少一项;
所述确定源IP对应的第一匹配结果,包括:
按照第一匹配项目对应匹配待匹配项目中的至少一项与基础特征中的的至少一项,以确定源IP对应的第一匹配结果;
所述确定目的IP对应的第一匹配结果,包括:
按照第二匹配项目对应匹配待匹配项目中的至少一项与基础特征中的至少一项,以确定目的IP对应的第一匹配结果;
所述确定源IP对应的第二匹配结果,包括:
按照第一匹配项目对应匹配待匹配项目中的至少一项与学习特征中的至少一项,以确定源IP对应的第二匹配结果;
所述确定目的IP对应的第二匹配结果,包括:
按照第二匹配项目对应匹配待匹配项目中的至少一项与学习特征中的至少一项,以确定目的IP对应的第二匹配结果;
所述确定源IP对应的第三匹配结果,包括:
按照第一匹配项目对应匹配待匹配项目中的至少一项与共享特征中的至少一项,以确定源IP对应的第三匹配结果;
所述确定目的IP对应的第三匹配结果,包括:
按照第二匹配项目对应匹配待匹配项目中的至少一项与共享特征中的至少一项,以确定目的IP对应的第三匹配结果。
在一个实施例中,所述设备属性包括厂商和类型中的至少一个。
在一个实施例中,还包括:
获取TCP流量,并检查TCP流量的会话状态;
响应于所述TCP流量已经建立了三次握手,确定所述TCP流量的协议类型;
响应于所述TCP流量的协议类型为预设标准协议的类型,从所述TCP流量中提取待学习项目,其中,所述待学习项目包括源IP、目的IP、源端口和目的端口;
响应于IP子库内存在与所述源IP和所述目的IP中的至少一个对应的IP节点,将所述待学习项目中的至少一项作为学习特征存储至所述IP节点内,并将所述学习特征同步存储至所述IP节点内的设备属性对应的属性节点内。
在一个实施例中,所述待学习项目还包括协议特征。
在一个实施例中,还包括:
根据所述IP节点对应的IP类型和所述设备属性确定第三匹配项目,其中,所述IP类型包括源IP和目的IP,所述第三匹配项目包括待学习项目中的至少一项;
所述将所述待学习项目中的至少一项作为学习特征存储至所述IP节点内,包括:
按照所述第三匹配项目,对应存储所述待学习项目中的至少一项。
在一个实施例中,还包括:
获取符合预设标准协议、预设报文字段的协议和自定义的协议中的至少一个的流量,并提取所述流量中的源IP;
根据所述流量的内容确定所述源IP对应的设备属性;
根据所述源IP在所述IP子库内构建一个IP节点,并在所述IP节点内存储所述源IP对应的设备属性;
根据所述设备属性在所述属性子库内构建一个属性节点。
在一个实施例中,还包括:
获取所述设备属性对应的基础特征,并将所述基础特征存储至所述设备属性对应的属性节点内。
第二方面,提供一种流量处理装置,应用于预设的流量处理系统,所述流量处理系统内设有特征库,所述特征库包括IP子库和属性子库,所述IP子库包括多个IP节点,每个IP节点内存储有设备属性和学习特征,所述属性子库包括多个属性节点,每个属性节点内存储有基础特征和共享特征,其中,所述学习特征、所述基础特征和所述共享特征均包括IP和端口中的至少一个;所述装置包括:
提取模块,用于获取TCP流量,并从所述TCP流量中提取待匹配项目,其中,所述待匹配项目包括源IP、目的IP、源端口和目的端口;
获取模块,用于根据待匹配项目中的源IP和目的IP中的至少一个获取对应的IP节点内的设备属性和学习特征,并根据所述设备属性获取对应的属性节点内的基础特征;
第一匹配模块,用于根据所述待匹配项目与基础特征确定第一匹配结果,并根据待匹配项目与学习特征确定第二匹配结果;
第二匹配模块,用于响应于所述第一匹配结果不符合第一预设条件且所述第二匹配结果不符合第二预设条件,根据所述设备属性获取对应的属性节点内的共享特征,并根据待匹配项目与共享特征确定第三匹配结果;
放通模块,用于响应于所述第一匹配结果符合第一预设条件、所述第二匹配结果符合第二预设条件或所述第三匹配结果符合第三预设条件,放通所述TCP流量。
第三方面,提供一种电子设备,所述设备包括存储器、处理器,所述存储器用于存储可在处理器上运行的计算机指令,所述处理器用于在执行所述计算机指令时基于如第一方面所述的方法进行流量处理。
第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如第一方面所述的方法。
本说明书的实施例提供的技术方案可以包括以下有益效果:
本公开实施例中的应用于流量处理系统的流量处理方法,通过获取TCP流量并提取待匹配项目,并根据源IP和目的IP从预设的流量处理系统内获取学习特征、基础特征和共享特征,以及根据基础特征与待匹配项目确定第一匹配结果、根据学习特征与待匹配项目确定第二匹配结果和根据共享特征与待匹配项目确定第三匹配结果,最后响应于所述第一匹配结果符合第一预设条件、所述第二匹配结果符合第二预设条件或所述第三匹配结果符合第三预设条件,放通所述TCP流量。也就是说,从设备的基础特征和设备自学习的特征以及其他设备共享的特征三个方面验证TCP流量的合法性,因此能够识别系统内的病毒或异常流量等具有安全威胁的数据,并及时处理安全威胁;而且三个方面的特征给与TCP流量三次验证机会,提高了识别安全威胁的准确性,从而可以在保证业务正常的情况下阻止一切非法攻击数据,进而提高了系统运行的安全性。
附图说明
图1是本公开一示例性实施例示出的流量处理方法的流程示意图;
图2是本公开一示例性实施例示出的特征库的结构示意图;
图3是本公开一示例性实施例示出的增加学习特征和共享特征至特征库的过程的流程示意图;
图4是本公开一示例性实施例示出的构建特征库的过程的流程示意图;
图5是本公开一示例性实施例示出的流量处理装置的结构示意图;
图6是本公开一示例性实施例示出的设备的硬件示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
网络及信息化的普及让各行各业都从中获取到巨大的便利,例如医院放射科的医疗系统,将设备、工作站及存储服务器等业务模块进行网络互连,通过网络协议的规范实现标准化通信,大大提高了医院业务系统的工作流程和工作效率。但是医疗系统中存在各种安全威胁,例如病毒和异常流量,相关技术并无法准确识别和处理这些威胁。
具体来说,不法分子有针对性的入侵医院网络,窃取医疗系统中存储的病人信息,更有甚者,通过传播病毒来加密医疗数据、破坏业务交互,从而达到勒索的目的。然而传统的病毒查杀设备或软件无法阻止病毒在医疗设备之间传播,也无法区分网络中的正常和异常流量。相关技术中,通过在医疗系统的网络转发设备上配置包过滤策略,过滤特殊端口和协议类型的报文,不但配置复杂,需要收集整理现网业务所有使用的端口和服务,而且一旦业务端口发生变化将直接影响业务。
基于此,第一方面,本公开的至少一个实施例提供了一种流量处理方法,请参照附图1,其示出了该处理方法的流程,包括步骤S101至步骤S105。
其中,该流量处理方法应用于预设的流量处理系统,所述流量处理系统内设有如图2所示的特征库200,所述特征库200包括IP子库201和属性子库202,所述IP子库201包括多个IP节点(例如图2中示例性示出的2011、2012、2013和2014),每个IP节点内存储有设备属性和学习特征,所述属性子库202包括多个属性节点(例如图2中示例性示出的2021、2022),每个属性节点内存储有基础特征和共享特征,其中,所述学习特征、所述基础特征和所述共享特征均包括IP和端口中的至少一个。
其中,流量可以为任意的TCP(传输控制协议)流量,例如为医疗系统内的TCP流量。TCP流量在系统内的业务模块间传输,例如可以从设备和工作站等终端向服务器传输,也可以反向从服务器向设备和工作站等终端传输。TCP流量包括源IP、目的IP、源端口和目的端口以及流量内容,在系统内传输的TCP流量符合一些预设的特征,这些特征可以对应源IP、目的IP、源端口和目的端口以及流量内容中的一项或多项。特征的存储方式可以根据需要进行具体设置,这里不做具体限定。
另外,学习特征中包括的IP可以是一个,也可以是多个,学习特征中的端口可以是一个,也可以是多个,因此可以在学习特征下设置IP分组和端口分组。例如,IP节点内的存储详情可以按照下表进行设置:
表1:IP节点存储详情表
同样,基础特征和共享特征也可以按照学习特征的存储方式进行存储,即对IP和端口进行分组,例如,属性节点内的存储详情可以按照下表进行设置:
表2:属性节点存储详情表
在步骤S101中,获取TCP流量,并从所述TCP流量中提取待匹配项目,其中,所述待匹配项目包括源IP、目的IP、源端口和目的端口。
其中,TCP流量为字符串的形式,字符串的组成具有一定规则,也就是说,字符串中的字符位或字符位组合均代表预设的固定内容,例如可以代表源IP、目的IP、源端口、目的端口和流量内容中的一个。同样,按照预设的规则查询相关内容对应的字符位,便可以得到相关内容,例如源IP对应字符串中的第m个字符位至第m+n个字符位,因此将第m个字符位至第m+n个字符位的字符子串提取出来,便得到了源IP,其他相关内容(例如目的IP、源端口、目的端口和流量内容)均可按照上述方法提取。当然,还可按照其他方法从TCP流量中提取源IP、目的IP、源端口和目的端口,本公开对具体的提取方式无意作出限制。
在步骤S102中,根据待匹配项目中的源IP和目的IP中的至少一个获取对应的IP节点内的设备属性和学习特征,并根据所述设备属性获取对应的属性节点内的基础特征。
其中,特征库内的基础特征可以是根据设备的设备属性预先确定的一些特征,例如,可以根据设备属性对应的一些常规的设计规则或通信规则等确定基础特征。在一个示例中,设备属性可以包括厂商和类型中的至少一个,因此可以根据设备的厂商确定一些特征作为基础特征,或根据设备的类型确定一些特征作为基础特征,或根据设备的厂商和类型确定一些特征作为基础特征。
其中,特征库内的学习特征可以是预先学习的特征,例如根据系统运行过程中的合法TCP流量学习到的,合法的TCP流量可以为符合状态要求和预设标准的流量。
本步骤中,可以根据待匹配项目中的源IP到特征库内寻找对应的IP节点,也可以根据待匹配项目中的目的IP到特征库内寻找对应的IP节点,还可以分别根据源IP和目的IP到特征库内寻找对应的IP节点;进而,针对获取到的IP节点,提取设备属性和学习特征,并根据设备属性定位到对应的属性特征,并提取该属性特征内的基础特征。
在步骤S103中,根据所述待匹配项目与基础特征确定第一匹配结果,并根据待匹配项目与学习特征确定第二匹配结果。
本步骤中,可以根据待匹配项目中的至少一个和基础特征中的至少一个确定第一匹配结果,具体的,可以对应比较待匹配项目中的至少一个和基础特征库中的至少一个,若每一个比较结果均相同时,可以确定第一匹配结果符合第一预设条件,若存在任一个比较结果为不同时,可以确定第一匹配结果不符合第一预设条件。同理,可以根据待匹配项目中的至少一个和学习特征中的至少一个确定第二匹配结果,具体的,可以对应比较待匹配项目中的至少一个和学习特征库中的至少一个,若每一个比较结果均相同时,可以确定第二匹配结果符合第二预设条件,若存在任一个比较结果为不同时,可以确定第二匹配结果不符合第二预设条件。
如果比较待匹配项目中的源IP或目的IP与学习特征中的IP时,需要将学习特征中IP分组内的所有IP分别与源IP或目的IP进行比较,IP分组内存在一个与源IP或目的IP相同的IP,则确定源IP或目的IP的比较结果为相同。同样的,比较待匹配项目中的源端口或目的端口与学习特征中的端口时,需要将学习特征中端口分组内的所有端口分别与源端口或目的端口进行比较,端口分组内存在一个与源端口或目的端口相同的端口,则确定源端口或目的端口的比较结果为相同。由于基础特征中的IP和端口也是采用分组方式存储的,因此比较源IP、目的IP、源端口或目的端口与基础特征中的IP或端口时,采用与学习特征的相同的比较方式,这里不再重复赘述。
另外,当源IP或目的IP对应的IP节点内未存储学习特征时,第二匹配结果也视为不符合第二预设条件;当IP节点内存储的设备属性对应的属性节点内未存储基础特征时,第一匹配结果也视为不符合第一预设条件。
需要注意的是,当根据待匹配项目中的源IP和目的IP均成功从特征库内寻找到了对应的IP节点时,则在确定第一匹配结果时,可以分别确定源IP对应的第一匹配结果和目的IP对应的第一匹配结果,而且在源IP对应的第一匹配结果和目的IP对应的第一匹配结果均符合第一预设条件时,才能确定第一匹配结果符合第一预设条件;同理,根据源IP和目的IP均成功从特征库内寻找到了对应的基础特征时,则在确定第二匹配结果时,可以分别确定源IP对应的第二匹配结果和目的IP对应的第二匹配结果,而且在源IP对应的第二匹配结果和目的IP对应的第二匹配结果均符合第二预设条件时,才能确定第二匹配结果符合第二预设条件。
进一步的,确定源IP对应的第一匹配结果和第二匹配结果前,可以先根据所述源IP对应的IP节点内存储的设备属性确定第一匹配项目,其中,所述第一匹配项目包括待匹配项目中的至少一项,例如,第一匹配项目包括目的IP和目的端口;进而在确定源IP对应的第一匹配结果时,可以按照第一匹配项目对应匹配待匹配项目中的至少一项与基础特征中的的至少一项,以确定源IP对应的第一匹配结果,例如,第一匹配项目包括目的IP和目的端口时,可以匹配待匹配项目中的目的IP和基础特征中的IP,同时匹配待匹配项目中的目的端口和基础特征中的端口,当上述两项匹配结果都为相同时,则确定第一匹配结果符合第一预设条件,在确定源IP对应的第二匹配结果时,可以按照第一匹配项目对应匹配待匹配项目中的至少一项与学习特征中的的至少一项,以确定源IP对应的第二匹配结果,例如,第一匹配项目包括目的IP和目的端口时,可以匹配待匹配项目中的目的IP和学习特征中的IP,同时匹配待匹配项目中的目的端口和学习特征中的端口,当上述两项匹配结果都为相同时,则确定第二匹配结果符合第二预设条件。
同理,确定目的IP对应的第一匹配结果和第二匹配结果前,可以先根据所述目的IP对应的IP节点内存储的设备属性确定第二匹配项目,其中,所述第二匹配项目包括待匹配项目中的至少一项,例如,第一匹配项目包括源IP和源端口;进而在确定目的IP对应的第一匹配结果时,可以按照第二匹配项目对应匹配待匹配项目中的至少一项与基础特征中的的至少一项,以确定目的IP对应的第一匹配结果,例如,第二匹配项目包括源IP和源端口时,可以匹配待匹配项目中的源IP和基础特征中的IP,同时匹配待匹配项目中的源端口和基础特征中的端口,当上述两项匹配结果都为相同时,则确定第一匹配结果符合第一预设条件,在确定目的IP对应的第二匹配结果时,可以按照第二匹配项目对应匹配待匹配项目中的至少一项与学习特征中的的至少一项,以确定目的IP对应的第二匹配结果,例如,第二匹配项目包括源IP和源端口时,可以匹配待匹配项目中的源IP和学习特征中的IP,同时匹配待匹配项目中的源端口和学习特征中的端口,当上述两项匹配结果都为相同时,则确定第二匹配结果符合第二预设条件。
在步骤S104中,响应于所述第一匹配结果不符合第一预设条件且所述第二匹配结果不符合第二预设条件,根据所述设备属性获取对应的属性节点内的共享特征,并根据待匹配项目与共享特征确定第三匹配结果。
其中,共享特征是IP子库内学习到的学习特征共享至属性子库内的,具体的,当IP子库的某一IP节点学习到对应的学习特征后,会根据其存储的设备属性将学习特征共享至对应的属性节点内,成为该属性节点内的共享特征;IP节点将学习特征共享至对应的属性节点内,可以供与该IP节点的设备属性相同的设备使用其学习到的特征,达到共享学习成果的目的,同时能够避免重复学习。
与基础特征和学习特征的匹配原理相同,可以根据待匹配项目中的至少一个和共享特征中的至少一个确定第三匹配结果,具体的,可以对应比较待匹配项目中的至少一个和共享特征库中的至少一个,若每一个比较结果均相同时,可以确定第三匹配结果符合第三预设条件,若存在任一个比较结果为不同时,可以确定第三匹配结果不符合第三预设条件。且当IP节点内存储的设备属性对应的属性节点内未存储共享特征时,第三匹配结果也视为不符合第三预设条件。
由于共享特征中的IP和端口也是采用分组方式存储的,因此比较源IP、目的IP、源端口或目的端口与共享特征中的IP或端口时,采用与学习特征的相同的比较方式,这里不再重复赘述。
需要注意的是,根据源IP和目的IP均成功从特征库内寻找到了对应的共享特征时,则在确定第三匹配结果时,可以分别确定源IP对应的第三匹配结果和目的IP对应的第三匹配结果,而且在源IP对应的第三匹配结果和目的IP对应的第三匹配结果均符合第三预设条件时,才能确定第三匹配结果符合第三预设条件。
进一步的,如果确定源IP对应的第一匹配结果和第二匹配结果之前,已经根据所述源IP对应的IP节点内存储的设备属性确定第一匹配项目,则确定源IP对应的第三匹配结果时,可以直接利用该第一匹配项目;若在确定源IP对应的第一匹配结果和第二匹配结果之前,未根据所述源IP对应的IP节点内存储的设备属性确定第一匹配项目,则确定源IP对应的第三匹配结果前,可以先根据所述源IP对应的IP节点内存储的设备属性确定第一匹配项目,其中,所述第一匹配项目包括待匹配项目中的至少一项,例如,第一匹配项目包括目的IP和目的端口。进而,在确定源IP对应的第三匹配结果时,可以按照第一匹配项目对应匹配待匹配项目中的至少一项与共享特征中的的至少一项,以确定源IP对应的第三匹配结果,例如,第一匹配项目包括目的IP和目的端口时,可以匹配待匹配项目中的目的IP和共享特征中的IP,同时匹配待匹配项目中的目的端口和共享特征中的端口,当上述两项匹配结果都为相同时,则确定第三匹配结果符合第三预设条件。
同理,如果确定目的IP对应的第一匹配结果和第二匹配结果之前,已经根据所述目的IP对应的IP节点内存储的设备属性确定第二匹配项目,则确定目的IP对应的第三匹配结果时,可以直接利用该第二匹配项目;若在确定目的IP对应的第一匹配结果和第二匹配结果之前,未根据所述目的IP对应的IP节点内存储的设备属性确定第三匹配项目,则确定目的IP对应的第三匹配结果前,可以先根据所述目的IP对应的IP节点内存储的设备属性确定第二匹配项目,其中,所述第二匹配项目包括待匹配项目中的至少一项,例如,第二匹配项目包括源IP和源端口。进而,在确定目的IP对应的第三匹配结果时,可以按照第二匹配项目对应匹配待匹配项目中的至少一项与共享特征中的的至少一项,以确定目的IP对应的第三匹配结果,例如,第二匹配项目包括源IP和源端口时,可以匹配待匹配项目中的源IP和共享特征中的IP,同时匹配待匹配项目中的源端口和共享特征中的端口,当上述两项匹配结果都为相同时,则确定第三匹配结果符合第三预设条件。
在步骤S105中,响应于所述第一匹配结果符合第一预设条件、所述第二匹配结果符合第二预设条件或所述第三匹配结果符合第三预设条件,放通所述TCP流量。
三个匹配结果存在任一个符合对应的预设条件,则放通该TCP流量;即三个匹配结果都不符合对应的预设条件,则丢弃该TCP流量。
本公开实施例中的应用于流量处理系统的流量处理方法,通过获取TCP流量并提取待匹配项目,并根据源IP和目的IP从预设的流量处理系统内获取学习特征、基础特征和共享特征,以及根据基础特征与待匹配项目确定第一匹配结果、根据学习特征与待匹配项目确定第二匹配结果和根据共享特征与待匹配项目确定第三匹配结果,最后响应于所述第一匹配结果符合第一预设条件、所述第二匹配结果符合第二预设条件或所述第三匹配结果符合第三预设条件,放通所述TCP流量。也就是说,从设备的基础特征和设备自学习的特征以及其他设备共享的特征三个方面验证TCP流量的合法性,因此能够识别系统内的病毒或异常流量等具有安全威胁的数据,并及时处理安全威胁;而且三个方面的特征给与TCP流量三次验证机会,提高了识别安全威胁的准确性,从而可以在保证业务正常的情况下阻止一切非法攻击数据,进而提高了系统运行的安全性。不仅用白名单的形式保护放射科医疗终端不受攻击,也极大的节省了操作及运维成本,最大程度上实现自动化。
本公开的一些实施例中,所述学习特征、所述基础特征和所述共享特征均还包括协议特征;所述待匹配项目还包括协议特征。
其中,所述协议特征包括预设标准协议的特征、预设报文字段的特征和自定义的特征中的至少一个。例如,预设标准协议可以是DICOM协议,预设报文字段可以是操作人员预先选择或者输入的报文字段,而自定义的特征可以是操作人员或维护人员自行输入的特征。其中,DICOM标准(Digital Imaging and Communications in Medicine)即医学数字成像和通信,是医学图像和相关信息的国际标准(ISO 12052),它定义了质量能满足临床需要的可用于数据交换的医学图像格式。
协议特征可以包括多种类别,因此协议特征也可以按照分组的方式进行存储,即为每个类别建立一个分组。例如,IP节点内的存储详情可以按照下表进行设置:
表3:IP节点存储详情表
对应的,属性节点内的存储详情可以按照下表进行设置:
表4:属性节点存储详情表
其中,基础特征的存储方式与共享特征相同,只是存储的特征的内容有所不同,因此未详细示出。
由于协议特征也是采用分组方式存储的,因此比较协议特征时,采用与IP和端口相同的比较方式,这里不再重复赘述。
通过在基础特征库、学习特征库和共享特征库中增加协议特征,且对应在待匹配项目时进一步增加协议特征,能够在确定第一匹配结果、第二匹配结果和第三匹配结果时,匹配待匹配项目中的协议特征和对应的特征中的协议特征,因此能够增加匹配结果的准确性。
本公开的一些实施例中,可以提前在特征库内增加学习特征和共享特征,请参照附图3,其示出了在特征库内增加学习特征和共享特征的流程,包括步骤S301和步骤S303。
在步骤S301中,获取TCP流量,并检查TCP流量的会话状态。
其中,TCP流量在终端与服务器间成功传输一次,即可视为TCP流量完成了一次握手,而一个TCP流量在服务器和终端间成功建立连接的标志是完成了三次握手。三次握手第一次是源端(例如客户端)向目的端(例如服务器)发送连接请求,第二次是目的端(例如服务器)向源端(例如客户端)发送响应信息,第三次是源端(例如客户端)向目的端(例如服务器)发送确定连接信息。每次握手后,TCP流量的字符串便发生变化,字符的构成具有一定的规则,因此按照预设规则检查TCP流量的字符串便可以确定其所处的状态,例如状态可以为完成了一次握手、完成了两次握手和完成了三次握手。
在步骤S302中,响应于所述TCP流量已经建立了三次握手,确定所述TCP流量的协议类型。
其中,TCP流量完成三次握手后,其字符串按照预设的规则构成。在这些规则中,有些是根据TCP流量所在系统的标准协议进行设定的,这些标准协议是根据行业、应用场景确定的,例如放射科医疗系统内的TCP流量符合DICOM标准的协议。按照这些预设标准协议检查TCP流量的字符串,便可以确定TCP流量是否符合预设标准协议,例如可以比较TCP流量的字符串和预设标准协议的数据,当TCP流量包含全部或部分的预设标准协议的数据时,认定TCP流量符合预设标准协议。
在步骤S303中,响应于所述TCP流量的协议类型为预设标准协议的类型,从所述TCP流量中提取待学习项目,其中,所述待学习项目包括源IP、目的IP、源端口和目的端口。
其中,待学习项目与待匹配项目相对应。因此,还可以在待学习项目中增加协议特征,且协议特征不仅可以是预设标准协议的特征,还可以是预设报文字段的特征和自定义的特征中的至少一个。
另外,在从TCP流量中提取待学习项目之前,还可以进一步通过安全监测模块检测TCP流量是否为安全流量,若为安全流量,才从TCP流量中提取待学习项目,若为非安全流量,则不进行提取,即终止针对该TCP流量的学习。
在步骤S304中,响应于IP子库内存在与所述源IP和所述目的IP中的至少一个对应的IP节点,将所述待学习项目中的至少一项作为学习特征存储至所述IP节点内,并将所述学习特征同步存储至所述IP节点内的设备属性对应的属性节点内。
可以通过提取到的待学习项中的源IP去IP子库内寻找对应的IP节点,也可以通过提取到的待学习项中的目的IP去IP子库内寻找对应的IP节点,还可以分别通过源IP和目的IP去IP子库内寻找对应的IP节点。
存储学习特征前,可以先根据所述IP节点对应的IP类型和所述设备属性确定第三匹配项目,其中,所述IP类型包括源IP和目的IP,所述第三匹配项目包括待学习项目中的至少一项,例如,IP类型为源IP时,第三匹配项目包括目的IP和目的端口,IP类型为目的IP时,第三匹配项目包括源IP和源端口;进而在将所述待学习项目中的至少一项作为学习特征存储至所述IP节点内时,可以按照第三匹配项目,对应存储所述待学习项目中的至少一项,例如,第三匹配项目包括目标IP和目标端口时,可以存储目标IP和目标端口作为学习特征,第三匹配项目包括源IP和源端口时,可以存储源IP和源端口作为学习特征。
将所述学习特征同步存储至所述IP节点内的设备属性对应的属性节点内,是终端将学习的特征共享至同一属性的属性节点内,以使其他属性相同的终端能够利用该特征,避免重复学习。
本公开的实施例中,TCP流量完成了三次握手且符合预设标准协议,将其学习和存储至特征库内,且按照设备属性与IP类型确定的第三匹配项目进行学习,既保证了流量处理过程中能够直接取用数据,又利用针对性学习和存储提高了提取的准确性,避免提取非必要数据,提高了流量处理的效率。例如在放射科医疗系统内,可以做到自动识别放射科医疗设备类型,并根据不同类型设备学习其相应的医疗业务特征。
本公开的一些实施例中,可以提前构建特征库,请参照附图4,其示出了构建特征库的流程,包括步骤S401至步骤S404。
在步骤S401中,获取符合预设标准协议、预设报文字段的协议和自定义的协议中的至少一个的流量,并提取所述流量中的源IP。
判断流量符合的协议的具体方式,可以参照步骤S302。
在步骤S402中,根据所述流量的内容确定所述源IP对应的设备属性。
如步骤S102中描述的内容,设备属性可以包括厂商和类型中的至少一个。确定设备属性时,用户可以预先手动存储源IP与设备属性的对应关系,因此可以直接根据TCP流量内提取到的源IP确定设备属性;还可以根据TCP流量的字符串的规则确定设备类型,例如DICOM标准下进行传输的数据包中会携带医疗终端的类型和厂商,通过比较字符串可在报文中找到“.p.LO..”的字样,然后将指针偏移7个字节到该字符串尾部,后面跟着的就是医疗终端的厂商,比如“GE”、“SIMENS”等,同样的方法找到“PN……SH..”的字样,然后再将当前指针往后偏移12个字节,就可以取到医疗终端类型,比如“CT”、“DR”等。
在步骤S403中,根据所述源IP在所述IP子库内构建一个IP节点,并在所述IP节点内存储所述源IP对应的设备属性。
在步骤S404中,根据所述设备属性在所述属性子库内构建一个属性节点。
其中,每个IP节点对应于一个源IP,即对应于一个终端设备。而且在IP节点内存储了设备属性,便于IP节点与属性子库中的属性节点进行关联,以便从IP节点内获取学习特征后,进一步从对应的属性节点内获取基础特征和共享特征。
第二方面,请参照附图5,本公开的至少一个实施例提供了一种流量处理装置,应用于预设的流量处理系统,所述流量处理系统内设有特征库,所述特征库包括IP子库和属性子库,所述IP子库包括多个IP节点,每个IP节点内存储有设备属性和学习特征,所述属性子库包括多个属性节点,每个属性节点内存储有基础特征和共享特征,其中,所述学习特征、所述基础特征和所述共享特征均包括IP和端口中的至少一个;所述装置包括:
提取模块501,用于获取TCP流量,并从所述TCP流量中提取待匹配项目,其中,所述待匹配项目包括源IP、目的IP、源端口和目的端口;
获取模块502,用于根据待匹配项目中的源IP和目的IP中的至少一个获取对应的IP节点内的设备属性和学习特征,并根据所述设备属性获取对应的属性节点内的基础特征;
第一匹配模块503,用于根据所述待匹配项目与基础特征确定第一匹配结果,并根据待匹配项目与学习特征确定第二匹配结果;
第二匹配模块504,用于响应于所述第一匹配结果不符合第一预设条件且所述第二匹配结果不符合第二预设条件,根据所述设备属性获取对应的属性节点内的共享特征,并根据待匹配项目与共享特征确定第三匹配结果;
放通模块505,用于响应于所述第一匹配结果符合第一预设条件、所述第二匹配结果符合第二预设条件或所述第三匹配结果符合第三预设条件,放通所述TCP流量。
第三方面,请参照附图6,提供一种电子设备,所述设备包括存储器、处理器,所述存储器用于存储可在处理器上运行的计算机指令,所述处理器用于在执行所述计算机指令时基于第一方面任一项所述的方法进行流量处理。
第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现第一方面任一项所述的方法。
本说明书中描述的主题及功能操作的实施例可以在以下中实现:数字电子电路、有形体现的计算机软件或固件、包括本说明书中公开的结构及其结构性等同物的计算机硬件、或者它们中的一个或多个的组合。本说明书中描述的主题的实施例可以实现为一个或多个计算机程序,即编码在有形非暂时性程序载体上以被数据处理装置执行或控制数据处理装置的操作的计算机程序指令中的一个或多个模块。可替代地或附加地,程序指令可以被编码在人工生成的传播信号上,例如机器生成的电、光或电磁信号,该信号被生成以将信息编码并传输到合适的接收机装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或它们中的一个或多个的组合。
本说明书中描述的处理及逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,以通过根据输入数据进行操作并生成输出来执行相应的功能。所述处理及逻辑流程还可以由专用逻辑电路—例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)来执行,并且装置也可以实现为专用逻辑电路。
适合用于执行计算机程序的计算机包括,例如通用和/或专用微处理器,或任何其他类型的中央处理单元。通常,中央处理单元将从只读存储器和/或随机存取存储器接收指令和数据。计算机的基本组件包括用于实施或执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括用于存储数据的一个或多个大容量存储设备,例如磁盘、磁光盘或光盘等,或者计算机将可操作地与此大容量存储设备耦接以从其接收数据或向其传送数据,抑或两种情况兼而有之。然而,计算机不是必须具有这样的设备。此外,计算机可以嵌入在另一设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏操纵台、全球定位系统(GPS)接收机、或例如通用串行总线(USB)闪存驱动器的便携式存储设备,仅举几例。
适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、媒介和存储器设备,例如包括半导体存储器设备(例如EPROM、EEPROM和闪存设备)、磁盘(例如内部硬盘或可移动盘)、磁光盘以及CD ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
由此,主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下,权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外,附图中描绘的处理并非必需所示的特定顺序或顺次顺序,以实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。
以上所述仅为本公开的较佳实施例而已,并不用以限制本公开,凡在本公开的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本公开保护的范围之内。
Claims (14)
1.一种流量处理方法,其特征在于,应用于预设的流量处理系统,所述流量处理系统内设有特征库,所述特征库包括IP子库和属性子库,所述IP子库包括多个IP节点,每个IP节点内存储有设备属性和学习特征,所述属性子库包括多个属性节点,每个属性节点内存储有基础特征和共享特征,其中,所述学习特征、所述基础特征和所述共享特征均包括IP和端口中的至少一个;所述方法包括:
获取TCP流量,并从所述TCP流量中提取待匹配项目,其中,所述待匹配项目包括源IP、目的IP、源端口和目的端口;
根据待匹配项目中的源IP和目的IP中的至少一个获取对应的IP节点内的设备属性和学习特征,并根据所述设备属性获取对应的属性节点内的基础特征;
根据所述待匹配项目与基础特征确定第一匹配结果,并根据待匹配项目与学习特征确定第二匹配结果;
响应于所述第一匹配结果不符合第一预设条件且所述第二匹配结果不符合第二预设条件,根据所述设备属性获取对应的属性节点内的共享特征,并根据待匹配项目与共享特征确定第三匹配结果;
响应于所述第一匹配结果符合第一预设条件、所述第二匹配结果符合第二预设条件或所述第三匹配结果符合第三预设条件,放通所述TCP流量。
2.根据权利要求1所述的流量处理方法,其特征在于,根据提取到的源IP和目的IP分别获取对应的IP节点内的设备属性和学习特征,并分别根据所述设备属性获取对应的属性节点内的基础特征时:
所述根据所述待匹配项目与基础特征确定第一匹配结果,包括:分别确定源IP对应的第一匹配结果和目的IP对应的第一匹配结果;所述第一匹配结果符合第一预设条件,包括:所述源IP对应的第一匹配结果和所述目的IP对应的第一匹配结果均符合第一预设条件;
所述根据所述待匹配项目与学习特征确定第二匹配结果,包括:分别确定源IP对应的第二匹配结果和目的IP对应的第二匹配结果;所述第二匹配结果符合第二预设条件,包括:所述源IP对应的第二匹配结果和所述目的IP对应的第二匹配结果均符合第二预设条件;
所述根据所述待匹配项目与共享特征确定第三匹配结果,包括:分别确定源IP对应的第三匹配结果和目的IP对应的第三匹配结果;所述第三匹配结果符合第三预设条件,包括:所述源IP对应的第三匹配结果和所述目的IP对应的第三匹配结果均符合第三预设条件。
3.根据权利要求2所述的流量处理方法,其特征在于,所述学习特征、所述基础特征和所述共享特征均还包括协议特征;所述待匹配项目还包括协议特征。
4.根据权利要求3所述的流量处理方法,其特征在于,所述协议特征包括预设标准协议的特征、预设报文字段的特征和自定义的特征中的至少一个。
5.根据权利要求2至4任一项所述的流量处理方法,其特征在于,还包括:
根据所述源IP对应的IP节点内存储的设备属性确定第一匹配项目,其中,所述第一匹配项目包括待匹配项目中的至少一项;和/或,
根据所述目的IP对应的IP节点内存储的设备属性确定第二匹配项目,其中,所述第二匹配项目包括待匹配项目中的至少一项;
所述确定源IP对应的第一匹配结果,包括:
按照第一匹配项目对应匹配待匹配项目中的至少一项与基础特征中的的至少一项,以确定源IP对应的第一匹配结果;
所述确定目的IP对应的第一匹配结果,包括:
按照第二匹配项目对应匹配待匹配项目中的至少一项与基础特征中的至少一项,以确定目的IP对应的第一匹配结果;
所述确定源IP对应的第二匹配结果,包括:
按照第一匹配项目对应匹配待匹配项目中的至少一项与学习特征中的至少一项,以确定源IP对应的第二匹配结果;
所述确定目的IP对应的第二匹配结果,包括:
按照第二匹配项目对应匹配待匹配项目中的至少一项与学习特征中的至少一项,以确定目的IP对应的第二匹配结果;
所述确定源IP对应的第三匹配结果,包括:
按照第一匹配项目对应匹配待匹配项目中的至少一项与共享特征中的至少一项,以确定源IP对应的第三匹配结果;
所述确定目的IP对应的第三匹配结果,包括:
按照第二匹配项目对应匹配待匹配项目中的至少一项与共享特征中的至少一项,以确定目的IP对应的第三匹配结果。
6.根据权利要求1至4任一项所述的流量处理方法,其特征在于,所述设备属性包括厂商和类型中的至少一个。
7.根据权利要求1所述的流量处理方法,其特征在于,还包括:
获取TCP流量,并检查TCP流量的会话状态;
响应于所述TCP流量已经建立了三次握手,确定所述TCP流量的协议类型;
响应于所述TCP流量的协议类型为预设标准协议的类型,从所述TCP流量中提取待学习项目,其中,所述待学习项目包括源IP、目的IP、源端口和目的端口;
响应于IP子库内存在与所述源IP和所述目的IP中的至少一个对应的IP节点,将所述待学习项目中的至少一项作为学习特征存储至所述IP节点内,并将所述学习特征同步存储至所述IP节点内的设备属性对应的属性节点内。
8.根据权利要求7所述的流量处理方法,其特征在于,所述待学习项目还包括协议特征。
9.根据权利要求7或8所述的流量处理方法,其特征在于,还包括:
根据所述IP节点对应的IP类型和所述设备属性确定第三匹配项目,其中,所述IP类型包括源IP和目的IP,所述第三匹配项目包括待学习项目中的至少一项;
所述将所述待学习项目中的至少一项作为学习特征存储至所述IP节点内,包括:
按照所述第三匹配项目,对应存储所述待学习项目中的至少一项。
10.根据权利要求1所述的流量处理方法,其特征在于,还包括:
获取符合预设标准协议、预设报文字段的协议和自定义的协议中的至少一个的流量,并提取所述流量中的源IP;
根据所述流量的内容确定所述源IP对应的设备属性;
根据所述源IP在所述IP子库内构建一个IP节点,并在所述IP节点内存储所述源IP对应的设备属性;
根据所述设备属性在所述属性子库内构建一个属性节点。
11.根据权利要求10所述的流量处理方法,其特征在于,还包括:
获取所述设备属性对应的基础特征,并将所述基础特征存储至所述设备属性对应的属性节点内。
12.一种流量处理装置,其特征在于,应用于预设的流量处理系统,所述流量处理系统内设有特征库,所述特征库包括IP子库和属性子库,所述IP子库包括多个IP节点,每个IP节点内存储有设备属性和学习特征,所述属性子库包括多个属性节点,每个属性节点内存储有基础特征和共享特征,其中,所述学习特征、所述基础特征和所述共享特征均包括IP和端口中的至少一个;所述装置包括:
提取模块,用于获取TCP流量,并从所述TCP流量中提取待匹配项目,其中,所述待匹配项目包括源IP、目的IP、源端口和目的端口;
获取模块,用于根据待匹配项目中的源IP和目的IP中的至少一个获取对应的IP节点内的设备属性和学习特征,并根据所述设备属性获取对应的属性节点内的基础特征;
第一匹配模块,用于根据所述待匹配项目与基础特征确定第一匹配结果,并根据待匹配项目与学习特征确定第二匹配结果;
第二匹配模块,用于响应于所述第一匹配结果不符合第一预设条件且所述第二匹配结果不符合第二预设条件,根据所述设备属性获取对应的属性节点内的共享特征,并根据待匹配项目与共享特征确定第三匹配结果;
放通模块,用于响应于所述第一匹配结果符合第一预设条件、所述第二匹配结果符合第二预设条件或所述第三匹配结果符合第三预设条件,放通所述TCP流量。
13.一种电子设备,其特征在于,所述设备包括存储器、处理器,所述存储器用于存储可在处理器上运行的计算机指令,所述处理器用于在执行所述计算机指令时基于如权利要求1至11任一项所述的方法进行流量处理。
14.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述程序被处理器执行时实现如权利要求1至11任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011611683.6A CN112769790B (zh) | 2020-12-30 | 2020-12-30 | 流量处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011611683.6A CN112769790B (zh) | 2020-12-30 | 2020-12-30 | 流量处理方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112769790A true CN112769790A (zh) | 2021-05-07 |
| CN112769790B CN112769790B (zh) | 2022-06-28 |
Family
ID=75696036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011611683.6A Active CN112769790B (zh) | 2020-12-30 | 2020-12-30 | 流量处理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112769790B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252576A (zh) * | 2008-03-13 | 2008-08-27 | 苏州爱迪比科技有限公司 | 利用dfa在网关处进行基于网络流的病毒检测方法 |
| CN101635720A (zh) * | 2009-08-31 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种未知流量过滤方法和一种带宽管理设备 |
| US20130194949A1 (en) * | 2012-01-31 | 2013-08-01 | Db Networks, Inc. | Systems and methods for extracting structured application data from a communications link |
| CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
| US20170099208A1 (en) * | 2015-10-02 | 2017-04-06 | Futurewei Technologies, Inc. | Methodology to Improve the Anomaly Detection Rate |
| CN109450733A (zh) * | 2018-11-26 | 2019-03-08 | 武汉烽火信息集成技术有限公司 | 一种基于机器学习的网络终端设备识别方法及系统 |
| US20190089748A1 (en) * | 2017-09-17 | 2019-03-21 | Allot Communications Ltd. | System, Method, and Apparatus of Securing and Managing Internet-Connected Devices and Networks |
| CN109525587A (zh) * | 2018-11-30 | 2019-03-26 | 新华三信息安全技术有限公司 | 一种数据包的识别方法及装置 |
| CN109818793A (zh) * | 2019-01-30 | 2019-05-28 | 基本立子(北京)科技发展有限公司 | 针对物联网的设备类型识别及网络入侵检测方法 |
| US20190166227A1 (en) * | 2017-11-29 | 2019-05-30 | Siemens Healthcare Gmbh | Semantic sharing of resources in a network of medical devices |
| CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
-
2020
- 2020-12-30 CN CN202011611683.6A patent/CN112769790B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252576A (zh) * | 2008-03-13 | 2008-08-27 | 苏州爱迪比科技有限公司 | 利用dfa在网关处进行基于网络流的病毒检测方法 |
| CN101635720A (zh) * | 2009-08-31 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种未知流量过滤方法和一种带宽管理设备 |
| US20130194949A1 (en) * | 2012-01-31 | 2013-08-01 | Db Networks, Inc. | Systems and methods for extracting structured application data from a communications link |
| US20170099208A1 (en) * | 2015-10-02 | 2017-04-06 | Futurewei Technologies, Inc. | Methodology to Improve the Anomaly Detection Rate |
| CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
| US20190089748A1 (en) * | 2017-09-17 | 2019-03-21 | Allot Communications Ltd. | System, Method, and Apparatus of Securing and Managing Internet-Connected Devices and Networks |
| US20190166227A1 (en) * | 2017-11-29 | 2019-05-30 | Siemens Healthcare Gmbh | Semantic sharing of resources in a network of medical devices |
| CN109450733A (zh) * | 2018-11-26 | 2019-03-08 | 武汉烽火信息集成技术有限公司 | 一种基于机器学习的网络终端设备识别方法及系统 |
| CN109525587A (zh) * | 2018-11-30 | 2019-03-26 | 新华三信息安全技术有限公司 | 一种数据包的识别方法及装置 |
| CN109818793A (zh) * | 2019-01-30 | 2019-05-28 | 基本立子(北京)科技发展有限公司 | 针对物联网的设备类型识别及网络入侵检测方法 |
| CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 武思齐等: "基于数据流多维特征的移动流量识别方法研究", 《四川大学学报(自然科学版)》, no. 02, 26 March 2020 (2020-03-26) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112769790B (zh) | 2022-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2871814B1 (en) | Apparatus, method and system for hardware-based filtering in a cross-domain infrastructure | |
| US7710959B2 (en) | Private VLAN edge across multiple switch modules | |
| US11005760B2 (en) | Ensuring data locality for secure transmission of data | |
| US9635053B2 (en) | Computing system with protocol protection mechanism and method of operation thereof | |
| CN112887405B (zh) | 一种入侵防御方法、系统及相关设备 | |
| US20160277358A1 (en) | Flow-Based Anti-Replay Checking | |
| CN110740144B (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
| US9626522B1 (en) | Method and apparatus for the network steganographic assessment of a test subject | |
| CN114389994A (zh) | 一种路由处理的方法和网络设备 | |
| WO2017148419A1 (zh) | 数据传输方法及服务器 | |
| CN110912907B (zh) | Ssl握手阶段的攻击防护方法和装置 | |
| CN114338510B (zh) | 控制和转发分离的数据转发方法和系统 | |
| CN107637016A (zh) | 认证装置、认证系统、认证方法和程序 | |
| CN114828140A (zh) | 业务流量报文转发方法及装置、存储介质及电子设备 | |
| WO2019021402A1 (ja) | 通信装置、通信方法および通信システム | |
| CN112769790B (zh) | 流量处理方法、装置、设备及存储介质 | |
| CN111181967B (zh) | 数据流识别方法、装置、电子设备及介质 | |
| CN111510384A (zh) | 处理服务产生的数据的方法、电子设备和计算机可读介质 | |
| KR20200089943A (ko) | Ssl/tls 서비스 패킷 분류 방법 및 장치 | |
| CN111079144B (zh) | 一种病毒传播行为检测方法及装置 | |
| CN111654474B (zh) | 一种安全检测的方法和装置 | |
| CN102938739A (zh) | 深度报文检查方法与装置 | |
| WO2016000627A1 (en) | Message processing | |
| CN106464457B (zh) | 用于多个并发虚拟网络的系统和方法 | |
| CN114499949B (zh) | 设备绑定方法、装置、电子设备和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |