CN112905852A - 一种基于会话索引的应用性能报文存储装置 - Google Patents

一种基于会话索引的应用性能报文存储装置 Download PDF

Info

Publication number
CN112905852A
CN112905852A CN202110241822.9A CN202110241822A CN112905852A CN 112905852 A CN112905852 A CN 112905852A CN 202110241822 A CN202110241822 A CN 202110241822A CN 112905852 A CN112905852 A CN 112905852A
Authority
CN
China
Prior art keywords
message
network
information
application
storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110241822.9A
Other languages
English (en)
Inventor
周向军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ruishi Netcloud Hangzhou Technology Co ltd
Original Assignee
Ruishi Netcloud Hangzhou Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ruishi Netcloud Hangzhou Technology Co ltd filed Critical Ruishi Netcloud Hangzhou Technology Co ltd
Priority to CN202110241822.9A priority Critical patent/CN112905852A/zh
Publication of CN112905852A publication Critical patent/CN112905852A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于会话索引的应用性能报文存储装置,涉及应用性能管理技术领域,包括以下步骤:P1、报文采集:通过流量镜像采集网络报文;P2、应用报文分组:对捕获到的网络报文进行应用性能分析;P3、应用报文存储:当某应用性能报文组达到持久化阈值后,将该报文组编码为pcap格式文件,存储本地或分布式存储,记录该pcap文件的存储URL;P4、报文索引存储:将pcap文件对应的网络四元组信息、开始时间、结束时间、存储URL构建为应用报文描述信息,该信息为字符串格式,基于Lucene索引引擎将所有的应用报文描述信息建立全文索引并存储。

Description

一种基于会话索引的应用性能报文存储装置
技术领域
本发明涉及应用性能管理技术领域,具体为一种基于会话索引的应用性能报文存储装置。
背景技术
在互联网+的发展趋势下,网络的复杂程度逐日增加,这使得网络故障的排查难度与日俱增,并且很多故障是瞬时突发的,网络管理者很难通过常规网络排查手段追溯故障时段数据,难以找到故障根源,给网络留下了故障隐患。
同时,虚拟化环境的大量应用,过去,传统模式下的信息安全防护解决方案中,最重要的一点就是建立网络边界,区分信任域和非信任域,然后在网络边界用网关进行访问控制和安全防御。在虚拟化时代,同一个主机上的虚拟系统互相访问则不会经过这些过时的网关设备。再有,传统物理时代能够用“拔网线”这样的手段立即中止网络形式的病毒爆发,在虚拟化时代这样的策略已经是不符合新的系统形态。而且边界式的防护在云计算时代也随着边界定义模糊、消失而不再适用。传统信息安全防护体系在云计算时代面临重大的挑战。在这种状态下,网络运维人员很难通过常规网络排查手段追溯和分析攻击行为,尤其难以对长周期攻击的影响范围进行分析。
利用网络报文的长周期存储和回溯分析技术可以通过对网络中的数据包进行实时的保存、深入的分析,能够实时分析并回查网络中任意时段中每一个细微的异常现象,并且快速定位出现故障的网络节点,帮助用户在第一时间解决困扰他们的网络故障和安全隐患。目前国内外针对网络报文存储技术的研究有一定的研究成果。在国内,《一种报文存储调度方法及装置》(申请号CN201510618012)介绍了一种报文存储调度方法,解决了相同特征信息的报文在同一时间处理可能出现的阻塞和死锁的问题。《一种智能变电站网络报文的裸盘存储方法》(申请号:CN201510445719)介绍了一种智能变电站网络报文的裸盘存储方法,该技术均衡利用硬盘,有利于硬盘系统的安全和稳定。网络报文按类型分开存储,减少了后期检索的遍历时间。《一种分体式可扩展的网络报文存储装置》(申请号:CN201520354590)介绍了一种分体式可扩展的网络报文存储装置,该技术通过PCI-E总线端口通过可插拔的外部PCI-E总线与外部的扩展设备连接。
从已有的网络报文存储技术成果看,现有技术成果大多侧重于海量报文数据的存储技术,而对报文数据的高性能检索技术涉及较少,现在技术体系下对TB级网络报文数据的检索往往需要分钟级甚至小时级。而在网络攻防实践中,攻击是一个动态的过程,只有快速分析高效防御才能更好的保证网络安全,因此,必须有新的技术解决海量报文数据的存与高效检索问题。
本发明创新性建立“应用报文描述信息(APDI,Application Packet DescriptionInformation)”技术,使得TB级网络报文数据实现高性能存储的同时,实现了针对字节码格式网络报文的细粒度索引,从而实现了针对网络报文的细粒度检索,本发明可以将TB级网络报文数据的检索时间提高至秒级,大大提高了网络故障定位和攻击分析能力。
发明内容
为实现上述的目的,本发明提供如下技术方案:一种基于会话索引的应用性能报文存储装置,包括以下步骤:
P1、报文采集:通过流量镜像采集网络报文;
P2、应用报文分组:对捕获到的网络报文进行应用性能分析,基于【客户端IP、服务端IP、应用协议、响应时长分级】应用四元组信息对报文进行分组,采用哈希表数据结构对网络报文数据进行缓存,其中某网络五元组对应的报文分组称为“应用性能报文组”;
P3、应用报文存储:当某应用性能报文组达到持久化阈值后,将该报文组编码为pcap格式文件,存储本地或分布式存储,记录该pcap文件的存储URL;
P4、报文索引存储:将pcap文件对应的网络四元组信息、开始时间、结束时间、存储URL构建为应用报文描述信息,该信息为字符串格式,基于Lucene索引引擎将所有的应用报文描述信息建立全文索引并存储。
作为优选,所述步骤P1中网络报文采集,本发明采用多路并行采集的技术同时采集支持流量镜像技术的各类网络设备,包括实体网络环境和虚拟网络环境报文数据,包括企业网络环境、互联网环境和工控网络环境等,具有极大的网络适应性。
作为优选,所述步骤P2报文分组包括以下步骤:B1.对捕获到的网络报文Header部分进行解析识别,获取每一个网络报文的网络四元组信息【客户端IP、服务端IP、应用协议、响应时长分级】;B2.基于网络四元组信息对报文进行分组;B3.采用哈希表数据结构对网络报文数据进行缓存,其中某网络五元组对应的报文分组称为“应用性能报文组”,该哈希表数据结构的具体设计为:
HashMap<KEY,LIST<PT>>
键信息KEY是字符串格式,是网络四元组信息聚合,具体为:
KEY=cip+“@”+sip+“@”+prot+“@”+art,其中cip代表客户端IP,sip代表服务器IP,prot代表网络协议,art代表响应时间等级。
值信息是一个数组结构,表示为LIST<PT>,该数组存储该分组对应的所有网络报文数据,PT代表一个网络报文数据。
作为优选,所述步骤P3报文文件存储的持久化阈值设计为:假设某应用性能报文组LIST<PT>的参数为:L为总长度,表示该报文组中的报文总个数;T为总时长,表示该报文组最新加入的数据包与最早加入数据包的时间差值;I为空闲时长,表示该报文组有多长时间没有新的报文加入,则持久化阈值为:
Lmax为报文组最大长度,默认为10000,当L>Lmax时,将该报文组编码为pcap并进行存储;
Tmax为报文组最大时长,默认为300s,当T>Tmax时,将该报文组编码为pcap并进行存储;
Imax为报文组最大空闲时长,默认为60s,当I>Imax时,将该报文组编码为pcap并进行存储。
作为优选,所述步骤P3报文文件存储进行本地存储或分布式存储采用Hadoop分布式文件系统(HDFS)实现,记录每一个应用性能报文组对应的pcap文件的存储URL。
作为优选,所述步骤P4报文索引建立的步骤包括:
D1.构建应用报文描述信息(APDI,Application Packet DescriptionInformation),每一个存储的pcap文件对应一条APDI信息,该信息将pcap文件对应的网络四元组信息、开始时间(用st表示)、结束时间(用et表示)、存储URL(用url表示)构建为应用报文描述信息,该信息为字符串格式,APDI信息具体表达为:
APDI=st+“空格”+et+“空格”+ip+“空格”+sip+“空格”+cport+“空格”+sport+“空格”+prot
D2.基于Lucene索引引擎对全部APDI数据建立全文索引并存储,在建立索引时,以“空格”作为分词依据,可以做到简洁高效。
优选地,步骤E报文检索的步骤包括:E1,根据条件对报文进行检索,从APDI索引中 快速获取符合条件的APDI数据,该检索性能是毫秒级的;E2,基于APDI数据中的存储URL信 息获取报文pcap文件。
有益效果
该基于会话索引的应用性能报文存储装置,具备以下有益效果:
本发明创新性建立“应用报文描述信息(APDI,Application Packet DescriptionInformation)”技术,使得TB级网络报文数据实现高性能存储的同时,实现了针对字节码格式网络报文的细粒度索引,从而实现了针对网络报文的细粒度检索,本发明可以将TB级网络报文数据的检索时间提高至秒级,大大提高了网络故障定位和攻击分析能力。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面通过实施例对本发明作进一步的描述:
实施例:
一种基于会话索引的应用性能报文存储装置,包括以下步骤:
P1、报文采集:通过流量镜像采集网络报文;
P2、应用报文分组:对捕获到的网络报文进行应用性能分析,基于【客户端IP、服务端IP、应用协议、响应时长分级】应用四元组信息对报文进行分组,采用哈希表数据结构对网络报文数据进行缓存,其中某网络五元组对应的报文分组称为“应用性能报文组”;
P3、应用报文存储:当某应用性能报文组达到持久化阈值后,将该报文组编码为pcap格式文件,存储本地或分布式存储,记录该pcap文件的存储URL;
P4、报文索引存储:将pcap文件对应的网络四元组信息、开始时间、结束时间、存储URL构建为应用报文描述信息,该信息为字符串格式,基于Lucene索引引擎将所有的应用报文描述信息建立全文索引并存储。
作为对上述实施例的进一步说明:
A、步骤P1中网络报文采集,本发明采用多路并行采集的技术同时采集支持流量镜像技术的各类网络设备,包括实体网络环境和虚拟网络环境报文数据,包括企业网络环境、互联网环境和工控网络环境等,具有极大的网络适应性。
B、步骤P2报文分组包括以下步骤:B1.对捕获到的网络报文Header部分进行解析识别,获取每一个网络报文的网络四元组信息【客户端IP、服务端IP、应用协议、响应时长分级】;B2.基于网络四元组信息对报文进行分组;B3.采用哈希表数据结构对网络报文数据进行缓存,其中某网络五元组对应的报文分组称为“应用性能报文组”,该哈希表数据结构的具体设计为:
HashMap<KEY,LIST<PT>>
键信息KEY是字符串格式,是网络四元组信息聚合,具体为:
KEY=cip+“@”+sip+“@”+prot+“@”+art,其中cip代表客户端IP,sip代表服务器IP,prot代表网络协议,art代表响应时间等级。
值信息是一个数组结构,表示为LIST<PT>,该数组存储该分组对应的所有网络报文数据,PT代表一个网络报文数据。
C、步骤P3报文文件存储的持久化阈值设计为:假设某应用性能报文组LIST<PT>的参数为:L为总长度,表示该报文组中的报文总个数;T为总时长,表示该报文组最新加入的数据包与最早加入数据包的时间差值;I为空闲时长,表示该报文组有多长时间没有新的报文加入,则持久化阈值为:
Lmax为报文组最大长度,默认为10000,当L>Lmax时,将该报文组编码为pcap并进行存储;
Tmax为报文组最大时长,默认为300s,当T>Tmax时,将该报文组编码为pcap并进行存储;
Imax为报文组最大空闲时长,默认为60s,当I>Imax时,将该报文组编码为pcap并进行存储。
D、步骤P3报文文件存储进行本地存储或分布式存储采用Hadoop分布式文件系统(HDFS)实现,记录每一个应用性能报文组对应的pcap文件的存储URL。
步骤P4报文索引建立的步骤包括:
D1.构建应用报文描述信息(APDI,Application Packet DescriptionInformation),每一个存储的pcap文件对应一条APDI信息,该信息将pcap文件对应的网络四元组信息、开始时间(用st表示)、结束时间(用et表示)、存储URL(用url表示)构建为应用报文描述信息,该信息为字符串格式,APDI信息具体表达为:
APDI=st+“空格”+et+“空格”+ip+“空格”+sip+“空格”+cport+“空格”+sport+“空格”+prot
E、D2.基于Lucene索引引擎对全部APDI数据建立全文索引并存储,在建立索引时,以“空格”作为分词依据,可以做到简洁高效。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于会话索引的应用性能报文存储装置,其特征在于,包括以下步骤:
P1、报文采集:通过流量镜像采集网络报文;
P2、应用报文分组:对捕获到的网络报文进行应用性能分析,基于【客户端IP、服务端IP、应用协议、响应时长分级】应用四元组信息对报文进行分组,采用哈希表数据结构对网络报文数据进行缓存,其中某网络五元组对应的报文分组称为“应用性能报文组”;
P3、应用报文存储:当某应用性能报文组达到持久化阈值后,将该报文组编码为pcap格式文件,存储本地或分布式存储,记录该pcap文件的存储URL;
P4、报文索引存储:将pcap文件对应的网络四元组信息、开始时间、结束时间、存储URL构建为应用报文描述信息,该信息为字符串格式,基于Lucene索引引擎将所有的应用报文描述信息建立全文索引并存储。
2.根据权利要求1所述的一种基于会话索引的应用性能报文存储装置,其特征在于:所述步骤P1中网络报文采集,本发明采用多路并行采集的技术同时采集支持流量镜像技术的各类网络设备,包括实体网络环境和虚拟网络环境报文数据,包括企业网络环境、互联网环境和工控网络环境等,具有极大的网络适应性。
3.根据权利要求1所述的一种基于会话索引的应用性能报文存储装置,其特征在于:所述步骤P2报文分组包括以下步骤:B1.对捕获到的网络报文Header部分进行解析识别,获取每一个网络报文的网络四元组信息【客户端IP、服务端IP、应用协议、响应时长分级】;B2.基于网络四元组信息对报文进行分组;B3.采用哈希表数据结构对网络报文数据进行缓存,其中某网络五元组对应的报文分组称为“应用性能报文组”,该哈希表数据结构的具体设计为:
HashMap<KEY,LIST<PT>>
键信息KEY是字符串格式,是网络四元组信息聚合,具体为:
KEY=cip+“@”+sip+“@”+prot+“@”+art,其中cip代表客户端IP,sip代表服务器IP,prot代表网络协议,art代表响应时间等级。
值信息是一个数组结构,表示为LIST<PT>,该数组存储该分组对应的所有网络报文数据,PT代表一个网络报文数据。
4.根据权利要求1所述的一种基于会话索引的应用性能报文存储装置,其特征在于:所述步骤P3报文文件存储的持久化阈值设计为:假设某应用性能报文组LIST<PT>的参数为:L为总长度,表示该报文组中的报文总个数;T为总时长,表示该报文组最新加入的数据包与最早加入数据包的时间差值;I为空闲时长,表示该报文组有多长时间没有新的报文加入,则持久化阈值为:
Lmax为报文组最大长度,默认为10000,当L>Lmax时,将该报文组编码为pcap并进行存储;
Tmax为报文组最大时长,默认为300s,当T>Tmax时,将该报文组编码为pcap并进行存储;
Imax为报文组最大空闲时长,默认为60s,当I>Imax时,将该报文组编码为pcap并进行存储。
5.根据权利要求1所述的一种基于会话索引的应用性能报文存储装置,其特征在于:所述步骤P3报文文件存储进行本地存储或分布式存储采用Hadoop分布式文件系统(HDFS)实现,记录每一个应用性能报文组对应的pcap文件的存储URL。
6.根据权利要求1所述的一种基于会话索引的应用性能报文存储装置,其特征在于:所述步骤P4报文索引建立的步骤包括:
D1.构建应用报文描述信息(APDI,Application Packet Description Information),每一个存储的pcap文件对应一条APDI信息,该信息将pcap文件对应的网络四元组信息、开始时间(用st表示)、结束时间(用et表示)、存储URL(用url表示)构建为应用报文描述信息,该信息为字符串格式,APDI信息具体表达为:
APDI=st+“空格”+et+“空格”+ip+“空格”+sip+“空格”+cport+“空格”+sport+“空格”+prot
D2.基于Lucene索引引擎对全部APDI数据建立全文索引并存储,在建立索引时,以“空格”作为分词依据,可以做到简洁高效。
CN202110241822.9A 2021-03-04 2021-03-04 一种基于会话索引的应用性能报文存储装置 Pending CN112905852A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110241822.9A CN112905852A (zh) 2021-03-04 2021-03-04 一种基于会话索引的应用性能报文存储装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110241822.9A CN112905852A (zh) 2021-03-04 2021-03-04 一种基于会话索引的应用性能报文存储装置

Publications (1)

Publication Number Publication Date
CN112905852A true CN112905852A (zh) 2021-06-04

Family

ID=76107672

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110241822.9A Pending CN112905852A (zh) 2021-03-04 2021-03-04 一种基于会话索引的应用性能报文存储装置

Country Status (1)

Country Link
CN (1) CN112905852A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113672629A (zh) * 2021-10-25 2021-11-19 北京金睛云华科技有限公司 一种分布式网络流量检索方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101841438A (zh) * 2010-04-02 2010-09-22 中国科学院计算技术研究所 一种访问存储海量并发tcp流的流记录的方法或系统
CN106982180A (zh) * 2016-12-30 2017-07-25 中国银联股份有限公司 网络流量监控方法、交换机设备以及报文分析系统
CN107357843A (zh) * 2017-06-23 2017-11-17 东南大学 基于数据流结构的海量网络数据查找方法
CN107368527A (zh) * 2017-06-09 2017-11-21 东南大学 基于数据流的多属性索引方法
CN107645398A (zh) * 2016-07-22 2018-01-30 北京金山云网络技术有限公司 一种诊断网络性能和故障的方法和装置
CN109981529A (zh) * 2017-12-27 2019-07-05 西门子(中国)有限公司 报文获取方法、装置、系统及计算机存储介质
CN111565125A (zh) * 2020-07-15 2020-08-21 成都数维通信技术有限公司 一种报文穿越网络流量路径的获取方法
CN111737222A (zh) * 2020-06-24 2020-10-02 四川长虹电器股份有限公司 基于一对多请求响应模型消息队列数据包存储检索的方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101841438A (zh) * 2010-04-02 2010-09-22 中国科学院计算技术研究所 一种访问存储海量并发tcp流的流记录的方法或系统
CN107645398A (zh) * 2016-07-22 2018-01-30 北京金山云网络技术有限公司 一种诊断网络性能和故障的方法和装置
CN106982180A (zh) * 2016-12-30 2017-07-25 中国银联股份有限公司 网络流量监控方法、交换机设备以及报文分析系统
CN107368527A (zh) * 2017-06-09 2017-11-21 东南大学 基于数据流的多属性索引方法
CN107357843A (zh) * 2017-06-23 2017-11-17 东南大学 基于数据流结构的海量网络数据查找方法
CN109981529A (zh) * 2017-12-27 2019-07-05 西门子(中国)有限公司 报文获取方法、装置、系统及计算机存储介质
CN111737222A (zh) * 2020-06-24 2020-10-02 四川长虹电器股份有限公司 基于一对多请求响应模型消息队列数据包存储检索的方法
CN111565125A (zh) * 2020-07-15 2020-08-21 成都数维通信技术有限公司 一种报文穿越网络流量路径的获取方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
侯迎春: "《计算机安全技术》", 30 October 2008 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113672629A (zh) * 2021-10-25 2021-11-19 北京金睛云华科技有限公司 一种分布式网络流量检索方法和装置
CN113672629B (zh) * 2021-10-25 2021-12-28 北京金睛云华科技有限公司 一种分布式网络流量检索方法和装置

Similar Documents

Publication Publication Date Title
CN111543038B (zh) 使用中间设备流拼接的网络流拼接
Lee et al. An internet traffic analysis method with mapreduce
EP2563062B1 (en) Long connection management apparatus and link resource management method for long connection communication
CN101924757B (zh) 追溯僵尸网络的方法和系统
US20160359701A1 (en) Parallel coordinate charts for flow exploration
Karimi et al. Distributed network traffic feature extraction for a real-time IDS
CN109379390B (zh) 一种基于全流量的网络安全基线生成方法
CN108287905B (zh) 一种网络流特征的提取与存储方法
CN106534257A (zh) 一种多层次集群式架构的多源安全日志采集系统及方法
CN107465690B (zh) 一种基于流量分析的被动式异常端口实时检测方法及系统
US11128700B2 (en) Load balancing configuration based on traffic flow telemetry
CN101997925A (zh) 具有预警功能的服务器监控方法及其系统
US20150074260A1 (en) Auto discovery and topology rendering in substation networks
US10284460B1 (en) Network packet tracing
CN106156328A (zh) 一种银行运行日志数据监控方法及系统
CN111557087B (zh) 使用业务流拼接发现中间设备
WO2017219873A1 (zh) Syn攻击域名定位方法和装置
CN109150869A (zh) 一种交换机信息采集分析系统及方法
CN115333966B (zh) 一种基于拓扑的Nginx日志分析方法、系统及设备
CN112905852A (zh) 一种基于会话索引的应用性能报文存储装置
KR102059688B1 (ko) 사이버 블랙박스 시스템 및 그 방법
Tazaki et al. MATATABI: multi-layer threat analysis platform with Hadoop
Campbell et al. Intrusion detection at 100G
Pape et al. Restful correlation and consolidation of distributed logging data in cloud environments
CN116458120A (zh) 保护网络资源免受已知威胁

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210604

RJ01 Rejection of invention patent application after publication