CN112929376A - 一种流量数据的处理方法、装置、计算机设备和存储介质 - Google Patents
一种流量数据的处理方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN112929376A CN112929376A CN202110185077.0A CN202110185077A CN112929376A CN 112929376 A CN112929376 A CN 112929376A CN 202110185077 A CN202110185077 A CN 202110185077A CN 112929376 A CN112929376 A CN 112929376A
- Authority
- CN
- China
- Prior art keywords
- target
- address information
- rule
- flow data
- traffic data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种流量数据的处理方法、装置、计算机设备和存储介质。该方法包括:获取目标流量数据,并根据所述目标流量数据的类型获取目标地址信息;如果根据地址信息集合确定所述目标地址信息为已知地址信息,则在规则集合中获取与所述目标地址信息匹配的目标规则,所述规则集合中存储有多个不同的地址信息对应的规则;根据所述目标规则,对所述目标流量数据进行处理。使用本发明的技术方案,可以实现低成本和高效率的进行流量数据的识别和过滤,从而减小海量数据场景下安全检测设备的负荷。
Description
技术领域
本发明实施例涉及网络安全和数据处理技术,尤其涉及一种流量数据的处理方法、装置、计算机设备和存储介质。
背景技术
为营造安全的网络环境,通常需要对流量数据进行采集并发送至安全检测设备进行安全检测。随着网络流量数据的爆发式增长,全流量数据的采集需要耗费高昂的成本,而实际上流量数据中的视频数据、即时通信数据等与网络安全和信息安全的相关性较低,但在全流量数据中占比较多。如何对流量数据进行识别和过滤,从而减小安全检测设备的负荷是一个重要的课题。
现有技术中的流量数据过滤方法主要包括以下两种:
1)基于FPGA(Field-Programmable Gate Array,现场可编程门序列)实现流量数据的过滤;
2)基于多核处理器和交换芯片实现流量数据的过滤。
对于现有技术中实现流量数据过滤的方法,基于FPGA的方法需要添加硬件,成本较高。基于多核处理器和交换芯片的方法性能不稳定,过滤后的流量数据存在丢包和不完全的情况。
发明内容
本发明实施例提供一种流量数据的处理方法、装置、计算机设备和存储介质,以实现低成本和高效率的进行流量数据的识别和过滤,从而减小海量数据场景下安全检测设备的负荷。
第一方面,本发明实施例提供了一种流量数据的处理方法,该方法包括:
获取目标流量数据,并根据所述目标流量数据的类型获取目标地址信息;
如果根据地址信息集合确定所述目标地址信息为已知地址信息,则在规则集合中获取与所述目标地址信息匹配的目标规则,所述规则集合中存储有多个不同的地址信息对应的规则;
根据所述目标规则,对所述目标流量数据进行处理。
第二方面,本发明实施例还提供了一种流量数据的处理装置,该装置包括:
目标地址信息获取模块,用于获取目标流量数据,并根据所述目标流量数据的类型获取目标地址信息;
目标规则获取模块,用于如果根据地址信息集合确定所述目标地址信息为已知地址信息,则在规则集合中获取与所述目标地址信息匹配的目标规则,所述规则集合中存储有多个不同的地址信息对应的规则;
目标流量数据处理模块,用于根据所述目标规则,对所述目标流量数据进行处理。
第三方面,本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如本发明实施例中任一所述的流量数据的处理方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如本发明实施例中任一所述的流量数据的处理方法。
本发明实施例通过获取目标流量数据的目标地址信息,当目标地址信息为地址信息集合中的已知地址信息时,在规则集合中获取与目标地址信息匹配的目标规则,根据目标规则对目标流量数据进行处理。解决了现有技术中的合法流量数据的过滤方法,成本较高或者性能不稳定的问题,实现了低成本和高效率的进行流量数据的识别和过滤,从而减小了海量数据场景下安全检测设备的负荷。
附图说明
图1是本发明实施例一中的一种流量数据的处理方法的流程图;
图2a是本发明实施例二中的一种流量数据的处理方法的流程图;
图2b是本发明具体适用场景一中的一种分流设备的结构示意图;
图3是本发明实施例三中的一种流量数据的处理装置的结构示意图;
图4是本发明实施例四中的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1是本发明实施例一提供的一种流量数据的处理方法的流程图,本实施例可适用于对合法流量数据进行过滤从而减少安全检测设备负荷的情况,该方法可以由流量数据的处理装置来执行,该装置可以由软件和/或硬件来实现,并一般集成在计算机设备中,典型的,可以是分流设备中。
如图1所示,本发明实施例的技术方案,具体包括如下步骤:
S110、获取目标流量数据,并根据所述目标流量数据的类型获取目标地址信息。
其中,目标流量数据是指网络流中的数据,一条目标流量数据是指在一段特定的时间间隔之内,通过网络中某一个观测点的所有具有相同五元组(源IP(InternetProtocol,互联网协议)地址、目的IP地址、传输层协议、源端口和目的端口)的分组的集合。目标流量数据在网络传输的过程中会暴露许多安全问题,例如,网络非法信息传播、垃圾邮件泛滥、病毒木马黑客攻击等,导致用户个人信息安全甚至国家信息安全都受到巨大威胁。因此,需要设置安全检测设备对流量数据进行检测和分析。但是,在海量数据的场景下,将全量流量数据都输入至安全检测设备进行检测,极大的增大了安全检测设备的负荷,影响安全检测的效率。因此,需要对流量数据进行过滤,将安全、合法的流量数据过滤掉,对剩余的流量数据进行安全检测设备的检测,可以大大减小安全检测设备的负荷。
目标流量数据的类型可以包括DNS(Domain Name System,域名系统)流量数据、HTTP(Hypertext Transfer Protocol,超文本传输协议)流量数据等。可选的,可以根据五元组中的端口信息判断目标流量数据的类型,示例性的,源端口为53端口的为DNS流量数据,源端口为80端口的为HTTP流量数据,但本实施例对解析目标流量数据类型的具体实现方式不进行限制。目标地址信息,也即IP地址,不同类型的目标流量数据获取目标地址信息的具体方式不同。
在本发明实施例中,采集目标流量数据之后,解析得到目标流量数据的类型,并通过与目标流量数据的类型匹配的方式,获得目标流量数据的目标地址信息。
S120、如果根据地址信息集合确定所述目标地址信息为已知地址信息,则在规则集合中获取与所述目标地址信息匹配的目标规则,所述规则集合中存储有多个不同的地址信息对应的规则。
其中,地址信息集合中存储有多个地址信息,各地址信息为历史流量数据对应的地址信息。地址信息与规则相匹配,规则用于指示对地址信息对应的流量数据是否进行过滤。
当目标地址信息为已保存在地址信息集合中的已知地址信息时,表明之前已对该已知地址信息对应的历史流量数据建立了规则,对相同地址信息的流量数据,采用同样的规则进行处理。因此,可以直接在规则集合中获取与该已知地址信息,也即目标地址信息匹配的规则,根据该规则对目标流量数据进行处理。
S130、根据所述目标规则,对所述目标流量数据进行处理。
在本发明实施例中,规则用于指示是否对流量数据进行过滤,当目标规则表明需要对目标流量数据进行过滤时,直接对目标流量数据进行过滤,并按照目标流量数据的源IP和目的IP等继续进行目标流量数据的分发。否则,仍需将目标流量数据发送至安全检测设备进行安全检测。
本实施例的技术方案,通过获取目标流量数据的目标地址信息,当目标地址信息为地址信息集合中的已知地址信息时,在规则集合中获取与目标地址信息匹配的目标规则,根据目标规则对目标流量数据进行处理。解决了现有技术中的合法流量数据的过滤方法,成本较高或者性能不稳定的问题,实现了低成本和高效率的进行流量数据的识别和过滤,从而减小了海量数据场景下安全检测设备的负荷。
实施例二
图2a是本发明实施例二提供的一种流量数据的处理方法的流程图,本发明实施例在上述实施例的基础上,对获取目标地址信息的过程,以及对目标流量数据进行处理的过程进行了进一步的具体化,并加入了目标地址信息为新地址信息时生成目标规则保存到规则集合的过程,生成目标规则的具体过程,以及定期删除过期地址信息的过程。
相应的,如图2a所示,本发明实施例的技术方案,具体包括如下步骤:
S210、获取目标流量数据。
可选的,本发明实施例的执行主体为分流设备,分流设备设置在分光器等分发设备和安全检测设备之间,分流设备接收分光器下发的流量数据,从而获得目标流量数据。
S220、判断所述目标流量数据的类型是否为域名系统流量数据,如果是,则执行S230,否则执行S240。
域名系统流量数据也即DNS流量数据,示例性的,可以根据目标流量数据的端口信息初步判断目标流量数据的类型,不同的端口对应的流量数据的类型不相同。当目标流量数据的源端口为53号端口时,目标流量数据的类型为DNS数据。
S230、根据所述目标流量数据的域名,以及域名与地址信息之间的映射关系,获得所述目标地址信息。执行S260。
域名是一串用点分隔的名字组成的因特网上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识。地址信息也即IP地址,与域名之间一一对应。对于DNS流量数据,对其解析可以获得域名,以及域名与IP地址之间的映射关系,根据域名和映射关系,可以获得DNS流量数据对应的IP地址。
S240、判断所述目标流量数据的类型是否为超文本传输协议流量数据,如果是,则执行S250,否则执行S2190。
超文本传输协议流量数据也即HTTP流量数据,当目标流量数据的源端口为80号端口时,目标流量数据的类型为HTTP流量数据。
S250、根据所述目标流量数据的请求头信息获取主机信息,对主机信息进行解析获得所述目标地址信息。
HTTP流量数据由请求行、请求头和请求体组成,请求头信息里面包括一个Host字段,也即主机字段,对请求头信息进行解析可以获得主机信息,也即HOST信息。HOST信息用于指示客户端要访问的服务器的域名或者IP地址和端口号,根据HOST信息可以获得目标IP地址,或者根据HOST信息获得域名之后,根据DNS服务器中域名与IP地址之间的映射关系获得目标IP地址。
S260、判断根据地址信息集合是否能确定所述目标地址信息为已知地址信息,如果是,则执行S270,否则执行S290。
当目标地址信息与地址信息集合中的某地址信息相同,说明目标地址信息为已知地址信息。
S270、在规则集合中获取与所述目标地址信息匹配的目标规则,所述规则集合中存储有多个不同的地址信息对应的规则。
当目标地址信息为已知地址信息时,在规则集合中获取和目标地址信息匹配的目标规则,根据目标规则对目标流量数据进行处理。
S280、根据所述目标规则,对所述目标流量数据进行过滤,或将所述目标流量数据发送至安全检测设备。
对目标流量数据的处理方式包括将目标流量数据过滤掉,并将目标流量数据根据源IP和目的IP等继续进行分发,或者将目标流量数据发送至安全检测设备,由安全检测设备对目标流量数据进行检测和分析。
S290、判断根据地址信息集合是否能确定所述目标地址信息为新地址信息,如果是,则执行S2100,否则执行S2190。
当目标地址信息为新地址信息时,需要建立与目标地址信息匹配的新的规则,从而指示对新地址信息对应的流量数据是否进行过滤。
S2100、判断所述目标地址信息是否在地址信息白名单中,如果是,则执行S2110,否则执行S2120。
地址信息白名单中的地址信息对应的流量数据为合法数据,当目标地址信息在地址信息白名单中时,表明目标流量数据为合法数据,将目标流量数据过滤掉,不将其发送至安全检测设备进行检测,可以减少海量数据场景下安全检测设备的负荷。
S2110、生成过滤规则,所述过滤规则用于指示对所述目标流量数据进行过滤。
规则包括过滤规则和检测规则,过滤规则表明,将目标流量数据进行过滤,不发送至安全检测设备。
S2120、生成检测规则,所述检测规则用于指示将所述目标流量数据发送至安全检测设备。
检测规则表明,目标流量数据是否合法是未知的,需要将其发送至安全检测设备进行检测和安全分析。
S2130、获得规则集合的规则数量。
在本发明实施例中,建立与新地址信息匹配的新规则之后,需要将新规则保存到规则集合中。将新规则保存到规则集合时,需要考虑分流设备的处理能力,当规则集合中的规则数量较多时,超出了分流设备的处理能力,需要将规则集合中的部分过期的规则进行丢弃,还可以进行告警提示,以使分流设备的运维人员对规则集合进行人工处理。
S2140、判断规则数量是否小于或者等于预设规则数量阈值,如果是,则执行S2150,否则执行S2160。
当规则数量超过预设规则数量阈值时,为在将目标规则保存到规则集合中的同时,保持分流设备的处理能力,需要丢弃部分过期的规则,通过减少规则数量,可以降低分流设备的硬件成本。
S2150、将所述目标规则保存到规则集合中。
当规则数量小于或等于预设规则数量阈值时,可以直接将目标规则保存到规则集合中。
S2160、根据所述规则集合中各规则的生成时间,将预设数量的规则从所述规则集合中删除,并将所述目标规则保存到规则集合中。
在删除过期规则时,可以删除规则生成时间最靠前的部分规则,本发明实施例对删除规则的数量不进行限制。可选的,进行告警提示之后,根据分流设备的运维人员的指令对规则集合中的规则继续进行删除。
S2170、对所述目标流量数据进行处理。
在本发明实施例中,可以根据新生成并保存的目标规则,判断是否需要对目标流量数据进行过滤,并执行后续的过滤或发送至安全检测设备的操作。也可以在对目标流量数据进行处理时,不考虑目标规则,直接将目标流量数据发送至安全检测设备,对于后续接收到的与目标地址信息对应的新流量数据,再继续根据目标规则进行处理,本实施例对此不进行限制。
S2180、判断是否间隔预设时间间隔,如果是,则执行S2190,否则返回执行S210。
为提高分流设备的处理速度,可以周期性的对地址信息表进行更新。对于已超过预设时间未出现的地址信息,也即该地址信息对应的流量数据的数据接收时间在预设时间之前,可以将其从地址信息表中删除。
S2190、将对应的流量数据的数据接收时间在预设时间之前的地址信息进行删除。
S2200、结束。
本实施例的技术方案,通过根据目标流量数据的不同类型,采用不同的方式获取目标流量数据的目标地址信息,当目标地址信息为地址信息集合中的已知地址信息时,在规则集合中获取与目标地址信息匹配的目标规则,根据目标规则判断是否对目标流量数据进行过滤,当目标地址信息为新地址信息时,根据目标地址信息生成新的目标规则保存到规则集合中,当规则集合中的规则数量过多时,丢弃部分过期规则,同时,定期丢弃地址信息集合中的过期地址信息。解决了现有技术中的合法流量数据的过滤方法,成本较高或者性能不稳定的问题,实现了低成本和高效率的进行流量数据的识别和过滤,从而减小了海量数据场景下安全检测设备的负荷。
具体适用场景一
图2b是本发明具体适用场景一中的一种分流设备的结构示意图,如图2b所示,分流设备可以包括分流板卡和X86刀片。
分流设备的工作原理为:分流板卡获取目标流量数据之后,将目标流量数据发送至X86刀片,X86刀片根据目标流量数据的类型,采用对应的方式对目标流量数据进行解析,获得目标地址信息。当目标地址信息为新IP地址时,将目标地址信息加入地址信息集合中,为了提高X86刀片的处理速度,将预设时间未出现的地址信息移除出地址信息集合。根据目标地址信息生成目标规则,将目标规则保存到规则集合中,此时,需要对规则集合中的规则数量是否超过分流设备的最大处理能力,如果超过,需要将部分生成时间较早的规则进行丢弃。规则集合根据规则的不断加入和删除而更新,X86刀片定期将更新后的规则集合下发至分流板卡,分流板卡即可以根据更新后的规则,对目标流量数据进行判断是否需要过滤,将需要过滤的流量数据过滤掉,将不需要过滤的流量数据发送至安全检测设备。
实施例三
图3是本发明实施例三中的一种流量数据的处理装置的结构示意图,该装置包括:目标地址信息获取模块310、目标规则获取模块320以及目标流量数据处理模块330。其中:
目标地址信息获取模块310,用于获取目标流量数据,并根据所述目标流量数据的类型获取目标地址信息;
目标规则获取模块320,用于如果根据地址信息集合确定所述目标地址信息为已知地址信息,则在规则集合中获取与所述目标地址信息匹配的目标规则,所述规则集合中存储有多个不同的地址信息对应的规则;
目标流量数据处理模块330,用于根据所述目标规则,对所述目标流量数据进行处理。
本实施例的技术方案,通过获取目标流量数据的目标地址信息,当目标地址信息为地址信息集合中的已知地址信息时,在规则集合中获取与目标地址信息匹配的目标规则,根据目标规则对目标流量数据进行处理。解决了现有技术中的合法流量数据的过滤方法,成本较高或者性能不稳定的问题,实现了低成本和高效率的进行流量数据的识别和过滤,从而减小了海量数据场景下安全检测设备的负荷。
在上述实施例的基础上,所述目标地址信息获取模块310,包括:
域名系统流量数据地址信息解析单元,用于如果确定所述目标流量数据的类型为域名系统流量数据,则根据所述目标流量数据的域名,以及域名与地址信息之间的映射关系,获得所述目标地址信息;
超文本传输协议流量数据地址信息解析单元,用于如果确定所述目标流量数据的类型为超文本传输协议流量数据,则根据所述目标流量数据的请求头信息获取主机信息,对主机信息进行解析获得所述目标地址信息。
在上述实施例的基础上,所述装置,还包括:
目标规则生成模块,用于如果根据地址信息集合确定所述目标地址信息为新地址信息,则根据所述目标地址信息生成目标规则,并将所述目标规则保存到规则集合中;
第二目标流量数据处理模块,用于对所述目标流量数据进行处理。
在上述实施例的基础上,所述目标规则生成模块,包括:
规则数量获取单元,用于根据所述目标地址信息生成目标规则,获得规则集合的规则数量;
目标规则存储单元,用于如果确定规则数量小于或者等于预设规则数量阈值,则将所述目标规则保存到规则集合中;
过期规则删除单元,用于如果确定规则数量大于预设规则数量阈值,则根据所述规则集合中各规则的生成时间,将预设数量的规则从所述规则集合中删除,并将所述目标规则保存到规则集合中。
在上述实施例的基础上,所述目标流量数据处理模块330,包括:
目标流量数据处理单元,用于根据所述目标规则,对所述目标流量数据进行过滤,或将所述目标流量数据发送至安全检测设备。
在上述实施例的基础上,所述目标规则生成模块,包括:
过滤规则生成单元,用于如果所述目标地址信息在地址信息白名单中,则生成过滤规则,所述过滤规则用于指示对所述目标流量数据进行过滤;
检测规则生成单元,用于否则,生成检测规则,所述检测规则用于指示将所述目标流量数据发送至安全检测设备。
在上述实施例的基础上,所述装置,还包括:
过期地址信息删除模块,用于每隔预设时间间隔,将对应的流量数据的数据接收时间在预设时间之前的地址信息进行删除。
本发明实施例所提供的流量数据的处理装置可执行本发明任意实施例所提供的流量数据的处理方法,具备执行方法相应的功能模块和有益效果。
实施例四
图4为本发明实施例四提供的一种计算机设备的结构示意图,如图4所示,该计算机设备包括处理器70、存储器71、输入装置72和输出装置73;计算机设备中处理器70的数量可以是一个或多个,图4中以一个处理器70为例;计算机设备中的处理器70、存储器71、输入装置72和输出装置73可以通过总线或其他方式连接,图4中以通过总线连接为例。
存储器71作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的流量数据的处理方法对应的模块(例如,流量数据的处理装置中的目标地址信息获取模块310、目标规则获取模块320以及目标流量数据处理模块330)。处理器70通过运行存储在存储器71中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现上述的流量数据的处理方法。该方法包括:
获取目标流量数据,并根据所述目标流量数据的类型获取目标地址信息;
如果根据地址信息集合确定所述目标地址信息为已知地址信息,则在规则集合中获取与所述目标地址信息匹配的目标规则,所述规则集合中存储有多个不同的地址信息对应的规则;
根据所述目标规则,对所述目标流量数据进行处理。
存储器71可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器71可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器71可进一步包括相对于处理器70远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置72可用于接收输入的数字或字符信息,以及产生与计算机设备的用户设置以及功能控制有关的键信号输入。输出装置73可包括显示屏等显示设备。
实施例五
本发明实施例五还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种流量数据的处理方法,该方法包括:
获取目标流量数据,并根据所述目标流量数据的类型获取目标地址信息;
如果根据地址信息集合确定所述目标地址信息为已知地址信息,则在规则集合中获取与所述目标地址信息匹配的目标规则,所述规则集合中存储有多个不同的地址信息对应的规则;
根据所述目标规则,对所述目标流量数据进行处理。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的流量数据的处理方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述流量数据的处理装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种流量数据的处理方法,其特征在于,包括:
获取目标流量数据,并根据所述目标流量数据的类型获取目标地址信息;
如果根据地址信息集合确定所述目标地址信息为已知地址信息,则在规则集合中获取与所述目标地址信息匹配的目标规则,所述规则集合中存储有多个不同的地址信息对应的规则;
根据所述目标规则,对所述目标流量数据进行处理。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标流量数据的类型获取目标地址信息,包括:
如果确定所述目标流量数据的类型为域名系统流量数据,则根据所述目标流量数据的域名,以及域名与地址信息之间的映射关系,获得所述目标地址信息;
如果确定所述目标流量数据的类型为超文本传输协议流量数据,则根据所述目标流量数据的请求头信息获取主机信息,对主机信息进行解析获得所述目标地址信息。
3.根据权利要求1所述的方法,其特征在于,根据所述目标流量数据的类型获取目标地址信息之后,还包括:
如果根据地址信息集合确定所述目标地址信息为新地址信息,则根据所述目标地址信息生成目标规则,并将所述目标规则保存到规则集合中;
对所述目标流量数据进行处理。
4.根据权利要求3所述的方法,其特征在于,根据所述目标地址信息生成目标规则,并将所述目标规则保存到规则集合中,包括:
根据所述目标地址信息生成目标规则,获得规则集合的规则数量;
如果确定规则数量小于或者等于预设规则数量阈值,则将所述目标规则保存到规则集合中;
如果确定规则数量大于预设规则数量阈值,则根据所述规则集合中各规则的生成时间,将预设数量的规则从所述规则集合中删除,并将所述目标规则保存到规则集合中。
5.根据权利要求1所述的方法,其特征在于,根据所述目标规则,对所述目标流量数据进行处理,包括:
根据所述目标规则,对所述目标流量数据进行过滤,或将所述目标流量数据发送至安全检测设备。
6.根据权利要求3所述的方法,其特征在于,根据所述目标地址信息生成目标规则,包括:
如果所述目标地址信息在地址信息白名单中,则生成过滤规则,所述过滤规则用于指示对所述目标流量数据进行过滤;
否则,生成检测规则,所述检测规则用于指示将所述目标流量数据发送至安全检测设备。
7.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
每隔预设时间间隔,将对应的流量数据的数据接收时间在预设时间之前的地址信息进行删除。
8.一种流量数据的处理装置,其特征在于,包括:
目标地址信息获取模块,用于获取目标流量数据,并根据所述目标流量数据的类型获取目标地址信息;
目标规则获取模块,用于如果根据地址信息集合确定所述目标地址信息为已知地址信息,则在规则集合中获取与所述目标地址信息匹配的目标规则,所述规则集合中存储有多个不同的地址信息对应的规则;
目标流量数据处理模块,用于根据所述目标规则,对所述目标流量数据进行处理。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-7中任一所述的流量数据的处理方法。
10.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-7中任一所述的流量数据的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110185077.0A CN112929376A (zh) | 2021-02-10 | 2021-02-10 | 一种流量数据的处理方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110185077.0A CN112929376A (zh) | 2021-02-10 | 2021-02-10 | 一种流量数据的处理方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112929376A true CN112929376A (zh) | 2021-06-08 |
Family
ID=76169768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110185077.0A Pending CN112929376A (zh) | 2021-02-10 | 2021-02-10 | 一种流量数据的处理方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112929376A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114374622A (zh) * | 2021-12-31 | 2022-04-19 | 恒安嘉新(北京)科技股份公司 | 一种基于融合分流设备的分流方法及融合分流设备 |
| CN114827053A (zh) * | 2022-06-21 | 2022-07-29 | 中国人民解放军国防科技大学 | 一种芯粒化网络处理器架构 |
| CN117240735A (zh) * | 2023-11-09 | 2023-12-15 | 湖南戎腾网络科技有限公司 | 一种音视频流的过滤方法、系统、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170317928A1 (en) * | 2016-04-29 | 2017-11-02 | Nicira, Inc. | Address Grouping for Distributed Service Rules |
| CN110677379A (zh) * | 2018-07-02 | 2020-01-10 | 瞻博网络公司 | 用于阻止、检测和/或防止恶意流量的方法和设备 |
| CN110808913A (zh) * | 2018-08-30 | 2020-02-18 | 华为技术有限公司 | 报文处理的方法、装置及相关设备 |
| US20200267176A1 (en) * | 2019-02-15 | 2020-08-20 | Verizon Patent And Licensing Inc. | User-determined network traffic filtering |
-
2021
- 2021-02-10 CN CN202110185077.0A patent/CN112929376A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170317928A1 (en) * | 2016-04-29 | 2017-11-02 | Nicira, Inc. | Address Grouping for Distributed Service Rules |
| CN110677379A (zh) * | 2018-07-02 | 2020-01-10 | 瞻博网络公司 | 用于阻止、检测和/或防止恶意流量的方法和设备 |
| CN110808913A (zh) * | 2018-08-30 | 2020-02-18 | 华为技术有限公司 | 报文处理的方法、装置及相关设备 |
| US20200267176A1 (en) * | 2019-02-15 | 2020-08-20 | Verizon Patent And Licensing Inc. | User-determined network traffic filtering |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114374622A (zh) * | 2021-12-31 | 2022-04-19 | 恒安嘉新(北京)科技股份公司 | 一种基于融合分流设备的分流方法及融合分流设备 |
| CN114374622B (zh) * | 2021-12-31 | 2023-12-19 | 恒安嘉新(北京)科技股份公司 | 一种基于融合分流设备的分流方法及融合分流设备 |
| CN114827053A (zh) * | 2022-06-21 | 2022-07-29 | 中国人民解放军国防科技大学 | 一种芯粒化网络处理器架构 |
| CN117240735A (zh) * | 2023-11-09 | 2023-12-15 | 湖南戎腾网络科技有限公司 | 一种音视频流的过滤方法、系统、设备及存储介质 |
| CN117240735B (zh) * | 2023-11-09 | 2024-01-19 | 湖南戎腾网络科技有限公司 | 一种音视频流的过滤方法、系统、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US10257224B2 (en) | Method and apparatus for providing forensic visibility into systems and networks | |
| CN112929376A (zh) | 一种流量数据的处理方法、装置、计算机设备和存储介质 | |
| CN106815112B (zh) | 一种基于深度包检测的海量数据监控系统及方法 | |
| RU2666289C1 (ru) | Система и способ для ограничения запросов доступа | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| US10666672B2 (en) | Collecting domain name system traffic | |
| KR100862187B1 (ko) | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 | |
| US9485155B2 (en) | Traffic analysis of data flows | |
| JP2018531527A6 (ja) | ネットワークトラフィックにおけるアプリケーション情報を識別するための方法および装置 | |
| JP2018531527A (ja) | ネットワークトラフィックにおけるアプリケーション情報を識別するための方法および装置 | |
| CN107113228B (zh) | 控制装置、边界路由器、控制方法和计算机可读存储介质 | |
| CN112600852B (zh) | 漏洞攻击处理方法、装置、设备及存储介质 | |
| CN111641591B (zh) | 云服务安全防御方法、装置、设备及介质 | |
| CN112887274A (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| CN113067810B (zh) | 网络抓包方法、装置、设备和介质 | |
| JP2018026747A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| CN105207997A (zh) | 一种防攻击的报文转发方法和系统 | |
| CN110958245B (zh) | 一种攻击的检测方法、装置、设备和存储介质 | |
| US10963562B2 (en) | Malicious event detection device, malicious event detection method, and malicious event detection program | |
| CN107547523A (zh) | 报文处理方法、装置、网络设备及机器可读存储介质 | |
| CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
| US11595419B2 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
| CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
| CN113992404B (zh) | 一种攻击证据记录方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |