CN113364804B - 一种流量数据的处理方法和装置 - Google Patents
一种流量数据的处理方法和装置 Download PDFInfo
- Publication number
- CN113364804B CN113364804B CN202110728323.2A CN202110728323A CN113364804B CN 113364804 B CN113364804 B CN 113364804B CN 202110728323 A CN202110728323 A CN 202110728323A CN 113364804 B CN113364804 B CN 113364804B
- Authority
- CN
- China
- Prior art keywords
- data
- flow data
- network security
- address
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种流量数据的处理方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:获取用户需求以及旁路模式下的镜像流量数据;根据用户需求对镜像流量数据进行过滤处理,得到目标流量数据;模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,以使得网络安全代理设备对目标流量数据进行相应的业务处理。该实施方式降低了对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率以及后续数据分析效率。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种流量数据的处理方法和装置。
背景技术
网络安全代理设备的主要功能就是针对用户访问互联网所产生的网络流量进行深入分析,根据分析的数据对用户的网络设施进行针对性的部署与管控,从而提升用户网络的安全水平。网络流量分析设备主要针对串行模式和旁路模式这两种运行模式下的网络流量进行分析,其中,串行模式是指用户所有的访问互联网的网络流量都会通过网络流量分析设备,网络流量分析设备会根据自身的配置对经过自身的网络流量进行实时分析;旁路模式是指通过交换机,路由器,或者专用网络设备的端口镜像功能,将用户访问互联网的网络流量进行复制,并将复制的流量发送到网络流量分析设备进行分析。
现有技术中至少存在如下问题:
针对旁路模式下的网络流量,现有的流量数据的处理方法主要是将抓包获取的全部数据包直接发送至网络安全代理设备,需要网络安全代理设备对全部数据包进行解析、分析处理,对网络安全设备的配置功能要求较高,适用场景较窄,还造成了数据处理成本的增加,降低了数据处理效率以及后续数据分析效率。
发明内容
有鉴于此,本发明实施例提供一种流量数据的处理方法和装置,能够根据用户需求对镜像流量数据进行处理,并模拟客户端/服务端,以客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,降低了对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率以及后续数据分析效率。
为实现上述目的,根据本发明实施例的第一方面,提供了一种流量数据的处理方法,包括:
获取用户需求以及旁路模式下的镜像流量数据;
根据用户需求对镜像流量数据进行过滤处理,得到目标流量数据;
模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,以使得网络安全代理设备对目标流量数据进行相应的业务处理。
进一步地,在模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接的步骤之前,还包括:
提取目标流量数据的标识信息,根据标识信息对目标流量数据进行分类处理;
对分类处理后的目标流量数据进行缓存。
进一步地,提取目标流量数据的标识信息,根据标识信息对目标流量数据进行分类处理,对分类处理后的目标流量数据进行缓存,包括:
分别提取每个目标流量数据对应的IP地址信息和传输协议信息,作为目标流量数据的标识信息;
根据标识信息构建多个会话,将相同标识信息的目标网络流量分类至同一会话中;
根据多个会话和分类至会话内的目标网络流量构建哈希表,对哈希表进行缓存,其中,哈希表中各会话对应的哈希值是根据分类至会话内的目标流量数据的标识信息进行确定的。
进一步地,会话内包括流入队列和流出队列,还包括:
根据IP地址信息确定目标流量数据的传输方向;
根据传输方向确定目标流量数据在会话中的所属队列。
进一步地,模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,包括:
针对任一会话,确定会话所对应的标识信息中指示的源IP地址和目的IP地址;
若源IP地址为客户端地址,目的IP地址为服务端地址,模拟客户端与网络安全代理设备建立连接,从会话中的流出队列中确定第一目标流量数据,并将第一目标流量数据发送至所连接的网络安全代理设备;
若源IP地址为服务端地址,目的IP地址为客户端地址,模拟服务端与网络安全代理设备建立连接,从会话中的流入队列中确定第二目标流量数据,并将第二目标流量数据发送至所连接的网络安全代理设备。
进一步地,还包括:
获取新增镜像流量数据并进行过滤处理,提取过滤处理后的新增镜像流量数据的标识信息;
根据新增镜像网络流量的标识信息对哈希表进行更新。
进一步地,还包括:
响应于网络安全代理设备反馈的业务处理结果,确定业务处理结果中指示的脏数据;
删除哈希表中与脏数据对应的目标流量数据。
根据本发明实施例的第二方面,提供了一种流量数据的处理装置,包括:
获取模块,用于获取用户需求以及旁路模式下的镜像流量数据;
过滤模块,用于根据用户需求对镜像流量数据进行过滤处理,得到目标流量数据;
模拟模块,用于模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,以使得网络安全代理设备对目标流量数据进行相应的业务处理。
根据本发明实施例的第三方面,提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上述任一种流量数据的处理方法。
根据本发明实施例的第四方面,提供了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上述任一种流量数据的处理方法。
上述发明中的一个实施例具有如下优点或有益效果:因为采用获取用户需求以及旁路模式下的镜像流量数据;根据用户需求对镜像流量数据进行过滤处理,得到目标流量数据;模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,以使得网络安全代理设备对目标流量数据进行相应的业务处理的技术手段,所以克服了针对旁路模式下的网络流量,现有的流量数据的处理方法对网络安全设备的配置功能要求较高,适用场景较窄,还造成了数据处理成本的增加,降低了数据处理效率以及后续数据分析效率的技术问题,进而达到能够根据用户需求对镜像流量数据进行处理,并模拟客户端/服务端,以客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,降低了对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率以及后续数据分析效率的技术效果。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明第一实施例提供的流量数据的处理方法的主要流程的示意图;
图2是根据本发明第二实施例提供的流量数据的处理方法的主要流程的示意图;
图3是根据本发明实施例提供的流量数据的处理装置的主要模块的示意图;
图4是本发明实施例可以应用于其中的示例性系统架构图;
图5是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本发明第一实施例提供的流量数据的处理方法的主要流程的示意图;如图1所示,本发明实施例提供的流量数据的处理方法主要包括:
步骤S101,获取用户需求以及旁路模式下的镜像流量数据。
具体地,上述用户需求指示了用户所需求网络流量对应的流量传输端口、流量数据包类型以及流量传输协议;上述镜像流量数据包括流入(下载)流量数据包和流出(上传)流量数据包。根据本发明实施例,上述镜像流量数据可以通过交换机/路由器来获取,也可以通过其他专用网络设备来获取。
步骤S102,根据用户需求对镜像流量数据进行过滤处理,得到目标流量数据。
具体地,根据用户需求中指示的用户所需求网络流量对应的流量传输端口、流量数据包类型以及流量传输协议来对镜像流量数据进行过滤处理,通过上述设置,一方面有助于提升用户体验,另一方面可以显著提升数据处理效率以及后续数据分析效率。
进一步地,根据本发明实施例,在模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接的步骤之前,上述方法还包括:
提取目标流量数据的标识信息,根据标识信息对目标流量数据进行分类处理;
对分类处理后的目标流量数据进行缓存。
具体地,提取目标流量数据的标识信息(标识信息用于指示网间通信的标识,主要包括源IP地址、源端口、目的IP地址以及目的端口等),通过上述设置,可以快速精确地对目标流量数据进行分类,有助于后续以客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,从而降低对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景。
具体地,根据本发明实施例,上述提取目标流量数据的标识信息,根据标识信息对目标流量数据进行分类处理,对分类处理后的目标流量数据进行缓存,包括:
分别提取每个目标流量数据对应的IP地址信息和传输协议信息,作为目标流量数据的标识信息;
根据标识信息构建多个会话,将相同标识信息的目标网络流量分类至同一会话中;
根据多个会话和分类至会话内的目标网络流量构建哈希表,对哈希表进行缓存,其中,哈希表中各会话对应的哈希值是根据分类至会话内的目标流量数据的标识信息进行确定的。
通过上述设置,根据标识信息构建会话,将相同标识信息的目标网络流量分类至同一会话中,同时根据多个会话和分类至会话内的目标网络流量构建哈希表,以会话内目标流量数据对应的标识信息确定哈希值。有助于后续快速、精准地从缓存的哈希表中确定相应的目标流量数据。
优选地,根据本发明实施例,上述会话内包括流入队列和流出队列,还包括:
根据IP地址信息确定目标流量数据的传输方向;
根据传输方向确定目标流量数据在会话中的所属队列。
通过上述设置,在会话内维护流入队列和流出队列,有助于后续以模拟客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,降低了对网络安全设备的功能需求,从而达到适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率以及后续数据分析效率的技术效果。
示例性地,根据本发明实施例,上述方法还包括:
获取新增镜像流量数据并进行过滤处理,提取过滤处理后的新增镜像流量数据的标识信息;
根据新增镜像网络流量的标识信息对哈希表进行更新。
通过上述设置,根据新增镜像流量数据的标识信息可以确定哈希表中的相应会话,进而直接将该新增镜像流量插入会话中。根据本发明实施例,若哈希表中没有对应的会话,则可根据新增镜像流量数据的标识信息创建新的会话。
步骤S103,模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,以使得网络安全代理设备对目标流量数据进行相应的业务处理。
具体地,通过上述设置,模拟客户端/服务端,以客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,降低了对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率。根据本发明实施例,上述网络安全代理设备对目标流量数据执行的业务处理主要是针对安全行为分析的处理,例如黑白名单,安全策略,病毒检测,内容检测等等。
进一步地,根据本发明实施例,上述模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,包括:
针对任一会话,确定会话所对应的标识信息中指示的源IP地址和目的IP地址;
若源IP地址为客户端地址,目的IP地址为服务端地址,模拟客户端与网络安全代理设备建立连接,从会话中的流出队列中确定第一目标流量数据,并将第一目标流量数据发送至所连接的网络安全代理设备;
若源IP地址为服务端地址,目的IP地址为客户端地址,模拟服务端与网络安全代理设备建立连接,从会话中的流入队列中确定第二目标流量数据,并将第二目标流量数据发送至所连接的网络安全代理设备。
需要说明的是,上述模拟客户端/服务端与网络安全代理设备建立连接,所发送的目标流量数据是基于TCP协议(Transmission Control Protocol传输控制协议)的流量数据,若是基于UDP协议(User Datagram Protocol,用户数据报协议)的流量数据,则无需与网络安全代理设备建立连接,可直接发送响应的流量数据。
优选地,根据本发明实施例,上述方法还包括:
响应于网络安全代理设备反馈的业务处理结果,确定业务处理结果中指示的脏数据;
删除哈希表中与脏数据对应的目标流量数据。
根据本发明实施例的技术方案,因为采用获取用户需求以及旁路模式下的镜像流量数据;根据用户需求对镜像流量数据进行过滤处理,得到目标流量数据;模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,以使得网络安全代理设备对目标流量数据进行相应的业务处理的技术手段,所以克服了针对旁路模式下的网络流量,现有的流量数据的处理方法对网络安全设备的配置功能要求较高,适用场景较窄,还造成了数据处理成本的增加,降低了数据处理效率以及后续数据分析效率的技术问题,进而达到能够根据用户需求对镜像流量数据进行处理,并模拟客户端/服务端,以客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,降低了对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率以及后续数据分析效率的技术效果。
图2是根据本发明第二实施例提供的流量数据的处理方法的主要流程的示意图;如图2所示,本发明实施例提供的流量数据的处理方法主要包括:
步骤S201,获取用户需求以及旁路模式下的镜像流量数据。
本发明适用于旁路模式下的网络流量分析的场景,即网络流量并不直接经过用户应用层的网络安全代理设备,而是通过抓包等方式获取镜像流量数据发送至网络安全代理设备,再由其对接收到流量数据进行分析处理。其中,上述用户需求指示了用户所需求网络流量对应的流量传输端口、流量数据包类型以及流量传输协议;上述镜像流量数据包括流入流量数据包和流出流量数据包。
具体地,根据本发明实施例,可采用Linux内核网络协议栈中的Netfilter数据包处理架构(是Linux内核网络协议栈内部的一个子系统,在Linux 2.4版本的内核中被引入,目前几乎所有的Linux发行版本都支持此数据包处理框架,Netfilter是一个通用的、抽象的软件框架,提供了一整套HOOK函数的管理机制,开发者可以利用此机制开发任意的网络数据包处理功能,例如数据包过滤,网络地址转换,连接跟踪等)。上述仅为示例,也可以采取现有其他技术来获取镜像流量数据,并对其进行过滤处理。
步骤S202,根据用户需求对镜像流量数据进行过滤处理,得到目标流量数据。
具体地,根据用户需求中指示的用户所需求网络流量对应的流量传输端口、流量数据包类型以及流量传输协议来对镜像流量数据进行过滤处理,通过上述设置,一方面有助于提升用户体验,另一方面可以显著提升数据处理效率以及后续数据分析效率。
根据本发明实施例,可分别执行流入接口过滤、数据包类型过滤、传输协议类型过滤、源地址过滤、源/目的端口过滤。例如(仅作实例,并不作为对本申请的限定),针对流入接口过滤是指只保留从特定接口(根据用户需求确定)进入的流量数据包,其他接口进入的流量数据包不做处理,可直接过滤丢弃,其目的是使得其他非业务口的流量处理不受干扰。数据包类型过滤是指针对镜像流量数据中的组播包或者广播包,直接过滤丢弃,不做处理。传输协议类型过滤是指只保留Layer 4层协议为TCP协议的数据包,其余数据包直接丢弃,不做处理。源地址过滤是指针对特定的源/目的地址IP(可配置)的数据包,直接丢弃,不做处理,其目的是在特定情况下可以过滤掉特定IP地址的网络流量。源/目的端口过滤是指只保留特定端口(HTTP或者自定义端口)的数据包,其余数据包直接丢弃,不做处理。
镜像流量数据经过过滤处理之后,剩余的流量数据包就是根据用户需求指示需要进行后续分析处理的目标流量数据。
步骤S203,分别提取每个目标流量数据对应的IP地址信息和传输协议信息,作为目标流量数据的标识信息。
具体地,提取目标流量数据的标识信息(标识信息用于指示网间通信的标识,主要包括源IP地址、源端口、目的IP地址以及目的端口等),通过上述设置,有助于后续快速精确地对目标流量数据进行分类,以便于以客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,从而降低对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景。
具体地,可以提取目标流量数据的五元组(源IP,目的IP,源端口,目的端口,方向)信息,根据实际需要,还可以以四元组(源IP地址、目的IP地址、源端口、目的端口)、七元组(源IP地址、目的IP地址、协议号、源端口、目的端口,服务类型以及接口索引)等作为目标流量数据的标识信息。
步骤S204,根据标识信息构建多个会话,会话内包括流入队列和流出队列。
具体地,使用会话(SESSION)来区分不同的TCP流量数据(或者其他协议对应的流量数据)的连接信息,一个SESSION由特定的五元组(源IP,目的IP,源端口,目的端口,协议类型)来唯一确定,SESSION内部会维护两个队列(单链表),它们分别是:
流入队列(ORIGINAL队列):即从发起连接的请求方到接受连接的回应方方向的数据包队列,主要保存客户端发送的数据包。
流出队列(REPLY队列):即从接受连接的回应方到发起连接的请求方方向的数据包队列,主要保存服务端回应的数据包。
步骤S205,根据IP地址信息确定目标流量数据的传输方向;根据传输方向和标识信息确定目标流量数据对应的会话以及在会话中的所属队列。
在上述传输协议为TCP协议时,由于镜像网络流量是双向的TCP协议流量数据包,既包括了从客户端到服务器的出向流量,又包括了从服务器到客户端的入向流量,因此,SESSION需要同时维护ORIGINAL与REPLY两个队列,我们用ORIGINAL队列的来存储客户端到服务端的流量,用REPLY队列来存储服务端到客户端的流量,将二者分开有益于对客户端与服务端分别管理,简化处理逻辑。
通过上述设置,在会话内维护流入队列和流出队列,有助于后续以模拟客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,降低了对网络安全设备的功能需求,从而达到适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率以及后续数据分析效率的技术效果。
步骤S206,根据多个会话和分类至会话内的目标网络流量构建哈希表,对哈希表进行缓存,其中,哈希表中各会话对应的哈希值是根据分类至会话内的目标流量数据的标识信息进行确定的。
具体地,通过上述设置,模拟客户端/服务端,以客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,降低了对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率。
通过上述设置,会话(SESSION)被保存到一张全局的哈希表(HASH表)中,哈希值(HASH KEY)根据是根据流量数据标识信息的元素(如源地址,目的地址,源端口,目的端口,方向这五个元素)计算得出,采取HASH表的存储结构,是为了兼顾了查找速度与存储能力。也可以以其他形式对目标流量数据进行存储。
示例性地,根据本发明实施例,上述方法还包括:
获取新增镜像流量数据并进行过滤处理,提取过滤处理后的新增镜像流量数据的标识信息;
根据新增镜像网络流量的标识信息对哈希表进行更新。
通过上述设置,根据新增镜像流量数据的标识信息可以确定哈希表中的相应会话,进而直接将该新增镜像流量插入会话中。根据本发明实施例,若哈希表中没有对应的会话,则可根据新增镜像流量数据的标识信息创建新的会话。
根据本发明实施例的一具体实施方式,首先提取新增镜像流量数据的源/目的地址,源/目的端口,方向,协议信息(标识信息)。根据此标识信息计算HASH值,根据该HASH值遍历哈希表,判断是否有匹配的SESSION以及匹配的队列。若没有,则在哈希表中重新创建一个会话(SESSION);若有,则将新增镜像流量数据插入所匹配的会话的所属队列中。在将新增镜像流量数据插入所匹配的会话的所属队列中时,需要根据流量数据对应的协议序列号(如TCP协议流量数据包对应的序列号),流入队列和流出队列实质上是根据序列号排序的有序链表,按照TCP序列号进行排序后,可以根据TCP序列号来决定流量数据的发送顺序以及如何针对丢失的数据包进行填充工作。
步骤S207,针对任一会话,确定会话所对应的标识信息中指示的源IP地址和目的IP地址;若源IP地址为客户端地址,目的IP地址为服务端地址,模拟客户端与网络安全代理设备建立连接,从会话中的流出队列中确定第一目标流量数据,并将第一目标流量数据发送至所连接的网络安全代理设备;若源IP地址为服务端地址,目的IP地址为客户端地址,模拟服务端与网络安全代理设备建立连接,从会话中的流入队列中确定第二目标流量数据,并将第二目标流量数据发送至所连接的网络安全代理设备。
需要说明的是,上述模拟客户端/服务端与网络安全代理设备建立连接,所发送的目标流量数据是基于TCP协议(Transmission Control Protocol传输控制协议)的流量数据,若是基于UDP协议(User Datagram Protocol,用户数据报协议)的流量数据,则无需与网络安全代理设备建立连接,可直接发送响应的流量数据。
根据本发明实施例,模拟客户端的步骤主要包括:
模拟客户端向网络安全代理设备(网络安全代理服务器)发起连接的功能依靠目标流量数据包来进行触发,当某个SESSION中收到TCP流量数据中发现SYN(连接)字段和SYN/ACK(响应)字段后(在TCP层,有个FLAGS字段,这个字段存在表示状态的标识,其中,SYN表示建立连接,ACK表示响应),我们即认为当前的SESSION处于ESTABLISHED(连接建立)的状态,此时,可以向网络安全代理设备发起连接请求,即将当前SESSION中保存的TCP SYN流量数据包发送给网络安全代理软件,网络安全代理软件收到TCP SYN包后,会响应TCP SYN/ACK包,此时,模拟客户端需要截获此TCP SYN/ACK数据包,并再次回送TCP ACK包,完成与网络安全代理软件的连接建立。
当模拟客户端与网络安全代理设备建立连接后,就可以遍历SESSION维护的ORIGINAL方向的目标流量,将TCP DATA PDU(protocal data unit协议数据单元,上层应用程序通知TCP收集数个TCP包以组建成一个PDU)数据包发送至网络安全代理设备。当网络安全代理设备向模拟客户端发送回应数据时,模拟客户端还需要截获这些数据,将其丢弃,并同时向网络安全代理软件发送TCP ACK数据包,以维护其自身与网络安全代理之间的正常TCP数据流交互。
根据本发明另一实施例,模拟服务端的步骤与上述步骤类型,也是先模拟服务端与网络安全代理设备建立连接,然后发送相应的目标流量数据。
步骤S208,利用网络安全代理设备对目标流量数据进行相应的业务处理。
根据本发明实施例,上述网络安全代理设备对目标流量数据执行的业务处理主要是针对安全行为分析的处理,例如黑白名单,安全策略,病毒检测,内容检测等等。
优选地,根据本发明实施例,上述方法还包括:
响应于网络安全代理设备反馈的业务处理结果,确定业务处理结果中指示的脏数据;
删除哈希表中与脏数据对应的目标流量数据。
根据本发明实施例的技术方案,因为采用获取用户需求以及旁路模式下的镜像流量数据;根据用户需求对镜像流量数据进行过滤处理,得到目标流量数据;模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,以使得网络安全代理设备对目标流量数据进行相应的业务处理的技术手段,所以克服了针对旁路模式下的网络流量,现有的流量数据的处理方法对网络安全设备的配置功能要求较高,适用场景较窄,还造成了数据处理成本的增加,降低了数据处理效率以及后续数据分析效率的技术问题,进而达到能够根据用户需求对镜像流量数据进行处理,并模拟客户端/服务端,以客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,降低了对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率以及后续数据分析效率的技术效果。
图3是根据本发明实施例提供的流量数据的处理装置的主要模块的示意图;如图3所示,本发明实施例提供的流量数据的处理装置300主要包括:
获取模块301,用于获取用户需求以及旁路模式下的镜像流量数据。
具体地,上述用户需求指示了用户所需求网络流量对应的流量传输端口、流量数据包类型以及流量传输协议;上述镜像流量数据包括流入(下载)流量数据包和流出(上传)流量数据包。根据本发明实施例,上述镜像流量数据可以通过交换机/路由器来获取,也可以通过其他专用网络设备来获取。
过滤模块302,用于根据用户需求对镜像流量数据进行过滤处理,得到目标流量数据。
具体地,根据用户需求中指示的用户所需求网络流量对应的流量传输端口、流量数据包类型以及流量传输协议来对镜像流量数据进行过滤处理,通过上述设置,一方面有助于提升用户体验,另一方面可以显著提升数据处理效率以及后续数据分析效率。
进一步地,根据本发明实施例,上述流量数据的处理装置300还包括缓存模块,在模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接的步骤之前,上述缓存模块用于:
提取目标流量数据的标识信息,根据标识信息对目标流量数据进行分类处理;
对分类处理后的目标流量数据进行缓存。
具体地,提取目标流量数据的标识信息(标识信息用于指示网间通信的标识,主要包括源IP地址、源端口、目的IP地址以及目的端口等),通过上述设置,可以快速精确地对目标流量数据进行分类,有助于后续以客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,从而降低对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景。
具体地,根据本发明实施例,上述缓存模块还用于:
分别提取每个目标流量数据对应的IP地址信息和传输协议信息,作为目标流量数据的标识信息;
根据标识信息构建多个会话,将相同标识信息的目标网络流量分类至同一会话中;
根据多个会话和分类至会话内的目标网络流量构建哈希表,对哈希表进行缓存,其中,哈希表中各会话对应的哈希值是根据分类至会话内的目标流量数据的标识信息进行确定的。
通过上述设置,根据标识信息构建会话,将相同标识信息的目标网络流量分类至同一会话中,同时根据多个会话和分类至会话内的目标网络流量构建哈希表,以会话内目标流量数据对应的标识信息确定哈希值。有助于后续快速、精准地从缓存的哈希表中确定相应的目标流量数据。
优选地,根据本发明实施例,会话内包括流入队列和流出队列;上述流量数据的处理装置300所属队列确定模块,用于:
根据IP地址信息确定目标流量数据的传输方向;
根据传输方向确定目标流量数据在会话中的所属队列。
通过上述设置,在会话内维护流入队列和流出队列,有助于后续以模拟客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,降低了对网络安全设备的功能需求,从而达到适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率以及后续数据分析效率的技术效果。
示例性地,根据本发明实施例,上述流量数据的处理装置300还包括更新模块,用于:
获取新增镜像流量数据并进行过滤处理,提取过滤处理后的新增镜像流量数据的标识信息;
根据新增镜像网络流量的标识信息对哈希表进行更新。
通过上述设置,根据新增镜像流量数据的标识信息可以确定哈希表中的相应会话,进而直接将该新增镜像流量插入会话中。根据本发明实施例,若哈希表中没有对应的会话,则可根据新增镜像流量数据的标识信息创建新的会话。
模拟模块303,用于模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,以使得网络安全代理设备对目标流量数据进行相应的业务处理。
具体地,通过上述设置,模拟客户端/服务端,以客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,降低了对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率。根据本发明实施例,上述网络安全代理设备对目标流量数据执行的业务处理主要是针对安全行为分析的处理,例如黑白名单,安全策略,病毒检测,内容检测等等。
进一步地,根据本发明实施例,上述模拟模块303用于:
针对任一会话,确定会话所对应的标识信息中指示的源IP地址和目的IP地址;
若源IP地址为客户端地址,目的IP地址为服务端地址,模拟客户端与网络安全代理设备建立连接,从会话中的流出队列中确定第一目标流量数据,并将第一目标流量数据发送至所连接的网络安全代理设备;
若源IP地址为服务端地址,目的IP地址为客户端地址,模拟服务端与网络安全代理设备建立连接,从会话中的流入队列中确定第二目标流量数据,并将第二目标流量数据发送至所连接的网络安全代理设备。
需要说明的是,上述模拟客户端/服务端与网络安全代理设备建立连接,所发送的目标流量数据是基于TCP协议(Transmission Control Protocol传输控制协议)的流量数据,若是基于UDP协议(User Datagram Protocol,用户数据报协议)的流量数据,则无需与网络安全代理设备建立连接,可直接发送响应的流量数据。
优选地,根据本发明实施例,上述流量数据的处理装置300还包括反馈模块,用于:
响应于网络安全代理设备反馈的业务处理结果,确定业务处理结果中指示的脏数据;
删除哈希表中与脏数据对应的目标流量数据。
根据本发明实施例的技术方案,因为采用获取用户需求以及旁路模式下的镜像流量数据;根据用户需求对镜像流量数据进行过滤处理,得到目标流量数据;模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,以使得网络安全代理设备对目标流量数据进行相应的业务处理的技术手段,所以克服了针对旁路模式下的网络流量,现有的流量数据的处理方法对网络安全设备的配置功能要求较高,适用场景较窄,还造成了数据处理成本的增加,降低了数据处理效率以及后续数据分析效率的技术问题,进而达到能够根据用户需求对镜像流量数据进行处理,并模拟客户端/服务端,以客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,降低了对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率以及后续数据分析效率的技术效果。
图4示出了可以应用本发明实施例的流量数据的处理方法或流量数据的处理装置的示例性系统架构400。
如图4所示,系统架构400可以包括终端设备401、402、403,网络404和服务器405(此架构仅仅是示例,具体架构中包含的组件可以根据申请具体情况调整)。网络404用以在终端设备401、402、403和服务器405之间提供通信链路的介质。网络404可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备401、402、403通过网络404与服务器405交互,以接收或发送消息等。终端设备401、402、403上可以安装有各种通讯客户端应用,例如流量数据的处理类应用、数据处理类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端等(仅为示例)。
终端设备401、402、403可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器405可以是提供各种服务的服务器,例如对用户利用终端设备401、402、403所(进行流量数据的处理/进行数据处理)的服务器(仅为示例)。该服务器可以对接收到的用户需求、镜像流量数据等数据进行分析等处理,并将处理结果(例如目标流量数据--仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的流量数据的处理方法一般由服务器405执行,相应地,流量数据的处理装置一般设置于服务器405中。
应该理解,图4中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图5,其示出了适于用来实现本发明实施例的终端设备或服务器的计算机系统500的结构示意图。图5示出的终端设备或服务器仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有系统500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块、过滤模块和模拟模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,获取模块还可以被描述为“用于获取用户需求以及旁路模式下的镜像流量数据的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:获取用户需求以及旁路模式下的镜像流量数据;根据用户需求对镜像流量数据进行过滤处理,得到目标流量数据;模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,以使得网络安全代理设备对目标流量数据进行相应的业务处理。
根据本发明实施例的技术方案,因为采用获取用户需求以及旁路模式下的镜像流量数据;根据用户需求对镜像流量数据进行过滤处理,得到目标流量数据;模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送目标流量数据,以使得网络安全代理设备对目标流量数据进行相应的业务处理的技术手段,所以克服了针对旁路模式下的网络流量,现有的流量数据的处理方法对网络安全设备的配置功能要求较高,适用场景较窄,还造成了数据处理成本的增加,降低了数据处理效率以及后续数据分析效率的技术问题,进而达到能够根据用户需求对镜像流量数据进行处理,并模拟客户端/服务端,以客户端与服务端之间交互传输的数据流形式将流量数据发送至网络安全代理设备,降低了对网络安全设备的功能需求,可适用于多种网络安全代理设备,拓展了流量数据处理的适用场景,还降低了数据处理成本,提高了数据处理效率以及后续数据分析效率的技术效果。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (9)
1.一种流量数据的处理方法,其特征在于,包括:
获取用户需求以及旁路模式下的镜像流量数据;
根据所述用户需求对所述镜像流量数据进行过滤处理,得到目标流量数据;
分别提取每个所述目标流量数据对应的IP地址信息和传输协议信息,作为所述目标流量数据的标识信息;根据所述标识信息构建多个会话,将相同标识信息的目标网络流量分类至同一会话中;所述会话内包括流入队列和流出队列;
模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送所述目标流量数据,以使得所述网络安全代理设备对所述目标流量数据进行相应的业务处理;其中,所述模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送所述目标流量数据,包括:
针对任一会话,确定所述会话所对应的标识信息中指示的源IP地址和目的IP地址;
若所述源IP地址为客户端地址,目的IP地址为服务端地址,模拟所述客户端与所述网络安全代理设备建立连接,从所述会话中的流出队列中确定第一目标流量数据,并将所述第一目标流量数据发送至所连接的网络安全代理设备;
若所述源IP地址为服务端地址,目的IP地址为客户端地址,模拟所述服务端与所述网络安全代理设备建立连接,从所述会话中的流入队列中确定第二目标流量数据,并将所述第二目标流量数据发送至所连接的网络安全代理设备。
2.根据权利要求1所述的流量数据的处理方法,其特征在于,在所述模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接的步骤之前,还包括:
提取所述目标流量数据的标识信息,根据所述标识信息对所述目标流量数据进行分类处理;
对分类处理后的所述目标流量数据进行缓存。
3.根据权利要求2所述的流量数据的处理方法,其特征在于,所述提取所述目标流量数据的标识信息,根据所述标识信息对所述目标流量数据进行分类处理,对分类处理后的所述目标流量数据进行缓存,还包括:
根据所述多个会话和分类至会话内的所述目标网络流量构建哈希表,对所述哈希表进行缓存,其中,所述哈希表中各会话对应的哈希值是根据分类至所述会话内的目标流量数据的标识信息进行确定的。
4.根据权利要求3所述的流量数据的处理方法,其特征在于,还包括:
根据所述IP地址信息确定所述目标流量数据的传输方向;
根据所述传输方向确定所述目标流量数据在所述会话中的所属队列。
5.根据权利要求3所述的流量数据的处理方法,其特征在于,还包括:
获取新增镜像流量数据并进行过滤处理,提取过滤处理后的新增镜像流量数据的标识信息;
根据所述新增镜像流量数据的标识信息对所述哈希表进行更新。
6.根据权利要求3所述的流量数据的处理方法,其特征在于,还包括:
响应于所述网络安全代理设备反馈的业务处理结果,确定所述业务处理结果中指示的脏数据;
删除所述哈希表中与所述脏数据对应的目标流量数据。
7.一种流量数据的处理装置,其特征在于,包括:
获取模块,用于获取用户需求以及旁路模式下的镜像流量数据;
过滤模块,用于根据所述用户需求对所述镜像流量数据进行过滤处理,得到目标流量数据;
会话构建模块,用于分别提取每个所述目标流量数据对应的IP地址信息和传输协议信息,作为所述目标流量数据的标识信息;根据所述标识信息构建多个会话,将相同标识信息的目标网络流量分类至同一会话中;所述会话内包括流入队列和流出队列;
模拟模块,用于模拟客户端和/或服务端与用户应用层的网络安全代理设备建立连接,并向所连接的网络安全代理设备发送所述目标流量数据,以使得所述网络安全代理设备对所述目标流量数据进行相应的业务处理;其中,模拟模块还用于:针对任一会话,确定所述会话所对应的标识信息中指示的源IP地址和目的IP地址;
若所述源IP地址为客户端地址,目的IP地址为服务端地址,模拟所述客户端与所述网络安全代理设备建立连接,从所述会话中的流出队列中确定第一目标流量数据,并将所述第一目标流量数据发送至所连接的网络安全代理设备;
若所述源IP地址为服务端地址,目的IP地址为客户端地址,模拟所述服务端与所述网络安全代理设备建立连接,从所述会话中的流入队列中确定第二目标流量数据,并将所述第二目标流量数据发送至所连接的网络安全代理设备。
8.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
9.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-6中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110728323.2A CN113364804B (zh) | 2021-06-29 | 2021-06-29 | 一种流量数据的处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110728323.2A CN113364804B (zh) | 2021-06-29 | 2021-06-29 | 一种流量数据的处理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113364804A CN113364804A (zh) | 2021-09-07 |
CN113364804B true CN113364804B (zh) | 2022-11-15 |
Family
ID=77537202
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110728323.2A Active CN113364804B (zh) | 2021-06-29 | 2021-06-29 | 一种流量数据的处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113364804B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114125030A (zh) * | 2021-11-30 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 连接跟踪方法、装置、电子设备和计算机可读存储介质 |
CN114422174B (zh) * | 2021-12-09 | 2023-07-25 | 绿盟科技集团股份有限公司 | 一种网络流量过滤方法、装置、介质和设备 |
CN116366503B (zh) * | 2023-06-02 | 2023-08-08 | 腾讯科技(深圳)有限公司 | 一种数据处理方法和相关装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152227A (zh) * | 2013-03-26 | 2013-06-12 | 北京启明星辰信息技术股份有限公司 | 一种应对网络威胁与攻击的一体化实时检测系统及方法 |
CN106330964A (zh) * | 2016-10-14 | 2017-01-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
CN106375384A (zh) * | 2016-08-28 | 2017-02-01 | 北京瑞和云图科技有限公司 | 一种虚拟网络环境中镜像网络流量的管理系统和控制方法 |
CN109327864A (zh) * | 2018-11-07 | 2019-02-12 | 杭州迪普科技股份有限公司 | 流量处理方法、装置、设备及存储介质 |
CN110750785A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 针对主机端口扫描行为的检测方法及装置 |
CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11516050B2 (en) * | 2019-06-21 | 2022-11-29 | Amazon Technologies, Inc. | Monitoring network traffic using traffic mirroring |
-
2021
- 2021-06-29 CN CN202110728323.2A patent/CN113364804B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152227A (zh) * | 2013-03-26 | 2013-06-12 | 北京启明星辰信息技术股份有限公司 | 一种应对网络威胁与攻击的一体化实时检测系统及方法 |
CN106375384A (zh) * | 2016-08-28 | 2017-02-01 | 北京瑞和云图科技有限公司 | 一种虚拟网络环境中镜像网络流量的管理系统和控制方法 |
CN106330964A (zh) * | 2016-10-14 | 2017-01-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
CN109327864A (zh) * | 2018-11-07 | 2019-02-12 | 杭州迪普科技股份有限公司 | 流量处理方法、装置、设备及存储介质 |
CN110750785A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 针对主机端口扫描行为的检测方法及装置 |
CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113364804A (zh) | 2021-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113364804B (zh) | 一种流量数据的处理方法和装置 | |
CN107241186B (zh) | 网络设备和用于网络通信的方法 | |
US9501345B1 (en) | Method and system for creating enriched log data | |
US10110707B2 (en) | Chaining virtual network function services via remote memory sharing | |
CN110719215B (zh) | 虚拟网络的流信息采集方法及装置 | |
US9331915B1 (en) | Dynamic network traffic mirroring | |
CN111124819A (zh) | 全链路监控的方法和装置 | |
WO2021164261A1 (zh) | 云网络设备的测试方法、存储介质和计算机设备 | |
CN112187491A (zh) | 服务器的管理方法、装置和设备 | |
CN113595927A (zh) | 一种旁路模式下镜像流量的处理方法和装置 | |
CN110545230B (zh) | 用于转发vxlan报文的方法和装置 | |
CN115499230A (zh) | 网络攻击检测方法和装置、设备及存储介质 | |
US11743236B2 (en) | Generating an application-based proxy auto configuration | |
JP5917678B1 (ja) | 情報処理装置、方法およびプログラム | |
US11516138B2 (en) | Determining network flow direction | |
CN111917835A (zh) | 一种监控网络数据的系统、方法和装置 | |
CN116346649A (zh) | 负载均衡设备的虚服务抓包方法及装置 | |
JP5630070B2 (ja) | 中継装置、プログラム及び方法 | |
EP3408989B1 (en) | Detecting malware on spdy connections | |
CN114928638A (zh) | 一种网络行为的解析方法、装置及监控设备 | |
CN112436951A (zh) | 一种预知流量路径的方法和装置 | |
CN114944996B (zh) | 一种数据采集方法、装置及计算机可读介质 | |
CN115277506B (zh) | 负载均衡设备测试方法及系统 | |
CN115037572B (zh) | 一种应用请求的识别方法和装置 | |
CN113810310A (zh) | 一种流量采集方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |