CN113556323B - 一种应用于企业内控的旁路无侵入流量采集系统 - Google Patents

一种应用于企业内控的旁路无侵入流量采集系统 Download PDF

Info

Publication number
CN113556323B
CN113556323B CN202110703254.XA CN202110703254A CN113556323B CN 113556323 B CN113556323 B CN 113556323B CN 202110703254 A CN202110703254 A CN 202110703254A CN 113556323 B CN113556323 B CN 113556323B
Authority
CN
China
Prior art keywords
data packet
ring
module
pkap
buffer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110703254.XA
Other languages
English (en)
Other versions
CN113556323A (zh
Inventor
黄滔
王新宇
鲁萍
王新根
陈伟
林宇静
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Bangsheng Real Time Intelligent Technology Co ltd
Original Assignee
Shenzhen Bangsheng Real Time Intelligent Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Bangsheng Real Time Intelligent Technology Co ltd filed Critical Shenzhen Bangsheng Real Time Intelligent Technology Co ltd
Priority to CN202110703254.XA priority Critical patent/CN113556323B/zh
Publication of CN113556323A publication Critical patent/CN113556323A/zh
Application granted granted Critical
Publication of CN113556323B publication Critical patent/CN113556323B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明公开了一种应用于企业内控的旁路无侵入流量采集系统,该系统用于企业内部的敏感信息防控,针对英特尔万兆网卡进行旁路流量采集,所述系统实现以下四个功能,包括响应网卡镜像端口mirror port传输的数据包;选取数据包放入到PKAP‑enabled PF_RING环形缓冲区中;将数据包写入到高速缓冲区Buffer Cache中;过滤数据包中无用数据写入到外部存储器中。后续基于此流量采集系统,结合规则引擎和计算引擎进行实时指标计算判断操作是否会导致敏感信息泄露,实现企业内部安全的防护。本发明系统无需在用户态与内核态间进行切换,且在整个过程中只有进行一次数据拷贝,实时准确地对企业内部流量数据进行采集,加强企业内部防止敏感信息泄露的能力。

Description

一种应用于企业内控的旁路无侵入流量采集系统
技术领域
本发明涉及信息安全领域,尤其涉及了一种应用于企业内控的旁路无侵入流量采集系统,应用于英特尔万兆网卡只在计算机内核态进行的流量采集,有效避免了一般旁路流量方法在用户态与内核态切换造成的网络延迟与内存消耗。本发明主要适用于英特尔万兆网卡,尤其是基于http协议的网络流量传输。
背景技术
互联网时代,企业内部信息化程度较高,特别是许多关键业务均已实现网络化,这给企业内部管理带来便利的同时也存在一定的风险。企业不仅会受到来自外部流量的恶意攻击,内部员工的不慎操作导致企业敏感信息泄露也使得企业财产受到严重侵害,而在庞大快速的网络流量中寻找恶意攻击和违规操作等行为并非一件易事,这给企业信息安全带来了严峻挑战。例如铁路内部系统担负客户隐私保护的责任,若隐私被轻易窃取将会导致重大的社会安全问题;银行内部系统保障着千万家庭的财产安全,所有相关操作都应该谨慎进行防止违规篡改。在对网络流量进行检测时,大量流量的涌入也会造成一定程度的丢包与网络延迟,为了不干扰业务系统的正常使用还会在备份流量时造成一定内存占用,这就需要旁路流量采集方法在降低对业务系统侵入的同时实现低延时、低丢包率与低内存消耗。
当前企业Linux系统下旁路流量采集方法主要分为两种,一种是在线的实时分析,也就是在数据包到达被检索时直接对其进行分析,在网络会话中进行详细的上下文相关分析以检测网络入侵,但是这种方法会对当前的网络会话造成影响,因此对网络流量进行在线的研究也主要是为了加快第二种流量采集的速度;另一种是通过网络适配器将流量备份到硬盘中进行离线分析,这种方法不会侵入到当前的网络会话中,但是万兆网卡中大量数据涌入会对备份的速度与性能造成影响。问题在于保证业务系统网络会话不受侵入影响的同时保证流量采集分析的性能与速率。
当前企业Linux系统下旁路流量采集的主要工具都是基于开源网络数据包捕获函数库libpcap的:
1)Sniffer:Sniffer是利用计算机的网络结构截获目的地为其它计算机的数据报文的一种工具,主要用于分析网络的流量以找出所关心的网络中潜在的问题。在合理的网络中,系统管理员通过Sniffer可以诊断出大量的不可见模糊问题,包括多台计算机间的异常通讯甚至牵扯到的各种协议。
2)Wireshark:Wireshark是目前使用最广泛的网络封包分析软件之一,它使用WinPCAP作为接口,直接与网卡进行数据包交换,Wireshark还提供了默认图形界面,通过图形界面,开发者能够更便捷的搜索查看数据包内容。
上述两种网络流量分析工具的抓包过程都是基于libpcap的,针对通过网络适配器将流量备份到硬盘中进行离线分析这一情况,下述的抓包过程均是在这一情况下,因为libpcap需要再将一份数据从内核态备份到用户态进行读写,需要在系统中进行内核态到用户态间的相互切换,将造成一定的时间与内存的消耗。在英特尔万兆网卡下,当数据流量足够大时,将有数量巨大的数据包需要进行备份,系统将在内核态与用户态间频繁的进行切换,数据也将频繁的从内核态备份到用户态中,这将会造成一定的丢包率和过高的内存占用,不利于对旁路流量进行采集分析并会降低系统存储性能。
发明内容
针对当前企业网络流量采集分析方法存在的问题,本发明提出了一种应用于企业内控的旁路无侵入流量采集系统,适用于英特尔万兆网卡,在抓取数据包后只需在操作系统的内核态对数据包进行备份分析,而无需在内核态与用户态间进行切换,大大降低了系统的处理延时与内存消耗。
本发明具体方案为:一种应用于企业内控的旁路无侵入流量采集系统,该系统包括英特尔万兆网卡,直接寄存器缓冲区DMA Buffer,高速缓冲区Buffer Cache、网卡驱动模块、修改pf_ring获得的PKAP-enabled PF_RING环形缓冲区模块、提供将流量从英特尔万兆网卡备份到硬盘功能的内核线程PKAP模块、文件系统驱动模块以及内核守护线程PDFlush模块。
当英特尔万兆网卡接收到一个数据包后,首先通过中断请求IRQ告知CPU有报文到来,网卡驱动模块通过镜像端口mirror port备份一份接收的数据包到DMA Buffer中,然后网卡驱动模块通过NAPI机制对DMA Buffer中数据包到达事件采用轮询和中断综合的方式进行处理,并通过写指针将网络传输设备对应队列中最前面的事件写入到PKAP-enabledPF_RING环形缓冲区模块中,最后通过读指针、内核线程PKAP模块和文件系统驱动模块直接实现在内核态中将环形缓冲区模块的备份后的数据包写入到高速缓冲区Buffer Cache中,内核守护线程PDFlush模块负责将其中脏数据导出到存储器上。
进一步地,所述修改pf_ring获得的PKAP-enabled PF_RING环形缓冲区模块具体过程如下:
(1)修改setsockopt()函数代码,通过导出一个指针指向PF_RING使得PKAP线程能够启用已初始化的PKAP-enabled PF_RING环形缓冲区;
(2)标记PKAP-enabled PF_RING环形缓冲区模块,使得内核态中能将数据包写入PKAP-enabled PF_RING环形缓冲区模块。
进一步地,所述网卡驱动模块通过NAPI机制对数据包到达事件采用轮询和中断综合的方式进行处理具体过程如下:在数据包事件连续到达时采用轮询机制,时刻占用cpu而不会通过中断造成更多的时间消耗;在数据包事件间歇到达时采用中断机制,仅通过中断实现数据包的切换而不会造成一直占用cpu事件。
进一步地,其特征在于,所述文件系统驱动模块使得Linux系统能在内核态直接写入数据包而无需切换到用户态,通过直接调用驱动中的write()函数绕过了虚拟文件系统中调用vfs_write()函数中不必要的条件检查,同时借助file_open()函数调用来确保最初条件的满足而无需在之后的每次写入再进行条件检查。
本发明的有益效果:应用于企业内控的旁路无侵入流量采集系统有以下几个技术特点:
1)在整个流量采集过程中,只进行从网卡到DMA Buffer的这一次数据包备份,同时整个采集过程系统只处于内核态,无需进行用户态到内核态的切换,节省了系统内存空间和时间消耗;对于数据包的处理仅在备份的数据包上进行,不会影响原业务系统的流量运行,降低了对业务系统的侵入。
2)采用NAPI机制:在数据包事件密集到达时采用轮询机制,时刻占用cpu而不会通过中断造成大量的时间消耗;在数据包事件稀疏到达时采用中断机制,仅通过中断实现数据包的切换而不会造成一直占用cpu事件。
3)采取pf_ring模式:为每个pf_ring套接字分配一个环形缓冲区,当数据包到达网卡时就可以将其放入环形缓冲区,新数据包可以覆盖读取过的数据包,减少了内存拷贝的次数。并且原pf_ring是可以被用户态和内核态同时访问的,其内核态到用户态的切换是由用户空间的应用使用造成的,因此只需对其模式进行简单修改,通过内核线程PKAP进行读取就避免了内核态到用户态的切换,节省了系统的时间开销。
附图说明
图1为本发明基于PKAP-enabled PF_RING的旁路流量采集系统架构;
图2为实施例中基于PF_RING的旁路流量采集系统架构。
具体实施方式
如图1所示,本发明提供了一种应用于企业内控的旁路无侵入流量采集系统,该系统包括英特尔万兆网卡,直接寄存器缓冲区DMA Buffer,高速缓冲区Buffer Cache、网卡驱动模块、修改pf_ring获得的PKAP-enabled PF_RING环形缓冲区模块、提供将流量从英特尔万兆网卡备份到硬盘功能的内核线程PKAP模块、文件系统驱动模块以及内核守护线程PDFlush模块。具体实施过程如下::
1)在英特尔万兆网卡接收到一个数据包后,通过中断请求IRQ告知CPU有新数据包到达,在中断程序中会进行以下操作:
i.在直接寄存器中分配一个缓冲区DMA Buffer,通过镜像端口mirror port把接收到的数据包拷贝进去,并对缓冲区结构内的参数做初始化告知高层协议数据类型。
ii.通过NAPI机制,调用netif_rx_schedule函数将数据包中的网络传输设备帧存放在网络传输设备队列中。
2)网卡驱动程序将网络传输设备排入轮询列表pop_list并执行net_rx_action函数,浏览pop_list各个入口队列的数据,执行poll函数。如果此时网络传输设备队列中对应设备已经接收了多个数据包,可以一次性处理。如果此刻所接收到的数据包都已经处理完,但驱动程序预判网卡在很短的一段时间内还将收到数据包,就会将网络传输设备帧留在poll_list中,处于轮询状态,避免了断带来的开销,否则网络传输设备帧会退出poll_list同时打开网络传输设备的中断服务。
3)将数据包写入到PKAP-enabled PF_RING模块中,通过内核线程PKAP以及文件系统驱动模块直接将数据包存入到Buffer Cache中。
所述PKAP-enabled PF_RING模块通过修改libpcap库的PF_RING实现:
i.修改setsockopt()函数代码,通过导出一个指针指向PF_RING使得PKAP线程能够启用已初始化的PKAP-enabled PF_RING环形缓冲区,代码如下所示:
Figure BDA0003131054880000041
Figure BDA0003131054880000051
ii.在/proc文件系统报告标记PKAP-enabled PF_RING这一环形缓冲区模块,作为内核态能写入PKAP-enabled PF_RING内数据包的基础,其代码如下:
Figure BDA0003131054880000052
Linux系统为了保护系统安全一般禁止在内核态直接进行写入,所述文件系统驱动使得Linux系统能在内核态直接写入数据包而无需切换到用户态,通过直接调用驱动中的write()函数绕过了虚拟文件系统中调用vfs_write()函数中不必要的条件检查,同时借助file_open()函数调用来确保最初条件的满足而无需在之后的每次写入再进行条件检查,其修改代码如下:
struct file*log_file;
/*最初方法*/
nbytes=vfs_write(log_file,packet,sf_hdr.caplen+sizeof(sf_hdr),&log_file->f_pos);
/*修改后方法*/
nbytes=log_file->f_op->write(log_file,bktdata,hdr->caplen,&log_file->f_pos);
4)在对Buffer Cache中的数据包进行规则过滤后,通过Linux内核守护线程PDFlush将数据包中脏页从Buffer Cache写入到外部存储设备中。
实施例:
本发明将以一个具体实施例方式,对上述应用于企业内控的旁路无侵入流量采集系统进行进一步的说明。
某企业内部网络中相关设备如下:
网卡为英特尔万兆网卡;
CPU为Intel(R)Xeon(R)Silver 4210R CPU@2.40GHz;
内存为250G;
硬盘驱动为Internal 2.5inch SATA System Drive;
假设此企业每小时均有1TB的网络流量产生,其网络产生的数据包最小为64B,最大为1500B。企业开始使用的是基于PF_RING的旁路流量采集系统,后改用PKAP-enabledPF_RING旁路流量采集系统,原系统架构如图2所示,本发明系统架构如图1所示:
现到来一个系统文件,由于企业内控需要要对这个文件进行敏感操作检测,但是由于此线路网络本身负载较高不希望影响到现有业务系统的流量进出和性能,需要使用到旁路流量采集系统架构,文件定义如下所示:
Struct file{
struct list_head f_list;
struct dentry*f_dentry;
struct vfsmount*f_vfsmnt;
struct file_operations*f_op;
atomic_t f_count;
unsigned int f_flags;
mode_t f_mode;
loff_t f_pos;
unsigned long f_reada,f_ramax,f_raend,f_ralen,f_rawin;
struct fown_struct f_owner;
unsigned int f_uid,f_gid;
int f_error;
size_t f_maxcount;
unsigned long f_version;
void*private_data;
struct kiobuf*f_iobuf;
long f_iobuf_lock;
};
分别使用前后两个系统对此文件传输过程中的流量进行采集,在此过程中两个系统的性能对比如表1所示:
表1基于PKAP-enabled PF_RING与基于PF_RING的旁路流量采集系统性能对比
Figure BDA0003131054880000071
从表1中,对比原有基于PF_RING的旁路流量采集系统,基于PKAP-enabled PF_RING的旁路流量采集系统在流量采集过程中有着更低的丢包率及内存占有量,并且有更高的CPU使用效率。
基于PKAP-enabled PF_RING的旁路流量采集系统,企业可对旁路流量进行正则过滤后将数据包存入到Buffer Cache中,然后可依据数据包的不同渠道来源将流量推送到Kafka中间件中,最后使用规则引擎与计算引擎读取并计算Kafka探头数据的实时指标。通过对数据包抓取后进行分析,实现该文件流量传输过程中的风险判断,判断操作是否会导致敏感信息泄露。
综上所述,该应用于企业内控的旁路无侵入流量采集系统能够在保证不对业务系统产生入侵的前提下,对比原系统丢包率降低61%,CPU利用率提升14%,内存占有率降低16%,大大提升了系统性能和防止敏感信息泄露的能力。
上述实施例用来解释说明本发明,而不是对本发明进行限制,在本发明的精神和权利要求的保护范围内,对本发明作出的任何修改和改变,都落入本发明的保护范围。

Claims (2)

1.一种应用于企业内控的旁路无侵入流量采集系统,其特征在于,该系统包括英特尔万兆网卡,直接寄存器缓冲区DMA Buffer,高速缓冲区Buffer Cache、网卡驱动模块、修改pf_ring获得的PKAP-enabled PF_RING环形缓冲区模块、提供将流量从英特尔万兆网卡备份到硬盘功能的内核线程PKAP模块、文件系统驱动模块以及内核守护线程PDFlush模块;所述修改pf_ring获得的PKAP-enabled PF_RING环形缓冲区模块具体过程如下:
(1)导出一个指针指向PF_RING使得PKAP线程能够启用已初始化的PKAP-enabled PF_RING环形缓冲区;
(2)标记PKAP-enabled PF_RING环形缓冲区模块,使得内核态中能将数据包写入PKAP-enabled PF_RING环形缓冲区模块;
当英特尔万兆网卡接收到一个数据包后,首先通过中断请求IRQ告知CPU有报文到来,网卡驱动模块通过镜像端口mirror port备份一份接收的数据包到DMA Buffer中,然后网卡驱动模块通过NAPI机制对DMA Buffer中数据包到达事件采用轮询和中断综合的方式进行处理,并通过写指针将网络传输设备对应队列最前面的事件写入到PKAP-enabled PF_RING环形缓冲区模块中,最后通过读指针、内核线程PKAP模块和文件系统驱动模块直接实现在内核态中将环形缓冲区模块的备份后的数据包写入到高速缓冲区Buffer Cache中,内核守护线程PDFlush模块负责将其中脏数据导出到存储器上;所述文件系统驱动模块使得Linux系统能在内核态直接写入数据包而无需切换到用户态,通过直接调用驱动中的write()函数绕过了虚拟文件系统中调用vfs_write()函数中不必要的条件检查,同时借助file_open()函数调用来确保最初条件的满足而无需在之后的每次写入再进行条件检查。
2.根据权利要求1所述的一种应用于企业内控的旁路无侵入流量采集系统,其特征在于,所述网卡驱动模块通过NAPI机制对数据包到达事件采用轮询和中断综合的方式进行处理具体过程如下:在数据包事件连续到达时采用轮询机制,时刻占用cpu而不会通过中断造成更多的时间消耗;在数据包事件间歇到达时采用中断机制,仅通过中断实现数据包的切换而不会造成一直占用cpu事件。
CN202110703254.XA 2021-06-24 2021-06-24 一种应用于企业内控的旁路无侵入流量采集系统 Active CN113556323B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110703254.XA CN113556323B (zh) 2021-06-24 2021-06-24 一种应用于企业内控的旁路无侵入流量采集系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110703254.XA CN113556323B (zh) 2021-06-24 2021-06-24 一种应用于企业内控的旁路无侵入流量采集系统

Publications (2)

Publication Number Publication Date
CN113556323A CN113556323A (zh) 2021-10-26
CN113556323B true CN113556323B (zh) 2023-04-07

Family

ID=78102357

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110703254.XA Active CN113556323B (zh) 2021-06-24 2021-06-24 一种应用于企业内控的旁路无侵入流量采集系统

Country Status (1)

Country Link
CN (1) CN113556323B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101556578A (zh) * 2009-05-12 2009-10-14 南京师范大学 一种gis矢量数据文件访问控制方法
CN102497434A (zh) * 2011-12-16 2012-06-13 中国科学院计算技术研究所 内核态虚拟网络设备的建立方法、及其包发送和接收方法
CN110377436A (zh) * 2019-07-12 2019-10-25 清华大学 持久性内存的数据存储访问方法、设备及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7895635B2 (en) * 2006-06-30 2011-02-22 Versteeg William C Systems and methods of assembling an elementary stream from an encapsulated multimedia transport stream
CN101226488B (zh) * 2008-01-25 2010-06-02 中兴通讯股份有限公司 多实例应用程序在内核态地址空间冲突的解决方法及系统
CN103312601B (zh) * 2013-05-31 2017-04-19 汉柏科技有限公司 用户态到内核态的数据报文处理方法
GB2536215B (en) * 2015-03-05 2018-01-31 Samsung Electronics Co Ltd Secure input mode for user device
WO2019127134A1 (zh) * 2017-12-27 2019-07-04 华为技术有限公司 一种数据传送的方法和虚拟交换机
WO2020010556A1 (zh) * 2018-07-11 2020-01-16 华为技术有限公司 增强用户空间与内核空间的隔离性的方法和装置
CN112671648A (zh) * 2020-12-22 2021-04-16 北京浪潮数据技术有限公司 一种sdn网络数据传输方法、sdn网络、设备及介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101556578A (zh) * 2009-05-12 2009-10-14 南京师范大学 一种gis矢量数据文件访问控制方法
CN102497434A (zh) * 2011-12-16 2012-06-13 中国科学院计算技术研究所 内核态虚拟网络设备的建立方法、及其包发送和接收方法
CN110377436A (zh) * 2019-07-12 2019-10-25 清华大学 持久性内存的数据存储访问方法、设备及装置

Also Published As

Publication number Publication date
CN113556323A (zh) 2021-10-26

Similar Documents

Publication Publication Date Title
CN110753064B (zh) 机器学习和规则匹配融合的安全检测系统
US8141159B2 (en) Method and system for protecting confidential information
US20090013407A1 (en) Intrusion detection system/intrusion prevention system with enhanced performance
US7698548B2 (en) Communications traffic segregation for security purposes
CN104038466B (zh) 用于云计算环境的入侵检测系统、方法及设备
JP2007507763A (ja) 高性能のネットワーク内容解析プラットフォーム
US20040111637A1 (en) Method and system for responding to a computer intrusion
WO2014198171A1 (zh) 基于标签的安卓用户隐私泄露黑盒检测方法及系统
CN109309626A (zh) 一种基于dpdk的高速网络数据包捕获分流及缓存方法
CN110311925B (zh) DDoS反射型攻击的检测方法及装置、计算机设备与可读介质
CN108989151B (zh) 用于网络或应用性能管理的流量采集方法
Aurangzeb et al. On the classification of Microsoft-Windows ransomware using hardware profile
US11977494B2 (en) Providing a secure communication channel between kernel and user mode components
CN111600852A (zh) 一种基于可编程数据平面的防火墙设计方法
CN114025018A (zh) 数据处理方法、装置、网络设备及计算机可读存储介质
CN111786986B (zh) 一种数控系统网络入侵防范系统及方法
CN106789954A (zh) 一种基于多cpu的ddos攻击识别的方法和装置
CN110865866B (zh) 一种基于自省技术的虚拟机安全检测方法
CN111641589A (zh) 高级可持续威胁检测方法、系统、计算机以及存储介质
CN113556323B (zh) 一种应用于企业内控的旁路无侵入流量采集系统
CN108737373B (zh) 一种针对大型网络设备隐匿技术的安全取证方法
CN114707144A (zh) 虚拟机逃逸行为检测方法及装置
US20210359977A1 (en) Detecting and mitigating zero-day attacks
US20050060583A1 (en) System and method for advanced intrusion avoidance
JP2007249304A (ja) 情報処理装置、機密データ監視方法およびプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant