CN113765844B - 一种加密正常流量的过滤方法、装置和电子设备 - Google Patents

一种加密正常流量的过滤方法、装置和电子设备 Download PDF

Info

Publication number
CN113765844B
CN113765844B CN202010485335.2A CN202010485335A CN113765844B CN 113765844 B CN113765844 B CN 113765844B CN 202010485335 A CN202010485335 A CN 202010485335A CN 113765844 B CN113765844 B CN 113765844B
Authority
CN
China
Prior art keywords
data
filtering
quintuple
rule
tuple
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010485335.2A
Other languages
English (en)
Other versions
CN113765844A (zh
Inventor
请求不公布姓名
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jike Xin'an Beijing Technology Co ltd
Original Assignee
Jike Xin'an Beijing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jike Xin'an Beijing Technology Co ltd filed Critical Jike Xin'an Beijing Technology Co ltd
Priority to CN202010485335.2A priority Critical patent/CN113765844B/zh
Publication of CN113765844A publication Critical patent/CN113765844A/zh
Application granted granted Critical
Publication of CN113765844B publication Critical patent/CN113765844B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明提供了一种加密正常流量的过滤方法、装置和电子设备,所述方法包括:提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据;基于预先确定的五元组规则,对所述待过滤五元组数据进行过滤;基于预先确定的三元组规则,对所述待过滤五元组数据进行过滤;经过所述五元组规则和三元组规则过滤,获得加密正常流量的过滤数据。本发明可以更加全面的过滤大部分正常加密流量,生成规则客观稳定,采用多层次的规则过滤方法,降低了深度过滤的压力,效率更加有保障。

Description

一种加密正常流量的过滤方法、装置和电子设备
技术领域
本发明涉及计算机技术领域,具体而言,涉及一种加密正常流量的过滤方法、装置和电子设备。
背景技术
网络通信是当前几乎所有企业和个人都会涉及的信息应用,随着企业以及个人用户对于信息安全的重视程度越来越高,当前网络通信中加密技术的使用场景越来越多。网络通信中加密技术,即通过加密方法让通信内容无法被网络上除通信双方之外的其他用户识别。
与此同时,各类恶意程序如网络木马、蠕虫等在与控制端进行通信时,为了躲避网络检测设备的识别,往往也采用加密流量通信。这就造成了正常加密流量与恶意加密流量无法区分的问题。为网络安全检测带来了很大的挑战。目前恶意加密流量检测往往采用机器学习等智能化方法进行检测,该类检测方法的准确性与检测模型的复杂性息息相关,因此,如果存在大量的加密流量需要进行精细模型检测,则效率无法保证。
况且,随着CDN、反向代理等技术的广泛应用,IP+端口无法准确描述一个服务是否为正常服务,有可能一个“IP+端口”元组对应多个正常服务和异常服务,这就导致以此标识的数据流既有正常数据也有异常数据;
这就决定了加密技术的应用,如果只是基于文本规则的过滤方法很难提取有效的对应字段,基于数据流内容的方法在加密流量过滤中难以适用;
另外,各类规则一般都是基于专家经验制定,过滤的准确性与人的经验有很大关系,容易造成规则失效。
为此,需要一些轻量级的方法对加密数据流中的白流量进行预处理,去掉无需智能化分析的大部分正常流量。这些方法可以是基于规则的,效率远高于智能化方法,但是规则本身的制定存在挑战性。因此,目前急需一种能够对加密正常流量进行有效过滤的方法。
发明内容
本发明的目的在于提供一种加密正常流量的过滤方法、装置、介质和电子设备,能够解决上述提到的至少一个技术问题。具体方案如下:
根据本发明的具体实施方式,第一方面,本发明提供一种加密正常流量的过滤方法,包括:
提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据,其中,所述元数据包括:服务端IP、服务端口、SNI、数字证书哈希值;所述待过滤五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;
基于预先确定的五元组规则,对所述待过滤五元组数据进行过滤;
基于预先确定的三元组规则,对所述待过滤五元组数据进行过滤;
经过所述五元组规则和三元组规则过滤,获得加密正常流量的过滤数据。
可选的,所述提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据,包括:
提取服务端IP、服务端口、SNI、数字证书;
对所述数字证书进行哈希计算,获得数字证书哈希值;
将所述服务端IP、服务端口、SNI、数字证书哈希值共同作为Key值,对所述Key值在第一设定时间段内出现的数据流数进行统计,得到所述第一设定时间段内的数据流计数;
由所述服务端IP、服务端口、SNI、数字证书哈希值和数据流计数构成所述待过滤五元组数据。
可选的,所述预先确定的五元组规则,包括:
提取会话层流量过滤所需的元数据,对所述元数据进行统计得到基准五元组数据,其中,所述基准五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;
基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则。
可选的,所述基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则,包括:
对所述数字证书进行验证,得到非法数字证书;通过对所述非法数字证书进行哈希计算,获得非法数字证书哈希值;基于所述非法数字证书哈希值过滤所述基准五元组数据,将过滤掉的所述基准五元组数据中的所述服务IP和服务端口放入回溯数据集;以及,
基于预先确定的知名域名库,对所述基准五元组数据中的SNI主机域名信息进行过滤,得到非知名域名;将过滤掉的所述基准五元组数据中的所述服务IP和服务端口放入所述回溯数据集;
基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据构建五元组过滤的规则。
可选的,所述预先确定的三元组规则,包括:
将构建五元组过滤的规则过程中未过滤掉的所述基准五元组数据进行归并,形成基准三元组数据,其中,所述基准三元组数据包括:服务IP、服务端口以及数据流计数;所述基准三元组数据中的数据流计数为被归并所述基准五元组数据中的数据流计数之和;
基于所述基准三元组数据构建三元组过滤的规则。
可选的,所述将构建五元组过滤的规则过程中未过滤掉的所述基准五元组数据进行归并,包括:
将构建五元组过滤的规则过程中未过滤掉的所述基准五元组数据中,所述服务IP和服务端口相同的归并为一组。
可选的,还包括:所述基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据构建五元组过滤的规则,包括:
基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据中的数据流计数确定第一阈值;
对于所述数据流计数小于所述第一阈值的所述基准五元组数据进行过滤。
可选的,还包括:所述基于所述基准三元组数据构建三元组过滤的规则,包括:
基于所述基准三元组数据中的数据流计数确定第二阈值;
对于所述数据流计数小于所述第二阈值的所述基准五元组数据进行过滤。
根据本发明的具体实施方式,第二方面,本发明提供一种加密正常流量的过滤装置,包括:提取单元601、五元组单元602、三元组单元603和获取单元604;
所述提取单元601,提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据,其中,所述元数据包括:服务端IP、服务端口、SNI、数字证书哈希值;所述待过滤五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;
所述五元组单元602,基于预先设确定的五元组规则,对所述待过滤五元组数据进行过滤;
所述三元组单元603,基于预先设定确定的三元组规则,对所述待过滤五元组数据进行过滤;
所述获取单元604,经过所述五元组规则和三元组规则过滤,获得加密正常流量的过滤数据。
可选的,所述提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据,包括:
提取服务端IP、服务端口、SNI、数字证书;
对所述数字证书进行哈希计算,获得数字证书哈希值;
将所述服务端IP、服务端口、SNI、数字证书哈希值共同作为Key值,对所述Key值在第一设定时间段内出现的数据流数进行统计,得到所述第一设定时间段内的数据流计数;
由所述服务端IP、服务端口、SNI、数字证书哈希值和数据流计数构成所述待过滤五元组数据。
可选的,所述预先确定的五元组规则,包括:
提取会话层流量过滤所需的元数据,对所述元数据进行统计得到基准五元组数据,其中,所述基准五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;
基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则。
可选的,所述基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则,包括:
对所述数字证书进行验证,得到非法数字证书;通过对所述非法数字证书进行哈希计算,获得非法数字证书哈希值;基于所述非法数字证书哈希值过滤所述基准五元组数据,将过滤掉的所述基准五元组数据中的所述服务IP和服务端口放入回溯数据集;以及,
基于预先确定的知名域名库,对所述基准五元组数据中的SNI主机域名信息进行过滤,得到非知名域名;将过滤掉的所述基准五元组数据中的所述服务IP和服务端口放入所述回溯数据集;
基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据构建五元组过滤的规则。
可选的,所述预先确定的三元组规则,包括:
将构建五元组过滤的规则过程中未过滤掉的所述基准五元组数据进行归并,形成基准三元组数据,其中,所述基准三元组数据包括:服务IP、服务端口以及数据流计数;所述基准三元组数据中的数据流计数为被归并所述基准五元组数据中的数据流计数之和;
基于所述基准三元组数据构建三元组过滤的规则。
可选的,所述将构建五元组过滤的规则过程中未过滤掉的所述基准五元组数据进行归并,包括:
将构建五元组过滤的规则过程中未过滤掉的所述基准五元组数据中,所述服务IP和服务端口相同的归并为一组。
可选的,还包括:所述基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据构建五元组过滤的规则,包括:
基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据中的数据流计数确定第一阈值;
对于所述数据流计数小于所述第一阈值的所述基准五元组数据进行过滤。
可选的,还包括:所述基于所述基准三元组数据构建三元组过滤的规则,包括:
基于所述基准三元组数据中的数据流计数确定第二阈值;
对于所述数据流计数小于所述第二阈值的所述基准五元组数据进行过滤。
根据本发明的具体实施方式,第三方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上任一项所述的对文档中的内容进行编辑的方法。
根据本发明的具体实施方式,第四方面,本发明提供一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上任一项所述的对文档中的内容进行编辑的方法。
本发明实施例的上述方案与现有技术相比,至少具有以下有益效果:
本发明利用基于层次化数据分析自动化生成的规则,可以更加全面的过滤大部分正常加密流量,该方法不依赖于人的经验,基于网络的基本统计数据进行规则定义,生成规则比较稳定。
该方法采用多层次的规则生成与过滤方法,首先利用简单的传输层规则进行过滤,然后利用会话层和应用层规则进行进一步深度过滤,降低了深度过滤的压力,效率更加有保障。
该层次化过滤方法可以基于不同场景进行扩展,针对提取的元数据不同和场景不同可以基于同一规则生成框架扩展新的规则。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1示出了根据本发明实施例的一种加密正常流量的过滤方法流程图;
图2示出了根据本发明实施例的一种统计得到待过滤五元组数据的示意图;
图3示出了根据本发明实施例的一种基于预先确定的五元组规则,对待过滤五元组数据进行过滤的示意图;
图4示出了根据本发明实施例的一种确定五元组规则的示意图;
图5示出了根据本发明实施例的一种基于预先确定的三元组规则,对待过滤五元组数据进行过滤的示意图;
图6示出了根据本发明实施例的一种加密正常流量的过滤装置示意图;
图7示出了根据本发明的实施例一种电子设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应当理解,尽管在本发明实施例中可能采用术语第一、第二、第三等来描述……,但这些……不应限于这些术语。这些术语仅用来将……区分开。例如,在不脱离本发明实施例范围的情况下,第一……也可以被称为第二……,类似地,第二……也可以被称为第一……。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者装置中还存在另外的相同要素。
下面结合附图详细说明本发明的可选实施例。
实施例1
如图1所示,根据本发明的具体实施方式,第一方面,本发明提供一种加密正常流量的过滤方法,包括:
步骤S101:提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据;具体包括如下子步骤:
步骤S1011:提取服务端IP、服务端口、SNI、数字证书;如图2所示。
其中,会话层,是指一种网络传输安全协议,会话层建立在传输层之上,利用传输层提供的服务,使应用建立和维持会话,并能使会话获得同步;元数据是指基于网络通讯的通讯数据流中包括的基本数据,包括但不限于:服务端IP、服务端口、SNI、数字证书等等。
其中,SNI,是Server Name Indication的简称,是一项用于改善SSL/TLS的技术,这里指主机相关信息;数字证书,是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印,或者说加在数字身份证上的一个签名,它是由权威机构--CA机构,又称为证书授权中心发行的,人们可以在网上用它来识别对方的身份。
步骤S1012:对所述数字证书进行哈希计算,获得数字证书哈希值;
其中,对所述数字证书采用哈希计算,目的是为了利用哈希值来标记数字证书。
步骤S1013:将所述服务端IP、服务端口、SNI、数字证书哈希值共同作为Key值,对所述Key值在第一设定时间段内出现的数据流数进行统计,得到所述第一设定时间段内的数据流计数;
其中,利用服务端IP、服务端口、SNI和数字证书哈希值这几项共同作为Key值,通过对一个Key值在单位时间内,进行统计得到该Key值在单位时间内数据流中出现的数据流计数,那么,对若干个Key值在一段时间内进行统计,便得到一系列的数据流计数。
步骤S1014:由所述服务端IP、服务端口、SNI、数字证书哈希值和数据流计数构成待过滤五元组数据。
其中,由服务端IP、服务端口、SNI、数字证书哈希值和数据流计数构成一组待过滤五元组数据,每组待过滤五元组数据包括一个数据流计数。由多组的服务端IP、服务端口、SNI、数字证书哈希值和数据流计数在一段时间内构成一系列的待过滤五元组数据。
作为一种示例,例如五元组包括:
<ip1,端口1,证书1,SNI1,15>
<ip1,端口1,证书2,SNI3,20>
<ip1,端口2,证书1,SNI2,15>
<ip1,端口2,证书3,SNI5,25>。
步骤S102:基于预先确定的五元组规则,对所述待过滤五元组数据进行过滤;如图3所示。
该步骤是对步骤S101获取到的待过滤五元组数据进行的一步过滤,对是否先采用五元组规则过滤不做限定,本实施例以先进行五元组过滤为例进行描述。
其中,确定五元组规则的方法包括如下步骤:
步骤S1021:提取会话层流量过滤所需的元数据,对所述元数据进行统计得到基准五元组数据,其中,所述基准五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;
步骤S1022:基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则。
该步骤中,基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则具体包括:如图4所示。
步骤S10221:对所述数字证书进行验证,得到非法数字证书;通过对所述非法数字证书进行哈希计算,获得非法数字证书哈希值;基于所述非法数字证书哈希值过滤所述基准五元组数据,将过滤掉的所述基准五元组数据中的所述服务IP和服务端口放入回溯数据集;
其中,对数字证书的验证是一个较为消耗资源的密码学验证过程,需要验证数字证书签发的合法性、是否过期、是否为有效CA签发等。若出现不合法性、过期、非有效CA签发等的数字证书,则判定为非法数字证书。
为了降低资源消耗,对统计一段时段内的数字证书进行归并,将不同种类的数字证书分别归类,并以其哈希值进行标记,然后对不同的数字证书进行验证,最后按照哈希值去标记每个五元组中对应的证书是否为合法证书;将合法数字证书标记为数字证书哈希值,将非法数字证书标记为非法数字证书哈希值。
然后以非法数字证书哈希值为比较对象,过滤所述基准五元组数据,将过滤掉的所述基准五元组数据中的所述服务IP和服务端口放入回溯数据集;例如通过非法数字证书哈希值<证书1>过滤基准五元组数据<ip1,端口1,证书1,SNI1,15>,过滤掉该基准五元组数据后,将该基准五元组数据中的<ip1,端口1>两个参数放入回溯数据集,其中所述回溯数据集是一个存放服务IP和服务端口的二元数据集。
以上完成了五元组过滤规则当中的第一步过滤,即完成了通过非法数字证书信息对五元组的过滤。
步骤S10222:基于预先确定的知名域名库,对所述基准五元组数据中的SNI主机域名信息进行过滤,得到非知名域名;将过滤掉的所述基准五元组数据中的所述服务IP和服务端口放入所述回溯数据集;
其中,SNI对应的一般是具体域名,一个顶级域可以对应多个SNI值,因此检索过程中应当利用顶级域数据作为字串来标记所有的SNI信息,相当于使用带有顶级域数据的字符串去标记所有的具体域名的SNI信息。因此需要提前对所有SNI信息进行归并,首先,建立SNI与五元组之间的对应索引,相同的SNI只需比较一次,然后将比较结果对应返回给多个五元组。
其中,知名域名库是预先确定的,例如确定官网域名来确定知名域名库,通过对SNI主机域名信息与知名域名库进行比对后,过滤出非知名域名,并将这些非知名域名所在的基准五元组数据中的所述服务IP和服务端口放入上述步骤S10221所述的回溯数据集中,同时删除这些相应五元组。
步骤S10223:基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据构建五元组过滤规则。
作为一种示例,例如所述回溯数据集包括了通过非法数字证书信息和SNI主机域名信息过滤掉的五元组数据中的服务IP和服务端口,此时将回溯数据集中的服务IP和服务端口对应的原五元组输出,就形成了五元组过滤规则,通过该形成的五元组对后续采集到的五元组进行过滤。例如五元组过滤规则包括:<ip1,端口1,证书1,SNI1,15>,<ip2,端口2,证书2,SNI3,20>,<ip3,端口3,证书1,SNI2,15>。
作为可选的实施方式,还可以包括如下的步骤:
第一、基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据中的数据流计数确定第一阈值;
其中,如果在所有的基准五元组中发现回溯数据集中的二元组,则将该基准五元组过滤掉;基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据中的数据流计数确定第一阈值;
如上举例,形成的五元组过滤规则包括<ip1,端口1,证书1,SNI1,15>,<ip2,端口2,证书2,SNI3,20>,<ip3,端口3,证书1,SNI2,15>,则可以对其中的数据流计数(15、20、15)确定一个阈值,例如16,通过数据流计数的阈值16进行过滤,这样能够提供过滤效率。阈值的确定可以通过取平均值、方差等数学方法获得。
第二、对于所述数据流计数小于所述第一阈值的所述基准五元组数据进行过滤。
其中,将所述数据流计数小于所述第一阈值的所述基准五元组数据过滤掉。例如,通过阈值16,可以把数据流计数小于16的所述基准五元组数据先进行过滤,然后再通过五元组过滤规则进行过滤,提供效率。
步骤S103:基于预先确定的三元组规则,对所述待过滤五元组数据进行过滤;如图5所示。
该步骤是对步骤S101获取到的待过滤五元组数据进行的另外一步过滤,对是否后采用三元组规则过滤不做限定,本实施例以先进行五元组过滤、后进行三元组过滤为例进行描述。
其中,确定三元组过滤规则的方法包括如下步骤:
步骤S1031:将构建五元组过滤规则过程中未过滤掉的所述基准五元组数据进行归并,形成基准三元组数据,其中,所述基准三元组数据包括:服务IP、服务端口以及数据流计数;所述基准三元组数据中的数据流计数为被归并所述基准五元组数据中的数据流计数之和;
其中,将构建五元组过滤规则过程中未过滤掉的所述基准五元组数据进行归并,包括:
将构建五元组过滤规则过程中未过滤掉的所述基准五元组数据中,所述服务IP和服务端口相同的归并为一组。
其中,对于回溯数据集二元组没被过滤掉的基准五元组,按照“服务端IP-服务端口”二元组相同的进行归并,并对进行归并的五元组的数据流数加和,即最终每组归并的五元组中的数据流数为相应的所在的被归并五元组中数据流数的总和,形成三元组过滤规则,进行输出。其中,基准三元组数据包括:服务IP、服务端口以及数据流计数。
作为一种示例,例如将构建五元组过滤规则过程中未过滤掉的所述基准五元组数据包括:
<ip1,端口1,证书1,SNI1,15>
<ip1,端口1,证书2,SNI3,20>
<ip1,端口2,证书1,SNI2,15>
<ip1,端口2,证书3,SNI5,25>。
合并后的三元组为:
<ip1,端口1,35>,其中35=15+20;
<ip1,端口2,40>,其中40=15+25。
步骤S1032:基于所述基准三元组数据构建三元组过滤规则。
可选的,确定三元组过滤规则还可以包括如下步骤:
步骤S1033:基于所述基准三元组数据中的数据流计数确定第二阈值;
其中,根据各个组被归并五元组中数据流数的总和,计算出第二阈值。计算方法包括:计算数据流计数的平均值、计算数据流排序的中值或计算所有统计流数的均值与方差。
阈值的计算方法包括但不限于以下三种:
(1)采用所有数据流计数的平均值;
例如,
Figure BDA0002518941450000141
其中,第二阈值为X0,而一系列三元组中数据流计数分别为X1、X2。。。Xn,其中,n是正整数。
(2)使用数据流排序的中值;
例如,X0=X3
其中,第二阈值为X0,而X1、X2、X3、X4、X5分别为一系列三元组中数据流计数。
(3)计算所有数据流计数的均值与方差。
例如
Figure BDA0002518941450000151
其中,X1、X2。。。Xn分别是一系列三元组中数据流计数,X0是是一系列三元组中数据流计数均值,S2是方差,均值的计算同(1)。
步骤S1034:对于所述数据流计数小于所述第二阈值的所述基准五元组数据进行过滤。
其中,例如第二阈值为X0,而一系列三元组中数据流计数分别为X1、X2。。。Xn,当X1<X0时,则将X1所在的基准五元组数据过滤掉。
步骤S104:经过所述五元组规则和三元组规则过滤,获得加密正常流量的过滤数据;
其中,基于上述五元组过滤规则和三元组过滤规则对待过滤五元组数据进行过滤,即利用第一阈值和第二阈值与待过滤五元组数据分别进行比较,然后分别过滤掉低于第一阈值和第二阈值的待过滤五元组数据,得到加密正常流量的过滤数据。在过滤的同时,利用前述方法进行下一轮规则的数据统计。
其中,五元组数据的组织应该采用两级索引法,即利用IP+服务端口建立一级索引,利用SNI和数字证书哈希建立二级索引。这种设计可以提高后续步骤的检索和归并效率。
本发明利用基于层次化数据分析自动化生成的规则,可以更加全面的过滤大部分正常加密流量,该方法不依赖于人的经验,基于网络的基本统计数据进行规则定义,生成规则比较稳定。
该方法采用多层次的规则生成与过滤方法,首先利用简单的传输层规则进行过滤,然后利用会话层和应用层规则进行进一步深度过滤,降低了深度过滤的压力,效率更加有保障。
该层次化过滤方法可以基于不同场景进行扩展,针对提取的元数据不同和场景不同可以基于同一规则生成框架扩展新的规则。
实施例2
如图6所示,根据本发明的具体实施方式,第二方面,本发明提供一种加密正常流量的过滤装置,包括:提取单元601、五元组单元602、三元组单元603和获取单元604;
所述提取单元601,提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据,其中,所述元数据包括:服务端IP、服务端口、SNI、数字证书哈希值;所述待过滤五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;
所述五元组单元602,基于预先设确定的五元组规则,对所述待过滤五元组数据进行过滤;
所述三元组单元603,基于预先设定确定的三元组规则,对所述待过滤五元组数据进行过滤;
所述获取单元604,经过所述五元组规则和三元组规则过滤,获得加密正常流量的过滤数据。
可选的,所述提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据,包括:
提取服务端IP、服务端口、SNI、数字证书;
对所述数字证书进行哈希计算,获得数字证书哈希值;
将所述服务端IP、服务端口、SNI、数字证书哈希值共同作为Key值,对所述Key值在第一设定时间段内出现的数据流数进行统计,得到所述第一设定时间段内的数据流计数;
由所述服务端IP、服务端口、SNI、数字证书哈希值和数据流计数构成所述待过滤五元组数据。
可选的,所述预先确定的五元组规则,包括:
提取会话层流量过滤所需的元数据,对所述元数据进行统计得到基准五元组数据,其中,所述基准五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;
基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则。
可选的,所述基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则,包括:
对所述数字证书进行验证,得到非法数字证书;通过对所述非法数字证书进行哈希计算,获得非法数字证书哈希值;基于所述非法数字证书哈希值过滤所述基准五元组数据,将过滤掉的所述基准五元组数据中的所述服务IP和服务端口放入回溯数据集;以及,
基于预先确定的知名域名库,对所述基准五元组数据中的SNI主机域名信息进行过滤,得到非知名域名;将过滤掉的所述基准五元组数据中的所述服务IP和服务端口放入所述回溯数据集;
基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据构建五元组过滤的规则。
可选的,所述预先确定的三元组规则,包括:
将构建五元组过滤的规则过程中未过滤掉的所述基准五元组数据进行归并,形成基准三元组数据,其中,所述基准三元组数据包括:服务IP、服务端口以及数据流计数;所述基准三元组数据中的数据流计数为被归并所述基准五元组数据中的数据流计数之和;
基于所述基准三元组数据构建三元组过滤的规则。
可选的,所述将构建五元组过滤的规则过程中未过滤掉的所述基准五元组数据进行归并,包括:
将构建五元组过滤的规则过程中未过滤掉的所述基准五元组数据中,所述服务IP和服务端口相同的归并为一组。
可选的,还包括:所述基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据构建五元组过滤的规则,包括:
基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据中的数据流计数确定第一阈值;
对于所述数据流计数小于所述第一阈值的所述基准五元组数据进行过滤。
可选的,还包括:所述基于所述基准三元组数据构建三元组过滤的规则,包括:
基于所述基准三元组数据中的数据流计数确定第二阈值;
对于所述数据流计数小于所述第二阈值的所述基准五元组数据进行过滤。
根据本发明的具体实施方式,第三方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上任一项所述的对文档中的内容进行编辑的方法。
根据本发明的具体实施方式,第四方面,本发明提供一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上任一项所述的对文档中的内容进行编辑的方法。
本发明利用基于层次化数据分析自动化生成的规则,可以更加全面的过滤大部分正常加密流量,该方法不依赖于人的经验,基于网络的基本统计数据进行规则定义,生成规则比较稳定。
该方法采用多层次的规则生成与过滤方法,首先利用简单的传输层规则进行过滤,然后利用会话层和应用层规则进行进一步深度过滤,降低了深度过滤的压力,效率更加有保障。
该层次化过滤方法可以基于不同场景进行扩展,针对提取的元数据不同和场景不同可以基于同一规则生成框架扩展新的规则。
实施例3
如图7所示,本实施例提供一种电子设备,该设备用于一种加密正常流量的过滤方法,所述电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够处理一种加密正常流量的过滤。
本公开实施例提供了一种非易失性计算机存储介质,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的一种加密正常流量的过滤方法。
下面参考图7,其示出了适于用来实现本公开实施例的电子设备700的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图7示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700可以包括处理装置(例如中央处理器、图形处理器等)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储装置708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有电子设备700操作所需的各种程序和数据。处理装置701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
通常,以下装置可以连接至I/O接口705:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置706;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置607;包括例如磁带、硬盘等的存储装置708;以及通信装置709。通信装置709可以允许电子设备700与其他设备进行无线或有线通信以交换数据。虽然图7示出了具有各种装置的电子设备700,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置709从网络上被下载和安装,或者从存储装置708被安装,或者从ROM 702被安装。在该计算机程序被处理装置701执行时,执行本公开实施例的方法中限定的上述功能。
实施例4
根据本发明的具体实施方式,第四方面,本公开实施例提供了一种非易失性计算机存储介质,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的一种基于主机画像的异常主机检测的方法。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备能够进行一种加密正常流量的过滤。
或者,上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备能够进行一种加密正常流量的过滤。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定。

Claims (8)

1.一种加密正常流量的过滤方法,其特征在于,包括:
提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据,其中,所述元数据包括:服务端IP、服务端口、SNI、数字证书哈希值;所述待过滤五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;
基于预先确定的五元组规则,对所述待过滤五元组数据进行过滤;
基于预先确定的三元组规则,对所述待过滤五元组数据进行过滤;
经过所述五元组规则和三元组规则过滤,获得加密正常流量的过滤数据;
其中,所述预先确定的五元组规则,包括:
提取会话层流量过滤所需的元数据,对所述元数据进行统计得到基准五元组数据,其中,所述基准五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;
基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则;
进一步地,所述基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则,包括:
对所述数字证书进行验证,得到非法数字证书;通过对所述非法数字证书进行哈希计算,获得非法数字证书哈希值;基于所述非法数字证书哈希值过滤所述基准五元组数据,将过滤掉的所述基准五元组数据中的所述服务端IP和服务端口放入回溯数据集;以及,
基于预先确定的知名域名库,对所述基准五元组数据中的SNI主机域名信息进行过滤,得到非知名域名;将过滤掉的所述基准五元组数据中的所述服务端IP和服务端口放入所述回溯数据集;
基于所述回溯数据集中的所述服务端IP和服务端口对应的所述基准五元组数据构建五元组过滤的规则。
2.根据权利要求1所述的方法,其特征在于,所述提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据,包括:
提取服务端IP、服务端口、SNI、数字证书;
对所述数字证书进行哈希计算,获得数字证书哈希值;
将所述服务端IP、服务端口、SNI、数字证书哈希值共同作为Key值,对所述Key值在第一设定时间段内出现的数据流数进行统计,得到所述第一设定时间段内的数据流计数;
由所述服务端IP、服务端口、SNI、数字证书哈希值和数据流计数构成所述待过滤五元组数据。
3.根据权利要求1所述的方法,其特征在于,所述预先确定的三元组规则,包括:
将构建五元组过滤的规则过程中未过滤掉的所述基准五元组数据进行归并,形成基准三元组数据,其中,所述基准三元组数据包括:服务端IP、服务端口以及数据流计数;所述基准三元组数据中的数据流计数为被归并所述基准五元组数据中的数据流计数之和;
基于所述基准三元组数据构建三元组过滤的规则。
4.根据权利要求3所述的方法,其特征在于,所述将构建五元组过滤的规则过程中未过滤掉的所述基准五元组数据进行归并,包括:
将构建五元组过滤的规则过程中未过滤掉的所述基准五元组数据中,所述服务端IP和服务端口相同的归并为一组。
5.根据权利要求1所述的方法,其特征在于还包括:所述基于所述回溯数据集中的所述服务端IP和服务端口对应的所述基准五元组数据构建五元组过滤的规则,包括:
基于所述回溯数据集中的所述服务端IP和服务端口对应的所述基准五元组数据中的数据流计数确定第一阈值;
对于所述数据流计数小于所述第一阈值的所述基准五元组数据进行过滤。
6.根据权利要求3所述的方法,其特征在于,还包括:所述基于所述基准三元组数据构建三元组过滤的规则,包括:
基于所述基准三元组数据中的数据流计数确定第二阈值;
对于所述数据流计数小于所述第二阈值的所述基准五元组数据进行过滤。
7.一种加密正常流量过滤装置,其特征在于,包括:
提取单元,提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据,其中,所述元数据包括:服务端IP、服务端口、SNI、数字证书哈希值;所述待过滤五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;
五元组单元,基于预先设确定的五元组规则,对所述待过滤五元组数据进行过滤;
三元组单元,基于预先设定确定的三元组规则,对所述待过滤五元组数据进行过滤;
获取单元,经过所述五元组规则和三元组规则过滤,获得加密正常流量的过滤数据;
其中,其中,所述预先确定的五元组规则,包括:
提取会话层流量过滤所需的元数据,对所述元数据进行统计得到基准五元组数据,其中,所述基准五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;
基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则;
进一步地,所述基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则,包括:
对所述数字证书进行验证,得到非法数字证书;通过对所述非法数字证书进行哈希计算,获得非法数字证书哈希值;基于所述非法数字证书哈希值过滤所述基准五元组数据,将过滤掉的所述基准五元组数据中的所述服务端IP和服务端口放入回溯数据集;以及,
基于预先确定的知名域名库,对所述基准五元组数据中的SNI主机域名信息进行过滤,得到非知名域名;将过滤掉的所述基准五元组数据中的所述服务端IP和服务端口放入所述回溯数据集;
基于所述回溯数据集中的所述服务端IP和服务端口对应的所述基准五元组数据构建五元组过滤的规则。
8.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至6中任一项所述的方法。
CN202010485335.2A 2020-06-01 2020-06-01 一种加密正常流量的过滤方法、装置和电子设备 Active CN113765844B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010485335.2A CN113765844B (zh) 2020-06-01 2020-06-01 一种加密正常流量的过滤方法、装置和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010485335.2A CN113765844B (zh) 2020-06-01 2020-06-01 一种加密正常流量的过滤方法、装置和电子设备

Publications (2)

Publication Number Publication Date
CN113765844A CN113765844A (zh) 2021-12-07
CN113765844B true CN113765844B (zh) 2023-05-05

Family

ID=78782636

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010485335.2A Active CN113765844B (zh) 2020-06-01 2020-06-01 一种加密正常流量的过滤方法、装置和电子设备

Country Status (1)

Country Link
CN (1) CN113765844B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108234473A (zh) * 2017-12-28 2018-06-29 新华三技术有限公司 一种报文防攻击方法及装置
CN110266668A (zh) * 2019-06-06 2019-09-20 新华三信息安全技术有限公司 一种端口扫描行为的检测方法及装置
CN114301632A (zh) * 2021-12-02 2022-04-08 北京天融信网络安全技术有限公司 一种IPsec数据处理方法、终端及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9026644B2 (en) * 2011-03-10 2015-05-05 Verizon Patent And Licensing Inc. Anomaly detection and identification using traffic steering and real-time analytics
US11509670B2 (en) * 2018-11-28 2022-11-22 Rapid7, Inc. Detecting anomalous network activity

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108234473A (zh) * 2017-12-28 2018-06-29 新华三技术有限公司 一种报文防攻击方法及装置
CN110266668A (zh) * 2019-06-06 2019-09-20 新华三信息安全技术有限公司 一种端口扫描行为的检测方法及装置
CN114301632A (zh) * 2021-12-02 2022-04-08 北京天融信网络安全技术有限公司 一种IPsec数据处理方法、终端及存储介质

Also Published As

Publication number Publication date
CN113765844A (zh) 2021-12-07

Similar Documents

Publication Publication Date Title
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
US10248910B2 (en) Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
US10135830B2 (en) Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems
EP4114012A1 (en) Method and apparatus for processing multimedia information, and electronic device and storage medium
JP7120350B2 (ja) セキュリティ情報分析方法、セキュリティ情報分析システム、及び、プログラム
CN109495513B (zh) 无监督的加密恶意流量检测方法、装置、设备及介质
US11822698B2 (en) Privacy transformations in data analytics
EP4179690A1 (en) Image distribution using composite re-encrypted images
CN117390657A (zh) 数据加密方法、装置、计算机设备和存储介质
CN115514558A (zh) 一种入侵检测方法、装置、设备及介质
WO2022222445A1 (zh) 事件的检测输出方法、事件策略确定方法及装置、电子设备和计算机可读存储介质
CN113746780B (zh) 基于主机画像的异常主机检测方法、装置、介质和设备
CN113765844B (zh) 一种加密正常流量的过滤方法、装置和电子设备
CN115361450B (zh) 请求信息处理方法、装置、电子设备、介质和程序产品
CN116110159A (zh) 基于cfca认证标准的用户认证方法、设备和介质
CN114780932B (zh) 管理三化平台的跨区块链数据交互验证方法、系统及设备
CN107995167B (zh) 一种设备识别方法及服务器
US20230418794A1 (en) Data processing method, and non-transitory medium and electronic device
WO2021055964A1 (en) System and method for crowd-sourced refinement of natural phenomenon for risk management and contract validation
CN111507734B (zh) 作弊请求识别方法、装置、电子设备及计算机存储介质
CN115801447B (zh) 基于工业安全的流量解析方法、装置与电子设备
CN117473511B (zh) 边缘节点漏洞数据处理方法、装置、设备及存储介质
CN116070268B (zh) 隐私数据识别监控方法、装置和设备
CN114765634B (zh) 网络协议识别方法、装置、电子设备及可读存储介质
CN115632875B (zh) 一种多特征融合实时分析的恶意流量检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant