CN114328925A - 流量数据处理方法、装置、探针设备及存储介质 - Google Patents
流量数据处理方法、装置、探针设备及存储介质 Download PDFInfo
- Publication number
- CN114328925A CN114328925A CN202111648339.9A CN202111648339A CN114328925A CN 114328925 A CN114328925 A CN 114328925A CN 202111648339 A CN202111648339 A CN 202111648339A CN 114328925 A CN114328925 A CN 114328925A
- Authority
- CN
- China
- Prior art keywords
- session
- data
- flow data
- quintuple
- traffic data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种流量数据处理方法、装置、探针设备及存储介质,涉及网络安全技术领域。方法包括:通过探针设备从网络节点获取网络节点所传输的所有流量数据;基于五元组对所有流量数据进行分类,得到与相应会话对应的流量数据,其中,相同五元组的流量数据属于同一个会话。在本方案中,由探针设备对从网络节点采集的所有流量数据,按照会话进行归类,可以在实现全流量存储的基础上,方便以会话为单位进行威胁溯源,有利于在进行威胁溯源时,无需对所有流量数据进行遍历检索,有利于降低运算量。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种流量数据处理方法、装置、探针设备及存储介质。
背景技术
网络设备上的操作系统、应用软件容易存在未知的漏洞,网络攻击者可以利用这些漏洞进行攻击,从而造成网络安全威胁。为了便于分析攻击方式或查找到漏洞的原因,威胁溯源应运而生。威胁溯源是指威胁行为发生后,可以利用已经提取的威胁相关的信息,还原威胁发生时的攻击过程。
目前,部分安全厂商的安全设备在采集网络流量时,没有全流量存储,只存储了触发威胁的那一个报文。这种方案的缺点是在威胁溯源的时候能提供的信息很少,不能展示威胁行为的上下文信息。
或者,安全设备全流量存储了数据报文,而实现方式是以镜像流量到达安全设备的先后顺序依次将数据报文保存到本地磁盘。该方式在进行威胁溯源时,需要在本地磁盘的所有数据中进行遍历检索,导致检索数据的运算量大。
发明内容
本申请实施例的目的在于提供一种流量数据处理方法、装置、探针设备及存储介质,能够改善在威胁溯源时检索的运算量大或溯源的数据不全的问题。
为了实现上述目的,本申请的实施例通过如下方式实现:
第一方面,本申请实施例提供一种流量数据处理方法,所述方法包括:通过探针设备从网络节点获取所述网络节点所传输的所有流量数据;基于五元组对所述所有流量数据进行分类,得到与相应会话对应的流量数据,其中,相同五元组的流量数据属于同一个会话。
在上述的实施方式中,由探针设备对从网络节点采集的所有流量数据,按照会话进行归类,可以在实现全流量存储的基础上,方便以会话为单位进行威胁溯源。由于是以会话为单位进行归类,因此,在进行威胁溯源时,无需对所有流量数据进行遍历检索,有利于降低运算量。
结合第一方面,在一些可选的实施方式中,所述方法还包括:
基于预设检测规则,对任一会话中的流量数据进行解析检测,得到表征所述任一会话是否存在异常的检测结果;
当所述检测结果表示所述任一会话存在异常时,将所述任一会话的流量数据的元数据发送至数据分析服务器,其中,所述数据分析服务器用于对所述任一会话的元数据进行安全检测。
在上述的实施方式中,探针设备通过将异常会话的元数据发送至数据分析服务器,而不是异常会话的元数据无需发送至数据分析服务器,如此,有利于减轻数据分析服务器的处理压力。
结合第一方面,在一些可选的实施方式中,所述方法还包括:
在接收到所述数据分析服务器发送的溯源请求时,将所述溯源请求对应的目标会话中的流量数据发送至所述数据分析服务器,其中,所述溯源请求为所述数据分析服务器对所述目标会话中的元数据进行安全检测,且检测到在所述目标会话中存在安全威胁时生成的请求。
结合第一方面,在一些可选的实施方式中,所述方法还包括:
当所述任一会话中的元数据被发送至所述数据分析服务器时,或者,当所述检测结果表示所述任一会话不存在异常时,从所述探针设备的内存中释放与所述任一会话对应的元数据。
结合第一方面,在一些可选的实施方式中,基于预设检测规则,对任一会话中的流量数据进行解析检测,得到表征所述任一会话是否存在异常的检测结果,包括:
通过所述探针设备中的解析器,对所述任一会话中的流量数据进行解析,得到与所述任一会话对应的元数据;
通过所述预设检测规则,对所述任一会话中的元数据进行检测,得到所述检测结果。
结合第一方面,在一些可选的实施方式中,基于五元组对所述所有流量数据进行分类,得到与相应会话对应的流量数据,包括:
若当前存在与所述所有流量数据中的任一流量数据的五元组对应的会话,则将与所述任一流量数据的五元组相同的流量数据归类于所述会话中;
若当前不存在与所述所有流量数据中的任一流量数据的五元组对应的会话,则创建与所述任一流量数据的五元组对应的会话作为目标会话,并将与所述任一流量数据的五元组相同的流量数据归类于所述目标会话中。
结合第一方面,在一些可选的实施方式中,所述方法还包括:
对所述所有流量数据进行分类存储,其中,每个会话中的流量数据存储于对应的一个文件中,或者,将多个会话中的流量数据存储于一个文件中,且每个会话的流量数据连续存储。
第二方面,本申请还提供一种流量数据处理装置,所述装置包括:
数据获取单元,用于通过探针设备从网络节点获取所述网络节点所传输的所有流量数据;
数据分类单元,用于基于五元组对所述所有流量数据进行分类,得到与相应会话对应的流量数据,其中,相同五元组的流量数据属于同一个会话。
第三方面,本申请还提供一种探针设备,所述探针设备包括相互耦合的处理器及存储器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述探针设备执行上述的方法。
第四方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行上述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的探针设备与数据分析服务器的通信连接示意图。
图2为本申请实施例提供的流量数据处理方法的流程示意图之一。
图3为本申请实施例提供的流量数据处理方法的流程示意图之二。
图4为本申请实施例提供的流量数据处理装置的框图。
图标:11-探针设备;12-探针设备;21-网络节点;22-网络节点;30-数据分析服务器;200-流量数据处理装置;210-数据获取单元;220-数据分类单元。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。需要说明的是,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参照图1,本申请提供一种探针设备,可以从网络节点获取网络节点所传输的流量数据,并对流量数据进行分类存储,以便于进行在流量数据中存在安全威胁时,从探针设备所存储的流量数据中进行威胁溯源。
其中,探针设备可以包括处理模块及存储模块。存储模块内存储计算机程序,当计算机程序被所述处理模块执行时,使得探针设备能够执行下述流量数据处理方法中的各步骤。
在本实施例中,探针设备以旁路的方式部署在网络节点处。一个网络节点上可以部署一个探针设备。网络节点可以是但不限于交换机、路由器等设备,用于转发流量数据。
请再次参照图1,示例性地,探针设备11与网络节点21连接,用于镜像并存储网络节点21的全部流量数据。探针设备12与网络节点22连接,用于镜像并存储网络节点22的全部流量数据。另外,探针设备11和探针设备12还可以与数据分析服务器30通信连接,以进行数据交互。
可理解地,网络节点传输的所有流量数据可以通过镜像端口进行镜像,然后,探针设备通过镜像端口获取所镜像的流量数据。其中,探针设备从镜像端口获取的流量数据与网络节点自身所传输的所有流量数据相同。
另外,探针设备可以将满足相应上送条件的流量数据的元数据发送至数据分析服务器30,由数据分析服务器30对上传的元数据进行安全检测。其中,探针设备所发送的元数据可以根据实际情况进行灵活确定。
请参照图2,本申请还提供一种流量数据处理方法,可以应用于上述的探针设备,由探针设备执行或实现方法中的各步骤,方法可以包括如下步骤:
步骤S110,通过探针设备从网络节点获取所述网络节点所传输的所有流量数据;
步骤S120,基于五元组对所述所有流量数据进行分类,得到与相应会话对应的流量数据,其中,相同五元组的流量数据属于同一个会话。
在上述的实施方式中,由探针设备对从网络节点采集的所有流量数据,按照会话(会话的英文全称为:Session)进行归类,可以在实现全流量存储的基础上,方便以会话为单位进行威胁溯源。由于是以会话为单位进行归类,因此,在进行威胁溯源时,可以直接以会话为单位定位存在异常的流量数据,无需对所有流量数据进行遍历检索,有利于降低运算量。
下面将对方法中的各步骤进行详细阐述,如下:
在步骤S110中,探针设备可以通过镜像端口,从网络节点采集到网络节点所传输的所有流量数据。所有流量数据所包括的数据类型及协议可以根据实际情况进行灵活确定。可理解地,探针设备所获取的流量数据为网络上原始的数据包,为经过相应协议封装后的数据。
在步骤S120中,五元组包括源IP地址,源端口,目的IP地址,目的端口和传输层协议号共五个参数。每个流量数据通常具有对应的五元组。探针设备基于五元组,可以对每个流量数据进行分类。
在本实施例中,步骤S120可以包括:
若当前存在与所述所有流量数据中的任一流量数据的五元组对应的会话,则将与所述任一流量数据的五元组相同的流量数据归类于所述会话中;
若当前不存在与所述所有流量数据中的任一流量数据的五元组对应的会话,则创建与所述任一流量数据的五元组对应的会话作为目标会话,并将与所述任一流量数据的五元组相同的流量数据归类于所述目标会话中。
可理解地,探针设备上可以预先存储有与相应的五元组对应的会话,不同的五元组对应不同的会话。探针设备可以基于所采集的流量数据的时间先后顺序,依次对各个流量数据进行分类。其中,五元组相同是指两个五元组中的中五个参数一一对应相同;若五个参数中的任一参数不同(比如,五元组中的源IP地址不同),则两个五元组不同。
若当前一个流量数据的五元组,与预存的多个会话中的一个会话的五元组相同,此时,探针设备可以将与当前这个流量数据的五元组相同的会话作为命中会话,并将这一流量数据归类在该命中会话中。
若当前一个流量数据的五元组,与预存的多个会话的五元组均不同,此时,探针设备可以创建一个与当前流量数据的五元组对应的一个会话,并将这一流量数据归类在所创建的会话中。另外,所创建的会话可以作为新的预存会话,后续若检测到存在其他流量数据的五元组与所创建会话的五元组相同时,则将五元组与该会话相同的其他流量数据归类在该会话中。
在本实施例中,一个会话与一个五元组关联。每个会话具有唯一标识,该标识可以根据实际情况进行灵活确定。例如,会话的唯一标识可以由五元组中的源IP、源端口、目的IP、目的端口和协议号组成。
需要说明的是,当探针设备所采集的流量数据的时间跨度较大时,探针设备还可以对同一个会话中的流量数据,按时间跨度进行细分。例如,将同一个会话中的流量数据按相应的秒、分钟等指定周期进行细分。
作为一种可选的实施方式,方法还可以包括:
对所述所有流量数据进行分类存储,其中,每个会话中的流量数据存储于对应的一个文件中,或者,将多个会话中的流量数据存储于一个文件中,且每个会话的流量数据连续存储。
可理解地,当探针设备完成对流量数据的分类之后,可以基于所分类的会话,对每个会话的流量数据进行分类存储。其中,单个会话的所有流量数据需要先缓存在探针设备的内存中,以便于对单个会话的流量数据进行解析检测;然后,再将会话的所有流量数据存储于探针设备的磁盘上。在内存及磁盘上存储单个会话的所有流量数据的方式相类似。
例如,一个会话的流量数据存储在一个文件中,不同会话的流量数据存储在不同的文件中。文件名可以为对应会话的唯一标识,以便于进行关联检索。
又例如,一个文件或文件夹中可以存储多个会话的流量数据,且每个会话的流量数据连续存储,并记录有每个会话的流量数据在文件中的起始位置(或结束位置)及会话的数据长度等信息,以便于基于起始位置、结束位置及会话的数据长度等信息,从文件中提取针对该会话的所有流量数据。当一个文件存满数据时,可以新建一个文件继续存储数据。比如,每个文件的数据容量为1GB,每个会话的流量数据可以基于接收的时间顺序连续存储在该文件中,在该会话的所有原始流量数据完成连续存储后,再对下一会话的流量数据进行连续存储。当该文件存满1GB数据时,可以将会话的流量数据继续存储于另一文件中。或者,在该文件的剩余空间不足以存储一个会话的所有流量数据时,可以在另一文件中对该会话的所有流量数据进行连续存储,以使一个会话的流量数据不会跨两个文件。
在流量数据存储过程中,探针设备可以基于采集数据的时间先后顺序进行排序,并将排序后的流量数据缓存于内存中。当一个会话超时(超时的时间可以根据实际情况进行灵活设置)或结束时,则将该会话中的所有流量数据连续的写入探针设备的本地磁盘的相应文件中。
需要说明的是,当探针设备的本地磁盘快要存满时,例如,本地磁盘的剩余存储空间小于设定值(比如为5%)时,探针设备可以从本地磁盘中,直接删除存储时间最久的流量数据;或者将存储时间最久的流量数据备份至云服务器之后,再进行删除。
请参照图3,方法还可以包括:
步骤S130,基于预设检测规则,对任一会话中的流量数据进行解析检测,得到表征所述任一会话是否存在异常的检测结果;
步骤S140,当所述检测结果表示所述任一会话存在异常时,将所述任一会话的流量数据的元数据发送至数据分析服务器30,其中,所述数据分析服务器30用于对所述任一会话的元数据进行安全检测。
在本实施例中,步骤S130可以包括:
通过所述探针设备中的解析器,对所述任一会话中的流量数据进行解析,得到与所述任一会话对应的元数据;
通过所述预设检测规则,对所述任一会话中的元数据进行检测,得到所述检测结果。
可理解地,网络节点所传输的流量数据通常经过相应的传输层协议进行了封装。探针设备在对流量数据进行分析检测时,需要通过相应的解析器对流量数据进行解封,以得到流量数据的元数据。
在本实施例中,探针设备上预先部署有多个解析器,所部署的解析器包括但不限于HTTP(Hyper Text Transfer Protocol,超文本传输协议)解析器、DNS(Domain NameSystem,域名系统)解析器、Telnet解析器、SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)解析器、SMB(Server Message Block,服务信息块)解析器等本领域技术人员熟知的解析器。
每种协议的流量数据中,通常都有专属的字段,以便于匹配对应的解析器进行解析。例如,基于DNS协议的流量数据中,可以包括但不限于:IP、host、hostName、status、TTL、qt、qc等本领域技术人员熟知的字段。
在本实施例中,探针设备上的各类解析器,可以对基于各类传输层协议封装的流量数据进行解析,以得到流量数据的元数据。例如,探针设备可以将HTTP协议封装的流量数据,输入HTTP解析器,以得到元数据。
其中,元数据是解析器从原始流量中提取的关键属性。元数据中的基础字段包括但不限于:srcPort、dstPort、IP、SN、timestamp、srcIp、dstIp、packetPos、packetLen、fileName、protocol等本领域技术人员熟知的字段。
例如,在上述的字段中,IP、SN分别是探针设备的IP地址和SN号。srcPort、dstPort、srcIp、dstIp分别是原始流量的源端口、目的端口、源IP和目的IP。
fileName指探针设备上存储相应会话的流量数据的文件名。
在本实施例中,当多个会话中的流量数据依次连续存储在同一个文件中时,元数据中可以包括packetPos及packetLen。
packetPos指记录原始的流量数据中第一个数据包在fileName中的起始位置。
packetLen指会话所对应的流量数据的总长度。
在进行威胁溯源时,数据分析服务器30可以利用packetPos、packetLen、fileName这三个字段去对应的探针设备上提取威胁相关的原始数据报文。
在本实施例中,预设检测规则可以根据实际情况进行灵活确定,用于检测会话中的原始流量数据经过解析所得到的元数据是否异常,以判断是否满足上送条件。若满足上送条件,表示会话中的元数据/流量数据是异常的,该异常情况可以为疑是存在安全威胁,或者确定存在安全威胁。只要满足上送条件,则由探针设备将该会话中的元数据上传至数据分析服务器30以进一步进行检测。
示例性地,当流量数据为一种DNS请求报文时,预设检测规则可以包括:
A、在DNS请求报文中,若检测到DNS请求的域名匹配到“==.”,则满足上送条件(其中,域名匹配“==.”,可能使用了Base64编码);
B、检测到DNS请求报文中请求数不少于1个,回答数超过1个,则满足上送条件,其中,正常请求报文中回答数应该为0,超过1可能是DNS协议滥用;
C、DNS请求报文正向查询,问题数为0,则满足上送条件,并填写对应error type(请求报文正常时,问题数不少于1,为0可能是DNS协议滥用);
D、DNS请求报文反向查询,回答数为0,则满足上送条件,并填写对应error type,此时,可能是DNS协议滥用;
E、DNS请求报文若没有包含请求类型或请求类字段,则满足上送条件;
F、DNS响应报文包含回答区的,除去请求资源记录类型为PTR的DNS反向查询流量,基于域名白名单(从域名情报库中获取)进行匹配,如果在白名单内,不上送;如果不在白名单内,则满足上送条件;
G、DNS响应报文资源记录类型为TXT,且若匹配到“IEX”或“Invoke-Expression”或“cmd.exe”,则满足上送条件。
在步骤S140中,数据分析服务器30可以利用自身预存的相应检测规则,对探针设备所上传的元数据做进一步的安全检测,数据分析服务器30对元数据进行安全检测方式为本领域技术人员熟知,这里不再赘述。
由于探针设备已经对流量数据的元数据进行了初步检测,数据分析服务器30仅对探针设备上传的异常元数据进行分析,而不是对探针设备采集的所有元数据进行检测分析,因此,有利于降低数据分析服务器30的处理压力。
作为一种可选的实施方式,方法还可以包括:
在接收到所述数据分析服务器30发送的溯源请求时,将所述溯源请求对应的目标会话中的流量数据发送至所述数据分析服务器,其中,所述溯源请求为所述数据分析服务器30对所述目标会话中的元数据进行安全检测,且检测到在所述目标会话中存在安全威胁时生成的请求。
可理解地,在数据分析服务器30对探针设备上传的元数据进行检测分析的过程中,若数据分析服务器30检测到该元数据存在安全威胁,则数据分析服务器30可以生成溯源请求,并将该溯源请求发送至存在安全威胁的元数据的探针设备。在该溯源请求中,可以包括存在安全威胁的元数据所在的会话的标识及探针设备的标识。
探针设备在接收到该溯源请求后,可以直接从本地磁盘中,基于请求中的会话的标识,确定目标会话,并读取该目标会话中的所有流量数据(通常为原始数据包),并传输至数据分析服务器30,以便于管理员通过数据分析服务器30进行查看,方便对攻击者的攻击行为进行精确的重构攻击过程。另外,探针设备在溯源过程中,无需对所有流量数据进行遍历检索,能快速定位到存在安全威胁的流量数据的会话,以提高溯源检索效率,降低运算量。
作为一种可选的实施方式,方法还可以包括:
当所述任一会话中的元数据被发送至所述数据分析服务器30时,或者,当所述检测结果表示所述任一会话不存在异常时,从所述探针设备的内存中释放与所述任一会话对应的元数据。
可理解地,探针设备从网络节点上采集的流量数据通常是先缓存在内存中,然后再进行数据分类,并存储在探针设备的本地磁盘上。在会话的流量数据被存储在探针设备的本地磁盘之后,若任一会话中的所有流量数据的元数据被发送至数据分析服务器30,或者,当检测结果表示任一会话不存在异常时,便可以删除内存中所缓存的该会话中的元数据,以释放内存资源,以便于探针设备的内存对其他会话的流量数据进行检测处理。
基于上述设计,探针设备可以对网络节点的流量数据进行全流量存储,并进行实时流量分析,可以帮助用户全面感知网络威胁。或者,探针设备可以仅针对存在异常会话中的所有流量数据进行存储(存储在探针设备的本地磁盘);若一个会话中的所有元数据均无异常,可以无需将该会话的所有流量数据存储在探针设备的本地磁盘上。在威胁溯源时,以会话为单位返回相应的流量数据,可以快速还原网络威胁事件发生时的全部交互内容,实现数据包级别的数据取证和责任判定,有利于提高威胁溯源的能力和效率。
请参照图4,本申请实施例还提供一种流量数据处理装置200,可以应用于上述的探针设备中,用于执行方法中的各步骤。流量数据处理装置200包括至少一个可以软件或固件(Firmware)的形式存储于存储模块中或固化在探针设备操作系统(Operating System,OS)中的软件功能模块。处理模块用于执行存储模块中存储的可执行模块,例如流量数据处理装置200所包括的软件功能模块及计算机程序等。
流量数据处理装置200可以包括数据获取单元210及数据分类单元220,各单元具有的功能可以如下:
数据获取单元210,用于通过探针设备从网络节点获取所述网络节点所传输的所有流量数据;
数据分类单元220,用于基于五元组对所述所有流量数据进行分类,得到与相应会话对应的流量数据,其中,相同五元组的流量数据属于同一个会话。
可选地,数据分类单元220还可以用于:若当前存在与所述所有流量数据中的任一流量数据的五元组对应的会话,则将与所述任一流量数据的五元组相同的流量数据归类于所述会话中;若当前不存在与所述所有流量数据中的任一流量数据的五元组对应的会话,则创建与所述任一流量数据的五元组对应的会话作为目标会话,并将与所述任一流量数据的五元组相同的流量数据归类于所述目标会话中。
可选地,流量数据处理装置200可以包括检测单元及发送单元。检测单元用于基于预设检测规则,对任一会话中的流量数据进行解析检测,得到表征所述任一会话是否存在异常的检测结果;发送单元用于当所述检测结果表示所述任一会话存在异常时,将所述任一会话的流量数据的元数据发送至数据分析服务器30,其中,所述数据分析服务器30用于对所述任一会话的元数据进行安全检测。
可选地,检测单元还可以用于:通过所述探针设备中的解析器,对所述任一会话中的流量数据进行解析,得到与所述任一会话对应的元数据;通过所述预设检测规则,对所述任一会话中的元数据进行检测,得到所述检测结果。
可选地,发送单元还可以用于在接收到所述数据分析服务器30发送的溯源请求时,将所述溯源请求对应的目标会话中的流量数据发送至所述数据分析服务器,其中,所述溯源请求为所述数据分析服务器30对所述目标会话中的元数据进行安全检测,且检测到在所述目标会话中存在安全威胁时生成的请求。
可选地,流量数据处理装置200可以包括资源释放单元,用于当所述任一会话中的元数据被发送至所述数据分析服务器30时,或者,当所述检测结果表示所述任一会话不存在异常时,从所述探针设备的内存中释放与所述任一会话对应的元数据。
可选地,流量数据处理装置200还可以包括分类存储单元,用于对所述所有流量数据进行分类存储,其中,每个会话中的流量数据存储于对应的一个文件中,或者,将多个会话中的流量数据存储于一个文件中,且每个会话的流量数据连续存储。
在本实施例中,处理模块可以是一种集成电路芯片,具有信号的处理能力。上述处理模块可以是通用处理器。例如,该处理器可以是中央处理器(Central Processing Unit,CPU)、数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。
存储模块可以是,但不限于,随机存取存储器,只读存储器,可编程只读存储器,可擦除可编程只读存储器,电可擦除可编程只读存储器等。在本实施例中,存储模块可以用于存储流量数据、预设检测规则等。当然,存储模块还可以用于存储程序,处理模块在接收到执行指令后,执行该程序。
通信模块用于通过网络建立探针设备与其他设备(比如,数据分析服务器30)的通信连接,并通过网络收发数据。
需要说明的是,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的探针设备、流量数据处理装置200的具体工作过程,可以参考前述方法中的各步骤对应过程,在此不再过多赘述。
本申请实施例还提供一种计算机可读存储介质。计算机可读存储介质中存储有计算机程序,当计算机程序在计算机上运行时,使得计算机执行如上述实施例中所述的流量数据处理方法。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现,基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
综上所述,在本方案中,由探针设备对从网络节点采集的所有流量数据,按照会话进行归类,可以在实现全流量存储的基础上,方便以会话为单位进行威胁溯源。由于是以会话为单位进行归类,因此,在进行威胁溯源时,无需对所有流量数据进行遍历检索,有利于降低运算量。
在本申请所提供的实施例中,应该理解到,所揭露的装置、系统和方法,也可以通过其它的方式实现。以上所描述的装置、系统和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种流量数据处理方法,其特征在于,所述方法包括:
通过探针设备从网络节点获取所述网络节点所传输的所有流量数据;
基于五元组对所述所有流量数据进行分类,得到与相应会话对应的流量数据,其中,相同五元组的流量数据属于同一个会话。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于预设检测规则,对任一会话中的流量数据进行解析检测,得到表征所述任一会话是否存在异常的检测结果;
当所述检测结果表示所述任一会话存在异常时,将所述任一会话的流量数据的元数据发送至数据分析服务器,其中,所述数据分析服务器用于对所述任一会话的元数据进行安全检测。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在接收到所述数据分析服务器发送的溯源请求时,将所述溯源请求对应的目标会话中的流量数据发送至所述数据分析服务器,其中,所述溯源请求为所述数据分析服务器对所述目标会话中的元数据进行安全检测,且检测到在所述目标会话中存在安全威胁时生成的请求。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述任一会话中的元数据被发送至所述数据分析服务器时,或者,当所述检测结果表示所述任一会话不存在异常时,从所述探针设备的内存中释放与所述任一会话对应的元数据。
5.根据权利要求2所述的方法,其特征在于,基于预设检测规则,对任一会话中的流量数据进行解析检测,得到表征所述任一会话是否存在异常的检测结果,包括:
通过所述探针设备中的解析器,对所述任一会话中的流量数据进行解析,得到与所述任一会话对应的元数据;
通过所述预设检测规则,对所述任一会话中的元数据进行检测,得到所述检测结果。
6.根据权利要求1所述的方法,其特征在于,基于五元组对所述所有流量数据进行分类,得到与相应会话对应的流量数据,包括:
若当前存在与所述所有流量数据中的任一流量数据的五元组对应的会话,则将与所述任一流量数据的五元组相同的流量数据归类于所述会话中;
若当前不存在与所述所有流量数据中的任一流量数据的五元组对应的会话,则创建与所述任一流量数据的五元组对应的会话作为目标会话,并将与所述任一流量数据的五元组相同的流量数据归类于所述目标会话中。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对所述所有流量数据进行分类存储,其中,每个会话中的流量数据存储于对应的一个文件中,或者,将多个会话中的流量数据存储于一个文件中,且每个会话的流量数据连续存储。
8.一种流量数据处理装置,其特征在于,所述装置包括:
数据获取单元,用于通过探针设备从网络节点获取所述网络节点所传输的所有流量数据;
数据分类单元,用于基于五元组对所述所有流量数据进行分类,得到与相应会话对应的流量数据,其中,相同五元组的流量数据属于同一个会话。
9.一种探针设备,其特征在于,所述探针设备包括相互耦合的处理器及存储器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述探针设备执行如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111648339.9A CN114328925A (zh) | 2021-12-30 | 2021-12-30 | 流量数据处理方法、装置、探针设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111648339.9A CN114328925A (zh) | 2021-12-30 | 2021-12-30 | 流量数据处理方法、装置、探针设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114328925A true CN114328925A (zh) | 2022-04-12 |
Family
ID=81019259
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111648339.9A Pending CN114328925A (zh) | 2021-12-30 | 2021-12-30 | 流量数据处理方法、装置、探针设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114328925A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117880055A (zh) * | 2024-03-12 | 2024-04-12 | 灵长智能科技(杭州)有限公司 | 基于传输层指标的网络故障诊断方法、装置、设备及介质 |
CN117880055B (zh) * | 2024-03-12 | 2024-05-31 | 灵长智能科技(杭州)有限公司 | 基于传输层指标的网络故障诊断方法、装置、设备及介质 |
-
2021
- 2021-12-30 CN CN202111648339.9A patent/CN114328925A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117880055A (zh) * | 2024-03-12 | 2024-04-12 | 灵长智能科技(杭州)有限公司 | 基于传输层指标的网络故障诊断方法、装置、设备及介质 |
CN117880055B (zh) * | 2024-03-12 | 2024-05-31 | 灵长智能科技(杭州)有限公司 | 基于传输层指标的网络故障诊断方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10645110B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
US10867034B2 (en) | Method for detecting a cyber attack | |
US10547674B2 (en) | Methods and systems for network flow analysis | |
US7561569B2 (en) | Packet flow monitoring tool and method | |
CN102624706B (zh) | 一种dns隐蔽信道的检测方法 | |
TW201703465A (zh) | 網路異常偵測技術 | |
CN107295021B (zh) | 一种基于集中管理的主机的安全检测方法及系统 | |
US11100046B2 (en) | Intelligent security context aware elastic storage | |
RU2014124009A (ru) | Метод и система потоковой передачи данных для обработки сетевых метаданных | |
CN112039904A (zh) | 一种网络流量分析与文件提取系统及方法 | |
CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
US20180139224A1 (en) | Collecting domain name system traffic | |
JPWO2008084729A1 (ja) | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム | |
JP6768964B2 (ja) | DDoS攻撃検出方法およびデバイス | |
CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
CN111028085A (zh) | 一种基于主被动结合的网络靶场资产信息采集方法及装置 | |
CN110035062A (zh) | 一种网络验伤方法及设备 | |
CN112929376A (zh) | 一种流量数据的处理方法、装置、计算机设备和存储介质 | |
Uramová et al. | Packet capture infrastructure based on Moloch | |
KR20090002889A (ko) | 보안 이벤트의 컨텐츠에 기반한 보안 이벤트 샘플링 장치및 방법 | |
CN103428195A (zh) | 一种未知病毒检测方法 | |
CN112714118A (zh) | 网络流量检测方法和装置 | |
CN114328925A (zh) | 流量数据处理方法、装置、探针设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |