CN114374569A - 一种报文的检测方法、装置、电子设备和存储介质 - Google Patents
一种报文的检测方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN114374569A CN114374569A CN202210279359.1A CN202210279359A CN114374569A CN 114374569 A CN114374569 A CN 114374569A CN 202210279359 A CN202210279359 A CN 202210279359A CN 114374569 A CN114374569 A CN 114374569A
- Authority
- CN
- China
- Prior art keywords
- message
- detection
- auxiliary
- list
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种报文的检测方法、装置、电子设备和存储介质。该方法包括:获取第一用户在当前时刻发起的第一报文;采用当前时间周期的辅助报文列表对所述第一报文进行检测,得到第一报文的第一检测结果;其中,所述辅助报文列表中的辅助报文根据检测规则匹配情况从在当前时间周期发起的第二报文中选择得到;若所述第一检测结果为检测不通过,则确定第一用户所关联的第一报文检测规则列表,并采用所述第一报文检测规则列表对所述第一报文进行检测,得到第一报文的第二检测结果。本发明在传统Linux netfilter框架上引进了以用户为中心的新管理匹配规则,报文处理过程精准匹配,降低了报文匹配复杂度;此外,在更新、添加和删除规则条目时,不影响其他数据。
Description
技术领域
本发明实施例涉及防火墙技术领域,尤其涉及一种报文的检测方法、装置、电子终端和存储介质。
背景技术
iptables/netfilter(下文中简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,满足大多数场景的需求,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。
iptables防火墙在整个网络流程的若干位置放置了多个检测点,并在检测点中加入的子链与规则,通过网络内核处理数据流,保护内部网络免受非法用户的侵入。然而,现有基于iptables防火墙的数据流处理方法,在iptables防火墙功能正常生效的情况下,数据流的处理时间长,数据流的处理效率低;iptables防火墙在检测点加入的子链与规则越多,当前数据流额外增加的代码量也就越多,处理时间也就越长,数据流的处理效率也就越低。
iptables防火墙在配置大量匹配规则尤其是包含ip/端口范围的场景时存在以下缺陷:
. iptables配置大量匹配规则时,报文处理会经过太多表和链,导致防火墙的吞吐能力和响应速度显著降低,CPU占用率也会显著提高;
. iptables规则更新时,需要重新创建所有规则,在大量匹配规则的前提下,更新和添加规则需要更长时间,严重情况下会导致已建链应用断链。
发明内容
本发明提供一种报文的检测方法、装置、电子设备和存储介质,以实现降低报文匹配复杂度,提高报文处理速度和降低更新匹配规则难度的目的。
根据本发明实施例的一方面,本发明实施例提供了一种报文的检测方法,所述方法包括:
获取第一用户在当前时刻发起的第一报文;
采用当前时间周期的辅助报文列表对所述第一报文进行检测,得到第一报文的第一检测结果;其中,所述辅助报文列表中的辅助报文根据检测规则匹配情况从在当前时间周期发起的第二报文中选择得到;
若所述第一检测结果为检测不通过,则确定第一用户所关联的第一报文检测规则列表,并采用所述第一报文检测规则列表对所述第一报文进行检测,得到第一报文的第二检测结果。
根据本发明实施例的另一方面,本发明实施例提供了一种报文的检测装置,所述装置包括:
第一报文获取模块,用于获取第一用户在当前时刻发起的第一报文;
辅助报文检测模块,用于采用当前时间周期的辅助报文列表对所述第一报文进行检测,得到第一报文的第一检测结果;其中,所述辅助报文列表中的辅助报文根据检测规则匹配情况从在当前时间周期发起的第二报文中选择得到;
第一规则检测模块,用于若所述第一检测结果为检测不通过,则确定第一用户所关联的第一报文检测规则列表,并采用所述第一报文检测规则列表对所述第一报文进行检测,得到第一报文的第二检测结果。
根据本发明实施例的另一方面,提供了一种电子设备,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明任意实施例提供的报文的检测方法。
根据本发明实施例的另一方面,提供了一种包含计算机可执行指令的存储介质,其中,所述计算机可执行指令在由计算机处理器执行时用于执行本发明任意实施例提供的报文的检测方法。
本发明在传统Linux平台下iptables/netfilter框架上引进了以用户为中心的辅助报文列表和用户规则表的新管理匹配规则,通过该两个列表对报文进行匹配,报文的处理过程精准匹配,降低了报文匹配复杂度;此外,辅助报文列表和用户规则表均是独立处理,添加、更新和删除只关注本条目,不影响其他数据,保证了iptables/netfilter框架的稳定性。
附图说明
图1为现有技术中iptables防火墙中链与表的关系示意图;
图2为本发明实施例一提供的一种报文的检测方法的流程图;
图3为本发明实施例二提供的一种报文的检测方法的流程图;
图4是本申请实施例二提供的表项结构和关系图;
图5是本申请实施例二提供的报文的检测流程图;
图6是本发明实施例三提供的报文的检测装置的结构示意图;
图7是本发明实施例四提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
对于Linux而言,iptables/netfilter是主流的网络防火墙解决方案,此方案能满足大多数场景的需求。该防火墙按照规则来处理报文,所述规则是网络管理员预定义的条件,例如源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等,其定义是“如果报文符合这样的条件,就这样处理这个数据包”,当报文与规则匹配时,iptables就根据规则所定义的方法来处理这些报文,如通过、拒绝和丢弃等,配置防火墙的主要工作就是添加、修改和删除这些规则。
使防火墙能够达到“防火”的目的,需要设置关卡,所有进出的报文都要通过这些关卡,这些关卡在iptables中被称为“链”,一条链上可能包含多个规则,这多个规则可能分别具有不同的功能,iptables把具有相同功能的规则的集合叫做“表”,不同功能的规则,被放置在不同的表中进行管理,在实际的使用过程中,往往是通过“表”作为操作入口,对规则进行定义,图1是本申请示出的iptables中链与表的关系示意图。
防火墙的作用就在于对经过的报文匹配“规则”,然后执行对应的“动作”,所以,当报文经过某一条链的时候,则必须匹配这条链上的规则,在iptables配置大量匹配规则时,大多数报文经过太多表和链中的规则,会显著的降低防火墙的吞吐能力和响应速度,CPU占用率显著提高,iptables在规则更新时,需要重新创建所有规则,更新和添加规则需要更长时间,严重情况下导致已建链应用断链。
实施例一
图2为本发明实施例一提供的报文的检测方法的流程图,本实施例可适用于iptables/netfilter框架上对报文进行检测过滤的情况,该方法可以由报文的检测装置来执行,该装置可以采用软件和/或硬件的方式来实现。该装置可配置于一种电子设备中,该方法具体包括:
S210、获取第一用户在当前时刻发起的第一报文。
其中,第一用户可以是自然人,示例的,该自然人通过其具有的账户在任一电脑上网,所述报文中携带有与该自然人账户匹配的标志数据,所述第一用户也可以是电脑等任意可以部署iptables防火墙的主机设备,所述报文中携带有与该主机设备匹配的标志数据。
iptables其实不是真正的防火墙,netfilter才是防火墙真正的安全框架,netfilter位于Linux系统的内核空间,iptables其实是一个命令行工具,位于用户空间,可以通过使用这个工具操作真正的框架。具体的,当客户端访问服务器的服务时,客户端发送报文到网卡,客户端的报文会通过内核的TCP协议传输到用户空间中的网络服务中,此时,即可以获取第一报文。
S220、采用当前时间周期的辅助报文列表对所述第一报文进行检测,得到第一报文的第一检测结果。
其中,所述辅助报文列表中的辅助报文根据检测规则匹配情况从在当前时间周期发起的第二报文中选择得到,具体的,将匹配通过的报文,即通过防火墙的报文作为辅助报文,添加至辅助报文列表中,示例的,所述第二报文可以是与第一报文相同的报文,也可以是完全不相同的报文,第一报文和第二报文可以来自于不同的用户。
在本申请的一个实施例中,所述辅助报文列表是一张哈希表,所述将匹配通过的报文作为辅助报文,添加至辅助报文列表中,具体可以是将辅助报文的五元组作为该哈希表中某一条目的键值,所述五元组是报文的源IP、源端口号、目的IP、目的端口号和协议号,由于辅助报文是通过防火墙匹配规则的报文,因此所述辅助报文列表的结果可以是“匹配通过”。所述辅助报文列表中的条目随着时间的延长而递增,本申请设置一个时间周期以对辅助报文列表进行维护,示例的,将存在时间超出时间周期的条目删除,示例的,所述时间周期可以是3~5分钟,具体的,所述时间周期设置为5分钟,若辅助报文列表中的某一条目存在时间超出5分钟,则删除所述条目,所以,存在于辅助报文列表中的辅助报文均可以被认定是处于当前的事件周期内。
在本申请的一个实施例中,采用所述辅助报文列表对所述第一报文进行检测,获得第一检测结果,所述检测结果包括检测通过和检测不通过,由于辅助报文是通过防火墙匹配规则的报文,因此,若第一报文通过所述辅助报文列表的检测,即表明第一报文是符合防火墙的规则匹配条件,此时,对第一报文的处理可以是通过;若未查中辅助报文列表,则表明第一报文不符合当前时间周期内辅助报文列表中辅助报文对应的防火墙规则匹配条件,此时,对第一报文的处理可以是对所述报文继续进行检测,例如采用第一报文对应的第一用户所关联的第一报文检测规则列表进行检测,即执行S230。
具体的,所述采用当前时间周期的辅助报文列表对所述第一报文进行检测,包括:确定当前报文的报文属性信息,所述报文属性信息包括时间属性信息和五元组属性信息,所述五元组属性信息包括报文的源IP、源端口号、目的IP、目的端口号和协议号;确定当前时间周期的辅助报文列表中各辅助报文的报文属性信息,所述各辅助报文的属性信息可以是报文的五元组属性信息;若当前报文的报文属性信息与任一辅助报文的报文属性信息匹配成功,则确定当前报文的第一检测结果为检测通过。示例的,根据前文所述,在辅助报文列表中存储的不是报文本身,而是辅助报文的五元组属性信息,那么,可以通过查表的方式来实现规则的匹配,若当前报文查中辅助报文列表,即表明第一报文是符合防火墙的规则匹配条件,将检测通过作为第一检测结果。
S230、采用第一报文检测规则列表对所述第一报文进行检测,得到第一报文的第二检测结果。
其中,所述第一报文检测规则列表包括第一用户绑定的所有规则,第一用户发出的所有报文均需要与第一用户绑定的规则进行匹配,以检测是否通过所述报文。
在本申请的实施例中,辅助报文列表中保存的检测通过的辅助报文,第一报文经辅助报文列表检测的第一检测结果为通过,即表明第一报文已经匹配到第一用户绑定的规则,此时不再需要采用第一报文检测规则列表对所述第一报文进行第二次检测,若所述第一检测结果为检测不通过,则确定第一用户所关联的第一报文检测规则列表,并采用所述第一报文检测规则列表对所述第一报文进行检测,得到第一报文的第二检测结果。
具体的,根据在第一报文进行辅助报文列表检测时获取的第一报文的时间属性信息和五元组属性信息,与第一报文检测规则列表进行匹配,获取第一报文的第二检测结果,第二检测结果包括检测通过和检测不通过,示例的,所述时间属性信息可以是第一报文的发送时间,所述第一报文检测规则列表规定了源地址的范围、源端口的范围、目的地址的范围、目的端口的范围、传输层协议和允许上网的时间,根据将所述当前报文的报文属性信息与第一报文检测规则列表中的第一报文检测规则依次进行匹配,只有当第一报文的时间属性信息和五元组属性信息全部与第一报文检测规则列表的规则匹配时,确定第一报文的第二检测结果为检测通过,否则,确定所述第一报文的第二检测结果为不通过。
若所述第一检测结果或所述第二检测结果为检测通过,则对检测通过的第一报文放行,否则,则丢弃所述报文。
本实施例的技术方案,获取第一用户在当前时刻发起的第一报文;采用当前时间周期的辅助报文列表对所述第一报文进行检测,得到第一报文的第一检测结果;其中,所述辅助报文列表中的辅助报文根据检测规则匹配情况从在当前时间周期发起的第二报文中选择得到;若所述第一检测结果为检测不通过,则确定第一用户所关联的第一报文检测规则列表,并采用所述第一报文检测规则列表对所述第一报文进行检测,得到第一报文的第二检测结果。本申请在传统的Linux防火墙技术中,引入辅助报文列表,在辅助报文列表检测不通过时,再与用户绑定的所有规则进行匹配,降低报文处理过程中匹配复杂度,减少对防火墙吞吐能力的影响。
在上述技术方案的基础上,所述采用当前时间周期的辅助报文列表对所述第一报文进行检测之前,还包括:
获取第二用户在第二时刻发起的第二报文;其中,所述第二报文可以是与第一报文相同的报文,也可以是完全不相同的报文,第一报文和第二报文可以来自于不同的用户,所述第二时刻属于所述当前时间周期,且早于第一时刻,这样设置的用意在于:辅助报文列表中的辅助报文会在超过设定时间后被删除,使第二报文与第一报文处于同一时间周期内且第二时刻早于第一时刻,能够保证在当前时间周期内辅助报文列表中存在能够与第一报文进行匹配的辅助报文。
确定第二用户所关联的第二报文检测规则列表,并将所述第二报文与第二报文检测规则列表中的第二报文检测规则依次进行匹配;所述第二报文检测规则列表包括第二用户绑定的所有规则,所述第二报文与第二报文检测规则列表的匹配过程可参见S230所述,在此不再赘述,值得说明的是,当第二用户与第一用户相同时,他们的报文规则检测列表也相同,此时,第二报文与第二报文检测规则列表的匹配过程即是第一报文与第一报文检测规则列表的匹配过程。
若第二报文与任一第二报文检测规则匹配成功,且第二报文的检测规则匹配次数大于预设的匹配次数阈值,则将所述第二报文添加到所述当前时间周期的辅助报文列表中。示例的,所述匹配次数阈值可以设置为1024,只将匹配成功且匹配次数超过1024次的第二报文作为辅助报文,添加到辅助报文列表中,之所以这样设置是因为,当第二报文的匹配次数超过1024次,认为本次第二报文处理过程中匹配复杂度较高,对防火墙吞吐能力有较大影响,当第二报文的匹配次数未超过1024次,认为本次第二报文处理过程中匹配复杂度低,对防火墙的吞吐能力和响应速度影响不大,采用现有技术中的报文处理流程即可。
实施例二
图3为本发明实施例二提供的报文的检测方法的流程图,本实施例是在上述实施例的基础上提出的一种可选的方案,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。参见图3,本实施例提供的报文的检测方法包括:
S310、获取第一用户在当前时刻发起的第一报文。
S320、确定当前报文的当前源IP。示例的,解析第一报文的报文头,获取第一报文的源IP作为当前报文的当前源IP。
S330、将与合法源IP关联的报文检测规则列表作为第一用户所关联的第一报文检测规则列表。
其中,所述合法源IP可以是合法用户的源IP,所述合法用户是符合iptables防火墙规则规定的用户,所述合法源IP关联的报文检测规则列表可以是合法用户绑定的所有规则。示例的,用户A合法,用户B不合法,用户A发送的报文具有通过iptables防火墙的权利,用户A的IP被认定是合法源IP,用户A绑定的所有规则组成用户A的检测规则列表,对于用户B发送的任何报文,iptables防火墙均不予以通过。若所述当前源IP与预设的任一合法源IP匹配成功,则确定所述当前报文合法,即所述报文是合法用户发出的,在此后,将与合法源IP关联的报文检测规则列表作为第一用户所关联的第一报文检测规则列表。
具体的,在本申请的一个实例中,创建iptables防火墙的用户表,示例的,所述用户表是哈希表,以报文的源IP作为键值,以用户绑定的规则作为结果,这样设置的好处在于可以判断所述当前报文是否合法,并在当所述当前报文合法时获取第一用户绑定的所有规则,在本申请的一个其他实例中,用户表的结果是一串规则表号,表示该用户绑定的所有规则,所述规则表可以是一张直接表,支持使用用户表中的规则表号直接索引到对应的规则条目,其内容为具体的规则匹配信息,包括五元组(支持IP/端口范围)匹配、时间匹配等iptables防火墙支持的匹配规则。
若所述当前源IP与各合法源IP均匹配失败,则确定所述当前报文非法,并丢弃所述当前报文。示例的,该匹配过程可以通过查用户表的方法实现,若查不中用户表即表明匹配失败,确定所述当前报文非法,并丢弃所述当前报文。
S340、采用当前时间周期的辅助报文列表对所述第一报文进行检测,得到第一报文的第一检测结果。
本实施例中,在采用当前时间周期的辅助报文列表对所述第一报文进行检测时,仅进行五元组匹配,不进行时间匹配,这是因为辅助报文列表的辅助报文是已经通过iptables防火墙的报文,辅助报文列表的每个时间周期时长较短,例如3~5分钟,这个时长并不会对报文的时间匹配结果造成影响。
S350、采用第一报文检测规则列表对所述第一报文进行检测,得到第一报文的第二检测结果。
具体的,在获取第一检测结果和第二检测结果之后,若所述第一检测结果或所述第二检测结果为检测通过,更新流量统计信息,方便后台人员进行统计和维护。
图4是本申请实施例二提供的表项结构和关系图,用户表和辅助报文列表使用哈希表,可以精准查找,减少匹配复杂度;规则表虽然采用直接表,但是由于用户表里保存的是绑定的规则表号,在规则表查找时可以精准获取到规则信息无需遍历整个规则表。此外,用户绑定规则较多时,通过增加辅助报文列表的方法避免报文遍历用户绑定的所有规则。本申请减少了报文在处理过程中的匹配复杂度,降低了报文处理流程过长对防火墙吞吐能力产生的影响。
在本申请的一个实施例中,还可以通过用户表、辅助报文列表和规则表进行iptables防火墙的规则添加、更新和删除,本申请中用户表、报文辅助列表和规则表都是相互独立的,当表项数据时,只需要修改对应表项的当前元素,不影响其他表项数据,不管用户表、报文辅助列表和规则表当前条目数是多少,都不会影响单个规则条目的添加、更新和删除。示例的,在规则表中进行规则添加、更新和删除,对应的,在用户表中更新对应的规则表号,即可实现对iptables防火墙的规则操作。
本申请的技术方案在基于传统的Linux iptables/netfilter框架基础上,合理使用表项管理大量匹配规则,打破了原有的iptables思想,从用户的角度来实现Linux防火墙。辅助报文列表的提出可以有效的降低报文匹配复杂度也可以很好扩充匹配规则的容量,解决了因匹配规则增加导致的性能和稳定性问题。此外,本次发明将用户信息与匹配信息隔离,这使得防火墙方案有更好的扩展性。在内存允许的情况下,用户和规则的容量也得到很好的扩充。
在上述各个实施例的基础上,图5是本申请实施例二提供的报文的检测流程图,报文检测的流程如下:
.从报文中获取源IP作为键值,查用户表,用户表未查中则直接丢弃所述报文;
.用户表查中,获取报文的五元组属性信息,继续查辅助报文列表,辅助报文列表查中则更新流量统计,报文通过;
. 辅助报文列表未查中,从用户表结果中获取用户关联的所有匹配规则号,通过匹配规则号,获取匹配规则信息,同时获取报文的五元组和时间戳信息;
.把报文信息与绑定的匹配规则一一匹配,直到找到符合规则的条目,如果所有规则都不匹配,则报文不合法,丢弃;找到匹配条目则更新流量统计,报文通过;
.匹配成功且经过的规则条目数量小于1024条 ,无需操作;如果经过的规则条目数量大于1024则创建用户热表。
本申请基于传统的Linux防火墙技术中,引入了用户表和辅助报文列表管理匹配规则的思想,通过精准查找用户表确认用户是否合法,再通过用户绑定的规则来定位本次报文是否满足规则条件,当用户绑定的规则条目过多时,引入辅助报文列表,降低报文处理过程中匹配复杂度,减少对防火墙吞吐能力的影响。
实施例三
图6是本发明实施例三提供的报文的检测装置的结构示意图,所述装置600具体包括:第一报文获取模块610、辅助报文检测模块620和第一规则检测模块630。其中,
所述第一报文获取模块,用于获取第一用户在当前时刻发起的第一报文;
所述辅助报文检测模块,用于采用当前时间周期的辅助报文列表对所述第一报文进行检测,得到第一报文的第一检测结果;其中,所述辅助报文列表中的辅助报文根据检测规则匹配情况从在当前时间周期发起的第二报文中选择得到;
所述第一规则检测模块,用于若所述第一检测结果为检测不通过,则确定第一用户所关联的第一报文检测规则列表,并采用所述第一报文检测规则列表对所述第一报文进行检测,得到第一报文的第二检测结果。
本申请在传统的Linux防火墙技术中,引入辅助报文列表,在辅助报文列表检测不通过时,再与用户绑定的所有规则进行匹配,降低报文处理过程中匹配复杂度,减少对防火墙吞吐能力的影响。
所述装置还包括:
第二报文获取模块,用于获取第二用户在第二时刻发起的第二报文;所述第二时刻属于所述当前时间周期,且早于第一时刻;
第二规则检测模块,用于确定第二用户所关联的第二报文检测规则列表,并将所述第二报文与第二报文检测规则列表中的第二报文检测规则依次进行匹配;
辅助报文添加模块,用于若第二报文与任一第二报文检测规则匹配成功,且第二报文的检测规则匹配次数大于预设的匹配次数阈值,则将所述第二报文添加到所述当前时间周期的辅助报文列表中。
所述辅助报文检测模块,具体用于确定当前报文的报文属性信息;所述报文属性信息包括时间属性信息和五元组属性信息;所述五元组属性信息包括报文的源IP地址,源端口,目的IP地址,目的端口和传输层协议;
确定当前时间周期的辅助报文列表中各辅助报文的报文属性信息;
若当前报文的报文属性信息与任一辅助报文的报文属性信息匹配成功,则确定当前报文的第一检测结果为检测通过。
所述装置还包括:
报文IP获取模块,用于确定当前报文的当前源IP;
用户表匹配模块,用于若所述当前源IP与预设的任一合法源IP匹配成功,则确定所述当前报文合法,并将与该合法源IP关联的报文检测规则列表作为第一用户所关联的第一报文检测规则列表。
所述用户表匹配模块,还用于若所述当前源IP与各合法源IP均匹配失败,则确定所述当前报文非法,并丢弃所述当前报文。
流量统计模块,用于若所述第一检测结果或所述第二检测结果为检测通过,还更新流量统计信息。
本发明实施例所提供的报文的检测装置可执行本发明任意实施例所提供的报文的检测方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本公开任意实施例提供的基于用户行为的测试方法。
本申请的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和公开等,均符合相关法律法规的规定,且不违背公序良俗。
实施例四
图7是本发明实施例四提供的一种电子设备的结构示意图,如图7所示,该电子设备700包括处理器710、存储器720、输入装置730和输出装置740;电子设备中处理器710的数量可以是一个或多个,图7中以一个处理器710为例;电子设备中的处理器710、存储器720、输入装置730和输出装置740可以通过总线或其他方式连接,图7中以通过总线连接为例。
存储器720作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的仿冒应用链接的检测算法对应的程序指令/模块(例如,第一报文获取模块610、辅助报文检测模块620和第一规则检测模块630)。处理器710通过运行存储在存储器720中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现上述的报文的检测方法。
存储器720可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器720可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器720可进一步包括相对于处理器710远程设置的存储器,这些远程存储器可以通过网络连接至设备/终端/服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置730可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置740可包括显示屏等显示设备。
实施例五
本发明实施例五还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种报文的检测方法,该方法包括:
获取第一用户在当前时刻发起的第一报文;
采用当前时间周期的辅助报文列表对所述第一报文进行检测,得到第一报文的第一检测结果;其中,所述辅助报文列表中的辅助报文根据检测规则匹配情况从在当前时间周期发起的第二报文中选择得到;
若所述第一检测结果为检测不通过,则确定第一用户所关联的第一报文检测规则列表,并采用所述第一报文检测规则列表对所述第一报文进行检测,得到第一报文的第二检测结果。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的报文的检测方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(RandomAccess Memory, RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述搜索装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种报文的检测方法,其特征在于,包括:
获取第一用户在当前时刻发起的第一报文;
采用当前时间周期的辅助报文列表对所述第一报文进行检测,得到第一报文的第一检测结果;其中,所述辅助报文列表中的辅助报文根据检测规则匹配情况从在当前时间周期发起的第二报文中选择得到;
若所述第一检测结果为检测不通过,则确定第一用户所关联的第一报文检测规则列表,并采用所述第一报文检测规则列表对所述第一报文进行检测,得到第一报文的第二检测结果。
2.根据权利要求1所述的方法,其特征在于,所述采用当前时间周期的辅助报文列表对所述第一报文进行检测之前,还包括:
获取第二用户在第二时刻发起的第二报文;所述第二时刻属于所述当前时间周期,且早于第一时刻;
确定第二用户所关联的第二报文检测规则列表,并将所述第二报文与第二报文检测规则列表中的第二报文检测规则依次进行匹配;
若第二报文与任一第二报文检测规则匹配成功,且第二报文的检测规则匹配次数大于预设的匹配次数阈值,则将所述第二报文添加到所述当前时间周期的辅助报文列表中。
3.根据权利要求1所述的方法,其特征在于,所述采用当前时间周期的辅助报文列表对所述第一报文进行检测,包括:
确定当前报文的报文属性信息;所述报文属性信息包括时间属性信息和五元组属性信息;所述五元组属性信息包括报文的源IP地址,源端口,目的IP地址,目的端口和传输层协议;
确定当前时间周期的辅助报文列表中各辅助报文的报文属性信息;
若当前报文的报文属性信息与任一辅助报文的报文属性信息匹配成功,则确定当前报文的第一检测结果为检测通过。
4.根据权利要求1所述的方法,其特征在于,所述采用当前时间周期的辅助报文列表对所述第一报文进行检测之前,还包括:
确定当前报文的当前源IP;
若所述当前源IP与预设的任一合法源IP匹配成功,则确定所述当前报文合法,并将与该合法源IP关联的报文检测规则列表作为第一用户所关联的第一报文检测规则列表。
5.根据权利要求4所述的方法,其特征在于,所述确定当前报文的当前源IP之后,还包括:
若所述当前源IP与各合法源IP均匹配失败,则确定所述当前报文非法,并丢弃所述当前报文。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述第一检测结果或所述第二检测结果为检测通过,还更新流量统计信息。
7.一种报文的检测装置,其特征在于,包括:
第一报文获取模块,用于获取第一用户在当前时刻发起的第一报文;
辅助报文检测模块,用于采用当前时间周期的辅助报文列表对所述第一报文进行检测,得到第一报文的第一检测结果;其中,所述辅助报文列表中的辅助报文根据检测规则匹配情况从在当前时间周期发起的第二报文中选择得到;
第一规则检测模块,用于若所述第一检测结果为检测不通过,则确定第一用户所关联的第一报文检测规则列表,并采用所述第一报文检测规则列表对所述第一报文进行检测,得到第一报文的第二检测结果。
8.根据权利要求7所述的报文的检测装置,其特征在于,所述装置还包括:
第二报文获取模块,用于获取第二用户在第二时刻发起的第二报文;所述第二时刻属于所述当前时间周期,且早于第一时刻;
第二规则检测模块,用于确定第二用户所关联的第二报文检测规则列表,并将所述第二报文与第二报文检测规则列表中的第二报文检测规则依次进行匹配;
辅助报文添加模块,用于若第二报文与任一第二报文检测规则匹配成功,且第二报文的检测规则匹配次数大于预设的匹配次数阈值,则将所述第二报文添加到所述当前时间周期的辅助报文列表中。
9.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的报文的检测方法。
10.一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-6中任一所述的报文的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210279359.1A CN114374569B (zh) | 2022-03-22 | 2022-03-22 | 一种报文的检测方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210279359.1A CN114374569B (zh) | 2022-03-22 | 2022-03-22 | 一种报文的检测方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114374569A true CN114374569A (zh) | 2022-04-19 |
| CN114374569B CN114374569B (zh) | 2022-07-05 |
Family
ID=81146439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210279359.1A Active CN114374569B (zh) | 2022-03-22 | 2022-03-22 | 一种报文的检测方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114374569B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174426A (zh) * | 2022-07-21 | 2022-10-11 | 北京物芯科技有限责任公司 | 一种输出报文检测方法、装置、电子设备及存储介质 |
| CN117041392A (zh) * | 2023-10-07 | 2023-11-10 | 中科方德软件有限公司 | 数据包的处理方法、装置、电子设备和介质 |
| CN117176475A (zh) * | 2023-11-02 | 2023-12-05 | 成都卓拙科技有限公司 | 规则配置方法、装置、linux主机及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004320644A (ja) * | 2003-04-18 | 2004-11-11 | Nippon Telegr & Teleph Corp <Ntt> | ファイアウォール検査システム、ファイアウォール検査方法、ファイアウォール検査用プログラム、及びファイアウォール検査用記録媒体 |
| CN102123102A (zh) * | 2011-03-29 | 2011-07-13 | 成都市华为赛门铁克科技有限公司 | 节点保护方法、包过滤装置及虚拟网络系统 |
| CN106657161A (zh) * | 2017-02-28 | 2017-05-10 | 杭州迪普科技股份有限公司 | 数据包过滤的实现方法和装置 |
| CN106657055A (zh) * | 2016-12-19 | 2017-05-10 | 北京网御星云信息技术有限公司 | 一种报文过滤方法及系统 |
| JP2018174471A (ja) * | 2017-03-31 | 2018-11-08 | 西日本電信電話株式会社 | 通信制御装置、通信制御システム、通信制御方法及び通信制御プログラム |
| CN110381053A (zh) * | 2019-07-16 | 2019-10-25 | 新华三信息安全技术有限公司 | 一种报文过滤方法及装置 |
| CN112333097A (zh) * | 2020-09-29 | 2021-02-05 | 新华三信息安全技术有限公司 | 一种报文转发方法、装置及网关设备 |
-
2022
- 2022-03-22 CN CN202210279359.1A patent/CN114374569B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004320644A (ja) * | 2003-04-18 | 2004-11-11 | Nippon Telegr & Teleph Corp <Ntt> | ファイアウォール検査システム、ファイアウォール検査方法、ファイアウォール検査用プログラム、及びファイアウォール検査用記録媒体 |
| CN102123102A (zh) * | 2011-03-29 | 2011-07-13 | 成都市华为赛门铁克科技有限公司 | 节点保护方法、包过滤装置及虚拟网络系统 |
| CN106657055A (zh) * | 2016-12-19 | 2017-05-10 | 北京网御星云信息技术有限公司 | 一种报文过滤方法及系统 |
| CN106657161A (zh) * | 2017-02-28 | 2017-05-10 | 杭州迪普科技股份有限公司 | 数据包过滤的实现方法和装置 |
| JP2018174471A (ja) * | 2017-03-31 | 2018-11-08 | 西日本電信電話株式会社 | 通信制御装置、通信制御システム、通信制御方法及び通信制御プログラム |
| CN110381053A (zh) * | 2019-07-16 | 2019-10-25 | 新华三信息安全技术有限公司 | 一种报文过滤方法及装置 |
| CN112333097A (zh) * | 2020-09-29 | 2021-02-05 | 新华三信息安全技术有限公司 | 一种报文转发方法、装置及网关设备 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174426A (zh) * | 2022-07-21 | 2022-10-11 | 北京物芯科技有限责任公司 | 一种输出报文检测方法、装置、电子设备及存储介质 |
| CN115174426B (zh) * | 2022-07-21 | 2024-04-12 | 北京物芯科技有限责任公司 | 一种输出报文检测方法、装置、电子设备及存储介质 |
| CN117041392A (zh) * | 2023-10-07 | 2023-11-10 | 中科方德软件有限公司 | 数据包的处理方法、装置、电子设备和介质 |
| CN117041392B (zh) * | 2023-10-07 | 2024-06-04 | 中科方德软件有限公司 | 数据包的处理方法、装置、电子设备和介质 |
| CN117176475A (zh) * | 2023-11-02 | 2023-12-05 | 成都卓拙科技有限公司 | 规则配置方法、装置、linux主机及存储介质 |
| CN117176475B (zh) * | 2023-11-02 | 2024-02-27 | 成都卓拙科技有限公司 | 规则配置方法、装置、linux主机及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114374569B (zh) | 2022-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114374569B (zh) | 一种报文的检测方法、装置、电子设备和存储介质 | |
| US7835348B2 (en) | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch | |
| US7424744B1 (en) | Signature based network intrusion detection system and method | |
| CN108701187B (zh) | 用于混合硬件软件分布式威胁分析的设备和方法 | |
| US9306974B1 (en) | System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits | |
| US9001661B2 (en) | Packet classification in a network security device | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| CN111193719A (zh) | 一种网络入侵防护系统 | |
| JP4774307B2 (ja) | 不正アクセス監視装置及びパケット中継装置 | |
| US20050182950A1 (en) | Network security system and method | |
| US11290424B2 (en) | Methods and systems for efficient network protection | |
| EP3905622A1 (en) | Botnet detection method and system, and storage medium | |
| CN112769833B (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| US20230412591A1 (en) | Traffic processing method and protection system | |
| US10291632B2 (en) | Filtering of metadata signatures | |
| CN112671759A (zh) | 基于多维度分析的dns隧道检测方法和装置 | |
| KR100656483B1 (ko) | IPv4-IPv6 네트워크에서의 보안 장치 및 방법 | |
| US11330011B2 (en) | Avoidance of over-mitigation during automated DDOS filtering | |
| Meng et al. | Adaptive context-aware packet filter scheme using statistic-based blacklist generation in network intrusion detection | |
| US11770405B2 (en) | Automated selection of DDoS countermeasures using statistical analysis | |
| CN112565259B (zh) | 过滤dns隧道木马通信数据的方法及装置 | |
| EP4187416A1 (en) | Method and apparatus for protecting a computing device connected to a network | |
| US20240146762A1 (en) | Intelligent manipulation of denial-of-service attack traffic | |
| CN115348042A (zh) | 监测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |