CN116827655A - 流量检测加速方法和系统、电子设备及存储介质 - Google Patents

流量检测加速方法和系统、电子设备及存储介质 Download PDF

Info

Publication number
CN116827655A
CN116827655A CN202310837306.1A CN202310837306A CN116827655A CN 116827655 A CN116827655 A CN 116827655A CN 202310837306 A CN202310837306 A CN 202310837306A CN 116827655 A CN116827655 A CN 116827655A
Authority
CN
China
Prior art keywords
abnormal
data
flow
hash value
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310837306.1A
Other languages
English (en)
Inventor
张硕
严定宇
刘亚萍
贾焰
杨茂森
黄帅
胡灿林
周逸菲
许名广
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peng Cheng Laboratory
Original Assignee
Peng Cheng Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peng Cheng Laboratory filed Critical Peng Cheng Laboratory
Priority to CN202310837306.1A priority Critical patent/CN116827655A/zh
Publication of CN116827655A publication Critical patent/CN116827655A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本申请实施例提供了一种流量检测加速方法和系统、电子设备及存储介质,属于通信技术领域。本申请的流量加速硬件子系统能够根据预先设定的第一异常流量特征表对流量检测中的流量数据进行异常匹配,对成功匹配的流量数据采取异常处理,并将未成功匹配的流量数据通过数据处理中心模块转至流量检测子系统,以使得流量检测子系统对待识别数据进行流量检测,其中,流量加速硬件子系统为硬件系统,流量检测子系统为软件系统,即通过软硬件结合的方式,提高了流量检测的速度和流量检测的效率。

Description

流量检测加速方法和系统、电子设备及存储介质
技术领域
本申请涉及通信技术领域,尤其涉及一种流量检测加速方法和系统、电子设备及存储介质。
背景技术
随着网络技术的飞速发展,网络上针对主机的攻击行为也层出不穷,这样的攻击行为容易导致主机服务的中断、系统的崩溃以及恶意软件的传播等问题,严重的,还可能会造成重要数据的泄露或篡改,引起不可挽回的后果。
目前,普遍采用部署在主机服务器或者中间设备上的防火墙与入侵监测系统(Intrusion Detection System,IDS)/入侵防御系统(Intrusion Prevention System,IPS)进行协调防御,即由软件执行流量检测与恶意流量阻断等行为。然而,由于网络技术的不断提升,核心网络带宽已达到数百千兆比特/秒(Gbps),现有的基于软件的IDS/IPS流量检测方法受到CPU性能的限制,使得流量检测的速度不快且效率不高。
发明内容
本申请实施例的主要目的在于提出一种流量检测加速方法和系统、电子设备及存储介质,能够提高流量检测的速度和流量检测的效率。
为实现上述目的,本申请实施例的第一方面提出了一种流量检测加速方法,应用于流量加速硬件子系统;所述流量加速硬件子系统与数据处理中心模块连接,所述流量加速硬件子系统包括数据包解析模块和硬件处理模块,所述方法包括:利用所述数据处理中心模块中获取包含多个流特征信息的第一流量数据,将所述第一流量数据发送至所述数据包解析模块;所述数据包解析模块对所述第一流量数据进行数据解析得到的至少一个流特征信息,并根据所述至少一个流特征信息进行第一哈希计算,得到第一哈希值;利用所述硬件处理模块在预先设定的第一异常流量特征表中查找所述第一哈希值,其中,所述第一异常流量特征表包括至少一个第一异常特征信息,所述第一异常特征信息包括第一异常哈希值;若所述第一哈希值与任一第一异常哈希值匹配,确定所述第一流量数据为第一目标异常数据,按照对应的第一异常特征信息对所述第一目标异常数据进行异常处理,并更新所述第一异常流量特征表;若所述第一哈希值与任一第一异常哈希值均不匹配,确定所述第一流量数据为待识别数据,并将所述待识别数据通过所述数据处理中心模块发送至流量检测子系统,以使得所述流量检测子系统对所述待识别数据进行流量检测。
在一些实施例中,所述按照对应的所述第一异常特征信息对所述第一目标异常数据进行异常处理,并更新所述第一异常流量特征表,包括:根据所述第一异常哈希值,在所述第一异常流量特征表中确定对应的第一异常特征信息,其中,所述第一异常特征信息包括第一命中时间、第一命中次数和第一命中动作;若匹配的所述第一命中动作为数据丢弃,丢弃所述第一目标异常数据;若匹配的所述第一异常特征信息的第一命中动作为数据通过,为所述第一目标异常数据添加保存标签,将附有所述保存标签的第一目标异常数据发送至所述数据处理中心,以使所述流量检测子系统根据所述保存标签对所述第一目标异常数据进行数据保存操作;根据所述第一目标异常数据的第一命中时间和对应的第一命中次数,更新所述第一异常流量特征表。
在一些实施例中,所述第一异常特征信息还包括第一老化值;所述将所述待识别数据通过所述数据处理中心模块发送至流量检测子系统之后,还包括:当到达预设的老化时间时,根据预设的单位老化值,对所述第一异常流量特征表中的每一第一老化值进行差值运算,得到更新老化值;若所述更新老化值为最小老化值,在所述第一异常流量特征表中删除所述更新老化值对应的所述第一异常特征信息。
在一些实施例中,所述第一异常特征信息还包括第一异常编号,所述第一异常编号用于表征所述第一异常特征信息在所述第一异常流量特征表中的唯一标识;所述流量检测子系统还包括预先设定的第二异常流量特征表;所述将所述待识别数据通过所述数据处理中心模块发送至流量检测子系统之后,还包括:接收流量检测子系统的查询请求,所述查询请求包括第一异常编号;根据所述第一异常编号,在所述第一异常流量特征表中确定对应的第一异常特征信息;根据所述第一异常特征信息,确定异常查询信息,所述异常查询信息包括查询命中次数、查询命中时间和查询老化值;根据所述异常查询信息,生成查询响应;并将所述查询响应发送给所述流量检测子系统,以使所述流量检测子系统根据所述异常查询信息对所述第二异常流量特征表进行更新,其中,所述第一异常流量特征表为所述第二异常流量特征表的子表,所述第二异常流量特征表包括至少一个第二异常特征信息,所述第二异常特征信息为所述流量检测子系统根据检测规则生成。
在一些实施例中,所述流量检测子系统通过数据处理中心模块与流量加速硬件子系统连接;所述第一异常流量特征表还包括预设的数据存储位阈值,所述数据存储位阈值用于表征所述第一异常流量特征表的项数;所述流量加速硬件子系统还包括接口模块,所述接口模块与所述第一异常流量特征表关联;所述将所述待识别数据通过所述数据处理中心模块发送至流量检测子系统之后,还包括:接收所述流量检测子系统的更新请求;若所述第一异常流量特征表中的第一异常特征信息数量少于所述数据存储位阈值,向所述流量检测子系统发送更新请求响应;通过所述接口模块接收所述流量检测子系统发送的更新异常数据信息,其中,更新异常数据信息与所述第二异常特征信息对应,所述更新异常数据信息包括更新异常编号、更新异常哈希值、更新命中时间、更新命中次数和更新命中动作;将所述更新异常数据信息插入所述第一异常流量特征表中,以完成所述第一异常流量特征表的更新;若所述第一异常流量特征表中的第一异常特征信息数量等于预设的数据存储位阈值,向所述流量检测子系统发送更新失败响应。
在一些实施例中,所述流量检测子系统用于对所述待识别数据进行流量检测时执行以下步骤:对所述待识别数据进行数据解析,并根据解析得到的至少一个流特征信息确定第二哈希值;在预先设定的第二异常流量特征表中查找所述第二哈希值,其中,所述第二异常特征信息包括第二异常哈希值;若所述第二哈希值与任一第二异常哈希值匹配,确定所述待识别数据为第二目标异常数据,并按照对应的所述第二异常特征信息对所述第二目标异常数据进行异常处理;若所述第二哈希值与任一第二异常哈希值均不匹配,确定所述待识别数据为标准数据,并对所述第二流量数据采取标准化数据操作。
为实现上述目的,本申请实施例的第二方面提出了一种流量检测加速方法,应用于流量检测子系统,所述流量检测子系统通过数据处理中心模块与流量加速硬件子系统连接,所述流量检测子系统包括软件处理模块和数据保存模块,所述方法包括:利用所述数据处理中心模块中获取包含多个流特征信息的第二流量数据,将所述第二流量数据发送至软件处理模块;若所述第二流量数据包括保存标签,将所述第二流量数据存储至数据保存模块,其中,所述保存标签用于表征所述第二流量数据在流量加速硬件子系统的数据异常处理情况;若所述第二流量数据不包括保存标签,利用软件处理模块对所述第二流量数据进行数据解析,并根据解析得到的至少一个流特征信息进行第二哈希计算,得到第二哈希值;利用所述软件处理模块在预先设定的第二异常流量特征表中进行查找所述第二哈希值,其中,所述第二异常流量特征表包括至少一个第二异常特征信息,所述第二异常特征信息包括第二异常哈希值;若所述第二哈希值与任一第二异常哈希值匹配,确定所述第二流量数据为第二目标异常数据,并按照对应的所述第二异常特征信息对所述第二目标异常数据进行异常处理,并更新所述第二异常特征表;若所述第二哈希值与任一第二异常哈希值均不匹配,确定所述第二流量数据为标准数据,并对所述第二流量数据采取标准化数据操作。
在一些实施例中,所述预设的第二异常流量特征表的生成过程包括以下步骤:获取预设的检测规则和检测流量数据;根据所述检测规则判断所述检测流量数据的数据类型,其中,所述数据类型包括异常数据和标准数据;当所述检测流量数据为异常数据时,解析所述异常数据,得到多个流特征信息;并根据至少一个所述流特征信息,得到第二命中时间、第二命中次数、第二异常哈希值;获取预设的异常处理规则;根据所述异常处理规则,得到第二异常编号和第二老化值;根据所述第二命中时间、所述第二命中次数、所述第二异常哈希值、所述第二异常编号和所述第二老化值,生成第二异常数据信息;根据所述第二异常数据信息,确定所述第二异常流量特征表。
在一些实施例中,所述对所述第二流量数据采取标准化数据操作之后,还包括:向所述流量加速硬件子系统发送更新请求;当接收到所述流量加速硬件子系统返回的更新请求响应时,向所述流量加速硬件子系统发送更新异常数据信息,所述更新异常数据信息包括更新异常哈希值、更新命中时间、更新命中次数和更新命中动作。
在一些实施例中,所述流量检测子系统还与所述对所述第二流量数据采取标准化数据操作之后,还包括:向所述流量加速硬件子系统发送查询请求,所述查询请求包括待查询的第一异常编号,其中,所述第一异常编号和所述第二异常编号对应;接收所述流量加速硬件子系统发送的异常查询信息,其中,所述异常查询信息包括查询命中次数、查询命中时间和查询老化值;根据所述异常查询信息,更新所述第二异常流量特征表中的第二命中次数、第二命中时间和第二老化值。
为实现上述目的,本申请实施例的第三方面提出了一种流量检测加速系统,所述系统包括:数据获取模块,用于从数据处理中心模块中获取包含多个流特征信息的第一流量数据,并将所述第一流量数据发送至解析模块;数据解析模块,用于所述解析模块对所述第一流量数据进行数据解析,并根据解析得到的至少一个流特征信息进行第一哈希计算,得到第一哈希值;查找模块,用于硬件处理模块根据所述第一哈希值,在预先设定的第一异常流量特征表中进行查找,其中,所述第一异常流量特征表包括至少一个第一异常特征信息,所述第一异常特征信息包括第一异常哈希值;匹配模块,用于若所述第一哈希值与任一第一异常哈希值匹配,确定所述第一流量数据为第一目标异常数据,并按照对应的第一异常特征信息对所述第一目标异常数据进行异常处理,并更新所述第一异常流量特征表;若所述第一哈希值与任一第一异常哈希值均不匹配,确定所述第一流量数据为待识别数据,并将所述待识别数据发送回所述数据处理中心模块。
为实现上述目的,本申请实施例的第四方面提出了一种电子设备,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的流量检测加速方法或者第二方面所述的流量检测加速方法。
为实现上述目的,本申请实施例的第五方面提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的流量检测加速方法或者第二方面所述的流量检测加速方法。
本申请提出的一种流量检测加速方法和系统、电子设备及存储介质,其中,流量检测加速方法可以应用在流量检测加速系统中。
本申请的流量检测加速系统包括流量加速硬件子系统和流量检测子系统,其中,通过利用数据处理中心模块中获取包含多个流特征信息的第一流量数据,将第一流量数据发送至数据包解析模块;接着,数据包解析模块对第一流量数据进行数据解析得到的至少一个流特征信息,并根据至少一个流特征信息进行第一哈希计算,得到第一哈希值;之后,利用硬件处理模块在预先设定的第一异常流量特征表中查找第一哈希值,其中,第一异常流量特征表包括至少一个第一异常特征信息,第一异常特征信息包括第一异常哈希值;此时,若第一哈希值与任一第一异常哈希值匹配,确定第一流量数据为第一目标异常数据,按照对应的第一异常特征信息对第一目标异常数据进行异常处理,并更新第一异常流量特征表;若第一哈希值与任一第一异常哈希值均不匹配,确定第一流量数据为待识别数据,并将待识别数据通过数据处理中心模块发送至流量检测子系统,以使得流量检测子系统对待识别数据进行流量检测。
本申请的流量加速硬件子系统能够根据预先设定的第一异常流量特征表对流量检测中的流量数据进行异常匹配,对成功匹配的流量数据采取异常处理,并将未成功匹配的流量数据通过数据处理中心模块转至流量检测子系统,以使得流量检测子系统对待识别数据进行流量检测,其中,流量加速硬件子系统为硬件系统,流量检测子系统为软件系统,即通过软硬件结合的方式,提高了流量检测的速度和流量检测的效率。
附图说明
图1是本申请实施例提供的流量检测加速系统的应用场景示意图;
图2是本申请实施例提供的流量检测加速方法的一个可选系统架构示意图;
图3是本申请实施例提供的流量检测加速方法的另一个可选系统架构示意图;
图4是本申请实施例提供的流量检测加速方法的流量加速硬件子系统的一个可选流程示意图;
图5是本申请实施例提供的流量检测加速方法的流量检测子系统的一个可选流程示意图;
图6是本申请实施例提供的流量检测加速方法的一个可选的流程图;
图7是本申请实施例提供的流量检测加速方法的一个异常流量特征表的示意图;
图8是图6中的步骤S104的一个实现流程图;
图9是本申请实施例提供的流量检测加速方法的另一个可选的流程图;
图10是本申请实施例提供的流量检测加速方法的又一个可选的流程图;
图11是本申请实施例提供的流量检测加速方法的还一个可选的流程图;
图12是本申请实施例提供的流量检测加速方法的再一个可选的流程图;
图13是本申请实施例提供的流量检测加速方法应用在流量检测子系统中的一个可选的流程图;
图14是本申请实施例提供的流量检测加速方法应用在流量检测子系统中的另一个可选的流程图;
图15是本申请实施例提供的流量检测加速方法应用在流量检测子系统中的又一个可选的流程图;
图16是本申请实施例提供的流量检测加速方法应用在流量检测子系统中的又一个可选的流程图;
图17是本申请实施例提供的流量检测加速的功能模块示意图;
图18是本申请实施例提供的电子设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
首先,对本申请中涉及的若干名词进行解析:
人工智能(artificial intelligence,AI):是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学;人工智能是计算机科学的一个分支,人工智能企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器,该领域的研究包括机器人、语言识别、图像识别、自然语言处理和专家系统等。人工智能可以对人的意识、思维的信息过程的模拟。人工智能还是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
自然语言处理(natural language processing,NLP):NLP用计算机来处理、理解以及运用人类语言(如中文、英文等),NLP属于人工智能的一个分支,是计算机科学与语言学的交叉学科,又常被称为计算语言学。自然语言处理包括语法分析、语义分析、篇章理解等。自然语言处理常用于机器翻译、手写体和印刷体字符识别、语音识别及文语转换、信息意图识别、信息抽取与过滤、文本分类与聚类、舆情分析和观点挖掘等技术领域,它涉及与语言处理相关的数据挖掘、机器学习、知识获取、知识工程、人工智能研究和与语言计算相关的语言学研究等。
信息抽取(Information Extraction):从自然语言文本中抽取指定类型的实体、关系、事件等事实信息,并形成结构化数据输出的文本处理技术。信息抽取是从文本数据中抽取特定信息的一种技术。文本数据是由一些具体的单位构成的,例如句子、段落、篇章,文本信息正是由一些小的具体的单位构成的,例如字、词、词组、句子、段落或是这些具体的单位的组合。抽取文本数据中的名词短语、人名、地名等都是文本信息抽取,当然,文本信息抽取技术所抽取的信息可以是各种类型的信息。
入侵监测系统(Intrusion Detection System,IDS),是一种安全技术,用于监测计算机网络或系统中的潜在入侵活动。IDS旨在识别和响应计算机网络或系统中的恶意行为,以保护系统免受未经授权的访问、攻击或滥用。其通过监测网络流量、系统日志和其他相关数据源,检测和分析异常行为或特定的攻击模式,它可以识别潜在的入侵行为,如网络扫描、恶意软件传播、拒绝服务攻击、非法访问等,并发出警报或采取其他响应措施。
入侵防御系统(Intrusion Prevention System,IPS),同样是一种安全技术,用于检测和阻止计算机网络或系统中的潜在入侵行为。与IDS不同的是,IPS不仅能够检测入侵行为,还可以主动采取措施来阻止恶意活动的发生。其通过监测网络流量、系统日志和其他相关数据源,检测和分析异常行为或特定的攻击模式。当它发现潜在的入侵行为时,它可以采取一系列的响应措施来阻止入侵,这些措施可以包括封锁攻击者的IP地址、阻止恶意流量、禁止特定的网络连接和协议等。
随着网络技术的飞速发展,针对网络主机的攻击行为也不断增加,许多攻击行为使用新型攻击工具与手段,会导致传统检测与防护措施失效。通常,为了有效识别攻击者与攻击行为,会将IPS/IDS与防火墙结合使用,建立起一个多层次的防御策略,来提高对各种网络攻击和入侵行为的检测和防御能力。其中,防火墙可以提供基本的网络隔离和访问控制,而IPS/IDS可以对网络系统的状态进行监视,以识别并阻止入侵者与入侵行为,并对可能的攻击行为采取记录,告警,阻断等动作。
其中,现有的IDS/IPS通常部署主机服务器或中间设备上,由软件执行流量检测与恶意流量阻断等行为。随着网络带宽的不断提升,互联网服务提供商(Internet ServiceProvider,ISP)的核心网络带宽已达到百千兆比特/秒(Gbps),然而现有基于软件的IDS/IPS流量检测方法受到CPU性能限制,难以实现在高带宽,大流量场景下进行流量检测与流量阻断工作。
基于此,本申请实施例提供了一种流量检测加速方法和系统、电子设备及存储介质,能够根据预先设定的第一异常流量特征表对流量检测中的流量数据进行异常匹配,对成功匹配的流量数据采取异常处理,并将未成功匹配的流量数据通过数据处理中心模块转至流量检测子系统,以使得流量检测子系统对待识别数据进行流量检测,其中,流量加速硬件子系统为硬件系统,流量检测子系统为软件系统,即通过软硬件结合的方式,提高了流量检测的速度和流量检测的效率。
示例性的,如图1所示,图1是本申请实施例提供的流量检测加速系统的应用场景示意图,在流量检测加速系统中,包含有流量加速硬件子系统10和流量检测子系统11,其中,流量加速硬件子系统10和流量检测子系统11能够获取来自网络中的流量数据,并对该流量数据进行异常检测与异常处理。需要说明的是,流量加速硬件子系统10和流量检测子系统11的数量均可以有不止一个。也就是说,流量加速硬件子系统10可以仅与流量检测子系统11连接,也可以和多个流量检测子系统11连接,同时,流量检测子系统11可以仅与流量加速硬件子系统10连接,也可以和多个流量加速硬件子系统10连接,具体按照操作人员的实际需要进行设定,在此本申请实施例不做具体限制。
基于此,本申请实施例中的流量检测加速方法可以通过如下实施例进行说明。
在一些实施例中,本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
本申请实施例提供的流量检测加速方法,涉及人工智能技术领域。本申请实施例提供的流量检测加速方法可应用于终端中,也可应用于服务器端中,还可以是运行于终端或服务器端中的软件。在一些实施例中,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机等;服务器端可以配置成独立的物理服务器,也可以配置成多个物理服务器构成的服务器集群或者分布式系统,还可以配置成提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN以及大数据和人工智能平台等基础云计算服务的云服务器;软件可以是实现流量检测加速方法的应用等,但并不局限于以上形式。
本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
需要说明的是,在本申请的各个具体实施方式中,当涉及到需要根据流量数据等进行相关处理时,都会先获得流量数据所涉及相关人员的许可或者同意,例如,当需要获取用户A的流量数据时,会在用户A产生流量数据之前获得用户A的许可或者同意。而且,对这些流量数据的收集、使用和处理等,都会遵守相关法律法规和标准。此外,当本申请实施例需要获取流量数据相关的敏感信息时,如用户的个人身份信息,包括姓名、地址、电话号码等,会在明确获得用户的单独许可或者单独同意之后,再获取用于使本申请实施例能够正常运行的必要相关流量数据。
首先,对本申请中的流量检测加速系统的系统架构进行说明。
如图2所示,图2是本申请实施例提供的流量检测加速方法的一个可选系统架构示意图(以下简称“一个可选系统架构示意图”),其中,流量加速硬件子系统为硬件模块,流量加速硬件子系统包括了数据包解析模块和硬件处理模块;流量检测子系统为软件模块,流量检测子系统中包括了CPU(Central-Processing-Unit)、内存、存储模块和软件处理模块。
示例性地,流量加速硬件子系统与数据处理中心连接,其中,数据处理中心为数据包处理芯片,数据包处理芯片包括了需要处理的流量数据,通常情况下,数据包处理芯片中的流量数据的数量十分庞大。首先,数据包解析模块会接收来自数据包处理芯片的流量数据,并对该流量数据进行数据解析;接着,数据包解析模块会将解析得到的内容发送至应将处理模块,由硬件处理模块对该流量数据进行数据处理,并将无法处理的流量数据返回数据包处理芯片;之后,流量检测子系统将对返回的流量数据再次进行数据处理,或者,流量检测子系统可以从数据包处理芯片中接收未经过流量加速硬件子系统侧的流量数据,和流量加速硬件子系统一起进行流量数据的处理。
如图3所示,图3是本申请实施例提供的流量检测加速方法的另一个可选系统架构示意图,在图2所示的一个可选系统架构示意图的基础之上,可以对其做进一步地细化。其中,流量加速硬件子系统可以包括FPGA MAC处理模块、数据包解析模块、硬件处理模块(包括匹配处理模块、动作执行模块和行为记录模块)、流特征记录模块、FPGA PCle处理模块(接口模块);流量检测子系统包括IDS/IPS软件层、IDS/IPS流特征存储模块、数据保存模块、FPGA驱动模块;同时,数据包处理芯片还可以通过网络接口与网络连接,以不断接收网络中的流量数据。
如图4、图5所示,图4是本申请实施例提供的流量检测加速方法的流量加速硬件子系统的一个可选流程示意图,图5是本申请实施例提供的流量检测加速方法的流量检测子系统的一个可选流程示意图。如图3、图4和图5所示,示例性地,数据包处理芯片由于与网络进行连接,因此,其包括的流量数据较一个可选系统架构示意图中数据包处理芯片中包括的流量数据的数量更多,数量级更大。首先,FPGA MAC处理模块能够接收来自数据包处理芯片发送的流量数据,FPGA MAC处理模块将该流量数据发送给数据包解析模块,同时,流特征记录模块中包括了流量加速硬件子系统侧的硬件异常流量特征表,匹配动作模块利用该硬件异常流量特征表来对解析后的流量数据进行匹配处理,并由动作执行模块执行数据处理动作,对于硬件处理模块无法处理的流量数据,硬件处理模块可以将其返回至数据包处理芯片中,并由数据包处理芯片转至流量检测子系统做进一步的流量数据处理。
当该流量数据被发送至流量检测子系统时,首先,IDS/IPS软件层对其进行数据解析,如果该流量数据带有保存标签,表示该流量数据已经由流量加速硬件子系统进行了异常处理,则将流量数据保存至数据保存模块,如果该流量数据不带有保存标签,由于IDS/IPS流特征存储模块中保存有流量检测子系统侧的软件异常流量特征表,IDS/IPS软件层根据该软件异常流量特征表对解析后的流量数据进行匹配处理。
同时,FPGA驱动模块还与流量加速硬件子系统的接口模块连接,以下发更新指令和查询指令,流量加速硬件子系统的动作执行模块能够对更新指令和查询指令做出回复,并由行为记录模块进行更新行为和查询行为的记录,以实现流量加速硬件子系统侧硬件异常流量特征表和流量检测子系统侧软件异常流量特征表的数据同步。
可以理解的是,利用硬件模块与软件模块进行结合,能够提高对大量流量数据检测的速度,并且,由于流量加速硬件子系统的数据处理速度比流量检测子系统快速得多,大量的流量数据可以在流量加速硬件子系统处被检测出异常并进行对应的异常处理,由此加快了流量检测的速度。
如图6所示,图6是本申请实施例提供的流量检测加速方法的一个可选的流程图,图6中的方法可以包括但不限于包括步骤S101至步骤S105。
步骤S101,利用数据处理中心模块中获取包含多个流特征信息的第一流量数据,将第一流量数据发送至数据包解析模块;
在一些实施例中,流量加速硬件子系统可以为FPGA硬件,其中,FPGA硬件包括但不限于Intel FPGA芯片,Xilinx FPGA芯片等。
在一些实施例中,数据处理中心模块为数据包处理芯片,其中,数据包处理芯片具有接收、发送和转发网络流量数据包功能,数据包处理芯片类型包括但不限于网卡芯片,P4交换芯片等。同时,数据包处理芯片能够与FPGA硬件之间硬件连接,并支持与FPGA之间的数据通信。
在一些实施例中,数据包处理芯片可以包括多个流量数据,或者,数据包处理芯片可以通过网络接口与网络连接,获取更多的流量数据。
在一些实施例中,第一流量特征数据包括的流特征信息可以包括源IP、目的IP、源端口号、目的端口号、以及TCP/UDP指定位置负载等。
步骤S102,数据包解析模块对第一流量数据进行数据解析得到的至少一个流特征信息,并根据至少一个流特征信息进行第一哈希计算,得到第一哈希值;
在一些实施例中,数据包解析模块可以获取数据包处理芯片中的流量数据,并根据至少一个流特征信息进行第一哈希计算。示例性地,获取到的流量数据A的流特征数据为:源Ip(0x0a0000b0)、目的Ip(0x0a000015)、源端口号(0x9c66)、目的端口号(0x4853)以及TCP头部后4个字节(0xffffffbb),数据包解析模块可以将这些流特征信息拼凑成一个长串数据,例如,该长串数据可以是:(0a0000b00a0000159c664853ffffffbb),之后对此长串数据进行第一哈希值计算,得到第一哈希值。
在一些实施例中,可以使用包括但不限于在内的MD5(Message Digest Algorithm5)、SHA-1(Secure Hash Algorithm 1)、SHA-256(Secure Hash Algorithm 256)、SHA-3(Secure Hash Algorithm 3)等第一哈希值计算方法进行第一哈希值的计算。
步骤S103,利用硬件处理模块在预先设定的第一异常流量特征表中查找第一哈希值,其中,第一异常流量特征表包括至少一个第一异常特征信息,第一异常特征信息包括第一异常哈希值;
在一些实施例中,如图3所示,FPGA硬件中还包括流特征记录模块,其中,流特征记录模块用于存储预先设定的第一异常流量特征表。在计算得到第一哈希值后,硬件处理模块能够在第一异常流量特征表中查找该第一哈希值,若能够从第一异常流量特征表中找到对应的第一异常特征信息,表示该第一流量数据为异常数据。
步骤S104,若第一哈希值与任一第一异常哈希值匹配,确定第一流量数据为第一目标异常数据,按照对应的第一异常特征信息对第一目标异常数据进行异常处理,并更新第一异常流量特征表;
如图7所示,图7是本申请实施例提供的流量检测加速方法的一个异常流量特征表的示意图,其中,第一异常流量特征表中可以包括多个(M个)第一异常特征信息,第一异常流量特征表中的第一异常特征信息包括了第一异常编号(Tag id)、第一异常哈希值(HashVaule)、第一命中次数(Hit Counts)、第一老化值(Aged Value)、第一命中动作(Action)和第一命中时间(Hit_Ts)等内容,其中,第一命中时间可以包括多个,如Hit_Ts1至Hit_TsN。
示例性地,第一异常特征信息A记录的第一异常哈希值为a值,若硬件处理模块对第一流量数据计算得到的第一哈希值也为a值,则表示该第一流量数据为第一目标异常数据;根据第一异常哈希值在第一异常流量特征表中找到对应的第一异常特征信息,并根据该第一异常特征信息的第一命中动作,例如,第一命中动作为数据丢弃,则将第一目标异常数据进行数据丢弃。
步骤S105,若第一哈希值与任一第一异常哈希值均不匹配,确定第一流量数据为待识别数据,并将待识别数据通过数据处理中心模块发送至流量检测子系统,以使得流量检测子系统对待识别数据进行流量检测。
示例性地,若硬件处理模块对第一流量数据计算得到的第一哈希值为b值,而第一异常流量特征表中的各第一异常特征信息记录的第一异常哈希值均不为a值,则表示该第一流量数据在第一异常流量数据表中无法找到对应匹配的第一异常特征信息,即FPGA硬件无法对该第一流量数据进行数据处理,则将该第一流量数据返回至数据包处理芯片中。之后,数据包处理芯片可以将该第一流量数据发送至流量检测子系统,由流量检测子系统对该第一流量数据进行软件端的检测和处理,以完成此第一流量数据的数据处理操作。
可以理解的是,通过将流量加速硬件子系统与流量检测子系统的结合,能够提高对流量数据检测处理的速度和检测处理效率,并且,由于流量加速硬件子系统的数据处理速度比流量检测子系统快速得多,大量的流量数据可以在流量加速硬件子系统处被检测出异常并进行对应的异常处理,由此进一步加快了流量的检测处理的速度。
如图8所示,图8是图6中的步骤S104的一个实现流程图,在一些实施例中,步骤S104可以包括步骤S201至步骤S204:
步骤S201,根据第一异常哈希值,在第一异常流量特征表中确定对应的第一异常特征信息,其中,第一异常特征信息包括第一命中时间、第一命中次数和第一命中动作;
在一些实施例中,如图5所示,由于第一异常流量特征表中包括有唯一确定的第一异常哈希值,因此,可以根据该第一异常哈希值确定对应的其他第一异常特征信息,如第一命中时间、第一命中次数和第一命中动作等。
步骤S202,若匹配的第一命中动作为数据丢弃,丢弃第一目标异常数据;
示例性地,第一目标异常数据B对应的第一命中动作为数据丢弃,表示第一目标异常数据B的数据质量无法保证,即存在异常,因此,可以将第一目标异常数据B丢弃。
步骤S203,若匹配的第一异常特征信息的第一命中动作为数据通过,为第一目标异常数据添加保存标签,将附有保存标签的第一目标异常数据发送至数据处理中心,以使流量检测子系统根据保存标签对第一目标异常数据进行数据保存操作;
示例性地,第一目标异常数据C对应的第一命中动作为数据通过,表示第一目标异常数据C仍有一定的数据价值,因此,可以为第一目标异常数据C添加保存标签,并将附有保存标签的第一目标异常数据发送回数据包处理芯片,并由数据包处理芯片转至流量检测子系统中,以使流量检测子系统能够根据保存标签识别第一目标异常数据C,并将第一目标异常数据C保存至流量检测子系统中。便于流量检测子系统之后可以利用类似于第一目标异常数据C这样附有保存标签的第一目标异常数据,进行流量数据模型训练等。
步骤S204,根据第一目标异常数据的第一命中时间和对应的第一命中次数,更新第一异常流量特征表。
在一些实施例中,FPGA硬件还可以记录第一目标异常数据的命中时间,并且,每记录一次第一命中时间,第一目标异常数据的第一命中次数就加1,并根据记录的第一命中时间和第一命中次数,更新第一异常流量特征表。
如图9所示,图9是本申请实施例提供的流量检测加速方法的另一个可选的流程图,图9中的方法可以包括但不限于包括步骤S301至步骤S302。
步骤S301,当到达预设的老化时间时,根据预设的单位老化值,对第一异常流量特征表中的每一第一老化值进行差值运算,得到更新老化值;
在一些实施例中,如图5所示,第一异常特征信息还包括第一老化值。在FPGA硬件中,可以设置一个老化定时器,该老化定时器包括预设的老化更新时间,当到达预设的老化时间时,可以根据预设的单位老化值,对第一异常流量特征表中的每一第一老化值进行更新。
在一些实施例中,第一老化值可以由操作人员初始设定得到,也可以由预设的老化规则智能生成。
在一些实施例中,单位老化值可以是数值1。
在一些实施例中,第一老化值用于表征第一异常特征信息的命中情况。
在一些实施例中,当第一目标异常数据对应命中的某一第一异常特征信息时,可以为该第一异常特征信息的第一老化值增加单位老化值,即可以用单位老化值来表征第一异常信息对应的第一流量数据的命中情况。
步骤S302,若更新老化值为最小老化值,在第一异常流量特征表中删除更新老化值对应的第一异常特征信息。
示例性地,设定老化时间为1分钟,第一异常特征信息A的第一老化值为20,则每隔1分钟将该值减去1,可以理解的是,在不增加老化值的情况下,经过20分钟后该值就从20降低到0,这就表示该第一异常特征信息A在20分钟内都没有命中,此时FPGA硬件认为第一异常特征信息A长时间未命中,即网络中应该没有这种攻击流了,为了给命中率较高的其他第一异常特征信息腾出存储空间,需要将第一异常特征信息A从第一异常流量特征表中删除。
如图10所示,图10是本申请实施例提供的流量检测加速方法的又一个可选的流程图,图10中的方法可以包括但不限于包括步骤S401至步骤S405。
步骤S401,接收流量检测子系统的查询请求,查询请求包括第一异常编号;
在一些实施例中,FPGA硬件还可以接收流量检测子系统的查询请求,查询请求的目的是在流量检测子系统中实时同步FPGA硬件侧中的第一异常特征信息。
在一些实施例中,流量检测子系统还可以与终端相连,此时,同步到接收流量检测子系统中的第一异常特征信息可以供用户进行查询。
步骤S402,根据第一异常编号,在第一异常流量特征表中确定对应的第一异常特征信息;
在一些实施例中,查询请求可以是第一异常编号,其中,第一异常编号为第一异常特征信息在第一异常流量特征表中的唯一标识。
在一些实施例中,根据第一异常编号,可以在第一异常流量特征表中确定第一异常编号对应的第一异常特征信息。
步骤S403,根据第一异常特征信息,确定异常查询信息,异常查询信息包括查询命中次数、查询命中时间和查询老化值;
在一些实施例中,流量检测子系统中包括软件侧对应的第二异常流量特征表,可以理解的是,用户在查询异常特征信息时,查询的是第二异常流量特征表对应的信息,然而,大量的流量数据检测处理是在FPGA硬件侧进行的,因此,需要将FPGA硬件侧中第一异常流量特征表的第一异常特征信息同步到流量检测子系统中。
示例性地,对于同一个异常特征信息A,其在第二异常流量特征表中对应的命中次数为1,命中时间为12:01:34,老化值为5,而异常特征信息A在第一异常流量特征表中对应的命中次数为2,命中时间分别为12:01:34、16:08:02,老化值为4,此时,FPGA硬件接收流量检测子系统定时下发的查询请求,并根据该查询请求,对应确定异常特征信息B的查询命中次数、查询命中时间和查询老化值。
步骤S404,根据异常查询信息,生成查询响应;
示例性地,根据异常特征信息B的查询命中次数、查询命中时间和查询老化值,生成查询响应。
步骤S405,并将查询响应发送给流量检测子系统,以使流量检测子系统根据异常查询信息对第二异常流量特征表进行更新,其中,第一异常流量特征表为第二异常流量特征表的子表,第二异常流量特征表包括至少一个第二异常特征信息,第二异常特征信息为流量检测子系统根据检测规则生成。
示例性地,将查询响应发送给流量检测子系统,之后,流量检测子系统可以根据接收到的异常查询信息更新第二异常流量特征表。
在一些实施例中,第一异常流量特征表中的第一异常特征信息在第二异常流量特征表中都能对应找到,也就是说,第一异常流量特征表为第二异常流量特征表的子表。
在一些实施例中,第一异常流量特征表中的第一异常特征信息中的命中次数较高,即第一异常特征信息表征的是网络攻击中常被检测识别到的异常流量数据。
可以理解的是,大量命中次数较高的第一异常流量数据能够通过FPGA硬件的实现快速检测处理,加之辅以流量检测子系统的软件检测与处理,通过软硬件测结合,可以实现流量数据,尤其是大量流量数据的高速及高效处理。
如图11所示,图11是本申请实施例提供的流量检测加速方法的还一个可选的流程图,图11中的方法可以包括但不限于包括步骤S501至步骤S505。
步骤S501,接收流量检测子系统的更新请求;
在一些实施例中,FPGA硬件还可以接收流量检测子系统的更新请求,更新请求的目的是对FPGA硬件侧中的第一异常特征信息进行更新。
在一些实施例中,更新请求可以定时发送。
步骤S502,若第一异常流量特征表中的第一异常特征信息数量少于数据存储位阈值,向流量检测子系统发送更新请求响应;
在一些实施例中,流量检测子系统通过数据处理中心模块与流量加速硬件子系统连接;第一异常流量特征表还包括预设的数据存储位阈值,数据存储位阈值用于表征第一异常流量特征表的项数;如图4所示,流量加速硬件子系统还包括接口模块,接口模块还与第一异常流量特征表关联。
步骤S503,通过接口模块接收流量检测子系统发送的更新异常数据信息,其中,更新异常数据信息与第二异常特征信息对应,更新异常数据信息包括更新异常编号、更新异常哈希值、更新命中时间、更新命中次数和更新命中动作;
在一些实施例中,流量检测子系统可以从第二异常流量特征表中确定需要更新的更新异常数据信息,并该更新异常数据信息下发给FPGA硬件,以使FPGA硬件根据更新异常数据进行第一异常流量特征表的更换。
步骤S504,将更新异常数据信息插入第一异常流量特征表中,以完成第一异常流量特征表的更新;
在一些实施例中,当需要更新第一异常流量特征表,且第一异常流量特征表中的第一特征信息数量未达到数据存储位阈值时,将更新异常数据信息插入第一异常流量特征表中。
步骤S505,若第一异常流量特征表中的第一异常特征信息数量等于预设的数据存储位阈值,向流量检测子系统发送更新失败响应。
在一些实施例中,当需要更新第一异常流量特征表,但第一异常流量特征表中的第一异常特征信息数量已经达到数据存储位阈值时,向流量检测子系统发送更新失败响应,表示第一异常流量特征表更新失败。
如图12所示,图12是本申请实施例提供的流量检测加速方法的再一个可选的流程图,图12中的方法可以包括但不限于包括步骤S601至步骤S604。
步骤S601,对待识别数据进行数据解析,并根据解析得到的至少一个流特征信息确定第二哈希值;
在一些实施例中,当流量加速硬件子系统将待识别数据发送至数据包处理芯片中时,数据包处理芯片会再次将待识别数据发送给流量检测子系统,此时,流量检测子系统对该待识别数据进行数据解析,并根据解析得到的至少一个流特征信息以确定第二哈希值,其中,确定第二哈希值的方法与上述步骤S102中确定第一哈希值的方法基本相同,在此不再赘述。
步骤S602,在预先设定的第二异常流量特征表中查找第二哈希值,其中,第二异常特征信息包括第二异常哈希值;
在一些实施例中,在一些实施例中,如图3所示,流量检测子系统中还包括IDS/IPS流特征存储模块,其中,IDS/IPS流特征存储模块用于存储预先设定的第二异常流量特征表。在计算得到第二哈希值后,流量检测子系统能够在第二异常流量特征表中查找该第二哈希值。
步骤S603,若第二哈希值与任一第二异常哈希值匹配,确定待识别数据为第二目标异常数据,并按照对应的第二异常特征信息对第二目标异常数据进行异常处理;
在一些实施例中,若能够从第二异常流量特征表中找到对应的第二异常特征信息,表示该第二流量数据为异常数据,并按照第二异常特征信息中的第二命中动作对该第二流量数据进行异常数据处理。
在一些实施例中,第二异常流量特征表与第一异常流量特征表中表征的内容基本相同,因此,利用第二异常流量特征表中获取到的第二异常特征信息对第二流量数据进行异常数据处理的方法与上述步骤S104基本相同,在此不再赘述。
步骤S604,若第二哈希值与任一第二异常哈希值均不匹配,确定待识别数据为标准数据,并对第二流量数据采取标准化数据操作。
在一些实施例中,如果第二哈希值与任一第二异常哈希值均不匹配,确定待识别数据不是异常数据,可以放行该数据,或者,先对该第二流量数据进行数据记录后再放行该数据,便于之后能够根据数据记录对该数据进行数据分析。
如图13所示,图13是本申请实施例提供的流量检测加速方法应用在流量检测子系统中的一个可选的流程图,图13中的方法可以包括但不限于包括步骤S701至步骤S706。
步骤S701,利用数据处理中心模块中获取包含多个流特征信息的第二流量数据,将第二流量数据发送至软件处理模块;
在一些实施例中,流量检测子系统包括软件处理模块(IDS/IPS软件层),IDS/IPS软件层由具有IDS/IPS功能的传统安全软件构成,能够对从操作系统网络接口接收到的数据包进行处理分析,并依据已有的检测规则识别判断传入流量类型为正常或异常流量数据。
步骤S702,若第二流量数据包括保存标签,将第二流量数据存储至数据保存模块,其中,保存标签用于表征第二流量数据在流量加速硬件子系统的数据异常处理情况;
在一些实施例中,如果获取到的第二流量数据附有保存标签,表示该第二流量数据已经由FPGA硬件检测处理过了,可以将该第二流量数据存储至数据保存模块中,以便后续能够根据该数据记录进行进一步地数据分析处理。
步骤S703,若第二流量数据不包括保存标签,利用软件处理模块对第二流量数据进行数据解析,并根据解析得到的至少一个流特征信息进行第二哈希计算,得到第二哈希值;
在一些实施例中,如果获取到的第二流量数据并未附有保存标签,表示该第二流量数据没有经过FPGA硬件的检测处理,此时,IDS/IPS软件层对该第二流量数据进行数据解析处理,并根据解析得到的至少一个流特征信息进行第二哈希计算,得到第二哈希值,其中,确定第二哈希值的方法与上述步骤S102中确定第一哈希值的方法基本相同,在此不再赘述。
步骤S704,利用软件处理模块在预先设定的第二异常流量特征表中进行查找第二哈希值,其中,第二异常流量特征表包括至少一个第二异常特征信息,第二异常特征信息包括第二异常哈希值;
在一些实施例中,流量检测子系统中还包括IDS/IPS流特征存储模块,其中,IDS/IPS流特征存储模块用于存储预先设定的第二异常流量特征表。在计算得到第二哈希值后,IDS/IPS软件层能够在第二异常流量特征表中查找该第二哈希值,若能够从第二异常流量特征表中找到对应的第二异常特征信息,表示该第二流量数据为异常数据。
步骤S705,若第二哈希值与任一第二异常哈希值匹配,确定第二流量数据为第二目标异常数据,并按照对应的第二异常特征信息对第二目标异常数据进行异常处理,并更新第二异常特征表;
在一些实施例中,根据第二异常哈希值确定第二目标异常数据的方法,以及利用第二异常流量特征表中获取到的第二异常特征信息对第二流量数据进行异常数据处理的方法与上述步骤S104基本相同,在此不再赘述。
步骤S706,若第二哈希值与任一第二异常哈希值均不匹配,确定第二流量数据为标准数据,并对第二流量数据采取标准化数据操作。
在一些实施例中,如果第二哈希值与任一第二异常哈希值均不匹配,确定待识别数据不是异常数据,可以放行该数据,或者,先对该第二流量数据进行数据记录后再放行该数据,便于之后根据数据记录对该数据进行数据分析。
如图14所示,图14是本申请实施例提供的流量检测加速方法应用在流量检测子系统中的另一个可选的流程图,图14中的方法可以包括但不限于包括步骤S801至步骤S808。
步骤S801,获取预设的检测规则和检测流量数据;
在一些实施例中,预设的检测规则可以是相关的开源异常流量检测规则,如Snort3检测规则。其中,该开源异常流量检测规则由多条检测规则组成,例如,该检测规则可以是当数据包特定字段为0x1234或者TCP端口为4567时,对应的流量数据为异常流量数据。
在一些实施例中,可以获取大量检测流量数据来生成上述检测规则。
步骤S802,根据检测规则判断检测流量数据的数据类型,其中,数据类型包括异常数据和标准数据;
在一些实施例中,每一流量数据都有自身对应的数据类型,该数据类型可以是异常数据或者是标准数据,当数据类型为异常数据时,表示该流量数据的数据质量不满足要求甚至存在安全隐患;当数据类型为标准数据时,表示该流量数据安全,可以使用。
步骤S803,当检测流量数据为异常数据时,解析异常数据,得到多个流特征信息;
在一些实施例中,当检测流量数据为异常数据时,需要对其进行解析,以判断该异常数据的异常处理操作。
步骤S804,并根据至少一个流特征信息,得到第二命中时间、第二命中次数、第二异常哈希值;
可以理解的是,确定第二哈希值的方法与上述步骤S102中确定第一哈希值的方法基本相同,在此不再赘述。
步骤S805,获取预设的异常处理规则;
在一些实施例中,预设的异常处理规则为相关操作人员制定,用于统一规范化第二异常流量特征表。
步骤S806,根据异常处理规则,得到第二异常编号和第二老化值;
在一些实施例中,异常处理规则可以包括第二异常编号的编号规则,和第二老化值的初始老化值设定规则。
步骤S807,根据第二命中时间、第二命中次数、第二异常哈希值、第二异常编号和第二老化值,生成第二异常数据信息;
在一些实施例中,根据上述确定的第二命中时间、第二命中次数、第二异常哈希值、第二异常编号和第二老化值,可以生成第二异常数据信息。
步骤S808,根据第二异常数据信息,确定第二异常流量特征表。
在一些实施例中,根据至少一条第二异常数据信息,可以确定第二异常流量特征表。
如图15所示,图15是本申请实施例提供的流量检测加速方法应用在流量检测子系统中的又一个可选的流程图,图15中的方法可以包括但不限于包括步骤S901至步骤S902。
步骤S901,向流量加速硬件子系统发送更新请求;
在一些实施例中,IDS/IPS软件层可以向流量加速硬件子系统发送更新请求,发送更新请求的目的是对FPGA硬件侧的第一异常流量特征表进行更新。
步骤S902,当接收到流量加速硬件子系统返回的更新请求响应时,向流量加速硬件子系统发送更新异常数据信息,更新异常数据信息包括更新异常哈希值、更新命中时间、更新命中次数和更新命中动作。
在一些实施例中,如图4所示,流量检测子系统的FPGA驱动模块可以与FPGA硬件中的接口模块连接,并通过FPGA驱动模块接收由FPGA硬件发送回的更新请求响应,并在接收到该更新请求响应时,在IDS/IPS流特征存储模块中获取更新异常数据信息,其中,更新异常数据信息包括更新异常哈希值、更新命中时间、更新命中次数和更新命中动作;接着,将该更新异常数据信息通过FPGA驱动模块发送给FPGA硬件的接口模块,以使FPGA硬件侧的第二异常流量特征表进行更新。
如图16所示,图16是本申请实施例提供的流量检测加速方法应用在流量检测子系统中的又一个可选的流程图,图16中的方法可以包括但不限于包括步骤S1001至步骤S1003。
步骤S1001,向流量加速硬件子系统发送查询请求,查询请求包括待查询的第一异常编号,其中,第一异常编号和第二异常编号对应;
在一些实施例中,流量检测子系统还可以接收FPGA硬件的查询请求,查询请求的目的是在流量检测子系统中实时同步FPGA硬件侧中的第一异常特征信息。
在一些实施例中,查询请求可以是第一异常编号,其中,第一异常编号为第一异常特征信息在第一异常流量特征表中的唯一标识。
步骤S1002,接收流量加速硬件子系统发送的异常查询信息,其中,异常查询信息包括查询命中次数、查询命中时间和查询老化值;
在一些实施例中,根据第一异常编号,FPGA硬件可以在第一异常流量特征表中确定第一异常编号对应的第一异常特征信息。
步骤S1003,根据异常查询信息,更新第二异常流量特征表中的第二命中次数、第二命中时间和第二老化值。
在一些实施例中,流量检测子系统中包括软件侧对应的第二异常流量特征表,可以理解的是,用户在查询异常特征信息时,查询的是第二异常流量特征表对应的信息,然而,大量的流量数据检测处理是在FPGA硬件侧进行的,因此,需要将FPGA硬件侧中第一异常流量特征表的第一异常特征信息同步到流量检测子系统中。并且,在确定异常查询信息后,即可根据该异常查询信息进行流量检测子系统中第二异常流量特征表的查询更新。
如图17所示,图17是本申请实施例提供的流量检测加速的功能模块示意图,本申请实施例还提供一种流量检测加速系统,可以实现上述流量检测加速方法,流量检测加速系统包括:
数据获取模块1101,用于利用数据处理中心模块中获取包含多个流特征信息的第一流量数据,将第一流量数据发送至数据包解析模块;
数据解析模块1102,用于通过数据包解析模块对第一流量数据进行数据解析得到的至少一个流特征信息,并根据至少一个流特征信息进行第一哈希计算,得到第一哈希值;
查找模块1103,用于利用硬件处理模块在预先设定的第一异常流量特征表中查找第一哈希值,其中,第一异常流量特征表包括至少一个第一异常特征信息,第一异常特征信息包括第一异常哈希值;
匹配模块1104,用于若第一哈希值与任一第一异常哈希值匹配,确定第一流量数据为第一目标异常数据,按照对应的第一异常特征信息对第一目标异常数据进行异常处理,并更新第一异常流量特征表;若第一哈希值与任一第一异常哈希值均不匹配,确定第一流量数据为待识别数据,并将待识别数据通过数据处理中心模块发送至流量检测子系统,以使得流量检测子系统对待识别数据进行流量检测。
该流量检测加速系统的具体实施方式与上述流量检测加速方法的具体实施例基本相同,在此不再赘述。在满足本申请实施例要求的前提下,流量检测加速系统还可以设置其他功能模块,以实现上述实施例中的流量检测加速方法。
本申请实施例还提供了一种电子设备,电子设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述流量检测加速方法。该电子设备可以为包括平板电脑、车载电脑等任意智能终端。
如图18所示,图18是本申请实施例提供的电子设备的硬件结构示意图,电子设备包括:
处理器1201,可以采用通用的CPU(CentralProcessingUnit,中央处理器)、微处理器、应用专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本申请实施例所提供的技术方案;
存储器1202,可以采用只读存储器(ReadOnlyMemory,ROM)、静态存储设备、动态存储设备或者随机存取存储器(RandomAccessMemory,RAM)等形式实现。存储器1202可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1202中,并由处理器1201来调用执行本申请实施例的流量检测加速方法;
输入/输出接口1203,用于实现信息输入及输出;
通信接口1204,用于实现本设备与其他设备的通信交互,可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信;
总线1205,在设备的各个组件(例如处理器1201、存储器1202、输入/输出接口1203和通信接口1204)之间传输信息;
其中处理器1201、存储器1202、输入/输出接口1203和通信接口1204通过总线1205实现彼此之间在设备内部的通信连接。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现上述流量检测加速方法。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例描述的实施例是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域技术人员可知,随着技术的演变和新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本领域技术人员可以理解的是,图中示出的技术方案并不构成对本申请实施例的限定,可以包括比图示更多或更少的步骤,或者组合某些步骤,或者不同的步骤。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括多指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序的介质。
以上参照附图说明了本申请实施例的优选实施例,并非因此局限本申请实施例的权利范围。本领域技术人员不脱离本申请实施例的范围和实质内所作的任何修改、等同替换和改进,均应在本申请实施例的权利范围之内。

Claims (13)

1.一种流量检测加速方法,其特征在于,应用于流量加速硬件子系统;所述流量加速硬件子系统与数据处理中心模块连接,所述流量加速硬件子系统包括数据包解析模块和硬件处理模块,所述方法包括:
利用所述数据处理中心模块中获取包含多个流特征信息的第一流量数据,将所述第一流量数据发送至所述数据包解析模块;
所述数据包解析模块对所述第一流量数据进行数据解析得到的至少一个流特征信息,并根据所述至少一个流特征信息进行第一哈希计算,得到第一哈希值;
利用所述硬件处理模块在预先设定的第一异常流量特征表中查找所述第一哈希值,其中,所述第一异常流量特征表包括至少一个第一异常特征信息,所述第一异常特征信息包括第一异常哈希值;
若所述第一哈希值与任一第一异常哈希值匹配,确定所述第一流量数据为第一目标异常数据,按照对应的第一异常特征信息对所述第一目标异常数据进行异常处理,并更新所述第一异常流量特征表;
若所述第一哈希值与任一第一异常哈希值均不匹配,确定所述第一流量数据为待识别数据,并将所述待识别数据通过所述数据处理中心模块发送至流量检测子系统,以使得所述流量检测子系统对所述待识别数据进行流量检测。
2.根据权利要求1所述的方法,其特征在于,所述按照对应的所述第一异常特征信息对所述第一目标异常数据进行异常处理,并更新所述第一异常流量特征表,包括:
根据所述第一异常哈希值,在所述第一异常流量特征表中确定对应的第一异常特征信息,其中,所述第一异常特征信息包括第一命中时间、第一命中次数和第一命中动作;
若匹配的所述第一命中动作为数据丢弃,丢弃所述第一目标异常数据;
若匹配的所述第一异常特征信息的第一命中动作为数据通过,为所述第一目标异常数据添加保存标签,将附有所述保存标签的第一目标异常数据发送至所述数据处理中心,以使所述流量检测子系统根据所述保存标签对所述第一目标异常数据进行数据保存操作;
根据所述第一目标异常数据的第一命中时间和对应的第一命中次数,更新所述第一异常流量特征表。
3.根据权利要求2所述的方法,其特征在于,所述第一异常特征信息还包括第一老化值;
所述将所述待识别数据通过所述数据处理中心模块发送至流量检测子系统之后,还包括:
当到达预设的老化时间时,根据预设的单位老化值,对所述第一异常流量特征表中的每一第一老化值进行差值运算,得到更新老化值;
若所述更新老化值为最小老化值,在所述第一异常流量特征表中删除所述更新老化值对应的所述第一异常特征信息。
4.根据权利要求3所述的方法,其特征在于,所述第一异常特征信息还包括第一异常编号,所述第一异常编号用于表征所述第一异常特征信息在所述第一异常流量特征表中的唯一标识;所述流量检测子系统还包括预先设定的第二异常流量特征表;
所述将所述待识别数据通过所述数据处理中心模块发送至流量检测子系统之后,还包括:
接收流量检测子系统的查询请求,所述查询请求包括第一异常编号;
根据所述第一异常编号,在所述第一异常流量特征表中确定对应的第一异常特征信息;
根据所述第一异常特征信息,确定异常查询信息,所述异常查询信息包括查询命中次数、查询命中时间和查询老化值;
根据所述异常查询信息,生成查询响应;
并将所述查询响应发送给所述流量检测子系统,以使所述流量检测子系统根据所述异常查询信息对所述第二异常流量特征表进行更新,其中,所述第一异常流量特征表为所述第二异常流量特征表的子表,所述第二异常流量特征表包括至少一个第二异常特征信息,所述第二异常特征信息为所述流量检测子系统根据检测规则生成。
5.根据权利要求4所述的方法,其特征在于,所述流量检测子系统通过数据处理中心模块与流量加速硬件子系统连接;所述第一异常流量特征表还包括预设的数据存储位阈值,所述数据存储位阈值用于表征所述第一异常流量特征表的项数;所述流量加速硬件子系统还包括接口模块,所述接口模块与所述第一异常流量特征表关联;
所述将所述待识别数据通过所述数据处理中心模块发送至流量检测子系统之后,还包括:
接收所述流量检测子系统的更新请求;
若所述第一异常流量特征表中的第一异常特征信息数量少于所述数据存储位阈值,向所述流量检测子系统发送更新请求响应;
通过所述接口模块接收所述流量检测子系统发送的更新异常数据信息,其中,更新异常数据信息与所述第二异常特征信息对应,所述更新异常数据信息包括更新异常编号、更新异常哈希值、更新命中时间、更新命中次数和更新命中动作;
将所述更新异常数据信息插入所述第一异常流量特征表中,以完成所述第一异常流量特征表的更新;
若所述第一异常流量特征表中的第一异常特征信息数量等于预设的数据存储位阈值,向所述流量检测子系统发送更新失败响应。
6.根据权利要求5所述的方法,其特征在于,所述流量检测子系统用于对所述待识别数据进行流量检测时执行以下步骤:
对所述待识别数据进行数据解析,并根据解析得到的至少一个流特征信息确定第二哈希值;
在预先设定的第二异常流量特征表中查找所述第二哈希值,其中,所述第二异常特征信息包括第二异常哈希值;
若所述第二哈希值与任一第二异常哈希值匹配,确定所述待识别数据为第二目标异常数据,并按照对应的所述第二异常特征信息对所述第二目标异常数据进行异常处理;
若所述第二哈希值与任一第二异常哈希值均不匹配,确定所述待识别数据为标准数据,并对所述第二流量数据采取标准化数据操作。
7.一种流量检测加速方法,其特征在于,应用于流量检测子系统,所述流量检测子系统通过数据处理中心模块与流量加速硬件子系统连接,所述流量检测子系统包括软件处理模块和数据保存模块,所述方法包括:
利用所述数据处理中心模块中获取包含多个流特征信息的第二流量数据,将所述第二流量数据发送至软件处理模块;
若所述第二流量数据包括保存标签,将所述第二流量数据存储至数据保存模块,其中,所述保存标签用于表征所述第二流量数据在流量加速硬件子系统的数据异常处理情况;
若所述第二流量数据不包括保存标签,利用软件处理模块对所述第二流量数据进行数据解析,并根据解析得到的至少一个流特征信息进行第二哈希计算,得到第二哈希值;
利用所述软件处理模块在预先设定的第二异常流量特征表中进行查找所述第二哈希值,其中,所述第二异常流量特征表包括至少一个第二异常特征信息,所述第二异常特征信息包括第二异常哈希值;
若所述第二哈希值与任一第二异常哈希值匹配,确定所述第二流量数据为第二目标异常数据,并按照对应的所述第二异常特征信息对所述第二目标异常数据进行异常处理,并更新所述第二异常特征表;
若所述第二哈希值与任一第二异常哈希值均不匹配,确定所述第二流量数据为标准数据,并对所述第二流量数据采取标准化数据操作。
8.根据权利要求7所述的方法,其特征在于,所述预设的第二异常流量特征表的生成过程包括以下步骤:
获取预设的检测规则和检测流量数据;
根据所述检测规则判断所述检测流量数据的数据类型,其中,所述数据类型包括异常数据和标准数据;
当所述检测流量数据为异常数据时,解析所述异常数据,得到多个流特征信息;
并根据至少一个所述流特征信息,得到第二命中时间、第二命中次数、第二异常哈希值;
获取预设的异常处理规则;
根据所述异常处理规则,得到第二异常编号和第二老化值;
根据所述第二命中时间、所述第二命中次数、所述第二异常哈希值、所述第二异常编号和所述第二老化值,生成第二异常数据信息;
根据所述第二异常数据信息,确定所述第二异常流量特征表。
9.根据权利要求7所述的方法,其特征在于,所述对所述第二流量数据采取标准化数据操作之后,还包括:
向所述流量加速硬件子系统发送更新请求;
当接收到所述流量加速硬件子系统返回的更新请求响应时,向所述流量加速硬件子系统发送更新异常数据信息,所述更新异常数据信息包括更新异常哈希值、更新命中时间、更新命中次数和更新命中动作。
10.根据权利要求7所述的方法,其特征在于,所述流量检测子系统还与所述对所述第二流量数据采取标准化数据操作之后,还包括:
向所述流量加速硬件子系统发送查询请求,所述查询请求包括待查询的第一异常编号,其中,所述第一异常编号和所述第二异常编号对应;
接收所述流量加速硬件子系统发送的异常查询信息,其中,所述异常查询信息包括查询命中次数、查询命中时间和查询老化值;
根据所述异常查询信息,更新所述第二异常流量特征表中的第二命中次数、第二命中时间和第二老化值。
11.一种流量检测加速系统,其特征在于,所述系统包括:
数据获取模块,用于利用所述数据处理中心模块中获取包含多个流特征信息的第一流量数据,将所述第一流量数据发送至所述数据包解析模块;
数据解析模块,用于通过所述数据包解析模块对所述第一流量数据进行数据解析得到的至少一个流特征信息,并根据所述至少一个流特征信息进行第一哈希计算,得到第一哈希值;
查找模块,用于利用所述硬件处理模块在预先设定的第一异常流量特征表中查找所述第一哈希值,其中,所述第一异常流量特征表包括至少一个第一异常特征信息,所述第一异常特征信息包括第一异常哈希值;
匹配模块,用于若所述第一哈希值与任一第一异常哈希值匹配,确定所述第一流量数据为第一目标异常数据,按照对应的第一异常特征信息对所述第一目标异常数据进行异常处理,并更新所述第一异常流量特征表;若所述第一哈希值与任一第一异常哈希值均不匹配,确定所述第一流量数据为待识别数据,并将所述待识别数据通过所述数据处理中心模块发送至流量检测子系统,以使得所述流量检测子系统对所述待识别数据进行流量检测。
12.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1至6任一项所述的流量检测加速方法或权利要求7至10任一项所述的流量检测加速方法。
13.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6任一项所述的流量检测加速方法或权利要求7至10任一项所述的流量检测加速方法。
CN202310837306.1A 2023-07-07 2023-07-07 流量检测加速方法和系统、电子设备及存储介质 Pending CN116827655A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310837306.1A CN116827655A (zh) 2023-07-07 2023-07-07 流量检测加速方法和系统、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310837306.1A CN116827655A (zh) 2023-07-07 2023-07-07 流量检测加速方法和系统、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN116827655A true CN116827655A (zh) 2023-09-29

Family

ID=88116591

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310837306.1A Pending CN116827655A (zh) 2023-07-07 2023-07-07 流量检测加速方法和系统、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116827655A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117061254A (zh) * 2023-10-12 2023-11-14 之江实验室 异常流量检测方法、装置和计算机设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117061254A (zh) * 2023-10-12 2023-11-14 之江实验室 异常流量检测方法、装置和计算机设备
CN117061254B (zh) * 2023-10-12 2024-01-23 之江实验室 异常流量检测方法、装置和计算机设备

Similar Documents

Publication Publication Date Title
US10397253B2 (en) Cognitive and contextual detection of malicious DNS
WO2022083417A1 (zh) 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品
US9858051B2 (en) Regex compiler
US10516671B2 (en) Black list generating device, black list generating system, method of generating black list, and program of generating black list
US9860278B2 (en) Log analyzing device, information processing method, and program
US20170163672A1 (en) Cognitive information security using a behavioral recognition system
US20120331007A1 (en) Anchored Patterns
CN104426906A (zh) 识别计算机网络内的恶意设备
JP5832951B2 (ja) 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム
CN111726342B (zh) 一种提升蜜罐系统告警输出精准性的方法及系统
CN116827655A (zh) 流量检测加速方法和系统、电子设备及存储介质
Levy et al. Anomili: Spoofing prevention and explainable anomaly detection for the 1553 military avionic bus
Aldwairi et al. n‐Grams exclusion and inclusion filter for intrusion detection in Internet of Energy big data systems
Singhal et al. Cybersecurity misinformation detection on social media: Case studies on phishing reports and zoom’s threat
Ismail et al. Incorporating known malware signatures to classify new malware variants in network traffic
Nguyen et al. An approach to detect network attacks applied for network forensics
CN104917757A (zh) 一种事件触发式的mtd防护系统及方法
Setianto et al. Gpt-2c: A gpt-2 parser for cowrie honeypot logs
CN114124834A (zh) 一种工业控制网络内icmp隐蔽隧道检测的集成学习装置及方法
CN113824730A (zh) 一种攻击分析方法、装置、设备及存储介质
CN108881255B (zh) 一种基于c&c通信状态转换检测僵尸网络的方法
Tan et al. Web Application Anomaly Detection Based On Converting HTTP Request Parameters To Numeric
CN114024701A (zh) 域名检测方法、装置及通信系统
CN114070819B (zh) 恶意域名检测方法、设备、电子设备及存储介质
CN117040909B (zh) 一种对网络设备进行安全防护的方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination