CN117376034A - 基于用户行为关联的网络流量识别系统、方法及介质 - Google Patents
基于用户行为关联的网络流量识别系统、方法及介质 Download PDFInfo
- Publication number
- CN117376034A CN117376034A CN202311668116.8A CN202311668116A CN117376034A CN 117376034 A CN117376034 A CN 117376034A CN 202311668116 A CN202311668116 A CN 202311668116A CN 117376034 A CN117376034 A CN 117376034A
- Authority
- CN
- China
- Prior art keywords
- rule
- user
- associated event
- feature
- service flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000032683 aging Effects 0.000 claims abstract description 6
- 238000013507 mapping Methods 0.000 claims description 53
- 230000004083 survival effect Effects 0.000 claims description 13
- 238000004458 analytical method Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 6
- 108010001267 Protein Subunits Proteins 0.000 claims description 2
- 238000012550 audit Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于用户行为关联的网络流量识别系统、方法及介质,主要涉及网络流量识别技术领域,用以解决现有的识别方法难以对网络业务流量进行有效识别的问题。包括:特征编译加载模块,用于加载预设特征库;采集模块,解析获得业务流量信息和用户IP地址;获得对应的用户存储子模块;匹配模块,确定业务流量信息在特征规则集合中匹配的特征规则;确定业务流量信息与匹配的特征规则是否匹配成功;设置模块,在确定匹配成功后,确定业务流量信息对应的关联事件编号是否存在对应的连续存储子单元,更新连续存储子单元;老化模块在连续存储子单元中的关联事件结束时间小于当前时间时,删除连续存储子单元并更新关联事件数量。
Description
技术领域
本申请涉及网络流量识别技术领域,尤其涉及一种基于用户行为关联的网络流量识别系统、方法及介质。
背景技术
网络流量识别是网络安全管控最基本的功能,网络流量识别需要识别出网络流量所承载的业务类型从而进行安全审计与网络管控。识别网络流量常用手段是进行深度报文解析,基本方法是对将数据包进行审计解析,从中挖掘可以标识业务类型的特征,并利用该特征进行流量识别。
具体方式有,通过解析报文中应用层协议字段,包括HTTP协议中的Host字段、Url字段等,提取其中的明文信息,找出能够标识业务的特征进行归类,通常使用正则表达式来概括性描述业务特征,该方式实现简单,识别效果好;如果没有明文特征,可提取报文的属性特征,如包的长度,上下行关系等特征进行识别,该方式识别效果一般,通常结合其他手段进行综合识别。
但是,在现在加密协议应用越来越广泛的背景下,很多主流业务已经不承载于HTTP这种非加密的协议之上,通常使用TLS加密协议或者纯TCP、UDP进行数据通信,因为加密协议的流量提取不出明文特征,同时没有明显的报文属性特征,所以传统的识别方法难以进行有效识别。
发明内容
针对现有技术的上述不足,本申请提供一种基于用户行为关联的网络流量识别系统、方法及介质,以解决现有的识别方法难以对网络业务流量进行有效识别的问题。
第一方面,本申请提供了一种基于用户行为关联的网络流量识别系统,系统包括:特征编译加载模块,用于加载预设特征库;其中,预设特征库包含特征规则集合、业务流量信息与关联事件特征规则之间的第一映射关系、业务流量信息与关联事件之间的第二映射关系、预设规则表达式,特征规则集合包括若干特征规则,特征规则包含规则属性和规则编号,关联事件包含关联事件编号和关联事件存活时间;采集模块,用于获取用户数据包,以解析获得业务流量信息和用户IP地址;基于用户IP地址,获得对应的用户存储子模块;其中,用户存储子模块包含用户数据表,用户数据表下存在业务存储单元,且业务存储单元包含预设事件规则队列、连续存储子单元和存储子单元,连续存储子单元用于存储关联事件编号和关联事件结束时间,存储子单元用于存储关联事件数量;匹配模块,用于确定业务流量信息在特征规则集合中匹配的特征规则;在特征规则的规则属性为关联事件属性时,基于第一映射关系、预设事件规则队列和预设规则表达式,确定业务流量信息与匹配的特征规则是否匹配成功;设置模块,用于在确定匹配成功后,基于第二映射关系,确定业务流量信息对应的关联事件编号是否存在对应的连续存储子单元,以在存在对应的连续存储子单元时,基于关联事件存活时间更新连续存储子单元中的关联事件结束时间;以在不存在对应的连续存储子单元时,新增更新连续存储子单元并更新关联事件数量;老化模块,用于遍历用户数据表下全部连续存储子单元,以在连续存储子单元中的关联事件结束时间小于当前时间时,删除连续存储子单元并更新关联事件数量。
进一步地,特征规则至少包括:字符特征规则、报文属性特征规则以及关联事件特征规则;规则属性至少包括:字符属性、报文属性以及关联事件属性。
进一步地,在获取用户数据包后,采集模块,具体用于通过逐层解析的方法解析用户数据包,以获得用户字段信息;通过预设提取算法,从用户字段信息中提取业务流量信息。
进一步地,采集模块还用于存储用户IP地址与用户存储子模块之间的第三映射关系;在获得用户字段信息后,采集模块,还具体用于将用户字段信息存入报文描述符Pkt文件中;基于报文描述符Pkt文件中的用户IP地址和第三映射关系,确定是否存在对应的用户存储子模块;在不存在对应的用户存储子模块时,创建用户IP地址对应的用户存储子模块,并更新第三映射关系。
进一步地,在特征规则的规则属性为关联事件属性时,匹配模块,具体用于在业务流量信息与匹配的特征规则存在于第一映射关系中、匹配的特征规则存在于预设事件规则队列中且在业务流量信息与匹配的特征规则满足预设规则表达式,确定业务流量信息与匹配的特征规则匹配成功;否则不成功。
第二方面,本申请提供了一种基于用户行为关联的网络流量识别方法,方法包括:加载预设特征库;其中,预设特征库包含特征规则集合、业务流量信息与关联事件特征规则之间的第一映射关系、业务流量信息与关联事件之间的第二映射关系、预设规则表达式,特征规则集合包括若干特征规则,特征规则包含规则属性和规则编号,关联事件包含关联事件编号和关联事件存活时间;获取用户数据包,以解析获得业务流量信息和用户IP地址;基于用户IP地址,获得对应的用户数据表;其中,用户数据表下存在预设事件规则队列、关联事件编号和关联事件结束时间、关联事件数量;确定业务流量信息在特征规则集合中匹配的特征规则;在特征规则的规则属性为关联事件属性时,基于第一映射关系、预设事件规则队列和预设规则表达式,确定业务流量信息与匹配的特征规则是否匹配成功;在确定匹配成功后,基于第二映射关系,确定业务流量信息对应的关联事件编号是否存于用户数据表中,以在存在于用户数据表中时,基于关联事件存活时间更新对应的关联事件结束时间;以在不存在于用户数据表中时,将关联事件编号和对应的关联事件结束时间新增至用户数据表中,并更新关联事件数量;遍历用户数据表下全部关联事件结束时间,以在关联事件结束时间小于当前时间时,删除关联事件结束时间及对应的关联事件编号,并更新关联事件数量。
进一步地,解析获得业务流量信息,具体包括:通过逐层解析的方法解析用户数据包,以获得用户字段信息;通过预设提取算法,从用户字段信息中提取业务流量信息。
进一步地,存在用户IP地址与用户数据表之间的第三映射关系;基于用户IP地址,获得对应的用户数据表,具体包括:将用户字段信息存入报文描述符Pkt文件中;基于报文描述符Pkt文件中的用户IP地址和第三映射关系,确定是否存在对应的用户数据表;在不存在对应的用户数据表时,创建用户IP地址对应的用户数据表,并更新第三映射关系。
进一步地,基于第一映射关系、预设事件规则队列和预设规则表达式,确定业务流量信息与匹配的特征规则是否匹配成功,具体包括:在业务流量信息与匹配的特征规则存在于第一映射关系中、匹配的特征规则存在于预设事件规则队列中且在业务流量信息与匹配的特征规则满足预设规则表达式,确定业务流量信息与匹配的特征规则匹配成功;否则不成功。
第三方面,本申请提供了一种非易失性计算机存储介质,其上存储有计算机指令,计算机指令在被执行时实现如上述任一项的一种基于用户行为关联的网络流量识别方法。
本领域技术人员能够理解的是,本申请至少具有如下有益效果:
本申请从用户行为角度出发,解析用户数据包,获取用户数据包中的业务流量信息,采用基于用户行为关联(存在业务流量信息与关联事件之间的第二映射关系)的方式,对用户已经发生的业务流量信息(流量行为)进行分析。业务流量信息可以是所需识别业务的特征行为,也可以是其他业务的特征行为,该方案可用于识别特定业务的加密流量或无特征流量。实现了对网络业务流量进行有效的识别。另外,为每一个业务流量信息设置了关联事件(关联事件为业务流量信息关联的用户事件),关联事件编号和关联事件结束时间记录在用户存储子模块或用户数据表(用户属性)之下,而非传统的记录于流属性之下,属于用户的全局属性特征,可应用于该用户的全部流量识别。关联事件编号和关联事件结束时间设置有更新、老化功能,保证了运用的时效性。
附图说明
下面参照附图来描述本公开的部分实施例,附图中:
图1是本申请实施例提供的一种基于用户行为关联的网络流量识别系统内部结构示意图。
图2是本申请实施例提供的一种基于用户行为关联的网络流量识别方法流程图。
具体实施方式
本领域技术人员应当理解的是,下文所描述的实施例仅仅是本公开的优选实施例,并不表示本公开仅能通过该优选实施例实现,该优选实施例仅仅是用于解释本公开的技术原理,并非用于限制本公开的保护范围。基于本公开提供的优选实施例,本领域普通技术人员在没有付出创造性劳动的情况下所获得的其它所有实施例,仍应落入到本公开的保护范围之内。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
下面通过附图对本申请实施例提出的技术方案进行详细的说明。
图1为本申请实施例提供的一种基于用户行为关联的网络流量识别系统。如图1所示,本申请实施例提供的系统,主要包括:
系统通过特征编译加载模块110加载预设特征库。
需要说明的是,特征编译加载模块110可以为任意可行的能够进行特征库加载的设备或装置等。预设特征库包含特征规则集合、业务流量信息与关联事件特征规则之间的第一映射关系、业务流量信息与关联事件之间的第二映射关系、预设规则表达式,特征规则集合包括若干特征规则,特征规则包含规则属性和规则编号,关联事件包含关联事件编号和关联事件存活时间。关联事件为业务流量信息对应的用户事件,具体内容由本领域技术人员自行配置。预设规则表达式为在满足第一映射关系后,业务流量信息与关联事件特征规则还需满足的补正规则,其具体内容可由本领域技术人员根据实际情况自行确定,本申请对此不做限定。
另外,特征规则可以包括:字符特征规则、报文属性特征规则以及关联事件特征规则;规则属性可以包括:字符属性、报文属性以及关联事件属性。本申请进行的是关联事件的相关处理,在处理过程中,本领域技术人员可以根据实际情况进行字符特征规则、报文属性特征规则与关联事件特征规则之间的结合使用。
系统通过采集模块120获取用户数据包,以解析获得业务流量信息和用户IP地址;基于用户IP地址,获得对应的用户存储子模块121。
需要说明的是,采集模块120可以为任意可行的能够根据用户数据包,获得用户存储子模块121的设备或装置等。用户存储子模块121包含用户数据表,用户数据表下存在业务存储单元1211,且业务存储单元1211包含预设事件规则队列、连续存储子单元12111和存储子单元12112,连续存储子单元12111用于存储关联事件编号和关联事件结束时间,存储子单元12112用于存储关联事件数量。
本申请中的获得包含直接获取和创建。在获取用户数据包后,解析获得业务流量信息的具体过程可以为:
采集模块120通过逐层解析的方法解析用户数据包,以获得用户字段信息;通过预设提取算法,从用户字段信息中提取业务流量信息。
需要说明的是,逐层解析用户数据包的方法为现有方法,本申请对此不做限定。
另外,采集模块120还用于存储用户IP地址与用户存储子模块121之间的第三映射关系;在通过上述手段获得用户字段信息后,采集模块120将用户字段信息存入报文描述符Pkt文件中;基于报文描述符Pkt文件中的用户IP地址和第三映射关系,确定是否存在对应的用户存储子模块121;在不存在对应的用户存储子模块121时,创建用户IP地址对应的用户存储子模块121,并更新第三映射关系。
系统通过匹配模块130确定业务流量信息在特征规则集合中匹配的特征规则;在匹配的特征规则的规则属性为关联事件属性时,基于第一映射关系、预设事件规则队列和预设规则表达式,确定业务流量信息与匹配的特征规则是否匹配成功。
需要说明的是,匹配模块130可以为任意可行的能够进行业务流量信息与特征规则匹配以及检测是否匹配成功的设备或装置等。“确定业务流量信息在特征规则集合中匹配的特征规则”的具体方法可以为任意可行的匹配算法,本申请对匹配的具体过程不做限定。
上述,在特征规则的规则属性为关联事件属性时,基于第一映射关系、预设事件规则队列和预设规则表达式,确定业务流量信息与匹配的特征规则是否匹配成功,具体可以为
匹配模块130在业务流量信息与匹配的特征规则存在于第一映射关系中、匹配的特征规则存在于预设事件规则队列中且在业务流量信息与匹配的特征规则满足预设规则表达式,确定业务流量信息与匹配的特征规则匹配成功;否则不成功。
系统中的设置模块140在确定匹配成功后,基于第二映射关系,确定业务流量信息对应的关联事件编号是否存在对应的连续存储子单元12111,以在存在对应的连续存储子单元12111时,基于关联事件存活时间更新连续存储子单元12111中的关联事件结束时间;以在不存在对应的连续存储子单元12111时,新增更新连续存储子单元12111并更新关联事件数量。
需要说明的是,设置模块140可以为任意可行的能够新增更新连续存储子单元12111并更新关联事件数量的设备或装置等。
其中,基于关联事件存活时间更新连续存储子单元12111中的关联事件结束时间,具体可以为:获取当前时间,确定当前时间与关联事件存活时间的加合为更新后的关联事件结束时间。
系统通过老化模块150遍历用户数据表下全部连续存储子单元12111,以在连续存储子单元12111中的关联事件结束时间小于当前时间时,删除连续存储子单元12111并更新关联事件数量。
需要说明的是,老化模块150可以为任意可行的能够根据关联事件结束时间,删除连续存储子单元12111并更新关联事件数量的设备或装置等。
除此之外,本申请实施例还提供了一种基于用户行为关联的网络流量识别方法,如图2所示,本申请实施例提供的方法,主要包括以下步骤:
步骤210、加载预设特征库。
其中,预设特征库包含特征规则集合、业务流量信息与关联事件特征规则之间的第一映射关系、业务流量信息与关联事件之间的第二映射关系、预设规则表达式,特征规则集合包括若干特征规则,特征规则包含规则属性和规则编号,关联事件包含关联事件编号和关联事件存活时间。
步骤220、获取用户数据包,以解析获得业务流量信息和用户IP地址;基于用户IP地址,获得对应的用户数据表。
需要说明的是,用户数据表下存在预设事件规则队列、关联事件编号和关联事件结束时间、关联事件数量。
其中,解析获得业务流量信息,具体可以为:通过逐层解析的方法解析用户数据包,以获得用户字段信息;通过预设提取算法,从用户字段信息中提取业务流量信息。
另外本申请存在用户IP地址与用户数据表之间的第三映射关系。
根据上述解析获得业务流量信息的具体方法,这里基于用户IP地址,获得对应的用户数据表,具体可以为:
将用户字段信息存入报文描述符Pkt文件中;基于报文描述符Pkt文件中的用户IP地址和第三映射关系,确定是否存在对应的用户数据表;在不存在对应的用户数据表时,创建用户IP地址对应的用户数据表,并更新第三映射关系。
步骤230、确定业务流量信息在特征规则集合中匹配的特征规则;在匹配的特征规则的规则属性为关联事件属性时,基于第一映射关系、预设事件规则队列和预设规则表达式,确定业务流量信息与匹配的特征规则是否匹配成功。
其中,基于第一映射关系、预设事件规则队列和预设规则表达式,确定业务流量信息与匹配的特征规则是否匹配成功,具体可以为:在业务流量信息与匹配的特征规则存在于第一映射关系中、匹配的特征规则存在于预设事件规则队列中且在业务流量信息与匹配的特征规则满足预设规则表达式,确定业务流量信息与匹配的特征规则匹配成功;否则不成功。
步骤240、遍历用户数据表下全部关联事件结束时间,以在关联事件结束时间小于当前时间时,删除关联事件结束时间及对应的关联事件编号,并更新关联事件数量。
除此之外,本申请实施例还提供了一种非易失性计算机存储介质,其上存储有可执行指令,在该可执行指令被执行时,实现如上述的一种基于用户行为关联的网络流量识别方法。
至此,已经结合前文的多个实施例描述了本公开的技术方案,但是,本领域技术人员容易理解的是,本公开的保护范围并不仅限于这些具体实施例。在不偏离本公开技术原理的前提下,本领域技术人员可以对上述各个实施例中的技术方案进行拆分和组合,也可以对相关技术特征作出等同的更改或替换,凡在本公开的技术构思和/或技术原理之内所做的任何更改、等同替换、改进等都将落入本公开的保护范围之内。
Claims (10)
1.一种基于用户行为关联的网络流量识别系统,其特征在于,所述系统包括:
特征编译加载模块,用于加载预设特征库;其中,预设特征库包含特征规则集合、业务流量信息与关联事件特征规则之间的第一映射关系、业务流量信息与关联事件之间的第二映射关系、预设规则表达式,特征规则集合包括若干特征规则,特征规则包含规则属性和规则编号,关联事件包含关联事件编号和关联事件存活时间;
采集模块,用于获取用户数据包,以解析获得业务流量信息和用户IP地址;基于用户IP地址,获得对应的用户存储子模块;其中,用户存储子模块包含用户数据表,用户数据表下存在业务存储单元,且业务存储单元包含预设事件规则队列、连续存储子单元和存储子单元,连续存储子单元用于存储关联事件编号和关联事件结束时间,存储子单元用于存储关联事件数量;
匹配模块,用于确定业务流量信息在特征规则集合中匹配的特征规则;在匹配的特征规则的规则属性为关联事件属性时,基于第一映射关系、预设事件规则队列和预设规则表达式,确定业务流量信息与匹配的特征规则是否匹配成功;
设置模块,用于在确定匹配成功后,基于第二映射关系,确定业务流量信息对应的关联事件编号是否存在对应的连续存储子单元,以在存在对应的连续存储子单元时,基于关联事件存活时间更新连续存储子单元中的关联事件结束时间;以在不存在对应的连续存储子单元时,新增更新连续存储子单元并更新关联事件数量;
老化模块,用于遍历用户数据表下全部连续存储子单元,以在连续存储子单元中的关联事件结束时间小于当前时间时,删除连续存储子单元并更新关联事件数量。
2.根据权利要求1所述的基于用户行为关联的网络流量识别系统,其特征在于,
特征规则至少包括:字符特征规则、报文属性特征规则以及关联事件特征规则;
规则属性至少包括:字符属性、报文属性以及关联事件属性。
3.根据权利要求1所述的基于用户行为关联的网络流量识别系统,其特征在于,
在获取用户数据包后,
采集模块,具体用于通过逐层解析的方法解析用户数据包,以获得用户字段信息;通过预设提取算法,从用户字段信息中提取业务流量信息。
4.根据权利要求3所述的基于用户行为关联的网络流量识别系统,其特征在于,
采集模块还用于存储用户IP地址与用户存储子模块之间的第三映射关系;
在获得用户字段信息后,
采集模块,还具体用于将用户字段信息存入报文描述符Pkt文件中;基于报文描述符Pkt文件中的用户IP地址和第三映射关系,确定是否存在对应的用户存储子模块;在不存在对应的用户存储子模块时,创建用户IP地址对应的用户存储子模块,并更新第三映射关系。
5.根据权利要求1所述的基于用户行为关联的网络流量识别系统,其特征在于,
在特征规则的规则属性为关联事件属性时,
匹配模块,具体用于在业务流量信息与匹配的特征规则存在于第一映射关系中、匹配的特征规则存在于预设事件规则队列中且在业务流量信息与匹配的特征规则满足预设规则表达式,确定业务流量信息与匹配的特征规则匹配成功;否则不成功。
6.一种基于用户行为关联的网络流量识别方法,其特征在于,所述方法包括:
加载预设特征库;其中,预设特征库包含特征规则集合、业务流量信息与关联事件特征规则之间的第一映射关系、业务流量信息与关联事件之间的第二映射关系、预设规则表达式,特征规则集合包括若干特征规则,特征规则包含规则属性和规则编号,关联事件包含关联事件编号和关联事件存活时间;
获取用户数据包,以解析获得业务流量信息和用户IP地址;基于用户IP地址,获得对应的用户数据表;其中,用户数据表下存在预设事件规则队列、关联事件编号和关联事件结束时间、关联事件数量;
确定业务流量信息在特征规则集合中匹配的特征规则;在匹配的特征规则的规则属性为关联事件属性时,基于第一映射关系、预设事件规则队列和预设规则表达式,确定业务流量信息与匹配的特征规则是否匹配成功;
在确定匹配成功后,基于第二映射关系,确定业务流量信息对应的关联事件编号是否存在于用户数据表中,以在存在于用户数据表中时,基于关联事件存活时间更新对应的关联事件结束时间;以在不存在于用户数据表中时,将关联事件编号和对应的关联事件结束时间新增至用户数据表中,并更新关联事件数量;
遍历用户数据表下全部关联事件结束时间,以在关联事件结束时间小于当前时间时,删除关联事件结束时间及对应的关联事件编号,并更新关联事件数量。
7.根据权利要求6所述的基于用户行为关联的网络流量识别方法,其特征在于,解析获得业务流量信息,具体包括:
通过逐层解析的方法解析用户数据包,以获得用户字段信息;通过预设提取算法,从用户字段信息中提取业务流量信息。
8.根据权利要求7所述的基于用户行为关联的网络流量识别方法,其特征在于,存在用户IP地址与用户数据表之间的第三映射关系;
基于用户IP地址,获得对应的用户数据表,具体包括:
将用户字段信息存入报文描述符Pkt文件中;
基于报文描述符Pkt文件中的用户IP地址和第三映射关系,确定是否存在对应的用户数据表;在不存在对应的用户数据表时,创建用户IP地址对应的用户数据表,并更新第三映射关系。
9.根据权利要求6所述的基于用户行为关联的网络流量识别方法,其特征在于,基于第一映射关系、预设事件规则队列和预设规则表达式,确定业务流量信息与匹配的特征规则是否匹配成功,具体包括:
在业务流量信息与匹配的特征规则存在于第一映射关系中、匹配的特征规则存在于预设事件规则队列中且在业务流量信息与匹配的特征规则满足预设规则表达式,确定业务流量信息与匹配的特征规则匹配成功;否则不成功。
10.一种非易失性计算机存储介质,其特征在于,其上存储有计算机指令,所述计算机指令在被执行时实现如权利要求6-9任一项所述的一种基于用户行为关联的网络流量识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311668116.8A CN117376034B (zh) | 2023-12-07 | 2023-12-07 | 基于用户行为关联的网络流量识别系统、方法及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311668116.8A CN117376034B (zh) | 2023-12-07 | 2023-12-07 | 基于用户行为关联的网络流量识别系统、方法及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117376034A true CN117376034A (zh) | 2024-01-09 |
| CN117376034B CN117376034B (zh) | 2024-03-22 |
Family
ID=89404427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311668116.8A Active CN117376034B (zh) | 2023-12-07 | 2023-12-07 | 基于用户行为关联的网络流量识别系统、方法及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117376034B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104022920A (zh) * | 2014-06-26 | 2014-09-03 | 重庆重邮汇测通信技术有限公司 | 一种lte网络流量识别系统及方法 |
| WO2016054992A1 (zh) * | 2014-10-10 | 2016-04-14 | 中兴通讯股份有限公司 | 网络数据采集系统及方法 |
| CN109391700A (zh) * | 2018-12-12 | 2019-02-26 | 北京华清信安科技有限公司 | 基于深度流量感知的物联网安全云平台 |
| CN109802924A (zh) * | 2017-11-17 | 2019-05-24 | 华为技术有限公司 | 一种识别加密数据流的方法及装置 |
| CN110768933A (zh) * | 2018-07-27 | 2020-02-07 | 深信服科技股份有限公司 | 一种网络流量应用识别方法、系统及设备和存储介质 |
| CN112417477A (zh) * | 2020-11-24 | 2021-02-26 | 恒安嘉新(北京)科技股份公司 | 一种数据安全监测方法、装置、设备及存储介质 |
| CN112688884A (zh) * | 2020-12-30 | 2021-04-20 | 北京安博通科技股份有限公司 | 加密流量自定义应用识别方法、系统、装置及存储介质 |
| CN114143020A (zh) * | 2021-09-06 | 2022-03-04 | 北京许继电气有限公司 | 一种基于规则的网络安全事件关联分析方法和系统 |
-
2023
- 2023-12-07 CN CN202311668116.8A patent/CN117376034B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104022920A (zh) * | 2014-06-26 | 2014-09-03 | 重庆重邮汇测通信技术有限公司 | 一种lte网络流量识别系统及方法 |
| WO2016054992A1 (zh) * | 2014-10-10 | 2016-04-14 | 中兴通讯股份有限公司 | 网络数据采集系统及方法 |
| CN109802924A (zh) * | 2017-11-17 | 2019-05-24 | 华为技术有限公司 | 一种识别加密数据流的方法及装置 |
| CN110768933A (zh) * | 2018-07-27 | 2020-02-07 | 深信服科技股份有限公司 | 一种网络流量应用识别方法、系统及设备和存储介质 |
| CN109391700A (zh) * | 2018-12-12 | 2019-02-26 | 北京华清信安科技有限公司 | 基于深度流量感知的物联网安全云平台 |
| CN112417477A (zh) * | 2020-11-24 | 2021-02-26 | 恒安嘉新(北京)科技股份公司 | 一种数据安全监测方法、装置、设备及存储介质 |
| CN112688884A (zh) * | 2020-12-30 | 2021-04-20 | 北京安博通科技股份有限公司 | 加密流量自定义应用识别方法、系统、装置及存储介质 |
| CN114143020A (zh) * | 2021-09-06 | 2022-03-04 | 北京许继电气有限公司 | 一种基于规则的网络安全事件关联分析方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117376034B (zh) | 2024-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10652265B2 (en) | Method and apparatus for network forensics compression and storage | |
| CN111740923A (zh) | 应用识别规则的生成方法、装置、电子设备和存储介质 | |
| CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
| CN109688094B (zh) | 基于网络安全的可疑ip配置方法、装置、设备及存储介质 | |
| CN110071924B (zh) | 基于终端的大数据分析方法及系统 | |
| CN110019012B (zh) | 数据预处理方法、装置和计算机可读存储介质 | |
| US20200014716A1 (en) | Using data science to aid in detection of unauthorized distribution | |
| CN111182072A (zh) | 会话请求的应用识别方法、装置和计算机设备 | |
| CN117376034B (zh) | 基于用户行为关联的网络流量识别系统、方法及介质 | |
| CN110581780A (zh) | 针对web服务器资产的自动识别方法 | |
| US9584537B2 (en) | System and method for detecting mobile cyber incident | |
| CN110825947B (zh) | Url去重方法、装置、设备与计算机可读存储介质 | |
| CN113032836B (zh) | 数据脱敏方法和装置 | |
| CN113438503B (zh) | 视频文件还原方法、装置、计算机设备和存储介质 | |
| CN115174133A (zh) | 应用程序接口api的识别方法及装置 | |
| JP4118907B2 (ja) | パケット転送装置、パケット転送方法及びパケット転送プログラム | |
| WO2018149399A1 (zh) | 一种应用下载统计方法、可读存储介质、终端设备及装置 | |
| KR101650316B1 (ko) | 분산 병렬 처리 기반의 html5 문서 수집 및 분석 장치 및 방법 | |
| CN110336777B (zh) | 安卓应用的通信接口采集方法及装置 | |
| CN113704825A (zh) | 一种数据库审计方法、装置、系统及计算机存储介质 | |
| JP7206980B2 (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
| CN107229865A (zh) | 一种解析Webshell入侵原因的方法及装置 | |
| CN109302297B (zh) | 网络访问记录的处理方法、装置和计算机可读存储介质 | |
| CN105743875A (zh) | 信息处理装置以及方法 | |
| CN115379026B (zh) | 一种报文头域的识别方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |