CN1925423A - 具有对网络流量进行解析功能的日志装置、系统与方法 - Google Patents
具有对网络流量进行解析功能的日志装置、系统与方法 Download PDFInfo
- Publication number
- CN1925423A CN1925423A CNA2006100009694A CN200610000969A CN1925423A CN 1925423 A CN1925423 A CN 1925423A CN A2006100009694 A CNA2006100009694 A CN A2006100009694A CN 200610000969 A CN200610000969 A CN 200610000969A CN 1925423 A CN1925423 A CN 1925423A
- Authority
- CN
- China
- Prior art keywords
- user
- report
- packet
- network
- network packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000012216 screening Methods 0.000 claims abstract description 10
- 230000000694 effects Effects 0.000 claims description 30
- 238000012544 monitoring process Methods 0.000 claims description 18
- 230000000295 complement effect Effects 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000012546 transfer Methods 0.000 claims description 4
- 230000002155 anti-virotic effect Effects 0.000 claims description 3
- 230000009545 invasion Effects 0.000 claims description 3
- 230000002354 daily effect Effects 0.000 description 31
- 238000001914 filtration Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000005096 rolling process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003203 everyday effect Effects 0.000 description 3
- 230000008676 import Effects 0.000 description 3
- 230000003442 weekly effect Effects 0.000 description 3
- 108090000248 Deleted entry Proteins 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 241000027036 Hippa Species 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000007935 neutral effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于管理网络数据包的日志装置、系统与方法。所述日志装置包括一流量捕捉部件,用于接收数据包并根据预先设定的规则筛选一些网络数据包以对所述网络数据包进行过滤。该日志装置还包括用来存储所筛选出的网络数据包的存储装置以及用于根据用户指定的参数组织存储的数据包的分析部件。所述流量捕捉部件、存储部件以及分析部件集成在一单一的物理装置中,使用户能够实时监控实时网络流量。所述流量捕捉部件根据网络数据包的源地址与目标地址,传输协议,指定的端口以及一具体的流量会话是否与预先设定的特征相匹配来筛选所述网络数据包。
Description
技术领域
本发明涉及网络流量日志记录与分析的方法、系统与装置。
背景技术
因为一些规章制度,许多公司都要求存储一定时间段的网络流量。例如,US 404证明与《保险便携性和责任法》(HIPPA)要求公司要保存网络流量5到7年。通常情况下,公司按照政府的规定,都会雇佣一个使用网络数据包嗅探器技术采集网络流量的服务商。然后把这些流量存储在指定的地点。数据一经存储,各种各样的分析装置就对数据进行分类,存档以及从数据中挖掘想要的信息。对这些数据包逐个分析,析取出所要求的信息。
有关技术方面,在一个称作网络监视器的装置中可以看到网络流量状况,客户端与服务器以及客户与客户之间的数据交换。网络监视器也就是所说的一个“数据包嗅探器”(Packet sniffer),通过它可以看到在网络中传输的数据并建立踪迹。一种最常用的数据包嗅探器是开源的ETHEREAL,ETHEREAL也对捕捉到的数据包进行各样的分析。举例来说,数据包嗅探器可用于发现并修理网络以及其应用性能故障,监测网络使用的情况,检测网络物理故障,并可以查找网络安全隐患,以及采集网络流量进行分析。
图1描述了一用于从网络中捕捉流入的流量的系统。具体地,图1示出了来自互联网络(Internet)10中的数据包从不同的数据源传输到各自的目的地。举例说明,如果一内部网络如一有组织的局域网(LAN)13是所传输数据包的各自的目的地,则这些数据包由防火墙11接收。防火墙11设置在内部网络13与互联网络(Internet)10之间。防火墙11通过监测到达的网络流量,保护内部网络13。通过防火墙11的流量被传输到路由器12。另一方面,嗅探器(Sniffer)14捕捉从防火墙11流入路由器12的的流量,然后把捕捉到的数据包发送到存储装置15。或者是,嗅探器(Sniffer)14可设置在防火墙11之前,以捕捉所有指定发送到内部网络13的数据包,或可设置在路由器12中以捕捉所有到达路由器12的网络数据包。
嗅探器14在记录网络活动方面较有价值,但是其在分析网络活动方面的功能非常薄弱,因为其不能识别数据传输的协议,举例来说,现有技术的嗅探器不能识别HTML,XML,及其他协议。嗅探器获取的数据包在所知的帧阅读器窗口的显示成对用户来说非常不友好的多框架式阅读界面。尤其当大量的数据集结在一起时,读取捕捉到的数据包就更复杂,因为所有的数据都紧串在一起了。而且,因为传输的数据包交叉在一起,读取捕获的数据包真是难上加难。那样的话,在根据一给定的请求和/或响应想要读取捕获的数据包部分时,用户很容易将其认为是与所述给定的请求和/或响应相对应的数据及与其它的请求和/或响应相对应的数据。
换句话说,现有技术的缺点之一就是难于搜索数据包嗅探器的踪迹及重建其原始内容。例如,如果用户想发现一特殊邮件是否包含敏感词语的组合时,就需要寻找所有那个时间段发送的数据包,并重建所有邮件的数据包然后再进行搜索。在现有技术中,如以上所解释的,嗅探器把网络流量进行日志记录到一个存储装置上。分析器顺序检测存储装置中没有分类的数据包装置。因此,为分析数据流量,每个存储的数据包必须要按顺序逐个检测。
现有技术的另一个缺点就是分析器可能为分析数据包设置了各种各样的规则。这些规则是预先编程的。在现有技术中,用户没有调整这些规则的灵活性。
而且,在现有技术中,当使用嗅探器记录网络数据包的时候,CPU(中央处理器)与内存被大量占用。所以,如果用户也试图利用同一台机器来搜索以前记录的数据包时,会导致CPU与内存过载。也就是说,要花费相当长的时间才能够找到所要的数据包。同时,也可能由于资源过载而使得嗅探器遗漏一些数据包。
总而言之,在现有技术中,对网络流量的日志记录与分析过程是非常耗时耗力的。
发明内容
本发明的目的之一在于提供一种方法、系统及装置,以更有效的对数据流量进行日志记录及分析装置。本发明的另一个目的在于提供一个完整的解决方案,以对数据进行日志记录与分析。本发明的又一目的在于为用户在监控网络流量时提供更多的灵活性。进一步的,本发明的目的还在于,能在实现存储并分析大量的网络数据时,不导致网络速度缓慢与计算机资源的过载。
示例性的,非限定性的,本发明的实施例可以克服上述提到的装置及未提到的缺点。本发明并必要能够克服上述的所有不足,并且本发明的示例性的、不作为限定的实施例也不一定能克服上述的所有问题。应参考所附的权利要求来确定本发明的实际保护范围。
根据本发明一示例性的、非限定性的实施例,本发明提供了一种用来管理网络数据包的日志装置。所述的日志装置包括流量捕捉部件,用于接收网络数据包,并根据预先设定的规则通过筛选一些网络数据包来进行网络数据包的过滤装置。该日志装置还包括存储部件,用于存储所筛选出的网络数据包,以及用于根据用户指定的参数来组织所存储的数据包的分析部件。流量捕捉部件、存储部件以及分析部件集成在单一的物理装置中,用户可以实时监控流量。
根据本发明另一示例性的、非限定性的实施例,本发明提供了一种管理网络数据包的日志系统。该日志系统包括一用来接收网络数据包的网关计算机。所述网关计算机设置成根据网络数据包的源地址、其目标地址、网络数据包的协议、端口的选择以及一具体的流量会话是否与网络数据包预先设定的特征相匹配来筛选接收到的数据包的。日志系统进一步包括用来存储所筛选出的数据包的存储装置以及用来根据用户指定的参数组织所存储网络数据包的分析计算机。
根据本发明又一示例性的、非限定性的实施例,本发明还提供了一种管理网络数据包的方法。该方法包括:在网关上从各种数据源接收网络数据包;从接收的网络数据包中筛选数据包;及,把所筛选出的网络数据包存储在存储装置中。所述网关配置可以根据网络数据包的源地址以及目标地址、网络数据包的协议、所指定的端口以及一特殊流量会话是否与预先设定的特征相匹配来筛选数据包。
附图说明
通过对以下本发明示例性的、非限定性的实施例及其附图的描述,来对本发明进行详细说明与描述。在附图中,相同的标记代表相似的部件。
图1是按照现有技术的用于监控网络流量的系统方框图;
图2是按照本发明一示例性的、非限定性的实施例用于监控网络流量的系统的方框图;
图3是按照本发明一示例性实施例的存储装置的结构示意图;
图4是按照本发明一示例性实施例的日志装置的方框图;
图5是按照本发明一示例性实施例的日志装置的面板的结构图;
图6是按照本发明一示例性实施例的网络流量分析器的图形用户界面图;
图7是按照本发明一示例性实施例的流量显示器的界面图。
图8是按照本发明一示例性实施例的流量显示器设置窗口的界面图;
图9按照本发明一示例性实施例的是流量显示器中的日期过滤器的界面图;
图10是按照本发明一示例性实施例的简单日志搜索的界面图;
图11是按照本发明一示例性实施例的高级日志搜索的界面图;
图12是按照本发明一示例性实施例的网络分析器设置界面图;
图13是按照本发明一示例性实施例的报告范围设置界面图;
图14是按照本发明一示例性实施例的报警事件设置界面图。
具体实施方式
图2描述了按照本发明一示例性、非限制性实施例的日志装置的方框图。图2所述的日志装置包括:防火墙模块21与存储装置22。这两个模块通过一个或多个千兆以太网连接器连接。为简单明了起见,图2中只示出了一个千兆以太网连接器。另外,日志装置还可包括一显示单元(如图5所示,并在下文做出更详细的描述)。该显示单元可设置在日志装置的面板中。或者,日志装置可与一用于向用户显示数据的监控器相连接。该具有日志记录与分析的功能日志装置可与交换机,网关或路由器集成。
如图2所示,进入的数据,从互联网(Internet)20流入的数据,遇到防火墙21。防火墙21可设置在一分离的电路板上或者与存储装置22设置在单独同一的电路板上。
图2所述的防火墙21上设置有一过滤模块,用于过滤进入的流量。用户可以设定过滤模块软件。例如,用户可以决定监控网关上的哪个端口的流量,以怎样的流量模式(源地址与目标地址或服务)发送到存储装置22。用户可以根据数据包的传输协议或格式,或者基于一特殊的流量会话是否与预先设定的特征相匹配这样的规则来筛选流量。用户可以任意多种结合方式指定上述任意数量的示例性规则。
而且,用户可以指定日志的长度。例如,用户能够设置参数只记录数据包包头的日志。或者,用户能够设置参数以记录全部的内容或只记录与会话有关的数据(数据长度)的日志。例如,用户可以要求只记录IP数据包的包头日志,和记录所有其他类型数据包的整个数据包的日志。举例说明,用户可以用以下方法指定参数:a)通过操作日志装置的面板,以下将详细说明;b)通过网络,使用软件应用程序连接到日志装置上配置参数;c)通过使用一串行电缆将其连接到日志装置面板上的串行端口,将在下面作更详细的说明。正如本领域的技术人员将会认识的,还有上述未提及的其它方法可以连接到日志装置上。
因此,当数据包到达防火墙21的时候,会检测诸如源地址以及目标地址、格式等数据包信息。以上所提供的例子中,如果数据包是一IP数据包,那么只有其包头的日志记录到存储装置22中。也就是说,防火墙21作为过滤装置,识别数据包的格式并筛选出其日志将被记录在存储装置22中的数据包。而且,防火墙告知存储装置22要存储的数据包的类型与内容,以便于进行消息的恢复,即便于数据的分析。例如,用户在图5所示的日志装置的面板上设置参数,并且使用软件指令告知防火墙21设置的参数。接着,防火墙21再通过千兆以太网连接器告知存储装置22用户设置的参数。
也就是说,防火墙21根据用户指定的规则选择性地决定哪些数据包要保存在存储装置22中,以及哪些数据包不需做日志记录便可以通过。通过设置用于存储数据包的规则或过滤器可以使得对数据进行进一步的分析更便利。换句话说,防火墙21是设置用于筛选某些流量类型并且将那些被筛选出的流量类型发送到存储装置22,没被选择的流量将绕过日志记录步骤。作为变换但不作为限制,防火墙21可以是交换机或者其他的网关装置。流量类型可根据源地址与目标地址、数据包协议类型或者端口数量,和/或一特殊的流量会话是否与预先设定的特征相匹配来进行选择。作为示例,本发明中列举了一些规则,可以选择使用其中的任意数量,使用其他的规则也属于本发明的保护范围内。
特别地,防火墙21还可包括以下部件:用来执行防火墙操作以及上述提到的过滤操作的处理器以及存储装置。防火墙21的存储装置用来存储用户指定的参数,处理器用于执行所要求的操作以对要发送到存储装置22的数据包进行过滤。选择性地,防火墙装置21可以包括不止一个处理器。
接下来,经过防火墙21过滤的数据被发送到存储装置22。存储装置22从防火墙21处接收数据并将其存储在如硬盘或闪存等的持久存储装置中。存储装置22有一处理器或控制器,用来控制存储的数据以及进行其他操作。例如,通过使用一处理器,存储装置22不仅可以存储原始数据包中的数据,而且可以重建数据并以应用格式存储应用级别的数据(如电子邮件、下载的文件等)以便分类与检索。存储装置22中的处理器对接收到数据包建立索引或分类以便进行进一步的搜索。存储装置22的处理器可以自动覆盖旧的数据部分以给新数据挪出空间。当防火墙21与存储装置22集成到同一电路板上的时候,提供至少两个处理器,如中央处理器(CPU)是有利的,以使得一处理器用于控制防火墙的操作,另一处理器用于控制数据包的存储。
存储装置22中也可以有一千兆以太网(GbE)控制器,其一个端口连接到防火墙21,另一个端口连接到日志装置的面板上。或者,存储装置22可只连接到防火墙上,如以上所述。
并且,存储装置22可以包括多个存储装置,如图3所述。典型的存储装置22可以是RAID(独立磁盘冗余阵列)硬盘阵列,其包括硬盘31a,31b直到31n。存储装置22还包括一RAID控制器32,及至少两个或更多的GbE端口33a、33b。例如,RAID控制器32通过GbE端口33a接收数据包,以及通过GbE端口33b接收用户请求。另外,RAID控制器32确定将接收到的数据包传输到31a、31b或31n中的哪个硬盘,并把接收到的数据传输到已经确定的硬盘31a、31b或31n上。
图4所示按照本发明一示例性实施例的日志装置包括如上述的一防火墙与存储区域。也就是说,日志装置40包括一网关计算机41。作为例子,该网关计算机41可以是路由器、交换机、多网络端口的网络集线器(hub)或者为现有所知的某一类型的防火墙。此外,日志装置40还包括存储设备42,例如在图3中所示的硬盘阵列以及分析计算机43。作为变化,网关计算机41与分析计算机43可以是计算部件,如集成在一个物理装置中的CPU。
一用户,如网络管理员通过交互作用设置用于过滤数据的参数,例如使用分析计算机43。然而,可以通过直接配置网关计算机41来设置过滤参数,因为网关计算机41经常提供一种过滤进入数据的方法以使得用户能只捕获需要的数据而不是到达网关计算机41的每一数据包。
网关计算机41接收网络流量。网关计算机41应用用户设置的参数对接收到的数据进行过滤并把过滤的数据发送到存储设备42。在存储设备42中,应用一控制器把数据发送到各个硬盘上。也就是说,一旦存储装置捕获了原始数据包的拷贝,然后就对数据包进行重建并以其原始的格式存储在硬盘中。一旦流量被捕捉并被存储在硬盘后,用户与分析计算机43交互作用,使用并组织存储在存储设备42中的数据。根据用户的请求,分析计算机43与存储设备42连接以恢复并使用存储的数据。
日志装置应该具有一用户界面或者可以连接到一用户界面,以使得用户能够查看日志并搜索/分类数据。用户界面可设置在日志装置50的面板上,参见图5。具体地,日志装置50可包括一套主硬盘51以及一套从硬盘或备份硬盘52。备份硬盘是为冗余数据提供的。日志装置还可包括多个端口53,如以太网接口1、2、3与4。端口53用于连接到被监控的装置,也就是说,这些装置用来接收发送到日志装置50的数据。而且,日志装置50还可包括几个管理端口54,如图5所示的端口5、6。这些管理端口54用于把日志装置50连接到一用户界面如监视器。此外,日志装置50本身还可包括一显示器55及一面板56,用来接收配置日志装置50的用户输入。
分析计算机43给用户提供存储在存储装置22中数据的实时显示与历史记录的显示。用户能够过滤显示的数据条目。用户还可以设置成对日志文件进行周期性扫描,以查找邮件,HTTP或者FTP流量以及对以内容日志格式存储的原始信息的重建。
而且,用户能够设置生成与流量有关的报告。也就是说,分析计算机43有报告功能,以生成各式报告,如流量模式或安全报告,以下将详细介绍。例如,用户也可以通过指定特殊数据类型与搜索词对日志内容进行搜索。而且,用户也可根据数据的大小进行搜索。用户还可以使用其他的规则进行搜索,同样,其他规则也在本发明的范围之内。
另外,用户可设置使用报警机制。也就是说,用户可以设置自动报警的规则,来对特殊的数据包或信息向用户报警,以下将详细说明。所述报警规则可以根据数据包的大小、关键词、和/或模式比如存储装置储存数据包的速度来设定。进一步地,一用于说明在介质或存储装置中存储有多少数据以及这些数据将被保存的时间的统计信息或记录也将提供给用户。
作为例子,图6所示的界面图可用于分析存储的数据流量。网络分析器60包括流量显示器61、浏览器项62、搜索项63、以及配置项64。而且,网络分析器60还可包括报表与报警项目(图中没有绘出)。每个所列出的项目61-64以及报告项目与报警项目,将在下文进一步详细说明。
流量显示器
选中流量显示器61后,用户可以看到存储在存储装置中的所有数据包。也就是说,通过在显示器上显示这些数据包,用户可以看到在一个预先设定的时间段内所有记录在存储装置中的流量日志。流量显示器有两种模式,一种模式用于显示历史数据,如上一年的数据信息;另一种模式用于显示当前的数据,如最近一个星期的网络流量。
举例说明,当用户选中流量显示器61时,存储在存储装置中的流量日志都将以图7中所示的格式显示。图7中的量显示器700将在一预先设定的时间段710如2004年8月1日到2004年9月1日内接收到的数据包进行显示。也就是说,流量显示器700是工作在历史记录模式。选中更改项目720可以改变时间段710。当用户选中更改项目720时,图8所示的向导将帮助用户选择合适的时间范围。
如图8所示,用户可以指定开始时间810与结束时间820。关于开始时间810,用户也可以使开始时间保持不指定811模式。当不指定开始时间时,将显示存储装置中最早的日志。另一方面,如果通过选择指定模式815确定要指定开始时间,可以通过日期816与时间818来设定开始的日期和时间。
用户还可以进一步设定结束时间820。如图8的示例,有三种选项可以设置结束时间820。用户还可以选中滚动日志显示821选项。当选中滚动日志显示821选项时,一有新的流量进入时,将根据用户指定的参数对其进行检测,如果其合适将被显示给用户。也就是说,滚动日志显示821是对最新进入流量的实时显示。选项二是设定当前的时间822为结束时间820。所以,所有符合设定时间的进入流量中符合用户设定规则的数据包都将被显示。选项三是指定结束时间823。在该选项中,用户可以指定结束时间的具体日期824与时间826。而且,用户可以从弹出的日历图标817与825框中选择日期。
用户还可以进一步选择每页浏览的记录数量(数据包的数量)。如图7所示,显示的记录数量730设定的是30条。显示框740向用户显示出了当前浏览的是哪条日志。例如,在图7中示出了用户正在查看n个记录中的第一个记录。用户也可以在搜索项750中键入一个或多个关键词然后按开始键760来搜索。
在流量显示器700中,对于每个记录770a到g(指每个数据包)都包括以下各项:记录的编号771(如1、2、3...7)、到达网关计算机的日期772(2005年3月12日),到达的时间773(到达的时、分、秒),各数据包产生的源774(源主机的IP地址,如192.168.01),数据包到达的目的地775(目的地主机的IP地址,如255.255.255.255)以及传输协议776(数据包格式,如传输控制协议TCP、地址解析协议ARP、网间控制报文协议ICMP及域名系统DNS)与附加信息777。附加信息777可包含有以下的项目,如数据包是否到达了目标地址,信息的类型如该信息是否为同步信息和/或应答消息,或者该信息是否是询问信息等。要显示查看记录(数据包)的详细信息,用户只需要点击图标778,数据包的内容及其他详细信息都会显示出来。数据包内容可以是下表(界面截图)所示内容:
| Frame 1(42 bytes on wire,42 bytes captured)Ethernet II,Src:00:0b:sb:20:cd:02,Dst:ff:ff:ff:ff:ff:ff:Address Resolution Protocol(request/gratuitous ARP) |
| 0000 ff ff ff ff ff ff 00 0b 5d 20 ce 02 08 06 00 01 … …』 …0000 08 00 06 04 00 01 00 0b 5d 20 cd o2 co a8 00 02 … …』 …0020 00 00 00 00 00 00 c0 a8 00 02 … …… |
而且,可以对项771至775指定附加的过滤器,如图标778a到778e所示。也就是说,可以对778a、778b、778c、778d、778e中的每一项设置过滤器。例如,可通过图9所示的用户图形界面设置对日期的过滤器。
例如,如图9所示,用户可以通过指定“之前”、“之后”、“在范围内”来指定日期的过滤范围910。而且,用户也可以指定不在某一范围内920项。对于“之前”和“之后”的过滤范围910,设置一日期和时间,而指定“在范围内”时,开始的日期项(从...)930和结束的日期项(到...)940都需要设置。时间也可进行相应的设置(图中为示出)。
最后,如图7所示,所有的记录都用颜色进行标注。根据设定的日志安全级别,每行的记录可以预先指定为不同颜色。例如,标准的HTTP请求(TCP)为低危险性,可以用绿色标注;而复制的TCP ACK信息具有较高的危险性,可用红色来标注。其他被认为具有中度危险性的数据包可以用比较中性颜色如蓝色进行标注。对于安全性不能够确定的数据包可用白色来标注。此外,为了方便用户使用,用数字表示的可以通过如图7所示复选框中的“解析主机名称”与“解析服务”更改为以名称显示。
图7到9中描述的流量显示器700是作为一个例子提出的,其不在任何方面用来限制本发明的保护范围。
浏览器
选中浏览器项62,用户可以查看存储在存储装置中所有的数据包。也就是说,通过在显示器中显示这些数据包,用户可以看到在设定的时间段内所有记录在存储装置中的流量日志。浏览器项62有两种或更多种的模式,一种模式用于显示历史数据,如上一年的数据信息;另一个显示当前的数据,如最近一个星期的网络流量。浏览器使得用户可以从头到尾的逐个浏览所显示的流量记录。
搜索
选中搜索项63,用户可以选择使用各种关键词对存储在硬盘的流量进行搜索。具体地,提供了两种搜索的类型:基本搜索1000与高级搜索1100(如图10、图11)。
选中基本搜索1000时,显示图10所示的界面。图10中,用户可以在框1010处指定一个或多个关键词,然后选中搜索项1020开始搜索。一旦搜索项1020被选中后,根据所键入的关键词对所有存储在硬盘的数据进行搜索。符合指定规则的数据包显示在搜索结果部分1050。搜索结果部分1050可以对显示的流量数据包进行过滤,类似于上述流量显示器的显示功能。用户可以选择搜索历史项1030重看进行过的搜索。以前的搜索结果显示在搜索结果部分1050。用户也可以选中清除历史记录项1040清除搜索的历史记录。
选中高级搜索1100时,显示图11所示的界面。高级搜索1100比简单搜索1000提供了更多的选择。举例说明,用户可以通过所有词项1110选择指定以用户输入所有词作为关键词进行搜索,也可指定精确词搜索项1120根据用户输入的词进行精确搜索进行。而且,也可根据用户键入的关键词中的至少一个词1130进行搜索,或是也可以在流量日志中进行不包含某一个或多个关键词的搜索(不包含所述词项1140)。最后,用户可以设定要查询数据流量的时间(日期在...之内项1160),用户根据设定的时间对日志进行搜索。当用户选择设置查询时间时,可以通过一下拉菜单来进行设定。用户可指定所需搜索的最近的小时,最近的天或最近的星期等。一旦用户在项1110,1120,1130,1140与1160中的一个或多个区域输入搜索的规则后,选中搜索键1170便可以确定搜索了。搜索结果在搜索结果部分1150处显示,类似上述图10的搜索结果部分1050。
执行搜索后,会有通知告示用户搜索进行的进度。然后,在系统中发现的结果将被显示。也就是说,当发现新的数据包与用户键入的搜索规则相符合时,其将在搜索结果部分1050或1150处显示。用户也可以通过在图形用户界面中选中合适的项(图中没有显示)在任何时间下结束搜索。例如,当用户找到所要求的所有数据包时,可结束搜索。示出的搜索功能只是作为例子提出,并不用于限制本发明保护范围。
配置
用户还拥有设置网络分析器的高度灵活性。通过选中配置项64,图12示出了配置和使能网络分析器的界面1200。配置功能可使能网络分析器且可以设置滚动日志及将日志传输或复制到二级装置或备份装置中。
如图12所示,操作启用网络分析器项1210可以启动或关闭分析器功能。当关闭分析器的时候,所有其他的配置操作也失效。另一方面,当启动分析器的时候,需要在下拉菜单项1215中指定一个要进行分析的端口,例如,图中所示指定端口2。而且,通过选择从标准日志重启设置项1220可重新启用设置。当选择重新启用项时,其它的配置设置都会消失,启用标准日志设置的界面。具体地,例如,从其他的服务器上传标准日志设置。
而且,通过操作日志滚动信息区域1230可以调整滚动日志的设置。作为例子,在框1233中可以指定日志文件的大小以及在框1236处指定日志文件生成的时间。也就是说,在图中区域1239中,用户可以设置成在一个月的某几天或某个时间段生成每月的日志,设置成在一星期的某几天或某个时间段生成每星期的日志,或设置成在一天的某个时间段生成每天的日志。因此,用户可以设置日志滚动的频率。
而且,日志上传功能可通过启动日志上载选项1240实现。日志滚动后进行日志上传。要上传日志文件,需要在框1241处指定FTP服务器的IP地址,在框1242处提供用户名与在框1243处输入密码。可以设定日志上传的时间,也就是说,通过选项1244a可以设置在日志滚动后上传日志文件或通过选项1244b可以设置以一预先设定的时间间隔上传日志文件,如在每天的某一时间或多个时间内上传。同样,可以设定上传日志文件的格式,如通过选项1245可设置以压缩格式上载或通过选项1246设定在上传后删除文件。当设定了所有设置后,通过选择应用选项1250确认接受所有的设置。所述的配置项只作为例子进行说明,并不用于限制本发明的保护范围。
此外,网络分析器60可以生成报告与设置警告和警报。在图形用户界面中,报告与报警可以是两个独立的菜单项。选中报告项后,用户可以通过选项配置或创建报告并在隔离的情况下浏览文件的汇总,也就是说,这些文件可能被认为是含有病毒的文件。同样,也可以通过选项选择浏览定义好的报告。
当用户选择配置或创建报告时,将提供已经定义好的报告表格。该表格可包括报告名称,如“日报”或“周报”;产生这些报告的装置,如所有装置或组4中的装置;这些报告产生的时间,如每天上午12点或每周周一的凌晨一点。表格中还可包含对于报告可采取的措施。这些措施可包括删除报告、编辑报告,以及生成或运行报告。例如,通过选项“运行报告”,可以即时生成报告而不需等待其设定的时间。用户也可以编辑已定义的报告或创建新的报告。
用户选择合适的菜单选项,以生成一新的报告。对于每个新报告,用户指定其名称、报告的时间段、以及报告的范围。图13示出了设置报告范围的图形用户界面示例。如图13所示,在框1310处指定装置的类型。在区域1320处,用户可以设定生成的报告是否是所有装置的报告,还是每个装置生成一份报告,或每个虚拟域生成一份报告。为了方便用户使用,在报告中的数字可用其相应的名称来代替。例如,用户可以选择解析报告中的主机的名称和/或服务器名称。此外,还提供了如图13所示的高级设置选项。也就是说,生成的报告可以通过设置选项1330与1340进行排列。
此外,用户可以创建报告组。在创建报告组中,用户可以选择基本组以生成最常用的报告,选择所有可能的报告组,或选择定制报告组。例如,当选择基本或标准报告组的时候,应用的报告类型被自动选中而其它的选项将变灰,所述应用的报告类型是从所有可能的报告类型中自动选择出来的。也可以是,用户选择生成所有的可能的报告,所有的报告都被自动检查。或者,当用户选择产生所有可能的报告时,所有的选项框将被自动选中。当选择定制报告组时,用户设定应该包括在定制组中的报告。也就是说,用户从所有可能的报告中选择应该生成的报告。
举例说明,可以生成以下种类的报告:a)监控网络活动;b)监控网页活动;c)监控文件传输协议(FTP)活动;d)监控终端活动;e)监控邮件活动;f)监控入侵活动;g)监控反病毒活动;h)监控网页过滤器的活动;I)监控邮件过滤器活动;j)监控虚拟个人网络(VPN)活动;及k)监控内容活动。以上列表只是示例,并不用于限制该发明的保护范围。监控网络的其他活动也在本发明的保护范围之内。因此,如果以上所列举的a到j类报告是所有可能生成的报告,当用户选择生成所有可能的报告时,将生成上述所有a到j类的报告。标准或基本的报告组可预先设定只包括从a到c类,还有f与g类报告。当用户选择定制组选项时,用户可以选择a到j类中的任何类报告。
在生成用户定制报告组时,对于选择的报告组中的每一项报告,用户还可以指定:1)根据日期与方向监控流量;2)按一周中的天与方向监控流量;3)按一天中的小时与方向监控流量等等。提供有默认设置,如,监控所有流入的流量。
用户还可以创建一过滤日志,类似于上述的过滤日志创建。接下来,用户可以指定日志生成的时间如每天凌晨3点,与设定日志输出的格式。例如,可以设定文件或邮件输出的格式。例如,可以文本、pdf、MS Word、HTML或其它的格式来存储文件或发送邮件。此外,还指定了报告应该被发送到电子邮件地址。
为编辑现有的报告,提供有一菜单,该菜单包括报告的各种类别或特点如时间段、报告范围、报告选择、装置、过滤器、时间表与输出等。用户可以通过选择以上所列出的类别与特点对报告进行编辑。
根据本发明一示例性的、不作为限定的实施例的网络分析器进一步包括可设置警告或警报。所述警告或警报用于监控某一特殊的事件或动作行为并且一旦此特殊事件或动作发生时就会以一预先设定的方式做出响应。在本发明一示例性的实施例中警报的设置包括识别要监控的装置及设置报警触发事件。首先,识别所要监控以报警的装置。例如,如上所述有关报告,用户可以指定所有装置、一特殊组或类的装置组、或仅仅是一单个装置。其次,需要设置报警事件。报警事件是引发一个警报的触发器或条件,如一触发了发送一条警告通知到一具体装置上的条件。同样,可设置当被监控的事件发生时应该采取的行动或响应。
当用户选中报警项目时,会显示一个设定好的警告或警报列表。对于每一设置的报警事件,会显示警报的名称、所监控的装置、触发条件以及当事件或触发条件发生的时候所采取的行为动作或响应。例如,一报警事件可以是一个事件日志或一病毒,其行动或响应可以是给某一具体的人发送电子邮件。
可以实时添加或编辑报警事件,如图14的示例所示。为在报警事件1410处添加报警事件,为设置报警事件用户在选择装置项1420处选择装置。具体地,用户可以使用箭头项1423及1424从可供选择的装置列表1421中选择需要装置并将其置于选中的装置列表1422中或撤销选择。用户还可以指定一个或多个触发条件1430。例如,用户可以通过框1431选择一事件,如事件日志或真实性校验日志事件,用户也可以在框1432中选择严重性及在框1433中选择生成级别。用户也可以通过框1431、1432、1433及添加项1434添加新的事件并指定其严重性及级别。可显示出已设置的触发事件列表1435。用户可以从触发事件列表1435处选择触发事件及利用删除项1436删除。用户也可以指定所采取的动作或响应1440。例如,用户可以在框1441处选择警报要发送的电子邮件地址或添加警报将要被发送的电子邮件地址,例如,在框1442中输入邮件地址及选中添加项1443可以添加邮件地址。可列出设定的动作或响应列表1444。列表1444中可包括警报要发送到的邮件地址,如应该被通知到的目标邮件地址、源地址以及服务器如Syslog-1与SNMP-2。同样,用户也可以使用删除项1445对列表1444中的响应项目进行删除。用户还可以通过图14所示的表格设置各种服务器,如邮件服务器,SNMP服务器以及系统服务器。因此,可以设置各种各样警告或警报以在事件失败、可能的病毒攻击等情况下通知用户。用户可以通过用户友好的对话框即时设置需要的警报。
根据本发明一示例性的实施例,一些网关装置如防火墙或交换机选择性地发送流量到日志装置上。根据如下规则中的一个或多个:如源地址与目标地址,流量协议和端口号、以及预先设定的特征(如,预先设定的特征是否与一特殊流量会话相匹配)对流量进行过滤。用户可实时设置过滤规则。过滤的数据存储在存储装置中且另一装置分析所述过滤的数据。例如,可以对存储的数据执行各式各样的搜索,可生成报告或设置警告或警报。
网关装置与分析装置可以只是设置在一装置中的两个计算部件,而存储装置是设置在所述装置中的一单一存储部件。网关部件把数据或数据包写到存储部件中。同时,分析部件可以对数据即时分类及分析,以为实时监控网络流量提供一种有效的方法。
本发明上述的及其它的特性包括:各种新颖的方法步骤、具有各种模块的系统以及具有各种新颖部件的装置,其都结合附图进行了描述,并在权利要求书中指出。应该理解的是具体实施本发明的特殊流程及部件的结构仅作为示例提出,并不作为对本发明的限制。本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (27)
1、一种管理网络数据包的日志装置,其特征在于,包括:
流量捕捉部件,用来接收网络数据包,并通过筛选符合预先设定规则的数据包来过滤所述接收到的网络数据包;
存储部件,用于存储筛选出的网络数据包;及
分析部件,用于根据用户指定的至少一个参数,组织存储的网络数据包;
其中,所述流量捕捉部件、存储部件及分析部件集成在一单一物理装置中。
2、根据权利要求1所述的日志装置,其特征在于,所述流量捕捉部件及分析部件中的每个包含至少一个处理器。
3、根据权利要求1所述的日志装置,其特征在于,所述存储部件包括多个独立磁盘冗余阵列硬盘及一独立磁盘冗余阵列控制器以确定流入的网络数据包应存储在哪个独立磁盘冗余阵列硬盘中。
4、根据权利要求3所述的日志装置,其特征在于,所述存储部件与所述流量捕捉部件及分析部件中的至少之一相连接;且,所述流量捕捉部件是防火墙、网关计算机与交换机中之一。
5、根据权利要求1所述的日志装置,其特征在于,进一步包括:显示器与用户界面;其中,所述用于过滤网络数据包的预先设定的规则是通过所述用户界面指定的;所述用来筛选网络数据包的预先定义的规则包括指定的源地址、目标地址、协议、端口、以及符合具体流量会话的预先设定的特征中的至少一个。
6、根据权利要求5所述的日志装置,其特征在于,当用户通过所述用户界面输入预先设定的规则时,所述流量捕捉部件根据所述接收到的用户输入自动及实时调整网络数据包的筛选。
7、根据权利要求1所述的日志装置,其特征在于,基于所述预先设定的规则进行数据包的筛选包括选择那些其预先设定的特征与一具体流量会话相匹配的网络数据包。
8、根据权利要求1所述的日志装置,其特征在于,基于所述预先设定的规则进行数据包的筛选包括选择那些其预先设定的特征与具体流量会话相匹配的网络数据包;以及,所述预先定义的规则进一步包括指定至少一部分的所述网络数据包存储在所述存储部件中。
9、根据权利要求1所述的日志装置,其特征在于,所述分析部件从所述存储的数据包中提供一与所述用户指定的至少一个参数相匹配的数据包列表,该数据包列表至少包括以下内容之一:选择的出现在所述网络数据包内容中的文字数字式字符;选择的不出现在所述网络数据包内容中的文字数字式字符;网络协议;时间;日期;其中,所述分析部件为与所述用户指定的至少一个参数相匹配的网络数据包中的每一网络数据包设置一安全级别指示。
10、根据权利要求1所述的日志装置,其特征在于,所述分析部件根据用户指定的参数生成至少一报告,所述参数至少包括以下之一:生成所述至少一报告的时间段;指定的所述至少一报告涉及的至少一装置;指定的所述至少一报告的排序;指定的报告类型。
11、根据权利要求10所述的日志装置,其特征在于,所述报告类型包括所有报告,所述所有报告的一基本组,及一定制报告组,在定制报告组中用户从所述所有的报告中选择至少一个报告,其中,所述所有的报告包括:网络活动报告,网页活动报告,文件传输协议报告,终端活动报告,邮件活动报告,入侵活动报告,反病毒活动报告,网页过滤报告,邮件过滤报告,虚拟个人网络活动报告,与内容活动报告;其中,为所述所有报告中的每个报告指定了时间段与数据包的传输方向。
12、根据权利要求11所述的日志装置,其特征在于,所述用户指定的至少一个参数进一步包括对报告输出格式的指定。
13、根据权利要求1所述的日志装置中,其特征在于,所述分析部件根据用户指定的参数设置至少一个警报,所述参数包括指定至少一监控的装置及指定触发事件与响应。
14、根据权利要求13所述的日志装置,其特征在于,所述触发事件包括:事件类型与等级水平,其中,所述响应包括告知服务器或者给预先设定的目的地址发送邮件。
15、一种管理网络数据包的日志系统,其特征在于,所述日志系统包括:
接收网络数据包的网关计算机,所述网关计算机设置用于根据如下原则对所述接收到的网络数据包进行筛选,所述原则包括:数据包的源地址,数据包的目标地址,数据包传输协议,端口的选择,及一具体流量会话是否与数据包预先设定的特征相匹配;
存储筛选出的数据包的存储装置;及
根据用户指定的参数组织所述存储的网络数据包的分析计算机。
16、根据权利要求15所述的日志系统,其特征在于,所述网关计算机是交换机与防火墙计算机的其中之一;所述存储装置包括多个独立磁盘冗余阵列硬盘,以及一独立磁盘冗余阵列控制器,用于确定流入的网络数据包存储到所述独立磁盘冗余阵列硬盘中的哪个硬盘;其中,所述存储装置与所述网关计算机及分析计算机中的至少一个相连接。
17、根据权利要求15所述的日志系统,其特征在于,所述用户指定的参数至少包括以下内容之一:关键字、排除用的关键字、网络协议、时间日期及分析部件内容中出现的精确词条;其中,所述分析部件示出与所述用户指定参数相匹配的网络数据包并指出所述示出的每个数据的安全级别。
18、根据权利要求15所述的日志系统,其特征在于,所述分析计算机根据用户指定的参数生成至少一报告,所述用户指定的参数包括:所述至少一报告生成的时间段;对所述至少一报告涉及的至少一装置的指定;对所述至少一报告的排序进行指定;对报告类型的指定。
19、根据权利要求18所述的日志系统,其特征在于,所述报告类型包括所有报告,所述所有报告的一基本组,及一用户定制报告组,在定制报告组中用户从所述所有报告中选择至少一个报告;其中,所述所有的报告包括:网络活动报告,网页活动报告,文件传输协议报告,终端活动报告,邮件活动报告,入侵活动报告,反病毒活动报告,网页过滤报告,邮件过滤报告,虚拟个人网络活动报告,及内容活动报告;其中,为所述所有报告中的每个报告指定了时间段与网络数据包的方向。
20、根据权利要求19所述的日志系统,其特征在于,所述用户指定的参数进一步包括对报告输出格式的指定。
21、根据权利要求15所述的日志系统,其特征在于,装置所述分析计算机根据用户指定的参数设置至少一警报,所述参数包括:指定至少一监控的装置,指定一触发事件及响应。
22、根据权利要求21所述的日志系统,其特征在于,所述触发事件包括事件类型及等级水平;其中,所述响应包括告知服务器或者给预先设定的目的地址发送邮件。
23、根据权利要求15所述的日志系统,其特征在于,所述网关计算机设置用于根据用户输入来筛选所述接收到的数据包,其中,所述的用户输入至少包括如下内容之:网络数据包的源地址,网络数据包的目标地址,网络数据包的传输协议,端口的选择及预先设定的特征;其中,当接收到用户的输入时,网关计算机根据用户输入实时调整筛选的规则。
24、一种管理网络数据包的方法,其特征在于,包括:
在网关处,从多种数据源接收网络数据包;
从所述接收到的网络数据包中筛选网络数据包;及
把所述筛选出的网络数据包保存在存储装置中,
其中,所述网关设置用于根据网络数据包的源地址及网络数据包的目标地址,根据网络数据包的协议,根据指定的端口,和/或根据一特殊的流量会话是否与一预先设定的特征相匹配来筛选数据包。
25、根据权利要求24所述的方法,其特征在于,进一步包括分析所述存储的网络数据包,其中,所述分析包括为所述存储的数据包建立索引。
26、根据权利要求24所述的方法,其特征在于,进一步包括根据用户提供的规则分析所述存储的网络数据包的步骤;其中,所述分析包括在存储的数据包中进行搜索与浏览,复制所述存储的网络数据包的原始内容,根据用户提供的规则生成网络流量报告,和/或根据用户提供的规则设置报警。
27、根据权利要求24所述的方法,其特征在于,所述用于通过网关筛选网络数据包的参数是用户指定的。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/213,719 | 2005-08-30 | ||
| US11/213,719 US20070050846A1 (en) | 2005-08-30 | 2005-08-30 | Logging method, system, and device with analytical capabilities for the network traffic |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1925423A true CN1925423A (zh) | 2007-03-07 |
| CN100431302C CN100431302C (zh) | 2008-11-05 |
Family
ID=37805898
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100009694A Active CN100431302C (zh) | 2005-08-30 | 2006-01-16 | 具有对网络流量进行解析功能的日志装置、系统与方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20070050846A1 (zh) |
| CN (1) | CN100431302C (zh) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009117920A1 (zh) * | 2008-03-28 | 2009-10-01 | 华为技术有限公司 | 网络流量采样方法和系统 |
| CN101567813A (zh) * | 2009-05-22 | 2009-10-28 | 北京学之途网络科技有限公司 | 一种基于嗅探的分布式网络数据采集方法及系统 |
| CN102142990A (zh) * | 2010-12-31 | 2011-08-03 | 华为技术有限公司 | 业务用量监控方法及设备 |
| CN102439907A (zh) * | 2010-12-31 | 2012-05-02 | 华为技术有限公司 | 业务用量监控方法及设备 |
| CN102447575A (zh) * | 2011-10-08 | 2012-05-09 | 烽火通信科技股份有限公司 | 一种解析并管理十六进制数据日志文件的方法 |
| CN102594625A (zh) * | 2012-03-07 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
| WO2012167527A1 (zh) * | 2011-10-17 | 2012-12-13 | 华为技术有限公司 | 信令资源过载处理、传输资源过载处理方法和设备及系统 |
| CN103414608A (zh) * | 2013-08-15 | 2013-11-27 | 网宿科技股份有限公司 | 快速的web流量采集统计系统和方法 |
| CN103684927A (zh) * | 2013-12-27 | 2014-03-26 | 昆山中创软件工程有限责任公司 | 一种数据包监测方法及装置 |
| US8935382B2 (en) | 2009-03-16 | 2015-01-13 | Microsoft Corporation | Flexible logging, such as for a web server |
| CN105335869A (zh) * | 2015-09-24 | 2016-02-17 | 精硕世纪科技(北京)有限公司 | 一种广告监测的预警方法及系统 |
| CN105610604A (zh) * | 2015-12-16 | 2016-05-25 | 网宿科技股份有限公司 | Tcp传输数据的图形化分析方法和系统 |
| CN105703930A (zh) * | 2014-11-26 | 2016-06-22 | 杭州迪普科技有限公司 | 基于应用的会话日志处理方法及装置 |
| CN106100895A (zh) * | 2016-07-11 | 2016-11-09 | 东软集团股份有限公司 | 应用性能指标数据采集方法及系统 |
| CN106874354A (zh) * | 2016-12-28 | 2017-06-20 | 北京五八信息技术有限公司 | 一种日志数据筛选方法及装置 |
| CN107707432A (zh) * | 2017-10-30 | 2018-02-16 | 成都视达科信息技术有限公司 | 一种测试方法和系统 |
| CN108881181A (zh) * | 2018-05-30 | 2018-11-23 | 杭州迪普科技股份有限公司 | 一种报文的过滤方法及装置 |
| CN112565338A (zh) * | 2020-11-10 | 2021-03-26 | 中国人民解放军战略支援部队信息工程大学 | 一种以太网报文捕获、过滤、存储、实时解析方法及系统 |
| CN114365454A (zh) * | 2019-10-21 | 2022-04-15 | 思科技术公司 | 无状态安全功能的分布 |
| CN117278660A (zh) * | 2023-11-21 | 2023-12-22 | 华信咨询设计研究院有限公司 | 一种基于dpdk技术的流量过滤的协议解析方法 |
| US11937120B1 (en) * | 2023-04-06 | 2024-03-19 | Clicknow Technologies Ltd. | Method of regulating transmission of data-packets from a wireless terminal device (WTD) and WTD configured for same |
Families Citing this family (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8548170B2 (en) | 2003-12-10 | 2013-10-01 | Mcafee, Inc. | Document de-registration |
| US8656039B2 (en) | 2003-12-10 | 2014-02-18 | Mcafee, Inc. | Rule parser |
| US9584522B2 (en) * | 2004-02-26 | 2017-02-28 | Vmware, Inc. | Monitoring network traffic by using event log information |
| US8024779B2 (en) * | 2004-02-26 | 2011-09-20 | Packetmotion, Inc. | Verifying user authentication |
| US7941827B2 (en) * | 2004-02-26 | 2011-05-10 | Packetmotion, Inc. | Monitoring network traffic by using a monitor device |
| US8166554B2 (en) | 2004-02-26 | 2012-04-24 | Vmware, Inc. | Secure enterprise network |
| US8214875B2 (en) * | 2004-02-26 | 2012-07-03 | Vmware, Inc. | Network security policy enforcement using application session information and object attributes |
| US7840763B2 (en) * | 2004-03-12 | 2010-11-23 | Sca Technica, Inc. | Methods and systems for achieving high assurance computing using low assurance operating systems and processes |
| US8166547B2 (en) | 2005-09-06 | 2012-04-24 | Fortinet, Inc. | Method, apparatus, signals, and medium for managing a transfer of data in a data network |
| US8595846B1 (en) * | 2005-11-29 | 2013-11-26 | At&T Intellectual Property Ii, L.P. | Method for identifying compromised network components |
| US7958227B2 (en) * | 2006-05-22 | 2011-06-07 | Mcafee, Inc. | Attributes of captured objects in a capture system |
| CN100446486C (zh) * | 2007-05-11 | 2008-12-24 | 北京工业大学 | 网络流行为的行为分析参数的提取方法 |
| US20090154363A1 (en) * | 2007-12-18 | 2009-06-18 | Josh Stephens | Method of resolving network address to host names in network flows for network device |
| US9253154B2 (en) | 2008-08-12 | 2016-02-02 | Mcafee, Inc. | Configuration management for a capture/registration system |
| US8473442B1 (en) | 2009-02-25 | 2013-06-25 | Mcafee, Inc. | System and method for intelligent state management |
| US8447722B1 (en) | 2009-03-25 | 2013-05-21 | Mcafee, Inc. | System and method for data mining and security policy management |
| US8289960B2 (en) * | 2009-06-22 | 2012-10-16 | Citrix Systems, Inc. | Systems and methods for N-core tracing |
| US8806615B2 (en) | 2010-11-04 | 2014-08-12 | Mcafee, Inc. | System and method for protecting specified data combinations |
| US8776207B2 (en) | 2011-02-16 | 2014-07-08 | Fortinet, Inc. | Load balancing in a network with session information |
| EP2533169A1 (en) | 2011-06-08 | 2012-12-12 | Telefonaktiebolaget L M Ericsson (publ) | Method of determining an attribute of a server |
| US20130246334A1 (en) | 2011-12-27 | 2013-09-19 | Mcafee, Inc. | System and method for providing data protection workflows in a network environment |
| CN102595243B (zh) * | 2012-02-10 | 2015-03-11 | 深圳创维-Rgb电子有限公司 | 监控电视机中网络流量的方法、装置及电视机 |
| CN103780741B (zh) * | 2012-10-18 | 2018-03-13 | 腾讯科技(深圳)有限公司 | 提示网速的方法和移动设备 |
| US20150033336A1 (en) * | 2013-07-24 | 2015-01-29 | Fortinet, Inc. | Logging attack context data |
| TW201505411A (zh) | 2013-07-31 | 2015-02-01 | Ibm | 用於規則式安全防護設備之規則解譯方法及設備 |
| US10523521B2 (en) | 2014-04-15 | 2019-12-31 | Splunk Inc. | Managing ephemeral event streams generated from captured network data |
| US11086897B2 (en) | 2014-04-15 | 2021-08-10 | Splunk Inc. | Linking event streams across applications of a data intake and query system |
| US9762443B2 (en) | 2014-04-15 | 2017-09-12 | Splunk Inc. | Transformation of network data at remote capture agents |
| US10693742B2 (en) | 2014-04-15 | 2020-06-23 | Splunk Inc. | Inline visualizations of metrics related to captured network data |
| US9838512B2 (en) | 2014-10-30 | 2017-12-05 | Splunk Inc. | Protocol-based capture of network data using remote capture agents |
| US10366101B2 (en) | 2014-04-15 | 2019-07-30 | Splunk Inc. | Bidirectional linking of ephemeral event streams to creators of the ephemeral event streams |
| US10700950B2 (en) | 2014-04-15 | 2020-06-30 | Splunk Inc. | Adjusting network data storage based on event stream statistics |
| US11281643B2 (en) | 2014-04-15 | 2022-03-22 | Splunk Inc. | Generating event streams including aggregated values from monitored network data |
| US9923767B2 (en) | 2014-04-15 | 2018-03-20 | Splunk Inc. | Dynamic configuration of remote capture agents for network data capture |
| US10360196B2 (en) | 2014-04-15 | 2019-07-23 | Splunk Inc. | Grouping and managing event streams generated from captured network data |
| US10462004B2 (en) | 2014-04-15 | 2019-10-29 | Splunk Inc. | Visualizations of statistics associated with captured network data |
| US10127273B2 (en) | 2014-04-15 | 2018-11-13 | Splunk Inc. | Distributed processing of network data using remote capture agents |
| US12028208B1 (en) | 2014-05-09 | 2024-07-02 | Splunk Inc. | Selective event stream data storage based on network traffic volume |
| CN103986707A (zh) * | 2014-05-15 | 2014-08-13 | 浪潮电子信息产业股份有限公司 | 一种基于通用协议模块化网络传输数据包过滤方法 |
| US10659478B2 (en) * | 2014-07-21 | 2020-05-19 | David Paul Heilig | Identifying stealth packets in network communications through use of packet headers |
| US10379915B2 (en) | 2014-07-24 | 2019-08-13 | Home Box Office, Inc. | Structured logging system |
| US20160127180A1 (en) * | 2014-10-30 | 2016-05-05 | Splunk Inc. | Streamlining configuration of protocol-based network data capture by remote capture agents |
| US9596253B2 (en) | 2014-10-30 | 2017-03-14 | Splunk Inc. | Capture triggers for capturing network data |
| US10334085B2 (en) | 2015-01-29 | 2019-06-25 | Splunk Inc. | Facilitating custom content extraction from network packets |
| CN105005521B (zh) * | 2015-06-26 | 2017-09-12 | 腾讯科技(北京)有限公司 | 测试方法及装置 |
| CN105490841B (zh) * | 2015-11-26 | 2019-03-01 | 广州华多网络科技有限公司 | 一种终端日志抓取方法、装置及系统 |
| CN106533836B (zh) * | 2016-11-29 | 2019-09-06 | 杭州迪普科技股份有限公司 | 一种展示数据包内容的方法及装置 |
| KR102024530B1 (ko) * | 2017-02-01 | 2019-09-24 | 한국전자통신연구원 | 네트워크 데이터 통합 수집 장치 및 방법 |
| US11503002B2 (en) * | 2020-07-14 | 2022-11-15 | Juniper Networks, Inc. | Providing anonymous network data to an artificial intelligence model for processing in near-real time |
| US11201887B1 (en) * | 2021-03-23 | 2021-12-14 | Lookingglass Cyber Solutions, Inc. | Systems and methods for low latency stateful threat detection and mitigation |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
| US7149189B2 (en) * | 2001-07-17 | 2006-12-12 | Mcafee, Inc. | Network data retrieval and filter systems and methods |
| CN1422050A (zh) * | 2001-11-26 | 2003-06-04 | 深圳市中兴通讯股份有限公司上海第二研究所 | 短消息过滤监管网关与方法 |
| US7512980B2 (en) * | 2001-11-30 | 2009-03-31 | Lancope, Inc. | Packet sampling flow-based detection of network intrusions |
| DE10226744B4 (de) * | 2002-06-14 | 2005-05-04 | T-Mobile Deutschland Gmbh | Content- und Security Proxy in einem Mobilkommunikationssystem |
| CN1567258A (zh) * | 2003-06-24 | 2005-01-19 | 鸿富锦精密工业(深圳)有限公司 | Ip日志系统及方法 |
| CN1578227A (zh) * | 2003-07-29 | 2005-02-09 | 上海聚友宽频网络投资有限公司 | 一种动态ip数据包过滤方法 |
| US7783740B2 (en) * | 2003-09-25 | 2010-08-24 | Rockwell Automation Technologies, Inc. | Embedded network traffic analyzer |
| JP2005189996A (ja) * | 2003-12-24 | 2005-07-14 | Fuji Electric Holdings Co Ltd | ネットワーク侵入検知システム |
| US7610375B2 (en) * | 2004-10-28 | 2009-10-27 | Cisco Technology, Inc. | Intrusion detection in a data center environment |
-
2005
- 2005-08-30 US US11/213,719 patent/US20070050846A1/en not_active Abandoned
-
2006
- 2006-01-16 CN CNB2006100009694A patent/CN100431302C/zh active Active
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009117920A1 (zh) * | 2008-03-28 | 2009-10-01 | 华为技术有限公司 | 网络流量采样方法和系统 |
| US8935382B2 (en) | 2009-03-16 | 2015-01-13 | Microsoft Corporation | Flexible logging, such as for a web server |
| CN101567813B (zh) * | 2009-05-22 | 2013-01-23 | 北京学之途网络科技有限公司 | 一种基于嗅探的分布式网络数据采集方法及系统 |
| CN101567813A (zh) * | 2009-05-22 | 2009-10-28 | 北京学之途网络科技有限公司 | 一种基于嗅探的分布式网络数据采集方法及系统 |
| CN102439907B (zh) * | 2010-12-31 | 2014-02-19 | 华为技术有限公司 | 业务用量监控方法及设备 |
| CN102439907A (zh) * | 2010-12-31 | 2012-05-02 | 华为技术有限公司 | 业务用量监控方法及设备 |
| CN102142990B (zh) * | 2010-12-31 | 2016-11-02 | 华为技术有限公司 | 业务用量监控方法及设备 |
| CN102142990A (zh) * | 2010-12-31 | 2011-08-03 | 华为技术有限公司 | 业务用量监控方法及设备 |
| WO2012088919A1 (zh) * | 2010-12-31 | 2012-07-05 | 华为技术有限公司 | 业务用量监控方法及设备 |
| US9172760B2 (en) | 2010-12-31 | 2015-10-27 | Huawei Technologies Co., Ltd. | Method and device for monitoring service usage amount |
| CN102447575A (zh) * | 2011-10-08 | 2012-05-09 | 烽火通信科技股份有限公司 | 一种解析并管理十六进制数据日志文件的方法 |
| CN102447575B (zh) * | 2011-10-08 | 2015-09-16 | 烽火通信科技股份有限公司 | 一种解析并管理十六进制数据日志文件的方法 |
| WO2012167527A1 (zh) * | 2011-10-17 | 2012-12-13 | 华为技术有限公司 | 信令资源过载处理、传输资源过载处理方法和设备及系统 |
| CN102594625A (zh) * | 2012-03-07 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
| CN103414608B (zh) * | 2013-08-15 | 2017-05-17 | 网宿科技股份有限公司 | 快速的web流量采集统计系统和方法 |
| CN103414608A (zh) * | 2013-08-15 | 2013-11-27 | 网宿科技股份有限公司 | 快速的web流量采集统计系统和方法 |
| CN103684927A (zh) * | 2013-12-27 | 2014-03-26 | 昆山中创软件工程有限责任公司 | 一种数据包监测方法及装置 |
| CN103684927B (zh) * | 2013-12-27 | 2017-08-11 | 昆山中创软件工程有限责任公司 | 一种数据包监测方法及装置 |
| CN105703930A (zh) * | 2014-11-26 | 2016-06-22 | 杭州迪普科技有限公司 | 基于应用的会话日志处理方法及装置 |
| CN105335869A (zh) * | 2015-09-24 | 2016-02-17 | 精硕世纪科技(北京)有限公司 | 一种广告监测的预警方法及系统 |
| CN105610604A (zh) * | 2015-12-16 | 2016-05-25 | 网宿科技股份有限公司 | Tcp传输数据的图形化分析方法和系统 |
| CN105610604B (zh) * | 2015-12-16 | 2019-03-22 | 网宿科技股份有限公司 | Tcp传输数据的图形化分析方法和系统 |
| CN106100895A (zh) * | 2016-07-11 | 2016-11-09 | 东软集团股份有限公司 | 应用性能指标数据采集方法及系统 |
| CN106874354A (zh) * | 2016-12-28 | 2017-06-20 | 北京五八信息技术有限公司 | 一种日志数据筛选方法及装置 |
| CN107707432A (zh) * | 2017-10-30 | 2018-02-16 | 成都视达科信息技术有限公司 | 一种测试方法和系统 |
| CN108881181A (zh) * | 2018-05-30 | 2018-11-23 | 杭州迪普科技股份有限公司 | 一种报文的过滤方法及装置 |
| CN114365454A (zh) * | 2019-10-21 | 2022-04-15 | 思科技术公司 | 无状态安全功能的分布 |
| CN114365454B (zh) * | 2019-10-21 | 2024-05-31 | 思科技术公司 | 无状态安全功能的分布 |
| CN112565338A (zh) * | 2020-11-10 | 2021-03-26 | 中国人民解放军战略支援部队信息工程大学 | 一种以太网报文捕获、过滤、存储、实时解析方法及系统 |
| US11937120B1 (en) * | 2023-04-06 | 2024-03-19 | Clicknow Technologies Ltd. | Method of regulating transmission of data-packets from a wireless terminal device (WTD) and WTD configured for same |
| CN117278660A (zh) * | 2023-11-21 | 2023-12-22 | 华信咨询设计研究院有限公司 | 一种基于dpdk技术的流量过滤的协议解析方法 |
| CN117278660B (zh) * | 2023-11-21 | 2024-03-29 | 华信咨询设计研究院有限公司 | 一种基于dpdk技术的流量过滤的协议解析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070050846A1 (en) | 2007-03-01 |
| CN100431302C (zh) | 2008-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100431302C (zh) | 具有对网络流量进行解析功能的日志装置、系统与方法 | |
| US10122575B2 (en) | Log collection, structuring and processing | |
| US7127743B1 (en) | Comprehensive security structure platform for network managers | |
| US9172712B2 (en) | Method and system for improving website security | |
| CA2629279C (en) | Log collection, structuring and processing | |
| US9888023B2 (en) | Presentation of threat history associated with network activity | |
| US20110314148A1 (en) | Log collection, structuring and processing | |
| US20120246303A1 (en) | Log collection, structuring and processing | |
| US7653633B2 (en) | Log collection, structuring and processing | |
| US20060083180A1 (en) | Packet analysis system | |
| US20210297427A1 (en) | Facilitating security orchestration, automation and response (soar) threat investigation using a machine-learning driven mind map approach | |
| US20040073533A1 (en) | Internet traffic tracking and reporting system | |
| KR100513911B1 (ko) | 정보 보안 분석 시스템 | |
| JP2010237975A (ja) | インシデント監視装置,方法,プログラム | |
| CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN115378647A (zh) | 一种基于流量规则特征的策略分析优化方法及系统 | |
| CN111031025B (zh) | 一种自动化检测验证Webshell的方法及装置 | |
| CN108270637B (zh) | 一种网站质量多层钻取系统和方法 | |
| CN102055620B (zh) | 监控用户体验的方法和系统 | |
| EP3220303A1 (en) | Selective extended archiving of data | |
| CN113849337B (zh) | 一种系统异常的处理方法及装置 | |
| Sanders et al. | Network Traffic Analysis with SiLK: Analysts Handbook for SiLK Versions 3.15. 0 and Later | |
| CN117596009A (zh) | 一种本地安全管理系统及方法 | |
| Jin | Visualization of network traffic to detect malicious network activity | |
| Kreibich | Brooery: A Graphical Environment for Analysis of Security-Relevant Network Activity. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: FORTINET INC. Free format text: FORMER OWNER: FORTINET INFORMATION TECHNOLOGY (BEIJING) CO., LTD. Effective date: 20091225 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20091225 Address after: California, USA Patentee after: Fortinet, Inc. Address before: Room 507, digital media building, No. 7 information road, Beijing, Haidian District Patentee before: Fortinet,Inc. |