CN104079545A - 一种提取数据包过滤规则的方法、装置和*** - Google Patents

一种提取数据包过滤规则的方法、装置和*** Download PDF

Info

Publication number
CN104079545A
CN104079545A CN201310110010.6A CN201310110010A CN104079545A CN 104079545 A CN104079545 A CN 104079545A CN 201310110010 A CN201310110010 A CN 201310110010A CN 104079545 A CN104079545 A CN 104079545A
Authority
CN
China
Prior art keywords
packet filtering
filtering rule
packet
feature field
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201310110010.6A
Other languages
English (en)
Inventor
刘玉恒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to CN201310110010.6A priority Critical patent/CN104079545A/zh
Publication of CN104079545A publication Critical patent/CN104079545A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施方式公开了一种提取数据包过滤规则的方法、装置和***。方法包括:获取预定时间段内的网络流量;解析出该网络流量中每个数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段;接收针对每个或多个数据包的操作行为信息,并基于该操作行为信息以及该相应数据包的特征字段集生成数据包过滤规则。本发明实施方式实现了自动生成数据包过滤规则,而且生成的过滤规则与真实的应用环境相匹配。

Description

一种提取数据包过滤规则的方法、装置和***
技术领域
本发明涉及计算机网络安全技术领域,特别是涉及一种提取数据包过滤规则的方法、装置和***。
背景技术
防火墙(firewall)是一项协助确保信息安全的设备,它会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。防火墙通常位于私有网络和外部互联网之间的入口点处,所有的流入数据包和流出数据包都需要穿越它。防火墙的功能是过滤数据包,比如检查所有的流入数据包和流出数据包以确定接受或丢弃数据包。该功能通常由一系列的数据包过滤规则所指定。如果数据包符合过滤规则,数据包过滤器将丢弃(drop)该数据包,或拒绝该数据包(丢弃数据包,并向源头发出“错误响应”信息)。
防火墙规则是网络安全的核心要素。然而,管理这些规则很复杂而且易于出错,尤其对于企业网络而言更是如此。需要仔细地书写和组织数据包过滤规则以正确执行安全政策。
在现有技术中,基本是由专业人士手动撰写生成数据包过滤规则。这种手动生成数据包过滤规则的处理方式主要存在两个问题。首先,手动书写规则非常耗时且需要大量的专业知识,这对于终端用户而言具有不小的难度。另外,手动书写规则容易出错,而且在***真正上线之前手动写出的规则,不一定能够精确匹配真实的应用环境。
发明内容
本发明实施方式提出一种提取数据包过滤规则的方法、装置和***,以实现自动生成数据包过滤规则,而且生成的过滤规则与真实的应用环境相匹配。
根据本发明实施方式的技术方案如下:
一种提取数据包过滤规则的方法,该方法包括:
获取预定时间段内的网络流量;
解析出该网络流量中每个数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段;
接收针对每个或多个数据包的操作行为信息,并基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则。
所述获取预定时间段内的网络流量具体包括:获取防火墙关闭状态下预定时间段内的网络流量。
预先生成包括语法关键字、参数名称和参数值的数据包过滤规则模板;
所述基于该操作行为信息以及该数据包的特征字段集生成数据包过滤规则包括:
将对应于参数名称的特征字段添加到该数据包过滤规则模板的参数值处,并将操作行为信息添加到该数据包过滤规则模板中,以生成数据包过滤规则。
所述数据包过滤规则模板为数据包基本过滤规则模板。
该数据包基本过滤规则模板的参数名称包括:报文方向、除了互联网控制报文协议(ICMP)以外的协议类型、源IP地址、目的IP地址、源端口和目的端口。
该数据包基本过滤规则模板的参数名称包括:报文方向、ICMP类型、源IP地址、目的IP地址和ICMP协议子类型。
所述数据包过滤规则模板为流量整型规则模板。
该流量整型规则模板的参数名称包括:报文方向、除了ICMP协议以外的协议类型、源IP地址、目的IP地址、源端口、目的端口和流量限制参数;
所述基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则包括:基于特征字段集中的时间戳与报文长度计算流量门限值,并将计算出的流量门限值添加到该流量限制参数的参数值处。
该流量整型规则模板的参数名称包括:报文方向、ICMP协议类型、源IP地址、目的IP地址、ICMP协议子类型和流量限制参数;
所述基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则包括:基于特征字段集中的时间戳与报文长度计算流量门限值,并将计算出的流量门限值添加到该流量限制参数的参数值处。
所述数据包过滤规则模板为连接状态跟踪规则模板。
该连接状态跟踪规则模板的参数名称包括:报文方向、除了ICMP协议以外的协议类型、源IP地址、目的IP地址、源端口、目的端口和连接状态。
该连接状态跟踪规则模板的参数名称包括:报文方向、ICMP协议类型、源IP地址、目的IP地址、ICMP协议子类型和连接状态。
该连接状态跟踪规则模板适用于采取被动模式的文件传输协议数据包或采取主动模式的文件传输协议数据包,而且该连接状态跟踪规则模板的参数名称包括:报文方向、协议类型、源IP地址、目的IP地址、源端口、目的端口和连接状态。
一种提取数据包过滤规则的装置,包括网络流量获取单元、特征字段集解析单元和过滤规则生成单元,其中:
网络流量获取单元,用于获取预定时间段内的网络流量;
特征字段集解析单元,用于解析出该网络流量中每个数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段;
过滤规则生成单元,用于接收针对每个或多个数据包的操作行为信息,并基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则。
网络流量获取单元,具体用于获取防火墙关闭状态下预定时间段内的网络流量。
过滤规则生成单元,具体用于获取预先生成的包括语法关键字、参数名称和参数值的数据包过滤规则模板,将对应于参数名称的特征字段添加到该数据包基本过滤规则模板的参数值处,并将操作行为信息添加到该数据包过滤规则模板中,以生成数据包过滤规则。
一种提取数据包过滤规则的***,包括网络流量捕获器、解析器、过滤规则生成器和防火墙;
网络流量获取器,用于获取预定时间段内在防火墙处的网络流量;
解析器,用于解析出该网络流量中每个数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段;
过滤规则生成器,用于接收针对每个或多个数据包的操作行为信息,并基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则,并将该数据包过滤规则发送到防火墙;
防火墙,用于接收该数据包过滤规则。
防火墙,具体用于在网络流量捕获器获取网络流量的过程中处于关闭状态,在接收该数据包过滤规则之后被设置为开启状态,并且执行该数据包过滤规则。
从上述技术方案可以看出,在发明实施方式中,获取预定时间段内的网络流量;解析出该网络流量中每个数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段;接收针对每个或多个数据包的操作行为信息,并基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则。由此可见,应用本发明实施方式之后,首先实现了基于操作行为信息以及该数据包的特征字段集自动生成数据包过滤规则,无需再由专业人士手动撰写生成数据包过滤规则,对于终端用户而言明显降低了操作难度。而且,本发明实施方式可以基于真实的网络流量来提取数据包过滤规则,由于真实的网络流量可以精确反映网络性能,本发明实施方式生成的过滤规则还非常准确。
附图说明
为了使本发明的技术方案及优点更加清楚明白,以下结合附图及实施方式,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施方式仅仅用以阐述性说明本发明,并不用于限定本发明的保护范围。
图1为根据本发明实施方式的提取数据包过滤规则的方法流程图;
图2为根据本发明实施方式的提取数据包过滤规则的装置结构图;
图3为根据本发明实施方式的提取数据包过滤规则的***结构图。
具体实施方式
在本发明实施方式中,基于真实的网络流量来提取数据包过滤规则。真实的网络流量可以精确反映网络性能,从而可以生成准确的数据包过滤规则。而且,对于终端用户(end user)而言,基于网络流量提取过滤规则是直观的以及易于操作的,而无需防火墙或网络安全方面的专业知识。
在本发明实施方式中,优选支持以下特性:生成基于IP地址、端口和协议类型等的基本数据包过滤规则;生成诸如带宽遏流、流量分类和管理之类的流量整型规则;生成数据包的状态过滤或连接跟踪规则。
图1为根据本发明实施方式的提取数据包过滤规则的方法流程图。
如图1所示,该方法包括:
步骤101:获取预定时间段内的网络流量(network traffic)。
防火墙通常位于私有网络和外部互联网之间的入口点处,所有的流入数据包和流出数据包都需要穿越它。网络流量就是网络上传输的数据量。
在一个实施方式中,可以预先针对防火墙设置手工设置一些简单过滤规则,在步骤101中获取预定时间段内工作于该简单过滤规则下的防火墙网络流量,后续方法步骤利用该网络流量来提取数据包过滤规则,并应用所提取的数据包过滤规则对预先设置的简单过滤规则进行优化。
在另一个实施方式中,可以在步骤101中获取防火墙关闭状态下预定时间段内的网络流量。此时,后续方法步骤基于防火墙关闭状态下的网络流量来提取数据包过滤规则。在这种情形中,在捕获网络流量之前,防火墙的过滤功能被关闭,即防火墙处于ACCEPT模式,允许任意的数据包(包括合法和非法数据包)进入或者传出网络。
在具体实施中,可以利用各种嗅探工具(sniffer)来捕获网络流量。使用嗅探工具可以捕获进入或者传出网络的每个数据包,从而可以获取网络上传输的数据量的实际情况。
假设通过嗅探工具在预定时间内捕获有数据包集合P,集合P中的每个数据包标识为P1、P2、P3…Pn。每个数据包依次标有时间戳,分别为t1、t2、t3…tn。t1为时间戳的起点,其值可以设置为0,其他时间戳的值从时间戳起点开始计数,ti为第i个时间戳,i的取值范围为1到n之间的任意自然数。
比如,本发明实施方式可以采用Tcpdump或Wireshark嗅探器来捕获防火墙关闭状态下预定时间段内的网络流量。TcpDump可以将网络中传送的数据包的包头完全截获下来提供分析,它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来去掉无用的信息。类似地,Wireshark(前称Ethereal)是一个网络封包分析软件。在GNUGPL通用许可证的保障范围下,使用者可以免费取得Wireshark软件与其源代码,并拥有针对其源代码修改及客制化的权利。
本领域技术人员可以意识到,以上虽然详细罗列了网络流量嗅探工具的具体实例,本发明实施方式并不局限于此,而是可以采用任意的网络流量嗅探工具或通过其它方式来获取所需的网络流量。
步骤102:解析出该网络流量中每个数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段。
在这里,从步骤101中获取到的每个数据包中,解析出对应于该数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段,特征字段可以用于后续生成数据包过滤规则。
比如,特征字段具体可以包括报文方向、源IP地址、目的IP地址、源端口、目的端口、协议类型、ICMP类型、报文长度、状态和时间戳等信息。
对于数据包Pi,可以解析出其特征字段集为Fi,Fi为{DIi,IPsi,IPdi,PTsi,PTdi,PRotoi,ICMPti,Li,STAi,ti}。其中:
DIi为报文方向,可以通过将防火墙的IP地址与源IP地址IPsi或目的IP地址IPdi进行比较得到报文方向;IPsi为数据包的源IP地址;IPdi为数据包的目的IP地址;PTsi为源端口;PTdi为目的端口;PRotoi为协议类型,通过检查数据包Pi的IP头(header)可以获取协议类型PRotoi;ICMPti为ICMP子类型;Li为数据包长度;STAi为数据包状态标志,ti为时间戳。另外,为了支持FTP协议的状态包过滤,可以通过检查目的端口识别出FTP连接。如果目的端口为21,则该数据包属于FTP连接。
表1为示范性的特征字段说明表。
在表1中列出了具体的字段名称、字段的含义描述以及字段的示范性取值。本领域技术人员可以意识到,这些特征字段及取值仅用于阐述目的,并不用于对本发明实施方式的保护范围进行限定。
表1
步骤103:接收针对每个或多个数据包的操作行为信息,并基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则。
在这里,可以接收针对每个或多个数据包的操作行为信息,该操作行为信息可以来自于人工(比如***管理员)。***管理员针对每个数据包发出操作行为信息,操作行为信息包含针对当前数据包Pi的特定动作Ai。特定动作Ai可以包括:允许(ACCEPT)、丢弃(DROP)或拒绝(REJECT)等。基于针对数据包的操作行为信息以及数据包的特征字段集,可以生成用于防火墙的数据包过滤规则。当多个数据包之间具有某些共同的传输属性时,***管理员可以针对这些数据包设置相同的操作行为信息。
在一个实施方式中,可以预先生成包括语法关键字、参数名称和参数值的数据包过滤规则模板,该数据包过滤规则模板需要符合具体防火墙规则语法。在数据包过滤规则模板中,参数值开始默认为零。可以将对应于参数名称的特征字段添加到该数据包过滤规则模板的参数值处,并将操作行为信息添加到该数据包过滤规则模板中,从而以生成数据包过滤规则。
数据包过滤规则模板可以为数据包基本过滤规则模板、流量整型规则模板或连接状态跟踪规则模板,等。数据包基本过滤规则模板用于生成基本数据包过滤规则;流量整型规则模板用于生成流量整型规则;连接状态跟踪规则模板用于生成连接状态跟踪规则。
在一个实施方式中,数据包基本过滤规则模板的参数名称可以包括:报文方向、除了ICMP协议以外的协议类型、源IP地址、目的IP地址、源端口和目的端口。可选地,数据包基本过滤规则模板的参数名称还可以包括:报文方向、ICMP类型、源IP地址、目的IP地址、ICMP协议子类型。
在一个实施方式中,流量整型规则模板的参数名称可以包括:报文方向、除了ICMP协议以外的协议类型、源IP地址、目的IP地址、源端口、目的端口和流量限制参数。可选地,流量整型规则模板的参数名称还可以包括:报文方向、ICMP协议类型、源IP地址、目的IP地址、ICMP协议子类型和流量限制参数。
在一个实施方式中,连接状态跟踪规则模板的参数名称可以包括:报文方向、除了ICMP协议以外的协议类型、源IP地址、目的IP地址、源端口、目的端口和连接状态。可选地,连接状态跟踪规则模板的参数名称可以包括:报文方向、ICMP协议类型、源IP地址、目的IP地址、ICMP协议子类型和连接状态。
在一个实施方式中,连接状态跟踪规则模板适用于采取被动模式的文件传输协议数据包或采取主动模式的文件传输协议数据包,而且该连接状态跟踪规则模板的参数名称包括:报文方向、协议类型、源IP地址、目的IP地址、源端口、目的端口和连接状态。
下面以Linux***的Iptable防火墙为例,对生成数据包过滤规则的方式进行示范性详细说明。
(1)、生成基本过滤规则:
比如,对于除了ICMP协议以外的报文,数据包基本过滤规则模板可以为:
iptables–A-p-s-d--sport--dport-j;
然后,在该数据包基本过滤规则模板的相应位置加入数据包的特征字段DIi、PRotoi、IPsi、IPdi、PTsiPTdi以及操作行为信息Ai;得到规则如下:
iptables–A DIi-p PRotoi-s IPsi-d IPdi--sport PTsi--dport PTdi-j Ai
该规则的语义是:对于符合“报文方向是DIi;协议类型是PRotoi;源IP地址是IPsi;目的IP地址是IPdi;源端口是PTsi;目的端口是PTdi”的报文,采取的动作为Ai
类似地,对于ICMP协议的报文,数据包基本过滤规则模板可以为:
iptables–A-p ICMP-s-d--icmp-type-j;
然后,在该数据包基本过滤规则模板的相应位置加入数据包的特征字段DIi、IPsi、IPdi、ICMPti以及操作行为信息Ai,得到规则如下:
iiptables–A DIi-p ICMP-s IPsi-d IPdi--icmp-type ICMPti-j Ai
该规则的语义是:对于符合“报文方向是DIi;协议类型是ICMP;源IP地址是IPsi;目的IP地址是IPdi;ICMP子类型是ICMPti”的报文,采取的动作为Ai
由于各个数据包之间的类似性,可能会生成一些相同的规则。因此在基于上述流程自动生成基本过滤规则之前,优选对具有预定数目的相同特征字段的数据包予以合并。其中:在合并过程中,对于除了ICMP协议以外的报文,可以基于下列原则:只要报文的特征字段相同,比如,对于“报文方向DIi;协议类型PRotoi;源IP地址IPsi;目的IP地址IPdi;源端口PTsi;目的端口PTdi”相同的数据包,即可合并。对于ICMP协议的报文,可以基于下列原则:只要报文的基本特征字段相同,即“报文方向是DIi;协议类型是ICMP;源IP地址是IPsi;目的IP地址是IPdi;ICMP子类型ICMPti”相同的数据包,即可合并。
(2)生成流量整型规则:
比如,对于除了ICMP协议以外的报文,流量整型规则模板可以为:
iptables–A-p-s-d--sport--dport-m limit–limit–j;
iptables–A-p-s-d--sport--dport–j。
首先,根据特征字段数据包长度和时间戳计算出带宽门限B,其中:
B = Σ 1 n L i t n ;
然后在流量整型规则模板的相应位置加入数据包的相应特征字段以及相应操作行为信息,得到规则如下:
iptables–A DIi-p PRotoi-s IPsi-d IPdi--sport PTsi--dport PTdi-m limit–limitB-j ACCEPT;
iptables–A DIi-p PRotoi-s IPsi-d IPdi--sport PTsi--dport PTdi-j DROP。
该规则的语义是:对于符合“报文方向是DIi;协议类型是PRotoi;源IP地址是IPsi;目的IP地址是IPdi;源端口是PTsi;目的端口是PTdi”的报文,若流量小于等于B,则采取的动作为“接受”;若流量大于B,则采取的动作为“拒绝”。
类似地,对于ICMP协议的报文,流量整型规则模板可以为:
iptables–A-p-s-d--icmp-type-m limit–limit-j;
iptables–A-p-s-d--icmp-type–j。
首先,根据特征字段计算出带宽门限B,其中:
B = Σ 1 n L i t n ;
然后在流量整型规则模板的相应位置加入数据包的相应特征字段以及相应操作行为信息,得到规则如下:
iptables–A DIi-p ICMP-s IPsi-d IPdi--icmp-type ICMPti-m limit–limit B-jACCEPT
iptables–A DIi-p ICMP-s IPsi-d IPdi--icmp-type ICMPti-j DROP。
该规则的语义是:对于符合“报文方向是DIi;协议类型是ICMP;源IP地址是IPsi;目的IP地址是IPdi;ICMP子类型是ICMPti”的报文,若流量小于等于B,则采取的动作为“接受”;若流量大于B,则采取的动作为“拒绝”。
由于各个数据包之间的类似性,可能会生成一些相同的规则。因此在基于上述流程自动生成流量整型规则之前,优选对具有预定数目的相同特征字段的数据包予以合并。其中:在合并过程中,对于除了ICMP协议以外的报文,可以基于下列原则:只要报文的特征字段相同,即“报文方向DIi;协议类型PRotoi;源IP地址IPsi;目的IP地址IPdi;源端口PTsi;目的端口PTdi”相同的数据包,即可合并。对于ICMP协议的报文,可以基于下列原则:只要报文的特征字段相同,即“报文方向是DIi;协议类型是ICMP;源IP地址是IPsi;目的IP地址是IPdi;ICMP子类型ICMPti”相同的数据包,即可合并。
(3)、生成连接状态跟踪规则(可以由用户指定模式):
比如,对于除了ICMP协议以外的报文,连接状态跟踪规则模板可以包括:
iptables–A FORWARD-p-s-d--sport--dport-m state–state ESTABLISHED-j;
iptables–A FORWARD-p-s-d--sport--dport-m state–state NEW,ESTABLISHED–j。
其中,报文的连接状态可以由特征字段集中的数据包状态标志获得。
然后,在连接状态跟踪规则模板的相应位置加入数据包的特征字段以及操作行为信息;得到规则如下:
iptables–A FORWARD-p PRotoi-s IPsi-d IPdi--sport PTsi--dport PTdi-m state–state ESTABLISHED-j Ai
iptables–A FORWARD-p PRotoi-s IPdi-d IPsi--sport PTdi--dport PTsi-m state–state NEW,ESTABLISHED-j Ai
该规则的语义是:对于符合“报文方向是转发;协议类型是PRotoi;源IP地址是IPsi;目的IP地址是IPdi;源端口是PTsi;目的端口是PTdi;连接状态为新建或已创建”的报文,采取的动作为Ai;对于符合“报文方向是转发”;协议类型是PRotoi;源IP地址是IPdi;目的IP地址是IPsi;源端口是PTdi;目的端口是PTsi;连接状态为新建或已创建”的报文,采取的动作为Ai
类似地,对于ICMP协议的报文,连接状态跟踪规则模板可以包括:
iptables–A FORWARD-p ICMP-s-d--icmp-type-m state–state NEW,ESTABLISHED,RELATED–j;
iptables–A FORWARD-p ICMP-s-d--icmp-type-m state–state ESTABLISHED,RELATED-j。
然后在该连接状态跟踪规则模板相应位置加入数据包的特征字段以及操作行为信息,得到规则如下:
iptables–A FORWARD-p ICMP-s IPsi-d IPdi--icmp-type ICMPti-m state–state NEW,ESTABLISHED,RELATED-j Ai
iptables–A FORWARD-p ICMP-s IPdi-d IPsi--icmp-type ICMPti-m state–stateESTABLISHED,RELATED-j Ai
该组规则的语义是:对于符合“报文方向是转发;协议类型是ICMP;源IP地址是IPsi;目的IP地址是IPdi;ICMP子类型ICMPti;连接状态为新建或已创建或相关”的报文,采取的动作为Ai;对于符合“报文方向是转发;协议类型是ICMP;源IP地址是IPdi;目的IP地址是IPsi;ICMP子类型ICMPti;连接状态为已创建或相关”的报文,采取的动作为Ai
对于采取被动模式的FTP协议的报文,连接状态跟踪规则模板可以包括:
iptables–A FORWARD-p tcp-s-d--sport--dport21-m state–state NEW,ESTABLISHED-j
iptables–A FORWARD-p tcp-s-d--sport21--dport-m state–state ESTABLISHED-j
iptables–A FORWARD-p tcp-s-d--sport--dport20-m state–state ESTABLISHED-j
iptables–A FORWARD-p tcp-s-d--sport20--dport-m state–state ESTABLISHED,RELATED-j。
然后在该连接状态跟踪规则模板相应位置加入数据包的特征字段以及操作行为信息,得到规则如下:
iptables–A FORWARD-p tcp-s IPsi-d IPdi--sport PTsi--dport21-m state–state NEW,ESTABLISHED-j Ai
iptables–A FORWARD-p tcp-s IPdi-d IPsi--sport21--dport PTsi-m state–stateESTABLISHED-j Ai
iptables–A FORWARD-p tcp-s IPsi-d IPdi--sport PTsi--dport20-m state–stateESTABLISHED-j Ai
iptables–A FORWARD-p tcp-s IPdi-d IPsi--sport20--dport PTsi-m state–stateESTABLISHED,RELATED-j Ai
该组规则的语义是:对于符合“报文方向是转发;协议类型是PRotoi;源IP地址是IPsi;目的IP地址是IPdi;源端口是PTsi;目标端口是21;连接状态为新建或已创建”的FTP协议报文,采取的动作为Ai;对于符合“报文方向是转发;协议类型是PRotoi;源IP地址是IPdi;目的IP地址是IPsi;源端口是21;目的端口是PTsi;连接状态为已创建”的FTP协议报文,采取的动作为Ai;对于符合“报文方向是转发;协议类型是PRotoi;源IP地址是IPsi;目的IP地址是IPdi;源端口是PTsi;目标端口是20;连接状态为已创建”的FTP协议报文,采取的动作为Ai;对于符合“报文方向是转发;协议类型是PRotoi;源IP地址是IPdi;目的IP地址是IPsi;源端口是20;目标端口是PTsi;连接状态为已创建或相关”的FTP协议报文,采取的动作为Ai
对于采取主动模式的FTP协议的报文,连接状态跟踪规则模板可以包括:
iptables–A FORWARD-p tcp-s-d--sport--dport21-m state–state NEW,ESTABLISHED-j
iptables–A FORWARD-p tcp-s-d--sport21--dport-m state–state ESTABLISHED-j
iptables–A FORWARD-p tcp-s-d--sport1024:--dport1024:-m state–state ESTABLISHED-j
iptables–A FORWARD-p tcp-s-d--sport1024:--dport1024:-m state–state ESTABLISHED,RELATED-j;
然后在该连接状态跟踪规则模板相应位置加入数据包的特征字段以及操作行为信息,得到规则如下:
iptables–A FORWARD-p tcp-s IPsi-d IPdi--sport PTsi--dport21-m state–state NEW,ESTABLISHED-j Ai
iptables–A FORWARD-p tcp-s IPdi-d IPsi--sport21--dport PTsi-m state–stateESTABLISHED-j Ai
iptables–A FORWARD-p tcp-s IPsi-d IPdi--sport1024:--dport1024:-m state–stateESTABLISHED-j Ai
iptables–A FORWARD-p tcp-s IPdi-d IPsi--sport1024:--dport1024:-m state–stateESTABLISHED,RELATED-j Ai
该组规则的语义是:对于符合“报文方向是转发;协议类型是PRotoi;源IP地址是IPsi;目的IP地址是IPdi;源端口是PTsi;目标端口是21;连接状态为新建或已创建”的主动模式FTP协议报文,采取的动作为Ai;对于符合“报文方向是转发;协议类型是PRotoi;源IP地址是IPdi;目的IP地址是IPsi;源端口是21;目的端口是PTsi;连接状态为已创建”的FTP协议报文,采取的动作为Ai;对于符合“报文方向是转发;协议类型是PRotoi;源IP地址是IPsi;目的IP地址是IPdi;源端口和目标端口是1024;连接状态为已创建”的FTP协议报文,采取的动作为Ai;对于符合“报文方向是转发;协议类型是PRotoi;源IP地址是IPdi;目的IP地址是IPsi;源端口和目标端口是1024;连接状态为已创建或相关”的FTP协议报文,采取的动作为Ai
由于各个数据包之间的类似性,可能会生成一些相同的规则。因此在基于上述流程自动生成连接状态跟踪规则之前,优选对具有预定数目的相同特征字段的数据包予以合并。其中:在合并过程中,对于除了ICMP协议以外的报文,可以基于下列原则:只要报文的基本特征字段相同,即“报文方向DIi;协议类型PRotoi;源IP地址IPsi;目的IP地址IPdi;源端口PTsi;目的端口PTdi”相同的数据包,即可合并。对于ICMP协议的报文,可以基于下列原则:只要报文的基本特征字段相同,即“报文方向是DIi;协议类型是ICMP;源IP地址是IPsi;目的IP地址是IPdi;ICMP子类型ICMPti”相同的数据包,即可合并规则。对于采取被动模式的FTP协议的报文,只要报文的基本特征字段相同,即“报文方向DIi;协议类型PRotoi;源IP地址IPsi;目的IP地址IPdi;源端口PTsi;目的端口PTdi”相同,即可合并。
以上以Iptable防火墙为例对本发明实施方式进行了详细说明。本领域技术人员可以意识到,本发明实施方式并不仅局限于Iptable防火墙,而是可以适用于任意的网络防火墙。
基于上述详细分析,本发明实施方式还提出了一种提取数据包过滤规则的装置。
图2为根据本发明实施方式提取数据包过滤规则的装置结构图。
如图2所示,包括网络流量获取单元201、特征字段集解析单元202和过滤规则生成单元203,其中:
网络流量获取单元201,用于获取预定时间段内的网络流量;
特征字段集解析单元202,用于解析出该网络流量中每个数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段;
过滤规则生成单元203,用于接收针对每个或多个数据包的操作行为信息,并基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则。
在一个实施方式中,过滤规则生成单元203,用于获取预先生成的包括语法关键字、参数名称和参数值的数据包过滤规则模板,将对应于参数名称的特征字段添加到该数据包过滤规则模板的参数值处,并将操作行为信息添加到该数据包过滤规则模板中,以生成数据包过滤规则。
在一个实施方式中,可以预先针对防火墙设置手工设置一些简单过滤规则,网络流量获取单元201获取预定时间段内工作于该简单过滤规则下的防火墙网络流量,过滤规则生成单元203再利用该网络流量来提取数据包过滤规则,并应用所提取的数据包过滤规则对预先设置的简单过滤规则进行优化。
在另一个实施方式中,网络流量获取单元201获取防火墙关闭状态下预定时间段内的网络流量。此时,过滤规则生成单元203基于防火墙关闭状态下的网络流量来提取数据包过滤规则。
基于上述详细分析,本发明实施方式还提出了一种提取数据包过滤规则的***。
图3为根据本发明实施方式提取数据包过滤规则的***结构图。
如图3所示,包括网络流量捕获器301、解析器302、过滤规则生成器303和防火墙304;
网络流量获取器301,用于获取预定时间段内在防火墙304处的网络流量;
解析器302,用于解析出该网络流量中每个数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段;
过滤规则生成器303,用于接收针对每个或多个数据包的操作行为信息,并基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则,并将该数据包过滤规则发送到防火墙;
防火墙304,用于接收该数据包过滤规则。
在一个实施方式中,防火墙304,在网络流量捕获器获取网络流量的过程中处于关闭状态,进一步在接收该数据包过滤规则之后被设置为开启状态,并且执行该数据包过滤规则。
在一个实施方式中,过滤规则生成器303,用于获取预先生成的包括语法关键字、参数名称和参数值的数据包过滤规则模板,将对应于参数名称的特征字段添加到该数据包过滤规则模板的参数值处,并将操作行为信息添加到该数据包过滤规则模板中,以生成数据包过滤规则。
下面基于该***详细描述防火墙的一个过滤规则生成过程,假设该防火墙为Iptable防火墙;网络流量捕获器为Wireshark工具。
首先,配置Iptable防火墙以允许所有数据包经过(包括进入和离开)防火墙,并且使用Wireshark工具以捕获预定时间内的网络流量,并形成pcap文件,比如该文件为P。然后,解析器分析该文件P以提取出每个数据包Pi的特征字段集,其中该特征字段集可以为{DIi,IPsi,IPdi,PTsi,PTdi,PRotoi,ICMPti,Li,STAi,ti}。过滤规则生成器再根据协议类型,将每个数据包特征字段集与针对该数据包的操作行为信息转化为具体的过滤规则,其中。如果用户需要生成连接跟踪规则,需要将状态信息附加到相应的过滤规则中。
可以通过指令或指令集存储的储存方式将本发明实施方式所提出的提取数据包过滤规则方法存储在各种机器可读的存储介质上。这些存储介质数据包括但是不局限于:软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒(Memory Stick)、xD卡等。另外,还可以将本发明实施方式所提出的提取数据包过滤规则方法应用到基于闪存(Nand flash)的存储介质中,比如U盘、CF卡、SD卡、SDHC卡、MMC卡、SM卡、记忆棒、xD卡等。
还可以将当本发明实施方式所提出的提取数据包过滤规则方法具体实施为各种形式的计算机指令。这些计算机指令在机器中被执行时,可以使机器执行本发明实施方式所提出的提取数据包过滤规则方法。
综上所述,在发明实施方式中,首先获取预定时间段内的网络流量;解析出该网络流量中每个数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段;接收针对每个或多个数据包的操作行为信息,并基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则。由此可见,应用本发明实施方式之后,首先实现了基于操作行为信息以及该数据包的特征字段集自动生成数据包过滤规则,无需再由专业人士手动撰写生成数据包过滤规则,对于终端用户而言明显降低了操作难度。而且,本发明实施方式基于真实的网络流量来提取数据包过滤规则,由于真实的网络流量可以精确反映网络性能,本发明实施方式生成的过滤规则还非常准确。
以上所述仅为本发明的较佳实施方式而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应数据包含在本发明的保护范围之内。

Claims (15)

1.一种提取数据包过滤规则的方法,该方法包括:
获取预定时间段内的网络流量;
解析出该网络流量中每个数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段;
接收针对每个或多个数据包的操作行为信息,并基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则。
2.根据权利要求1所述的提取数据包过滤规则的方法,其特征在于,所述获取预定时间段内的网络流量具体包括:
获取防火墙关闭状态下预定时间段内的网络流量。
3.根据权利要求1或2所述的提取数据包过滤规则的方法,其特征在于,预先生成包括语法关键字、参数名称和参数值的数据包过滤规则模板;
所述基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则包括:
将对应于参数名称的特征字段添加到该数据包过滤规则模板的参数值处,并将操作行为信息添加到该数据包过滤规则模板中,以生成数据包过滤规则。
4.根据权利要求3所述的提取数据包过滤规则的方法,其特征在于,所述数据包过滤规则模板为数据包基本过滤规则模板,该数据包基本过滤规则模板的参数名称包括:报文方向、除了互联网控制报文协议ICMP以外的协议类型、源IP地址、目的IP地址、源端口和目的端口。
5.根据权利要求3所述的提取数据包过滤规则的方法,其特征在于,所述数据包过滤规则模板为数据包基本过滤规则模板,该数据包基本过滤规则模板的参数名称包括:报文方向、ICMP类型、源IP地址、目的IP地址和ICMP协议子类型。
6.根据权利要求3所述的提取数据包过滤规则的方法,其特征在于,所述数据包过滤规则模板为流量整型规则模板,该流量整型规则模板的参数名称包括:报文方向、除了ICMP协议以外的协议类型、源IP地址、目的IP地址、源端口、目的端口和流量限制参数;
所述基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则包括:基于特征字段集中的时间戳与报文长度计算流量门限值,并将计算出的流量门限值添加到该流量限制参数的参数值处。
7.根据权利要求3所述的提取数据包过滤规则的方法,其特征在于,所述数据包过滤规则模板为流量整型规则模板,该流量整型规则模板的参数名称包括:报文方向、ICMP协议类型、源IP地址、目的IP地址、ICMP协议子类型和流量限制参数;
所述基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则包括:基于特征字段集中的时间戳与报文长度计算流量门限值,并将计算出的流量门限值添加到该流量限制参数的参数值处。
8.根据权利要求3所述的提取数据包过滤规则的方法,其特征在于,所述数据包过滤规则模板为连接状态跟踪规则模板,该连接状态跟踪规则模板的参数名称包括:报文方向、除了ICMP协议以外的协议类型、源IP地址、目的IP地址、源端口、目的端口和连接状态。
9.根据权利要求3所述的提取数据包过滤规则的方法,其特征在于,所述数据包过滤规则模板为连接状态跟踪规则模板,该连接状态跟踪规则模板的参数名称包括:报文方向、ICMP协议类型、源IP地址、目的IP地址、ICMP协议子类型和连接状态。
10.根据权利要求3所述的提取数据包过滤规则的方法,其特征在于,所述数据包过滤规则模板为连接状态跟踪规则模板,该连接状态跟踪规则模板适用于采取被动模式的文件传输协议数据包或采取主动模式的文件传输协议数据包,而且该连接状态跟踪规则模板的参数名称包括:报文方向、协议类型、源IP地址、目的IP地址、源端口、目的端口和连接状态。
11.一种提取数据包过滤规则的装置,其特征在于,包括网络流量获取单元、特征字段集解析单元和过滤规则生成单元,其中:
网络流量获取单元,用于获取预定时间段内的网络流量;
特征字段集解析单元,用于解析出该网络流量中每个数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段;
过滤规则生成单元,用于接收针对每个或多个数据包的操作行为信息,并基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则。
12.根据权利要求10所述的提取数据包过滤规则的装置,其特征在于,
所述网络流量获取单元,具体用于获取防火墙关闭状态下预定时间段内的网络流量。
13.根据权利要求11或12所述的提取数据包过滤规则的装置,其特征在于,
所述过滤规则生成单元,具体用于获取预先生成的包括语法关键字、参数名称和参数值的数据包过滤规则模板,将对应于参数名称的特征字段添加到该数据包基本过滤模板的参数值处,并将操作行为信息添加到该数据包过滤模板中,以生成数据包过滤规则。
14.一种提取数据包过滤规则的***,其特征在于,包括网络流量捕获器、解析器、过滤规则生成器和防火墙;
网络流量获取器,用于获取预定时间段内在防火墙处的网络流量;
解析器,用于解析出该网络流量中每个数据包的特征字段集,该特征字段集包含有与该数据包传输属性相关的特征字段;
过滤规则生成器,用于接收针对每个或多个数据包的操作行为信息,并基于该操作行为信息以及相应数据包的特征字段集生成数据包过滤规则,并将该数据包过滤规则发送到防火墙;
防火墙,用于接收该数据包过滤规则。
15.根据权利要求14所述的提取数据包过滤规则的***,其特征在于,
所述防火墙,具体用于在网络流量捕获器获取网络流量的过程中处于关闭状态,在接收该数据包过滤规则之后被设置为开启状态,并且执行该数据包过滤规则。
CN201310110010.6A 2013-03-29 2013-03-29 一种提取数据包过滤规则的方法、装置和*** Pending CN104079545A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310110010.6A CN104079545A (zh) 2013-03-29 2013-03-29 一种提取数据包过滤规则的方法、装置和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310110010.6A CN104079545A (zh) 2013-03-29 2013-03-29 一种提取数据包过滤规则的方法、装置和***

Publications (1)

Publication Number Publication Date
CN104079545A true CN104079545A (zh) 2014-10-01

Family

ID=51600593

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310110010.6A Pending CN104079545A (zh) 2013-03-29 2013-03-29 一种提取数据包过滤规则的方法、装置和***

Country Status (1)

Country Link
CN (1) CN104079545A (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105471618A (zh) * 2015-08-03 2016-04-06 汉柏科技有限公司 一种基于防火墙的网络安全的管理方法和***
CN106341341A (zh) * 2016-09-05 2017-01-18 广州华多网络科技有限公司 一种请求数据包过滤方法及其***
CN106657161A (zh) * 2017-02-28 2017-05-10 杭州迪普科技股份有限公司 数据包过滤的实现方法和装置
CN106878074A (zh) * 2017-02-17 2017-06-20 杭州迪普科技股份有限公司 流量过滤方法及装置
CN109194700A (zh) * 2018-11-28 2019-01-11 深信服科技股份有限公司 一种流量管控方法及相关装置
CN110365759A (zh) * 2019-07-08 2019-10-22 深圳市多尼卡航空电子有限公司 一种数据转发方法、装置、***、网关设备及存储介质
CN110417745A (zh) * 2019-07-03 2019-11-05 长沙学院 一种支持ModbusTCP低延时处理的规则匹配方法和***
CN113259347A (zh) * 2021-05-12 2021-08-13 东信和平科技股份有限公司 一种工业互联网内的设备安全***及设备行为管理方法
CN113872964A (zh) * 2021-09-26 2021-12-31 杭州安恒信息技术股份有限公司 一种漏洞规则生成方法及相关装置
CN114553512A (zh) * 2022-02-14 2022-05-27 贵州电网有限责任公司 一种电力边缘计算芯片以太网包过滤方法及装置
CN115086056A (zh) * 2022-06-27 2022-09-20 北京经纬恒润科技股份有限公司 一种车载以太网防火墙分类统计方法、装置和设备
CN115442254A (zh) * 2022-09-05 2022-12-06 南京中孚信息技术有限公司 网络数据包流向判定方法、装置及网关设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1606289A (zh) * 2004-11-18 2005-04-13 北京锐安科技有限公司 数据过滤条件的动态控制方法与装置
CN1878082A (zh) * 2005-06-09 2006-12-13 杭州华为三康技术有限公司 网络攻击的防护方法
CN101364893A (zh) * 2007-08-08 2009-02-11 华为技术有限公司 控制装置、执行装置、生成过滤规则的方法及***
CN101494639A (zh) * 2008-01-25 2009-07-29 华为技术有限公司 一种分组通信***中防止攻击的方法及装置
CN101582900A (zh) * 2009-06-24 2009-11-18 成都市华为赛门铁克科技有限公司 防火墙安全策略配置方法及管理装置
CN102413013A (zh) * 2011-11-21 2012-04-11 北京神州绿盟信息安全科技股份有限公司 网络异常行为检测方法及装置
CN102594625A (zh) * 2012-03-07 2012-07-18 北京启明星辰信息技术股份有限公司 一种apt智能检测分析平台中的白数据过滤方法及***
CN102821002A (zh) * 2011-06-09 2012-12-12 ***通信集团河南有限公司信阳分公司 网络流量异常检测方法和***

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1606289A (zh) * 2004-11-18 2005-04-13 北京锐安科技有限公司 数据过滤条件的动态控制方法与装置
CN1878082A (zh) * 2005-06-09 2006-12-13 杭州华为三康技术有限公司 网络攻击的防护方法
CN101364893A (zh) * 2007-08-08 2009-02-11 华为技术有限公司 控制装置、执行装置、生成过滤规则的方法及***
CN101494639A (zh) * 2008-01-25 2009-07-29 华为技术有限公司 一种分组通信***中防止攻击的方法及装置
CN101582900A (zh) * 2009-06-24 2009-11-18 成都市华为赛门铁克科技有限公司 防火墙安全策略配置方法及管理装置
CN102821002A (zh) * 2011-06-09 2012-12-12 ***通信集团河南有限公司信阳分公司 网络流量异常检测方法和***
CN102413013A (zh) * 2011-11-21 2012-04-11 北京神州绿盟信息安全科技股份有限公司 网络异常行为检测方法及装置
CN102594625A (zh) * 2012-03-07 2012-07-18 北京启明星辰信息技术股份有限公司 一种apt智能检测分析平台中的白数据过滤方法及***

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赵跃华等: "防火墙过滤规则动态生成方案设计", 《计算机工程》 *

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105471618A (zh) * 2015-08-03 2016-04-06 汉柏科技有限公司 一种基于防火墙的网络安全的管理方法和***
CN106341341B (zh) * 2016-09-05 2020-04-03 广州华多网络科技有限公司 一种请求数据包过滤方法及其***
CN106341341A (zh) * 2016-09-05 2017-01-18 广州华多网络科技有限公司 一种请求数据包过滤方法及其***
CN106878074A (zh) * 2017-02-17 2017-06-20 杭州迪普科技股份有限公司 流量过滤方法及装置
CN106878074B (zh) * 2017-02-17 2020-09-08 杭州迪普科技股份有限公司 流量过滤方法及装置
CN106657161B (zh) * 2017-02-28 2020-10-09 杭州迪普科技股份有限公司 数据包过滤的实现方法和装置
CN106657161A (zh) * 2017-02-28 2017-05-10 杭州迪普科技股份有限公司 数据包过滤的实现方法和装置
CN109194700A (zh) * 2018-11-28 2019-01-11 深信服科技股份有限公司 一种流量管控方法及相关装置
CN109194700B (zh) * 2018-11-28 2021-09-17 深信服科技股份有限公司 一种流量管控方法及相关装置
CN110417745A (zh) * 2019-07-03 2019-11-05 长沙学院 一种支持ModbusTCP低延时处理的规则匹配方法和***
CN110417745B (zh) * 2019-07-03 2021-09-03 长沙学院 一种支持ModbusTCP低延时处理的规则匹配方法和***
CN110365759A (zh) * 2019-07-08 2019-10-22 深圳市多尼卡航空电子有限公司 一种数据转发方法、装置、***、网关设备及存储介质
CN110365759B (zh) * 2019-07-08 2021-12-28 深圳市多尼卡航空电子有限公司 一种数据转发方法、装置、***、网关设备及存储介质
CN113259347A (zh) * 2021-05-12 2021-08-13 东信和平科技股份有限公司 一种工业互联网内的设备安全***及设备行为管理方法
CN113872964A (zh) * 2021-09-26 2021-12-31 杭州安恒信息技术股份有限公司 一种漏洞规则生成方法及相关装置
CN114553512A (zh) * 2022-02-14 2022-05-27 贵州电网有限责任公司 一种电力边缘计算芯片以太网包过滤方法及装置
CN114553512B (zh) * 2022-02-14 2024-04-19 贵州电网有限责任公司 一种电力边缘计算芯片以太网包过滤方法及装置
CN115086056A (zh) * 2022-06-27 2022-09-20 北京经纬恒润科技股份有限公司 一种车载以太网防火墙分类统计方法、装置和设备
CN115086056B (zh) * 2022-06-27 2023-07-14 北京经纬恒润科技股份有限公司 一种车载以太网防火墙分类统计方法、装置和设备
CN115442254A (zh) * 2022-09-05 2022-12-06 南京中孚信息技术有限公司 网络数据包流向判定方法、装置及网关设备
CN115442254B (zh) * 2022-09-05 2024-01-30 南京中孚信息技术有限公司 网络数据包流向判定方法、装置及网关设备

Similar Documents

Publication Publication Date Title
CN104079545A (zh) 一种提取数据包过滤规则的方法、装置和***
CN104270392B (zh) 一种基于三分类器协同训练学习的网络协议识别方法及***
US8516586B1 (en) Classification of unknown computer network traffic
EP2806602A1 (en) Feature extraction device, network traffic identification method, device and system.
CN108900374B (zh) 一种应用于dpi设备的数据处理方法和装置
CN104081730A (zh) 用于从通信链路提取结构化应用程序数据的***和方法
KR20170060280A (ko) 탐지 규칙 자동 생성 장치 및 방법
CN109271793A (zh) 物联网云平台设备类别识别方法及***
US10855705B2 (en) Enhanced flow-based computer network threat detection
CN104333483A (zh) 互联网应用流量识别方法、***及识别装置
CN104333461A (zh) 互联网应用流量识别方法、***及识别装置
CN112019446A (zh) 一种接口限速方法、装置、设备及可读存储介质
CN114785567B (zh) 一种流量识别方法、装置、设备及介质
CN114338600A (zh) 一种设备指纹的推选方法、装置、电子设备和介质
CN113765728B (zh) 网络探测方法、装置、设备及存储介质
US20200162339A1 (en) Extending encrypted traffic analytics with traffic flow data
US10200409B2 (en) Apparatus and method for security policy management
CN110661796B (zh) 一种用户动作流量的识别方法和识别装置
CN108933683B (zh) 网络加速感知方法、装置和***
CN105610655A (zh) 一种路由器流量监控与分析方法
CN115935233A (zh) 一种识别资产的方法、装置、存储介质及电子设备
CN111049944B (zh) 一种id发现方法和装置
US9325741B2 (en) Method and system for evaluating access granted to dynamically provisioned virtual servers across endpoints in a network
KR101560820B1 (ko) 시그니처 기반 어플리케이션 식별 장치 및 방법
Zhang The research of log-based network monitoring system

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20141001