CN110995694A - 网络报文检测方法、装置、网络安全设备及存储介质 - Google Patents
网络报文检测方法、装置、网络安全设备及存储介质 Download PDFInfo
- Publication number
- CN110995694A CN110995694A CN201911196136.3A CN201911196136A CN110995694A CN 110995694 A CN110995694 A CN 110995694A CN 201911196136 A CN201911196136 A CN 201911196136A CN 110995694 A CN110995694 A CN 110995694A
- Authority
- CN
- China
- Prior art keywords
- detection length
- length
- current
- network
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提出一种网络报文检测方法、装置、网络安全设备及存储介质,涉及互联网技术领域。所述方法包括:接收网络报文,若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度,则获取所述网络报文中小于所述当前检测长度的第一检测长度的报文数据,所述第一检测长度大于或等于所述预设最小检测长度,对所述网络报文中所述第一检测长度的报文数据进行检测。本公开能够提高对网络报文进行检测的可靠性。
Description
技术领域
本公开涉及互联网技术领域,具体而言,涉及一种网络报文检测方法、装置、网络安全设备及存储介质。
背景技术
随着网络技术的快速发展,对网络设备的性能和网络环境的安全性的要求也越来越高,通常为了对网络或者网络设备进行保护或其它目的,可以在该网络或网络设备与其它网络或网络设备之间设置网络安全设备,通过该网络安全设备对进入该网络或者网络设备的网络报文进行检测。
现有技术中,可以对该网络报文进行流量检测,即将网络报文所包括的报文特征值与预设的报文特征值进行比较,网络报文从而确定该网络报文是否有风险,并对可能存在风险的网络报文进行过滤。
但由于网络安全设备的性能限制,当网络报文的数据量较大时,网络设备可能难以及时对所有网络报文进行检测,即对网络报文进行检测的可靠性较低。
发明内容
本公开的目的在于提供一种网络报文检测方法、装置、网络安全设备及存储介质,以提高对网络报文进行检测的可靠性。
为了实现上述目的,本公开采用的技术方案如下:
第一方面,本公开提出一种网络报文检测方法,所述方法包括:
接收网络报文;
若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度小于或等于所述网络报文的报文长度且大于预设最小检测长度,则获取所述网络报文中小于所述当前检测长度的第一检测长度的报文数据,所述第一检测长度大于或等于所述预设最小检测长度;
对所述网络报文中所述第一检测长度的报文数据进行检测。
可选地,所述方法还包括:
若所述当前设备资源利用率小于所述第一设备资源阈值且大于或等于第二设备资源阈值,则从所述网络报文中获取所述当前检测长度的报文数据进行检测,所述第二设备资源阈值小于所述第一设备资源阈值。
可选地,所述方法还包括:
若所述当前设备资源利用率大于或等于所述第一设备资源阈值、当前检测长度等于所述预设最小检测长度,则不对所述网络报文进行检测并对所述网络报文进行转发。
可选地,所述方法还包括:
若所述当前设备资源利用率小于第二设备资源阈值、所述当前检测长度大于或等于所述预设最小检测长度且小于所述网络报文的报文长度,则获取所述网络报文中大于所述当前检测长度的第二检测长度的报文数据,所述第二设备资源阈值小于所述第一设备资源阈值,所述第二检测长度小于或等于所述网络报文的报文长度;
对所述网络报文中所述第二检测长度的报文数据进行检测。
可选地,在所述对所述网络报文中所述第一检测长度的报文数据进行检测之后,所述方法还包括:
若所述当前设备资源利用率大于或等于所述第一设备资源阈值、所述当前检测长度小于或等于所述网络报文的报文长度且大于所述预设最小检测长度,则重复执行以下过程:
以当前第一检测长度为新当前检测长度,获取所述网络报文中小于所述新当前检测长度的新第一检测长度的报文数据,对所述网络报文中所述新第一检测长度的报文数据进行检测,所述新第一检测长度大于或等于所述预设最小检测长度;
直至所述当前设备资源利用率小于所述第一设备资源阈值或所述新第一检测长度不大于所述预设最小检测长度。
可选地,所述方法还包括:
当检测到所述当前设备资源利用率小于第二设备资源阈值时,统计所述当前设备资源利用率小于第二设备资源阈值的第一时长;
所述若所述当前设备资源利用率小于第二设备资源阈值、所述当前检测长度大于或等于所述预设最小检测长度且小于所述网络报文的报文长度,则获取所述网络报文中大于所述当前检测长度的第二检测长度的报文数据,包括:
若所述当前设备资源利用率小于所述第二设备资源阈值、所述当前检测长度大于或等于所述预设最小检测长度且小于所述网络报文的报文长度、所述第一时长大于或等于第一预设时长阈值,则获取所述网络报文中大于所述当前检测长度的所述第二检测长度的报文数据。
可选地,所述方法还包括:
当检测到所述当前设备资源利用率大于或等于所述第一设备资源阈值时,统计所述当前设备资源利用率大于或等于所述第一设备资源阈值的第二时长;
所述若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度,则获取所述网络报文中小于所述当前检测长度的第一检测长度的报文数据,包括:
若所述当前设备资源利用率大于或等于所述第一设备资源阈值、当前检测长度小于或等于所述网络报文的报文长度且大于所述预设最小检测长度、所述第二时长大于或等于第二预设时长阈值,则获取所述网络报文中小于所述当前检测长度的第一检测长度的报文数据。
第二方面,本公开还提出一种网络报文检测装置,所述装置包括:
接收模块,用于接收网络报文;
第一获取模块,用于若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度小于或等于所述网络报文的报文长度且大于预设最小检测长度,则获取所述网络报文中小于所述当前检测长度的第一检测长度的报文数据,所述第一检测长度大于或等于所述预设最小检测长度;
第一检测模块,用于对所述网络报文中所述第一检测长度的报文数据进行检测。
可选地,所述装置还包括:
第二检测模块,用于若所述当前设备资源利用率小于所述第一设备资源阈值且大于或等于第二设备资源阈值,则从所述网络报文中获取所述当前检测长度的报文数据进行检测,所述第二设备资源阈值小于所述第一设备资源阈值。
可选地,所述装置还包括:
转发模块,用于若所述当前设备资源利用率大于或等于所述第一设备资源阈值、当前检测长度等于所述预设最小检测长度,则不对所述网络报文进行检测并对所述网络报文进行转发。
可选地,所述装置还包括:
第二获取模块,用于若所述当前设备资源利用率小于第二设备资源阈值、所述当前检测长度大于或等于所述预设最小检测长度且小于所述网络报文的报文长度,则获取所述网络报文中大于所述当前检测长度的第二检测长度的报文数据,所述第二设备资源阈值小于所述第一设备资源阈值,所述第二检测长度小于或等于所述网络报文的报文长度;
第三检测模块,用于对所述网络报文中所述第二检测长度的报文数据进行检测。
可选地,所述装置还包括:
第四检测模块,用于若所述当前设备资源利用率大于或等于所述第一设备资源阈值、所述当前检测长度小于或等于所述网络报文的报文长度且大于所述预设最小检测长度,则重复执行以下过程:
以当前第一检测长度为新当前检测长度,获取所述网络报文中小于所述新当前检测长度的新第一检测长度的报文数据,对所述网络报文中所述新第一检测长度的报文数据进行检测,所述新第一检测长度大于或等于所述预设最小检测长度;
直至所述当前设备资源利用率小于所述第一设备资源阈值或所述新第一检测长度不大于所述预设最小检测长度。
可选地,所述装置还包括:
第一统计模块,用于当检测到所述当前设备资源利用率小于第二设备资源阈值时,统计所述当前设备资源利用率小于第二设备资源阈值的第一时长;
所述第二获取模块还用于:
若所述当前设备资源利用率小于所述第二设备资源阈值、所述当前检测长度大于或等于所述预设最小检测长度且小于所述网络报文的报文长度、所述第一时长大于或等于第一预设时长阈值,则获取所述网络报文中大于所述当前检测长度的所述第二检测长度的报文数据。
可选地,所述装置还包括:
第二统计模块,用于当检测到所述当前设备资源利用率大于或等于所述第一设备资源阈值时,统计所述当前设备资源利用率大于或等于所述第一设备资源阈值的第二时长;
所述第一获取模块还用于:
若所述当前设备资源利用率大于或等于所述第一设备资源阈值、当前检测长度小于或等于所述网络报文的报文长度且大于所述预设最小检测长度、所述第二时长大于或等于第二预设时长阈值,则获取所述网络报文中小于所述当前检测长度的第一检测长度的报文数据。
第三方面,本公开还提出一种网络安全设备,包括:处理器、存储介质、收发器和总线,所述存储介质存储有所述处理器可执行的机器可读指令,所述收发器用于收发网络报文,当所述网络安全设备运行时,所述处理器与所述存储介质之间通过所述总线通信,所述处理器执行所述机器可读指令,以执行如前述第一方面所述方法的步骤。
第四方面,本公开还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行前述第一方面所述方法的步骤。
在本公开实施例中,可以获取网络报文,若当前设备资源利用率大于或等于第一设备资源阈值,说明当前网络安全设备的负荷已经过大,可能会发生网络拥塞或者丢包,若当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度,则可以说明当前检测长度还可以进一步减小。那么在网络安全设备的负荷较大、且当前检测长度可以进一步减小时,即可以获取小于当前检测长度的第一检测长度的报文数据,从而即减少对网络报文进行检测的信息量,以在尽可能减少发生网络拥塞和丢包问题的前提下,对尽可能多的网络报文进行检测,提高了对网络报文进行检测的可靠性。另外,与增加或更换网络安全设备相比,不仅不会增加成本,也不会导致网络拓扑改变,减小了运维压力。
本公开的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开了解。本公开的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本公开的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本公开所提供的一种应用环境示意图;
图2示出了本公开所提供的一种网络报文检测方法的流程示意图;
图3示出了本公开所提供的另一种网络报文检测方法的流程示意图;
图4示出了本公开所提供的一种网络报文检测的功能模块示意图;
图5示出了本公开所提供的另一种网络报文检测的功能模块示意图;
图6示出了本公开所提供的另一种网络报文检测的功能模块示意图;
图7示出了本公开所提供的另一种网络报文检测的功能模块示意图;
图8示出了本公开所提供的一种网络安全设备的功能模块示意图。
具体实施方式
下面将结合本公开中附图,对本公开中的技术方案进行清楚、完整地描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在对本公开进行详细地解释之前,先对本公开可能应用的应用场景予以介绍。
请参照图1,为本公开所提供的一种可能的应用环境示意图。网络1与网络2之间设置有网络安全设备3,网络1中可以包括网络设备4,且网络1可以为需要进行保护的网络,网络2可以为网络1之外的其它网络,网络2中的网络报文可以通过该网络安全设备3进入网络1。
在实际应用中,可以通过网络安全设备3对从网络2进入网络1的报文进行筛选过滤,比如识别可能携带病毒或者具有攻击性的风险报文,或者识别出其它具有某些特定特征的报文。
现有技术中,当识别网络报文是否为风险报文时,网络安全设备3可以对每个网络报文包括的所有信息,与预设报文特征进行匹配。如果匹配成功,则将确定该网络报文为风险报文,从而可以将该风险报文进行过滤。如果匹配失败,则确定该网络报文为正常报文,可以对网络报文进行转发。
但网络安全设备对网络报文进行识别需要占用相应的设备资源,比如CPU,而网络报文的数量则是会发生波动的,当网络报文数量较大时,识别网络报文时占用的设备资源也会增大,网络安全设备受其性能瓶颈的限制,无法及时识别所有的网络报文,导致网络拥塞和丢包,可靠性低下。
因此,为了解决上述问题,在本公开实施例中,可以获取网络报文,若当前设备资源利用率大于或等于第一设备资源阈值,说明当前网络安全设备的负荷已经过大,可能会发生网络拥塞或者丢包,若当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度,则可以说明当前检测长度还可以进一步减小。那么在网络安全设备的负荷较大、且当前检测长度可以进一步减小时,即可以获取小于当前检测长度的第一检测长度的报文数据,从而即减少对网络报文进行检测的信息量,以在尽可能减少发生网络拥塞和丢包问题的前提下,对尽可能多的网络报文进行检测,提高了对网络报文进行检测的可靠性。另外,与增加或更换网络安全设备相比,不仅不会增加成本,也不会导致网络拓扑改变,减小了运维压力。
以下将结合上述应用环境,对本公开进行具体说明。
请参照图2,为本公开所提供的一种网络报文检测方法的流程示意图。该方法可以应用于图1所示的网络安全设备中。需要说明的是,本公开所述的网络报文检测方法并不以图2以及以下所述的具体顺序为限制,应当理解,在其它实施例中,本公开所述的网络报文检测方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。下面将对图2所示的流程进行详细阐述。
步骤201,接收网络报文。
本公开实施例中,网络报文可以来自任何网络设备或外部网络的,也可以来自特定网络设备或者特定网络。为了保护网络,本公开实施例对接收的网络报文进行检测。
步骤202,若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度,则获取网络报文中小于当前检测长度的第一检测长度的报文数据,第一检测长度大于或等于预设最小检测长度。
由于网络安全设备对网络报文进行检测需要占用一定的设备资源,且检测的网络报文的数目越多、和/或每个网络报文所检测的信息越多,所占用的设备资源也就越多,那么为了在网络安全设备当前的负荷较大时,尽可能减少发生网络拥塞和丢包问题,并对尽可能多的网络报文进行检测,提高对网络报文进行检测的可靠性,可以在网络安全设备的当前设备资源利用率不小于第一设备资源阈值时,获取较短检测长度的报文数据。具体说明如下。
若当前设备资源利用率大于或等于第一设备资源阈值,则可以说明当前网络安全设备的负荷已经过大,可能会发生网络拥塞或者丢包;若当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度,则可以说明当前检测长度还可以进一步减小。那么在网络安全设备的负荷较大、且当前检测长度可以进一步减小时,即可以降低当前检测长度至第一检测长度,从而减少后续对每个网络报文进行检测的信息量,以缓解网络安全设备的负荷。那么也就不需要更换或增加网络安全设备,不仅不会增加成本,也不会导致网络拓扑改变,减小了运维压力。
当前设备资源利用率可以用于说明网络安全设备当前设备资源的占用状况。可选地,当前设备资源利用率可以包括CPU利用率和报文接口速率中的至少一个,其中,报文接口速率可以为接收网络报文的接口当前接收该网络报文的速率。在其他示例中,当前设备资源利用率还可以包括内存利用率。
当前检测长度可以用于说明当前对网络报文进行检测的信息量。该当前检测长度可以通过字节表示。
第一设备资源阈值可以通过事先设置得到,比如当设备资源包括CPU利用率时,第一设备资源阈值可以为80%、85%或90%,当然,在实际应用中,第一设备资源阈值也可以为其它数值,本公开实施例对此第一设备资源阈值的大小不做具体限定。
其中,可以将当前设备资源利用率与第一设备资源阈值进行比较,从而确定当前设备资源利用率是否大于或等于第一设备资源阈值。
预设最小检测长度可以通过事先设置得到,比如,该预设最小检测长度可以是32kb(Kilobyte,千字节)或16kb。当然,在实际应用中,预设最小检测长度也可以为其它数据,本公开实施例对此预设最小检测长度的大小不做具体限定。
其中,可以将当前检测长度与预设最小检测长度进行比较,从而确定当前检测长度是否大于该预设最小检测长度。
第一检测长度可以是预先设置的低于当前检测长度的数值,或者,也可以是按照预设减少规则,对当前检测长度进行减小后得到的数值,从而在当前检测长度不同时,所获取到的第一检测长度也不同。
需要说明的是,预设减小规则用于对当前检测长度进行减运算。比如,预设减小规则可以包括减少预设数值、减少随机大小的数值或减少预设比例的数值等,其中,预设数值或预设比例可以通过事先设置得到。示例性的,预设数值可以为16K,预设比例可以为当前检测长度的一半。当然,在实际应用中,该预设减小规则也可以通过其它方式对当前检测长度进行减运算,本公开实施例对此预设减小规则的形式不做具体限定。
例如,当前设备资源利用率为85%,第一设备资源阈值为80%,当前检测长度为64kb,预设最小检测长度为16kb。由于当前设备资源利用率大于第一设备资源阈值,那么可以说明当前网络安全设备的负荷较大,且当前检测长度大于预设最小检测长度,即当前检测长度仍有进一步减小的可能,那么可以对当前检测长度进行缩小,例如可以减少当前检测长度的一半的数值,从而将当前检测长度减小至32kb,在后续对网络报文进行检测的过程中,可以仅对该网络报文中32kb的信息进行检测即可。
可选地,可以从网络报文中至少一个预设位置提取总长度为第一检测长度的报文数据。
其中,预设位置可以通过事先设置得到,比如,预设位置可以包括网络报文最前端的第一检测长度的数据,或者,网络报文最末端的第一检测长度的数据。当然,在实际应用中,也可以通过其它方式从网络报文中提取第一检测长度的报文数据,本公开实施例对从网络报文中提取第一检测长度的报文数据的方式不做具体限定。
步骤203,对所述网络报文中所述第一检测长度的报文数据进行检测。
为了减少对网络报文进行检测的信息量,可以对网络报文中第一检测长度的报文数据进行检测。
当对网络报文进行检测时,可以将报文数据与预设风险特征库中的数据特征进行匹配,如果该预设数据特征库中存在与该报文数据匹配的数据特征,则认为该网络报文为风险报文,即不安全的报文。
其中,预设风险特征库可以通过事先设置得到,该预设特征库可以包括至少一个风险报文的报文特征。在本公开中,风险报文为不安全的报文,例如:攻击报文。
当然,在实际应用中,也可以通过其它方式对第一检测长度的报文数据进行检测,本公开实施例对检测第一检测长度的报文数据的方式不做具体限定。
在本公开实施例中,可以获取网络报文,若当前设备资源利用率大于或等于第一设备资源阈值,说明当前网络安全设备的负荷已经过大,可能会发生网络拥塞或者丢包,若当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度,则可以说明当前检测长度还可以进一步减小。那么在网络安全设备的负荷较大、且当前检测长度可以进一步减小时,即可以获取小于当前检测长度的第一检测长度的报文数据,从而即减少对网络报文进行检测的信息量,以在尽可能减少发生网络拥塞和丢包问题的前提下,对尽可能多的网络报文进行检测,提高了对网络报文进行检测的可靠性。另外,与增加或更换网络安全设备相比,不仅不会增加成本,也不会导致网络拓扑改变,减小了运维压力。
可选地,当检测到当前设备资源利用率大于或等于第一设备资源阈值时,统计当前设备资源利用率大于或等于第一设备资源阈值的第二时长,则步骤202若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度,则获取网络报文中小于当前检测长度的第一检测长度的报文数据的操作可以包括:若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度、第二时长大于或等于第二预设时长阈值,则获取网络报文中小于当前检测长度的第一检测长度的报文数据。
为了避免对当前设备资源利用率的误检测或者网络报文流量突然增大的时间极短而导致的对当前检测长度进行不必要或频繁更新的问题,可以在当前设备资源利用率大于或等于第一设备资源阈值的第二时长大于第二预设时长阈值,对当前检测长度进行降低。
第二时长可以用于说明当前设备资源利用率大于或等于第一设备资源阈值(即网络安全设备处于高负荷状态)的持续时长。
第二预设时长阈值可以通过事先设置得到,或者,可以统计网络报文流量连续小于第一预设流量阈值的第一平均时长,将小于或等于第一平均时长的时长确定为第二预设时长阈值。
由于在初步减少获取网络报文中报文数据的信息量之后,可能网络安全设备依然处于高负荷的状态,也就还有发生丢包的可能,那么为了进一步减小丢包的可能,可以重复判断是否需要继续降低获取网络报文中报文数据的信息量。
可选地,在步骤203对网络报文中第一检测长度的报文数据进行检测的操作之后,若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度,则重复执行以下过程:以当前第一检测长度为新当前检测长度,获取网络报文中小于新当前检测长度的新第一检测长度的报文数据,对网络报文中新第一检测长度的报文数据进行检测,新第一检测长度大于或等于预设最小检测长度;直至当前设备资源利用率小于第一设备资源阈值或新第一检测长度不大于预设最小检测长度。
通过重复判断是否需要继续降低获取网络报文中报文数据的信息量,能够迅速对网络报文的流量激增的状况进行响应,通过降低获取报文数据的信息量,减少网络安全的负荷,减少因对网络报文进行检测而产生丢包的可能。
请参照图3,为本公开所提供的另一种网络报文检测方法流程图。可选地,该方法还包括:
步骤204,若当前设备资源利用率小于第一设备资源阈值且大于或等于第二设备资源阈值,则从网络报文中获取当前检测长度的报文数据进行检测,第二设备资源阈值小于第一设备资源阈值。
若当前设备资源利用率小于第二设备资源阈值,则说明当前网络安全设备处于可能比较空闲的状态,而当前检测长度大于或等于预设最小检测长度且小于网络报文的报文长度,则说明当前检测长度并不是所能够检测的最大长度,那么为了充分利用网络安全设备的性能,提高检测网络报文的准确性,可以对当前检测长度进行增大。
若当前设备资源利用率大于或等于第二设备资源阈值且小于第一设备资源阈值,则说明当前网络安全设备处于丢包率尽可能小且检测网络报文信息量可能大的状态,因而可以保持当前检测长度不变来对网络报文进行检测。
第二设备资源阈值可以通过事先设置得到,比如当设备资源包括CPU利用率时,第二设备资源阈值可以为20%、25%或30%,当然,在实际应用中,第二设备资源阈值也可以为其它数值,本公开实施例对此第二设备资源阈值的大小不做具体限定。
请参照图3,可选地,该方法还包括:
步骤205,若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度等于预设最小检测长度,则不对网络报文进行检测并对该网络报文进行转发。
如果当前网络安全设备的负荷已经很大,但当前检测长度已经为预设最小检测长度,即无法再对当前检测长度进行减小,那么为了避免网络拥塞和丢包的问题,可以不再对网络报文进行检测,而是直接转发。
其中,在当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度等于预设最小检测长度时,可以开启bypass(旁路)功能,停止对网络报文的检测,并直接对网络报文进行转发。
请参照图3,可选地,该方法还包括:
步骤206,若当前设备资源利用率小于第二设备资源阈值、当前检测长度大于或等于预设最小检测长度且小于网络报文的报文长度,则获取网络报文中大于当前检测长度的第二检测长度的报文数据,第二设备资源阈值小于所述第一设备资源阈值,第二检测长度小于或等于网络报文的报文长度。
由于当前设备资源利用率小于第二设备资源阈值时,则说明当前网络安全设备处于可能比较空闲的状态,而当前检测长度大于或等于预设最小检测长度且小于网络报文的报文长度,因而可以对当前检测长度进行增大。
第二检测长度可以是预先设置的高于当前检测长度的数值,或者,也可以是按照预设增加规则,对当前检测长度进行增加后得到的数值,从而在当前检测长度不同时,所获取到的第二检测长度也不同。
需要说明的是,预设增加规则用于对当前检测长度进行加运算。比如,预设增加规则可以包括增加预设数值、增加随机大小的数值或增加预设倍数的数值等,其中,预设数值或预设倍数可以通过事先设置得到。当然,在实际应用中,该预设增加规则也可以通过其它方式对当前检测长度进行加运算,本公开实施例对此预设增加规则的形式不做具体限定。
可选地,第二检测长度等于网络报文的报文长度。
若当前网络安全设备处于比较空闲的状态,可以直接将当前检测长度增大至网络报文的报文长度,从而实现在网络安全设备处于空闲状态后恢复对网络报文所包括的所有信息进行检测,确保检测网络报文的准确性。因此对于网络报文的数量大部分时间处于较小的状态、小部分时间处于较大状态的应用环境中,网络安全设备在网络报文的数量降低之后,网络安全设备处于比较空闲的状态,此时可以增加检测长度,以对网络报文的较多信息进行检测,从而恢复对网络报文的严格检测。
可选地,当检测到当前设备资源利用率小于第二设备资源阈值时,可以统计当前设备资源利用率小于第二设备资源阈值的第一时长,则步骤206若当前设备资源利用率小于第二设备资源阈值、当前检测长度大于或等于预设最小检测长度且小于网络报文的报文长度,则获取所述网络报文中大于所述当前检测长度的第二检测长度的报文数据的操作可以包括:若当前设备资源利用率小于第二设备资源阈值、当前检测长度大于或等于预设最小检测长度且小于网络报文的报文长度、第一时长大于或等于第一预设时长阈值,则获取所述网络报文中大于所述当前检测长度的第二检测长度的报文数据。
为了避免对当前设备资源利用率的误检测或者网络报文流量突然减少的时间极短而导致的对当前检测长度进行不必要或频繁更新的问题,可以在当前设备资源利用率小于第二设备资源阈值的第一时长大于或等于第一预设时长阈值时,将当前检测长度增大至第二检测长度。
第一时长可以用于说明当前设备资源利用率小于第二设备资源阈值,即网络安全设备处于空闲状态的持续时长。
第一预设时长阈值可以通过事先设置得到,或者,可以统计网络报文流量连续大于第二预设流量阈值的第二平均时长,将大于或等于第二平均时长的时长确定为第一预设时长阈值。
步骤207,对网络报文中第二检测长度的报文数据进行检测。
其中,步骤207对网络报文中第二检测长度的报文数据进行检测,可以与步骤203对网络报文中第一检测长度的报文数据进行检测的方式相似或相同,此处不再一一赘述。
可选地,可以每间隔第三预设时长,执行上述步骤201-207,从而保持对所检测网络报文的当前检测长度,或者对当前检测长度进行增大或减小。其中,若当前设备资源利用率大于或等于第一设备资源阈值,则可以减小当前检测长度,直至减小至预设最小检测长度;若当前设备资源利用率小于第二设备资源阈值,则可以增加当前检测长度,直至增加至网络报文的报文长度;若当前设备资源利用率大于或等于第二设置资源阈值且小于第一设备资源阈值,则可以维持当前检测长度不变。
需要说明的是,第三预设时长可以通过事先设置得到,当第三预设时长越小时,对当前数据检测时长的更新的实时性也就越高,从而进一步提高对网络报文进行检测的可靠性。
另外,若当前设备利用率包括一种以上,比如同时包括CPU利用率和报文接口速率,则可以基于一种或多种当前设备利用率以及对应的预设权重,确定设备平均利用率,例如:(CPU利用率×第一权重+报文接口速率×第二权重)=设备平均利用率,或者(CPU利用率×第一权重+报文接口速率×第二权重)/N=设备平均利用率,其中N为当前设备利用率的种类数量。然后基于与前述中相似的方法,将设备平均率与第一设备资源阈值以及第二设备资源阈值进行比较,当基于该设备平均利用率确定需要获取网络报文中小于当前检测长度的第一检测长度的报文数据(即需要减小当前检测长度)时,获取网络报文中小于当前检测长度的第一检测长度的报文数据;或者,当基于该设备平均利用率确定不需要对当前检测长度进行更新时,按照当前检测长度获取从网络报文中获取报文数据进行检测;或者,当基于该设备平均利用率确定需要获取网络报文中大于当前检测长度的第二检测长度的报文数据(即需要增大当前检测长度)时,获取网络报文中大于当前检测长度的第二检测长度的报文数据进行检测。
或者,在本公开的另一可选实施例中,若当前设备利用率包括一种以上,比如同时包括CPU利用率、报文接口速率和内存利用率,则可以在基于任一种或多种当前设备利用率确定需要获取网络报文中小于当前检测长度的第一检测长度的报文数据(即需要减小当前检测长度)时,获取网络报文中小于当前检测长度的第一检测长度的报文数据;或者,在基于一种或多种当前设备利用率确定不需要对当前检测长度进行更新时,按照当前检测长度获取从网络报文中获取报文数据进行检测;或者,在基于一种或多种当前设备利用率确定需要获取网络报文中大于当前检测长度的第二检测长度的报文数据(即需要增大当前检测长度)时,获取网络报文中大于当前检测长度的第二检测长度的报文数据进行检测。
请参照图4,为本公开所提供的一种网络报文检测400的功能模块示意图。需要说明的是,本实施例所提供的网络报文检测400,其基本原理及产生的技术效果与前述对应的方法实施例相同,为简要描述,本实施例中未提及部分,可参考方法实施例中的相应内容。该网络报文检测400包括接收模块401,第一获取模块402和第一检测模块403。
接收模块401,用于接收网络报文;
第一获取模块402,用于若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度,则获取该网络报文中小于该当前检测长度的第一检测长度的报文数据,该第一检测长度大于或等于该预设最小检测长度;
第一检测模块403,用于对该网络报文中该第一检测长度的报文数据进行检测。
请参照图5,为本公开所提供的一种网络报文检测400的功能模块示意图。可选地,该装置还包括:
第二检测模块404,用于若该当前设备资源利用率小于该第一设备资源阈值且大于或等于第二设备资源阈值,则从该网络报文中获取该当前检测长度的报文数据进行检测,该第二设备资源阈值小于该第一设备资源阈值。
请参照图5,为本公开所提供的一种网络报文检测400的功能模块示意图。可选地,该装置还包括:
转发模块405,用于若该当前设备资源利用率大于或等于该第一设备资源阈值、该当前检测长度等于该预设最小检测长度,则不对该网络报文进行检测并对该网络报文进行转发。
请参照图5,为本公开所提供的一种网络报文检测400的功能模块示意图。可选地,该装置还包括:
第二获取模块406,用于若该当前设备资源利用率小于第二设备资源阈值、该当前检测长度大于或等于该预设最小检测长度且小于该网络报文的报文长度,则获取该网络报文中大于该当前检测长度的第二检测长度的报文数据,该第二设备资源阈值小于该第一设备资源阈值,该第二检测长度小于或等于该网络报文的报文长度;
第三检测模块407,用于对该网络报文中该第二检测长度的报文数据进行检测。
请参照图6,为本公开所提供的一种网络报文检测400的功能模块示意图。可选地,该装置还包括:
第一统计模块408,用于当检测到该当前设备资源利用率小于第二设备资源阈值时,统计该当前设备资源利用率小于第二设备资源阈值的第一时长;
该第二获取模块406还用于:
若该当前设备资源利用率小于该第二设备资源阈值、该当前检测长度大于或等于该预设最小检测长度且小于该网络报文的报文长度、该第一时长大于或等于第一预设时长阈值,则获取该网络报文中大于该当前检测长度的该第二检测长度的报文数据。
请参照图6,为本公开所提供的一种网络报文检测400的功能模块示意图。可选地,该装置还包括:
第二统计模块409,用于当检测到该当前设备资源利用率大于或等于该第一设备资源阈值时,统计该当前设备资源利用率大于或等于该第一设备资源阈值的第二时长;
该第一获取模块402还用于:
若该当前设备资源利用率大于或等于该第一设备资源阈值、当前检测长度小于或等于该网络报文的报文长度且大于该预设最小检测长度、该第二时长大于或等于第二预设时长阈值,则获取该网络报文中小于该当前检测长度的第一检测长度的报文数据。
可选地,请参照图7,该装置还包括:
第四检测模块410,用于若该当前设备资源利用率大于或等于该第一设备资源阈值、当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度,则重复执行以下过程:
以当前第一检测长度为新当前检测长度,获取该网络报文中小于该新当前检测长度的新第一检测长度的报文数据,对该网络报文中该新第一检测长度的报文数据进行检测,该新第一检测长度大于或等于该预设最小检测长度;
直至该当前设备资源利用率小于该第一设备资源阈值或该新第一检测长度不大于该预设最小检测长度。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个预设集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(digital singnal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上***(system-on-a-chip,简称SOC)的形式实现。
请参照图8,为本公开所提供的一种网络安全设备的功能模块示意图。该网络安全设备可以包括处理器801、计算机可读存储介质802、总线803和收发器804,该计算机可读存储介质802存储有该处理器801可执行的机器可读指令,收发器804可以用于收发网络报文,当该网络安全设备运行时,该处理器801、该计算机可读存储介质802以及收发器804之间通过总线803通信,该处理器801执行该机器可读指令,可以实现上述方法实施例。具体实现方式和技术效果类似,这里不再赘述。
可选地,本公开还提供一计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行,以实现上述方法实施例。
在本公开所提供的几个实施例中,应该理解到,以上所描述的装置实施例仅仅是示意性的,所揭露的装置和方法,可以通过其它的方式实现。例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行,例如各单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本公开的优选实施例而已,并不用于限制本公开,对于本领域的技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (16)
1.一种网络报文检测方法,其特征在于,所述方法包括:
接收网络报文;
若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度小于或等于所述网络报文的报文长度且大于预设最小检测长度,则获取所述网络报文中小于所述当前检测长度的第一检测长度的报文数据,所述第一检测长度大于或等于所述预设最小检测长度;
对所述网络报文中所述第一检测长度的报文数据进行检测。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
若所述当前设备资源利用率小于所述第一设备资源阈值且大于或等于第二设备资源阈值,则从所述网络报文中获取所述当前检测长度的报文数据进行检测,所述第二设备资源阈值小于所述第一设备资源阈值。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
若所述当前设备资源利用率大于或等于所述第一设备资源阈值、当前检测长度等于所述预设最小检测长度,则不对所述网络报文进行检测并对所述网络报文进行转发。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
若所述当前设备资源利用率小于第二设备资源阈值、所述当前检测长度大于或等于所述预设最小检测长度且小于所述网络报文的报文长度,则获取所述网络报文中大于所述当前检测长度的第二检测长度的报文数据,所述第二设备资源阈值小于所述第一设备资源阈值,所述第二检测长度小于或等于所述网络报文的报文长度;
对所述网络报文中所述第二检测长度的报文数据进行检测。
5.如权利要求1所述的方法,其特征在于,在所述对所述网络报文中所述第一检测长度的报文数据进行检测之后,所述方法还包括:
若所述当前设备资源利用率大于或等于所述第一设备资源阈值、所述当前检测长度小于或等于所述网络报文的报文长度且大于所述预设最小检测长度,则重复执行以下过程:
以当前第一检测长度为新当前检测长度,获取所述网络报文中小于所述新当前检测长度的新第一检测长度的报文数据,对所述网络报文中所述新第一检测长度的报文数据进行检测,所述新第一检测长度大于或等于所述预设最小检测长度;
直至所述当前设备资源利用率小于所述第一设备资源阈值或所述新第一检测长度不大于所述预设最小检测长度。
6.如权利要求4所述的方法,其特征在于,所述方法还包括:
当检测到所述当前设备资源利用率小于第二设备资源阈值时,统计所述当前设备资源利用率小于第二设备资源阈值的第一时长;
所述若所述当前设备资源利用率小于第二设备资源阈值、所述当前检测长度大于或等于所述预设最小检测长度且小于所述网络报文的报文长度,则获取所述网络报文中大于所述当前检测长度的第二检测长度的报文数据,包括:
若所述当前设备资源利用率小于所述第二设备资源阈值、所述当前检测长度大于或等于所述预设最小检测长度且小于所述网络报文的报文长度、所述第一时长大于或等于第一预设时长阈值,则获取所述网络报文中大于所述当前检测长度的所述第二检测长度的报文数据。
7.如权利要求1所述的方法,其特征在于,所述方法还包括:
当检测到所述当前设备资源利用率大于或等于所述第一设备资源阈值时,统计所述当前设备资源利用率大于或等于所述第一设备资源阈值的第二时长;
所述若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度小于或等于网络报文的报文长度且大于预设最小检测长度,则获取所述网络报文中小于所述当前检测长度的第一检测长度的报文数据,包括:
若所述当前设备资源利用率大于或等于所述第一设备资源阈值、当前检测长度小于或等于所述网络报文的报文长度且大于所述预设最小检测长度、所述第二时长大于或等于第二预设时长阈值,则获取所述网络报文中小于所述当前检测长度的第一检测长度的报文数据。
8.一种网络报文检测装置,其特征在于,所述装置包括:
接收模块,用于接收网络报文;
第一获取模块,用于若当前设备资源利用率大于或等于第一设备资源阈值、当前检测长度小于或等于所述网络报文的报文长度且大于预设最小检测长度,则获取所述网络报文中小于所述当前检测长度的第一检测长度的报文数据,所述第一检测长度大于或等于所述预设最小检测长度;
第一检测模块,用于对所述网络报文中所述第一检测长度的报文数据进行检测。
9.如权利要求8所述的装置,其特征在于,所述装置还包括:
第二检测模块,用于若所述当前设备资源利用率小于所述第一设备资源阈值且大于或等于第二设备资源阈值,则从所述网络报文中获取所述当前检测长度的报文数据进行检测,所述第二设备资源阈值小于所述第一设备资源阈值。
10.如权利要求8所述的装置,其特征在于,所述装置还包括:
转发模块,用于若所述当前设备资源利用率大于或等于所述第一设备资源阈值、当前检测长度等于所述预设最小检测长度,则不对所述网络报文进行检测并对所述网络报文进行转发。
11.如权利要求8所述的装置,其特征在于,所述装置还包括:
第二获取模块,用于若所述当前设备资源利用率小于第二设备资源阈值、所述当前检测长度大于或等于所述预设最小检测长度且小于所述网络报文的报文长度,则获取所述网络报文中大于所述当前检测长度的第二检测长度的报文数据,所述第二设备资源阈值小于所述第一设备资源阈值,所述第二检测长度小于或等于所述网络报文的报文长度;
第三检测模块,用于对所述网络报文中所述第二检测长度的报文数据进行检测。
12.如权利要求8所述的装置,其特征在于,所述装置还包括:
第四检测模块,用于若所述当前设备资源利用率大于或等于所述第一设备资源阈值、所述当前检测长度小于或等于所述网络报文的报文长度且大于所述预设最小检测长度,则重复执行以下过程:
以当前第一检测长度为新当前检测长度,获取所述网络报文中小于所述新当前检测长度的新第一检测长度的报文数据,对所述网络报文中所述新第一检测长度的报文数据进行检测,所述新第一检测长度大于或等于所述预设最小检测长度;
直至所述当前设备资源利用率小于所述第一设备资源阈值或所述新第一检测长度不大于所述预设最小检测长度。
13.如权利要求11所述的装置,其特征在于,所述装置还包括:
第一统计模块,用于当检测到所述当前设备资源利用率小于第二设备资源阈值时,统计所述当前设备资源利用率小于第二设备资源阈值的第一时长;
所述第二获取模块还用于:
若所述当前设备资源利用率小于所述第二设备资源阈值、所述当前检测长度大于或等于所述预设最小检测长度且小于所述网络报文的报文长度、所述第一时长大于或等于第一预设时长阈值,则获取所述网络报文中大于所述当前检测长度的所述第二检测长度的报文数据。
14.如权利要求8所述的装置,其特征在于,所述装置还包括:
第二统计模块,用于当检测到所述当前设备资源利用率大于或等于所述第一设备资源阈值时,统计所述当前设备资源利用率大于或等于所述第一设备资源阈值的第二时长;
所述第一获取模块还用于:
若所述当前设备资源利用率大于或等于所述第一设备资源阈值、当前检测长度小于或等于所述网络报文的报文长度且大于所述预设最小检测长度、所述第二时长大于或等于第二预设时长阈值,则获取所述网络报文中小于所述当前检测长度的第一检测长度的报文数据。
15.一种网络安全设备,其特征在于,包括:处理器、存储介质、收发器和总线,所述存储介质存储有所述处理器可执行的机器可读指令,所述收发器用于收发网络报文,当所述网络安全设备运行时,所述处理器与所述存储介质之间通过所述总线通信,所述处理器执行所述机器可读指令,以执行如权利要求1-7任一方法的步骤。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1-7任一方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911196136.3A CN110995694B (zh) | 2019-11-28 | 2019-11-28 | 网络报文检测方法、装置、网络安全设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911196136.3A CN110995694B (zh) | 2019-11-28 | 2019-11-28 | 网络报文检测方法、装置、网络安全设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110995694A true CN110995694A (zh) | 2020-04-10 |
CN110995694B CN110995694B (zh) | 2021-10-12 |
Family
ID=70087992
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911196136.3A Active CN110995694B (zh) | 2019-11-28 | 2019-11-28 | 网络报文检测方法、装置、网络安全设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110995694B (zh) |
Citations (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101163058A (zh) * | 2007-11-20 | 2008-04-16 | 东南大学 | 基于流集合随机抽样的报文测量方法 |
US20090147685A1 (en) * | 2007-12-06 | 2009-06-11 | Richa Malhotra | Controlling congestion in a packet switched data network |
CN101789105A (zh) * | 2010-03-15 | 2010-07-28 | 北京安天电子设备有限公司 | 一种在数据包的级别动态检测邮件附件病毒的方法 |
CN103138764A (zh) * | 2011-11-22 | 2013-06-05 | 上海麦杰科技股份有限公司 | 一种实时数据无损压缩方法及*** |
CN103379046A (zh) * | 2012-04-20 | 2013-10-30 | 唐漫宇 | Ip报文合并和分拆的技术提高报文发送效率的方法 |
CN103491096A (zh) * | 2013-09-29 | 2014-01-01 | 中国科学院信息工程研究所 | 一种IPv6分片报文抗攻击重组方法及装置 |
CN104796353A (zh) * | 2014-01-17 | 2015-07-22 | 华为技术有限公司 | 报文转发方法、交换机 |
US20160103888A1 (en) * | 2014-10-09 | 2016-04-14 | Splunk Inc. | Aggregate key performance indicator spanning multiple services |
CN105653950A (zh) * | 2015-07-17 | 2016-06-08 | 哈尔滨安天科技股份有限公司 | 一种基于多模式的恶意代码匹配方法及装置 |
CN105791124A (zh) * | 2014-12-25 | 2016-07-20 | 深圳市中兴微电子技术有限公司 | 报文检测方法及装置 |
CN106603427A (zh) * | 2017-01-17 | 2017-04-26 | 汉柏科技有限公司 | 防火墙中实现软件bypass的方法及装置 |
CN106789387A (zh) * | 2016-03-16 | 2017-05-31 | 新华三技术有限公司 | 一种用于sdn的链路检测方法及装置 |
CN107231266A (zh) * | 2016-03-24 | 2017-10-03 | 中兴通讯股份有限公司 | 报文通道的检测方法及装置 |
WO2018110049A1 (en) * | 2016-12-12 | 2018-06-21 | Mitsubishi Electric Corporation | Methods and systems for discovery of prognostic subsequences in time series |
KR20190007697A (ko) * | 2017-07-13 | 2019-01-23 | 주식회사 린아레나 | 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템 |
US20190146477A1 (en) * | 2016-05-09 | 2019-05-16 | Strong Force Iot Portfolio 2016, Llc | Method and system for adjusting an operating parameter in a marginal network |
CN109787869A (zh) * | 2019-03-29 | 2019-05-21 | 新华三技术有限公司 | 一种路径故障检测方法及设备 |
CN110401509A (zh) * | 2019-06-12 | 2019-11-01 | 广汽丰田汽车有限公司 | 用于提高汽车can总线传输效率的方法、设备、介质及装置 |
US10791062B1 (en) * | 2017-11-14 | 2020-09-29 | Amazon Technologies, Inc. | Independent buffer memory for network element |
-
2019
- 2019-11-28 CN CN201911196136.3A patent/CN110995694B/zh active Active
Patent Citations (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101163058A (zh) * | 2007-11-20 | 2008-04-16 | 东南大学 | 基于流集合随机抽样的报文测量方法 |
US20090147685A1 (en) * | 2007-12-06 | 2009-06-11 | Richa Malhotra | Controlling congestion in a packet switched data network |
CN101789105A (zh) * | 2010-03-15 | 2010-07-28 | 北京安天电子设备有限公司 | 一种在数据包的级别动态检测邮件附件病毒的方法 |
CN103138764A (zh) * | 2011-11-22 | 2013-06-05 | 上海麦杰科技股份有限公司 | 一种实时数据无损压缩方法及*** |
CN103379046A (zh) * | 2012-04-20 | 2013-10-30 | 唐漫宇 | Ip报文合并和分拆的技术提高报文发送效率的方法 |
CN103491096A (zh) * | 2013-09-29 | 2014-01-01 | 中国科学院信息工程研究所 | 一种IPv6分片报文抗攻击重组方法及装置 |
CN104796353A (zh) * | 2014-01-17 | 2015-07-22 | 华为技术有限公司 | 报文转发方法、交换机 |
US20160103888A1 (en) * | 2014-10-09 | 2016-04-14 | Splunk Inc. | Aggregate key performance indicator spanning multiple services |
CN105791124A (zh) * | 2014-12-25 | 2016-07-20 | 深圳市中兴微电子技术有限公司 | 报文检测方法及装置 |
CN105653950A (zh) * | 2015-07-17 | 2016-06-08 | 哈尔滨安天科技股份有限公司 | 一种基于多模式的恶意代码匹配方法及装置 |
CN106789387A (zh) * | 2016-03-16 | 2017-05-31 | 新华三技术有限公司 | 一种用于sdn的链路检测方法及装置 |
CN107231266A (zh) * | 2016-03-24 | 2017-10-03 | 中兴通讯股份有限公司 | 报文通道的检测方法及装置 |
US20190146477A1 (en) * | 2016-05-09 | 2019-05-16 | Strong Force Iot Portfolio 2016, Llc | Method and system for adjusting an operating parameter in a marginal network |
WO2018110049A1 (en) * | 2016-12-12 | 2018-06-21 | Mitsubishi Electric Corporation | Methods and systems for discovery of prognostic subsequences in time series |
CN106603427A (zh) * | 2017-01-17 | 2017-04-26 | 汉柏科技有限公司 | 防火墙中实现软件bypass的方法及装置 |
KR20190007697A (ko) * | 2017-07-13 | 2019-01-23 | 주식회사 린아레나 | 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템 |
US10791062B1 (en) * | 2017-11-14 | 2020-09-29 | Amazon Technologies, Inc. | Independent buffer memory for network element |
CN109787869A (zh) * | 2019-03-29 | 2019-05-21 | 新华三技术有限公司 | 一种路径故障检测方法及设备 |
CN110401509A (zh) * | 2019-06-12 | 2019-11-01 | 广汽丰田汽车有限公司 | 用于提高汽车can总线传输效率的方法、设备、介质及装置 |
Non-Patent Citations (3)
Title |
---|
G. DINI ET AL: "MADAM: a Multi-Level Anomaly Detector for Android Malware", 《INTERNATIONAL CONFERENCE ON MATHEMATICAL METHODS, MODELS, AND ARCHITECTURES FOR COMPUTER NETWORK SECURITY》 * |
王猛等: "SNORT规则匹配算法改进", 《浙江海洋学院学报(自然科学版)》 * |
高超: "深度报文检测***结构与 AC 算法引擎实现", 《万方》 * |
Also Published As
Publication number | Publication date |
---|---|
CN110995694B (zh) | 2021-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108551465B (zh) | 服务器并发数控制方法、装置、计算机设备及存储介质 | |
CN106533805B (zh) | 一种微服务请求处理方法、微服务控制器及微服务架构 | |
CN110545276B (zh) | 威胁事件告警方法、装置、告警设备及机器可读存储介质 | |
CN108920283A (zh) | 基于Prometheus性能监控***的服务器保护方法 | |
US20170091013A1 (en) | Pcie error reporting and throttling | |
US20060236390A1 (en) | Method and system for detecting malicious wireless applications | |
CA2604448A1 (en) | Method and system for centralized memory management in wireless terminal devices | |
CN109343853B (zh) | 一种应用程序的异常识别方法及设备 | |
US10558810B2 (en) | Device monitoring policy | |
CN110474903B (zh) | 可信数据获取方法、装置及区块链节点 | |
CN107645502B (zh) | 一种报文检测方法及装置 | |
CN111756601A (zh) | 微服务架构监控方法、装置、计算机设备及可读存储介质 | |
CN116821910B (zh) | 一种安全防护*** | |
CN110210218B (zh) | 一种病毒检测的方法以及相关装置 | |
CN112732405A (zh) | Jvm线程监控方法、装置及电子设备 | |
CN107222497B (zh) | 网络流量异常监测方法及电子设备 | |
CN112784268A (zh) | 一种主机行为数据的分析方法、装置、设备及存储介质 | |
CN101102217B (zh) | 电信网管***中告警重复和闪断上报及监视的处理方法 | |
CN111209112A (zh) | 一种异常处理方法及装置 | |
CN110995694B (zh) | 网络报文检测方法、装置、网络安全设备及存储介质 | |
CN109194703B (zh) | 云平台主机间通信负载的处理方法、电子装置及介质 | |
CN116483663A (zh) | 用于平台的异常告警方法和装置 | |
CN115277588B (zh) | 一种基于中台***的熔断限流*** | |
CN107025148B (zh) | 一种海量数据的处理方法和装置 | |
CN109561083B (zh) | bypass处理的方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |