CN111181967A - 数据流识别方法、装置、电子设备及介质 - Google Patents
数据流识别方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN111181967A CN111181967A CN201911403180.7A CN201911403180A CN111181967A CN 111181967 A CN111181967 A CN 111181967A CN 201911403180 A CN201911403180 A CN 201911403180A CN 111181967 A CN111181967 A CN 111181967A
- Authority
- CN
- China
- Prior art keywords
- layer
- network protocol
- ssl
- feature
- protocol layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000004590 computer program Methods 0.000 claims description 11
- 238000000605 extraction Methods 0.000 claims description 6
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 claims description 5
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 claims description 5
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 claims description 5
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 13
- 230000015654 memory Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 230000000903 blocking effect Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000010276 construction Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 239000000758 substrate Substances 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种数据流识别方法,包括:获取用于指示发送当前数据流的第一请求报文;基于第一请求报文,提取多个网络协议层中与每个网络协议层对应的第一特征,其中,多个网络协议层至少包括安全套接层(SSL层);将与每个网络协议层对应的第一特征与特征库中对应于每个网络协议层的第二特征进行比对,以获得比对结果;以及基于比对结果,获得当前数据流的识别结果。此外,本公开还提供了一种数据流识别装置,电子设备以及介质。
Description
技术领域
本公开涉及网络安全领域,更具体地,涉及一种数据流识别方法、装置、电子设备及介质。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是一种通过发送大量数据包使得计算机或网络无法提供正常服务的攻击形式。DDoS可以在短时间内耗尽所有可用的网络资源或被攻击对象的***资源,使得合法的用户请求无法通过或被处理,从而阻碍网络中的正常通信,给被攻击者乃至网络带来巨大的危害。
近年来,DDoS攻击逐渐向应用层转移,应用层由于安全性和政策性的要求,引入SSL来保证数据地安全传输,解决了很多问题。但是由于SSL涉及非对称加密算法、对称加密算法和散列算法都需要消耗巨大资源,会严重降低服务器的性能,而且SSL层的DDoS攻击成本较低,攻击范围大,且难于检测。检查SSL DDoS攻击成为新的挑战,而现有的防御方法比较简单,如下:
1.通过中间人代理,在服务器前增加一层代理,只是将问题转移到其他设备而已,而且存在证书密码泄漏等敏感问题。
2.单独在SSL层增加检查机制,由于SSL层DDoS攻击流量和正常用户流量,在层面基本没有差别,主要通过检查SSL错误码,所以能发现的攻击流量比较小。
3.增加认证机制,导致正常用户使用困难,而且修改业务逻辑也带来新的风险。
4.针对具体某种应用层防护,例如重视对HTTPS流量的防护,其他SMTPS/IMAPS/POP3S/FTPS等流量不一定适应此方法。
发明内容
本公开的一个方面提供了一种数据流识别方法,包括:获取用于指示发送当前数据流的第一请求报文,基于上述第一请求报文,提取多个网络协议层中与每个网络协议层对应的第一特征,其中,上述多个网络协议层至少包括安全套接层(SSL层),将上述与每个网络协议层对应的第一特征与特征库中对应于上述每个网络协议层的第二特征进行比对,以获得比对结果,以及基于上述比对结果,获得上述当前数据流的识别结果。
可选地,上述多个网络协议层包括:传输控制协议层(TCP层)和SSL层。或,TCP层、SSL层和应用层。
可选地,上述将上述与每个网络协议层对应的第一特征与特征库中对应于上述每个网络协议层的第二特征进行比对,以获得比对结果包括:确定上述与每个网络协议层对应的第一特征是否存在于上述特征库中,以及若确定存在,则比对上述与每个网络协议层对应的第一特征与上述特征库中对应于上述每个网络协议层的第二特征是否一致,以获得比对结果。
可选地,上述比对上述与每个网络协议层对应的第一特征与上述特征库中与上述每个网络协议层对应的第二特征是否一致,以获得比对结果包括:确定与上述每个网络协议层对应的权重值,确定与上述每个网络协议层对应的比对优先级,以及基于上述比对优先级和上述权重值中的至少一个,比对上述与每个网络协议层对应的第一特征与上述特征库中与上述每个网络协议层对应的第二特征是否一致,以获得比对结果。
可选地,上述方法还包括:获取历史数据流的第二请求报文,基于上述第二请求报文,提取对应于上述每个网络协议层的第二特征,以及基于上述第二特征,构建上述特征库。
可选地,上述方法还包括:基于上述比对结果,更新上述特征库。
可选地,上述与SSL层对应的第一特征包括以下中的至少一个:SSL的版本号、SSL的加密套件、SSL的密钥交换的签名算法以及SSL的签名哈希算法。
可选地,上述与TCP层对应的第一特征包括:TCP窗口大小。
可选地,上述应用层包括以下中的至少一个:HTTP层、SMTP层、IMAP层、POP3层、FTP层。
本公开的一个方面提供了一种数据流识别装置,包括:第一获取模块,配置为获取用于指示发送当前数据流的第一请求报文,第一提取模块,配置为基于上述第一请求报文,提取多个网络协议层中与每个网络协议层对应的第一特征,其中,上述多个网络协议层至少包括安全套接层(SSL层),比对模块,配置为将上述与每个网络协议层对应的第一特征与特征库中对应于上述每个网络协议层的第二特征进行比对,以获得比对结果,以及获得模块,配置为基于上述比对结果,获得上述当前数据流的识别结果。
可选地,上述多个网络协议层包括:传输控制协议层(TCP层)和SSL层。或,TCP层、SSL层和应用层。
可选地,上述比对模块包括:确定子模块,配置为比对上述与每个网络协议层对应的第一特征是否存在于上述特征库中,以及比对子模块,配置为若确定存在,则比对上述与每个网络协议层对应的第一特征与上述特征库中对应于上述每个网络协议层的第二特征是否一致,以获得比对结果。
可选地,上述比对子模块包括:第一确定单元,配置为确定与上述每个网络协议层对应的权重值,第二确定单元,配置为确定与上述每个网络协议层对应的比对优先级,以及比对单元,配置为基于上述比对优先级和上述权重值中的至少一个,比对上述与每个网络协议层对应的第一特征与上述特征库中与上述每个网络协议层对应的第二特征是否一致,以获得比对结果。
可选地,上述装置还包括:第二获取模块,配置为获取历史数据流的第二请求报文,第二提取模块,配置为基于上述第二请求报文,提取对应于上述每个网络协议层的第二特征,以及构建模块,配置为基于上述第二特征,构建上述特征库。
可选地,上述装置还包括:更新模块,配置为基于上述比对结果,更新上述特征库。
可选地,上述与SSL层对应的第一特征包括以下中的至少一个:SSL的版本号、SSL的加密套件、SSL的密钥交换的签名算法以及SSL的签名哈希算法。
可选地,上述与TCP层对应的第一特征包括:TCP窗口大小。
可选地,上述应用层包括以下中的至少一个:HTTP层、SMTP层、IMAP层、POP3层、FTP层。
本公开的另一方面提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现上述任一项的消息处理方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
通过本公开的实施例,以SSL层特征为主,结合其他层特征,判断各层结果,进而决定当前数据流是否为攻击流量,可以至少部分地克服相关技术中无法对当前数据流进行有效识别的技术问题,并因此达到识别当前数据流的技术效果。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了可以应用本公开实施例的数据流识别方法的示例性***架构;
图2示意性示出了根据本公开实施例的数据流识别方法的流程图;
图3示意性示出了根据本公开另一实施例数据流识别方法的流程图;
图4示意性示出了根据本公开另一实施例数据流识别方法的流程图;
图5示意性示出了根据本公开另一实施例数据流识别方法的流程图;
图6示意性示出了根据本公开另一实施例数据流识别方法的流程图;
图7示意性示出了根据本公开实施例的数据流识别装置的框图;
图8示意性示出了根据本公开另一实施例的数据流识别装置的框图;
图9示意性示出了根据本公开另一实施例的数据流识别装置的框图;
图10示意性示出了适于实现本公开实施例的数据流识别方法和装置的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的***”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的***等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的***”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的***等)。
本公开的实施例提供了一种数据流识别方法,包括数据获取阶段和数据识别阶段。在数据获取阶段,首先获取用于指示发送当前数据流的第一请求报文。然后基于获取到的第一请求报文,提取多个网络协议层中与每个网络协议层对应的第一特征,其中,多个网络协议层至少包括SSL层。最后将第一特征与特征库中与每个网络协议层对应的第二特征进行比对,以获得比对结果;并且基于比对结果,获得当前数据流的识别结果。本公开提供一种检测SSL DDoS攻击的方法,利用特征库中的可以标识出客户端信息的特征,识别从当前数据流的请求报文中提取的特征,从而达到识别当前数据流的技术效果,可以至少部分地克服相关技术无法对当前数据流进行有效识别的问题。
图1示意性示出了可以应用本公开实施例的数据流识别方法的示例性***架构100。需要注意的是,图1所示仅为可以应用本公开实施例的***架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、***、环境或场景。
如图1所示,根据该实施例的***架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件、攻击软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。服务器105还可以是各种Web服务器,邮件服务器,FTP服务器。
需要说明的是,本公开实施例所提供的数据流识别方法一般可以由服务器105执行。相应地,本公开实施例所提供的数据流识别装置一般可以设置于服务器105中。本公开实施例所提供的数据流识别方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的数据流识别装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
图2示意性示出了根据本公开的实施例的数据流识别方法的流程图。
如图2所示,该数据流识别方法包括操作S210~操作S240。
在操作S210,获取用于指示发送当前数据流的第一请求报文。
可选地,第一请求报文用于指示客户端向服务器发送一个或多个当前数据流(数据包),当前数据流可以是安全套接字(Secure Sockets Layer,简称为SSL)流量。
需要说明的是,在获取到的数据流是用户流量的情况下,可以通过过滤条件对获取到的用户流量进行过滤以获得SSL流量,识别SSL流量是否为疑似攻击流量,若是疑似攻击流量则按照一定的阻塞规则对其进行阻塞。若不是SSL流量的数据流则放行。具体地,过滤条件可以是端口。
例如,HTTPS目的端口为443,SMTPS的目的端口为465/587,POP3S的目的端口为995,IMAPS目的端口为993等。本领域技术人员也可以通过过滤条件对用户流量进行过滤以获得SSL流量,本公开对此不做限定。
在操作S220,基于第一请求报文,提取多个网络协议层中与每个网络协议层对应的第一特征。
可选地,第一特征是针对当前流量,基于第一请求报文提取的多个网络协议层中与每个网络协议层对应的特征。随着DDoS攻击逐渐向应用层转移,而应用层引入SSL来保证数据的安全传输,SSL层的DDoS攻击成本较低,攻击范围大且难以检测。SSL层处于TCP层之上、应用层之下,起着承上启下的重要作用。因此在本公开中,多个网络协议层至少包括SSL层。
例如,网络协议层为TCP层,TCP层特征可以从TCP连接的第一个包(SYN包)中获取。提取的特征内容是TCP窗口大小,根据TCP层特征可以确定客户端的操作***类型及其版本信息。提取到的TCP层特征详见表4所示。
又例如,网络协议层为SSL层,SSL层特征可以从SSL的第一个数据包(ClientHello)中获取。SSL层特征内容可以包括但不限于:SSL协议版本号(Version),SSL加密套件(Cipher Suites),SSL密钥交换的签名算法(Supported Group),SSL签名哈希算法(Signature Hash Algorithms)。提取到的SSL层特征详见表1至表3所示。
再例如,网络协议层为HTTP应用层,可以从HTTP请求数据包头中User-Agent字段提取。提取的应用层特征可以标识客户端使用的操作***及版本、CPU类型、浏览器及版本等信息。网络协议层为SMTP应用层,可以从SMTP请求包头中的X-Mail字段提取,提取的应用层特征可以标识客户端使用的邮件客户端软件及其版本等信息。提取到的应用层特征详见表5至表7所示。
可选地,多个网络协议层可以包括TCP层和SSL层。
相应地,与TCP层对应的第一特征为TCP层特征,与SSL层对应的第一特征为SSL层特征。
可选地,多个网络协议层也可以包括TCP层、SSL层和应用层。
相应地,与TCP层对应的第一特征为TCP层特征,与SSL层对应的第一特征为SSL层特征,与应用层对应的第一特征为应用层特征。
可选地,可以按照第一请求报文中包含数据包的顺序提取与多个网络协议层对应的特征。具体地,可以先提取TCP层对应的TCP层特征,然后提取SSL层对应的SSL层特征,最后提取应用层对应的应用层特征。
需要说明的是,之所以选择TCP层、SSL层和应用层提取特征,是因为其他层通用性不强。例如,IP层除了包含IPv4,还包含IPv6。之所以选择从多层中提取特征,是为了保证流量识别准确率。从识别准确度和数据包伪造难度分析,与应用层对应的应用层特征和与TCP层对应的TCP层特征比较好模仿,与SSL层对应的SSL层特征仿造不容易,实现难度高且成本大,还有兼容性和性能也是无法回避的问题。
因此,根据本公开提供的数据流识别方法,多个网络协议层至少包括SSL层,使得基于从至少包括SSL层的多个网络协议层提取特征,可以至少部分的提高数据识别的准确率和通用性。
可选地,与每个网络协议层对应的第一特征至少可以标识出客户端信息。在本公开中,客户端信息包括但不限于客户端使用的操作***类型及其版本,浏览器类型及其版本,邮件软件类型及其版本,或者攻击软件类型及其版本等详细信息。
在操作S230,将与每个网络协议层对应的第一特征与特征库中对应于每个网络协议层的第二特征进行比对,以获得比对结果。
在操作S240,基于比对结果,获得当前数据流的识别结果。
可选地,将第一特征与SSL DDoS特征库中的第二特征进行比对,可以获得比对结果。
可选地,在比对结果表明当前数据流为SSL DDoS攻击流量的情况下,阻塞当前数据流。在比对结果表明当前数据流不为SSL DDoS攻击流量的情况下,放行当前数据流。
通过本公开的实施例,提取的特征中至少包含与SSL层对应的特征,至少可以部分地克服相关技术中无法准确识别SSL DDoS攻击的技术问题,并因此实现准确识别SSL DDoS攻击的技术效果。
作为一种可选的实施例,将与每个网络协议层对应的第一特征与特征库中对应于每个网络协议层的第二特征进行比对,以获得比对结果包括:确定与每个网络协议层对应的第一特征是否存在于特征库中;以及若确定存在,则比对与每个网络协议层对应的第一特征与特征库中对应于每个网络协议层的第二特征是否一致,以获得比对结果。
可选地,若确定与每个网络协议层对应的第一特征不存在于特征库中,则当前数据的识别结果可以有以下两种情况。
第一种,若与每个网络协议层对应的第一特征一致,则当前数据流可以被识别为正常流量。例如,当前流量的SSL层特征为Windows 7***下IE 11浏览器,TCP层特征为Windows 7***特征,应用层特征为IE 11浏览器,则当前流量为正常流量。
第一种,若与每个网络协议层对应的第一特征不一致,则当前数据流可以被识别为疑似攻击流量。例如,当前流量的SSL层特征为Windows 7***下IE 11浏览器,TCP层特征为Windows 7***特征,应用层特征为FireFox浏览器,则当前流量为疑似攻击流量。可选地,将当前数据流特征与特征库比较时,不仅要确定特征库中是否包含此特征,而且更重要的要比较各层特征是否一致。
例如,某个流量的SSL层特征为Windows 7***下IE 11浏览器,则还要判断其TCP层特征是否为Windows 7***特征,其应用层特征是否为IE 11浏览器。
通过本公开的实施例,首先检测特征的存在性,其次检测特征的一致性,可以提高特征检测的效率。
可选地,比对与每个网络协议层对应的第一特征与特征库中与每个网络协议层对应的第二特征是否一致,以获得比对结果包括:确定与每个网络协议层对应的权重值;确定与每个网络协议层对应的比对优先级;以及基于比对优先级和权重值中的至少一个,比对与每个网络协议层对应的第一特征与特征库中与每个网络协议层对应的第二特征是否一致,以获得比对结果。
可选地,可以根据每个网络协议层的重要程度,为每个网络协议层设置不同的权重值,权重值越大,表示该网络协议层对应的特征占比越大。相应地,可以根据每个网络协议层的重要程度,为每个网络协议层设置对应的比对优先级顺序,优先级越高,表示该网络协议层对应的特征越先被比对。
例如,SSL层特征的权重值可以为60%,TCP层特征的权重值可以为20%,应用层特征的权重值可以为20%。SSL层特征的权重值可以为50%,TCP层特征的权重值可以为30%,应用层特征的权重值可以为20%。
例如,比对优先级顺序可以是:SSL层特征>TCP层特征>=应用层特征,当然也可以考虑其他顺序的优先级别。
可选地,可以基于比对优先级,比对与每个网络协议层对应的第一特征与特征库中与每个网络协议层对应的第二特征是否一致,以获得比对结果。
可选地,可以基于权重值,比对与每个网络协议层对应的第一特征与特征库中与每个网络协议层对应的第二特征是否一致,以获得比对结果。
可选地,基于比对优先级和权重值,比对与每个网络协议层对应的第一特征与特征库中与每个网络协议层对应的第二特征是否一致,以获得比对结果。
通过本公开的实施例,提供多种比对方式,获得比对结果,可以提高数据流识别方法的灵活性和适用性。
图3示意性示出了根据本公开另一实施例数据流识别方法的流程图。
如图3所示,该数据流识别方法除了可以包括前述操作S210~操作S240之外,还可以包括操作S310~操作S330。
在操作S310,获取历史数据流的第二请求报文。
在操作S320,基于第二请求报文,提取对应于每个网络协议层的第二特征。
在操作S330,基于第二特征,构建特征库。
可选地,可以通过从TCP层、SSL层和应用层的请求报文中提取第二特征,选择提取的第二特征可以标识出客户端信息,客户端信息包括但不限于客户端使用的操作***类型及其版本,浏览器类型及其版本,邮件软件类型及其版本,或者攻击软件类型及其版本等详细信息。收集分析第二特征,枚举出各种操作***平台下不同软件的TCP层特征、SSL层特征和应用层特征,可以形成SSL DDoS特征库。
可选地,SSL DDoS攻击主要针对各种服务器,包括但不限于Web服务器,邮件服务器,FTP服务器等。根据本公开构建的SSLDDoS特征库适用于服务器。需要说明的是,SSLDDoS特征库中可以包含与正常数据流对应的不同网络协议层的第二特征,还可以包含与异常数据流对应的不同网络协议层的第二特征。
可选地,对于不同类型的服务器,可以根据业务场景,细化SSL DDoS库中每种操作***平台下,不同软件的使用频率,构建特征库,以此为下一步决策提供信息。
通过本公开的实施例,根据与历史数据流关联的特征创建特征库,可以为数据识别提供识别依据。
图4示意性示出了根据本公开另一实施例数据流识别方法的流程图。
如图4所示,该数据流识别方法除了可以包括前述操作S210~操作S240和操作S310~操作S330之外,还可以包括操作S410。
在操作S410,基于比对结果,更新特征库。
可选地,在比对结果表示当前数据流为正常流量时,根据与当前流量相关的多个网络协议层的特征更新特征库中正常流量的特征。在比对结果表示当前数据流为异常流量时,根据与当前流量相关的多个网络协议层的特征更新特征库中异常流量的特征。
通过本公开的实施例,根据当前数据流的识别结果,更新特征库,使得特征库中维护的特征实时更新,维持特征库中特征的准确性。
作为一种可选的实施例,与SSL层对应的第一特征包括以下中的至少一个:SSL的版本号、SSL的加密套件、SSL的密钥交换的签名算法以及SSL的签名哈希算法。
可选地,与SSL层对应的第一特征可以从Client Hello的Version、CipherSuites、Supported Group和Signature Hash Algorithms等字段中提取,也可以增加其他字段。
表1示出了Windows7操作***下,三种不同浏览器(IE,Firefox,Chrome)的SSL层特征。
表1
表2
表3
表2示出了CentOS7操作***下,两种命令行访问网页工具(Curl和Wget)的SSL层特征。
表3示出了Window7操作***下,两种邮件客户端软件(Outlook和Foxmail)的SSL层特征。需要说明的是,表1至表3中所示的操作***、浏览器、命令行访问网页工具、邮件客户端软件仅是示意性的,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例中的SSL层特征不可以包括其他操作***、浏览器、命令行访问网页工具、邮件客户端软件。
作为一种可选的实施例,与TCP层对应的第一特征包括:TCP窗口大小。
可选地,与TCP层对应的第一特征可以从SYN包的TCP窗口大小获取,进而确定客户端的操作***类型及其版本信息。不同的操作***版本,对应的TCP窗口大小值如表4所示。
需要说明的是,表4中所示的TCP窗口大小值仅是示意性的,以帮助本领域技术人员理解本公开的技术内容,并不是对TCP窗口大小值的限定。
表4
操作***版本 | TCP窗口大小 |
Windows 10 | 64240 |
Windows 7 | 8192 |
Windows XP | 64240/65535 |
CentOS 6 | 14600 |
MacOS | 65535 |
可选地,应用层包括以下中的至少一个:HTTP层、SMTP层、IMAP层、POP3层、FTP层。
可选地,因应用层的不同,应用层特征提取也不同。
可选地,HTTP可以从HTTPRequest的User-Agent字段提取。
表5示出了在Window7操作***下,三种浏览器(IE,Firefox,Chrome)的HTTP应用层特征。
表6示出了CentOS7操作***下,两种命令行访问网页工具(Curl和Wget)的HTTP应用层特征。
表5
表6
表7
表7示出了Window7操作***下,两种邮件客户端软件(Outlook和Foxmail)的SMTP应用层特征。
需要说明的是,表5至表7中所示的操作***、浏览器、命令行访问网页工具、邮件客户端软件仅是示意性的,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例中的应用层特征不可以包括其他操作***、浏览器、命令行访问网页工具、邮件客户端软件。
需要说明的是,由于应用层数据都是加密,所以其特征的获取,需要通过原始服务器提供。
图5示意性示出了根据本公开另一实施例数据流识别方法的流程图。
如图5所示,该方法包括操作S510~操作S519。
在操作S510,导入以获得用户流量。
在操作S511,判断用户流量是否为SSL流量。若是,则执行操作S511。若否,则执行操作S519,放行。
在操作S512,从TCP的SYN包中提取与当前数据流相关的TCP层特征。
接着,在操作S513,从SSL的Client Hello中提取与当前数据流相关的SSL层特征。
在操作S514,根据优先级/权重比不同,先对比与当前数据流相关的SSL层特征与预设SSL DDoS特征库匹配与否。
接着,在操作S515,比较当前数据流的TCP层特征与预设SSL DDoS特征库匹配与否。
在操作S516,提取应用层特征。
在比较完SSL层特征和TCP层特征后,执行操作S517,比较当前数据流的应用层特征与预设SSL DDoS特征库匹配与否。
通过SSL层、TCP层和应用层这三层与特征库中特征的比较,根据每层特征的权重不同,可以获得八种结果。由于SSL DDoS特征库包括正常流量的特征和攻击流量的特征,因此除了正常流量之外,其他疑似攻击流量优先级顺序为:疑似攻击流量1<疑似攻击流量2<疑似攻击流量3<疑似攻击流量4<疑似攻击流量5<疑似攻击流量6<疑似攻击流量7<疑似攻击流量8,其中,数字越大代表疑似攻击流量的可能性越大。
在操作S518,可以根据客户设置的阻塞规则(比如阻塞疑似攻击流量3级别以后的流量),先从疑似攻击流量8入手,逐级阻塞该流量并记录相关日志,并更新SSL DDoS特征库。
如果部署场景比较复杂,无法获得应用层特征,根据本公开的实施例,也可以只使用TCP层特征和SSL层特征进行匹配。
图6示意性示出了根据本公开又一实施例的数据流识别方法的流程图。
如图6所示,该方法包括前述操作S510~操作S514、操作S518和操作S519。具体操作S510~操作S514和操作S519的操作内容如前,此处不再赘述。
与图5所示的实施例不同的,由于没有提取应用层特征,所以仅对提取的TCP层特征和SSL层特征进行了比对,且SSL层特征的比对优先级高于TCP层特征的比对优先级。
通过TCP层和SSL层这两层与特征库中特征的比较,根据每层特征的权重不同,可以获得四种结果。由于SSL DDoS特征库包括正常流量的特征和攻击流量的特征,因此除了正常流量之外,疑似攻击流量优先级顺序为:疑似攻击流量1<疑似攻击流量2<疑似攻击流量3<疑似攻击流量4,其中,数字越大代表疑似攻击流量的可能性越大。
在操作S518,可以根据客户设置的阻塞规则(比如阻塞疑似攻击流量3级别以后的流量),先从疑似攻击流量4入手,逐级阻塞该流量并记录相关日志,并更新SSL DDoS特征库。
可选地,极端情况下,如果黑客从TCP层、SSL层和应用层特征进行全方位伪造,这样通过SSL DDoS特征库识别出来都是正常流量。面对这种情况,我们可以根据每种平台下具体软件的使用频率来进行判断,查看某一种或几种软件使用频率突然增高,禁止这些流量,保护服务器。另一方面,如果SSL DDoS攻击成本太高,使用这种方式就是得不偿失。
图7示意性示出了根据本公开实施例的数据流识别装置的框图。
如图7所示,该装置700可以包括第一获取模块710、第一提取模块720、比对模块730和获得模块740。
第一获取模块710,配置为获取用于指示发送当前数据流的第一请求报文。
第一提取模块720,配置为基于第一请求报文,提取多个网络协议层中与每个网络协议层对应的第一特征,其中,多个网络协议层至少包括安全套接层(SSL层)。
比对模块730,配置为将与每个网络协议层对应的第一特征与特征库中对应于每个网络协议层的第二特征进行比对,以获得比对结果。
获得模块740,配置为基于比对结果,获得当前数据流的识别结果。
通过本公开的实施例,提取的特征中至少包含与SSL层对应的特征,至少可以部分地克服相关技术中无法准确识别SSL DDoS攻击的技术问题,并因此实现准确识别SSL DDoS攻击的技术效果。
可选地,多个网络协议层包括:TCP层和SSL层;或,TCP层、SSL层和应用层。
根据本公开提供的数据流识别方法,多个网络协议层至少包括SSL层,使得基于从至少包括SSL层的多个网络协议层提取特征,可以至少部分的提高数据识别的准确率和通用性。
可选地,比对模块730包括:确定子模块,配置为确定与每个网络协议层对应的第一特征是否存在于特征库中,以及比对子模块,配置为若存在,则比对与每个网络协议层对应的第一特征与特征库中对应于每个网络协议层的第二特征是否一致,以获得比对结果。
通过本公开的实施例,首先检测特征的存在性,其次检测特征的一致性,可以提高特征检测的效率。
可选地,比对子模块包括:第一确定单元,配置为确定与每个网络协议层对应的权重值,第二确定单元,配置为确定与每个网络协议层对应的比对优先级,以及比对单元,配置为基于比对优先级和权重值中的至少一个,比对与每个网络协议层对应的第一特征与特征库中与每个网络协议层对应的第二特征是否一致,以获得比对结果。
通过本公开的实施例,根据与历史数据流关联的特征创建特征库,可以为数据识别提供识别依据。
图8示意性示出了根据本公开另一实施例数据流识别装置的框图。
如图8所示,该装置800除了可以包括前述第一获取模块710、第一提取模块720、比对模块730和获得模块740之外,还可以包括第二获取模块810、第二提取模块820和构建模块830。
第二获取模块810,配置为获取历史数据流的第二请求报文。
第二提取模块820,配置为基于第二请求报文,提取对应于每个网络协议层的第二特征。
构建模块830,配置为基于第二特征,构建特征库。
通过本公开的实施例,根据与历史数据流关联的特征创建特征库,可以为数据识别提供识别依据。
图9示意性示出了根据本公开另一实施例数据流识别装置的框图。
如图9所示,该装置900除了可以包括前述第一获取模块710、第一提取模块720、比对模块730、获得模块740、第二获取模块810、第二提取模块820和构建模块830之外,还可以包括更新模块910,配置为基于比对结果,更新特征库。
通过本公开的实施例,根据当前数据流的识别结果,更新特征库,使得特征库中维护的特征实时更新,维持特征库中特征的准确性。
可选地,与SSL层对应的第一特征包括以下中的至少一个:SSL的版本号、SSL的加密套件、SSL的密钥交换的签名算法以及SSL的签名哈希算法。
可选地,与TCP层对应的第一特征包括:TCP窗口大小。
可选地,应用层包括以下中的至少一个:HTTP层、SMTP层、IMAP层、POP3层、FTP层。
根据本公开的实施例的模块、子模块和单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块和单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块和单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块和单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一获取模块710、第一提取模块720、比对模块730、获得模块740、确定子模块、比对子模块、第一确定单元、第二确定单元、比对单元、第二获取模块810、第二提取模块820、构建模块830和更新模块910中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块710、第一提取模块720、比对模块730、获得模块740、确定子模块、比对子模块、第一确定单元、第二确定单元、比对单元、第二获取模块810、第二提取模块820、构建模块830和更新模块910中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块710、第一提取模块720、比对模块730、获得模块740、确定子模块、比对子模块、第一确定单元、第二确定单元、比对单元、第二获取模块810、第二提取模块820、构建模块830和更新模块910中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图10示意性示出了根据本公开实施例的适于实现数据流识别方法和装置的电子设备的方框图。图10示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图10所示,根据本公开实施例的电子设备1000包括处理器1001,其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。处理器1001例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器1001还可以包括用于缓存用途的板载存储器。处理器1001可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1003中,存储有电子设备1000操作所需的各种程序和数据。处理器1001、ROM 1002以及RAM 1003通过总线1004彼此相连。处理器1001通过执行ROM 1002和/或RAM1003中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,程序也可以存储在除ROM 1002和RAM 1003以外的一个或多个存储器中。处理器1001也可以通过执行存储在一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备1000还可以包括输入/输出(I/O)接口1005,输入/输出(I/O)接口1005也连接至总线1004。***1000还可以包括连接至I/O接口1005的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被处理器1001执行时,执行本公开实施例的***中限定的功能。根据本公开的实施例,上文描述的***、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供一种计算机可读存储介质,该计算机可读存储介质可以是实施例中描述的设备/装置/***中所包含的;也可以是单独存在,而未装配入该设备/装置/***中。计算机可读存储介质承载有一个或者多个程序,当一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机防问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM1002和/或RAM 1003和/或ROM 1002和RAM 1003以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (13)
1.一种数据流识别方法,包括:
获取用于指示发送当前数据流的第一请求报文;
基于所述第一请求报文,提取多个网络协议层中与每个网络协议层对应的第一特征,其中,所述多个网络协议层至少包括安全套接层(SSL层);
将所述与每个网络协议层对应的第一特征与特征库中对应于所述每个网络协议层的第二特征进行比对,以获得比对结果;以及
基于所述比对结果,获得所述当前数据流的识别结果。
2.根据权利要求1所述的方法,其中,所述多个网络协议层包括:
传输控制协议层(TCP层)和SSL层;或,
TCP层、SSL层和应用层。
3.根据权利要求1所述的方法,其中,所述将所述与每个网络协议层对应的第一特征与特征库中对应于所述每个网络协议层的第二特征进行比对,以获得比对结果包括:
确定所述与每个网络协议层对应的第一特征是否存在于所述特征库中;以及
若确定存在,则比对所述与每个网络协议层对应的第一特征与所述特征库中对应于所述每个网络协议层的第二特征是否一致,以获得比对结果。
4.根据权利要求3所述的方法,其中,所述比对所述与每个网络协议层对应的第一特征与所述特征库中与所述每个网络协议层对应的第二特征是否一致,以获得比对结果包括:
确定与所述每个网络协议层对应的权重值;
确定与所述每个网络协议层对应的比对优先级;以及
基于所述比对优先级和所述权重值中的至少一个,比对所述与每个网络协议层对应的第一特征与所述特征库中与所述每个网络协议层对应的第二特征是否一致,以获得比对结果。
5.根据权利要求1所述的方法,其中,所述方法还包括:
获取历史数据流的第二请求报文;
基于所述第二请求报文,提取对应于所述每个网络协议层的第二特征;以及
基于所述第二特征,构建所述特征库。
6.根据权利要求1所述的方法,其中,所述方法还包括:
基于所述比对结果,更新所述特征库。
7.根据权利要求1或2所述的方法,其中,所述与SSL层对应的第一特征包括以下中的至少一个:
SSL的版本号、SSL的加密套件、SSL的密钥交换的签名算法以及SSL的签名哈希算法。
8.根据权利要求2所述的方法,其中,所述与TCP层对应的第一特征包括:
TCP窗口大小。
9.根据权利要求2所述的方法,其中:
所述应用层包括以下中的至少一个:HTTP层、SMTP层、IMAP层、POP3层、FTP层。
10.一种数据流识别装置,包括:
第一获取模块,配置为获取用于指示发送当前数据流的第一请求报文;
第一提取模块,配置为基于所述第一请求报文,提取多个网络协议层中与每个网络协议层对应的第一特征,其中,所述多个网络协议层至少包括SSL层;
比对模块,配置为将所述与每个网络协议层对应的第一特征与特征库中与所述每个网络协议层对应的第二特征进行比对,以获得比对结果;以及
获得模块,配置为基于所述比对结果,获得所述当前数据流的识别结果。
11.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现权利要求1至9中任一项的方法。
12.一种计算机可读介质,其上存储有可执行指令,该指令被处理器执行时使处理器实现权利要求1至9中任一项的方法。
13.一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,所述指令在被执行时用于实现根据权利要求1~9中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911403180.7A CN111181967B (zh) | 2019-12-30 | 2019-12-30 | 数据流识别方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911403180.7A CN111181967B (zh) | 2019-12-30 | 2019-12-30 | 数据流识别方法、装置、电子设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111181967A true CN111181967A (zh) | 2020-05-19 |
CN111181967B CN111181967B (zh) | 2023-07-04 |
Family
ID=70658481
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911403180.7A Active CN111181967B (zh) | 2019-12-30 | 2019-12-30 | 数据流识别方法、装置、电子设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111181967B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112291248A (zh) * | 2020-10-30 | 2021-01-29 | 绿盟科技集团股份有限公司 | 一种防护HTTPS DDoS攻击的方法及设备 |
CN114172980A (zh) * | 2021-12-08 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 一种识别操作***类型的方法、***、装置、设备及介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6687833B1 (en) * | 1999-09-24 | 2004-02-03 | Networks Associates, Inc. | System and method for providing a network host decoy using a pseudo network protocol stack implementation |
US20070261119A1 (en) * | 2006-04-27 | 2007-11-08 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Virus immunization using prioritized routing |
US20140325648A1 (en) * | 2012-09-17 | 2014-10-30 | Huawei Technologies Co., Ltd. | Attack Defense Method and Device |
CN104486161A (zh) * | 2014-12-22 | 2015-04-01 | 成都科来软件有限公司 | 一种网络流量的识别方法及装置 |
CN106161098A (zh) * | 2016-07-21 | 2016-11-23 | 四川无声信息技术有限公司 | 一种网络行为检测方法及装置 |
CN106789352A (zh) * | 2017-01-25 | 2017-05-31 | 北京兰云科技有限公司 | 一种网络异常流量检测方法和装置 |
CN106899579A (zh) * | 2017-02-08 | 2017-06-27 | 北京网康科技有限公司 | 一种中间人攻击的检测方法和装置 |
CN108965267A (zh) * | 2018-06-28 | 2018-12-07 | 北京车和家信息技术有限公司 | 网络攻击处理方法、装置及车辆 |
CN109450895A (zh) * | 2018-11-07 | 2019-03-08 | 北京锐安科技有限公司 | 一种流量识别方法、装置、服务器及存储介质 |
-
2019
- 2019-12-30 CN CN201911403180.7A patent/CN111181967B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6687833B1 (en) * | 1999-09-24 | 2004-02-03 | Networks Associates, Inc. | System and method for providing a network host decoy using a pseudo network protocol stack implementation |
US20070261119A1 (en) * | 2006-04-27 | 2007-11-08 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Virus immunization using prioritized routing |
US20140325648A1 (en) * | 2012-09-17 | 2014-10-30 | Huawei Technologies Co., Ltd. | Attack Defense Method and Device |
CN104486161A (zh) * | 2014-12-22 | 2015-04-01 | 成都科来软件有限公司 | 一种网络流量的识别方法及装置 |
CN106161098A (zh) * | 2016-07-21 | 2016-11-23 | 四川无声信息技术有限公司 | 一种网络行为检测方法及装置 |
CN106789352A (zh) * | 2017-01-25 | 2017-05-31 | 北京兰云科技有限公司 | 一种网络异常流量检测方法和装置 |
CN106899579A (zh) * | 2017-02-08 | 2017-06-27 | 北京网康科技有限公司 | 一种中间人攻击的检测方法和装置 |
CN108965267A (zh) * | 2018-06-28 | 2018-12-07 | 北京车和家信息技术有限公司 | 网络攻击处理方法、装置及车辆 |
CN109450895A (zh) * | 2018-11-07 | 2019-03-08 | 北京锐安科技有限公司 | 一种流量识别方法、装置、服务器及存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112291248A (zh) * | 2020-10-30 | 2021-01-29 | 绿盟科技集团股份有限公司 | 一种防护HTTPS DDoS攻击的方法及设备 |
CN114172980A (zh) * | 2021-12-08 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 一种识别操作***类型的方法、***、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111181967B (zh) | 2023-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9667657B2 (en) | System and method of utilizing a dedicated computer security service | |
US10084825B1 (en) | Reducing redundant operations performed by members of a cooperative security fabric | |
US9124626B2 (en) | Firewall based botnet detection | |
US9591015B1 (en) | System and method for offloading packet processing and static analysis operations | |
US9386078B2 (en) | Controlling application programming interface transactions based on content of earlier transactions | |
US9881304B2 (en) | Risk-based control of application interface transactions | |
US8990938B2 (en) | Analyzing response traffic to detect a malicious source | |
US20160191558A1 (en) | Accelerated threat mitigation system | |
US20140181972A1 (en) | Preventive intrusion device and method for mobile devices | |
US8997234B2 (en) | System and method for network-based asset operational dependence scoring | |
US9462011B2 (en) | Determining trustworthiness of API requests based on source computer applications' responses to attack messages | |
US10972490B2 (en) | Specifying system, specifying device, and specifying method | |
US10834131B2 (en) | Proactive transport layer security identity verification | |
WO2021082834A1 (zh) | 报文处理方法、装置、设备及计算机可读存储介质 | |
US9160711B1 (en) | Internet cleaning and edge delivery | |
CN113408948A (zh) | 一种网络资产管理方法、装置、设备和介质 | |
CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
CN110311927B (zh) | 数据处理方法及其装置、电子设备和介质 | |
US20230116838A1 (en) | Advanced detection of identity-based attacks to assure identity fidelity in information technology environments | |
US10805320B1 (en) | Methods and systems for inspecting encrypted network traffic | |
JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
CN113542253A (zh) | 一种网络流量检测方法、装置、设备及介质 | |
CN111181967B (zh) | 数据流识别方法、装置、电子设备及介质 | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
RU2769075C1 (ru) | Система и способ активного обнаружения вредоносных сетевых ресурсов |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |