CN111431930A - 流量清洗方法及相关设备 - Google Patents
流量清洗方法及相关设备 Download PDFInfo
- Publication number
- CN111431930A CN111431930A CN202010281260.6A CN202010281260A CN111431930A CN 111431930 A CN111431930 A CN 111431930A CN 202010281260 A CN202010281260 A CN 202010281260A CN 111431930 A CN111431930 A CN 111431930A
- Authority
- CN
- China
- Prior art keywords
- information
- flow
- server
- specific message
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004140 cleaning Methods 0.000 title claims abstract description 120
- 238000000034 method Methods 0.000 title claims abstract description 92
- 239000000284 extract Substances 0.000 claims abstract description 15
- 238000012216 screening Methods 0.000 claims description 15
- 238000012423 maintenance Methods 0.000 abstract description 5
- 238000004891 communication Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 16
- 238000012544 monitoring process Methods 0.000 description 15
- 238000001914 filtration Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 12
- 239000000306 component Substances 0.000 description 9
- 238000004590 computer program Methods 0.000 description 9
- 230000003287 optical effect Effects 0.000 description 9
- 238000004458 analytical method Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 6
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 239000013256 coordination polymer Substances 0.000 description 2
- 235000019800 disodium phosphate Nutrition 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 230000032683 aging Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种流量清洗方法及相关设备;其中,所述方法包括:分流设备接收第一网络侧设备输出的第一流量;将接收的第一流量发送给服务器,以供所述服务器提取特定报文的特征信息;根据流量清洗规则,对接收的第一流量进行清洗;所述流量清洗规则是基于服务器发送的第一信息生成的;所述第一信息至少包括特定报文的特征信息;将清洗后的第一流量发送至第二网络侧设备。如此,能够将威胁网络安全的流量及时地进行拦截和封堵,从而实现实时、全面的网络安全维护。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种流量清洗方法及相关设备。
背景技术
在不同网络侧设备间的流量(这里,流量可以理解为网络数据流)传输的过程中,经常会存在一些威胁网络安全的流量,此时,这些威胁网络安全的流量并不希望被传输至对侧的设备。实际应用中,一般会采用流量清洗的方法对威胁网络安全的流量进行过滤处理,以实现对威胁网络安全的流量的拦截和封堵。
然而,相关技术中对流量进行清洗的方法,不能及时将威胁网络安全的流量进行拦截和封堵。
发明内容
有鉴于此,本发明实施例期望提供一种流量清洗方法及相关设备,能够将威胁网络安全的流量及时地进行拦截和封堵。
本发明实施例的技术方案是这样实现的:
本发明实施例提供一种流量清洗方法,应用于分流设备,包括:
接收第一网络侧设备输出第一流量;
将接收的第一流量发送给服务器,以供所述服务器提取特定报文的特征信息;
根据流量清洗规则,对接收的第一流量进行清洗;所述流量清洗规则是基于服务器发送的第一信息生成的;所述第一信息至少包括特定报文的特征信息;
将清洗后的流第一量发送至第二网络侧设备。
上述方案中,所述方法还包括:
接收服务器发送的第二信息;所述第二信息是服务器利用从所述分流设备发送的第一流量中提取的特定报文的特征信息生成的;
基于所述第二信息,更新流量清洗规则。
上述方案中,所述基于所述第二信息,更新流量清洗规则,包括:
确定所述第二信息包含的特定报文的特征信息的类型为第一类型时,在上一次生成的流量清洗规则中增加本次收到的特定报文的特征信息,以得到更新后的流量清洗规则;
或者,
确定所述第二信息包含的特定报文的特征信息的类型为第二类型时,在上一次生成的流量清洗规则中删除本次收到的特定报文的特征信息,以得到更新后的流量清洗规则;其中,第一类型和第二类型不同。
本发明实施例提供一种流量清洗方法,应用于服务器,包括:
从第二流量中筛选出特定报文;
从所述特定报文中提取特征信息,并生成第一信息;
将所述第一信息发送给所述分流设备,以使所述分流设备基于所述第一信息生成流量清洗规则。
上述方案中,所述方法还包括:
接收分流设备发送的第一流量;
从所述第一流量中筛选出特定报文;
从特定报文中提取特征信息,并生成第二信息;
将所述第二信息发送给所述分流设备,以使所述分流设备基于所述第二信息更新流量清洗规则。
上述方案中,所述第二信息还包含特定报文的特征信息的类型,所述方法还包括:
确定数据库中不存在提取的特定报文的特征信息时,将提取的特定报文的特征信息保存至数据库中;
基于所述数据库中的保存的特定报文的特征信息,得到相应特定报文的特征信息的类型;
所述生成第二信息时,所述方法还包括:
基于相应特定报文的特征信息及特定报文的特征信息的类型,生成所述第二信息。
上述方案中,所述基于所述数据库中的保存的特定报文的特征信息,得到相应特定报文的特征的类型,包括:
将本次提取的特定报文的特征信息与所述数据库中的数据进行比较;
确定所述数据库中不存在本次提取的特征报文的特征信息时,将本次提取的特征信息的类型标记为第一类型。
上述方案中,在将提取的特征报文的特征信息保存至数据库中时,记录相应保存的时刻;
所述基于所述数据库中的保存的特定报文的特征信息,得到相应特定报文的特征的类型,包括:
确定第一保存时刻与当前时刻间隔第一时长时,将所述数据库中与所述第一保存时刻对应的特定报文的特征信息的类型标记为第二类型。
本发明实施例还提供一种分流设备,包括:
第一接收单元,接收第一网络侧设备输出的第一流量;
第一发送单元,用于将接收的第一流量发送给服务器,以供所述服务器提取特定报文的特征信息;
清洗单元,用于根据流量清洗规则,对接收的第一流量进行清洗;所述流量清洗规则是基于服务器发送的第一信息生成的;所述第一信息至少包括特定报文的特征信息;
第一发送单元,还用于将清洗后的第一流量发送至第二网络侧设备。
本发明实施例还提供一种服务器,包括:
筛选单元,用于从第二流量中筛选出特定报文;
生成单元,用于从所述特定报文中提取特征信息,并生成第一信息;
第二发送单元,用于将所述第一信息发送给所述分流设备,以使所述分流设备基于所述第一信息生成流量清洗规则。
本发明实施例公开了一种流量清洗方法及相关设备;其中,方法包括:分流设备接收第一网络侧设备输出的第一流量;将接收的第一流量发送给服务器,以供所述服务器提取特定报文的特征信息;根据流量清洗规则,对接收的第一流量进行清洗;所述流量清洗规则是基于服务器发送的第一信息生成的;所述第一信息至少包括特定报文的特征信息;将清洗后的第一流量发送至第二网络侧设备。本发明实施例中,在两网络侧设备间的流量传输的过程中,分流设备在接收一网络侧设备发出的流量时,将该流量发送给服务器,以便于服务器从该流量提取威胁网络安全的流量;同时,分流设备根据服务器提供的威胁网络安全的流量的相关信息生成的流量清洗规则进行清洗,并将清洗后的流量发送给另一网络侧设备;也就是说,本发明实施例中的分流设备串接在两网络侧设备之间,因此在流量从一网络侧设备传输到另一网络侧设备前,已经对威胁网络安全的流量进行了清洗处理,并且分流设备的清洗规则是利用服务器对流量进行安全分析后实时反馈的信息形成的,如此,能够将威胁网络安全的流量及时地进行拦截和封堵,从而实现实时、全面的网络安全维护。
附图说明
图1为相关技术中的网络监控系统监控侧和两网络侧设备间的连接关系示意图;
图2为本发明实施中的网络监控系统监控侧和两网络侧设备间的连接关系示意图;
图3为本发明实施例分流设备侧流量清洗方法的实现流程示意图;
图4为本发明实施例中保护装置与两网络侧设备及分流设备连接关系示意图;
图5为本发明实施例保护装置中两个关开关与两网络侧设备及分流设备的连接关系示意图;
图6a为本发明实施例TLV格式的示意图;
图6b为本发明实施例中第二信息中表征特征信息的类型的字段的示意图;
图7为本发明实施例服务器侧流量清洗方法的实现流程示意图;
图8为本发明实施例中分流设备基于第二信息更新流量清洗规则的实现流程示意图;
图9为本发明实施例提供的分流设备的组成结构示意图;
图10为本发明实施例提供的服务器的组成结构示意图;
图11为本发明实施例提供的分流设备的硬件组成结构示意图;
图12为本发明实施例提供的服务器的硬件组成结构示意图。
具体实施方式
为使本发明实施例的技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
实际应用中,一般会采用网络监控系统来执行具体的流量清洗操作,以过滤掉威胁网络安全的流量。网络监控系统包括:分流设备和服务器;其中,分流设备用于将输入的流量复制一份发送给服务器;所述服务器用于对分流设备发送的流量进行安全分析。
如图1所示,相关技术中的网络监控系统与两网络侧设备间是并行连接的,并且两网络侧设备之间是单向传输的。也就是说,两网络侧设备间的流量不经过分流设备传输,而是通过分光设备的下行接口将数据复制到分流设备,再由分流设备进行过滤和分流,将业务数据发送到服务器进行数据分析。在这种拓扑结构下,网络监控系统和两网络侧设备不能实时联动,无法及时对网络安全威胁进行拦截和封堵。这里,分光设备的主要功能是分发下行数据,分光器带有一个上行接口和若干个下行接口,从上行光接口过来的信号会被分配到所有的下行光接口中传输出去。
基于此,本发明的各实施例中,在两网络侧设备间的流量传输的过程中,分流设备在接收一网络侧设备发出的流量时,将该流量发送给服务器,以便于服务器从该流量提取威胁网络安全的流量;同时,分流设备根据服务器提供的威胁网络安全的流量的相关信息生成的流量清洗规则进行清洗,并将清洗后的流量发送给另一网络侧设备;也就是说,本发明实施例中的分流设备串接在两网络侧设备之间,因此在流量从一网络侧设备传输到另一网络侧设备前,已经对威胁网络安全的流量进行了清洗处理,并且分流设备的清洗规则是利用服务器对流量进行安全分析后实时反馈的信息形成的,如此,能够将威胁网络安全的流量及时地进行拦截和封堵,从而实现实时、全面的网络安全维护。
在描述本发明实施例的流量清洗方法之前,先介绍用于执行本发明实施例的流量清洗方法的网络监控系统。本发明实施例中的网络监控系统包括分流设备和服务器;其中,分流设备用于完成两网络侧设备间双向流量的转发的同时,将流量进行过滤并发送至服务器;其中,分流设备利用服务器反馈的威胁源头的特征信息生成清洗规则,以利用该清洗规则对流量进行清洗;所述服务器用于甄别出威胁网络安全的流量,并将威胁源头的特征信息反馈给分流设备。此外,分流设备还将威胁网络安全的流量转发到指定的端口,以便于对威胁网络安全的流量进行进一步分析或者丢弃。本发明实施中的网络监控系统和两网络侧设备间的结构连接关系如图2所示。图2中分流设备作为一个独立的节点串行接入两网络侧设备之间,使得两网络侧设备中任一网络侧设备发出的流量都需经过分流设备才能到达另一网络侧设备。
基于上述网络监控系统,本发明实施例提供一种流量清洗方法,图3为本发明实施例流量清洗方法的实现流程示意图。如图3所示,所述方法应用于分流设备,包括以下步骤:
步骤301:接收第一网络侧设备输出的第一流量;
步骤302:将接收的第一流量发送给服务器,以供所述服务器提取特定报文的特征信息;
步骤303:根据流量清洗规则,对接收的第一流量进行清洗;所述流量清洗规则是基于服务器发送的第一信息生成的;所述第一信息至少包括特定报文的特征信息;
步骤304:将清洗后的第一流量发送至第二网络侧设备。
其中,在步骤301中,第一网络侧设备输出的流量直接传送至分流设备中。
实际应用中,为了增强链路可靠性,可以在分流设备前端增加保护装置,保护装置与两网络侧设备及分流设备连接方式如图4所示。
基于此,在一实施例中,确定所述分流设备工作异常时,发送通知至保护装置,以使所述保护装置切换开关,并在开关切换后将所述第一网络侧设备输出的流量直接传送至所述第二网络侧设备。
实际应用中,保护装置核心的部件为两个光开关,该两个光开关与两网络侧设备及分流设备的连接关系如图5所示。链路正常状态下工作在主路模式,两网络侧设备间的流量通过串接进来的分流设备传输,当分流设备工作异常(如,电源中断、设备故障、通信中断等)情况下,开关自动切换到旁路模式(即图5中虚线箭头处箭头两侧的端点连接在一起),此时,两网络侧设备间的流量通过旁路闭合的开关传输,以保证两网络侧设备间的流量传输不受影响。
需要说明的是,从图5的连接关系也可以看出,本发明实施例中两网络侧设备间的流量是可以双向传输的。
在步骤302中,实际应用时,所述特定报文可以是对网络安全造成威胁的敏感报文,如包含潜在的攻击网站、钓鱼网站等内容的报文。所述特定报文的特征信息可以是特征报文中携带的可用来标识报文的特征字段信息,如网际互连协议(IP,Internet Protocol)五元组(这里,IP五元组指源IP地址,源端口,目的IP地址,目的端口,和传输层协议这五个量组成的一个集合)、虚拟局域网(VLAN,Virtual Local Area Network)、媒体存取控制位址(MAC,Media Access Control Address)等。
实际应用中,所述服务器的数量可以包括多台,以同时处理不同类型的流量的安全分析任务,从而减轻单台服务器处理压力。可以理解的是,当服务器的处理能力足够强大时,也可以采用一台服务器处理所有流量的安全分析任务。
基于此,在一实施例中,所述将接收的第一流量发送给服务器,包括:将接收的第一流量按照预设规则进行分类,并将分类后的流量中的每一类流量分别发送给多个服务器中对应的服务器。
这里,所述预设规则可以是流量中报文业务的类型。实际应用时,所述服务器包含多个;多个服务器分别对应不同的业务。根据报文业务的类型,对第一流量中报文进行分类,并将分类后的流量分发至不同业务对应的服务器。
在步骤303中,实际应用中时,分流设备需要与服务器建立会话机制,以接收服务器发送的第一信息。实际应用中,分流设备与服务器建立通信会话机制的方式有多种,这里不作限制。
在一实施例中,所述分流设备与所述服务器基于简单网络管理协议SNMP进行交互。
实际应用中,分流设备可以采用SNMP模块,并增加一个独立对象标识符(OID,Object Identifiers)节点的方式建立与服务器间的会话机制;此时,服务器只需要集成SNMP模块,不需要再额外的开发协议模块。SNMP是一种应用层的标准协议,该协议成熟、完善,使用简单。
在一实施例中,所述第一信息采用类型、长度、值(TLV,Type Length Value)报文格式进行编码。
实际应用中,服务器提取到对网络安全造成威胁的敏感报文的IP五元组、VLAN、MAC等可用来标识数据报文的特征信息后,按TLV格式组合成消息,通过前述会话机制反馈给分流设备,以便于灵活处理IP一元组至五元组以及VLAN和MAC等以太网特征字段的随意组合。实际应用时,所述TLV格式可以参考图6a的设置方式。但是,可以理解的是图6a仅作为第一信息采用TLV报文格式进行编码的参考示例,但不用来限制所述TLV格式。
实际应用时,分流设备可以根据服务器发送的第一信息生成流量清洗规则。
基于此,在一实施例中,所述方法还包括:
接收服务器发送的第一信息;
基于所述第一信息,生成所述流量清洗规则。
这里,所述第一信息至少包括从第一网络侧设备输出的流量中提取到的特定报文的特征信息,即对网络安全造成威胁的敏感报文中携带的可用来标识报文的特征字段信息。
实际应用时,根据第一信息,生成流量清洗规则的具体实现方式可以是:根据第一信息中的特征字段信息,生成记录流量过滤规则的软表,通过格式转换后,调用分流设备中的清洗过程(FP,Filter Process)模块接口,生成流量清洗规则。
在步骤304中,将清洗后的流量直接发送至第二网络侧设备。
实际应用时,在生成流量清洗规则后,分流设备还可以根据服务器反馈的从第一流量中提取的特定报文的特征信息来更新流量清洗规则。
基于此,在一实施例中,所述方法还包括:
接收服务器发送的第二信息;所述第二信息是服务器利用从所述分流设备发送的第一流量中提取的特定报文的特征信息生成的;
基于所述第二信息,更新所述流量清洗规则。
这里,所述第二信息至少包括从对第一网络侧设备输出的第一流量中提取到的特定报文的特征信息,即对网络安全造成威胁的敏感报文中携带的可用来标识报文的特征字段信息。
在一实施例中,所述基于所述第二信息,更新流量清洗规则,包括:
确定所述第二信息包含的特定报文的特征信息的类型为第一类型时,在上一次生成的流量清洗规则中增加本次收到的特定报文的特征信息,以得到更新后的流量清洗规则;
或者,
确定所述第二信息包含的特定报文的特征信息的类型为第二类型时,在上一次生成的流量清洗规则中删除本次收到的特定报文的特征信息,以得到更新后的流量清洗规则;其中,第一类型和第二类型不同。
这里,所述第二信息为包括特定报文的特征信息及所述特定报文的特征信息对应的类型。所述第一类型为新增类型,即表征该信息中包含的定报文的特征信息为需要加入到已经形成的清洗规则中;所述第二类型为删除类型,即表征该信息中包含的定报文的特征信息为需要从已经形成的清洗规则中删除。需要说明的是,所述第二信息同样可以采用TLV格式进行编码。如图6b所示,CMSG的值即表征了特定报文的特征信息对应的类型。
实际应用中,分流设备通过监听接收到SNMP报文,并解析出指定OID后,按照TLV格式解析出IP五元组、VLAN、MAC等以太网特征信息以及特征信息对应的类型。如果通过第二信息中表征特定报文的特征信息的类型的字段值,如CMSG的值判断类型是新增类型,则将第二信息中的特征报文的特征信息记录到流量过滤规则的软表中,并生成更新后的流量清洗规则;如果通过第二信息中表征特定报文的特征信息的类型的字段值,如CMSG的值判断类型是删除类型,则通过查找流量过滤规则的软表,并从流量过滤规则的软表中删除第二信息中的特征报文的特征信息,并生成更新后的流量清洗规则。
实际应用中,分流设备也可自行对已经形成的流量过滤规则的软表进行管理与更新,如,在将每一条特定报文的特征信息记录在流量过滤规则的软表中时,记录该记录的时刻,轮询检查,当流量过滤规则的软表中记录的某一条特定报文的特征信息的时长达到预设时长时,分流设备从流量过滤规则的软表中删除该条特征报文的特征信息,之后生成新的流量清洗规则。也就是说,删除类型的特征报文的特征信息也可由分流设备检测发现并执行相应流量清洗规则的更新。
本发明实施例提供的流量清洗方法,分流设备接收第一网络侧设备输出的第一流量;将接收的第一流量发送给服务器,以供所述服务器提取特定报文的特征信息;根据流量清洗规则,对接收的第一流量进行清洗;所述流量清洗规则是基于服务器发送的第一信息生成的;所述第一信息至少包括特定报文的特征信息;将清洗后的第一流量发送至第二网络侧设备。本发明实施例中,在两网络侧设备间的流量传输的过程中,分流设备在接收一网络侧设备发出的流量时,将该流量发送给服务器,以便于服务器从该流量提取威胁网络安全的流量;同时,分流设备根据服务器提供的威胁网络安全的流量的相关信息生成的流量清洗规则进行清洗,并将清洗后的流量发送给另一网络侧设备;也就是说,本发明实施例中的分流设备串接在两网络侧设备之间,因此在流量从一网络侧设备传输到另一网络侧设备前,已经对威胁网络安全的流量进行了清洗处理,并且分流设备的清洗规则是利用服务器对流量进行安全分析后实时反馈的信息形成的,如此,能够将威胁网络安全的流量及时地进行拦截和封堵,从而实现实时、全面的网络安全维护。
相应地,本发明实施例还提供一种流量清洗方法,图7为本发明实施例流量清洗方法的实现流程示意图。如图7所示,所述方法应用于服务器,包括以下步骤:
步骤701:从第二流量中筛选出特定报文;
步骤702:从所述特定报文中提取特征信息,并生成第一信息;
步骤703:将所述第一信息发送给所述分流设备,以使所述分流设备基于所述第一信息生成流量清洗规则。
其中,在步骤701中,实际应用中,所述第二流量可以为分流设备发送给服务器的、直接从网络侧设备转发的流量;第二流量还可是服务器根据其它方式获取的流量。
所述特定报文可以是对网络安全造成威胁的敏感报文,如包含潜在的攻击网站、钓鱼网站等内容的报文。实际应用时,服务器可以根据预设的算法(如,设定敏感关键字)从接收的流量中网络中筛选出特定报文。
在步骤702中,所述特定报文的特征信息可以是特征报文中携带的可用来标识报文的特征字段信息,如IP五元组、VLAN或MAC等。
将这些特征信息进行编码,生成第一信息。
在一实施例中,所述第一信息采用TLV报文格式进行编码。
在步骤703中,服务器需要与分流设备建立会话机制,以将第一信息发送给分流设备。实际应用中,服务器与分流设备建立通信会话机制的方式有多种,这里不作限制。
在一实施例中,所述服务器与所述分流设备基于SNMP进行交互。
实际应用时,在步骤703之后,在分流设备已经生成流量清洗规则后,服务器还可以从清洗后的流量中提取新的特定报文的特征,并将新的特定报文的特征发送给分流设备,以使所述分流设备基于新的特定报文的特征更新流量清洗规则。
基于此,在一实施例中,所述方法还包括:
接收分流设备发送的第一流量;从所述第一流量中筛选出特定报文;
从特定报文中提取特征信息,并生成第二信息;
将所述第二信息发送给所述分流设备,以使所述分流设备基于所述第二信息更新流量清洗规则。
这里,所述第二流量是服务器从分流设备接收的第一流量,其中,所述第一流量是比所述第二流量后接收到的流量。所述第二信息至少包括从对第一网络侧设备输出的流量进行清洗后的流量中提取到的特定报文的特征信息,即对网络安全造成威胁的敏感报文中携带的可用来标识报文的特征字段信息。
在一实施例中,所述第二信息还包括特定报文的特征信息的类型,所述方法还包括:
确定数据库中不存在提取的特定报文的特征信息时,将提取的特定报文的特征信息保存至数据库中;
基于所述数据库中的保存的特定报文的特征信息,得到相应特定报文的特征信息的类型;
所述生成第二信息时,所述方法还包括:
基于相应特定报文的特征信息及特定报文的特征信息的类型,生成所述第二信息。
实际应用中,服务器将每一次从获取的流量中提取的特征报文的特征信息与数据库中已保存的特征信息进行比对,确定数据库中不存在提取的特定报文的特征信息时,将提取的特定报文的特征信息保存至数据库中,以形成动态更新的、对网络安全造成威胁的敏感报文的特征信息数据库。这里,所述第二信息包括特定报文的特征信息及特定报文的特征信息对应的类型。
在一实施例中,所述基于所述数据库中的保存的特定报文的特征信息,得到相应特定报文的特征的类型,包括:
将本次提取的特定报文的特征信息与所述数据库中的数据进行比较;
确定所述数据库中不存在本次提取的特征报文的特征信息时,将本次提取的特征信息的类型标记为第一类型。
这里,所述第一类型为新增类型,即表征该信息中包含的定报文的特征信息为需要加入到已经形成的清洗规则中。所述本次提取的特定报文的特征信息可以理解为服务器当前正在处理的一次从分流设备转发的流量中提取到的特定报文的特征信息。
实际应用中,服务器将每一次从分流设备转发的流量中提取的特征报文的特征信息与该数据库中已有的特征报文的特征信息进行比对,当数据库中不存在时,即认为该不存在的特征报文的特征信息需要新增到清洗规则中,此时将该不存在的特征信息的类型标记为第一类型。
在一实施例中,在将提取的特征报文的特征保存至数据库中时,记录相应保存的时刻;
所述基于所述数据库中的保存的特定报文的特征,得到相应特定报文的特征的类型,包括:
确定第一保存时刻与当前时刻间隔第一时长时,将所述数据库中与所述第一保存时刻对应的特定报文的特征信息的类型标记为第二类型。
这里,所述第二类型为删除类型,即表征该信息中包含的定报文的特征信息为需要从已经形成的清洗规则中删除。所述第一保存时刻表征数据库中在保存某一特定报文的特征信息时的时刻,所述当前时刻可以理解为服务器当前正在处理特定报文的特征信息提取的时刻。
实际应用中,服务器支持对每一特定报文的特征信息的老化周期T0x进行独立配置和管理,具体地:将每一次从分流设备转发的流量中提取的特征报文的特征信息保存至数据库中时,记录保存的时刻,在每个轮询周期逐个表项查询并计算策略下发时间与当前时间差T1x,并与T0x进行比对,当T1x大于等于T0x时,即认为该对应的特定报文的特征信息需要从清洗规则中删除,此时将该对应的特定报文的特征信息的类型标记为第二类型。
实际应用中,服务器还可以根据其它依据(如,用来筛选特定报文的预设算法发生变化)判定数据库中的特定报文的特征信息是否为删除类型。
本发明实施例提供的流量清洗方法,服务器从第二流量中筛选出特定报文;从所述特定报文中提取特征信息,并生成第一信息;将所述第一信息发送给所述分流设备,以使所述分流设备基于所述第一信息生成流量清洗规则。如此,本发明实施例中服务器能够根据从分流设备接收流量,并将该流量进行安全分析,同时反馈给分流设备,以使分流设备生成流量清洗规则,如此,能够使分流设备将威胁网络安全的流量及时地进行拦截和封堵,从而实现实时、全面的网络安全维护。
下面结合实际的应用场景对本发明再作进一步详细的描述。
实际应用中,开始利用网络监控系统执行流量时,分流设备中并未形成清洗规则,此时第一网络侧设备输出的第一流量经过分流设备被转发给服务器,而由于服务器的安全分析存在一定的时延,分流设备必须基于当前的清洗规则对接收的第一网络侧设备输出的流量进行清洗,因此,对于当前的清洗规则,服务器从第二流量(第二流量是比分流设备转发的第一流量先获得的流量,可以是服务器本身的一个随机初始流量)中筛选出特定报文,从筛选出的特定报文中提取特征信息,并将提取的特征信息按照TLV格式生成第一信息,将该第一信息以SNMP报文的方式发送给所述分流设备。分流设备接收服务器发送的第一信息,基于该第一信息,生成所流量清洗规则,并根据生成的流量清洗规则,对接收的流量进行清洗,将清洗后的流量发送至第二网络侧设备。在清洗的过程中,服务器也从分流设备转发的第一流量中再次筛选出特定报文,从筛选出的特定报文中提取特征信息,并将提取的特征信息及该特征信息对应的类型将提取的特征信息按照TLV格式生成第二信息,将该第二信息SNMP报文的方式发送给分流设备。分流设备接收服务器发送的第二信息,基于该第二信息,更新已经生成的流量清洗规则,并根据更新后的流量清洗规则,对接收的流量进行清洗,继续将清洗后的流量发送至第二网络侧设备,之后分流设备不断的向服务器转发第一网络侧设备的流量,服务器则不断进行特定报文的特征报文的提取,并反馈给分流设备,以使分流设备不断对流量清洗规则进行更新,并利用更新后的流量清洗规则清洗最新收到的流量,如此,可以自动完成对网络流量中的敏感数据实时、准确的清洗。
实际应用时,分流设备基于第二信息,更新流量清洗规则的具体实现流程如图8所示。
步骤801:接收到服务器发送的第二信息;
实际应用时,分流设备通过监听接收到SNMP报文。步骤801完成时,转入步骤802。
步骤802:解析第二信息;
解析出指定OID,按照TLV格式解析出IP五元组、VLAN、MAC等以太网特征信息以及该特征信息对应的类型。步骤802完成时,转入步骤803。
步骤803:判断第二信息中特征信息对应的类型;
这里,可以理解为根据类型确定是否需要添加清洗策略。若第二信息中特征信息对应的类型为第一类型,即表征需要将该第二信息中特征信息添加到清洗策略中,此时,转入步骤804;若第二信息中特征信息对应的类型为第二类型,即表征需要将该第二信息中特征信息不能存在于清洗策略中,此时,转入步骤805。
步骤804:添加第二信息中特征信息至流量清洗规则中;
实际应用时,将该第二信息中特征信息保存至流量过滤规则的软表,通过格式转换后调用交换芯片FP模块接口更新流量清洗规则,此时,更新流程结束,转入步骤807。
步骤805:判断流量过滤规则的软表中是否存在第二信息中特征信息的记录;
这里,查找流量过滤规则的软表中的记录,若软表中仍然存在该特征信息对应的记录时,则表征需要流量过滤规则的软表中删除该特征信息;此时,转入步骤806;当软表中不存在该特征信息对应的记录时,此时,更新流程结束,转入步骤807;
步骤806:从流量清洗规则中删除第二信息中特征信息;
实际应用时,将该第二信息中特征信息从流量过滤规则的软表的记录中删除,更新清洗规则,此时,更新流程结束,转入步骤808。
步骤807:更新流程停止。
本发明实施例中分流设备和服务器之间建立通信机制,分流设备识别服务器反馈的敏感数据报文特征,自动生成流量清洗过滤规则,对网络中的敏感数据进行拦截和封堵,从而自动完成对网络流量中的敏感数据实时、准确的清洗。
为了实现本发明实施例的方法,本发明实施例还提供一种分流设备900,图9为本发明实施例分流设备900的结构示图,如图9所示,所述分流设备900包括:
第一接收单元901,接收第一网络侧设备输出的第一流量;
第一发送单元902,用于将接收的第一流量发送给服务器,以供所述服务器提取特定报文的特征信息;
清洗单元903,用于根据流量清洗规则,对接收的第一流量进行清洗;所述流量清洗规则是基于服务器发送的第一信息生成的;所述第一信息至少包括特定报文的特征信息;
第一发送单元902,还用于将清洗后的第一流量发送至第二网络侧设备。
其中,在一实施例中,所述分流设备900还包括第二生成单元,用于:
接收服务器发送的第一信息;
基于所述第一信息,生成所述流量清洗规则。
在一实施例中,所述分流设备900还包括更新单元,用于:
接收服务器发送的第二信息;所述第二信息是服务器利用从所述分流设备发送的第一流量中提取的特定报文的特征信息生成的;
基于所述第二信息,更新流量清洗规则。
在一实施例中,所述更新单元,具体用于:
确定所述第二信息包含的特定报文的特征信息的类型为第一类型时,在上一次生成的流量清洗规则中增加本次收到的特定报文的特征信息,以得到更新后的流量清洗规则;
或者,
确定所述第二信息包含的特定报文的特征信息的类型为第二类型时,在上一次生成的流量清洗规则中删除本次收到的特定报文的特征信息,以得到更新后的流量清洗规则;其中,第一类型和第二类型不同。
在一实施例中,所述第一发送单元902,具体用于:
将接收的第一流量按照预设规则进行分类,并将分类后的流量中的每一类流量分别发送给多个服务器中对应的服务器。
实际应用时,第一接收单元901、第二生成单元、第一发送单元902、清洗单元903以及更新单元可由分流设备900中的处理器结合通信接口实现。
需要说明的是:上述实施例提供的分流设备在进行信息处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的分流设备与分流设备侧的流量清洗方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
为了实现本发明实施例的方法,本发明实施例还提供一种服务器1000,图10为本发明实施例服务器1000的结构示图,如图9所示,所述服务器1000包括:
筛选单元1001,用于从第二流量中筛选出特定报文;
第一生成单元1002,用于从所述特定报文中提取特征信息,并生成第一信息;
第二发送单元1003,用于将所述第一信息发送给所述分流设备,以使所述分流设备基于所述第一信息生成流量清洗规则。
其中,在一实施例中,所述服务器1000还包括第二接收单元,用于:
接收分流设备发送的第一流量;
所述筛选单元1001,还用于从所述第二流量中筛选出特定报文;
所述第一生成单元1002,还用于从特定报文中提取特征信息,并生成第二信息;
所述第二发送单元1003,还用于将所述第二信息发送给所述分流设备,以使所述分流设备基于所述第二信息更新流量清洗规则。
在一实施例中,所述第二信息还包含特定报文的特征信息的类型,所述服务器1000还包括确定单元,用于:
确定数据库中不存在提取的特定报文的特征信息时,将提取的特定报文的特征信息保存至数据库中;
基于所述数据库中的保存的特定报文的特征信息,得到相应特定报文的特征信息的类型;
所述第一生成单元1002,具体用于基于相应特定报文的特征信息及特定报文的特征信息的类型,生成所述第二信息。
在一实施例中,所述确定单元,具体用于:
将本次提取的特定报文的特征信息与所述数据库中的数据进行比较;
确定所述数据库中不存在本次提取的特征报文的特征信息时,将本次提取的特征信息的类型标记为第一类型。
在一实施例中,在将提取的特征报文的特征信息保存至数据库中时,记录相应保存的时刻;
所述确定单元,具体用于:
确定第一保存时刻与当前时刻间隔第一时长时,将所述数据库中与所述第一保存时刻对应的特定报文的特征信息的类型标记为第二类型。
实际应用时,筛选单元1001、第一生成单元1002、第二发送单元1003、第二接收单元以及确定单元可由服务器1000中的处理器结合通信接口实现。
需要说明的是:上述实施例提供的服务器在进行信息处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的服务器与服务器侧的流量清洗方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本发明实施例分流设备侧的方法,本发明实施例还提供了一种分流设备,如图11所示,该分流设备1100包括:
第一通信接口1101,能够与服务器进行信息交互;
第一处理器1102,与所述第一通信接口1101连接,以实现与服务器进行信息交互,用于运行计算机程序时,执行上述分流设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在第一存储器1103上。
具体地,所述第一处理器1102,用于通过所述第一通信接口1101向服务器发送和接收报文。
需要说明的是:所述第一处理器1102和第一通信接口1101的具体处理过程详见分流设备侧流量清洗方法实施例,这里不再赘述。
当然,实际应用时,分流设备1100中的各个组件通过总线系统1104耦合在一起。可理解,总线系统1104用于实现这些组件之间的连接通信。总线系统1104除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图11中将各种总线都标为总线系统1104。
本发明实施例中的第一存储器1103用于存储各种类型的数据以支持分流设备1100的操作。这些数据的示例包括:用于在分流设备1100上操作的任何计算机程序。
上述本发明实施例揭示的方法可以应用于所述第一处理器1102中,或者由所述第一处理器1102实现。所述第一处理器1102可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述第一处理器1102中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第一处理器1102可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第一处理器1102可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第一存储器1103,所述第一处理器1102读取第一存储器1103中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,分流设备1100可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
基于上述程序模块的硬件实现,且为了实现本发明实施例服务器侧的方法,如图12所示,该服务器1200包括:
第二通信接口1201,能够与分流设备进行信息交互;
第二处理器1202,与所述第二通信接口1201连接,以实现与分流设备而进行信息交互,用于运行计算机程序时,执行上述网络设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在第二存储器1203上。
具体地,所述第二处理器1202,用于通过所述第二通信接口1201向分流设备发送和接收报文。
需要说明的是:所述第二处理器1202和第二通信接口1201的具体处理过程详见服务器侧流量清洗方法实施例,这里不再赘述。
当然,实际应用时,服务器1200中的各个组件通过总线系统1204耦合在一起。可理解,总线系统1204用于实现这些组件之间的连接通信。总线系统1204除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图12中将各种总线都标为总线系统1204。
本发明实施例中的第二存储器1203用于存储各种类型的数据以支持服务器1200操作。这些数据的示例包括:用于在服务器1200上操作的任何计算机程序。
上述本发明实施例揭示的方法可以应用于所述第二处理器1202中,或者由所述第二处理器1202实现。所述第二处理器1202可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述第二处理器1202中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第二处理器1202可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第二处理器1202可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第二存储器1203,所述第二处理器1202读取第二存储器1203中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中服务器1200可以被一个或多个ASIC、DSP、PLD、CPLD、FPGA、通用处理器、控制器、MCU、Microprocessor、或其他电子元件实现,用于执行前述方法。
可以理解,本发明实施例的存储器(第一存储器1103、第二存储器1103)可以是易失性存储器或者非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,ErasableProgrammable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,ElectricallyErasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagneticrandom access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,SynchronousStatic Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random AccessMemory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random AccessMemory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data RateSynchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
为实现本发明实施例的方法,本发明实施例还提供了一种网络监控系统,该系统包括:分流设备及服务器;其中,分流设备及服务器的具体处理过程已在上文详述,这里不再赘述。
在示例性实施例中,本发明实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的第一存储器1103,上述计算机程序可由分流设备1100的第一处理器1102执行,以完成前述分流设备侧方法所述步骤。再比如包括存储计算机程序的第二存储器1203,上述计算机程序可由服务器1200的第二处理器1202执行,以完成前述服务器侧方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种流量清洗方法,其特征在于,应用于分流设备,所述方法包括:
接收第一网络侧设备输出的第一流量;
将接收的第一流量发送给服务器,以供所述服务器提取特定报文的特征信息;
根据流量清洗规则,对接收的第一流量进行清洗;所述流量清洗规则是基于服务器发送的第一信息生成的;所述第一信息至少包括特定报文的特征信息;
将清洗后的第一流量发送至第二网络侧设备。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收服务器发送的第二信息;所述第二信息是服务器利用从所述分流设备发送的第一流量中提取的特定报文的特征信息生成的;
基于所述第二信息,更新流量清洗规则。
3.根据权利要求2所述的方法,其特征在于,所述基于所述第二信息,更新流量清洗规则,包括:
确定所述第二信息包含的特定报文的特征信息的类型为第一类型时,在上一次生成的流量清洗规则中增加本次收到的特定报文的特征信息,以得到更新后的流量清洗规则;
或者,
确定所述第二信息包含的特定报文的特征信息的类型为第二类型时,在上一次生成的流量清洗规则中删除本次收到的特定报文的特征信息,以得到更新后的流量清洗规则;其中,第一类型和第二类型不同。
4.一种流量清洗方法,其特征在于,应用于服务器,所述方法包括:
从第二流量中筛选出特定报文;
从所述特定报文中提取特征信息,并生成第一信息;
将所述第一信息发送给所述分流设备,以使所述分流设备基于所述第一信息生成流量清洗规则。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
接收分流设备发送的第一流量;
从所述第一流量中筛选出特定报文;
从特定报文中提取特征信息,并生成第二信息;
将所述第二信息发送给所述分流设备,以使所述分流设备基于所述第二信息更新流量清洗规则。
6.根据权利要求5所述的方法,其特征在于,所述第二信息还包含特定报文的特征信息的类型,所述方法还包括:
确定数据库中不存在提取的特定报文的特征信息时,将提取的特定报文的特征信息保存至数据库中;
基于所述数据库中的保存的特定报文的特征信息,得到相应特定报文的特征信息的类型;
所述生成第二信息时,所述方法还包括:
基于相应特定报文的特征信息及特定报文的特征信息的类型,生成所述第二信息。
7.根据权利要求6所述的方法,其特征在于,所述基于所述数据库中的保存的特定报文的特征信息,得到相应特定报文的特征的类型,包括:
将本次提取的特定报文的特征信息与所述数据库中的数据进行比较;
确定所述数据库中不存在本次提取的特征报文的特征信息时,将本次提取的特征信息的类型标记为第一类型。
8.根据权利要求6所述的方法,其特征在于,在将提取的特征报文的特征信息保存至数据库中时,记录相应保存的时刻;
所述基于所述数据库中的保存的特定报文的特征信息,得到相应特定报文的特征的类型,包括:
确定第一保存时刻与当前时刻间隔第一时长时,将所述数据库中与所述第一保存时刻对应的特定报文的特征信息的类型标记为第二类型。
9.一种分流设备,其特征在于,包括:
第一接收单元,接收第一网络侧设备输出的第一流量;
第一发送单元,用于将接收的第一流量发送给服务器,以供所述服务器提取特定报文的特征信息;
清洗单元,用于根据流量清洗规则,对接收的第一流量进行清洗;所述流量清洗规则是基于服务器发送的第一信息生成的;所述第一信息至少包括特定报文的特征信息;
第一发送单元,还用于将清洗后的第一流量发送至第二网络侧设备。
10.一种服务器,其特征在于,包括:
筛选单元,用于从第二流量中筛选出特定报文;
第一生成单元,用于从所述特定报文中提取特征信息,并生成第一信息;
第二发送单元,用于将所述第一信息发送给所述分流设备,以使所述分流设备基于所述第一信息生成流量清洗规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010281260.6A CN111431930A (zh) | 2020-04-10 | 2020-04-10 | 流量清洗方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010281260.6A CN111431930A (zh) | 2020-04-10 | 2020-04-10 | 流量清洗方法及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111431930A true CN111431930A (zh) | 2020-07-17 |
Family
ID=71553803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010281260.6A Pending CN111431930A (zh) | 2020-04-10 | 2020-04-10 | 流量清洗方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111431930A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111966675A (zh) * | 2020-08-28 | 2020-11-20 | 恒瑞通(福建)信息技术有限公司 | 一种固定资产投资项目数据清洗方法及终端 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060059163A1 (en) * | 2004-08-20 | 2006-03-16 | Enterasys Networks, Inc. | System, method and apparatus for traffic mirror setup, service and security in communication networks |
| CN103856579A (zh) * | 2014-03-03 | 2014-06-11 | 国家电网公司 | 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法 |
| CN104680303A (zh) * | 2014-12-17 | 2015-06-03 | 国家电网公司 | 一种基于snmp的业务指标监控系统的构建方法 |
| CN106357685A (zh) * | 2016-10-28 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种防御分布式拒绝服务攻击的方法及装置 |
| CN107239581A (zh) * | 2017-07-07 | 2017-10-10 | 小草数语(北京)科技有限公司 | 数据清洗方法及装置 |
| CN107453956A (zh) * | 2017-09-15 | 2017-12-08 | 北京百卓网络技术有限公司 | 通信网络系统、分流器设备及其快速接入网络的方法 |
| CN107579770A (zh) * | 2017-09-15 | 2018-01-12 | 通鼎互联信息股份有限公司 | 通信网络系统、分流器设备及其接入单向传输网络的方法 |
| CN107749798A (zh) * | 2017-09-15 | 2018-03-02 | 通鼎互联信息股份有限公司 | 通信网络系统、分流器设备及其接入双向传输网络的方法 |
| CN110147364A (zh) * | 2019-04-15 | 2019-08-20 | 平安普惠企业管理有限公司 | 数据清洗方法、装置、设备和存储介质 |
| CN110471913A (zh) * | 2019-07-31 | 2019-11-19 | 北京慧萌信安软件技术有限公司 | 一种数据清洗方法及装置 |
-
2020
- 2020-04-10 CN CN202010281260.6A patent/CN111431930A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060059163A1 (en) * | 2004-08-20 | 2006-03-16 | Enterasys Networks, Inc. | System, method and apparatus for traffic mirror setup, service and security in communication networks |
| CN103856579A (zh) * | 2014-03-03 | 2014-06-11 | 国家电网公司 | 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法 |
| CN104680303A (zh) * | 2014-12-17 | 2015-06-03 | 国家电网公司 | 一种基于snmp的业务指标监控系统的构建方法 |
| CN106357685A (zh) * | 2016-10-28 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种防御分布式拒绝服务攻击的方法及装置 |
| CN107239581A (zh) * | 2017-07-07 | 2017-10-10 | 小草数语(北京)科技有限公司 | 数据清洗方法及装置 |
| CN107453956A (zh) * | 2017-09-15 | 2017-12-08 | 北京百卓网络技术有限公司 | 通信网络系统、分流器设备及其快速接入网络的方法 |
| CN107579770A (zh) * | 2017-09-15 | 2018-01-12 | 通鼎互联信息股份有限公司 | 通信网络系统、分流器设备及其接入单向传输网络的方法 |
| CN107749798A (zh) * | 2017-09-15 | 2018-03-02 | 通鼎互联信息股份有限公司 | 通信网络系统、分流器设备及其接入双向传输网络的方法 |
| CN110147364A (zh) * | 2019-04-15 | 2019-08-20 | 平安普惠企业管理有限公司 | 数据清洗方法、装置、设备和存储介质 |
| CN110471913A (zh) * | 2019-07-31 | 2019-11-19 | 北京慧萌信安软件技术有限公司 | 一种数据清洗方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 胡继志: "电子通信系统中的分流控制器设计与实现分析", 《无线互联科技》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111966675A (zh) * | 2020-08-28 | 2020-11-20 | 恒瑞通(福建)信息技术有限公司 | 一种固定资产投资项目数据清洗方法及终端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9967165B2 (en) | Methods, systems, and computer readable media for packet monitoring in a virtual environment | |
| US11870696B2 (en) | Method and system for triggering augmented data collection on a network device based on traffic patterns | |
| CN108900374B (zh) | 一种应用于dpi设备的数据处理方法和装置 | |
| CN109561072B (zh) | 一种链路检测方法及系统 | |
| CN113364624B (zh) | 基于边缘计算的混合云流量采集方法和系统 | |
| CN111565133B (zh) | 专线切换方法、装置、电子设备和计算机可读存储介质 | |
| CN111130821A (zh) | 一种掉电告警的方法、处理方法及装置 | |
| CN111431930A (zh) | 流量清洗方法及相关设备 | |
| CN111131479A (zh) | 流量处理方法、装置及分流器 | |
| CN110932975B (zh) | 流表下发方法、数据转发方法、装置及电子设备 | |
| US10904123B2 (en) | Trace routing in virtual networks | |
| CN111131135B (zh) | 数据传输方法、系统、计算机可读存储介质及电子设备 | |
| US11362927B2 (en) | Methods, switch and frame capture managing module for managing ethernet frames | |
| CN111695148B (zh) | 一种网络节点自学习的安全过滤方法及装置 | |
| WO2024217020A1 (zh) | 故障探测的方法和装置 | |
| KR102066555B1 (ko) | 소프트웨어 정의 네트워크를 이용하여 트래픽을 추적하는 방법, 장치 및 컴퓨터 프로그램 | |
| CN116248605A (zh) | 故障处理方法、装置、设备及存储介质 | |
| CN117176839A (zh) | 遥测报文传输方法、装置、通信设备及存储介质 | |
| CN115221020A (zh) | 一种日志规则判定方法、系统、存储介质以及设备 | |
| CN110891002A (zh) | 出口服务器流量监控方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210514 Address after: 430205 No. 1 Tan Hu Road, Tibet Dragon Island Development Area, Jiangxia District, Wuhan, Hubei Applicant after: WUHAN ACCELINK TECHNOLOGIES Co.,Ltd. Applicant after: Accelink Technologies Co.,Ltd. Address before: 430205 No. 1 Tan Hu Road, Tibet Dragon Island Development Area, Jiangxia District, Wuhan, Hubei Applicant before: WUHAN ACCELINK TECHNOLOGIES Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200717 |
|
| RJ01 | Rejection of invention patent application after publication |