本申请公开了一种可疑流量的检索方法、装置、存储介质和设备,该方法为:将采集得到的各个流量数据的数据包,保存到预设数据库中;基于预设数据库中的各个数据包,获得与各个协议类型对应的元数据表;在确定用户输入的检索信息包含特征字段的情况下,从符合第三预设条件的元数据表中,获取字段值与特征字段相同的元数据,作为攻击特征;将包含有攻击特征的数据包,标识为可疑流量,并通过预设界面向用户展示可疑流量。该方法利用元数据表中所示的各个元数据,实现对数据包的准确筛选,无需耗费时间成本去逐个解析所有流量数据,有效提高可疑流量的检索效率。量的检索效率。量的检索效率。
【技术实现步骤摘要】
可疑流量的检索方法、装置、存储介质和设备
[0001]本申请涉及互联网
,尤其涉及一种可疑流量的检索方法、装置、存储介质和设备。
技术介绍
[0002]网络分析系统通过镜像获取所需网络流量的数据包,并对数据包进行存储、解码、检测、分析、诊断,可以帮助网络安全人员定位可疑流量,规避网络入侵风险。但是对于网络结构复杂的大型企业,如何在海量的数据流量中快速精准的检索出可疑流量,检索方法非常关键。
[0003]目前常用的可疑流量检索方法主要采用单个IP、IP通讯对、IP加端口以及报文内容特征值等。这些检索方法需要知道精准时间点、IP地址或者具体攻击特征,另外使用特征值进行检索时,由于不能在某协议报文或者某些字段中进行检索,导致不仅仅检索了报文头还包含了报文体中的所有内容,如果服务器的返回报文中存在大量的页面信息或者文件图片信息,这样会导致检索时间的大大增加。
[0004]为此,如何提高可疑流量的检索效率,成为本领域亟需解决的问题。
技术实现思路
[0005]本申请提供了一种可疑流量的检索方法、装置、存储介质和设备,目的在于提高可疑流量的检索效率。
[0006]为了实现上述目的,本申请提供了以下技术方案:
[0007]一种可疑流量的检索方法,包括:
[0008]将采集得到的各个流量数据的数据包,保存到预设数据库中;
[0009]基于所述预设数据库中的各个所述数据包,获得与各个协议类型对应的元数据表;所述元数据表包括各个所述数据包的元数据集合;所述元数据集合包括多个元数据以及每个所述元数据的字段值;所述元数据代表所述数据包的报文头字段;
[0010]在确定用户输入的检索信息包含特征字段的情况下,从符合第三预设条件的所述元数据表中,获取字段值与所述特征字段相同的元数据,作为攻击特征;所述第三预设条件为:与所述元数据表对应的协议类型,与所述检索信息所示的协议类型相同;
[0011]将包含有所述攻击特征的数据包,标识为可疑流量,并通过预设界面向所述用户展示所述可疑流量。
[0012]可选的,所述基于所述预设数据库中的各个所述数据包,获得与各个协议类型对应的元数据表,包括:
[0013]对所述预设数据库中的各个所述数据包进行分类,得到与各个协议类型对应的数据包分组;其中,协议类型相同的多个数据包将被划分到同一数据包分组中;
[0014]对于每个所述数据包分组,对所述数据包分组中每个数据包进行报文头字段提取,得到所述数据包分组中每个数据包的报文头字段集合;所述报文头字段集合包括多个
报文头字段,以及每个所述报文头字段的字段值;
[0015]基于每个所述数据包分组中各个数据包的报文头字段集合,生成与每个协议类型对应的元数据表。
[0016]可选的,所述将包含有所述攻击特征的数据包,标识为可疑流量,包括:
[0017]预先为所述预设数据库中每个所述数据包配置区域标签和时间标签;所述区域标签指示所述流量数据所来源的前端链路;所述采集时间指示所述流量数据的采集时间;
[0018]在确定所述检索信息包含时间点的情况下,从预设数据库中获取符合第一预设条件的所述数据包,作为候选数据包;所述第一预设条件为:所述数据包的采集时间与所述检索信息所示时间点之间的时间差小于预设时间阈值;
[0019]在确定所述检索信息包含前端链路的情况下,从获取得到的一个或多个所述候选数据包中,筛选出符合第二预设条件的所述候选数据包,作为有效数据包;所述第二预设条件为:所述候选数据包的前端链路与所述检索信息所示前端链路相同;
[0020]将包含有所述攻击特征的有效数据包,标识为可疑流量。
[0021]可选的,所述将包含有所述攻击特征的有效数据包,标识为可疑流量之前,还包括:
[0022]在确定所述检索信息不包含所述时间点的情况下,则按照采集时间从晚到早的顺序,遍历所述预设数据库中的各个数据包,直至获取得到包含所述检索信息所示可疑IP的数据包,作为所述候选数据包。
[0023]可选的,所述将包含有所述攻击特征的有效数据包,标识为可疑流量之前,还包括:
[0024]在确定所述检索信息不包含所述前端链路的情况下,将获取得到的所有候选数据包,均标识为所述有效数据包。
[0025]可选的,所述在确定所述检索信息包含前端链路的情况下,从获取得到的一个或多个所述候选数据包中,筛选出符合第二预设条件的所述候选数据包,作为有效数据包之后,还包括:
[0026]在确定所述检索信息包含所述五元组中的任意一个或多个元素的情况下,从各个所述有效数据包中获取包含有所述检索信息所示元素的有效数据包,作为可疑流量,并通过预设界面向所述用户展示所述可疑流量。
[0027]可选的,所述在确定所述检索信息包含前端链路的情况下,从获取得到的一个或多个所述候选数据包中,筛选出符合第二预设条件的所述候选数据包,作为有效数据包之后,还包括:
[0028]在确定所述检索信息不包含所述特征字段的情况下,对每个所述有效数据包进行特征值检索,得到每个所述有效数据包的特征值,并将特征值包含有预设敏感字段的有效数据包,标识为可疑流量,并通过预设界面向所述用户展示所述可疑流量。
[0029]一种可疑流量的检索装置,包括:
[0030]流量采集单元,用于将采集得到的各个流量数据的数据包,保存到预设数据库中;
[0031]元数据获取单元,用于基于所述预设数据库中的各个所述数据包,获得与各个协议类型对应的元数据表;所述元数据表包括各个所述数据包的元数据集合;所述元数据集合包括多个元数据以及每个所述元数据的字段值;所述元数据代表所述数据包的报文头字
段;
[0032]元数据查询单元,用于在确定用户输入的检索信息包含特征字段的情况下,从符合第三预设条件的所述元数据表中,获取字段值与所述特征字段相同的元数据,作为攻击特征;所述第三预设条件为:与所述元数据表对应的协议类型,与所述检索信息所示的协议类型相同;
[0033]流量筛选单元,用于将包含有所述攻击特征的数据包,标识为可疑流量,并通过预设界面向所述用户展示所述可疑流量。
[0034]一种计算机可读存储介质,所述计算机可读存储介质包括存储的程序,其中,所述程序被处理器运行时执行所述的可疑流量的检索方法。
[0035]一种可疑流量的检索设备,包括:处理器、存储器和总线;所述处理器与所述存储器通过所述总线连接;
[0036]所述存储器用于存储程序,所述处理器用于运行程序,其中,所述程序被处理器运行时执行所述的可疑流量的检索方法。
[0037]本申请提供的技术方案,将采集得到的各个流量数据的数据包,保存到预设数据库中。基于预设数据库中的各个数据包,获得与各个协议类型对应的元数据表。在确定用户输入的检索信息包含特征字段的情况下,从符合第三预设条件的元数据表中,获取字段值与特征字段相同的元数据,作为攻击特征。将包含有攻击特征的数据包,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种可疑流量的检索方法,其特征在于,包括:将采集得到的各个流量数据的数据包,保存到预设数据库中;基于所述预设数据库中的各个所述数据包,获得与各个协议类型对应的元数据表;所述元数据表包括各个所述数据包的元数据集合;所述元数据集合包括多个元数据以及每个所述元数据的字段值;所述元数据代表所述数据包的报文头字段;在确定用户输入的检索信息包含特征字段的情况下,从符合第三预设条件的所述元数据表中,获取字段值与所述特征字段相同的元数据,作为攻击特征;所述第三预设条件为:与所述元数据表对应的协议类型,与所述检索信息所示的协议类型相同;将包含有所述攻击特征的数据包,标识为可疑流量,并通过预设界面向所述用户展示所述可疑流量。2.根据权利要求1所述的方法,其特征在于,所述基于所述预设数据库中的各个所述数据包,获得与各个协议类型对应的元数据表,包括:对所述预设数据库中的各个所述数据包进行分类,得到与各个协议类型对应的数据包分组;其中,协议类型相同的多个数据包将被划分到同一数据包分组中;对于每个所述数据包分组,对所述数据包分组中每个数据包进行报文头字段提取,得到所述数据包分组中每个数据包的报文头字段集合;所述报文头字段集合包括多个报文头字段,以及每个所述报文头字段的字段值;基于每个所述数据包分组中各个数据包的报文头字段集合,生成与每个协议类型对应的元数据表。3.根据权利要求1所述的方法,其特征在于,所述将包含有所述攻击特征的数据包,标识为可疑流量,包括:预先为所述预设数据库中每个所述数据包配置区域标签和时间标签;所述区域标签指示所述流量数据所来源的前端链路;所述采集时间指示所述流量数据的采集时间;在确定所述检索信息包含时间点的情况下,从预设数据库中获取符合第一预设条件的所述数据包,作为候选数据包;所述第一预设条件为:所述数据包的采集时间与所述检索信息所示时间点之间的时间差小于预设时间阈值;在确定所述检索信息包含前端链路的情况下,从获取得到的一个或多个所述候选数据包中,筛选出符合第二预设条件的所述候选数据包,作为有效数据包;所述第二预设条件为:所述候选数据包的前端链路与所述检索信息所示前端链路相同;将包含有所述攻击特征的有效数据包,标识为可疑流量。4.根据权利要求3所述的方法,其特征在于,所述将包含有所述攻击特征的有效数据包,标识为可疑流量之前,还包括:在确定所述检索信息不包含所述时间点的情况下,则按照采集时间从晚到早的顺序,遍历所述预设数据库中的各个数据包,直至获取得到包含所述检索信息所示可疑IP的数据包,作为所述候选数据包。5.根据...
【专利技术属性】
技术研发人员:段麦琪,
申请(专利权)人:中国建设银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。