【技術(shù)實(shí)現(xiàn)步驟摘要】
本說明書涉及計(jì)算機(jī),尤其涉及一種大流量分析方法、裝置、存儲(chǔ)介質(zhì)及電子設(shè)備。
技術(shù)介紹
1、隨著互聯(lián)網(wǎng)的普及和各類應(yīng)用的快速發(fā)展,網(wǎng)絡(luò)攻擊、惡意軟件、數(shù)據(jù)泄露等安全威脅也越來越嚴(yán)重。對流量數(shù)據(jù)包進(jìn)行監(jiān)測和分析,能夠及時(shí)識(shí)別網(wǎng)絡(luò)中潛在安全威脅,并及時(shí)采取相應(yīng)措施。
2、流量探針是一種常見的用于流量捕獲和分析的網(wǎng)絡(luò)安全設(shè)備,串聯(lián)在需要監(jiān)控流量的鏈路。單一流量探針的數(shù)據(jù)處理能力有限,無法及時(shí)捕獲和分析所有流量數(shù)據(jù)包,在大流量場景下,往往需要部署大量流量探針分擔(dān)負(fù)載,以對流量數(shù)據(jù)包進(jìn)行實(shí)時(shí)且全面的檢測。但是,隨著流量探針數(shù)量的增加,導(dǎo)致了硬件成本投入以及運(yùn)維成本的增加。
3、因此,本說明書提供一種大流量分析方法。
技術(shù)實(shí)現(xiàn)思路
1、本說明書提供一種大流量分析方法、裝置、存儲(chǔ)介質(zhì)及電子設(shè)備,以至少部分地解決現(xiàn)有技術(shù)存在的上述問題。
2、本說明書采用下述技術(shù)方案:
3、本說明書提供了一種大流量分析方法,應(yīng)用于流量探針,包括:
4、采集各流量數(shù)據(jù)包,接收分析平臺(tái)發(fā)送的風(fēng)險(xiǎn)信息和采樣信息;
5、將所述各流量數(shù)據(jù)包與所述風(fēng)險(xiǎn)信息進(jìn)行匹配,確定與所述風(fēng)險(xiǎn)信息匹配的流量數(shù)據(jù)包,作為重點(diǎn)流量,將所述各流量數(shù)據(jù)包與所述采樣信息進(jìn)行匹配,確定與所述采樣信息匹配的流量數(shù)據(jù)包,作為邊緣流量;
6、對所述邊緣流量中的各流量數(shù)據(jù)包進(jìn)行采樣,得到采樣流量;
7、根據(jù)所述重點(diǎn)流量和所述采樣流量,確定待分析流量,將所述待分析流量的
8、可選地,所述采樣信息中包含多個(gè)安全流量特征和各安全流量特征的采樣比;
9、對所述邊緣流量中的各流量數(shù)據(jù)包進(jìn)行采樣,得到采樣流量,具體包括:
10、針對所述邊緣流量中的每個(gè)流量數(shù)據(jù)包,確定該流量數(shù)據(jù)包對應(yīng)的安全流量特征;
11、在所述采樣信息中,確定該流量數(shù)據(jù)包對應(yīng)的安全流量特征的采樣比,作為目標(biāo)采樣比;
12、按照所述目標(biāo)采樣比,對所述邊緣流量中的各流量數(shù)據(jù)包進(jìn)行采樣,得到采樣流量。
13、可選地,將所述待分析流量的日志信息發(fā)送至所述分析平臺(tái),具體包括:
14、通過預(yù)設(shè)的風(fēng)險(xiǎn)檢測算法,對所述待分析流量包含的各流量數(shù)據(jù)包的數(shù)據(jù)包信息進(jìn)行分析,確定所述待分析流量中存在風(fēng)險(xiǎn)的流量數(shù)據(jù)包,作為風(fēng)險(xiǎn)流量,確定所述待分析流量中不存在風(fēng)險(xiǎn)的流量數(shù)據(jù)包,作為安全流量;
15、將所述風(fēng)險(xiǎn)流量的日志信息和所述安全流量的日志信息,發(fā)送至所述分析平臺(tái)。
16、本說明書還提供了另一種大流量分析方法,應(yīng)用于分析平臺(tái),包括:
17、接收流量探針發(fā)送的待分析流量的日志信息;
18、根據(jù)所述待分析流量的日志信息,對所述待分析流量進(jìn)行特征分析,得到風(fēng)險(xiǎn)信息和采樣信息;
19、將所述風(fēng)險(xiǎn)信息和所述采樣信息,發(fā)送至所述流量探針。
20、可選地,所述待分析流量的日志信息包含風(fēng)險(xiǎn)流量的日志信息和安全流量的日志信息;
21、根據(jù)所述待分析流量的日志信息,對所述待分析流量進(jìn)行特征分析,確定風(fēng)險(xiǎn)信息和采樣信息,具體包括:
22、在所述風(fēng)險(xiǎn)流量的日志信息中,提取預(yù)設(shè)的各關(guān)鍵字段對應(yīng)的第一字段值;在所述安全流量的日志信息中,提取所述關(guān)鍵字段對應(yīng)的第二字段值;
23、對所述各關(guān)鍵字段對應(yīng)的第一字段值進(jìn)行特征分析,得到各風(fēng)險(xiǎn)流量特征;對所述各關(guān)鍵字段對應(yīng)的第二字段值進(jìn)行特征分析,得到各安全流量特征;
24、根據(jù)所述各風(fēng)險(xiǎn)流量特征,確定風(fēng)險(xiǎn)信息,根據(jù)所述各安全流量特征,確定采樣信息。
25、可選地,根據(jù)所述各安全流量特征,確定采樣信息,具體包括:
26、確定預(yù)先指定的各網(wǎng)絡(luò)資源,以及所述各網(wǎng)絡(luò)資源的重要程度;
27、針對每個(gè)安全流量特征,當(dāng)存在該安全流量特征的流量數(shù)據(jù)包的訪問目標(biāo)是任一預(yù)先設(shè)定的網(wǎng)絡(luò)資源時(shí),分析平臺(tái)根據(jù)該任一預(yù)先設(shè)定的網(wǎng)絡(luò)資源的重要程度,確定該安全流量特征的采樣比,所述重要程度與所述采樣比負(fù)相關(guān)。
28、本說明書提供了一種大流量分析裝置,應(yīng)用于流量探針,所述裝置包括:
29、采集模塊,采集各流量數(shù)據(jù)包,接收分析平臺(tái)發(fā)送的風(fēng)險(xiǎn)信息和采樣信息;
30、匹配模塊,將所述各流量數(shù)據(jù)包與所述風(fēng)險(xiǎn)信息進(jìn)行匹配,確定與所述風(fēng)險(xiǎn)信息匹配的流量數(shù)據(jù)包,作為重點(diǎn)流量,將所述各流量數(shù)據(jù)包中的流量數(shù)據(jù)包與所述采樣信息進(jìn)行匹配,確定與所述采樣信息匹配的流量數(shù)據(jù)包,作為邊緣流量;
31、采樣模塊,對所述邊緣流量中的各流量數(shù)據(jù)包進(jìn)行采樣,得到采樣流量;
32、傳輸模塊,根據(jù)所述重點(diǎn)流量和所述采樣流量,確定待分析流量,將所述待分析流量的日志信息發(fā)送至所述分析平臺(tái)。
33、本說明書提供了一種大流量分析裝置,應(yīng)用于分析平臺(tái),所述裝置包括:
34、日志接收模塊,接收流量探針發(fā)送的待分析流量的日志信息;
35、分析模塊,根據(jù)所述待分析流量的日志信息,對所述待分析流量進(jìn)行特征分析,得到風(fēng)險(xiǎn)信息和采樣信息;
36、傳輸模塊,將所述風(fēng)險(xiǎn)信息和所述采樣信息,發(fā)送至所述流量探針。
37、本說明書提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),所述存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序,所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述大流量分析方法。
38、本說明書提供了一種電子設(shè)備,包括存儲(chǔ)器、處理器及存儲(chǔ)在存儲(chǔ)器上并可在處理器上運(yùn)行的計(jì)算機(jī)程序,所述處理器執(zhí)行所述程序時(shí)實(shí)現(xiàn)上述大流量分析方法。
39、本說明書采用的上述至少一個(gè)技術(shù)方案能夠達(dá)到以下有益效果:
40、在本說明書提供的大流量分析方法中,獲取各流量數(shù)據(jù)包,以及接收分析平臺(tái)的風(fēng)險(xiǎn)信息和采樣信息,將各流量數(shù)據(jù)包與風(fēng)險(xiǎn)信息進(jìn)行匹配,確定與風(fēng)險(xiǎn)信息匹配的流量數(shù)據(jù)包,作為重點(diǎn)流量,將各流量數(shù)據(jù)包與采樣信息進(jìn)行匹配,確定與采樣信息匹配的流量數(shù)據(jù)包,作為邊緣流量,并對邊緣流量中的流量數(shù)據(jù)包進(jìn)行采樣,得到采樣流量。本方法中,在流量探針對流量數(shù)據(jù)包進(jìn)行風(fēng)險(xiǎn)檢測之前,先將流量數(shù)據(jù)包分為重點(diǎn)流量和邊緣流量,通過采樣的方式減少需要進(jìn)行安全檢測的邊緣流量的數(shù)據(jù)量,從而減少了進(jìn)行風(fēng)險(xiǎn)檢測的流量數(shù)據(jù)包的數(shù)據(jù)量,相應(yīng)減少了需要部署的硬件設(shè)備的數(shù)量。
本文檔來自技高網(wǎng)...【技術(shù)保護(hù)點(diǎn)】
1.一種大流量分析方法,應(yīng)用于流量探針,其特征在于,包括:
2.如權(quán)利要求1所述的方法,其特征在于,所述采樣信息中包含多個(gè)安全流量特征和各安全流量特征的采樣比;
3.如權(quán)利要求1所述的方法,其特征在于,將所述待分析流量的日志信息發(fā)送至所述分析平臺(tái),具體包括:
4.一種大流量分析方法,應(yīng)用于分析平臺(tái),其特征在于,包括:
5.如權(quán)利要求4所述的方法,其特征在于,所述待分析流量的日志信息包含風(fēng)險(xiǎn)流量的日志信息和安全流量的日志信息;
6.如權(quán)利要求5所述的方法,其特征在于,根據(jù)所述各安全流量特征,確定采樣信息,具體包括:
7.一種大流量分析裝置,應(yīng)用于流量探針,其特征在于,包括:
8.一種大流量分析裝置,應(yīng)用于分析平臺(tái),其特征在于,包括:
9.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其特征在于,所述存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序,所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述權(quán)利要求1~6任一項(xiàng)所述的方法。
10.一種電子設(shè)備,包括存儲(chǔ)器、處理器及存儲(chǔ)在存儲(chǔ)器上并可在處理器上運(yùn)行的計(jì)算機(jī)程序,其特征在于,所述處理
...【技術(shù)特征摘要】
1.一種大流量分析方法,應(yīng)用于流量探針,其特征在于,包括:
2.如權(quán)利要求1所述的方法,其特征在于,所述采樣信息中包含多個(gè)安全流量特征和各安全流量特征的采樣比;
3.如權(quán)利要求1所述的方法,其特征在于,將所述待分析流量的日志信息發(fā)送至所述分析平臺(tái),具體包括:
4.一種大流量分析方法,應(yīng)用于分析平臺(tái),其特征在于,包括:
5.如權(quán)利要求4所述的方法,其特征在于,所述待分析流量的日志信息包含風(fēng)險(xiǎn)流量的日志信息和安全流量的日志信息;
6.如權(quán)利要求5所述的方法,其特征在...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:王濤,龐若蔚,王旭,黃冰倩,謝斌,劉陽,沈偉海,
申請(專利權(quán))人:杭州迪普科技股份有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會(huì)獲得科技券。