[发明专利]一种基于报文标记数据流的并行检测方法、系统及存储介质有效
| 申请号: | 201910940754.8 | 申请日: | 2019-09-30 |
| 公开(公告)号: | CN110620785B | 公开(公告)日: | 2022-03-15 |
| 发明(设计)人: | 戚建淮;张玄发;刘建辉;彭华;郑伟范;胡金华;宋晶 | 申请(专利权)人: | 深圳市永达电子信息股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 广州嘉权专利商标事务所有限公司 44205 | 代理人: | 林明校 |
| 地址: | 518000 广东省深圳市南山区西丽街*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 报文 标记 数据流 并行 检测 方法 系统 存储 介质 | ||
1.一种基于报文标记数据流的并行检测方法,其特征在于,包括以下步骤:
管理节点根据节点设置,在流分发节点中生成流表策略,所述流表策略将成为数据流分发的依据,流分发节点用于对数据流的复制、分发等功能;数据流到达所述流分发节点入口;
所述流分发节点根据所述流表策略将数据流发送到联合控制节点;
所述联合控制节点判断所述流分发节点发送的所述数据流是否需要检测,对需要检测的所述数据流中的数据报文进行标记,获得标识数据流,其中,所述联合控制节点根据从管理节点中获取检测节点信息列表,所述检测节点中的各子节点包括入侵检测节点和/或病毒检测节点和/或行为分析节点和/或大数据分析节点;
所述联合控制节点将所述标记后的所述数据报文缓存,并将所述标识数据流发送回所述流分发节点;
所述流分发节点接收所述联合控制节点发送的所述标识数据流,根据所述流表策略将所述标识数据流发送到检测节点;
所述检测节点中的各子节点对所述标识数据流进行检测,并将检测结果发送回所述联合控制节点;
所述联合控制节点接收所述检测结果,确定发送或者丢弃数据流;
所述联合制节点判断所述流分发节点发送的数据流是否需要检测,对需要检测的所述数据流进行标记,获得标识数据流,具体为,联合控制节点根据检测到的节点信息,生成初始汇聚节点掩码,并在所述数据流中需要检测的数据报文上添加标识码以实现标记,获得标识数据流,对无需检测的数据流直接放行,其中,联合控制节点从检测节点信息列表中查找配置入侵检测模块的节点,根据索引号进行升序排列,根据位移计算得出检测节点的掩码,根据所述掩码确定需要实施检测的节点为入侵检测节点。
2.根据权利要求1所述基于报文标记数据流的并行检测方法,其特征在于,所述子节点对所述标识数据流进行检测,具体为:各所述子节点接收所述标识数据流,并对接收的所述标识数据流进行流应用协议识别、会话管理、报文重组,根据所述标识数据流中数据报文的识别码和各所述子节点的ID生成检测结果。
3.根据权利要求1-2任一项所述基于报文标记数据流的并行检测方法,其特征在于,所述联合控制节点接收所述检测结果,确定发送或者丢弃报文,具体为:所述联合控制节点接收所述检测结果,重新计算汇聚掩码,汇总所述检测结果,并根据各所述分析检测节点生成的所述检测结果生成最终检测结果,若所述最终检测结果正常,将所述标识数据流发送到出口;若所述最终检测结果异常,丢弃所述标识数据流。
4.根据权利要求1所述基于报文标记数据流的并行检测方法,其特征在于,所述初始汇聚节点掩码为32位无符号整形数,所述检测节点中的各分节点分别占用8个字节。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深圳市永达电子信息股份有限公司,未经深圳市永达电子信息股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910940754.8/1.html,转载请声明来源钻瓜专利网。
