[发明专利]业务消息处理方法、装置、设备及存储介质

说明书

本申请公开了一种业务消息处理方法、装置、设备及存储介质，属于互联网技术领域，所述方法包括：接收旁路流量分析系统中的各个分析节点发送的消息标识；获取第一消息标识；若接收到的各个消息标识中，存在与第一消息标识相匹配的第二消息标识，则向旁路流量分析系统中的目标分析节点发送匹配结果信息，匹配结果信息用于将第一业务消息和第二业务消息路由至旁路流量分析系统中的同一分析节点进行处理。本申请实施例提供的技术方案，保证了属于同一会话的请求消息和响应消息能够被路由至同一分析节点进行处理，解决了相关技术所存在的技术问题，提高了旁路流量分析系统对基于会话的网络攻击的检测能力。

技术领域

本申请实施例涉及互联网技术领域，特别涉及一种业务消息处理方法、装置、设备及存储介质。

背景技术

随着人类进入信息时代，网络已经成为人们日常生活中不可或缺的信息承载工具，然而，网络在给人们带来便利的同时也被一些恶意组织利用网络进行攻击破坏等非法活动。

为了应对网络攻击，企业一般使用网络流量分析系统对网络流量进行统计、分析和防御，网络流量分析系统承担着企业的网络流量分析防御的功能。网络流量分析系统根据部署方式可以分为如下两种：串行分析系统和旁路流量分析系统。旁路流量分析系统使用镜像流量进行分析，一般是在企业入口交换机上使用分光器把业务消息拷贝一份发给旁路流量分析系统，再由旁路流量分析系统中的分析节点对该业务消息进行分析处理。旁路流量分析系统的优点是业务侧无感知，自身在发生改动或出现故障后不影响业务功能，扩展性强，部署灵活，因此一些大型互联网公司一般会采用旁路流量分析系统实现网络流量分析和防御功能。

旁路流量分析系统中通常包括多个分析节点，以实现分布式的网络流量分析功能。在将业务消息分发给不同的分析节点进行处理时，属于同一个会话的请求消息和响应消息有可能会被分发给不同的分析节点，而各个分析节点又是独立地进行分析，这就导致基于会话的网络攻击无法被有效检测出来。也即，旁路流量分析系统对基于会话的网络攻击的检测能力不足。

发明内容

本申请实施例提供了一种在业务消息处理方法、装置、设备及存储介质，可用于解决相关技术中旁路流量分析系统对基于会话的网络攻击的检测能力不足的技术问题。所述技术方案如下：

一方面，本申请实施例提供了一种业务消息处理方法，所述方法包括：

接收旁路流量分析系统中的各个分析节点发送的消息标识，所述旁路流量分析系统包括n个分析节点，所述n为大于1的整数；

获取第一消息标识，所述第一消息标识是接收到的各个所述消息标识中的任意一个消息标识；

若接收到的各个所述消息标识中，存在与所述第一消息标识相匹配的第二消息标识，则向所述旁路流量分析系统中的目标分析节点发送匹配结果信息，所述匹配结果信息用于将第一业务消息和第二业务消息路由至所述旁路流量分析系统中的同一分析节点进行处理；

其中，所述第一业务消息的消息标识是所述第一消息标识，所述第二业务消息的消息标识是所述第二消息标识；两个相匹配的消息标识所对应的两个业务消息，是属于同一会话的请求消息和响应消息。

另一方面，本申请实施例提供了一种业务消息处理方法，所述方法包括：

获取第一业务消息；

生成第一消息标识，所述第一消息标识是所述第一业务消息的消息标识；

向匹配服务器发送所述第一消息标识，所述匹配服务器用于在获取到与所述第一消息标识相匹配的第二消息标识的情况下，向旁路流量分析系统中的目标分析节点发送匹配结果信息，所述匹配结果信息用于将所述第一业务消息和第二业务消息路由至所述旁路流量分析系统中的同一分析节点进行处理；

其中，所述第二业务消息的消息标识是所述第二消息标识；两个相匹配的消息标识所对应的两个业务消息，是属于同一会话的请求消息和响应消息。