[发明专利]一种基于流量还原的网络攻击事件取证方法与装置有效
| 申请号: | 202110051543.6 | 申请日: | 2021-01-14 |
| 公开(公告)号: | CN112910842B | 公开(公告)日: | 2021-10-01 |
| 发明(设计)人: | 任传伦;郭世泽;吴栋;官弼根;刘文瀚;刘晓影;张先国;俞赛赛;乌吉斯古愣;王玥;闫慧;孟祥頔 | 申请(专利权)人: | 中国电子科技集团公司第十五研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06F9/54;G06F16/25 |
| 代理公司: | 北京丰浩知识产权代理事务所(普通合伙) 11781 | 代理人: | 李学康 |
| 地址: | 100083 北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于流量还原的网络攻击事件取证方法与装置,属于网络安全技术领域。所述方法包括:针对原始的流量包数据,一方面运用文件分割技术经过tshark解析,经过多线程同步数据清洗,再通过rabbitmq和logstash将数据存到elasticsearch;另一方面通过suricata特征规则匹配,进行事件告警,根据协议解析的数据查询当前包的流信息从而分割pcap包,从而下载某个事件对应的流量片段。本发明针对流量包协议解析和入库较慢的问题,应用大文件分割和多线程同步解析入库的技术大大缩短了入库时间;通过对每一个告警事件进行解析,准确从原始数据包中分割该告警事件对应的完整流量片段,减少资源浪费。 | ||
| 搜索关键词: | 一种 基于 流量 还原 网络 攻击 事件 取证 方法 装置 | ||
【主权项】:
暂无信息
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电子科技集团公司第十五研究所,未经中国电子科技集团公司第十五研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/202110051543.6/,转载请声明来源钻瓜专利网。
- 上一篇:一种拉拔游动芯头导入装置
- 下一篇:一种管道修复推进装置及其推进方法
