消息处理方法、装置、存储介质及处理器制造方法及图纸

本申请公开了一种消息处理方法、装置、存储介质及处理器。该方法包括：对目标交换机的各个端口的会话日志进行采集，其中，目标交换机为多个业务终端设备连接的第一个接入交换机，每个业务终端设备对应连接目标交换机的一个端口；基于各个端口的会话日志，分别判断经过各个端口的报文是否符合端口对应的行为基线，其中，一条会话至少产生一个报文，行为基线用于表征端口连接的业务终端收发的报文需要满足的条件；在存在目标端口的报文不符合目标端口对应的行为基线的情况下，按照第一预设处理规则处理目标端口的报文。通过本申请，解决了相关技术中难以全面分析网络中的业务报文并及时处理异常报文的问题。

【技术实现步骤摘要】
消息处理方法、装置、存储介质及处理器
本申请涉及网络安全
，具体而言，涉及一种消息处理方法、装置、存储介质及处理器。
技术介绍
为了保证网络安全，需要对各个业务终端的业务进行监控，具体地，可以采集网络行为数据采集、并对网络行为数据进行分析和处置。在进行数据采集时，为了较全面地采集数据，采集点部署的位置非常关键，在相关技术中，主要是通过部署在关键路径上的探针装置或核心交换机上做端口镜像方式获取网络流量，存在一些弊端，例如，若在交换机的上联口线路上部署探针，则采集不到交换机下联口之间的互相访问的流量；若利用交换机的端口镜像功能，一般只提供一个可配置的镜像端口，流经交换机的其他端口的流量则无法采集到。在进行网络行为数据分析时，相关技术中利用深层包检测技术，对报文的协议、访问关系做分析，提取网内用户的行为基线模型，但网内主机对互联网的访问行为很复杂，行为基线模型很难收敛。此外，由于采集的数据范围是分析网络行为的基础，现有的数据采集方式难以做到内网流量全覆盖，因此难以实现客观的内网终端行为模型。因而，这种采集数据的方式以及分析模型建立方式，无法避免的存在误报和漏报情况。在进行异常数据处理时，主要靠管理平台与防火墙类设备的联动配置阻断策略，或配置汇聚交换机、核心交换机中的访问控制列表实现异常主机的阻断，或通过认证系统取消异常主机的授权。但是，传统网络接入交换机只有简单的网管功能，无法支撑对网内终端行为基线数据的采集，更无法完成对违反基线的异常行为的处置。而高端的交换机虽然能够提供可镜像的网络接口，但是这类交换机通常部署在汇聚层或核心层，无法覆盖汇聚层以下的网络流量。也即，针对终端违反基线后的处置则很难与数据采集、基线分析统一规划，无法完成自动化处置，需要人工确认并手动处置。针对相关技术中难以全面分析网络中的业务报文并及时处理异常报文的问题，目前尚未提出有效的解决方案。
技术实现思路
本申请提供一种消息处理方法、装置、存储介质及处理器，以解决相关技术中难以全面分析网络中的业务报文并及时处理异常报文的问题。根据本申请的一个方面，提供了一种消息处理方法。该方法包括：对目标交换机的各个端口的会话日志进行采集，其中，目标交换机为多个业务终端设备连接的第一个接入交换机，每个业务终端设备对应连接目标交换机的一个端口；基于各个端口的会话日志，分别判断经过各个端口的报文是否符合端口对应的行为基线，其中，一条会话至少产生一个报文，行为基线用于表征端口连接的业务终端收发的报文需要满足的条件；在存在目标端口的报文不符合目标端口对应的行为基线的情况下，按照第一预设处理规则处理目标端口的报文。可选地，在基于各个端口的会话日志，分别判断经过各个端口的报文是否符合端口对应的行为基线之后，该方法还包括：对符合行为基线的报文，按照报文对应的转发规则转发报文。可选地，在基于各个端口的会话日志，分别判断经过各个端口的报文是否符合端口对应的行为基线之后，该方法还包括：在存在目标端口的报文不符合目标端口对应的行为基线的情况下，触发报警信息。可选地，在存在目标端口的报文不符合目标端口对应的行为基线的情况下，按照第一预设处理规则处理目标端口的报文之后，该方法还包括：分析目标端口的报文是否为异常报文；在目标端口的报文为异常报文的情况下，按照第二预设处理规则处理异常报文。可选地，在基于各个端口的会话日志，分别判断经过各个端口的报文是否符合端口对应的行为基线之前，该方法还包括：在预设时间段内获取各个端口的会话日志数据，并分别将各个端口的会话日志数据作为各个端口对应的训练数据集，其中，会话日志数据包括报文信息；根据各个端口对应的训练数据集分别建立各个端口对应的行为基线模型，得到多个行为基线模型；获取各个行为基线模型的模型数据，得到多组模型数据，其中，每组模型数据包括行为基线和第一预设处理规则，行为基线包括预设报文信息；将多组模型数据配置到目标交换机的芯片中的匹配表中。可选地，在根据各个端口对应的训练数据集分别建立各个端口对应的行为基线模型，得到多个行为基线模型之前，该方法还包括：将各个端口产生的会话日志数据发送至目标交换机以外的建模终端；在建模终端执行建立行为基线模型的步骤。可选地，在分析目标端口的报文是否为异常报文之后，该方法还包括：在目标端口的报文是正常报文的情况下，将报文添加至目标端口对应的训练数据集，得到更新后的训练数据集；根据更新后的训练数据集训练目标端口对应的行为基线模型。可选地，基于各个端口的会话日志，分别判断经过各个端口的报文是否符合端口对应的行为基线包括：获取经过目标端口的目标报文的报文信息，得到目标报文信息；将目标报文信息与匹配表中目标端口对应的行为基线进行匹配；在目标报文信息与目标端口对应的行为基线匹配的情况下，确定目标报文符合目标端口对应的行为基线。可选地，预设报文信息至少包括以下之一：报文的IP地址、报文的端口信息、报文的协议、报文的时间特征、报文的带宽特征。可选地，行为基线包括多个预设报文信息的情况下，将目标报文信息与匹配表中目标端口对应的行为基线进行匹配包括：确定多个子报文信息与多个预设报文信息进行匹配的匹配顺序，其中，由多个子报文信息构成目标报文信息；将各个子报文信息按照匹配顺序依次与多个预设报文信息进行匹配，其中，在前一个子报文信息与对应预设报文信息匹配的情况下，执行后一个子报文信息与对应预设报文信息的匹配步骤，直至出现子报文信与对应预设报文信息不匹配的情况。可选地，在存在目标端口的报文不符合目标端口对应的行为基线的情况下，按照第一预设处理规则处理目标端口的报文包括：在目标子报文信息与对应的目标预设报文信息不匹配的情况下，按照第一预设处理规则中的目标子规则处理目标报文，其中，第一预设处理规则中包括多个子规则，目标子规则与目标预设报文信息之间存在对应关系。根据本申请的另一方面，提供了一种消息处理装置。该装置包括：采集单元，用于对目标交换机的各个端口的会话日志进行采集，其中，目标交换机为多个业务终端设备连接的第一个接入交换机，每个业务终端设备对应连接目标交换机的一个端口；判断单元，用于基于各个端口的会话日志，分别判断经过各个端口的报文是否符合端口对应的行为基线，其中，一条会话至少产生一个报文，行为基线用于表征端口连接的业务终端收发的报文需要满足的条件；第一处理单元，用于在存在目标端口的报文不符合目标端口对应的行为基线的情况下，按照第一预设处理规则处理目标端口的报文。为了实现上述目的，根据本申请的另一方面，提供了一种存储介质，存储介质包括存储的程序，其中，程序执行上述任意一种消息处理方法。为了实现上述目的，根据本申请的另一方面，提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述任意一种消息处理方法。通过本申请，采用以下步骤：对目标交换机的各个端口的会话日志进行采集，其中，目标交换机为多个业务终端设备连接的第一个接入交换机，每个业务终端设备对应连接目标交换机的一个端口；基于各个端口的会话日志，分别判断经本文档来自技高网...

【技术保护点】
1.一种消息处理方法，其特征在于，包括：/n对目标交换机的各个端口的会话日志进行采集，其中，所述目标交换机为多个业务终端设备连接的第一个接入交换机，每个所述业务终端设备对应连接所述目标交换机的一个端口；/n基于所述各个端口的会话日志，分别判断经过所述各个端口的报文是否符合端口对应的行为基线，其中，一条会话至少产生一个报文，所述行为基线用于表征端口连接的所述业务终端收发的报文需要满足的条件；/n在存在目标端口的报文不符合所述目标端口对应的行为基线的情况下，按照第一预设处理规则处理所述目标端口的报文。/n

【技术特征摘要】
1.一种消息处理方法，其特征在于，包括：
对目标交换机的各个端口的会话日志进行采集，其中，所述目标交换机为多个业务终端设备连接的第一个接入交换机，每个所述业务终端设备对应连接所述目标交换机的一个端口；
基于所述各个端口的会话日志，分别判断经过所述各个端口的报文是否符合端口对应的行为基线，其中，一条会话至少产生一个报文，所述行为基线用于表征端口连接的所述业务终端收发的报文需要满足的条件；
在存在目标端口的报文不符合所述目标端口对应的行为基线的情况下，按照第一预设处理规则处理所述目标端口的报文。


2.根据权利要求1所述的方法，其特征在于，在基于所述各个端口的会话日志，分别判断经过所述各个端口的报文是否符合端口对应的行为基线之后，所述方法还包括：
对符合行为基线的报文，按照所述报文对应的转发规则转发所述报文。


3.根据权利要求1所述的方法，其特征在于，在基于所述各个端口的会话日志，分别判断经过所述各个端口的报文是否符合端口对应的行为基线之后，所述方法还包括：
在存在目标端口的报文不符合所述目标端口对应的行为基线的情况下，触发报警信息。


4.根据权利要求1所述的方法，其特征在于，在存在目标端口的报文不符合所述目标端口对应的行为基线的情况下，按照第一预设处理规则处理所述目标端口的报文之后，所述方法还包括：
分析所述目标端口的报文是否为异常报文；
在所述目标端口的报文为异常报文的情况下，按照第二预设处理规则处理所述异常报文。


5.根据权利要求4所述的方法，其特征在于，在基于所述各个端口的会话日志，分别判断经过所述各个端口的报文是否符合端口对应的行为基线之前，所述方法还包括：
在预设时间段内获取所述各个端口的会话日志数据，并分别将所述各个端口的会话日志数据作为所述各个端口对应的训练数据集，其中，所述会话日志数据包括报文信息；
根据所述各个端口对应的训练数据集分别建立所述各个端口对应的行为基线模型，得到多个所述行为基线模型；
获取各个所述行为基线模型的模型数据，得到多组模型数据，其中，每组所述模型数据包括所述行为基线和所述第一预设处理规则，所述行为基线包括预设报文信息；
将所述多组模型数据配置到所述目标交换机的芯片中的匹配表中。


6.根据权利要求5所述的方法，其特征在于，在根据所述各个端口对应的训练数据集分别建立所述各个端口对应的行为基线模型，得到多个所述行为基线模型之前，所述方法还包括：
将所述各个端口产生的所述会话日志数据发送至所述目标交换机以外的建模终端；
在所述建模终端执行建立行为基线模型的步骤。


7.根据权利要求5所述的方法，其特征在于，在分析所述目标端口的报文是否为异常报文之后，所述方法还包括：
在所述目标端口的报文是正常报文的情况下，将所述报文添加至所述目标端...

【专利技术属性】
技术研发人员：贺雪峰，
申请(专利权)人：北京吉安金芯信息技术有限公司，
类型：发明
国别省市：北京;11