CN107800663A - 流量离线文件的检测方法及装置 - Google Patents

流量离线文件的检测方法及装置 Download PDF

Info

Publication number
CN107800663A
CN107800663A CN201610780772.0A CN201610780772A CN107800663A CN 107800663 A CN107800663 A CN 107800663A CN 201610780772 A CN201610780772 A CN 201610780772A CN 107800663 A CN107800663 A CN 107800663A
Authority
CN
China
Prior art keywords
flow
line files
file
network data
sandbox
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610780772.0A
Other languages
English (en)
Other versions
CN107800663B (zh
Inventor
赵炳建
许燕平
黎莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Digital Technologies Suzhou Co Ltd
Original Assignee
Huawei Digital Technologies Suzhou Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Digital Technologies Suzhou Co Ltd filed Critical Huawei Digital Technologies Suzhou Co Ltd
Priority to CN201610780772.0A priority Critical patent/CN107800663B/zh
Publication of CN107800663A publication Critical patent/CN107800663A/zh
Application granted granted Critical
Publication of CN107800663B publication Critical patent/CN107800663B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种流量离线文件的检测方法及装置,属于网络技术领域。该方法包括:沙箱获取目标流量离线文件,该目标流量离线文件为从网络中截获网络数据流后转存得到;该沙箱对该目标流量离线文件进行流量回放,得到目标网络数据流;该沙箱对该目标网络数据流进行流量还原,得到还原文件;该沙箱对该还原文件进行检测,得到该流量离线文件的检测结果。本发明中,沙箱可以直接接收流量离线文件并对其进行检测,而无需与专门的流量回放设备、交换机镜像设备等冗余设备进行组网,也无需对物理组网环境进行维护,从而简化了组网,减少了设备资源,降低了成本。

Description

流量离线文件的检测方法及装置
技术领域
本发明实施例涉及网络技术领域,特别涉及一种流量离线文件的检测方法及装置。
背景技术
流量离线文件是指截获网络传输中的部分数据流,并按照一定的格式进行保存之后生成的文件。目前为了保障内部网络的安全,在内部网络与外网之间经常会设置一些网络安全设备,这些网络安全设备可以提供取证功能,也即是可以截获内部网络与外网传输的一部分网络数据流,并转存为流量离线文件作为证据。对于这些取证得到的流量离线文件,通常还需要进行检测以验证这些流量离线文件是否存在威胁。
现有技术中,通常基于沙箱进行检测,沙箱是一个虚拟系统程序,可以在虚拟环境中运行浏览器或其他程序,且运行所产生的变化可以随后复原,不会对系统产生永久性影响,一般用于检测不受信任的应用程序或上网行为。但是由于沙箱通常只能基于网络数据流来实施检测,而不支持直接对流量离线文件的检测,因此在基于沙箱对流量离线文件进行检测的过程中,通常需要采用物理组网的方式,先将流量离线文件还原为网络数据流,然后再将该网络数据流引入到沙箱内进行检测。例如,首先需要搭建如图1所示的物理组网,该物理组网包括网络安全设备01、流量回放设备02、交换机镜像设备03和沙箱04。具体检测过程中,用户需要手动将网络安全设备01截获的流量离线文件传输至流量回放设备02,并手动控制该流量回放设备02对接收到的流量离线文件进行流量回放,以将该流量离线文件还原为网络数据流,再通过交换机镜像设备03传输该网络数据流;传输过程中,交换机镜像设备03配置有镜像端口,通过该镜像端口可以拷贝其他端口传输的该网络数据流,并将拷贝的该网络数据流发送至沙箱04;沙箱04接收到该网络数据流后,可以对该网络数据流进行流量还原,以将该网络数据流中的文件还原出来,并对还原出来的文件进行检测,从而根据检测结果验证该流量离线文件是否存在威胁。
由于现有技术中采用物理组网方式,因此除了沙箱之外,需要提供专门的流量回放设备、交换机镜像设备等多台冗余设备资源,而且还需要对该物理组网环境进行维护,因此成本较高。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种流量离线文件的检测方法及装置。所述技术方案如下:
第一方面,提供了一种流量离线文件的检测方法,所述方法包括:
所述沙箱获取目标流量离线文件,所述目标流量离线文件为从网络中截获网络数据流后转存得到;
所述沙箱对所述目标流量离线文件进行流量回放,得到目标网络数据流;
所述沙箱对所述目标网络数据流进行流量还原,得到还原文件;
所述沙箱对所述还原文件进行检测,得到所述流量离线文件的检测结果。
其中,该目标流量离线文件为待检测的流量离线文件,本发明实施例中,沙箱可以直接获取目标流量离线文件,并在沙箱内部对该目标流量离线文件进行流量回放,得到目标网络数据流,再对该目标网络数据流进行流量还原,得到还原文件,之后即可对该还原文件进行检测,得到该流量离线文件的检测结果。也即是,该沙箱可以直接接收流量离线文件并对其进行检测,而无需与专门的流量回放设备、交换机镜像设备等冗余设备进行组网,也无需对物理组网环境进行维护,从而简化了组网,减少了设备资源,降低了成本。
结合第一方面,在上述第一方面的第一种可能的实现方式中,所述沙箱对所述目标网络数据流进行流量还原,得到还原文件,包括:
通过自定义虚拟网卡接收并存储所述目标网络数据流,所述自定义虚拟网卡为接收回放的所有网络数据流,且不经过系统协议栈进行存储的网卡;
对所述自定义虚拟网卡存储的所述目标网络数据流进行流量还原,得到所述还原文件。
本发明实施例中,沙箱还安装了自定义虚拟网卡,该自定义虚拟网卡提供有不同于普通网卡的网络数据流接收和存储功能,相对于只能接收与本机的目的地址相同的网络数据流的普通网卡来说,该自定义虚拟网卡可以接收并存储回放的所有网络数据流,以等待沙箱主动读取并还原存储的网络数据流,从而可以实现对现网环境中的所有网络数据流进行流量还原,保证了该沙箱能够接收到完整的网络数据流,且不受物理环境的限制,应用范围广。
结合第一方面,在上述第一方面的第二种可能的实现方式中,所述沙箱获取目标流量离线文件,包括:
获取基于流量离线文件提交入口上传的文件和所述文件的标识;
基于所述文件的标识,判断所述文件是否属于流量离线文件;
当所述文件属于流量离线文件时,将所述文件确定为所述目标流量离线文件。
其中,该文件的标识用于指示该文件的类型,本发明实施例中,在接收到用户提交的文件时,该沙箱可以基于该文件的标识确定该文件的类型,进而判断该文件是否属于流量离线文件,当该文件属于流量离线文件时,说明上传的为要求的流量离线文件格式,此时该沙箱即可将该文件确定为目标流量离线文件,从而可以保证基于该流量离线文件提交入口接收的文件为正确的流量离线文件格式,避免了对非流量离线文件格式的文件进行的不必要处理,提高了准确度和处理效率。
结合第一方面,在上述第一方面的第三种可能的实现方式中,所述基于所述文件的标识,判断所述文件是否属于流量离线文件之后,还包括:
当所述文件不属于流量离线文件时,显示提示信息,所述提示信息用于提示所述文件为错误文件。
本发明实施例中,当该文件不属于流量离线文件时,该沙箱还可以直接报错,以提示上传的文件不是要求的流量离线文件格式,进而可以提醒用户重新上传格式正确的流量离线文件,以便后续对格式正确的流量离线文件进行检测,进一步提高了准确度和处理效率。
结合第一方面,在上述第一方面的第四种可能的实现方式中,所述沙箱获取目标流量离线文件,包括:
接收网络安全设备发送的所述目标流量离线文件,所述目标流量离线文件为所述网络安全设备从网络中截获网络数据流后转存得到。
其中,该网络安全设备为可以在网络传输过程中截取网络数据流,并将该网络数据流转存为流量离线文件的设备。本发明实施例中,该网络安全设备可以将从网络中截取得到流量离线文件自动发送至沙箱,以供沙箱进行检测,也即是,该沙箱可以与网络安全设备进行组网,形成自动化的流量离线文件检测模式,避免了人为干预,提高了检测效率。
结合第一方面,在上述第一方面的第五种可能的实现方式中,所述方法还包括:
在所述沙箱对所述目标网络数据流进行流量还原的过程中,获取所述网络数据流携带的类型信息:
相应地,在所述沙箱对所述目标网络数据流进行流量还原,得到还原文件之后,还包括:
判断所述还原文件的文件类型与所述类型信息所指示的文件类型是否相同;
当所述还原文件的文件类型与所述类型信息所指示的文件类型不同时,按照所述类型信息所指示的文件类型存储所述还原文件。
其中,该类型信息用于指示该网络数据流中携带的文件的类型,本发明实施例中,进行流量还原后,当该还原文件的文件类型与该类型信息所指示的文件类型不同时,表示流量还原后得到的还原文件的格式可能出错,此时可以按照该类型信息所指示的文件类型重新存储该还原文件,以得到正确的文件格式,从而可以进一步提高还原的准确性。
第二方面,提供了一种流量离线文件的检测装置,所述流量离线文件的检测装置具有实现上述第一方面中流量离线文件的检测方法的功能。该流量离线文件的检测装置包括至少一个模块,该至少一个模块用于实现上述第一方面所提供的流量离线文件的检测方法。
第三方面,提供了一种流量离线文件的检测装置,所述流量离线文件的检测装置的结构中包括处理器和存储器,所述存储器用于存储支持流量离线文件的检测装置执行上述流量离线文件的检测方法的程序,以及存储用于实现该流量离线文件的检测所涉及的数据,该数据可以为流量离线文件、还原文件等。所述处理器被配置为用于执行所述存储器中存储的程序。所述流量离线文件的检测装置还可以包括通信总线,该通信总线用于该处理器与存储器之间建立连接。
第四方面,本发明实施例提供了一种计算机存储介质,用于储存上述流量离线文件的检测装置所用的计算机软件指令,或存储用于执行上述第二方面和第三方面的流量离线文件的检测装置所涉及的程序。
上述本发明实施例第二到第四方面所获得的技术效果与第一方面中对应的技术手段获得的技术效果近似,在这里不再赘述。
本发明实施例提供的技术方案带来的有益效果是:
本发明实施例中,沙箱可以获取目标流量离线文件,该目标流量离线文件为从网络中截获网络数据流后转存得到,并对该目标流量离线文件进行流量回放,得到目标网络数据流,再对该目标网络数据流进行流量还原,得到还原文件,从而对该还原文件进行检测,得到该流量离线文件的检测结果。也即是,沙箱可以直接接收流量离线文件并对其进行检测,而无需与专门的流量回放设备、交换机镜像设备等冗余设备进行组网,也无需对物理组网环境进行维护,从而简化了组网,减少了设备资源,降低了成本。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种物理组网的结构示意图;
图2A是本发明实施例提供的一种流量离线文件的检测系统的结构示意图;
图2B是本发明实施例提供的一种流量还原模块223的结构示意图;
图2C是本发明实施例提供的另一种流量还原模块223的结构示意图;
图3A是本发明实施例提供的一种流量离线文件的检测方法流程图;
图3B是本发明实施例提供的一种流量离线文件检测系统的结构示意图;
图4A是本发明实施例提供的一种流量离线文件的检测装置框图;
图4B是本发明实施例提供的一种流量离线文件的检测装置框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
图2A是本发明实施例提供的一种流量离线文件的检测系统的结构示意图,参见图2A,该检测系统包括网络安全设备100和沙箱200,且该网络安全设备100和沙箱200可以通过有线或无线进行连接。
其中,该网络安全设备100能够截获网络中传输的网络数据流并转存生成流量离线文件,该沙箱200能够在虚拟环境中运行浏览器或其他程序,且运行所产生的变化可以随后复原,不会对系统产生永久性影响,一般用于检测不受信任的应用程序或上网行为。而且需要说明的是,不同于现有只能基于网络数据流进行检测的沙箱,该沙箱200还可以直接接收网络安全设备100发送的流量离线文件,并对该流量离线文件进行检测。
具体地,参见图2,该沙箱200可以包括通信总线210、存储器220、发射机230、接收机240和处理器250,且存储器220、发射机230、接收机240和处理器250可以通过通信总线210互通。
其中,发射机230和接收机240用于与指定网络设备通信,如该沙箱200可以通过接收机240与网络安全设备100进行通信,接收网络安全设备100发送的流量离线文件;
存储器220,用于存储程序;
处理器250,用于调用存储器220中存储的程序,实现下述方法步骤:
获取目标流量离线文件,该目标流量离线文件为从网络中截获网络数据流后转存得到;
对该目标流量离线文件进行流量回放,得到目标网络数据流;
对该目标网络数据流进行流量还原,得到还原文件;
对该还原文件进行检测,得到该流量离线文件的检测结果。
进一步地,在一个具体实施例中,参见图2A,该存储器220可以包括获取模块221、流量回放模块222、流量还原模块223和检测模块224,该获取模块221可以存储用于获取目标流量离线文件的程序,该流量回放模块222可以存储用于对该目标流量离线文件进行流量回放,得到目标网络数据流的程序,该流量还原模块223可以存储用于对该目标网络数据流进行流量还原,得到还原文件的程序,该检测模块224可以存储用于对该还原文件进行检测,得到该流量离线文件的检测结果的程序。因此,该处理器250可以调用存储器220中相关模块存储的程序,以实现上述方法步骤。
在另一个实施例中,处理器250还可以用于调用存储器220中存储的程序,实现下述方法步骤:
通过自定义虚拟网卡接收并存储所述目标网络数据流,所述自定义虚拟网卡为接收回放的所有网络数据流,且不经过系统协议栈进行存储的网卡;
对所述自定义虚拟网卡存储的所述目标网络数据流进行流量还原,得到所述还原文件。
在一个具体实施例中,基于图2A中的流量还原模块223,参见图2B,该流量还原模块223还可以包括接收和存储单元2231、还原单元2232,且该接收和存储单元2231可以存储用于通过自定义虚拟网卡接收并存储所述目标网络数据流的程序,还原单元2232可以存储用于对所述自定义虚拟网卡存储的所述目标网络数据流进行流量还原,得到所述还原文件的程序。因此,该处理器250可以调用存储器220的流量还原模块223中相关单元存储的程序,以实现上述方法步骤。
需要说明的是,图2A和图2B仅以上述获取模块221、流量回放模块222、流量还原模块223和检测模块224等以软件形式存储于该沙箱的存储器中,以便于处理器调用执行以上各个模块对应的操作为例进行说明,而在其它实施例中,以上各个模块还可以以硬件形式内嵌于或独立于该沙箱的处理器中,或者以上各个模块以软件和硬件相结合的方式配合实现上述方法步骤,本发明实施例对此不做限定。
例如,在一个具体实施例中,参加图2C,该流量还原模块223包括用于接收网络数据流的内核态21,以及进行流量还原的用户态22,且内核态21与用户态22相互连接,用户态22可以访问内核态21,以请求网络数据流并进行流量还原。其中,内核态21可以为后台运行状态,用户态22可以为前台运行状态。而且,参加图2C,内核态21包括自定义虚拟网卡2233和存储单元2234,用户态22包括还原单元2235,运行过程中,内核态21中的自定义虚拟网卡2233可以接收回放处理得到的所有网络数据流,并可以绕过系统协议栈直接将接收到的网络数据流存储在存储单元2234中;用户态22中的还原单元2235则可以访问该自定义虚拟网卡2233,以通过该自定义虚拟网卡2233读取存储单元2234中存储的网络数据流,并将读取得到的网络数据流进行流量还原,从而得到还原文件。
需要说明的是,不同于实体的物理网卡,该自定义虚拟网卡2233以软件形式存在,而该流量还原模块223及其中的存储单元2234和还原单元2235可以以软件形式存在,也可以以硬件形式存在,本发明实施例对此不做限定。
另外,上述处理器250可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。这些指令可以通过其中的处理器以配合实现及控制。上述处理器还可以是通用处理器、数字信号处理器(英文:digital signal processor,简称:DSP)、专用集成电路(英文:application-specific integrated circuit,简称:ASIC)、现成可编程门阵列(英文:field programmable gate array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
上述通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器,解码器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。
可选地,发射机230和接收机240可以为单独的两个硬件,也可以作为一个整体集成在该沙箱200中,如该发射机230和接收机240可以集成为一个收发机。
另外,该沙箱200还可以包括通信接口,用于支持该沙箱200与该检测系统中的网络安全设备100的通信。通信总线210除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明,在图2中将各种总线都标为通信总线210。
需要说明的是,本发明实施例中,仅以该沙箱200与网络安全设备组成一个检测系统,并接收网络安全设备发送的流量离线文件为例进行说明,而在另一实施例中,该沙箱200还可以独立运行,并获取用户上传的流量离线。
综上所述,现有沙箱只能接收网络数据流,且仅包括对网络数据流进行还原的流量还原模块和对还原文件进行检测的检测模块,而本发明实施例中,该沙箱200在现有沙箱的基础上,增加了能够直接获取流量离线文件的获取模块221以及对流量离线文件进行流量回放的流量回放模块222,且各个模块之间可以组成一套整体的集成于沙箱本身的虚拟化测试系统,从而保证该沙箱200可以在不与其他冗余设备进行组网的前提下,即可直接支持流量离线文件的检测,增加了沙箱可以检测的文件类型。而且,不同于现有沙箱中的流量还原模块,该沙箱200中的流量还原模块223还包括接收和存储单元,可以通过自定义虚拟网卡接收并存储流量回放模块222回放的所有网络数据流。
图3A是本发明实施例提供的一种流量离线文件的检测方法流程图,该方法的执行主体为沙箱,参见图3A,该方法包括:
步骤301:沙箱获取目标流量离线文件,该目标流量离线文件为从网络中截获网络数据流后转存得到。
考虑到采用物理组网的方式对流量离线文件进行检测时,需要提供多台冗余设备资源,且需要维护复杂的组网环境,成本较高,为此,本发明实施例提供了一种应用于沙箱的流量离线文件的检测方法,用以实现在不进行任何冗余组网的前提下,使得沙箱设备可以直接支持流量离线文件的检测,也即是,只需将目标流量离线文件发送至沙箱,该沙箱自身即可获取该目标流量离线文件,并实现对该目标流量离线文件的检测。
其中,该目标流量离线文件为待检测的流量离线文件,而流量离线文件为将网络传输过程中发送或接收的网络数据流进行截获后,按照一定的格式保存后生成的文件,具体可以为pcap文件(一种流量离线文件),cap(一种流量离线文件)文件等,当然也可以为其他格式的流量离线文件,本发明实施例对此不做限定。
其中,该目标流量离线文件可以为用户通过沙箱上传的流量离线文件,也可以为网络安全设备发送的流量离线文件,当然也可以为通过其他方式获取的流量离线文件等,本发明实施例对此不做限定。
具体地,获取目标流量离线文件的实现方式可以包括以下几种:
第一种方式:获取基于流量离线文件提交入口上传的目标流量离线文件。
本发明实施例中,该沙箱可以提供一个流量离线文件提交入口,用户可以通过该流量离线文件提交入口上传流量离线文件,也就是说,该沙箱可以不受物理环境的影响,可以对任意上传的流量离线文件进行检测,提高了灵活性。
例如,当东区机房内没有沙箱设备而西区机房有沙箱设备时,用户可以将东区机房内截获的流量离线文件上传至西区的沙箱设备进行检测,避免了必须在东区机房内搭建包括沙箱设备在内的物理组网,大大降低了人力和物力成本,操作更为简便。
进一步地,该沙箱获取到基于该流量离线文件提交入口上传的目标流量离线文件之后,还可以将该目标流量离线文件存储在本地,例如存储在本地的缓存文件夹,以便后续对该目标流量离线文件进行检测。
进一步地,为了保证基于该流量离线文件提交入口上传的文件为正确的流量离线文件格式,该沙箱还可以获取基于流量离线文件提交入口上传的文件和该文件的标识;基于该文件的标识,判断该文件是否属于流量离线文件;当该文件属于流量离线文件时,将该文件确定为该目标流量离线文件。
其中,该文件的标识用于指示该文件的类型,具体可以为该文件的后缀名,或者为该文件中用于指示该文件类型的ASCII(American Standard Code for InformationInterchange,美国信息互换标准代码)码等,当然也可以为其他可以指示该文件类型的标识信息,本发明实施例对此不做限定。
该沙箱可以基于该文件的标识,确定该文件的类型,进而判断该文件是否属于流量离线文件,当该文件属于流量离线文件时,说明上传的为要求的流量离线文件格式,此时该沙箱即可将该文件确定为目标流量离线文件,并对该目标流量离线文件进行存储。
另外,当该文件不属于流量离线文件时,该沙箱还可以直接报错,以提示上传的文件不是要求的流量离线文件格式。例如,当该文件不属于流量离线文件时,该沙箱可以显示提示信息,该提示信息用于提示该文件为错误文件。当然该沙箱也可以通过其他方式进行报错,本发明实施例对此不做限定。
第二种方式:接收网络安全设备发送的该目标流量离线文件,该目标流量离线文件为该网络安全设备从网络中截获网络数据流后转存得到。
其中,该网络安全设备为可以在网络传输过程中截取网络数据流,并将该网络数据流转存为流量离线文件的设备,具体可以为流量监测设备、防火墙设备等,本发明实施例对此不做限定。
例如,图3B是本发明实施例提供的一种流量离线文件检测系统的结构示意图,参见图3B,该检测系统包括安全设备11和沙箱12,该安全设备11可以将从网络中截取得到的流量离线文件自动发送至沙箱12,以供沙箱12进行检测。
需要说明的是,该网络安全设备的截取动作可以由该网络安全设备自动触发,也可以由用户触发,本发明实施例对此不做限定。例如,用户可以设置该网络安全设备的截取周期,使得该网络安全设备周期性地截取网络数据流并转存为流量离线文件。
再例如,该网络安全设备可以在识别到异常流量后触发截取动作,将截取下来的网络数据流转存为流量离线文件作为证据。其中,该网络安全设备可以在接收到异常地址发送的文件时确认识别到异常流量,或者在接收到威胁文件后确认识别到异常流量,本发明实施例对异常流量的识别方式不做限定。由于是在识别到异常流量后再执行截取动作,所以无法确认截取下来的网络数据流是否包含了威胁流量,因此可以自动将截取得到的流量离线文件发送至沙箱进行二次检查,来验证该流量离线文件是否存在威胁。
本发明实施例中,该沙箱可以与网络安全设备进行组网,形成自动化的流量离线文件检测模式,避免了人为干预,提高了检测效率。
步骤302:该沙箱对该目标流量离线文件进行流量回放,得到目标网络数据流。
其中,该沙箱可以通过指定流量回放工具对该目标流量离线文件进行流量回放,该指定流量回放工具可以为tcpreplay(Lniux系统下的一个流量回放工具),当然也可以为其它流量回放工具,本发明实施例对此不做限定。
其中,对该目标流量离线文件进行流量回放,也即是在不对该目标流量离线文件中携带的网络数据流进行任何修改的基础上,将该目标流量离线文件还原成目标网络数据流。该目标网络数据流可以包括多个数据包,流量回放即可实现对该多个数据包逐包进行发送。
该沙箱获取到目标流量离线文件后,可以自动通过该指定流量回放工具对该目标流量离线文件进行流量回放,以便将该目标流量离线文件还原成目标网络数据流,并将该网络数据流回放至沙箱中进行检测。
其中,该沙箱的回放处理动作可以由该沙箱自动触发,也可以由用户触发,本发明实施例对此不做限定。例如,该沙箱可以在检测到目标流量离线文件时,自动触发回放处理动作;或者,该沙箱也可以在检测到目标流量离线文件时,先显示提示消息,该提示消息用于提示用户确认是否对该目标流量离线文件进行流量回放,以便对该目标流量离线文件进行检测,当基于该提示消息检测到确认指令时,再触发回放处理动作。
在一个具体实施例中,当该沙箱接收到流量离线文件后,可以将流量离线文件存储在本地的缓存文件夹时,且该沙箱可以监控该缓存文件夹,当确定该缓存文件夹中存在流量离线文件时,即可将该流量离线文件确定为目标流量离线文件,并自动使用该指定流量回放工具对该目标流量离线文件进行流量回放。
步骤303:对该目标网络数据流进行流量还原,得到还原文件。
其中,对该目标网络数据流进行流量还原,也即是将程序无法直接处理的网络流量,转化为可以直接处理的文件格式,如图片、pdf、office、web页面等文件格式。
其中,流量还原的过程中,可以按照TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/因特网互联协议)协议,对该目标网络数据流进行解析、解码等还原处理,从而得到还原文件。
另外,由于目标网络数据流中通常包括多个数据包,且数椐包之间往往具有固定的传输序列,因此为了得到正确地还原文件,在流量还原过程中,还需对网络数据流中的数据包进行保序操作,以按照固定的传输序列逐包进行解析、解码等还原处理,从而实现将网络数据流中携带的文件按照正确的文件格式还原出来,得到还原文件。
在另一个实施例中,在沙箱对目标网络数据流进行流量还原,得到还原文件的过程中,该沙箱还可以通过自定义虚拟网卡接收并存储该目标网络数据流,该自定义虚拟网卡为接收回放的所有网络数据流,且不经过系统协议栈进行存储的网卡;对该自定义虚拟网卡存储的该目标网络数据流进行流量还原,得到该还原文件。
其中,在对存储的该目标网络数据流进行流量还原的过程中,该沙箱还可以先读取该自定义虚拟网卡存储的目标网络数据流,以从该自定义虚拟网卡的存储队列中获取该目标网络数据流,并进行流量还原。具体地,该沙箱可以通过调用该自定义虚拟网卡的读取接口来进行读取。
本发明实施例中,该沙箱安装有自定义虚拟网卡,该指定回放工具进行流量回放后,流量回放的目的网卡即为该沙箱预先安装的自定义虚拟网卡。该自定义虚拟网卡可以接收该指定回放工具回放的目标网络数据流,并存储该目标网络数据流,以便后续过程中通过该自定义虚拟网卡读取该目标网络数据流,并对其进行流量还原。
需要说明的是,该自定义虚拟网卡提供有不同于普通网卡的网络数据流接收和读取功能,即该自定义虚拟网卡可以接收并存储所有网络数据流,并提供读取功能等待沙箱主动读取存储的网络数据流,以便进行流量还原。
其中,该自定义虚拟网卡可以将接收到的网络数据流存储在本地内存中,当然也可以存储在其它存储模块,本发明实施例对此不做限定。
具体地,普通网卡只能接收与本机的目的地址相同的网络数据流,这样该沙箱也就只能对与本机交互的网络数据流进行流量还原,而不能处理网络传输的所有网络数据流,应用范围受限。而本发明实施例中的自定义虚拟网卡,通过对该自定义虚拟网卡进行逻辑处理,可以接收任何目的地址的网络数据流,从而可以接收该指定流量回放工具回放的所有网络数据流以供流量还原,进而保证了该沙箱能够接收到完整的网络数据流进行流量还原。
另外,普通网卡接收到网络数据流后,需要将接收到的网络数据流上报至系统协议栈进行读取处理,当经过该系统协议栈确定该网络数据流的地址为本机的目的地址时,才会将该网络数据流送至流量还原处理,这样该沙箱只能接收目的地址为本机的网络数据流,而无法读取网络传输的所有网络数据流。而本发明实施例中,网络数据流的读取可以不经过系统协议栈,也即是,该自定义虚拟网卡接收到目标网络数据流后,可以不将该目标网络数据流上送至系统协议栈,而是直接将该目标网络数据流存储在本地,后续过程中,该沙箱可以通过该自定义虚拟网卡读取该目标网络数据流,以便进行流量还原。
通俗来讲,本发明实施例中,该自定义虚拟网卡相同于一个接收模块,可以接收该指定流量回放工具回放的所有网络数据流,并可以将接收到的网络数据流存储在本地。
需要说明的是,由于需要沙箱检测和验证的为不经过任何修改的原始网络数据流,因此,该自定义虚拟网卡可以在不对该目标网络数据流进行修改的情况下进行转发。
步骤304:对该还原文件进行检测,得到该流量离线文件的检测结果。
其中,在对该还原文件进行检测的过程中,可以检测该还原文件是否存在威胁,例如可以检测该还原文件是否存在木马、漏洞、病毒等,当然也可以对其它威胁因素进行检测,本发明实施例对此不做限定。
具体检测该还原文件是否存在威胁时,该沙箱可以基于该还原文件的类型对该还原文件进行分析,分析该还原文件中是否存在恶意代码,并根据该恶意代码确定该还原文件中存在的威胁因素。进一步地,该沙箱还可以在虚拟环境中运行该还原文件,并监测该还原文件在运行过程中的具体行为,从而按照该具体行为分析该还原文件是否存在威胁,以及存在的威胁因素、威胁等级等。例如,当监测到该还原文件在运行过程中访问非法网站的行为时,可以确定该还原文件存在威胁。
通过对该还原文件进行检测,即可得到该流量离线文件的检测结果,判断该流量离线文件是否存在威胁,进而可以验证所截获的网络数据流中是否存在威胁。
进一步地,得到该流量离线文件的检测结果之后,该沙箱还可以对该检测结果进行显示,或者将检测结果上报至服务器等,本发明实施例对此也不做限定。
进一步地,为了保证还原文件的准确性,在对该目标网络数据流进行流量还原的过程中,该沙箱还可以获取该网络数据流携带的类型信息,并在对该目标网络数据流进行流量还原,得到还原文件之后,判断该还原文件的文件类型与该类型信息所指示的文件类型是否相同;当该还原文件的文件类型与该类型信息所指示的文件类型不同时,按照该类型信息所指示的文件类型存储该还原文件。
其中,该类型信息用于指示该网络数据流中携带的文件的类型,如pdf、word、图片等类型,进行流量还原后,当该还原文件的文件类型与该类型信息所指示的文件类型不同时,表示流量还原后得到的还原文件的格式可能出错,此时可以按照该类型信息所指示的文件类型重新存储该还原文件,以得到正确的文件格式,如此可以进一步提高还原的准确性。
在另一个实施例中,为了保证该沙箱能够优先对流量离线文件进行检测,该沙箱可以为运行的各种任务分别设置优先级,并为上述步骤301-304所执行的流量离线文件的检测任务设置较高的优先级,该优先级用于指示任务的优先处理顺序,且优先级越高,优先处理顺序越靠前。例如,可将该流量离线文件的检测任务的优先级设置为5,而将其他任务的优先级设置为4等。
由于为该流量离线文件的检测任务设置了较高的优先级,因此,该沙箱即可优先处理该检测任务,从而可以将该检测任务中的网络数据流与该沙箱运行的其它任务流量进行区分,实现优先处理该检测任务中网络数据流,而不受沙箱性能阈值的影响。
在另一个实施例中,为了保证该检测任务中流量离线文件和网络数据流的可识别性,该沙箱还可以在执行该检测任务的过程中,为任务中的流量离线文件和网络数据流设置特定的标识。例如,该沙箱可以在获取目标流量离线文件的过程中,为该目标流量离线文件设置指定文件标识,该指定文件标识用于指示该目标流量离线文件为该检测任务中的流量离线文件;或者在对目标流量离线文件进行流量回放的过程中,为回放得到的网络数据流设置指定流量标识,该流量标识用于指示该网络数据流为对目标流量离线文件进行流量回放后得到的网络数据流。
通过设置特定的标识,该沙箱可以在现网环境中根据该指定文件标识和该指定流量标识精确地定位对流量离线文件的检测行为,实现流量离线文件和网络数据流的可辨识。
综上所述,本发明实施例中,沙箱可以获取目标流量离线文件,该目标流量离线文件为从网络中截获网络数据流后转存得到,并通过指定流量回放工具对该目标流量离线文件进行流量回放,得到目标网络数据流,再对该目标网络数据流进行流量还原,得到还原文件,从而对该还原文件进行检测,得到该流量离线文件的检测结果。也即是,沙箱可以直接接收流量离线文件并对其进行检测,而无需与专门的流量回放设备、交换机镜像设备等冗余设备进行组网,也无需对物理组网环境进行维护,从而简化了组网,减少了设备资源,降低了成本。
图4A是本发明实施例提供的一种流量离线文件的检测装置框图,该装置可以是图2A中所示的沙箱以及上述各方法实施例提到的沙箱。参见图4,该装置包括:第一获取模块401、流量回放模块402、流量还原模块403和检测模块404。
其中,第一获取模块401用于执行图3A所示方法实施例中的步骤301;流量回放模块402用于执行图3A所示方法实施例中的步骤302;流量还原模块403可以执行图3A所示方法实施例中的步骤303;检测模块404用于执行图3A所示方法实施例中的步骤304。
可选地,该流量还原模块402包括:
接收和存储单元,用于通过自定义虚拟网卡接收并存储该目标网络数据流,该自定义虚拟网卡为接收回放的所有网络数据流,且不经过系统协议栈进行存储的网卡;
还原单元,用于对该自定义虚拟网卡存储的该目标网络数据流进行流量还原,得到该还原文件。
可选地,该第一获取模块401包括:
获取单元,用于获取基于流量离线文件提交入口上传的文件和该文件的标识:
判断单元,用于基于该文件的标识,判断该文件是否属于流量离线文件;
确定单元,用于当该文件属于流量离线文件时,将该文件确定为该目标流量离线文件。
可选地,该第一获取模块401还包括提示单元,用于当该文件不属于流量离线文件时,显示提示信息,该提示信息用于提示该文件为错误文件。
可选地,该第一获取模块401包括接收单元,用于执行上述步骤301中的第二种方式。
可选地,参见图4B,该装置还包括:
第二获取模块405,用于在对该目标网络数据流进行流量还原的过程中,获取该网络数据流携带的类型信息;
判断模块406,用于判断该流量还原模块403得到的还原文件的文件类型与该第二获取模块405获取的类型信息所指示的文件类型是否相同;
存储模块407,用于当通过判断模块406确定该还原文件的文件类型与该类型信息所指示的文件类型不同时,按照该类型信息所指示的文件类型存储该还原文件。
本发明实施例中,该流量离线文件的检测装置可以获取目标流量离线文件,该目标流量离线文件为从网络中截获网络数据流后转存得到,并对该目标流量离线文件进行流量回放,得到目标网络数据流,再对该目标网络数据流进行流量还原,得到还原文件,从而对该还原文件进行检测,得到该流量离线文件的检测结果。也即是,该检测装置可以直接接收流量离线文件并对其进行检测,而无需与专门的流量回放设备、交换机镜像设备等冗余设备进行组网,也无需对物理组网环境进行维护,从而简化了组网,减少了设备资源,降低了成本。
以上接收单元可以为发射机或接收机,且该接收单元可以集成在一个收发模块中,对应于硬件实现为收发机。以上第一获取模块401、流量回放模块402、流量还原模块403、检测模块404等可以以硬件形式内嵌于或独立于该流量离线文件的检测装置的处理器中,也可以以软件形式存储于该流量离线文件的检测装置的存储器中,以便于处理器调用执行以上各个模块对应的操作。该处理器可以为中央处理单元(CPU)、微处理器、单片机等。
需要说明的是:上述实施例提供的流量离线文件的检测装置在实现流量离线文件的检测方法时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的流量离线文件的检测装置与流量离线文件的检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (12)

1.一种流量离线文件的检测方法,其特征在于,所述方法包括:
沙箱获取目标流量离线文件,所述目标流量离线文件为从网络中截获网络数据流后转存得到;
所述沙箱对所述目标流量离线文件进行流量回放,得到目标网络数据流;
所述沙箱对所述目标网络数据流进行流量还原,得到还原文件;
所述沙箱对所述还原文件进行检测,得到所述流量离线文件的检测结果。
2.如权利要求1所述的方法,其特征在于,所述沙箱对所述目标网络数据流进行流量还原,得到还原文件,包括:
通过自定义虚拟网卡接收并存储所述目标网络数据流,所述自定义虚拟网卡为接收回放的所有网络数据流,且不经过系统协议栈进行存储的网卡;
对所述自定义虚拟网卡存储的所述目标网络数据流进行流量还原,得到所述还原文件。
3.如权利要求1或2所述的方法,其特征在于,所述沙箱获取目标流量离线文件,包括:
获取基于流量离线文件提交入口上传的文件和所述文件的标识;
基于所述文件的标识,判断所述文件是否属于流量离线文件;
当所述文件属于流量离线文件时,将所述文件确定为所述目标流量离线文件。
4.如权利要求3所述的方法,其特征在于,所述基于所述文件的标识,判断所述文件是否属于流量离线文件之后,还包括:
当所述文件不属于流量离线文件时,显示提示信息,所述提示信息用于提示所述文件为错误文件。
5.如权利要求1或2所述的方法,其特征在于,所述沙箱获取目标流量离线文件,包括:
接收网络安全设备发送的所述目标流量离线文件,所述目标流量离线文件为所述网络安全设备从网络中截获网络数据流后转存得到。
6.如权利要求1-5所述的方法,其特征在于,所述方法还包括:
在所述沙箱对所述目标网络数据流进行流量还原的过程中,获取所述网络数据流携带的类型信息;
相应地,在所述沙箱对所述目标网络数据流进行流量还原,得到还原文件之后,还包括:
判断所述还原文件的文件类型与所述类型信息所指示的文件类型是否相同;
当所述还原文件的文件类型与所述类型信息所指示的文件类型不同时,按照所述类型信息所指示的文件类型存储所述还原文件。
7.一种流量离线文件的检测装置,其特征在于,所述装置包括:
第一获取模块,用于获取目标流量离线文件,所述目标流量离线文件为从网络中截获网络数据流后转存得到;
流量回放模块,用于对所述目标流量离线文件进行流量回放,得到目标网络数据流;
流量还原模块,用于对所述目标网络数据流进行流量还原,得到还原文件;
检测模块,用于对所述还原文件进行检测,得到所述流量离线文件的检测结果。
8.如权利要求7所述的装置,其特征在于,所述流量还原模块包括:
接收和存储单元,用于通过自定义虚拟网卡接收并存储所述目标网络数据流,所述自定义虚拟网卡为接收回放的所有网络数据流,且不经过系统协议栈进行存储的网卡;
还原单元,用于对所述自定义虚拟网卡存储的所述目标网络数据流进行流量还原,得到所述还原文件。
9.如权利要求7或8所述的装置,其特征在于,所述第一获取模块包括:
获取单元,用于获取基于流量离线文件提交入口上传的文件和所述文件的标识;
判断单元,用于基于所述文件的标识,判断所述文件是否属于流量离线文件;
确定单元,用于当所述文件属于流量离线文件时,将所述文件确定为所述目标流量离线文件。
10.如权利要求9所述的装置,其特征在于,所述第一获取模块还包括:
提示单元,用于当所述文件不属于流量离线文件时,显示提示信息,所述提示信息用于提示所述文件为错误文件。
11.如权利要求7或8所述的装置,其特征在于,所述第一获取模块包括:
接收单元,用于接收网络安全设备发送的所述目标流量离线文件,所述目标流量离线文件为所述网络安全设备从网络中截获网络数据流后转存得到。
12.如权利要求7-11所述的装置,其特征在于,所述装置还包括:
第二获取模块,用于在对所述目标网络数据流进行流量还原的过程中,获取所述网络数据流携带的类型信息;
判断模块,用于判断所述还原文件的文件类型与所述类型信息所指示的文件类型是否相同;
存储模块,用于当所述还原文件的文件类型与所述类型信息所指示的文件类型不同时,按照所述类型信息所指示的文件类型存储所述还原文件。
CN201610780772.0A 2016-08-31 2016-08-31 流量离线文件的检测方法及装置 Active CN107800663B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610780772.0A CN107800663B (zh) 2016-08-31 2016-08-31 流量离线文件的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610780772.0A CN107800663B (zh) 2016-08-31 2016-08-31 流量离线文件的检测方法及装置

Publications (2)

Publication Number Publication Date
CN107800663A true CN107800663A (zh) 2018-03-13
CN107800663B CN107800663B (zh) 2020-04-28

Family

ID=61528512

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610780772.0A Active CN107800663B (zh) 2016-08-31 2016-08-31 流量离线文件的检测方法及装置

Country Status (1)

Country Link
CN (1) CN107800663B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108566301A (zh) * 2018-04-23 2018-09-21 广州供电局有限公司 交换机离线配置方法、装置、系统及计算机设备
CN110138590A (zh) * 2019-04-09 2019-08-16 上海交通大学 一种通用的tcp性能诊断方法及装置
CN111371818A (zh) * 2018-12-25 2020-07-03 阿里巴巴集团控股有限公司 一种数据请求的验证方法、装置及设备
CN113676363A (zh) * 2021-10-22 2021-11-19 南京赛宁信息技术有限公司 一种网络靶场流量生成系统及方法
CN113872936A (zh) * 2021-08-26 2021-12-31 上海宝康电子控制工程有限公司 一种流模式网络安全检测方法及系统
CN113992443A (zh) * 2021-12-28 2022-01-28 北京微步在线科技有限公司 一种云沙箱流量处理方法及装置
CN114095412A (zh) * 2021-11-19 2022-02-25 北京天融信网络安全技术有限公司 一种安全设备测试方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101465770A (zh) * 2009-01-06 2009-06-24 北京航空航天大学 入侵检测系统部署方法
CN103607452A (zh) * 2013-11-19 2014-02-26 北京云巢动脉科技有限公司 虚拟机终端数据的获取方法、装置及系统
US9317682B1 (en) * 2012-12-07 2016-04-19 Hrl Laboratories, Llc Library-based method for information flow integrity enforcement and robust information flow policy development
CN105868056A (zh) * 2016-04-07 2016-08-17 北京北信源软件股份有限公司 获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101465770A (zh) * 2009-01-06 2009-06-24 北京航空航天大学 入侵检测系统部署方法
US9317682B1 (en) * 2012-12-07 2016-04-19 Hrl Laboratories, Llc Library-based method for information flow integrity enforcement and robust information flow policy development
CN103607452A (zh) * 2013-11-19 2014-02-26 北京云巢动脉科技有限公司 虚拟机终端数据的获取方法、装置及系统
CN105868056A (zh) * 2016-04-07 2016-08-17 北京北信源软件股份有限公司 获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李建彬: ""基于流量的木马检测技术"", 《中国优秀硕士学位论文全文数据库(电子期刊)》 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108566301A (zh) * 2018-04-23 2018-09-21 广州供电局有限公司 交换机离线配置方法、装置、系统及计算机设备
CN108566301B (zh) * 2018-04-23 2024-04-16 广东电网有限责任公司广州供电局 交换机离线配置方法、装置、系统及计算机设备
CN111371818A (zh) * 2018-12-25 2020-07-03 阿里巴巴集团控股有限公司 一种数据请求的验证方法、装置及设备
CN111371818B (zh) * 2018-12-25 2022-05-24 阿里巴巴集团控股有限公司 一种数据请求的验证方法、装置及设备
CN110138590A (zh) * 2019-04-09 2019-08-16 上海交通大学 一种通用的tcp性能诊断方法及装置
CN113872936A (zh) * 2021-08-26 2021-12-31 上海宝康电子控制工程有限公司 一种流模式网络安全检测方法及系统
CN113676363A (zh) * 2021-10-22 2021-11-19 南京赛宁信息技术有限公司 一种网络靶场流量生成系统及方法
CN113676363B (zh) * 2021-10-22 2022-02-18 南京赛宁信息技术有限公司 一种网络靶场流量生成系统及方法
CN114095412A (zh) * 2021-11-19 2022-02-25 北京天融信网络安全技术有限公司 一种安全设备测试方法、装置、电子设备及存储介质
CN113992443A (zh) * 2021-12-28 2022-01-28 北京微步在线科技有限公司 一种云沙箱流量处理方法及装置
CN113992443B (zh) * 2021-12-28 2022-04-12 北京微步在线科技有限公司 一种云沙箱流量处理方法及装置

Also Published As

Publication number Publication date
CN107800663B (zh) 2020-04-28

Similar Documents

Publication Publication Date Title
CN107800663A (zh) 流量离线文件的检测方法及装置
US9537897B2 (en) Method and apparatus for providing analysis service based on behavior in mobile network environment
US6944796B2 (en) Method and system to implement a system event log for system manageability
CN103138988B (zh) 网络故障的定位处理方法及装置
CN108363662A (zh) 一种应用程序测试方法、存储介质及终端设备
CN101163051A (zh) 网卡传输速度测试系统及方法
CN104021069A (zh) 基于分布式虚拟机系统的软件性能测试的管理方法和系统
US7171464B1 (en) Method of tracing data traffic on a network
CN102387045A (zh) 嵌入式p2p流量监控系统及方法
CN110958215A (zh) 安全的在线接收的网络分组处理
CN110290154A (zh) 一种非法外联检测设备、方法与存储介质
CN107454072B (zh) 一种多路数据内容的对比方法及装置
CN110086811A (zh) 一种恶意脚本检测方法及相关装置
CN102075389A (zh) 一种调试方法和设备
CN102882748A (zh) 网络接入检测系统和网络接入检测方法
CN113946451A (zh) 一种微服务调用方法、装置、系统及计算机设备
CN114363053A (zh) 一种攻击识别方法、装置及相关设备
WO2021134418A1 (zh) 一种数据校验方法及装置
CN112422486A (zh) 一种基于sdk的安全防护方法及设备
CN110351275A (zh) 一种主机端口流量监控方法、系统、装置和存储设备
JP7383053B2 (ja) バス監視方法、記憶媒体及び電子装置
CN110995538B (zh) 网络数据采集方法、装置、系统、设备及存储介质
US20140067900A1 (en) Stream processing device, server, and stream processing method
CN106658589A (zh) 一种检测软件的运行流量的方法及装置
CN113472878B (zh) 利用浏览器插件实现vnc中文件拖拽传输的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant