CN107959678A - 一种网络数据包的分析系统和分析方法 - Google Patents
一种网络数据包的分析系统和分析方法 Download PDFInfo
- Publication number
- CN107959678A CN107959678A CN201711214998.5A CN201711214998A CN107959678A CN 107959678 A CN107959678 A CN 107959678A CN 201711214998 A CN201711214998 A CN 201711214998A CN 107959678 A CN107959678 A CN 107959678A
- Authority
- CN
- China
- Prior art keywords
- identified
- data packet
- data
- packet
- application layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络数据包的分析系统和分析方法,所述分析系统包括,待识别数据包抓取单元,用于通过Libpcao抓取待识别数据包;数据信息获取单元,用于通过分析获取所述待识别数据包的数据信息;待识别数据包判断单元,用于根据识别的数据信息判断所述待识别数据包与预设的应用层协议链接的关系,并根据所述关系判断所述待识别数据包是否属于正常数据包。本发明可以使电力系统根据数据包了解各种接口的调用关系,进而获取电力系统的网络安全状况。
Description
技术领域
本发明涉及一种网络数据包的分析系统和分析方法,属于网络数据监控技术领域。
背景技术
电力系统中通常包括多个业务应用系统,各业务应用系统之间通过发送数据包来传递信息,数据包中包含多种网络信息,是分析网络状况的有效资源,但现有技术并未对数据包进行分析,无法了解网络的状况。
发明内容
本发明所要解决的技术问题是克服现有技术的缺陷,提供一种网络数据包的分析系统和分析方法,使得电力系统可以根据数据包了解各种接口的调用关系,进而获取电力系统的网络安全状况。
为解决上述技术问题,本发明提供一种网络数据包的分析系统,包括:
待识别数据包抓取单元,用于通过Libpcao抓取待识别数据包;
数据信息获取单元,用于通过分析获取所述待识别数据包的数据信息;
待识别数据包判断单元,用于根据识别的数据信息判断所述待识别数据包与预设的应用层协议链接的关系,并根据所述关系判断所述待识别数据包是否属于正常数据包。
前述的Libpcao是unix平台/linux平台下的网络数据包捕获函数。
前述的应用层协议是承载在TCP协议或UDP协议之上的协议,TCP协议或UDP协议的负载即为应用层协议分析的对象。
前述的待识别数据包抓取单元,数据信息获取单元和待识别数据包判断单元的实现通过程序来指令相关的硬件来完成。
前述的程序存储于计算机的可读取存储介质中,所述存储介质包括ROM/RAM、磁盘和光盘。
网络数据包的分析方法,包括以下步骤:
1)待识别数据包抓取单元利用Libpcao抓取待识别数据包;
2)数据信息获取单元通过分析获取所述待识别数据包的数据信息;
3)待识别数据包判断单元根据识别出的数据信息判断待识别数据包与预设的应用层协议链接的关系,并根据所述关系判断待识别数据包是否属于正常数据。
前述的步骤2)中,获取待识别数据包的数据信息的具体过程如下:
2-1)根据基本协议的协议结构,生成协议脚本;
2-2)根据协议脚本生成语句表和逻辑树;
2-3)载入待识别数据包,获取待识别数据包的协议名称,根据协议名称查找对应的协议脚本,并获取相应的语句表和逻辑树,对待识别数据包进行解析,识别出待识别数据包的数据信息;所述数据信息包括源主机IP地址、目的主机IP地址、源主机端口和目的主机端口。
前述的步骤3)中,判断待识别数据包与预设的应用层协议链接的关系,具体过程如下:
3-1)判断数据信息与预设的应用层协议链接的信息是否相同:如果相同,则所述待识别数据包属于所述应用层协议链接,如果不同,则将所述待识别数据包与所述应用层协议链接进行预设次数的匹配;
3-2)如果在预设次数内匹配不成功,则所述待识别数据包不属于所述应用层协议链接;如果在预设次数内匹配成功,则对TCP协议或UDP协议的负载进行模式匹配;
3-3)如果模式匹配成功,则所述待识别数据包属于所述应用层协议链接,如果模式匹配不成功,则所述待识别数据包不属于所述应用层协议链接。
前述的步骤3)中,判断待识别数据包是否属于正常数据的判断准则为:
如果所述待识别数据包属于所述应用层协议链接,则所述待识别数据包为正常数据包;
如果所述待识别数据包不属于所述应用层协议链接,则所述待识别数据包为异常数据包。
前述的预设次数为10次。
本发明的有益效果为:
本发明通过Libpcao抓取待识别数据包,通过分析获取待识别数据包的数据信息,根据数据信息判断待识别数据包与预设的应用层协议链接的关系,并根据关系判断待识别数据包是否属于正常数据包,使得电力系统可以根据数据包了解各种接口的调用关系,进而获取电力系统的网络安全状况。
附图说明
图1为本发明的网络数据包的分析方法流程图;
图2为本发明的网络数据包的分析系统结构图。
具体实施方式
下面对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图2所示,本发明的网络数据包的分析系统包括:
待识别数据包抓取单元,用于通过Libpcao抓取待识别数据包。
在本发明实施例中,Libpcao是unix平台/linux平台下的网络数据包捕获函数,通过Libpcao可以准确的抓取电力系统中的网络数据包。
数据信息获取单元,用于通过分析获取所述待识别数据包的数据信息。
在本发明实施例中,对获取的待识别数据包首先进行基本协议识别,通过分析获取该待识别数据包的数据信息,所述数据信息包括但不限于:源主机IP地址、目的主机IP地址、源主机端口、目的主机端口。
待识别数据包判断单元,用于根据识别的数据信息判断所述待识别数据包与预设的应用层协议链接的关系,并根据所述关系判断所述待识别数据包是否属于正常数据包。
在本发明实施例中,应用层协议是承载在TCP协议或UDP协议之上的协议,TCP协议或UDP协议的负载即为应用层协议分析的对象。将数据信息与预设的应用层协议链接的信息进行比对,根据比对的结果判断待识别数据包与应用层协议链接的关系,进而根据该关系判断待识别数据包是否属于正常的数据包。
本领域普通技术人员还可以理解,上述单元的实现可以通过程序来指令相关的硬件来完成,程序可以在存储于一计算机可读取存储介质中,存储介质,包括ROM/RAM、磁盘、光盘等。
基于上述系统,本发明的网络数据包的分析方法,如图1所示,包括以下步骤:
步骤S101,通过Libpcao抓取待识别数据包。
在本发明实施例中,Libpcao是unix平台/linux平台下的网络数据包捕获函数,通过Libpcao可以准确的抓取电力系统中的网络数据包。
步骤S102,通过分析获取所述待识别数据包的数据信息。
在本发明实施例中,对获取的待识别数据包首先进行基本协议识别,通过分析获取该待识别数据包的数据信息,识别过程为:
102-1)根据基本协议的协议结构,生成协议脚本;
102-2)根据协议脚本生成语句表和逻辑树;
102-3)载入待识别数据包,获取待识别数据包的协议名称,根据协议名称查找对应的协议脚本,并获取相应的语句表和逻辑树,对待识别数据包进行解析,识别出待识别数据包的数据信息包括但不限于:源主机IP地址、目的主机IP地址、源主机端口、目的主机端口。
步骤S103,根据识别出的数据信息判断待识别数据包与预设的应用层协议链接的关系,并根据所述关系判断待识别数据包是否属于正常数据包。
在本发明实施例中,应用层协议是承载在TCP协议或UDP协议之上的协议,TCP协议或UDP协议的负载即为应用层协议分析的对象。将数据信息与预设的应用层协议链接的信息进行比对,根据比对的结果即可判断出待识别数据包与应用层协议链接的关系,进而根据该关系判断待识别数据包是否属于正常的数据包。
关系判断过程如下:
判断数据信息与预设的应用层协议链接的信息是否相同:如果相同,则所述待识别数据包属于所述应用层协议链接,如果不同,则将所述待识别数据包与所述应用层协议链接进行预设次数的匹配;
如果在预设次数内匹配不成功,则所述待识别数据包不属于所述应用层协议链接;如果在预设次数内匹配成功,则对TCP协议或UDP协议的负载进行模式匹配;
如果模式匹配成功,则所述待识别数据包属于所述应用层协议链接,如果模式匹配不成功,则所述待识别数据包不属于所述应用层协议链接。
优选的,所述预设的匹配次数为10次。
根据所述关系判断所述待识别数据包是否属于正常数据包,包括:
如果所述待识别数据包属于所述应用层协议链接,则所述待识别数据包为正常数据包;
如果所述待识别数据包不属于所述应用层协议链接,则所述待识别数据包为异常数据包。
本发明通过Libpcao抓取待识别数据包,通过分析获取待识别数据包的数据信息,根据数据信息判断待识别数据包与预设的应用层协议链接的关系,并根据关系判断待识别数据包是否属于正常数据包,使得电力系统可以根据数据包了解各种接口的调用关系,进而获取电力系统的网络安全状况。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种网络数据包的分析系统,其特征在于,包括:
待识别数据包抓取单元,用于通过Libpcao抓取待识别数据包;
数据信息获取单元,用于通过分析获取所述待识别数据包的数据信息;
待识别数据包判断单元,用于根据识别的数据信息判断所述待识别数据包与预设的应用层协议链接的关系,并根据所述关系判断所述待识别数据包是否属于正常数据包。
2.根据权利要求1所述的一种网络数据包的分析系统,其特征在于,所述Libpcao是unix平台/linux平台下的网络数据包捕获函数。
3.根据权利要求1所述的一种网络数据包的分析系统,其特征在于,所述应用层协议是承载在TCP协议或UDP协议之上的协议,TCP协议或UDP协议的负载即为应用层协议分析的对象。
4.根据权利要求1所述的一种网络数据包的分析系统,其特征在于,所述待识别数据包抓取单元,数据信息获取单元和待识别数据包判断单元的实现通过程序来指令相关的硬件来完成。
5.根据权利要求4所述的一种网络数据包的分析系统,其特征在于,所述程序存储于计算机的可读取存储介质中,所述存储介质包括ROM/RAM、磁盘和光盘。
6.基于权利要求1至5任意一项所述的网络数据包的分析系统的网络数据包分析方法,其特征在于,包括以下步骤:
1)待识别数据包抓取单元利用Libpcao抓取待识别数据包;
2)数据信息获取单元通过分析获取所述待识别数据包的数据信息;
3)待识别数据包判断单元根据识别出的数据信息判断待识别数据包与预设的应用层协议链接的关系,并根据所述关系判断待识别数据包是否属于正常数据。
7.根据权利要求6所述的网络数据包的分析方法,其特征在于,所述步骤2)中,获取待识别数据包的数据信息的具体过程如下:
2-1)根据基本协议的协议结构,生成协议脚本;
2-2)根据协议脚本生成语句表和逻辑树;
2-3)载入待识别数据包,获取待识别数据包的协议名称,根据协议名称查找对应的协议脚本,并获取相应的语句表和逻辑树,对待识别数据包进行解析,识别出待识别数据包的数据信息;所述数据信息包括源主机IP地址、目的主机IP地址、源主机端口和目的主机端口。
8.根据权利要求6所述的网络数据包的分析方法,其特征在于,所述步骤3)中,判断待识别数据包与预设的应用层协议链接的关系,具体过程如下:
3-1)判断数据信息与预设的应用层协议链接的信息是否相同:如果相同,则所述待识别数据包属于所述应用层协议链接,如果不同,则将所述待识别数据包与所述应用层协议链接进行预设次数的匹配;
3-2)如果在预设次数内匹配不成功,则所述待识别数据包不属于所述应用层协议链接;如果在预设次数内匹配成功,则对TCP协议或UDP协议的负载进行模式匹配;
3-3)如果模式匹配成功,则所述待识别数据包属于所述应用层协议链接,如果模式匹配不成功,则所述待识别数据包不属于所述应用层协议链接。
9.根据权利要求8所述的网络数据包的分析方法,其特征在于,所述步骤3)中,判断待识别数据包是否属于正常数据的判断准则为:
如果所述待识别数据包属于所述应用层协议链接,则所述待识别数据包为正常数据包;
如果所述待识别数据包不属于所述应用层协议链接,则所述待识别数据包为异常数据包。
10.根据权利要求8所述的网络数据包的分析方法,其特征在于,所述预设次数为10次。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711214998.5A CN107959678A (zh) | 2017-11-28 | 2017-11-28 | 一种网络数据包的分析系统和分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711214998.5A CN107959678A (zh) | 2017-11-28 | 2017-11-28 | 一种网络数据包的分析系统和分析方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107959678A true CN107959678A (zh) | 2018-04-24 |
Family
ID=61962332
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711214998.5A Pending CN107959678A (zh) | 2017-11-28 | 2017-11-28 | 一种网络数据包的分析系统和分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107959678A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109165213A (zh) * | 2018-09-29 | 2019-01-08 | 浙江大学 | 基于自定义Groovy脚本配置文件的数据预处理方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110016528A1 (en) * | 2008-08-15 | 2011-01-20 | Venus Info Tech Inc. | Method and Device for Intrusion Detection |
CN103001971A (zh) * | 2012-12-25 | 2013-03-27 | 成都科来软件有限公司 | 一种网络数据包解析方法 |
-
2017
- 2017-11-28 CN CN201711214998.5A patent/CN107959678A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110016528A1 (en) * | 2008-08-15 | 2011-01-20 | Venus Info Tech Inc. | Method and Device for Intrusion Detection |
CN103001971A (zh) * | 2012-12-25 | 2013-03-27 | 成都科来软件有限公司 | 一种网络数据包解析方法 |
Non-Patent Citations (2)
Title |
---|
禹波: "校园网入侵检测系统平台的设计及实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
胡文伯: "网络流量分析研究中的应用层协议分析的设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109165213A (zh) * | 2018-09-29 | 2019-01-08 | 浙江大学 | 基于自定义Groovy脚本配置文件的数据预处理方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103916294B (zh) | 协议类型的识别方法和装置 | |
US8990938B2 (en) | Analyzing response traffic to detect a malicious source | |
CN104811462B (zh) | 一种接入网关重定向方法及接入网关 | |
CN108363662A (zh) | 一种应用程序测试方法、存储介质及终端设备 | |
CN103067218B (zh) | 一种高速网络数据包内容分析装置 | |
CN103138988B (zh) | 网络故障的定位处理方法及装置 | |
CN108521408A (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
CN106452955B (zh) | 一种异常网络连接的检测方法及系统 | |
CN107465666A (zh) | 一种客户端ip获取方法与装置 | |
CN107769992B (zh) | 一种报文解析分流方法及装置 | |
CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
US10523549B1 (en) | Method and system for detecting and classifying networked devices | |
CN111049786A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
CN110784486A (zh) | 一种工业漏洞扫描方法和系统 | |
CN104702564A (zh) | 一种网络共享用户识别方法及装置 | |
CN112995352A (zh) | 基于流量分析的IPv6网络空间测绘系统及测绘方法 | |
CN108229159A (zh) | 一种恶意代码检测方法及系统 | |
CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
CN111404768A (zh) | 一种dpi识别的实现方法及设备 | |
CN105357071B (zh) | 一种网络复杂流量识别方法及识别系统 | |
CN109474540B (zh) | 一种识别opc流量的方法及装置 | |
CN107959678A (zh) | 一种网络数据包的分析系统和分析方法 | |
CN109446807A (zh) | 用于识别拦截恶意机器人的方法、装置以及电子设备 | |
CN104933059B (zh) | 文件信誉获取方法、网关设备和文件信誉服务器 | |
CN106533728A (zh) | 服务器信息收集方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180424 |
|
RJ01 | Rejection of invention patent application after publication |