CN110166480A - 一种数据包的分析方法及装置 - Google Patents
一种数据包的分析方法及装置 Download PDFInfo
- Publication number
- CN110166480A CN110166480A CN201910472406.2A CN201910472406A CN110166480A CN 110166480 A CN110166480 A CN 110166480A CN 201910472406 A CN201910472406 A CN 201910472406A CN 110166480 A CN110166480 A CN 110166480A
- Authority
- CN
- China
- Prior art keywords
- data packet
- flow
- session
- file
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种数据包的分析方法及装置,涉及网络安全技术领域,方法应用于网络设备,方法包括:接收待检测的第一数据包;依据第一数据包的特征,确定第一数据包所属的第一会话、以及第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型;将第一数据包存储到第一会话对应的第一流量存储文件中,记录第一数据包所属的第一流量类型,并通过预设的安全检测策略对第一数据包进行安全检测;如果安全检测的检测结果为攻击数据包,则在检测到第一会话结束后,获取第一会话对应的流量存储文件,根据获取的流量存储文件确定第一会话对应的攻击成功度。采用本申请可以更准确的检测出攻击是否有效或成功。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种数据包的分析方法及装置。
背景技术
随着信息技术的快速发展,网络的应用越来越广泛。同时,网络中存在的安全问题也日益突出,比如,信息泄露和计算机感染病毒等。因此,需要能及时、快速、准确的检测网络中的安全漏洞。
目前,人们通常会在防火墙等安全设备中部署安全检测策略,比如深度报文检测(英文:Deep Packet Inspection,简称:DPI)策略、深度流检测(英文:DeepFlowInspection,简称:DFI)策略等,以便对网络中的流量安全检测,提高网络安全性。网络设备之间可以通过建立会话进行通信,对于会话中传输的每个数据包,安全设备可以通过安全检测策略对该数据包进行安全检测,得到该数据包的安全检测结果。如果安全检测结果为该数据包不是攻击数据包,则安全设备转发该数据包;若如果安全检测结果为该数据包是攻击数据包,则安全设备将丢弃该数据包,以阻断该会话的流量,避免持续攻击。
基于上述技术方案,当发生攻击时,只能通过安全检测策略阻断某会话的流量,无法为技术人员的分析工作提供更有效的信息。
发明内容
本申请实施例的目的在于提供一种数据包的分析方法及装置,可以更准确的检测出攻击是否有效或成功。具体技术方案如下:
第一方面,提供了一种数据包的分析方法,所述方法应用于网络设备,所述方法包括:
接收待检测的第一数据包;
依据所述第一数据包的特征,确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型;
将所述第一数据包存储到所述第一会话对应的第一流量存储文件中,记录所述第一数据包所属的第一流量类型,并通过预设的安全检测策略对所述第一数据包进行安全检测;
如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,获取所述第一流量存储文件;
针对记录的每一第二流量类型,从所述第一流量存储文件中,获取流量类型为所述第二流量类型的第二数据包,并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征;
根据预设的所述目标流量特征的权重,计算所述第二流量类型的参考成功度,并将每种第二流量类型的参考成功度的和值,作为所述第一会话对应的攻击成功度。
可选的,所述方法还包括:
当不存在与所述第一数据包的特征匹配的第一会话时,建立所述第一会话,并从所述第一数据包获取第一协议号;
如果所述第一协议号包括在预设的重要协议列表中,则在预设的重要文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中;
如果所述第一协议号包括在预设的普通协议列表中,则在预设的普通文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中。
可选的,所述方法还包括:
如果安全检测的检测结果为攻击数据包,则判断所述第一流量存储文件是否存储在所述普通文件夹中;
如果所述第一流量存储文件存储在所述普通文件夹中,则将所述第一流量存储文件从所述普通文件夹移动至所述重要文件夹中。
可选的,所述方法还包括:
检测所述第一数据包中是否包含文件数据;
如果所述第一数据包中包含文件数据,则提取所述文件数据,并将所述文件数据存储到所述第一会话对应的数据存储文件中。
可选的,所述方法还包括:
如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,对所述数据存储文件中的文件数据进行安全检测,得到所述数据存储文件对应的安全检测结果。
可选的,所述方法还包括:
在检测到所述第一会话结束后,如果所述第一会话对应的数据包中,不存在检测结果为攻击数据包的数据包,则删除所述第一流量存储文件。
第二方面,提供了一种数据包的分析装置,所述装置应用于网络设备,所述装置包括检测模块、验证模块和记录模块:
所述检测模块和所述记录模块,用于接收待检测的第一数据包;
所述记录模块,还用于依据所述第一数据包的特征,确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型;
所述记录模块,还用于将所述第一数据包存储到所述第一会话对应的第一流量存储文件中,记录所述第一数据包所属的第一流量类型;
所述检测模块,还用于通过预设的安全检测策略对所述第一数据包进行安全检测;
所述检测模块,还用于如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,触发所述验证模块从所述记录模块中获取所述第一流量存储文件;
所述验证模块,还用于针对记录的每一第二流量类型,从所述第一流量存储文件中,获取流量类型为所述第二流量类型的第二数据包,并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征;
所述验证模块,还用于根据预设的所述目标流量特征的权重,计算所述第二流量类型的参考成功度,并将每种第二流量类型的参考成功度的和值,作为所述第一会话对应的攻击成功度。
可选的,所述记录模块,具体用于:
当不存在与所述第一数据包的特征匹配的第一会话时,建立所述第一会话,并从所述第一数据包获取第一协议号;
如果所述第一协议号包括在预设的重要协议列表中,则在预设的重要文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中;
如果所述第一协议号包括在预设的普通协议列表中,则在预设的普通文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中。
可选的,所述检测模块,还用于如果安全检测的检测结果为攻击数据包,则触发所述记录模块判断所述第一流量存储文件是否存储在所述普通文件夹中;
所述记录模块,还用于如果所述第一流量存储文件存储在所述普通文件夹中,则将所述第一流量存储文件从所述普通文件夹移动至所述重要文件夹中。
可选的,所述记录模块,还用于:
检测所述第一数据包中是否包含文件数据;
如果所述第一数据包中包含文件数据,则提取所述文件数据,并将所述文件数据存储到所述第一会话对应的数据存储文件中。
可选的,所述检测模块,还用于如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,触发所述验证模块对所述数据存储文件中的文件数据进行安全检测,得到所述数据存储文件对应的安全检测结果。
可选的,所述检测模块,还用于在检测到所述第一会话结束后,如果所述第一会话对应的数据包中,不存在检测结果为攻击数据包的数据包,则触发所述记录模块删除所述第一流量存储文件。
第三方面,提供了一种网络设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面任一所述的方法步骤。
第四方面,提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面任一所述的方法步骤。
第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面任一所述的方法。
本申请实施例中,网络设备每接收一个数据包(可称为第一数据包)后,可以依据第一数据包的特征,确定第一数据包所属的第一会话、以及第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型。网络设备可以将第一数据包存储到第一会话对应的第一流量存储文件中,记录第一数据包所属的第一流量类型,并通过预设的安全检测策略对第一数据包进行安全检测,如果安全检测的检测结果为攻击数据包,则在检测到第一会话结束后,获取第一流量存储文件。针对记录的每一第二流量类型,网络设备从第一流量存储文件中,获取流量类型为第二流量类型的第二数据包,并在第二数据包的与第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征,根据预设的目标流量特征的权重,计算第二流量类型的参考成功度,并将每种第二流量类型的参考成功度的和值,作为第一会话对应的攻击成功度。基于上述处理,网络设备可以对网络中的流量进行全量记录,当技术人员需要对某一网络攻击进行分析时,可以查看到该网络攻击对应的全部流量,从而实现还原攻击现场,便于技术人员进行分析。并且,本方案中,网络设备可以自动分析出攻击成功度,技术人员可以在检测到的各网络攻击中,优先分析攻击成功度较高的网络攻击,提高了分析效率。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种数据包的分析方法的流程图;
图2为本申请实施例提供的一种数据包的分析方法示例的流程图
图3为本申请实施例提供的一种数据包的分析装置的结构示意图;
图4为本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种数据包的分析方法,该方法可以由一个网络设备执行,也可以由多个网络设备共同执行,本申请实施例以一个网络设备执行为例进行说明,其他情况与之类似。该网络设备中可以存储有预设的安全检测策略,以实现安全检测功能,比如DPI和/或DFI功能。该网络设备可以是防火墙等安全设备,也可以路由器、交换机等设备。
该下面将结合具体实施方式,对本申请实施例提供的一种数据包的分析方法进行详细的说明,如图1所示,具体步骤如下。
步骤101,接收待检测的第一数据包。
本申请实施例中,网络设备可以获取待检测的第一数据包。例如,网络设备可以接收用户设备发送的数据包,或者,网络设备也可以接收其他网络设备转发的用户设备的数据包。
步骤102,依据第一数据包的特征,确定第一数据包所属的第一会话、以及第一数据包所属的第一流量类型。
其中,流量类型包括请求类型和应答类型。
本申请实施例中,两个用户设备通过网络设备进行通信之前,即某一用户设备的数据包通过该网络设备转发至另一用户设备,则需要先建立会话。网络设备中则会存储该会话的会话信息。会话信息可以包括五元组信息。其中,五元组信息中的源IP地址和源端口为发起方的IP地址和端口,目的IP地址和目的端口为响应方的IP地址和端口。
网络设备在接收到第一数据包后,可以提取第一数据包的特征,该特征可以为五元组信息。网络设备可以将第一数据包的五元组信息,与当前存储的各会话的会话信息进行匹配,以确定第一数据包所属的第一会话。
例如,可以确定与第一数据包的五元组信息相同的会话信息,将该会话信息对应的会话作为第一数据包所属的第一会话,此时,第一数据包为发起方发送的数据包。
又如,可以确定与第一数据包的五元组信息相反的会话信息,即第一数据包的五元组信息中的源IP地址和源端口为第一会话的会话信息中的目的IP地址和目的端口、且第一数据包的五元组信息中的目的IP地址和目的端口为第一会话的会话信息中的源IP地址和源端口。此时,第一数据包为响应方发送的数据包,第一数据包所属的会话为第一会话。
网络设备还可以确定第一数据包所属的流量类型(可称为第一流量类型)。
例如,如果第一数据包的五元组信息与所属会话的会话信息相同,即第一数据包的五元组信息中的源IP地址和源端口为会话信息中的源IP地址和源端口、且第一数据包的五元组信息中的目的IP地址和目的端口为会话信息中的目的IP地址和目的端口,则可以确定第一数据包所属的流量类型为请求类型。
又例如,如果第一数据包的五元组信息与所属会话的会话信息相反,即第一数据包的五元组信息中的源IP地址和源端口为会话信息中的目的IP地址和目的端口、且第一数据包的五元组信息中的目的IP地址和目的端口为会话信息中的源IP地址和源端口,则可以确定第一数据包所属的流量类型为应答类型。
步骤103,将第一数据包存储到第一会话对应的第一流量存储文件中,记录第一数据包所属的第一流量类型,并通过预设的安全检测策略对第一数据包进行安全检测。
本申请实施例中,网络设备确定第一数据包所属的第一会话之后,可以将第一数据包存储到第一会话对应的流量存储文件(即第一流量存储文件)中,并且,可以记录第一数据包所属的第一流量类型。其中,网络设备可以存储整个数据包,也可以只存储数据包中的前预设数目个字节(比如前10个字节)的数据。需要存储的内容可以由技术人员根据实际需求进行配置,本申请实施例不做限定。
网络设备在接收到第一数据包后,还可以通过预设的安全检测策略对第一数据包进行安全检测,比如进行DPI或DFI检测等,以确定第一数据包是否为攻击数据包。
可选的,当不存在与第一数据包的特征匹配的第一会话时,说明该数据包为会话中的第一个数据包(即首包),网络设备可以建立第一会话,并从第一数据包获取第一协议号。如果第一协议号包括在预设的重要协议列表中,则在预设的重要文件夹中,创建第一会话对应的第一流量存储文件,并将第一数据包存储到第一流量存储文件中。如果第一协议号包括在预设的普通协议列表中,则在预设的普通文件夹中,创建第一会话对应的第一流量存储文件,并将第一数据包存储到第一流量存储文件中。
本申请实施例中,网络设备中可以存储有重要协议列表,重要协议列表中包含需要记录的优先级较高的协议号。网络设备中还可以存储有普通协议列表,普通协议列表中包含需要记录的优先级较低的协议号。例如,重要协议列表中包含的协议号为传输控制(英文:Transmission Control Protocol,简称:TCP)、超文本传输协议(英文:HyperTextTransfer Protocol,简称:HTTP)、Internet邮件访问协议(英文:Internet Mail AccessProtocol,简称:IMAP)和文件传输协议(英文:File Transfer Protocol,简称:FTP);普通协议列表中包含的协议号为Internet控制报文协议(英文:Internet Control Message,简称:Protocol,简称:ICMP)、用户数据报协议(英文:User Datagram Protocol,简称:UDP)、域名系统(英文:Domain Name System,简称:DNS)、超文本传输安全协议(英文:Hyper TextTransfer Protocol over Secure Socket Layer,简称:HTTPS)、简单邮件传输协议(英文:Simple Mail Transfer Protocol,简称:SMTP)、邮局协议(英文:Post Office Protocol,简称:POP)。
网络设备确定第一数据包为会话中的第一个数据包后,可以提取第一数据包中的第一协议号。网络设备可以先在重要协议列表中进行查询,如果第一协议号为预设的重要协议列表中的协议号,则网络设备可以在预设的重要文件夹中,创建第一会话对应的第一流量存储文件,并将第一数据包存储到第一流量存储文件中。例如,重要文件夹可以是hit文件夹。其中,重要文件夹中存储重点关心的数据。
如果重要协议列表中不包含第一协议号,则网络设备可以普通协议列表中进行查询。如果第一协议号为普通协议列表中的协议号,则网络设备在预设的普通文件夹中,创建第一会话对应的第一流量存储文件,并将第一数据包存储到第一流量存储文件中。例如,普通文件夹可以是filter文件夹。
这样,可以将重要协议的流量都存储到hit文件夹,而普通协议的流量都存储到filter文件夹中,以便技术人员进行分类查看。并且,通过设置协议的优先级,可以在本地的存储资源紧张时,优先存储优先级高的协议的流量,从而对关键流量进行优先存储,提高了存储数据的有效性。
可选的,网络设备创建第一流量存储文件后,可以按照预设的文件名命名方式,确定该流量存储文件的文件名。在一种实现方式中,网络设备可以为第一会话分配任务号,该任务号可以唯一表示第一会话。在一种实现方式中,网络设备可以计算会话信息中的五元组信息和会话开始时间的哈希值,将该哈希值作为该会话对应的任务号。网络设备可以将该任务号和会话信息构成文件名,从而通过文件名可以知道该文件存储的数据包对应的会话信息,无需要再次对该文件中的数据包进行分析。而且,由于文件名是由任务号和会话信息构成的,通过任务号可以唯一标识第一会话的流量存储文件,这样,网络设备中各模块之间传输用于执行数据包的分析方法的指令时,指令中可以仅携带任务号,无需携带会话信息,减少了模块之间传输的数据量。其中,网络设备通过各模块执行数据包的分析方法的过程后续会进行详细说明。
例如,第一会话的会话信息为:源地址为192.168.0.100、源端口为6000、目的地址为192.168.0.200、目的端口为8000、协议号为TCP、任务号为12345678,则可以生成文件名为:
tcp_192.168.0.100_6000_192.168.0.200_8000_12345678.pcap。
可选的,网络设备还可以检测第一数据包中是否包含文件数据,如果第一数据包中包含文件数据,则网络设备可以提取该文件数据,并将该文件数据存储到第一会话对应的数据存储文件中,以便后续对文件数据进行分析。
本申请实施例中,网络设备可以对第一数据包进行解析,以判断第一数据包中是否包含文件数据。或者,网络设备也可以根据第一数据包中的第一协议号,确定第一数据包中是否包含文件数据。例如,如果第一协议号为用于传输文件的协议,比如HTTP、SMTP、FTP或IMAP,则可以确定第一数据包中包含文件数据。如果网络设备确定第一数据包中包含文件数据,则网络设备可以提取该文件数据,并将该文件数据存储到第一会话对应的数据存储文件中,以便后续对文件数据进行分析。其中,数据存储文件可以都存储在attachment文件夹中。
与流量存储文件类似,当第一数据包为会话中的第一个数据包时,网络设备需要在attachment文件夹中,创建第一会话对应的数据存储文件,并按照预设的文件名命名方式,确定该数据存储文件的文件名。在一种实现方式中,网络设备可以计算当前文件数据的哈希值,然后将该哈希值作为文件名,并且,建立该文件数据的哈希值和第一会话的任务号的对应关系,从而将该数据存储文件与第一会话关联,后续,网络设备可以根据第一会话的任务号查找到第一会话的数据存储文件。
另外,网络设备还可以从第一数据包中提取协议的request(中文:请求)信息,并将提取出的request信息存储到数据存储文件中。request信息由基本部分和附加部分组成。其中,基本部分由协议、源地址、源端口、目的地址、目的端口组成。附加部分中,针对不同协议可以提取不同的字段。例如,http中,可以记录HTTP.method、HTTP.uri、HTTP.cookie这些字段。SMTP、FTP和IMAP中,可以记录username、password、login_time这些字段,其中,对于SMTP和IMAP协议,还可以记录邮件发送者的信息和接受者的信息,以便后续进行查看和分析。
步骤104,如果安全检测的检测结果为攻击数据包,则在检测到第一会话结束后,获取第一流量存储文件。
本申请实施例中,基于上述处理过程,网络设备中针对每个会话都会创建一个流量存储文件,并在该流量存储文件中,存储该会话的双向流量。其中,请求类型的数据包为发起方发送的数据包,可以构成发起方发送的流量(可称为请求流量),应答类型的数据包为响应方发送的数据包可以构成响应方发送的流量(可称为应答流量)。如果安全检测的检测结果为攻击数据包,则网络设备可以在检测到第一会话结束后,获取第一会话的流量存储文件。
网络设备可以通过预设的分析规则,对流量存储文件包含的数据包进行分析,得到攻击成功度。在一种实现方式中,网络设备中可以预先存储有请求和应答双向分析规则(比如双向匹配算法和智能关联算法等),网络设备可以通过请求和应答双向分析规则,对流量存储文件中的请求流量和应答流量进行分析,从而得到攻击成功度,具体的处理过程可以包括步骤105-106。
另外,基于预先配置的安全检测策略,网络设备在确定安全检测的检测结果为攻击数据包后,可以丢弃第一数据包,以阻断第一会话的流量,避免持续攻击。应当理解,安全检测策略包括安全规则,安全规则包括匹配项,当数据包的报文特征与匹配项设置的值匹配时,则认为数据包命中该安全规则。例如:安全规则rule_1为访问控制列表(英文:AccessControl List,简称:ACL)为:
access-list 100permit source 192.168.1.2 255.255.255.0
当某一数据的源IP为192.168.1.2且掩码为255.255.255.0时,则认为命中该ACL。
另外,网络设备还可以获取第一数据包命中的安全规则的标识(即rule_id),然后可以在该流量存储文件的文件名中,添加该rule_id。例如,rule_id为1234,原文件名为:
tcp_192.168.0.100_6000_192.168.0.200_8000_12345678.pcap;
修改后的文件名为:
1234_tcp_192.168.0.100_6000_192.168.0.200_8000_12345678.pcap。
步骤105,针对记录的每一第二流量类型,从第一流量存储文件中,获取流量类型为第二流量类型的第二数据包,并在第二数据包的与第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征。
本申请实施例中,针对记录的每一流量类型(可称为第二流量类型),网络设备中可以预先存储该第二流量类型对应的流量特征(可称为第二流量特征)、以及每一第二流量特征对应的匹配条件。例如,请求类型的流量特征可以包括数据长度、传输耗时和发送时间,其中,数据长度对应的匹配条件为数据长度>100M、传输耗时对应的匹配条件为传输耗时>10min、发送时间对应的匹配条件为晚上12点~2点。应答类型的流量特征可以包括传输耗时、发送时间和静态字符,其中,传输耗时对应的匹配条件为传输耗时>5min、发送时间对应的匹配条件为晚上12点~2点、静态字符对应的匹配条件为包含预设字符串。
网络设备可以从第一流量存储文件中,获取流量类型为第二流量类型的第二数据包,并在第二数据包的与第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征。
以请求类型为例,网络设备可以从第一流量存储文件中,获取请求类型的数据包,然后可以计算流量特征。具体的,针对数据长度,可以计算获取到的各数据包的总数据量,得到数据长度,如果该数据长度大于>100M,则确定数据长度为目标流量特征;针对发送时间,可以在获取到的数据包中,查找发送时间最早的数据包,将该数据包的发送时间(可称为第一发送时间)作为请求方向的数据流的发送时间,如果该发送时间为晚上12点~2点,则确定发送时间为目标流量特征;针对传输耗时,可以获取到的数据包中,查找发送时间最晚的数据包,计算该数据包的发送时间(可称为第二发送时间)与第一发送时间之间的时间间隔,该时间间隔即为传输耗时,如果该传输耗时>10min,则确定传输耗时为目标流量特征。
对于应答类型,传输耗时和发送时间的计算过程与请求类型的计算过程类似,不再赘述。对于静态字符,网络设备可以判断获取到的应答类型的数据包中,是否包含预设字符串,如果包含,则确定静态字符为目标流量特征。
其中,上述说明仅为本申请实施例提供的一种示例,请求类型和应答类型对应的流量特征、以及各流量特征对应的匹配条件可以由技术人员进行配置,并且,现有技术中用于计算各流量特征的算法均可以应用于本申请实施例中,本申请实施例不做限定。
步骤106,根据预设的目标流量特征的权重,计算第二流量类型的参考成功度,并将每种第二流量类型的参考成功度的和值,作为第一会话对应的攻击成功度。
本申请实施例中,网络设备中可以预先存储各流量特征对应的权重,网络设备在某一流量类型对应的流量特征中确定出目标流量特征后,可以根据目标流量特征的权重,计算第二流量类型的参考成功度。
在一种实现方式中,网络设备可以直接对目标流量特征的权重进行求和,得到该流量类型的参考成功度。
例如,针对请求类型,数据长度的分值为5、权重为0.8,传输耗时的分值为3、权重为0.6,发送时间的分值为6、权重为0.6,确定出的目标流量特征包括数据长度、传输耗时和发送时间,则请求类型对应的参考成功度为0.8+0.6+0.6=2.0。
在另一种实现方式中,网络设备中还可以存储每种流量特征的分值,针对每个目标流量特征,网络设备可以先计算该目标流量特征对应的分值与权重的乘积,然后再将计算出的乘积进行求和,得到该流量类型的参考成功度。
例如,针对请求类型,数据长度的分值为5、权重为0.8,传输耗时的分值为3、权重为0.6,发送时间的分值为6、权重为0.6,确定出的目标流量特征包括数据长度、传输耗时和发送时间,则请求类型对应的参考成功度为0.8*5+0.6*3+6*0.6=9.4。
网络设备可以计算各流量类型的参考成功度的和值,作为第一会话对应的攻击成功度。该攻击成功度可以表示该会话中的流量攻击网络设备的成功率。
可选的,如果网络设备确定安全检测的检测结果为攻击数据包,则网络设备可以进一步判断第一流量存储文件是否存储在上述普通文件夹中。如果第一流量存储文件存储在普通文件夹中,则将流量存储文件从普通文件夹移动至重要文件夹中。例如,网络设备可以将该流量存储文件从filter文件夹移动到hit文件夹中,具体的,网络设备可以将该流量存储文件复制到hit文件夹中,并从filter文件夹中删除该流量存储文件。这样,可以在重要文件夹中存储检测到攻击的会话的流量、以及重要协议的流量,也即,将技术人员关心的重要流量存储在重要文件夹中,以便后续进行查看和分析。
可选的,如果安全检测的检测结果为攻击数据包,则网络设备还可以对第一会话对应的文件数据进行分析,具体的处理过程可以为:在检测到第一会话结束后,对数据存储文件中的文件数据进行安全检测,得到文件对应的安全检测结果。
本申请实施例中,网络设备在检测到第一会话结束后,可以获取第一会话对应的数据存储文件,然后可以对数据存储文件中的文件数据进行安全检测,得到文件对应的安全检测结果。例如,网络设备可以对文件数据进行沙箱检测,或者也可以通过静态扫描技术对文件数据进行检测。
可选的,网络设备中记录的流量数据可能会存在缺失的情况(比如内存溢出),此时,网络设备在获取到流量存储文件后,可以判断该流量存储文件中是否缺失应答流量。例如,数据包的发送方可以按照数据包的发送顺序对数据包进行编号,网络设备获取到应答类型的数据包后,判断获取到的数据包中的编号是否连续,如果不连续,则确定缺失编号对应的数据包丢失。或者,网络设备可能由于故障问题,导致流量存储文件中的全部应答流量缺失,如果网络设备未获取到应答类型的数据包,则可以确定缺失全部应答流量。
如果网络设备确定该流量存储文件中缺失应答流量,则可以重新发送请求流量中的数据包,以获取应答流量,然后再对流量存储文件进行分析。其中,网络设备可以直接向服务器发送请求流量中的数据包,或者,也可以对请求流量中的数据包先进行无害化处理(即去除攻击数据包),然后再对处理后的数据包进行发送,以避免攻击数据包攻击服务器。在接收到服务器发送的应答流量后,网络设备可以对该应答流量直接进行存储,或者,也可以先对应答流量进行安全检测,然后再对该应答流量进行存储,以便更准确的确定该应答流量中是否存在攻击。
可选的,在检测到第一会话结束后,如果第一会话对应的数据包中,不存在检测结果为攻击数据包的数据包,则网络设备可以删除流量存储文件。
本申请实施例中,在检测到第一会话结束后,如果第一会话中的所有数据包对应的检测结果,均不是攻击数据包,则说明第一会话中不存在攻击。网络设备可以删除第一流量存储文件,以节约存储资源。
本申请实施例中,网络设备每接收一个数据包(可称为第一数据包)后,可以依据第一数据包的特征,确定第一数据包所属的第一会话、以及第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型。网络设备可以将第一数据包存储到第一会话对应的第一流量存储文件中,记录第一数据包所属的第一流量类型,并通过预设的安全检测策略对第一数据包进行安全检测,如果安全检测的检测结果为攻击数据包,则在检测到第一会话结束后,获取第一流量存储文件。针对记录的每一第二流量类型,网络设备从第一流量存储文件中,获取流量类型为第二流量类型的第二数据包,并在第二数据包的与第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征,根据预设的目标流量特征的权重,计算第二流量类型的参考成功度,并将每种第二流量类型的参考成功度的和值,作为第一会话对应的攻击成功度。
基于上述处理,网络设备可以对网络中的流量进行全量记录,当技术人员需要对某一会话造成的网络攻击进行分析时,依据该会话的会话信息,可以查看到该会话对应的全部流量,从而实现还原攻击现场,便于技术人员进行分析。并且,本方案中,网络设备可以自动分析出攻击成功度,技术人员可以在检测到的各网络攻击中,优先分析攻击成功度较高的网络攻击,提高了分析效率。
本申请实施例还提供了一种数据包的分析方法示例,本示例中,该方法可以应用于网络设备,该网络设备可以包括检测模块、验证模块和记录模块,其中,检测模块和记录模块可以同时接收数据包。应当理解的是,此三个模块中的任意模块可以单独或组合位于网络设备中运行,例如检测模块在第一网络设备中、验证模块在第二网络设备中、记录模块在第三网络设备中。如图2所示,具体的处理过程可以如下。
步骤201,记录模块接收第一数据包。
其中,第一数据包中包含文件数据。
该步骤的处理过程可以参照步骤101的相关说明。
步骤202,记录模块依据所述第一数据包的特征,确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型,并将第一数据包存储到第一会话对应的第一流量存储文件中。
其中,数据存储文件的文件名包括任务号和会话信息,会话信息中至少包括五元组信息。例如,文件名为:
tcp_192.168.0.100_6000_192.168.0.200_8000_12345678.pcap。
该步骤的处理过程可以参照步骤102和步骤103的相关说明。
步骤203,记录模块提取第一数据包中的文件数据,并将文件数据存储到第一会话对应的数据存储文件中。
该步骤的处理过程可以参照步骤103的相关说明。
步骤201’,检测模块接收第一数据包。
该步骤的处理过程可以参照步骤101的相关说明。
步骤202’,检测模块通过预设的安全检测策略对第一数据包进行安全检测。
如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,执行步骤203’~209,否则,在检测到所述第一会话结束后,执行步骤210~211。
该步骤的处理过程可以参照步骤103的相关说明。
步骤203’,检测模块向记录模块发送记录指令。
其中,记录指令由命令字和任务号组成,可选的,记录指令还可以包括协议号、源地址、源端口、目的地址、目的端口。命令字表示要求执行的动作,记录指令的命令字为保存(save)。
本申请实施例提供了一种记录指令的示例,即:save:12345678+1234+TCP+192.168.0.100+6000+192.168.0.200+8000,表示使用任务号12345678优先保存,协议为TCP协议、源地址192.168.0.100、源端口是6000、目的地址192.168.0.200、源端口是8000的数据流。
步骤204,如果该流量存储文件存储在filter文件夹,则记录模块将该流量存储文件从filter文件夹移动到hit文件夹中。
该步骤的处理过程可以参照步骤106的相关说明。
步骤205,检测模块在检测到第一数据包所属的第一会话结束后,向验证模块发送验证指令。
其中,验证指令由命令字和任务号组成,验证指令的命令字为验证,任务号为第一会话对应的任务号。
步骤206,验证模块向记录模块发送读取指令。
其中,读取指令由命令字和任务号组成,读取指令的命令字为读取,任务号为第一会话对应的任务号。
步骤207,记录模块向验证模块发送该任务号对应的流量存储文件和数据存储文件。
步骤208,验证模块根据第一流量存储文件,计算第一会话对应的攻击成功度。
该步骤的处理过程可以参照步骤105-步骤106的相关说明。
步骤209,验证模块对数据存储文件进行沙箱检测,得到文件数据的安全检测结果。
该步骤的处理过程可以参照步骤106的相关说明。
步骤210,检测模块向记录模块发送删除指令。
其中,删除指令由命令字和任务号组成,删除指令的命令字为删除,任务号为第一会话对应的任务号。
步骤211,记录模块删除第一流量存储文件和数据存储文件。
其中,上述步骤201~203的处理过程,与步骤201’~203’的处理过程不区分先后顺序。
基于相同的技术构思,本申请实施例还提供了一种数据包的分析装置,该装置应用于网络设备,如图3所示,所述装置包括检测模块310、验证模块320和记录模块330:
所述检测模块310和所述记录模块330,用于接收待检测的第一数据包;
所述记录模块330,还用于依据所述第一数据包的特征,确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型;
所述记录模块330,还用于将所述第一数据包存储到所述第一会话对应的第一流量存储文件中,记录所述第一数据包所属的第一流量类型;
所述检测模块310,还用于通过预设的安全检测策略对所述第一数据包进行安全检测;
所述检测模块310,还用于如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,触发所述验证模块320从所述记录模块330中获取所述第一流量存储文件;
所述验证模块320,还用于针对记录的每一第二流量类型,从所述第一流量存储文件中,获取流量类型为所述第二流量类型的第二数据包,并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征;
所述验证模块320,还用于根据预设的所述目标流量特征的权重,计算所述第二流量类型的参考成功度,并将每种第二流量类型的参考成功度的和值,作为所述第一会话对应的攻击成功度。
可选的,所述记录模块330,具体用于:
当不存在与所述第一数据包的特征匹配的第一会话时,建立所述第一会话,并从所述第一数据包获取第一协议号;
如果所述第一协议号包括在预设的重要协议列表中,则在预设的重要文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中;
如果所述第一协议号包括在预设的普通协议列表中,则在预设的普通文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中。
可选的,所述检测模块310,还用于如果安全检测的检测结果为攻击数据包,则触发所述记录模块330判断所述第一流量存储文件是否存储在所述普通文件夹中;
所述记录模块330,还用于如果所述第一流量存储文件存储在所述普通文件夹中,则将所述第一流量存储文件从所述普通文件夹移动至所述重要文件夹中。
可选的,所述记录模块330,还用于:
检测所述第一数据包中是否包含文件数据;
如果所述第一数据包中包含文件数据,则提取所述文件数据,并将所述文件数据存储到所述第一会话对应的数据存储文件中。
可选的,所述检测模块310,还用于如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,触发所述验证模块320对所述数据存储文件中的文件数据进行安全检测,得到所述数据存储文件对应的安全检测结果。
可选的,所述检测模块310,还用于在检测到所述第一会话结束后,如果所述第一会话对应的数据包中,不存在检测结果为攻击数据包的数据包,则触发所述记录模块330删除所述第一流量存储文件。
本申请实施例中,网络设备每接收一个数据包(可称为第一数据包)后,可以依据第一数据包的特征,确定第一数据包所属的第一会话、以及第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型。网络设备可以将第一数据包存储到第一会话对应的第一流量存储文件中,记录第一数据包所属的第一流量类型,并通过预设的安全检测策略对第一数据包进行安全检测,如果安全检测的检测结果为攻击数据包,则在检测到第一会话结束后,获取第一流量存储文件。针对记录的每一第二流量类型,网络设备从第一流量存储文件中,获取流量类型为第二流量类型的第二数据包,并在第二数据包的与第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征,根据预设的目标流量特征的权重,计算第二流量类型的参考成功度,并将每种第二流量类型的参考成功度的和值,作为第一会话对应的攻击成功度。基于上述处理,网络设备可以对网络中的流量进行全量记录,当技术人员需要对某一网络攻击进行分析时,可以查看到该网络攻击对应的全部流量,从而实现还原攻击现场,便于技术人员进行分析。并且,本方案中,网络设备可以自动分析出攻击成功度,技术人员可以在检测到的各网络攻击中,优先分析攻击成功度较高的网络攻击,提高了分析效率。
本申请实施例还提供了一种检测设备,如图4所示,包括处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信,
存储器403,用于存放计算机程序;
处理器401,用于执行存储器403上所存放的程序时,实现如下步骤:
接收待检测的第一数据包;
依据所述第一数据包的特征,确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型;
将所述第一数据包存储到所述第一会话对应的第一流量存储文件中,记录所述第一数据包所属的第一流量类型,并通过预设的安全检测策略对所述第一数据包进行安全检测;
如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,获取所述第一流量存储文件;
针对记录的每一第二流量类型,从所述第一流量存储文件中,获取流量类型为所述第二流量类型的第二数据包,并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征;
根据预设的所述目标流量特征的权重,计算所述第二流量类型的参考成功度,并将每种第二流量类型的参考成功度的和值,作为所述第一会话对应的攻击成功度。
可选的,所述方法还包括:
当不存在与所述第一数据包的特征匹配的第一会话时,建立所述第一会话,并从所述第一数据包获取第一协议号;
如果所述第一协议号包括在预设的重要协议列表中,则在预设的重要文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中;
如果所述第一协议号包括在预设的普通协议列表中,则在预设的普通文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中。
可选的,所述方法还包括:
如果安全检测的检测结果为攻击数据包,则判断所述第一流量存储文件是否存储在所述普通文件夹中;
如果所述第一流量存储文件存储在所述普通文件夹中,则将所述第一流量存储文件从所述普通文件夹移动至所述重要文件夹中。
可选的,所述方法还包括:
检测所述第一数据包中是否包含文件数据;
如果所述第一数据包中包含文件数据,则提取所述文件数据,并将所述文件数据存储到所述第一会话对应的数据存储文件中。
可选的,所述方法还包括:
如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,对所述数据存储文件中的文件数据进行安全检测,得到所述数据存储文件对应的安全检测结果。
可选的,所述方法还包括:
在检测到所述第一会话结束后,如果所述第一会话对应的数据包中,不存在检测结果为攻击数据包的数据包,则删除所述第一流量存储文件。
上述网络设备提到的通信总线可以是外设部件互连标准(英文:PeripheralComponent Interconnect,简称:PCI)总线或扩展工业标准结构(英文:Extended Industry Standard Architecture,简称:EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述网络设备与其他设备之间的通信。
存储器可以包括随机存取存储器(英文:Random Access Memory,简称:RAM),也可以包括非易失性存储器(英文:Non-Volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processing,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
基于相同的技术构思,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述数据包的分析方法步骤。
基于相同的技术构思,本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述数据包的分析方法步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (14)
1.一种数据包的分析方法,其特征在于,所述方法应用于网络设备,所述方法包括:
接收待检测的第一数据包;
依据所述第一数据包的特征,确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型;
将所述第一数据包存储到所述第一会话对应的第一流量存储文件中,记录所述第一数据包所属的第一流量类型,并通过预设的安全检测策略对所述第一数据包进行安全检测;
如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,获取所述第一流量存储文件;
针对记录的每一第二流量类型,从所述第一流量存储文件中,获取流量类型为所述第二流量类型的第二数据包,并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征;
根据预设的所述目标流量特征的权重,计算所述第二流量类型的参考成功度,并将每种第二流量类型的参考成功度的和值,作为所述第一会话对应的攻击成功度。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当不存在与所述第一数据包的特征匹配的第一会话时,建立所述第一会话,并从所述第一数据包获取第一协议号;
如果所述第一协议号包括在预设的重要协议列表中,则在预设的重要文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中;
如果所述第一协议号包括在预设的普通协议列表中,则在预设的普通文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
如果安全检测的检测结果为攻击数据包,则判断所述第一流量存储文件是否存储在所述普通文件夹中;
如果所述第一流量存储文件存储在所述普通文件夹中,则将所述第一流量存储文件从所述普通文件夹移动至所述重要文件夹中。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
检测所述第一数据包中是否包含文件数据;
如果所述第一数据包中包含文件数据,则提取所述文件数据,并将所述文件数据存储到所述第一会话对应的数据存储文件中。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,对所述数据存储文件中的文件数据进行安全检测,得到所述数据存储文件对应的安全检测结果。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在检测到所述第一会话结束后,如果所述第一会话对应的数据包中,不存在检测结果为攻击数据包的数据包,则删除所述第一流量存储文件。
7.一种数据包的分析装置,其特征在于,所述装置应用于网络设备,所述装置包括检测模块、验证模块和记录模块:
所述检测模块和所述记录模块,用于接收待检测的第一数据包;
所述记录模块,还用于依据所述第一数据包的特征,确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型;
所述记录模块,还用于将所述第一数据包存储到所述第一会话对应的第一流量存储文件中,记录所述第一数据包所属的第一流量类型;
所述检测模块,还用于通过预设的安全检测策略对所述第一数据包进行安全检测;
所述检测模块,还用于如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,触发所述验证模块从所述记录模块中获取所述第一流量存储文件;
所述验证模块,还用于针对记录的每一第二流量类型,从所述第一流量存储文件中,获取流量类型为所述第二流量类型的第二数据包,并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征;
所述验证模块,还用于根据预设的所述目标流量特征的权重,计算所述第二流量类型的参考成功度,并将每种第二流量类型的参考成功度的和值,作为所述第一会话对应的攻击成功度。
8.根据权利要求7所述的装置,其特征在于,所述记录模块,具体用于:
当不存在与所述第一数据包的特征匹配的第一会话时,建立所述第一会话,并从所述第一数据包获取第一协议号;
如果所述第一协议号包括在预设的重要协议列表中,则在预设的重要文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中;
如果所述第一协议号包括在预设的普通协议列表中,则在预设的普通文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中。
9.根据权利要求8所述的装置,其特征在于,所述检测模块,还用于如果安全检测的检测结果为攻击数据包,则触发所述记录模块判断所述第一流量存储文件是否存储在所述普通文件夹中;
所述记录模块,还用于如果所述第一流量存储文件存储在所述普通文件夹中,则将所述第一流量存储文件从所述普通文件夹移动至所述重要文件夹中。
10.根据权利要求7所述的装置,其特征在于,所述记录模块,还用于:
检测所述第一数据包中是否包含文件数据;
如果所述第一数据包中包含文件数据,则提取所述文件数据,并将所述文件数据存储到所述第一会话对应的数据存储文件中。
11.根据权利要求10所述的装置,其特征在于,所述检测模块,还用于如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,触发所述验证模块对所述数据存储文件中的文件数据进行安全检测,得到所述数据存储文件对应的安全检测结果。
12.根据权利要求7所述的装置,其特征在于,所述检测模块,还用于在检测到所述第一会话结束后,如果所述第一会话对应的数据包中,不存在检测结果为攻击数据包的数据包,则触发所述记录模块删除所述第一流量存储文件。
13.一种网络设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-6任一所述的方法步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910472406.2A CN110166480B (zh) | 2019-05-31 | 2019-05-31 | 一种数据包的分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910472406.2A CN110166480B (zh) | 2019-05-31 | 2019-05-31 | 一种数据包的分析方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110166480A true CN110166480A (zh) | 2019-08-23 |
| CN110166480B CN110166480B (zh) | 2021-05-14 |
Family
ID=67630602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910472406.2A Active CN110166480B (zh) | 2019-05-31 | 2019-05-31 | 一种数据包的分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110166480B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111782140A (zh) * | 2020-06-18 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 网络数据包存储方法、装置、计算机设备和存储介质 |
| CN112087532A (zh) * | 2020-08-28 | 2020-12-15 | 中国移动通信集团黑龙江有限公司 | 信息获取方法、装置、设备及存储介质 |
| CN113746993A (zh) * | 2021-08-20 | 2021-12-03 | 中移(杭州)信息技术有限公司 | VoIP通话检测方法、装置、设备及存储介质 |
| CN114598505A (zh) * | 2022-02-22 | 2022-06-07 | 深圳海域网络科技有限公司 | 一种数据全球分发的方法及装置 |
| CN114666169A (zh) * | 2022-05-24 | 2022-06-24 | 杭州安恒信息技术股份有限公司 | 一种扫描探测类型的识别方法、装置、设备及介质 |
| CN117354057A (zh) * | 2023-12-01 | 2024-01-05 | 杭州海康威视数字技术股份有限公司 | 恶意流量检测方法、装置及设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103546465A (zh) * | 2013-10-15 | 2014-01-29 | 北京交通大学长三角研究院 | 基于数据流周期监测的LDoS攻击检测及防御方法 |
| CN104486324A (zh) * | 2014-12-10 | 2015-04-01 | 北京百度网讯科技有限公司 | 识别网络攻击的方法及系统 |
| CN107018084A (zh) * | 2017-04-12 | 2017-08-04 | 南京工程学院 | 基于sdn架构的ddos攻击防御网络安全系统和方法 |
| CN107294982A (zh) * | 2017-06-29 | 2017-10-24 | 深信服科技股份有限公司 | 网页后门检测方法、装置及计算机可读存储介质 |
| CN107508816A (zh) * | 2017-08-31 | 2017-12-22 | 杭州迪普科技股份有限公司 | 一种攻击流量防护方法及装置 |
| CN109525587A (zh) * | 2018-11-30 | 2019-03-26 | 新华三信息安全技术有限公司 | 一种数据包的识别方法及装置 |
| CN109587008A (zh) * | 2018-12-28 | 2019-04-05 | 华为技术服务有限公司 | 检测异常流量数据的方法、装置及存储介质 |
-
2019
- 2019-05-31 CN CN201910472406.2A patent/CN110166480B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103546465A (zh) * | 2013-10-15 | 2014-01-29 | 北京交通大学长三角研究院 | 基于数据流周期监测的LDoS攻击检测及防御方法 |
| CN104486324A (zh) * | 2014-12-10 | 2015-04-01 | 北京百度网讯科技有限公司 | 识别网络攻击的方法及系统 |
| CN107018084A (zh) * | 2017-04-12 | 2017-08-04 | 南京工程学院 | 基于sdn架构的ddos攻击防御网络安全系统和方法 |
| CN107294982A (zh) * | 2017-06-29 | 2017-10-24 | 深信服科技股份有限公司 | 网页后门检测方法、装置及计算机可读存储介质 |
| CN107508816A (zh) * | 2017-08-31 | 2017-12-22 | 杭州迪普科技股份有限公司 | 一种攻击流量防护方法及装置 |
| CN109525587A (zh) * | 2018-11-30 | 2019-03-26 | 新华三信息安全技术有限公司 | 一种数据包的识别方法及装置 |
| CN109587008A (zh) * | 2018-12-28 | 2019-04-05 | 华为技术服务有限公司 | 检测异常流量数据的方法、装置及存储介质 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111782140A (zh) * | 2020-06-18 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 网络数据包存储方法、装置、计算机设备和存储介质 |
| CN112087532A (zh) * | 2020-08-28 | 2020-12-15 | 中国移动通信集团黑龙江有限公司 | 信息获取方法、装置、设备及存储介质 |
| CN112087532B (zh) * | 2020-08-28 | 2023-04-07 | 中国移动通信集团黑龙江有限公司 | 信息获取方法、装置、设备及存储介质 |
| CN113746993A (zh) * | 2021-08-20 | 2021-12-03 | 中移(杭州)信息技术有限公司 | VoIP通话检测方法、装置、设备及存储介质 |
| CN114598505A (zh) * | 2022-02-22 | 2022-06-07 | 深圳海域网络科技有限公司 | 一种数据全球分发的方法及装置 |
| CN114666169A (zh) * | 2022-05-24 | 2022-06-24 | 杭州安恒信息技术股份有限公司 | 一种扫描探测类型的识别方法、装置、设备及介质 |
| CN117354057A (zh) * | 2023-12-01 | 2024-01-05 | 杭州海康威视数字技术股份有限公司 | 恶意流量检测方法、装置及设备 |
| CN117354057B (zh) * | 2023-12-01 | 2024-03-05 | 杭州海康威视数字技术股份有限公司 | 恶意流量检测方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110166480B (zh) | 2021-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110166480A (zh) | 一种数据包的分析方法及装置 | |
| Protić | Review of KDD Cup ‘99, NSL-KDD and Kyoto 2006+ datasets | |
| Liu et al. | Efficient DDoS attacks mitigation for stateful forwarding in Internet of Things | |
| KR100773006B1 (ko) | 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법 | |
| Yegneswaran et al. | On the design and use of internet sinks for network abuse monitoring | |
| KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| CN103795709B (zh) | 一种网络安全检测方法和系统 | |
| Portokalidis et al. | Sweetbait: Zero-hour worm detection and containment using low-and high-interaction honeypots | |
| Sieklik et al. | Evaluation of TFTP DDoS amplification attack | |
| Gadge et al. | Port scan detection | |
| Ensafi et al. | Idle port scanning and non-interference analysis of network protocol stacks using model checking | |
| Osanaiye et al. | TCP/IP header classification for detecting spoofed DDoS attack in Cloud environment | |
| Patil et al. | Unmasking of source identity, a step beyond in cyber forensic | |
| Gupta et al. | Detecting attacks in high-speed networks: Issues and solutions | |
| Gupta et al. | Mitigation of dos and port scan attacks using snort | |
| Bala et al. | Quality based Bottom-up-Detection and Prevention Techniques for DDOS in MANET | |
| Lazzez | A survey about network forensics tools | |
| CN107018116A (zh) | 监控网络流量的方法、装置及服务器 | |
| Mergendahl et al. | FR-WARD: Fast retransmit as a wary but ample response to distributed denial-of-service attacks from the Internet of Things | |
| Jin et al. | A detour strategy for visiting phishing URLs based on dynamic DNS response policy zone | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| Ohsita et al. | Detecting Distributed Denial-of-Service Attacks by analyzing TCP SYN packets statistically | |
| RU2483348C1 (ru) | Способ защиты информационно-вычислительных сетей от компьютерных атак | |
| Shing | An improved tarpit for network deception | |
| Tang et al. | Honids: Enhancing honeypot system with intrusion detection models |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |