CN111314164A - 一种网络流量还原方法、装置和计算机可读存储介质 - Google Patents
一种网络流量还原方法、装置和计算机可读存储介质 Download PDFInfo
- Publication number
- CN111314164A CN111314164A CN201911286329.8A CN201911286329A CN111314164A CN 111314164 A CN111314164 A CN 111314164A CN 201911286329 A CN201911286329 A CN 201911286329A CN 111314164 A CN111314164 A CN 111314164A
- Authority
- CN
- China
- Prior art keywords
- data packet
- target
- target data
- information
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种网络流量还原方法、装置和可读存储介质,包括以下步骤:获取所述网络流量中的目标数据包;对所述目标数据包进行遍历,并查找目标特征信息;在查找到目标特征信息的情况下,根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型;根据所述协议类型确定所述目标数据包存放文件内容的位置信息;基于所述位置信息,对所述目标数据包中的文件内容进行还原。本发明实施例只进行了目标数据包的遍历,相对于对多层协议进行分析,效率有很大程度的提高,减少了阻塞发生的可能,使得文件丢失的概率大大降低。
Description
技术领域
本发明涉及网络技术技术领域,特别是涉及一种网络流量还原方法、装置和计算机可读存储介质。
背景技术
随着企业信息化的蓬勃发展,大量的文件在网络上进行传递,而且企业存在业务系统越来越多,无法在每个系统的入口及出口处做统一的监控,企业信息文档安全保护方面面临着越来越严峻的挑战。为了防止敏感文件的外泄,急需一种统一的监测系统,但是因为监测的文件传输均会产生网络流量,故若能在公司网络出口处将文件还原出来在做监控,则可有效的防止文件的外泄。但网络出口处的流量巨大,故需要一种文件还原方法。
目前网络流量还原文件的方法为:将抓取到的网络流量数据包送入协议分析器进行分析,协议分析器按照包头信息,一层层的分析各层协议内容,直到分析出文件内容为止,此时将文件内容保存下来,还原为文件。
目前的方法需要将每层协议都分析清楚,然后才能提取出文件,但分析协议是一个耗时操作,当网络流量巨大时,不能及时还原文件,一旦产生阻塞,会产生后续数据包无法继续分析,造成文件丢失,不能还原全部文件。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种网络流量还原方法、装置和计算机可读存储介质。
为了解决上述问题,本发明实施例公开了一种网络流量还原方法,包括以下步骤:
获取所述网络流量中的目标数据包;
对所述目标数据包进行遍历,并查找目标特征信息;
在查找到目标特征信息的情况下,根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型;
根据所述协议类型确定所述目标数据包存放文件内容的位置信息;
基于所述位置信息,对所述目标数据包中的文件内容进行还原。
可选地,所述对所述目标数据包进行遍历,并查找目标特征信息包括:
建立特征信息库;
对所述目标数据包的报头部分进行遍历;
若遍历到所述报头部分中包含所述特征信息库中的任意一种特征信息,则获取所述特征信息,所述特征信息为目标特征信息;
若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息,则对所述目标数据包的数据部分进行遍历。
可选地,所述若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息时,则对所述目标数据包的数据部分进行遍历之后还包括:
若在所述目标数据包的数据部分未遍历到所述特征信息库中的任意一种特征信息,则获取网络流量中的下一个数据包。
可选地,所述预设对应关系包括:所述目标特征信息与所述目标数据包应用层的协议类型之间预先定义的对应关系。
可选地,所述获取所述网络流量中的目标数据包之后还包括:
根据所述目标数据包的报头部分建立目标会话;
所述对所述目标数据包进行遍历,查找目标特征信息包括:
在所述目标会话中对所述目标数据包进行遍历,并查找目标特征信息。
可选地,所述基于所述位置信息,对所述目标数据包中的文件内容进行还原包括:
基于所述位置信息所标明的文件位置,对所述目标数据包中的文件内容进行缓存;
获取所述协议类型的结束标记,利用所述协议类型的结束标记,判断所述的目标会话中的所有数据包中的文件内容是否完成缓存;
若完成,则对所述目标会话中的所有数据包中的文件内容进行还原,若未完成,则获取网络流量中的下一个数据包。
可选地,所述基于所述位置信息,对所述目标数据包中的文件内容进行还原之后还包括:
对所述还原的文件内容进行敏感分析;
若所述还原的文件内容包含敏感信息,则对所述还原的文件内容进行记录并上报。
本发明实施例还公开了一种网络流量还原装置,所述装置包括:
获取模块,用于获取所述网络流量中的目标数据包;
遍历模块,用于对所述目标数据包进行遍历,并查找目标特征信息;
协议确定模块,用于在查找到目标特征信息的情况下,根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型;
位置确定模块,用于根据所述协议类型确定所述目标数据包存放文件内容的位置信息;
还原模块,用于基于所述位置信息,对所述目标数据包中的文件内容进行还原。
本发明实施例还公开了一种网络流量还原装置,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现所述的一种网络流量还原方法的步骤。
本发明实施例还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现所述的一种网络流量还原方法的步骤。
本发明实施例包括以下优点:
本发明实施例对目标数据包的进行遍历,查找目标特征信息,若查找到目标特征信息,则认为所述目标数据包包含有文件内容;然后在利用所述目标特征信息以及预设的对应关系确定出所述目标数据包应用层的协议类型,所述协议类型对应有所述目标数据包存档文件内容的位置信息,最后基于所述位置信息,对所述目标数据包中的文件内容进行还原。本发明实施例只进行了目标数据包的遍历,相对于对多层协议进行分析,效率有很大程度的提高,减少了阻塞发生的可能,使得文件丢失的概率大大降低。
附图说明
图1是本发明实施例中的一种网络流量还原方法的步骤流程图;
图2是本发明实施例中的另一种网络流量还原方法的步骤流程图;
图3是本发明实施例中的一种网络流量还原方法的具体步骤流程图;
图4是本发明实施例中的另一种网络流量还原方法的具体步骤流程图;
图5是本发明实施例中的一种流量监测器位置示意图;
图6是本发明实施例中的一种网络流量还原装置示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参照图1,本发明实施例公开了一种网络流量还原方法,包括以下步骤:
步骤101,获取所述网络流量中的目标数据包。
本发明实施例中,网络流量指在网络上各设备间传递信息数据,且按照OSI(OpenSystem Interconnect,即开放式系统互联)模型进行封装的信息数据,为一系列的数据包。数据包是通过网络传输的数据的基本单元,包含一个报头和数据本身,其中报头描述了数据的目的地以及和其它数据之间的关系。还原文件是指文件在网络设备间交互时在网络上产生网络流量,即网络流量中包含了文件,还原文件即是将网络流量中的包含文件的信息数据提取出来,并按一定方式还原出原始文件的过程。
本发明实施例中,所述获取网络流量中的目标数据包在OSI模型的数据链路层或者网络层中进行。
步骤102,对所述目标数据包进行遍历,并查找目标特征信息。
本发明实施例中,所述目标数据包为网络流量中的任意一个获取到的数据包,本发明实施例对此不做限定。所述目标数据包包含报头部分和数据部分,可选地,在具体的遍历过程中,可以先对报头部分进行遍历,当在包头部分遍历到目标特征后,就无需再对数据部分在进行遍历。由于数据包的报头仅包括数据的目的地以及和其它数据之间的关系,具有的数据量较小,若能够在报头部分就遍历到目标特征信息,则可以节省遍历时间,提高遍历效率。当然,也可以选用其他的遍历方式,只要能够对目标数据包中的内容进行便利,查找到目标特征就行,本发明实施例对此不作具体的限定。
本发明实施例中,所述目标特征信息为能够指示所述目标数据包在应用层的协议类型的特征信息,例如,所述目标数据包报头部分的源端口号,或目标数据包数据部分中能够标志协议特征的信息。
步骤103,在查找到目标特征信息的情况下,根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型。
本发明实施例中,所述预设关系对应表为根据多个特征信息和应用层的不同协议类型之间的对应关系建立的关系对应表。在获取到所述目标特征信息的情况下,能够基于所述目标特征信息以及所述预设对应关系表确定所述目标数据包应用层的协议类型。可以理解,所述预设对应关系可以为根据之前的经验获得的对应关系表,例如,25端口与smtp协议之间的对应关系,110端口与pop3协议之间的关系,HTTP/1.*与http协议之间的对应关系。
步骤104,根据所述协议类型确定所述目标数据包存放文件内容的位置信息。
本发明实施例中,在确定所述目标数据包应用层的协议类型后,根据应用层的协议的属性,不同类型的应用层协议具有不同的存放文件内容的位置,本发明实施例根据所述协议类型确定所述目标数据包存放文件内容的位置信息。
步骤105,基于所述位置信息,对所述目标数据包中的文件内容进行还原。
本发明实施例中,根据所述协议类型确定的目标数据包存放文件内容的位置信息,在所述位置信息所指示的位置中对所述目标数据包中的文件进行缓存,当整个文件内容都缓存完成后,进而进行文件内容的还原。当文件内容未完成缓存,则在网络流量中获取下一个数据包。
本发明实施例直接对目标数据包的进行遍历,查找目标特征信息,若查找到目标特征信息,则认为所述目标数据包包含有文件内容;然后在利用所述目标特征信息以及预设的对应关系确定出所述目标数据包应用层的协议类型,所述协议类型对应有所述目标数据包存档文件内容的位置信息,最后基于所述位置信息,对所述目标数据包中的文件内容进行还原。本发明实施例只进行了目标数据包的遍历,相对于对多层协议进行分析,效率有很大程度的提高,减少了阻塞发生的可能,使得文件丢失的概率大大降低。
参照图2,本发明实施例还公开了一种网络流量的还原方法,所述方法包括:
步骤201,获取所述网络流量中的目标数据包。
本发明实施例中,此步骤与前述的步骤101相同,此处不再赘述。
步骤202,建立特征信息库。
本发明实施例中,所述特征信息库根据实际的经验建立,所述特征信息库中的特征信息具有能够标识出数据包应用层的协议类型的特点。具体的,所述特征信息库的建立可以是当发现网络流量的数据包中具有的某些信息能够标识出该数据包应用层的协议类型时,则设定这些信息为特曾信息,进而建立特征信息库。
步骤203,对所述目标数据包的报头部分进行遍历。
本发明实施例中,在具体的遍历过程中,可以先对报头部分进行遍历,是由于数据包的报头仅包括数据的目的地以及和其它数据之间的关系,具有的数据量较小,若能够在报头部分就遍历到目标特征信息,则可以节省遍历时间,提高遍历效率。
步骤204,若遍历到所述报头部分中包含所述特征信息库中的任意一种特征信息,则获取所述特征信息,所述特征信息为目标特征信息
本发明实施例中,如果在遍历报头部分时,遍历到所述特征信息库中的任意一种特征信息,则说明所述报头部分包含特征信息,获取所述特征信息,则所述特征信息就为目标特征信息。具体的,所述报头部分的特征信息可以包括:25端口,110端口,21端口中的任意一种。此处只是示例,并不说明所述报头部分的特征信息只包括这些端口,应该理解报头部分也包括其它特征信息。
步骤205,若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息,则对所述目标数据包的数据部分进行遍历。
本发明实施例中,若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息,则对所述目标数据包的数据部分进行遍历,当在所述数据部分遍历到了特征信息时,则设置所述特征信息为目标特征信息。例如,所述数据部分的特征信息可以是HTTP/1.*。
步骤206,若在所述目标数据包的数据部分未遍历到所述特征信息库中的任意一种特征信息,则获取网络流量中的下一个数据包。
本发明实施例中,如果在所述目标数据包的数据部分未遍历到所述特征信息库中的任意一种特征信息,说明所述目标数据包中不包括特征信息,则获取网络流量中的下一个数据包,对下一个数据包按照前述的方法进行遍历处理。可以理解,当所述目标数据包的数据部分未遍历到所述特征信息库中的任意一种特征信息但也可能是因为所述特征信息库中的特征信息未建立完整,本发明实施例可以利用新获取的特征信息对所述特征信息库进行实时更新,以进一步完善所述特征信息库。
步骤207,在查找到目标特征信息的情况下,根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型。
本发明实施例中,此步骤与前述的步骤103相同,此处不再赘述。
步骤208,根据所述协议类型确定所述目标数据包存放文件内容的位置信息。
本发明实施例中,此步骤与前述的步骤104相同,此处不再赘述。
步骤209,基于所述位置信息,对所述目标数据包中的文件内容进行还原。
本发明实施例中,此步骤与前述的步骤105相同,此处不再赘述。
步骤2010,对所述还原的文件内容进行敏感分析。
本发明实施例中,本实例对还原出的文件进行敏感分析,获取所述文件内容是否包括敏感内容,具体的,所述敏感信息是由用户自己定义的。
作为一个具体的实施例,对外网交互的总出口的网络流量进行文件还原,并对文件进行监测。总出口处会对全部出口流量做镜像到流量监测器,流量监测器对网络流量进行文件还原,并对还原出的文件进行分析,从而判断是否为敏感信息或者敏感文件。其中,敏感信息或敏感文件是由用户自己定义的,定义好之后以策略的形式下发到流检测器,流检测器会根据策略内容和还原的文件内容进行匹配,如果匹配上则为敏感信息文件。
步骤2011,若所述还原的文件内容包含敏感信息,则对所述还原的文件内容进行记录并上报。
本发明实施例中,若所述还原的文件内容包含敏感信息或所述文件内容为敏感内容则对其记录并上报事件,之后管理员可查看该事件并对该事件做进行一步处理。
可选地,所述获取所述网络流量中的目标数据包之后还包括:根据所述目标数据包的报头部分建立目标会话;所述对所述目标数据包进行遍历,查找目标特征信息包括:在所述目标会话中对所述目标数据包进行遍历,并查找目标特征信息。
本发明实施例中,根据所述目标数据包四元组信息:源端口,目的端口,源IP和目的IP建立目标会话,可以理解,具有相同的四元组信息的数据包具有相同的会话。作为一种示例,在获取到目标数据包之后,根据目标数据包的四元组信息查找是否存在会话正在分析中,如果找到,则不用建立目标会话,查找到的会话为目标会话;如果未查找到目标会话,则利用目标数据包的四元组信息建立目标会话。在该目标会话中对所述目标数据包进行遍历,在遍历的过程中查找目标特征信息。可以理解,相同会话中的数据包都具有相同的四元组信息,即每个会话中的所有数据包中的文件内容构成了一个完整的文件。在目标会话中对目标数据包进行分析,能够为后续的文件还原提供便利。
可选地,所述基于所述位置信息,对所述目标数据包中的文件内容进行还原包括:基于所述位置信息所标明的文件位置,对所述目标数据包中的文件内容进行缓存;利用所述协议类型的结束标记,判断所述的目标会话中的所有数据包中的文件内容是否完成缓存;若完成,则对所述目标会话中的所有数据包中的文件内容进行还原,若未完成,则获取网络流量中的下一个数据包。
本发明实施例中,所述位置信息中给出了目标数据包中文件内容的存放位置,基于所述位置对目标数据包中的文件内容进行缓存。本发明实施例中不同的协议类型对应有不同的判断文件是否结束的结束标记,例如:http协议可以使用boundary或者content_lenth和文件大小属性进行比较获取结束标记;smtp协议会有特别的结束符<CRLF>.<CRLF>,可以利用此结束符作为smtp协议结束标记。本发明实施例利用所述结束标记判断所述目标会话中的文件内容缓存完成,在文件内容缓存完的情况下,对所述文件内容进行还原,若未缓存完成,则获取网络流量中的下一个数据包。
参照图3,在一个具体的示例中,公开了一种网络流量的还原方法,具体包括:进行目标数据包的抓包操作,并分析目标数据包的信息。根据收发IP及端口等信息查找所述目标数据包包所在会话是否正在分析过程中。若未找到,则新建对该会话的解析并保存下来,若找到该会话,则使用此会话信息继续对目标数据包做协议解析,分析出该包的协议类型,按照该协议类型事先定义好方式的进行特征信息的查找,若未找到特征信息,则等待分析下一个包;若找到特征信息,则根据特征信息所标明的文件位置进行文件内容缓存。最后判断文件内容是否结束(协议不同,判断结束标记也会不同,http协议可以使用boundary或者content_lenth和文件大小属性进行比较获取结束标记;smtp协议会有特别的结束符<CRLF>.<CRLF>,可以利用此结束符作为smtp协议的结束标记未结束),等待分析下一个包;若文件结束,则保存文件,结束对该会话的分析。
在一个具体的示例中,参照图4和图5,其中,图4为一种网络流量还原方法的示意图,图5为一种流量监测器位置示意图,本发明实施例公开了一种网络流量的还原方法,具体包括:开始抓包后,获得目标数据包,分析目标数据包的包信息,根据收发IP及端口等信息按会话进行文件还原,分析出该会话的协议类型,按照该协议类型事先定义好的特征信息进行查找。若未找到特征信息,则分析下一会话,若找到特征信息,则根据特征信息所标明的文件位置提取出文件,对提取出的文件做分析,是否为敏感文件,若为敏感文件则记录该文件并上报事件。参照图5,本实例为对外网交互的总出口的网络流量进行文件还原,并对文件进行监测。总出口处会对全部出口流量做镜像到流量监测器,流量监测器对网络流量进行文件还原,并对还原出的文件进行分析,若为敏感信息文件则对其记录并上报事件,之后管理员可查看该事件并对该事件做进行一步处理。
本发明实施例直接对目标数据包的进行遍历,查找目标特征信息,若查找到目标特征信息,则认为所述目标数据包包含有文件内容;然后在利用所述目标特征信息以及预设的对应关系确定出所述目标数据包应用层的协议类型,所述协议类型对应有所述目标数据包存档文件内容的位置信息,最后基于所述位置信息,对所述目标数据包中的文件内容进行还原。本发明实施例只进行了目标数据包的遍历,相对于对多层协议进行分析,效率有很大程度的提高,减少了阻塞发生的可能,使得文件丢失的概率大大降低。
本发明实施例所公开的一种网络流量还原方法可以提高网络流量的还原效率,也可以使得应用该方法的系统降低硬件成本。
本发明还公开了一种网络流量还原装置,参照图6,所述装置包括:
获取模块301,用于获取所述网络流量中的目标数据包;
遍历模块302,用于对所述目标数据包进行遍历,并查找目标特征信息;
协议确定模块303,用于在查找到目标特征信息的情况下,根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型;
位置确定模块304,用于根据所述协议类型确定所述目标数据包存放文件内容的位置信息;
还原模块305,用于基于所述位置信息,对所述目标数据包中的文件内容进行还原。
可选地,所述遍历模块包括:
建立子模块,用于建立特征信息库;
第一遍历子模块,用于对所述目标数据包的报头部分进行遍历;
第二遍历子模块,用于若遍历到所述报头部分中包含所述特征信息库中的任意一种特征信息,则获取所述特征信息,所述特征信息为目标特征信息;
第三遍历子模块,用于若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息,则对所述目标数据包的数据部分进行遍历。
可选地,所述遍历模块还包括:
第四遍历子模块,用于若在所述目标数据包的数据部分未遍历到所述特征信息库中的任意一种特征信息,则获取网络流量中的下一个数据包。
可选地,所述预设对应关系包括:所述目标特征信息与所述目标数据包应用层的协议类型之间预先定义的对应关系。
可选地,所述装置还包括:
会话建立模块,用于根据所述目标数据包的报头部分建立目标会话;
所述遍历模块还包括:
第五遍历子模块,用于在所述目标会话中对所述目标数据包进行遍历,并查找目标特征信息。
可选地,所述还原模块包括:
缓存子模块,用于基于所述位置信息所标明的文件位置,对所述目标数据包中的文件内容进行缓存;
判断子模块,用于利用所述协议类型的结束标记,判断所述的目标会话中的所有数据包中的文件内容是否完成缓存;
还原子模块,用于若完成,则对所述目标会话中的所有数据包中的文件内容进行还原,若未完成,则获取网络流量中的下一个数据包。
可选地,所述装置还包括:
敏感分析模块,用于对所述还原的文件内容进行敏感分析;
处理模块,用于若所述还原的文件内容包含敏感信息,则对所述还原的文件内容进行记录并上报。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明实施例还公开了一种网络流量还原装置,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现所述的一种网络流量还原方法的步骤。
本发明实施例还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现所述的一种网络流量还原方法的步骤。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、装置、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种网络流量还原方法和装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种网络流量还原方法,其特征在于,包括以下步骤:
获取所述网络流量中的目标数据包;
对所述目标数据包进行遍历,并查找目标特征信息;
在查找到目标特征信息的情况下,根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型;
根据所述协议类型确定所述目标数据包存放文件内容的位置信息;
基于所述位置信息,对所述目标数据包中的文件内容进行还原。
2.根据权利要求1所述的还原方法,其特征在于,所述对所述目标数据包进行遍历,并查找目标特征信息包括:
建立特征信息库;
对所述目标数据包的报头部分进行遍历;
若遍历到所述报头部分中包含所述特征信息库中的任意一种特征信息,则获取所述特征信息,所述特征信息为目标特征信息;
若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息,则对所述目标数据包的数据部分进行遍历。
3.根据权利要求2所述的还原方法,其特征在于,所述若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息时,则对所述目标数据包的数据部分进行遍历之后还包括:
若在所述目标数据包的数据部分未遍历到所述特征信息库中的任意一种特征信息,则获取网络流量中的下一个数据包。
4.根据权利要求1所述的还原方法,其特征在于,所述预设对应关系包括:所述目标特征信息与所述目标数据包应用层的协议类型之间预先定义的对应关系。
5.根据权利要求1所述的还原方法,其特征在于,所述获取所述网络流量中的目标数据包之后还包括:
根据所述目标数据包的报头部分建立目标会话;
所述对所述目标数据包进行遍历,查找目标特征信息包括:
在所述目标会话中对所述目标数据包进行遍历,并查找目标特征信息。
6.根据权利要求5所述的还原方法,其特征在于,所述基于所述位置信息,对所述目标数据包中的文件内容进行还原包括:
基于所述位置信息所标明的文件位置,对所述目标数据包中的文件内容进行缓存;
获取所述协议类型的结束标记,利用所述协议类型的结束标记,判断所述的目标会话中的所有数据包中的文件内容是否完成缓存;
若完成,则对所述目标会话中的所有数据包中的文件内容进行还原,若未完成,则获取网络流量中的下一个数据包。
7.根据权利要求1所述的还原方法,其特征在于,所述基于所述位置信息,对所述目标数据包中的文件内容进行还原之后还包括:
对所述还原的文件内容进行敏感分析;
若所述还原的文件内容包含敏感信息,则对所述还原的文件内容进行记录并上报。
8.一种网络流量还原装置,其特征在于,所述装置包括:
获取模块,用于获取所述网络流量中的目标数据包;
遍历模块,用于对所述目标数据包进行遍历,并查找目标特征信息;
协议确定模块,用于在查找到目标特征信息的情况下,根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型;
位置确定模块,用于根据所述协议类型确定所述目标数据包存放文件内容的位置信息;
还原模块,用于基于所述位置信息,对所述目标数据包中的文件内容进行还原。
9.一种网络流量还原装置,其特征在于,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的一种网络流量还原方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的一种网络流量还原方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911286329.8A CN111314164A (zh) | 2019-12-13 | 2019-12-13 | 一种网络流量还原方法、装置和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911286329.8A CN111314164A (zh) | 2019-12-13 | 2019-12-13 | 一种网络流量还原方法、装置和计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111314164A true CN111314164A (zh) | 2020-06-19 |
Family
ID=71161471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911286329.8A Pending CN111314164A (zh) | 2019-12-13 | 2019-12-13 | 一种网络流量还原方法、装置和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111314164A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112055020A (zh) * | 2020-09-04 | 2020-12-08 | 北京明朝万达科技股份有限公司 | 报文筛选方法、装置及数据传输系统 |
| CN112328764A (zh) * | 2020-11-05 | 2021-02-05 | 北京微步在线科技有限公司 | 文件的识别方法、装置及计算机可读存储介质 |
| CN112637223A (zh) * | 2020-12-26 | 2021-04-09 | 曙光网络科技有限公司 | 应用协议识别方法、装置、计算机设备和存储介质 |
| CN115134434A (zh) * | 2022-06-17 | 2022-09-30 | 奇安信科技集团股份有限公司 | 会话连接的监控方法及装置 |
| CN116366327A (zh) * | 2023-03-27 | 2023-06-30 | 中国华能集团有限公司北京招标分公司 | 一种网络流量还原和监控方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2323342A1 (en) * | 2008-09-28 | 2011-05-18 | Huawei Technologies Co., Ltd. | Data transmission method and network node and data transmission system |
| CN103067218A (zh) * | 2012-12-14 | 2013-04-24 | 华中科技大学 | 一种高速网络数据包内容分析装置 |
| CN103281213A (zh) * | 2013-04-18 | 2013-09-04 | 西安交通大学 | 一种网络流量内容提取和分析检索方法 |
| CN105357082A (zh) * | 2014-12-22 | 2016-02-24 | 成都科来软件有限公司 | 一种网络流量的识别方法及装置 |
| CN107018096A (zh) * | 2017-05-03 | 2017-08-04 | 成都国腾实业集团有限公司 | 基于应用层协议进行数据分析与还原的方法 |
| CN107579995A (zh) * | 2017-09-30 | 2018-01-12 | 北京奇虎科技有限公司 | 车载系统的网络防护方法及装置 |
-
2019
- 2019-12-13 CN CN201911286329.8A patent/CN111314164A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2323342A1 (en) * | 2008-09-28 | 2011-05-18 | Huawei Technologies Co., Ltd. | Data transmission method and network node and data transmission system |
| CN103067218A (zh) * | 2012-12-14 | 2013-04-24 | 华中科技大学 | 一种高速网络数据包内容分析装置 |
| CN103281213A (zh) * | 2013-04-18 | 2013-09-04 | 西安交通大学 | 一种网络流量内容提取和分析检索方法 |
| CN105357082A (zh) * | 2014-12-22 | 2016-02-24 | 成都科来软件有限公司 | 一种网络流量的识别方法及装置 |
| CN107018096A (zh) * | 2017-05-03 | 2017-08-04 | 成都国腾实业集团有限公司 | 基于应用层协议进行数据分析与还原的方法 |
| CN107579995A (zh) * | 2017-09-30 | 2018-01-12 | 北京奇虎科技有限公司 | 车载系统的网络防护方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112055020A (zh) * | 2020-09-04 | 2020-12-08 | 北京明朝万达科技股份有限公司 | 报文筛选方法、装置及数据传输系统 |
| CN112328764A (zh) * | 2020-11-05 | 2021-02-05 | 北京微步在线科技有限公司 | 文件的识别方法、装置及计算机可读存储介质 |
| CN112637223A (zh) * | 2020-12-26 | 2021-04-09 | 曙光网络科技有限公司 | 应用协议识别方法、装置、计算机设备和存储介质 |
| CN115134434A (zh) * | 2022-06-17 | 2022-09-30 | 奇安信科技集团股份有限公司 | 会话连接的监控方法及装置 |
| CN116366327A (zh) * | 2023-03-27 | 2023-06-30 | 中国华能集团有限公司北京招标分公司 | 一种网络流量还原和监控方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111314164A (zh) | 一种网络流量还原方法、装置和计算机可读存储介质 | |
| JP3655486B2 (ja) | イベント・ログ方法 | |
| US7873594B2 (en) | System analysis program, system analysis method, and system analysis apparatus | |
| US7844692B2 (en) | Web server multiplier for analyzing resource leaks | |
| CN105743732B (zh) | 一种记录局域网文件传输路径和分布情况的方法及系统 | |
| CN106534146A (zh) | 一种安全监测系统及方法 | |
| CN107786551B (zh) | 访问内网服务器的方法及控制访问内网服务器的装置 | |
| US20180316702A1 (en) | Detecting and mitigating leaked cloud authorization keys | |
| CN107347016B (zh) | 一种信令流程模型识别方法及异常信令流程辨识方法 | |
| CA2789936C (en) | Identification of sequential browsing operations | |
| CN113300977B (zh) | 一种基于多特征融合分析的应用流量识别与分类方法 | |
| CN110891071A (zh) | 一种网络流量信息获取方法、装置及其相关设备 | |
| CN106326280B (zh) | 数据处理方法、装置及系统 | |
| CN108287874B (zh) | 一种db2数据库管理方法及装置 | |
| CN111241547B (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| CN117336098A (zh) | 一种网络空间数据安全性监测分析方法 | |
| CN111885088A (zh) | 基于区块链的日志监测方法及装置 | |
| CN108540471B (zh) | 移动应用网络流量聚类方法、计算机可读存储介质和终端 | |
| CN114610689B (zh) | 一种分布式环境中请求日志的记录和分析方法 | |
| KR100744562B1 (ko) | P2p 트래픽 분류 시스템 및 그 분류 방법 | |
| CN111343132A (zh) | 文件传输检测方法及装置、存储介质 | |
| CN110868422B (zh) | 一种Http站点检测方法、装置、设备、介质 | |
| CN108667685B (zh) | 移动应用网络流量聚类装置 | |
| CN108933683B (zh) | 网络加速感知方法、装置和系统 | |
| CN105701002A (zh) | 一种基于测试的执行路径的记录方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200619 |
|
| RJ01 | Rejection of invention patent application after publication |