CN116896470A - 基于镜像网络流量的ftp文件还原方法 - Google Patents
基于镜像网络流量的ftp文件还原方法 Download PDFInfo
- Publication number
- CN116896470A CN116896470A CN202310939669.6A CN202310939669A CN116896470A CN 116896470 A CN116896470 A CN 116896470A CN 202310939669 A CN202310939669 A CN 202310939669A CN 116896470 A CN116896470 A CN 116896470A
- Authority
- CN
- China
- Prior art keywords
- ftp
- flow
- file
- judging whether
- stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 230000005540 biological transmission Effects 0.000 claims abstract description 21
- 238000012546 transfer Methods 0.000 claims abstract description 20
- 238000001914 filtration Methods 0.000 claims abstract description 8
- 230000006798 recombination Effects 0.000 claims abstract description 4
- 238000005215 recombination Methods 0.000 claims abstract description 4
- 230000011664 signaling Effects 0.000 claims description 9
- 102100036402 DAP3-binding cell death enhancer 1 Human genes 0.000 claims description 4
- 101000929221 Homo sapiens DAP3-binding cell death enhancer 1 Proteins 0.000 claims description 4
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于镜像网络流量的FTP文件还原方法,涉及计算机技术领域,包括S1获取镜像数据流量;S2判断是否为FTP协议,若是,则当前流i是FTP控制流,进S3,反之进S4;S3获取五元组信息,放入FTP文件传输列表;S4获取新的镜像数据流量;S5判断当前流i’是否在FTP文件传输列表中,若是,进S6;反之则过滤;S6当前流i’为FTP数据流,进行流重组,写FTP文件数据到磁盘中;S7判断当前流i’是否是最后一个数据包,若是,则清除FTP文件传输列表中当前流i’的五元组信息;反之则进S8;S8令i’+1=i’,返S4;通过对网络流量中的FTP流量进行识别,分析,准确无误地还原FTP传输文件中的文件内容,通过对FTP传输文件的分析,即可分析判断是否是恶意文件,以及后续是否拦截等操作。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种基于镜像网络流量的FTP文件还原方法。
背景技术
FTP是传输控制协议/互联网协议(TCP/IP)网络上两台计算机之间传送文件的协议,是在TCP/IP网络和互联网(INTERNET)上最早使用的协议之一,属于网络协议组的应用层。FTP客户端可以向FTP服务器发出请求,从FTP服务器下载文件,向FTP服务器上传文件,并可以创建或改变FTP服务器上的目录。随着信息技术的不断发展,网络安全变得越来越重要了。而在网络安全领域中,FTP文件传输的安全也变得尤为重要。在网络流量分析中,经常需要甄别FTP传输的文件是否是恶意文件,因此还原FTP文件具有重要意义。
发明内容
本发明的目的就在于为了解决上述问题设计了一种基于镜像网络流量的FTP文件还原方法。
本发明通过以下技术方案来实现上述目的:
基于镜像网络流量的FTP文件还原方法,包括:
S1、获取镜像数据流量;
S2、根据协议判断是否为FTP协议,如果源端口或目的端口是21,同时请求包中包含以下关键字:ABOR、ACCT、ALLO、APPE、CDUP、CWD、DELE、HELP、LIST、MODE、MKD、NLST、NOOP、PASS、PASV、PORT、PWD、QUIT、REIN、REST、RETR、RMD或RNTO,则当前流i是FTP控制流,并进入S3,反之则进入S4;
S3、获取文件传输流量的五元组信息,并放入到FTP文件传输列表中;
S4、获取新的镜像数据流量;
S5、判断当前流i’的的五元组信息是否在FTP文件传输列表中,若是,则进入S6;反之则进行流过滤;
S6、设置当前流i’为FTP数据流,对FTP文件传输数据进行流重组,并写FTP文件数据到磁盘中;
S7、判断当前流i’是否是最后一个数据包,若是,则清除FTP文件传输列表中当前流i’的五元组信息;反之则进入S8;
S8、令i’+1=i’,并返回S4。
本发明的有益效果在于:通过对网络流量中的FTP流量进行识别,分析,准确无误地还原FTP传输文件中的文件内容,通过对FTP传输文件的分析,即可分析判断是否是恶意文件,以及后续是否拦截等操作。
附图说明
图1是本发明基于镜像网络流量的FTP文件还原方法的流程图;
图2是本发明基于镜像网络流量的FTP文件还原方法的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要理解的是,术语“上”、“下”、“内”、“外”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,或者是本领域技术人员惯常理解的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的设备或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,“设置”、“连接”等术语应做广义理解,例如,“连接”可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接连接,也可以通过中间媒介间接连接,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
下面结合附图,对本发明的具体实施方式进行详细说明。
基于镜像网络流量的FTP文件还原方法,包括:
S1、获取镜像数据流量;
S2、根据协议判断是否为FTP协议,如果源端口或目的端口是21,同时请求包中包含以下关键字:ABOR、ACCT、ALLO、APPE、CDUP、CWD、DELE、HELP、LIST、MODE、MKD、NLST、NOOP、PASS、PASV、PORT、PWD、QUIT、REIN、REST、RETR、RMD或RNTO,则当前流i是FTP控制流,并进入S3,反之则进入S4;
S3、获取文件传输流量的五元组信息,并放入到FTP文件传输列表中;具体包括:
S31、判断控制流是否是主动模式,如果是主动模式,则进入S32;反之则进入S33;
S32、判断信令命令是否是PORT或EPRT,若是,则获取FTP数据传输的五元组信息,并将五元组信息放入到FTP文件传输列表,并进入S34;反之则直接结束当前流i;
S33、判断信令命令是否是PASV或EPSV,如果是PASV或EPSV,获取FTP数据传输的五元组信息,并将五元组信息放入到FTP文件传输列表,并进入S34;反之则直接结束当前流i;
S34、判断当前流i是否是最后一个数据包,若是则直接结束当前流i;反之则进入S35;
S35、令i+1=i,并返回S31。
S4、获取新的镜像数据流量;
S4’、判断当前流i是否为TCP流量,若是则进入S5,反之则进行流过滤;
S5、判断当前流i’的的五元组信息是否在FTP文件传输列表中,若是,则进入S6;反之则进行流过滤;
S6、设置当前流i’为FTP数据流,对FTP文件传输数据进行流重组,并写FTP文件数据到磁盘中;
S7、判断当前流i’是否是最后一个数据包,若是,则清除FTP文件传输列表中当前流i’的五元组信息;反之则进入S8;
S8、令i’+1=i’,并返回S4。
本发明基于镜像网络流量的FTP文件还原方法的工作原理如下:
1、根据FTP信令数据识别、解析、提取文件信息
①:获取镜像数据流量,操作完成转②;
②:根据协议识别判断是否是FTP协议,如果源端口或目的端口是21,同时请求包中包含以下关键字:ABOR、ACCT、ALLO、APPE、CDUP、CWD、DELE、HELP、LIST、MODE、MKD、NLST、NOOP、PASS、PASV、PORT、PWD、QUIT、REIN、REST、RETR、RMD、RNTO等关键字,则当前流是FTP控制流,进入③;
③:判断控制流是否是主动模式,如果是主动模式,则进入④,如果是被动模式,则进入⑤;
④:如果是主动模式,判断信令命令是否是PORT或EPRT,如果是PORT或EPRT,获取FTP数据传输的五元组信息,并将五元组信息放入到FTP文件传输列表,进入⑦,否则进入⑥;
⑤:如果是被动模式,判断信令命令是否是PASV或EPSV,如果是PASV或EPSV,获取FTP数据传输的五元组信息,并将五元组信息放入到FTP文件传输列表,进入⑦,否则进入⑥;
⑥:判断当前数据包是否是最后一个数据包,如果是最后一个数据包进入⑦,如果不是最后一个数据包,重复③④⑤;
⑦:结束当前流;
2、根据FTP文件传输列表中的五元组信息获取FTP数据流
(1):获取新的镜像数据流量,操作完成转(2);
(2):判断当前流是否是TCP流,如果是进入(3),否则设置流过滤,进入(12);
(3):获取当前流的五元组信息,判断当前流的五元组信息是否在FTP文件传输列表内,如果五元组信息存在于FTP文件传输列表内,进入(4),否则进入(10);
(4):设置当前流为FTP数据流,进入(5);
(5):对镜像流量的FTP文件传输数据进行流重组,操作完成转(6);
(6):写FTP文件数据到磁盘中,操作完成转(7);
(7):判断当前数据包是否是最后一个数据包,如果是进入(11),否则进入(8);
(8):获取下一个数据包,并进入(9);
(9):重复步骤(5)、(6)、(7)、(8);
(10):设置流过滤,后续当前流的数据包不再进行处理,操作完成转(12);
(11):清除FTP文件传输列表中当前流的五元组信息;进入(12);
(12):结束当前流。
本发明的技术方案不限于上述具体实施例的限制,凡是根据本发明的技术方案做出的技术变形,均落入本发明的保护范围之内。
Claims (3)
1.基于镜像网络流量的FTP文件还原方法,其特征在于,包括:
S1、获取镜像数据流量;
S2、根据协议判断是否为FTP协议,如果源端口或目的端口是21,同时请求包中包含以下关键字:ABOR、ACCT、ALLO、APPE、CDUP、CWD、DELE、HELP、LIST、MODE、MKD、NLST、NOOP、PASS、PASV、PORT、PWD、QUIT、REIN、REST、RETR、RMD或RNTO,则当前流i是FTP控制流,并进入S3,反之则进入S4;
S3、获取文件传输流量的五元组信息,并放入到FTP文件传输列表中;
S4、获取新的镜像数据流量;
S5、判断当前流i’的的五元组信息是否在FTP文件传输列表中,若是,则进入S6;反之则进行流过滤;
S6、设置当前流i’为FTP数据流,对FTP文件传输数据进行流重组,并写FTP文件数据到磁盘中;
S7、判断当前流i’是否是最后一个数据包,若是,则清除FTP文件传输列表中当前流i’的五元组信息;反之则进入S8;
S8、令i’+1=i’,并返回S4。
2.根据权利要求1所述的基于镜像网络流量的FTP文件还原方法,其特征在于,在S3中包括:
S31、判断控制流是否是主动模式,如果是主动模式,则进入S32;反之则进入S33;
S32、判断信令命令是否是PORT或EPRT,若是,则获取FTP数据传输的五元组信息,并将五元组信息放入到FTP文件传输列表,并进入S34;反之则直接结束当前流i;
S33、判断信令命令是否是PASV或EPSV,如果是PASV或EPSV,获取FTP数据传输的五元组信息,并将五元组信息放入到FTP文件传输列表,并进入S34;反之则直接结束当前流i;
S34、判断当前流i是否是最后一个数据包,若是则直接结束当前流i;反之则进入S35;
S35、令i+1=i,并返回S31。
3.根据权利要求1所述的基于镜像网络流量的FTP文件还原方法,其特征在于,在S4-S5之间还包括S4’、判断当前流i是否为TCP流量,若是则进入S5,反之则进行流过滤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310939669.6A CN116896470A (zh) | 2023-07-28 | 2023-07-28 | 基于镜像网络流量的ftp文件还原方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310939669.6A CN116896470A (zh) | 2023-07-28 | 2023-07-28 | 基于镜像网络流量的ftp文件还原方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116896470A true CN116896470A (zh) | 2023-10-17 |
Family
ID=88309655
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310939669.6A Pending CN116896470A (zh) | 2023-07-28 | 2023-07-28 | 基于镜像网络流量的ftp文件还原方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116896470A (zh) |
-
2023
- 2023-07-28 CN CN202310939669.6A patent/CN116896470A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7325249B2 (en) | Identifying unwanted electronic messages | |
| CN109936512B (zh) | 流量分析方法、公共服务流量归属方法及相应的计算机系统 | |
| CN111191767B (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
| CN111726809B (zh) | 数控环境下的网络安全审计方法及系统 | |
| CN108282414B (zh) | 一种数据流的引导方法、服务器和系统 | |
| CN112118249A (zh) | 基于日志和防火墙的安全防护方法及装置 | |
| US8140671B2 (en) | Apparatus and method for sampling security events based on contents of the security events | |
| CN104883362A (zh) | 异常访问行为控制方法及装置 | |
| CN112070508B (zh) | 基于区块链金融的区块链支付处理方法及区块链支付平台 | |
| CN109922083B (zh) | 一种网络协议流量控制系统 | |
| CN110912933B (zh) | 一种基于被动测量的设备识别方法 | |
| CN116896470A (zh) | 基于镜像网络流量的ftp文件还原方法 | |
| CN110401626B (zh) | 一种黑客攻击分级检测方法及装置 | |
| KR102119636B1 (ko) | 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법 | |
| CN111985569A (zh) | 基于多源点聚类思想的匿名节点定位方法 | |
| CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 | |
| CN112350905B (zh) | 一种运营商业务路由器变更后快速确认业务的方法和装置 | |
| CN108255868B (zh) | 检查网站中链接的方法和装置 | |
| CN113938314B (zh) | 一种加密流量的检测方法及装置、存储介质 | |
| EP3598330B1 (fr) | Procédé et dispositif de détection d'anomalie | |
| CN114579961A (zh) | 基于多行业检测规则的敏感数据识别方法及相关装置 | |
| JP6169954B2 (ja) | サービス推定装置及び方法 | |
| CN107592214B (zh) | 一种识别互联网应用系统登录用户名的方法 | |
| CN115174197B (zh) | webshell文件的检测方法、系统、电子设备及计算机存储介质 | |
| CN114172813B (zh) | 网络拓扑图的绘制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |