一种加密协议的pcap元数据再分析方法技术

技术编号：41187334 阅读：2 留言：0更新日期：2024-05-07 22:19

本发明专利技术公开了一种加密协议的pcap元数据再分析方法，属于网络安全和全流量分析技术领域，一种加密协议的pcap元数据再分析方法，该种分析方法的具体实施步骤包括：抓取采集口的流量数据、对抓取的数据包进行存储，以pcap数据包的形式存储在本机的硬盘中、对抓取的加密数据进行筛选、将加密的数据存入共享内存中，并进行再分析处理、解密模块从共享内存中取出加密数据进行解密得到解密后的元数据，然后将解密后的元数据进行保存。它可以呈现分析结果，同时对元数据进行解密存储，有效降低数据的分析时间，且该种分析方法可同步进行数据的处理和存储，进而有效提高了数据的分析效率。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及网络安全和全流量分析，更具体地说，涉及一种加密协议的pcap元数据再分析方法。

技术介绍

1、pcap这个抓包库给抓包系统提供了一个高层次的接口。所有网络上的数据包，甚至是那些发送给其他主机的，通过这种机制，都是可以捕获的。它也支持把捕获的数据包保存为本地文件和从本地文件读取信息。

2、现主引擎的功能为采集流量数据，分析后将元数据存入es数据库，同时将流量以pcap数据包形式存储在硬盘中。在真实的流量采集分析的场景下，对于加密的流量数据如tls协议数据，需要对其进行解密，得到解密后的元数据。

3、基于上述，本专利技术人发现：

4、在pcap元数据进行分析时，对于实际的分析情况，目前常用的方法仍具有一定的改进空间：

5、①在采集到加密数据时，需要对数据进行解密，es中所保存的需要是解密后的元数据，而不是加密的元数据，然后再对元数据进行存储，此时会增加对数据的分析时间，降低了数据的分析效率；

6、②在针对元数据进行存储时，在存储时是以整个会话为标准，需要等待整个会话结束后才进行分析，这样就会对性能造成一定的影响，并影响分析效率。

7、于是，有鉴于此，针对现有的结构予以研究改良，提供一种加密协议的pcap元数据再分析方法，以期达到更具有更加实用价值性的目的。

技术实现思路

1、1.要解决的技术问题

2、针对现有技术中存在的问题，本专利技术的目的在于提供一种加密协议的pcap元数据再分析方法，

3、2.技术方案

4、为解决上述问题，本专利技术采用如下的技术方案。

5、一种加密协议的pcap元数据再分析方法，该种分析方法的具体实施步骤如下：

6、步骤s1：抓取采集口的流量数据；

7、步骤s2：对抓取的数据包进行存储，以pcap数据包的形式存储在本机的硬盘中；

8、步骤s3：对抓取的加密数据进行筛选；

9、步骤s4：将加密的数据存入共享内存中，并进行再分析处理；

10、步骤s5：解密模块从共享内存中取出加密数据进行解密得到解密后的元数据；

11、步骤s6：将解密后的元数据进行保存。

12、进一步的，所述步骤s1中，在抓取采集口的流量数据时，利用wireshark或tcpdump获取基于pcap文件的采集口的流量数据。

13、进一步的，所述步骤s2中，在数据包进行存储时，备份存储文件，并对备份文件进行译重新编码转码操作，然后压缩转码文件。

14、进一步的，所述步骤s3中，对抓取的加密数据进行筛选，筛选的具体步骤如下：

15、步骤s3.1：搜索加密数据的连接节点，进行加密数据的识别；

16、步骤s3.2：建立筛选的多级分选点，依序进行加密数据的筛选和分流；

17、步骤s3.3：依据筛选结果建立筛选目录，并将筛选的加密数据分别存储于对应目录中，然后建立定位节点；

18、步骤s3.4：对筛选未通过的数据进行粉碎处理。

19、进一步的，所述步骤s3.1中，在定位加密数据的连接节点时，抓到加密数据包中的握手包，并建立识别。

20、进一步的，所述步骤s3.2中，在建立加密数据筛选和分流时，设置的分选点的数量范围为4～10。

21、进一步的，所述步骤s4中，在加密数据存入共享内存时，此时解密模块工作，从共享内存中调用加密数据，对数据进行再分析处理。

22、进一步的，所述步骤s5中，在解密并形成元数据后，对解密的元数据进行踩点分析，并记录为对比数据，将对比数据与步骤s4中的数据进行对比。

23、进一步的，所述步骤s6中，在保存数据时，建立关于数据的es数据库，然后进行元数据保存，并在es数据库建立索引点。

24、3.有益效果

25、相比于现有技术，本专利技术的优点在于：

26、①本方案，在采集加密数据时，依次进行流量数据的专区、存储、筛选和再分析，且在分析过程中，可直接对筛选后的加密的元数据进行分析，避免了元数据先解密后分析的情况发生，在分析后，可以呈现分析结果，同时对元数据进行解密存储，这样可以有效降低数据的分析时间，进而有效提高了数据的分析效率；

27、②本方案，在进行元数据进行存储时，利用解密模块直接调用加密数据，并直接进行再分析处理，可避免对加密数据进行解密的阶段，同时，在整个调用数据和解密数据的会话中，不以整个会话为标准，且不需要等待整个会话结束后才进行分析，取而代之的是，同步进行数据的处理和存储，此时可有效提高了数据的处理效率。

本文档来自技高网...

【技术保护点】

1.一种加密协议的pcap元数据再分析方法，其特征在于：该种分析方法的具体实施步骤如下：

2.根据权利要求1所述的一种加密协议的pcap元数据再分析方法，其特征在于：所述步骤S1中，在抓取采集口的流量数据时，利用wireshark或tcpdump获取基于pcap文件的采集口的流量数据。

3.根据权利要求1所述的一种加密协议的pcap元数据再分析方法，其特征在于：所述步骤S2中，在数据包进行存储时，备份存储文件，并对备份文件进行译重新编码转码操作，然后压缩转码文件。

4.根据权利要求1所述的一种加密协议的pcap元数据再分析方法，其特征在于：所述步骤S3中，对抓取的加密数据进行筛选，筛选的具体步骤如下：

5.根据权利要求4所述的一种加密协议的pcap元数据再分析方法，其特征在于：所述步骤S3.1中，在定位加密数据的连接节点时，抓到加密数据包中的握手包，并建立识别。

6.根据权利要求4所述的一种加密协议的pcap元数据再分析方法，其特征在于：所述步骤S3.2中，在建立加密数据筛选和分流时，设置的分选点的数量范围为4～10。</p>

7.根据权利要求4所述的一种加密协议的pcap元数据再分析方法，其特征在于：所述步骤S4中，在加密数据存入共享内存时，此时解密模块工作，从共享内存中调用加密数据，对数据进行再分析处理。

8.根据权利要求1所述的一种加密协议的pcap元数据再分析方法，其特征在于：所述步骤S5中，在解密并形成元数据后，对解密的元数据进行踩点分析，并记录为对比数据，将对比数据与步骤S4中的数据进行对比。

9.根据权利要求1所述的一种加密协议的pcap元数据再分析方法，其特征在于：所述步骤S6中，在保存数据时，建立关于数据的es数据库，然后进行元数据保存，并在es数据库建立索引点。

...

【技术特征摘要】

1.一种加密协议的pcap元数据再分析方法，其特征在于：该种分析方法的具体实施步骤如下：

2.根据权利要求1所述的一种加密协议的pcap元数据再分析方法，其特征在于：所述步骤s1中，在抓取采集口的流量数据时，利用wireshark或tcpdump获取基于pcap文件的采集口的流量数据。

3.根据权利要求1所述的一种加密协议的pcap元数据再分析方法，其特征在于：所述步骤s2中，在数据包进行存储时，备份存储文件，并对备份文件进行译重新编码转码操作，然后压缩转码文件。

4.根据权利要求1所述的一种加密协议的pcap元数据再分析方法，其特征在于：所述步骤s3中，对抓取的加密数据进行筛选，筛选的具体步骤如下：

5.根据权利要求4所述的一种加密协议的pcap元数据再分析方法，其特征在于：所述步骤s3.1中，在定位加密数据的连接节点时，抓到加密数据包中...

【专利技术属性】
技术研发人员：韩明军，韩庆良，于志波，赵波，张晓溪，闫翠霞，
申请(专利权)人：道普信息技术有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人