System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本专利技术涉及网络安全和全流量分析,更具体地说,涉及一种加密协议的pcap元数据再分析方法。
技术介绍
1、pcap这个抓包库给抓包系统提供了一个高层次的接口。所有网络上的数据包,甚至是那些发送给其他主机的,通过这种机制,都是可以捕获的。它也支持把捕获的数据包保存为本地文件和从本地文件读取信息。
2、现主引擎的功能为采集流量数据,分析后将元数据存入es数据库,同时将流量以pcap数据包形式存储在硬盘中。在真实的流量采集分析的场景下,对于加密的流量数据如tls协议数据,需要对其进行解密,得到解密后的元数据。
3、基于上述,本专利技术人发现:
4、在pcap元数据进行分析时,对于实际的分析情况,目前常用的方法仍具有一定的改进空间:
5、①在采集到加密数据时,需要对数据进行解密,es中所保存的需要是解密后的元数据,而不是加密的元数据,然后再对元数据进行存储,此时会增加对数据的分析时间,降低了数据的分析效率;
6、②在针对元数据进行存储时,在存储时是以整个会话为标准,需要等待整个会话结束后才进行分析,这样就会对性能造成一定的影响,并影响分析效率。
7、于是,有鉴于此,针对现有的结构予以研究改良,提供一种加密协议的pcap元数据再分析方法,以期达到更具有更加实用价值性的目的。
技术实现思路
1、1.要解决的技术问题
2、针对现有技术中存在的问题,本专利技术的目的在于提供一种加密协议的pcap元数据再分析方法,
3、2.技术方案
4、为解决上述问题,本专利技术采用如下的技术方案。
5、一种加密协议的pcap元数据再分析方法,该种分析方法的具体实施步骤如下:
6、步骤s1:抓取采集口的流量数据;
7、步骤s2:对抓取的数据包进行存储,以pcap数据包的形式存储在本机的硬盘中;
8、步骤s3:对抓取的加密数据进行筛选;
9、步骤s4:将加密的数据存入共享内存中,并进行再分析处理;
10、步骤s5:解密模块从共享内存中取出加密数据进行解密得到解密后的元数据;
11、步骤s6:将解密后的元数据进行保存。
12、进一步的,所述步骤s1中,在抓取采集口的流量数据时,利用wireshark或tcpdump获取基于pcap文件的采集口的流量数据。
13、进一步的,所述步骤s2中,在数据包进行存储时,备份存储文件,并对备份文件进行译重新编码转码操作,然后压缩转码文件。
14、进一步的,所述步骤s3中,对抓取的加密数据进行筛选,筛选的具体步骤如下:
15、步骤s3.1:搜索加密数据的连接节点,进行加密数据的识别;
16、步骤s3.2:建立筛选的多级分选点,依序进行加密数据的筛选和分流;
17、步骤s3.3:依据筛选结果建立筛选目录,并将筛选的加密数据分别存储于对应目录中,然后建立定位节点;
18、步骤s3.4:对筛选未通过的数据进行粉碎处理。
19、进一步的,所述步骤s3.1中,在定位加密数据的连接节点时,抓到加密数据包中的握手包,并建立识别。
20、进一步的,所述步骤s3.2中,在建立加密数据筛选和分流时,设置的分选点的数量范围为4~10。
21、进一步的,所述步骤s4中,在加密数据存入共享内存时,此时解密模块工作,从共享内存中调用加密数据,对数据进行再分析处理。
22、进一步的,所述步骤s5中,在解密并形成元数据后,对解密的元数据进行踩点分析,并记录为对比数据,将对比数据与步骤s4中的数据进行对比。
23、进一步的,所述步骤s6中,在保存数据时,建立关于数据的es数据库,然后进行元数据保存,并在es数据库建立索引点。
24、3.有益效果
25、相比于现有技术,本专利技术的优点在于:
26、①本方案,在采集加密数据时,依次进行流量数据的专区、存储、筛选和再分析,且在分析过程中,可直接对筛选后的加密的元数据进行分析,避免了元数据先解密后分析的情况发生,在分析后,可以呈现分析结果,同时对元数据进行解密存储,这样可以有效降低数据的分析时间,进而有效提高了数据的分析效率;
27、②本方案,在进行元数据进行存储时,利用解密模块直接调用加密数据,并直接进行再分析处理,可避免对加密数据进行解密的阶段,同时,在整个调用数据和解密数据的会话中,不以整个会话为标准,且不需要等待整个会话结束后才进行分析,取而代之的是,同步进行数据的处理和存储,此时可有效提高了数据的处理效率。
本文档来自技高网...【技术保护点】
1.一种加密协议的pcap元数据再分析方法,其特征在于:该种分析方法的具体实施步骤如下:
2.根据权利要求1所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤S1中,在抓取采集口的流量数据时,利用wireshark或tcpdump获取基于pcap文件的采集口的流量数据。
3.根据权利要求1所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤S2中,在数据包进行存储时,备份存储文件,并对备份文件进行译重新编码转码操作,然后压缩转码文件。
4.根据权利要求1所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤S3中,对抓取的加密数据进行筛选,筛选的具体步骤如下:
5.根据权利要求4所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤S3.1中,在定位加密数据的连接节点时,抓到加密数据包中的握手包,并建立识别。
6.根据权利要求4所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤S3.2中,在建立加密数据筛选和分流时,设置的分选点的数量范围为4~10。<
...【技术特征摘要】
1.一种加密协议的pcap元数据再分析方法,其特征在于:该种分析方法的具体实施步骤如下:
2.根据权利要求1所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤s1中,在抓取采集口的流量数据时,利用wireshark或tcpdump获取基于pcap文件的采集口的流量数据。
3.根据权利要求1所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤s2中,在数据包进行存储时,备份存储文件,并对备份文件进行译重新编码转码操作,然后压缩转码文件。
4.根据权利要求1所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤s3中,对抓取的加密数据进行筛选,筛选的具体步骤如下:
5.根据权利要求4所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤s3.1中,在定位加密数据的连接节点时,抓到加密数据包中...
【专利技术属性】
技术研发人员:韩明军,韩庆良,于志波,赵波,张晓溪,闫翠霞,
申请(专利权)人:道普信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。