本发明专利技术公开了一种基于云安全的网络数据流分析方法和装置。所述方法包括:抓取网络数据流中的数据包;对抓取的数据包进行组包处理,还原成消息;确定还原成的消息所对应的网络协议;根据还原成的消息所对应的网络协议,对该还原成的消息进行分析处理。本发明专利技术的技术方案中由于先进行了组包处理,将散碎的数据包重组成有意义的消息,在此基础上进行协议分析,可以有针对性地进行分析,且相对于现有的逐个数据包进行扫描的方案,提高了分析效率和准确度。
【技术实现步骤摘要】
一种基于云安全的网络数据流分析方法和装置
本专利技术涉及计算机网络
,具体涉及一种基于云安全的网络数据流分析方法和装置。
技术介绍
高级持续性威胁(APT,AdvancedPersistentThreat)是指特定组织使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。当前,APT已成为各级各类网络所面临的主要安全威胁。它使网络威胁从散兵游勇式的随机攻击变成有目的、有组织、有预谋的群体式攻击。因此为了保护网络安全,需要对网络流量进行分析,检测网络行为是是否包含APT攻击。当前业内的PAT检测方案是在PC机上实现的。为了便于理解,首先简单介绍一下网络行为。网络行为可以理解为需要通过网络进行的各种行为,种类繁多,例如包括:HTTP(hypertexttransportprotocol,超文本传送协议)访问,常见的有下载文件或上传信息;SMTP(SimpleMailTransferProtocol,简单邮件传输协议)请求,收发电子邮件;DNS(DomainNameSystem,域名系统)请求,解析域名对应的IP地址等信息等等。通常一个应用程序如果需要连接网络,需要通过操作系统(如Windows)提供的API(ApplicationProgramInterface,应用程序接口)接口发送连接网络的请求,操作系统接收到应用程序的这种网络请求后,会接收应用程序要发送的数据,并对接收到的数据进行封装,之后将封装的数据发送给物理设备(如网卡等),最后由硬件设备将数据传出。在应用程序访问网络的过程中,操作系统在处理相关数据的时候,会使用一些协议驱动和过滤驱动来获取网络行为的数据。因此,在现有的APT检测方案中,通过在客户端注册协议驱动、创建与操作系统相似的过滤驱动、利用操作系统提供的应用程序编程接口函数(hook函数)截获当前网络行为的信息、接管程序调用网络编程接口函数(Winsock)的请求或者是利用注册防火墙回调等方式,截获应用程序的当前网络行为的数据包。然后仅对数据包的字节进行特征匹配,不进行内容分析,来一个数据包就进行扫描一次,匹配一下数据特征,如果匹配到有APT攻击风险的数据特征,则认为是APT攻击包。但是,现有的这种APT检测方案中,由于一个数据包往往只是一个消息中的一小部分,因此这种检测没有针对性,并且逐个数据包进行匹配,效率比较低。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于云安全的网络数据流分析方法和装置。依据本专利技术的一个方面,提供了一种基于云安全的网络数据流分析方法,该方法包括:抓取网络数据流中的数据包;对抓取的数据包进行组包处理,还原成消息;确定还原成的消息所对应的网络协议;根据还原成的消息所对应的网络协议,对该还原成的消息进行分析处理。可选地,所述对抓取的数据包进行组包处理,还原成消息包括:根据抓取的各数据包的TCP头中的TCP序列号,按照TCP序列号数值小的在前,大的在后的顺序对各数据包进行排序;其中,TCP序列号标志数据包在数据流中的位置;对于排序后的数据包,将TCP头中的确认号码相同的数据包进行组包处理,还原出至少一条带网络协议格式的消息。可选地,所述对该还原成的消息进行分析处理还包括:从还原成的消息中提取文件,对所提取文件进行分析。可选地,所述对所提取的文件进行分析包括以下几种方式中的至少一种:将提取出的文件发送到云安全服务器进行查询;对提取出的文件进行静态安全扫描;将提取出的文件导入云安全服务器的蜜罐中进行分析。可选地,所述抓取网络数据流中的数据包包括:从内网和外网之间的网关处的网络数据流的旁路数据流中抓取数据包。根据本专利技术的另一方面,提供了一种基于云安全的网络数据流分析装置,该装置包括:抓取单元、组包单元、网络协议分析单元和与不同网络协议一一对应的多个网络协议扫描单元;抓取单元,适于抓取网络数据流中的数据包;组包单元,适于对抓取单元所抓取的数据包进行组包处理,还原成消息;网络协议确定单元,适于确定还原成的消息所对应的网络协议,并将该消息发送给对应的网络协议扫描单元;每个网络协议扫描单元,适于对所接收的消息进行分析处理。可选地,所述组包单元,适于根据抓取单元所抓取的各数据包的TCP头中的TCP序列号,按照TCP序列号数值小的在前,大的在后的顺序对各数据包进行排序;其中,TCP序列号标志数据包在数据流中的位置;对于排序后的数据包,将TCP头中的确认号码相同的数据包进行组包处理,还原出至少一条带网络协议格式的消息。可选地,所述每个网络协议扫描单元,进一步适于从消息中提取文件,对所提取文件进行分析。可选地,所述每个网络协议扫描单元适于根据以下几种方式中的至少一种,对所对所提取的文件进行分析:将提取出的文件发送到云安全服务器进行查询;对提取出的文件进行静态安全扫描;将提取出的文件导入云安全服务器的蜜罐中进行分析。可选地,所述抓取单元,适于从内网和外网之间的网关处的网络数据流的旁路数据流中抓取数据包。根据本专利技术的这种抓取网络数据流中的数据包,对抓取的数据包进行组包处理,还原成消息,确定还原成的消息所对应的网络协议,根据还原成的消息所对应的网络协议,对该还原成的消息进行分析处理的技术方案,由于进行组包处理,将散碎的数据包重组成有意义的消息,在此基础上进行协议分析,可以有针对性地进行分析,且相对于现有的逐个数据包进行扫描的方案,提高了分析效率和准确度。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了根据本专利技术一个实施例的一种基于云安全的网络数据流分析方法的流程图;图2示出了根据本专利技术一个实施例的一种基于云安全的网络数据流分析装置的结构图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。图1示出了根据本专利技术一个实施例的一种基于云安全的网络数据流分析方法的流程图。如图1所示,该方法包括:步骤S110,抓取网络数据流中的数据包。在本专利技术的实施例中,基于应用程序访问网络的流程,可以在该流程的任何一个环节对网络行为的信息进行截获,即可以在网络数据流经过的任何一个节点处抓取网络数据流中的数据包进行缓存。步骤S120,对抓取的数据包进行组包处理,还原成消息。在本步骤中对缓存的顺序零散的数据包进行重组,重组成带网络协议格式的消息。数据包在传输的过程中,经过很多路由器,其次序会乱。例如,一段文本包括数据包0、1、2、3、和4,同时到达目的端口时,可能会出现乱序,有可能顺序会变成数据包2、1、3、4、0。因此需要先调整好数据包的顺序。在本专利技术的一个实施例本文档来自技高网...
【技术保护点】
一种基于云安全的网络数据流分析方法,其中,该方法包括:抓取网络数据流中的数据包;对抓取的数据包进行组包处理,还原成消息;确定还原成的消息所对应的网络协议;根据还原成的消息所对应的网络协议,对该还原成的消息进行分析处理。
【技术特征摘要】
1.一种基于云安全的网络数据流分析方法,其中,该方法包括:抓取网络数据流中的数据包;对抓取的数据包进行组包处理,还原成消息;确定还原成的消息所对应的网络协议;网络协议类型包括如下中的一种或多种:POP3协议、FTP协议、HTTP协议、简单邮件传输协议SMTP协议、域名系统DNS协议;根据还原成的消息所对应的网络协议,对该还原成的消息进行分析处理,包括:从还原成的消息中提取文件,对所提取文件进行分析;其中,所述对所提取的文件进行分析包括以下几种方式中的至少一种:将提取出的文件发送到云安全服务器进行查询;对提取出的文件进行静态安全扫描;提取出的文件导入云安全服务器的蜜罐中进行分析。2.如权利要求1所述的方法,其中,所述对抓取的数据包进行组包处理,还原成消息包括:根据抓取的各数据包的TCP头中的TCP序列号,按照TCP序列号数值小的在前,大的在后的顺序对各数据包进行排序;其中,TCP序列号标志数据包在数据流中的位置;对于排序后的数据包,将TCP头中的确认号码相同的数据包进行组包处理,还原出至少一条带网络协议格式的消息。3.如权利要求1或2所述的方法,其特征在于,所述抓取网络数据流中的数据包包括:从内网和外网之间的网关处的网络数据流的旁路数据流中抓取数据包。4.一种基于云安全的网络数据流分析装置,其中,该装置包括:抓取单元...
【专利技术属性】
技术研发人员:唐海,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。