一种数据包的分析方法及装置制造方法及图纸

本申请实施例提供了一种数据包的分析方法及装置，涉及网络安全技术领域，方法应用于网络设备，方法包括：接收待检测的第一数据包；依据第一数据包的特征，确定第一数据包所属的第一会话、以及第一数据包所属的第一流量类型，其中，流量类型包括请求类型和应答类型；将第一数据包存储到第一会话对应的第一流量存储文件中，记录第一数据包所属的第一流量类型，并通过预设的安全检测策略对第一数据包进行安全检测；如果安全检测的检测结果为攻击数据包，则在检测到第一会话结束后，获取第一会话对应的流量存储文件，根据获取的流量存储文件确定第一会话对应的攻击成功度。采用本申请可以更准确的检测出攻击是否有效或成功。

A Data Packet Analysis Method and Device

【技术实现步骤摘要】
一种数据包的分析方法及装置
本申请涉及网络安全
，特别是涉及一种数据包的分析方法及装置。
技术介绍
随着信息技术的快速发展，网络的应用越来越广泛。同时，网络中存在的安全问题也日益突出，比如，信息泄露和计算机感染病毒等。因此，需要能及时、快速、准确的检测网络中的安全漏洞。目前，人们通常会在防火墙等安全设备中部署安全检测策略，比如深度报文检测(英文：DeepPacketInspection，简称：DPI)策略、深度流检测(英文：DeepFlowInspection，简称：DFI)策略等，以便对网络中的流量安全检测，提高网络安全性。网络设备之间可以通过建立会话进行通信，对于会话中传输的每个数据包，安全设备可以通过安全检测策略对该数据包进行安全检测，得到该数据包的安全检测结果。如果安全检测结果为该数据包不是攻击数据包，则安全设备转发该数据包；若如果安全检测结果为该数据包是攻击数据包，则安全设备将丢弃该数据包，以阻断该会话的流量，避免持续攻击。基于上述技术方案，当发生攻击时，只能通过安全检测策略阻断某会话的流量，无法为技术人员的分析工作提供更有效的信息。
技术实现思路
本申请实施例的目的在于提供一种数据包的分析方法及装置，可以更准确的检测出攻击是否有效或成功。具体技术方案如下：第一方面，提供了一种数据包的分析方法，所述方法应用于网络设备，所述方法包括：接收待检测的第一数据包；依据所述第一数据包的特征，确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型，其中，流量类型包括请求类型和应答类型；将所述第一数据包存储到所述第一会话对应的第一流量存储文件中，记录所述第一数据包所属的第一流量类型，并通过预设的安全检测策略对所述第一数据包进行安全检测；如果安全检测的检测结果为攻击数据包，则在检测到所述第一会话结束后，获取所述第一流量存储文件；针对记录的每一第二流量类型，从所述第一流量存储文件中，获取流量类型为所述第二流量类型的第二数据包，并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中，选取满足该第二流量特征对应的匹配条件的流量特征，作为目标流量特征；根据预设的所述目标流量特征的权重，计算所述第二流量类型的参考成功度，并将每种第二流量类型的参考成功度的和值，作为所述第一会话对应的攻击成功度。可选的，所述方法还包括：当不存在与所述第一数据包的特征匹配的第一会话时，建立所述第一会话，并从所述第一数据包获取第一协议号；如果所述第一协议号包括在预设的重要协议列表中，则在预设的重要文件夹中，创建所述第一会话对应的第一流量存储文件，并将所述第一数据包存储到所述第一流量存储文件中；如果所述第一协议号包括在预设的普通协议列表中，则在预设的普通文件夹中，创建所述第一会话对应的第一流量存储文件，并将所述第一数据包存储到所述第一流量存储文件中。可选的，所述方法还包括：如果安全检测的检测结果为攻击数据包，则判断所述第一流量存储文件是否存储在所述普通文件夹中；如果所述第一流量存储文件存储在所述普通文件夹中，则将所述第一流量存储文件从所述普通文件夹移动至所述重要文件夹中。可选的，所述方法还包括：检测所述第一数据包中是否包含文件数据；如果所述第一数据包中包含文件数据，则提取所述文件数据，并将所述文件数据存储到所述第一会话对应的数据存储文件中。可选的，所述方法还包括：如果安全检测的检测结果为攻击数据包，则在检测到所述第一会话结束后，对所述数据存储文件中的文件数据进行安全检测，得到所述数据存储文件对应的安全检测结果。可选的，所述方法还包括：在检测到所述第一会话结束后，如果所述第一会话对应的数据包中，不存在检测结果为攻击数据包的数据包，则删除所述第一流量存储文件。第二方面，提供了一种数据包的分析装置，所述装置应用于网络设备，所述装置包括检测模块、验证模块和记录模块：所述检测模块和所述记录模块，用于接收待检测的第一数据包；所述记录模块，还用于依据所述第一数据包的特征，确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型，其中，流量类型包括请求类型和应答类型；所述记录模块，还用于将所述第一数据包存储到所述第一会话对应的第一流量存储文件中，记录所述第一数据包所属的第一流量类型；所述检测模块，还用于通过预设的安全检测策略对所述第一数据包进行安全检测；所述检测模块，还用于如果安全检测的检测结果为攻击数据包，则在检测到所述第一会话结束后，触发所述验证模块从所述记录模块中获取所述第一流量存储文件；所述验证模块，还用于针对记录的每一第二流量类型，从所述第一流量存储文件中，获取流量类型为所述第二流量类型的第二数据包，并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中，选取满足该第二流量特征对应的匹配条件的流量特征，作为目标流量特征；所述验证模块，还用于根据预设的所述目标流量特征的权重，计算所述第二流量类型的参考成功度，并将每种第二流量类型的参考成功度的和值，作为所述第一会话对应的攻击成功度。可选的，所述记录模块，具体用于：当不存在与所述第一数据包的特征匹配的第一会话时，建立所述第一会话，并从所述第一数据包获取第一协议号；如果所述第一协议号包括在预设的重要协议列表中，则在预设的重要文件夹中，创建所述第一会话对应的第一流量存储文件，并将所述第一数据包存储到所述第一流量存储文件中；如果所述第一协议号包括在预设的普通协议列表中，则在预设的普通文件夹中，创建所述第一会话对应的第一流量存储文件，并将所述第一数据包存储到所述第一流量存储文件中。可选的，所述检测模块，还用于如果安全检测的检测结果为攻击数据包，则触发所述记录模块判断所述第一流量存储文件是否存储在所述普通文件夹中；所述记录模块，还用于如果所述第一流量存储文件存储在所述普通文件夹中，则将所述第一流量存储文件从所述普通文件夹移动至所述重要文件夹中。可选的，所述记录模块，还用于：检测所述第一数据包中是否包含文件数据；如果所述第一数据包中包含文件数据，则提取所述文件数据，并将所述文件数据存储到所述第一会话对应的数据存储文件中。可选的，所述检测模块，还用于如果安全检测的检测结果为攻击数据包，则在检测到所述第一会话结束后，触发所述验证模块对所述数据存储文件中的文件数据进行安全检测，得到所述数据存储文件对应的安全检测结果。可选的，所述检测模块，还用于在检测到所述第一会话结束后，如果所述第一会话对应的数据包中，不存在检测结果为攻击数据包的数据包，则触发所述记录模块删除所述第一流量存储文件。第三方面，提供了一种网络设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；存储器，用于存放计算机程序；处理器，用于执行存储器上所存放的程序时，实现第一方面任一所述的方法步骤。第四方面，提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现第一方面任一所述的方法步骤。第五方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面任一所述的方法。本申请实施例中，网络设备每接收一个数据包(可称为第一数据包)后，可以依据第一数据包的特征，确定第本文档来自技高网...

【技术保护点】
1.一种数据包的分析方法，其特征在于，所述方法应用于网络设备，所述方法包括：接收待检测的第一数据包；依据所述第一数据包的特征，确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型，其中，流量类型包括请求类型和应答类型；将所述第一数据包存储到所述第一会话对应的第一流量存储文件中，记录所述第一数据包所属的第一流量类型，并通过预设的安全检测策略对所述第一数据包进行安全检测；如果安全检测的检测结果为攻击数据包，则在检测到所述第一会话结束后，获取所述第一流量存储文件；针对记录的每一第二流量类型，从所述第一流量存储文件中，获取流量类型为所述第二流量类型的第二数据包，并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中，选取满足该第二流量特征对应的匹配条件的流量特征，作为目标流量特征；根据预设的所述目标流量特征的权重，计算所述第二流量类型的参考成功度，并将每种第二流量类型的参考成功度的和值，作为所述第一会话对应的攻击成功度。

【技术特征摘要】
1.一种数据包的分析方法，其特征在于，所述方法应用于网络设备，所述方法包括：接收待检测的第一数据包；依据所述第一数据包的特征，确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型，其中，流量类型包括请求类型和应答类型；将所述第一数据包存储到所述第一会话对应的第一流量存储文件中，记录所述第一数据包所属的第一流量类型，并通过预设的安全检测策略对所述第一数据包进行安全检测；如果安全检测的检测结果为攻击数据包，则在检测到所述第一会话结束后，获取所述第一流量存储文件；针对记录的每一第二流量类型，从所述第一流量存储文件中，获取流量类型为所述第二流量类型的第二数据包，并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中，选取满足该第二流量特征对应的匹配条件的流量特征，作为目标流量特征；根据预设的所述目标流量特征的权重，计算所述第二流量类型的参考成功度，并将每种第二流量类型的参考成功度的和值，作为所述第一会话对应的攻击成功度。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：当不存在与所述第一数据包的特征匹配的第一会话时，建立所述第一会话，并从所述第一数据包获取第一协议号；如果所述第一协议号包括在预设的重要协议列表中，则在预设的重要文件夹中，创建所述第一会话对应的第一流量存储文件，并将所述第一数据包存储到所述第一流量存储文件中；如果所述第一协议号包括在预设的普通协议列表中，则在预设的普通文件夹中，创建所述第一会话对应的第一流量存储文件，并将所述第一数据包存储到所述第一流量存储文件中。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：如果安全检测的检测结果为攻击数据包，则判断所述第一流量存储文件是否存储在所述普通文件夹中；如果所述第一流量存储文件存储在所述普通文件夹中，则将所述第一流量存储文件从所述普通文件夹移动至所述重要文件夹中。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：检测所述第一数据包中是否包含文件数据；如果所述第一数据包中包含文件数据，则提取所述文件数据，并将所述文件数据存储到所述第一会话对应的数据存储文件中。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：如果安全检测的检测结果为攻击数据包，则在检测到所述第一会话结束后，对所述数据存储文件中的文件数据进行安全检测，得到所述数据存储文件对应的安全检测结果。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：在检测到所述第一会话结束后，如果所述第一会话对应的数据包中，不存在检测结果为攻击数据包的数据包，则删除所述第一流量存储文件。7.一种数据包的分析装置，其特征在于，所述装置应用于网络设备，所述装置包括检测模块、验证模块和记录模块：所述检测模块和所述记录模块，用于接收待检测的第一数据包；所述记录模块，还用于依据所述第一数据包的特征，确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型，其中，流量类型包括请求类型和应答类型；所述记录模块，还用于将所述第一数据...

【专利技术属性】
技术研发人员：任方英，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：安徽,34