【技术实现步骤摘要】
一种数据包的分析方法及装置
本申请涉及网络安全
,特别是涉及一种数据包的分析方法及装置。
技术介绍
随着信息技术的快速发展,网络的应用越来越广泛。同时,网络中存在的安全问题也日益突出,比如,信息泄露和计算机感染病毒等。因此,需要能及时、快速、准确的检测网络中的安全漏洞。目前,人们通常会在防火墙等安全设备中部署安全检测策略,比如深度报文检测(英文:DeepPacketInspection,简称:DPI)策略、深度流检测(英文:DeepFlowInspection,简称:DFI)策略等,以便对网络中的流量安全检测,提高网络安全性。网络设备之间可以通过建立会话进行通信,对于会话中传输的每个数据包,安全设备可以通过安全检测策略对该数据包进行安全检测,得到该数据包的安全检测结果。如果安全检测结果为该数据包不是攻击数据包,则安全设备转发该数据包;若如果安全检测结果为该数据包是攻击数据包,则安全设备将丢弃该数据包,以阻断该会话的流量,避免持续攻击。基于上述技术方案,当发生攻击时,只能通过安全检测策略阻断某会话的流量,无法为技术人员的分析工作提供更有效的信息。
技术实现思路
本申请实施例的目的在于提供一种数据包的分析方法及装置,可以更准确的检测出攻击是否有效或成功。具体技术方案如下:第一方面,提供了一种数据包的分析方法,所述方法应用于网络设备,所述方法包括:接收待检测的第一数据包;依据所述第一数据包的特征,确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型;将所述第一数据包存储到所述第一会话对应的第一流量存储文件 ...
【技术保护点】
1.一种数据包的分析方法,其特征在于,所述方法应用于网络设备,所述方法包括:接收待检测的第一数据包;依据所述第一数据包的特征,确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型;将所述第一数据包存储到所述第一会话对应的第一流量存储文件中,记录所述第一数据包所属的第一流量类型,并通过预设的安全检测策略对所述第一数据包进行安全检测;如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,获取所述第一流量存储文件;针对记录的每一第二流量类型,从所述第一流量存储文件中,获取流量类型为所述第二流量类型的第二数据包,并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征;根据预设的所述目标流量特征的权重,计算所述第二流量类型的参考成功度,并将每种第二流量类型的参考成功度的和值,作为所述第一会话对应的攻击成功度。
【技术特征摘要】
1.一种数据包的分析方法,其特征在于,所述方法应用于网络设备,所述方法包括:接收待检测的第一数据包;依据所述第一数据包的特征,确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型;将所述第一数据包存储到所述第一会话对应的第一流量存储文件中,记录所述第一数据包所属的第一流量类型,并通过预设的安全检测策略对所述第一数据包进行安全检测;如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,获取所述第一流量存储文件;针对记录的每一第二流量类型,从所述第一流量存储文件中,获取流量类型为所述第二流量类型的第二数据包,并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中,选取满足该第二流量特征对应的匹配条件的流量特征,作为目标流量特征;根据预设的所述目标流量特征的权重,计算所述第二流量类型的参考成功度,并将每种第二流量类型的参考成功度的和值,作为所述第一会话对应的攻击成功度。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:当不存在与所述第一数据包的特征匹配的第一会话时,建立所述第一会话,并从所述第一数据包获取第一协议号;如果所述第一协议号包括在预设的重要协议列表中,则在预设的重要文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中;如果所述第一协议号包括在预设的普通协议列表中,则在预设的普通文件夹中,创建所述第一会话对应的第一流量存储文件,并将所述第一数据包存储到所述第一流量存储文件中。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:如果安全检测的检测结果为攻击数据包,则判断所述第一流量存储文件是否存储在所述普通文件夹中;如果所述第一流量存储文件存储在所述普通文件夹中,则将所述第一流量存储文件从所述普通文件夹移动至所述重要文件夹中。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:检测所述第一数据包中是否包含文件数据;如果所述第一数据包中包含文件数据,则提取所述文件数据,并将所述文件数据存储到所述第一会话对应的数据存储文件中。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:如果安全检测的检测结果为攻击数据包,则在检测到所述第一会话结束后,对所述数据存储文件中的文件数据进行安全检测,得到所述数据存储文件对应的安全检测结果。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:在检测到所述第一会话结束后,如果所述第一会话对应的数据包中,不存在检测结果为攻击数据包的数据包,则删除所述第一流量存储文件。7.一种数据包的分析装置,其特征在于,所述装置应用于网络设备,所述装置包括检测模块、验证模块和记录模块:所述检测模块和所述记录模块,用于接收待检测的第一数据包;所述记录模块,还用于依据所述第一数据包的特征,确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型,其中,流量类型包括请求类型和应答类型;所述记录模块,还用于将所述第一数据...
【专利技术属性】
技术研发人员:任方英,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。