一种网络流量还原方法、装置和计算机可读存储介质制造方法及图纸

本发明专利技术实施例公开了一种网络流量还原方法、装置和可读存储介质，包括以下步骤：获取所述网络流量中的目标数据包；对所述目标数据包进行遍历，并查找目标特征信息；在查找到目标特征信息的情况下，根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型；根据所述协议类型确定所述目标数据包存放文件内容的位置信息；基于所述位置信息，对所述目标数据包中的文件内容进行还原。本发明专利技术实施例只进行了目标数据包的遍历，相对于对多层协议进行分析，效率有很大程度的提高，减少了阻塞发生的可能，使得文件丢失的概率大大降低。

A method, device and computer readable storage medium for network traffic restoration

【技术实现步骤摘要】
一种网络流量还原方法、装置和计算机可读存储介质
本专利技术涉及网络技术
，特别是涉及一种网络流量还原方法、装置和计算机可读存储介质。
技术介绍
随着企业信息化的蓬勃发展，大量的文件在网络上进行传递，而且企业存在业务系统越来越多，无法在每个系统的入口及出口处做统一的监控，企业信息文档安全保护方面面临着越来越严峻的挑战。为了防止敏感文件的外泄，急需一种统一的监测系统，但是因为监测的文件传输均会产生网络流量，故若能在公司网络出口处将文件还原出来在做监控，则可有效的防止文件的外泄。但网络出口处的流量巨大，故需要一种文件还原方法。目前网络流量还原文件的方法为:将抓取到的网络流量数据包送入协议分析器进行分析，协议分析器按照包头信息，一层层的分析各层协议内容，直到分析出文件内容为止，此时将文件内容保存下来，还原为文件。目前的方法需要将每层协议都分析清楚，然后才能提取出文件，但分析协议是一个耗时操作，当网络流量巨大时，不能及时还原文件，一旦产生阻塞，会产生后续数据包无法继续分析，造成文件丢失，不能还原全部文件。
技术实现思路
鉴于上述问题，提出了本专利技术实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种网络流量还原方法、装置和计算机可读存储介质。为了解决上述问题，本专利技术实施例公开了一种网络流量还原方法，包括以下步骤：获取所述网络流量中的目标数据包；对所述目标数据包进行遍历，并查找目标特征信息；在查找到目标特征信息的情况下，根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型；根据所述协议类型确定所述目标数据包存放文件内容的位置信息；基于所述位置信息，对所述目标数据包中的文件内容进行还原。可选地，所述对所述目标数据包进行遍历，并查找目标特征信息包括：建立特征信息库；对所述目标数据包的报头部分进行遍历；若遍历到所述报头部分中包含所述特征信息库中的任意一种特征信息，则获取所述特征信息，所述特征信息为目标特征信息；若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息，则对所述目标数据包的数据部分进行遍历。可选地，所述若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息时，则对所述目标数据包的数据部分进行遍历之后还包括：若在所述目标数据包的数据部分未遍历到所述特征信息库中的任意一种特征信息，则获取网络流量中的下一个数据包。可选地，所述预设对应关系包括：所述目标特征信息与所述目标数据包应用层的协议类型之间预先定义的对应关系。可选地，所述获取所述网络流量中的目标数据包之后还包括：根据所述目标数据包的报头部分建立目标会话；所述对所述目标数据包进行遍历，查找目标特征信息包括：在所述目标会话中对所述目标数据包进行遍历，并查找目标特征信息。可选地，所述基于所述位置信息，对所述目标数据包中的文件内容进行还原包括：基于所述位置信息所标明的文件位置，对所述目标数据包中的文件内容进行缓存；获取所述协议类型的结束标记，利用所述协议类型的结束标记，判断所述的目标会话中的所有数据包中的文件内容是否完成缓存；若完成，则对所述目标会话中的所有数据包中的文件内容进行还原，若未完成，则获取网络流量中的下一个数据包。可选地，所述基于所述位置信息，对所述目标数据包中的文件内容进行还原之后还包括：对所述还原的文件内容进行敏感分析；若所述还原的文件内容包含敏感信息，则对所述还原的文件内容进行记录并上报。本专利技术实施例还公开了一种网络流量还原装置，所述装置包括：获取模块，用于获取所述网络流量中的目标数据包；遍历模块，用于对所述目标数据包进行遍历，并查找目标特征信息；协议确定模块，用于在查找到目标特征信息的情况下，根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型；位置确定模块，用于根据所述协议类型确定所述目标数据包存放文件内容的位置信息；还原模块，用于基于所述位置信息，对所述目标数据包中的文件内容进行还原。本专利技术实施例还公开了一种网络流量还原装置，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现所述的一种网络流量还原方法的步骤。本专利技术实施例还公开了一种计算机可读存储介质，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现所述的一种网络流量还原方法的步骤。本专利技术实施例包括以下优点：本专利技术实施例对目标数据包的进行遍历，查找目标特征信息，若查找到目标特征信息，则认为所述目标数据包包含有文件内容；然后在利用所述目标特征信息以及预设的对应关系确定出所述目标数据包应用层的协议类型，所述协议类型对应有所述目标数据包存档文件内容的位置信息，最后基于所述位置信息，对所述目标数据包中的文件内容进行还原。本专利技术实施例只进行了目标数据包的遍历，相对于对多层协议进行分析，效率有很大程度的提高，减少了阻塞发生的可能，使得文件丢失的概率大大降低。附图说明图1是本专利技术实施例中的一种网络流量还原方法的步骤流程图；图2是本专利技术实施例中的另一种网络流量还原方法的步骤流程图；图3是本专利技术实施例中的一种网络流量还原方法的具体步骤流程图；图4是本专利技术实施例中的另一种网络流量还原方法的具体步骤流程图；图5是本专利技术实施例中的一种流量监测器位置示意图；图6是本专利技术实施例中的一种网络流量还原装置示意图。具体实施方式为使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本专利技术作进一步详细的说明。参照图1，本专利技术实施例公开了一种网络流量还原方法，包括以下步骤：步骤101，获取所述网络流量中的目标数据包。本专利技术实施例中，网络流量指在网络上各设备间传递信息数据，且按照OSI(OpenSystemInterconnect，即开放式系统互联)模型进行封装的信息数据，为一系列的数据包。数据包是通过网络传输的数据的基本单元,包含一个报头和数据本身,其中报头描述了数据的目的地以及和其它数据之间的关系。还原文件是指文件在网络设备间交互时在网络上产生网络流量，即网络流量中包含了文件，还原文件即是将网络流量中的包含文件的信息数据提取出来，并按一定方式还原出原始文件的过程。本专利技术实施例中，所述获取网络流量中的目标数据包在OSI模型的数据链路层或者网络层中进行。步骤102，对所述目标数据包进行遍历，并查找目标特征信息。本专利技术实施例中，所述目标数据包为网络流量中的任意一个获取到的数据包，本专利技术实施例对此不做限定。所述目标数据包包含报头部分和数据部分，可选地，在具体的遍历过程中，可以先对报头部分进行遍历，当在包头部分遍历到目标特征后，就无需再对数据部分在进行遍历。由于数据包的报头仅包括数本文档来自技高网...

【技术保护点】
1.一种网络流量还原方法，其特征在于，包括以下步骤：/n获取所述网络流量中的目标数据包；/n对所述目标数据包进行遍历，并查找目标特征信息；/n在查找到目标特征信息的情况下，根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型；/n根据所述协议类型确定所述目标数据包存放文件内容的位置信息；/n基于所述位置信息，对所述目标数据包中的文件内容进行还原。/n

【技术特征摘要】
1.一种网络流量还原方法，其特征在于，包括以下步骤：
获取所述网络流量中的目标数据包；
对所述目标数据包进行遍历，并查找目标特征信息；
在查找到目标特征信息的情况下，根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型；
根据所述协议类型确定所述目标数据包存放文件内容的位置信息；
基于所述位置信息，对所述目标数据包中的文件内容进行还原。


2.根据权利要求1所述的还原方法，其特征在于，所述对所述目标数据包进行遍历，并查找目标特征信息包括：
建立特征信息库；
对所述目标数据包的报头部分进行遍历；
若遍历到所述报头部分中包含所述特征信息库中的任意一种特征信息，则获取所述特征信息，所述特征信息为目标特征信息；
若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息，则对所述目标数据包的数据部分进行遍历。


3.根据权利要求2所述的还原方法，其特征在于，所述若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息时，则对所述目标数据包的数据部分进行遍历之后还包括：
若在所述目标数据包的数据部分未遍历到所述特征信息库中的任意一种特征信息，则获取网络流量中的下一个数据包。


4.根据权利要求1所述的还原方法，其特征在于，所述预设对应关系包括：所述目标特征信息与所述目标数据包应用层的协议类型之间预先定义的对应关系。


5.根据权利要求1所述的还原方法，其特征在于，所述获取所述网络流量中的目标数据包之后还包括：
根据所述目标数据包的报头部分建立目标会话；
所述对所述目标数据包进行遍历，查找目标特征信息包括：
在所述目标会话中对所述目标数据包进行遍历，并查找目标特征信息。


6.根据...

【专利技术属性】
技术研发人员：崔义芳，王志海，喻波，李大鹏，韩振国，
申请(专利权)人：北京明朝万达科技股份有限公司，
类型：发明
国别省市：北京;11