本发明专利技术公开了一种网络流量还原和监控方法,其包括:捕获网络流量数据,并将网络流量数据进行保存,统一生成网络流量文件;对网络流量文件进行遍历,查找出网络流量文件内的协议,并确定网络流量文件内协议的类型;根据协议的类型对网络流量文件内的数据进行还原,得到还原数据;对还原数据进行分析,确定还原数据中是否存在异常,并根据异常的还原数据生成相应的威胁告警。本发明专利技术根据协议的类型对网络流量文件内的数据进行还原,从而得到还原数据,而得到的还原数据还能为之后的威胁溯源提供了可能,并且本发明专利技术根据对还原数据的分析来确定还原数据中的异常情况,能够对应的生成相应的威胁告警,从而及时发现网络流量中潜在隐藏的各种威胁。藏的各种威胁。藏的各种威胁。
【技术实现步骤摘要】
一种网络流量还原和监控方法
[0001]本专利技术涉及网络通信
,特别是涉及一种网络流量还原和监控方法。
技术介绍
[0002]随着网络技术的不断发展,网络服务越来越复杂和多样化,服务器的网络带宽逐渐增大,大量的文件在网络上进行传递。而面对越来越大的流量,传统的方法往往只是通过手动设置一些静态的流量过滤规则来筛选特定的网络流量数据,此做法操作不灵活并会导致运维繁琐,而且在复杂的网络环境下几乎很难精确的过滤网络流量数据,并且在每个系统的入口处没有任何的监控,在内部的敏感文件遭受到攻击时极容易发生外泄,所以急需一种统一的网络流量还原和监测方法,在网络入口处对进入的网络流量数据进行还原出来再做监控,以避免攻击性的流量的进入。
技术实现思路
[0003]本专利技术要解决的技术问题是:现有技术在网络流量处理过程中存在不灵活且繁琐以及没有对应的网络流量数据监控功能的问题。
[0004]为了解决上述技术问题,本专利技术提供了一种网络流量还原和监控方法,包括:捕获网络流量数据,并将所述网络流量数据进行保存,统一生成网络流量文件;对所述网络流量文件进行遍历,查找出所述网络流量文件内的协议,并确定所述网络流量文件内协议的类型;根据所述协议的类型对所述网络流量文件内的数据进行还原,得到还原数据;对所述还原数据进行分析,确定所述还原数据中是否存在异常,并根据异常的所述还原数据生成相应的威胁告警。
[0005]进一步的,所述捕获网络流量数据,并将所述网络流量数据进行保存,统一生成网络流量文件,具体包括:从网络中间设备接收到网络流量数据包,捕获所述网络流量数据包内的所述网络流量数据;通过镜像的方式将所述网络流量数据按照时序保存至本机内存中,并对不同的所述网络流量数据生成统一的网络流量文件。
[0006]进一步的,所述对所述网络流量文件进行遍历,查找出所述网络流量文件内的协议,并确定所述网络流量文件内协议的类型,具体包括:建立协议类型库;通过处理单元按照时序对本机内存中的每一个所述网络流量文件内的数据进行遍历,查找所述网络流量文件内的协议;若遍历到数据中包含所述协议类型库中的任意一种协议,则获取所述协议,并根据所述协议类型库中的协议类型来确定所述网络流量文件内的协议类型;若未在所述网络流量文件内的数据中遍历到所述协议类型库中的任意一种协议,
则对下一个时序的所述网络流量文件内的数据进行遍历。
[0007]进一步的,所述根据所述协议的类型对所述网络流量文件内的数据进行还原,得到还原数据,具体包括:判断所述协议的类型;根据所述协议的类型获取当前类型的协议会话密钥,并通过协议会话密钥对所述网络流量文件内的数据中的加密内容进行解密;对解密后的所述网络流量文件内的数据逐层进行解析和重组,获得对应的还原数据。
[0008]进一步的,所述对所述还原数据进行分析,确定所述还原数据中是否存在异常,并根据异常的所述还原数据生成相应的威胁告警,具体包括:获取所述还原数据中包含多个属性特征数据,将每个所述属性特征数据与预先配置的攻击特征数据进行相似度的计算,确定所述还原数据中是否包含异常特征数据;对所述异常特征数据进行分类和合并,根据合并后的所述异常特征数据的类别生成相应的威胁告警。
[0009]进一步的,所述获取所述还原数据中包含多个属性特征数据,将每个所述属性特征数据与预先配置的攻击特征数据进行相似度的计算,确定所述还原数据中是否包含异常特征数据,具体包括:提取所述属性特征数据的数据片段,逐个将所述数据片段与预先配置的攻击特征数据进行比较,得到一个重复率值,所述重复率值即为相似度值,判断所述相似度值是否超出预设相似度值;若所述相似度值超出预设相似度值,则所述属性特征数据是攻击特征数据,确定所述还原数据中包含异常特征数据;若所述相似度值未超出预设相似度值,则所述属性特征数据不是攻击特征数据,确定所述还原数据中不包含异常特征数据。
[0010]进一步的,所述对所述异常特征数据进行分类和合并,根据合并后的所述异常特征数据的类别生成相应的威胁告警,具体包括:提取所述异常特征数据内的关键词,依据关键词对应的异常类型将所述异常特征数据进行分类,对分类后所述异常特征数据进行合并;根据合并后的所述异常特征数据的攻击类别生成相应的攻击威胁告警。
[0011]本专利技术的一种网络流量还原和监控方法与现有技术相比,其有益效果在于:本专利技术根据协议的类型对网络流量文件内的数据进行还原,从而得到还原数据,而得到的还原数据还为之后的威胁溯源提供了可能,同时还优化了网络流量数据的还原过程,实现了网络流量数据还原的精确性,并且本专利技术根据对还原数据的分析来确定还原数据中的异常情况,能够对应的生成相应的威胁告警,从而及时发现网络流量中潜在隐藏的各种威胁。
附图说明
[0012]图1是本专利技术实施例中一种网络流量还原和监控方法的总流程示意图;图2是本专利技术实施例中一种网络流量还原和监控方法的第一流程示意图;
图3是本专利技术实施例中一种网络流量还原和监控方法的第二流程示意图;图4是本专利技术实施例中一种网络流量还原和监控方法的第三流程示意图;图5是本专利技术实施例中一种网络流量还原和监控方法的第四流程示意图;图6是本专利技术实施例中一种网络流量还原和监控方法的第五流程示意图;图7是本专利技术实施例中一种网络流量还原和监控方法的第六流程示意图。
具体实施方式
[0013]下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。以下实施例用于说明本专利技术,但不用来限制本专利技术的范围。
[0014]在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
[0015]术语
“”
、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有
“”
、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
[0016]在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
[0017]如图1所示,在本申请的实施例中,提供了一种网络流量还原和监控方法,包括:捕获网络流量数据,并将所述网络流量数据进行保存,统一生成网络流量文件;对所述网络流量文件进行遍历,查找出所述网络流量文件内的协议,并确定所述网络流量文件内协议的类型;根据本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络流量还原和监控方法,其特征在于,包括:捕获网络流量数据,并将所述网络流量数据进行保存,统一生成网络流量文件;对所述网络流量文件进行遍历,查找出所述网络流量文件内的协议,并确定所述网络流量文件内协议的类型;根据所述协议的类型对所述网络流量文件内的数据进行还原,得到还原数据;对所述还原数据进行分析,确定所述还原数据中是否存在异常,并根据异常的所述还原数据生成相应的威胁告警。2.根据权利要求1所述的一种网络流量还原和监控方法,其特征在于,所述捕获网络流量数据,并将所述网络流量数据进行保存,统一生成网络流量文件,具体包括:从网络中间设备接收到网络流量数据包,捕获所述网络流量数据包内的所述网络流量数据;通过镜像的方式将所述网络流量数据按照时序保存至本机内存中,并对不同的所述网络流量数据生成统一的网络流量文件。3.根据权利要求1所述的一种网络流量还原和监控方法,其特征在于,所述对所述网络流量文件进行遍历,查找出所述网络流量文件内的协议,并确定所述网络流量文件内协议的类型,具体包括:建立协议类型库;通过处理单元按照时序对本机内存中的每一个所述网络流量文件内的数据进行遍历,查找所述网络流量文件内的协议;若遍历到数据中包含所述协议类型库中的任意一种协议,则获取所述协议,并根据所述协议类型库中的协议类型来确定所述网络流量文件内的协议类型;若未在所述网络流量文件内的数据中遍历到所述协议类型库中的任意一种协议,则对下一个时序的所述网络流量文件内的数据进行遍历。4.根据权利要求1所述的一种网络流量还原和监控方法,其特征在于,所述根据所述协议的类型对所述网络流量文件内的数据进行还原,得到还原数据,具体包括:判断所述协议的类型;根据所述协议的类型获取当前类型的协议会话密钥,并通过协议会话密钥对...
【专利技术属性】
技术研发人员:袁建,贾家琛,刘明哲,秦子杨,
申请(专利权)人:华能信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。