System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种ftp流量的文件还原方法、装置以及处理设备制造方法及图纸_技高网
当前位置: 首页 > 专利查询>武汉思普崚技术有限公司专利>正文

一种ftp流量的文件还原方法、装置以及处理设备制造方法及图纸

技术编号:40846326 阅读:5 留言:0更新日期:2024-04-01 15:14
本申请提供了一种ftp流量的文件还原方法、装置以及处理设备,用于对ftp流量进行深度解析完控制面协议后,将数据面的关联数据即三元组信息增加到cache表中,再基于该cache表展开数据面协议的识别与关联,如此对于ftp流量的文件可以增加数据面协议的识别与数据面文件的还原功能,进而有助于使得后续的ftp流量监控可以更为精确、顺畅的展开,有助于提高网络安全。

全部详细技术资料下载

【技术实现步骤摘要】

本申请涉及ftp流量还原领域,具体涉及一种ftp流量的文件还原方法、装置以及处理设备


技术介绍

1、随着网络安全问题的日益增加,对网络威胁的溯源工作显得格外重要。ftp协议的使用率在网络传输文件中的占比相对较高,因此需要将基于ftp协议传输的相关文件进行还原存储,以便后续发生网络安全事故时,可以追溯相关日志以及文件,为网络安全提升更加牢固的保障。

2、而基于ftp协议传输的数据,由控制连接以及数据传输两部分组成,而本申请专利技术人发现,目前各大流量产品对ftp控制协议的识别还是较为轻松的,控制面协议一般通过21端口通信,而且有较多特定的控制命令,但是数据面协议在进行数据传输时,没有任何特征,仅仅通过20端口来识别数据面协议会存在较多误差,而且在面临多个ftp传输时,数据面协议也不知道与哪个控制面协议相关联。

3、具体来说,现有技术中对于ftp流量的文件还原处理,对数据面协议的识别存在精确性较差的问题,缺乏数据面的精确文件还原,则会对后续开展的网络安全工作造成一定的局限性,难以满足更高质量的网络安全工作的数据使用需求。


技术实现思路

1、本申请提供了一种ftp流量的文件还原方法、装置以及处理设备,用于对ftp流量进行深度解析完控制面协议后,将数据面的关联数据即三元组信息增加到cache表中,再基于该cache表展开数据面协议的识别与关联,如此对于ftp流量的文件可以增加数据面协议的识别与数据面文件的还原功能,进而有助于使得后续的ftp流量监控可以更为精确、顺畅的展开,有助于提高网络安全。

2、第一方面,本申请提供了一种ftp流量的文件还原方法,方法包括:

3、处理设备获取ftp流量通过控制面协议解析处理后得到的控制面协议解析处理结果,其中,控制面协议解析处理结果包括三元组信息;

4、处理设备创建一个全局cache表,并通过全局cache表缓存三元组信息,其中,全局cache表为哈希表;

5、处理设备将控制面协议解析处理未识别且目的端口为20的目标流量报文经过哈希处理后的数据流,与全局cache表对应的控制流进行初次匹配,得到源ip地址和目的ip地址相同的初始匹配结果;

6、处理设备将目标流量报文与初始匹配结果进行二次匹配,得到三元组信息相同的目标匹配结果,其中,目标匹配结果对应具有关联关系的目标数据流和目标控制流,目标数据流的master指针在匹配后配置成指向目标控制流;

7、处理设备以目标数据流的第一个包为开始位置,以目标数据流的fin包为结束位置,对目标数据流进行文件还原处理,得到ftp流量的文件还原结果。

8、结合本申请第一方面,在本申请第一方面第一种可能的实现方式中,文件还原处理包括以下处理内容:

9、1)判断当前报文是否为tcp报文,若不是tcp报文直接退出;

10、2)根据syn ack确定首包期望的seqnum;

11、3)判断seqnum是否为期望seqnum,

12、4)如果seqnum是期望seqnum,说明未乱序,直接退出进行包处理;

13、5)如果seqnum不是期望seqnum,进行乱序表查找,找到连续的seqnum报文,拷贝到全局缓存中,如果还是未找到,则缓存当前报文到乱序表,然后退出。

14、结合本申请第一方面,在本申请第一方面第二种可能的实现方式中,在控制面协议解析处理的过程中,采集到的ftp流量通过软哈希方式,将相同五元组信息的报文哈希到相同的线程上进行处理。

15、结合本申请第一方面第二种可能的实现方式,在本申请第一方面第三种可能的实现方式中,在控制面协议解析处理的过程中,ftp流量进入系统处理后,根据当前报文的五元组信息创建流表时,使用jhash2方式。

16、结合本申请第一方面第三种可能的实现方式,在本申请第一方面第四种可能的实现方式中,在控制面协议解析处理的过程中,在ftp控制面协议初步识别过程中,判断当前报文的目的端口是否为21端口,如果是21端口,则继续以逐包方式将当前报文的payload与特征库进行匹配,若匹配则进入ftp控制协议深度解析进行处理。

17、结合本申请第一方面第四种可能的实现方式,在本申请第一方面第五种可能的实现方式中,ftp控制协议深度解析在主动模式下,客户端随机打开一个大于1024的端口向服务器的21端口发起连接,同时开放n+1端口监听,并向服务器发出port n+1命令,由服务器从自己的20端口主动连接到port n+1命令指定的数据端口,以此获得对应的三元组信息。

18、结合本申请第一方面第四种可能的实现方式,在本申请第一方面第六种可能的实现方式中,ftp控制协议深度解析在被动模式下,当开启一个ftp连接时,客户端打开两个任意的本地端口,第一个端口连接服务器的21端口,提交pasv命令,使得服务器开启一个任意的端口,返回227开头的信息,基于227开头的信息获得对应的三元组信息,其中,对应的三元组信息的括号中有以逗号隔开的六个数字,前四个数字为服务器的地址,将倒数第二个数字乘256再加上最后一个数字,为服务器开放的、用来进行数据传输的端口。

19、第二方面,本申请提供了一种ftp流量的文件还原装置,装置包括:

20、获取单元,用于获取ftp流量通过控制面协议解析处理后得到的控制面协议解析处理结果,其中,控制面协议解析处理结果包括三元组信息;

21、缓存单元,用于创建一个全局cache表,并通过全局cache表缓存三元组信息,其中,全局cache表为哈希表;

22、初次匹配单元,用于将控制面协议解析处理未识别且目的端口为20的目标流量报文经过哈希处理后的数据流,与全局cache表对应的控制流进行初次匹配,得到源ip地址和目的ip地址相同的初始匹配结果;

23、二次匹配单元,用于将目标流量报文与初始匹配结果进行二次匹配,得到三元组信息相同的目标匹配结果,其中,目标匹配结果对应具有关联关系的目标数据流和目标控制流,目标数据流的master指针在匹配后配置成指向目标控制流;

24、还原单元,用于以目标数据流的第一个包为开始位置,以目标数据流的fin包为结束位置,对目标数据流进行文件还原处理,得到ftp流量的文件还原结果。

25、结合本申请第二方面,在本申请第二方面第一种可能的实现方式中,文件还原处理包括以下处理内容:

26、1)判断当前报文是否为tcp报文,若不是tcp报文直接退出;

27、2)根据syn ack确定首包期望的seqnum;

28、3)判断seqnum是否为期望seqnum,

29、4)如果seqnum是期望seqnum,说明未乱序,直接退出进行包处理;

30、5)如果seqnum不是期望seqnum,进行乱序表查找,找到连续的seqnum报文,拷贝到全局缓存中,如果还是本文档来自技高网...

【技术保护点】

1.一种ftp流量的文件还原方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述文件还原处理包括以下处理内容:

3.根据权利要求1所述的方法,其特征在于,在所述控制面协议解析处理的过程中,采集到的所述ftp流量通过软哈希方式,将相同五元组信息的报文哈希到相同的线程上进行处理。

4.根据权利要求3所述的方法,其特征在于,在所述控制面协议解析处理的过程中,所述ftp流量进入系统处理后,根据当前报文的五元组信息创建流表时,使用jhash2方式。

5.根据权利要求4所述的方法,其特征在于,在所述控制面协议解析处理的过程中,在ftp控制面协议初步识别过程中,判断所述当前报文的目的端口是否为21端口,如果是21端口,则继续以逐包方式将所述当前报文的payload与特征库进行匹配,若匹配则进入ftp控制协议深度解析进行处理。

6.根据权利要求5所述的方法,其特征在于,所述ftp控制协议深度解析在主动模式下,客户端随机打开一个大于1024的端口向服务器的21端口发起连接,同时开放N+1端口监听,并向所述服务器发出port N+1命令,由所述服务器从自己的20端口主动连接到所述port N+1命令指定的数据端口,以此获得对应的所述三元组信息。

7.根据权利要求5所述的方法,其特征在于,所述ftp控制协议深度解析在被动模式下,当开启一个FTP连接时,客户端打开两个任意的本地端口,第一个端口连接服务器的21端口,提交PASV命令,使得所述服务器开启一个任意的端口,返回227开头的信息,基于所述227开头的信息获得对应的所述三元组信息,其中,所述对应的所述三元组信息的括号中有以逗号隔开的六个数字,前四个数字为所述服务器的地址,将倒数第二个数字乘256再加上最后一个数字,为所述服务器开放的、用来进行数据传输的端口。

8.一种ftp流量的文件还原装置,其特征在于,所述装置包括:

9.一种处理设备,其特征在于,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时执行如权利要求1至7任一项所述的方法。

10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至7任一项所述的方法。

...

【技术特征摘要】

1.一种ftp流量的文件还原方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述文件还原处理包括以下处理内容:

3.根据权利要求1所述的方法,其特征在于,在所述控制面协议解析处理的过程中,采集到的所述ftp流量通过软哈希方式,将相同五元组信息的报文哈希到相同的线程上进行处理。

4.根据权利要求3所述的方法,其特征在于,在所述控制面协议解析处理的过程中,所述ftp流量进入系统处理后,根据当前报文的五元组信息创建流表时,使用jhash2方式。

5.根据权利要求4所述的方法,其特征在于,在所述控制面协议解析处理的过程中,在ftp控制面协议初步识别过程中,判断所述当前报文的目的端口是否为21端口,如果是21端口,则继续以逐包方式将所述当前报文的payload与特征库进行匹配,若匹配则进入ftp控制协议深度解析进行处理。

6.根据权利要求5所述的方法,其特征在于,所述ftp控制协议深度解析在主动模式下,客户端随机打开一个大于1024的端口向服务器的21端口发起连接,同时开放n+1端口监听,并向所述服务器发出port n...

【专利技术属性】
技术研发人员:李仁杰
申请(专利权)人:武汉思普崚技术有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有