【技术实现步骤摘要】
本专利技术涉及网络安全和全流量分析,更具体地说,涉及一种加密协议的pcap元数据再分析方法。
技术介绍
1、pcap这个抓包库给抓包系统提供了一个高层次的接口。所有网络上的数据包,甚至是那些发送给其他主机的,通过这种机制,都是可以捕获的。它也支持把捕获的数据包保存为本地文件和从本地文件读取信息。
2、现主引擎的功能为采集流量数据,分析后将元数据存入es数据库,同时将流量以pcap数据包形式存储在硬盘中。在真实的流量采集分析的场景下,对于加密的流量数据如tls协议数据,需要对其进行解密,得到解密后的元数据。
3、基于上述,本专利技术人发现:
4、在pcap元数据进行分析时,对于实际的分析情况,目前常用的方法仍具有一定的改进空间:
5、①在采集到加密数据时,需要对数据进行解密,es中所保存的需要是解密后的元数据,而不是加密的元数据,然后再对元数据进行存储,此时会增加对数据的分析时间,降低了数据的分析效率;
6、②在针对元数据进行存储时,在存储时是以整个会话为标准,需要等待整个会话结...
【技术保护点】
1.一种加密协议的pcap元数据再分析方法,其特征在于:该种分析方法的具体实施步骤如下:
2.根据权利要求1所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤S1中,在抓取采集口的流量数据时,利用wireshark或tcpdump获取基于pcap文件的采集口的流量数据。
3.根据权利要求1所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤S2中,在数据包进行存储时,备份存储文件,并对备份文件进行译重新编码转码操作,然后压缩转码文件。
4.根据权利要求1所述的一种加密协议的pcap元数据再分析方法,其特...
【技术特征摘要】
1.一种加密协议的pcap元数据再分析方法,其特征在于:该种分析方法的具体实施步骤如下:
2.根据权利要求1所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤s1中,在抓取采集口的流量数据时,利用wireshark或tcpdump获取基于pcap文件的采集口的流量数据。
3.根据权利要求1所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤s2中,在数据包进行存储时,备份存储文件,并对备份文件进行译重新编码转码操作,然后压缩转码文件。
4.根据权利要求1所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤s3中,对抓取的加密数据进行筛选,筛选的具体步骤如下:
5.根据权利要求4所述的一种加密协议的pcap元数据再分析方法,其特征在于:所述步骤s3.1中,在定位加密数据的连接节点时,抓到加密数据包中...
【专利技术属性】
技术研发人员:韩明军,韩庆良,于志波,赵波,张晓溪,闫翠霞,
申请(专利权)人:道普信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。