[发明专利]一种基于云安全的网络数据流分析方法和装置

权利要求书

1.一种基于云安全的网络数据流分析方法，其中，该方法包括：

抓取网络数据流中的数据包；

对抓取的数据包进行组包处理，还原成消息；

确定还原成的消息所对应的网络协议；

根据还原成的消息所对应的网络协议，对该还原成的消息进行分析处理。

2.如权利要求1所述的方法，其中，所述对抓取的数据包进行组包处理，还原成消息包括：

根据抓取的各数据包的TCP头中的TCP序列号，按照TCP序列号数值小的在前，大的在后的顺序对各数据包进行排序；其中，TCP序列号标志数据包在数据流中的位置；

对于排序后的数据包，将TCP头中的确认号码相同的数据包进行组包处理，还原出至少一条带网络协议格式的消息。

3.如权利要求1所述的方法，其中，所述对该还原成的消息进行分析处理还包括：

从还原成的消息中提取文件，对所提取文件进行分析。

4.如权利要求3所述的方法，其中，所述对所提取的文件进行分析包括以下几种方式中的至少一种：

将提取出的文件发送到云安全服务器进行查询；

对提取出的文件进行静态安全扫描；

将提取出的文件导入云安全服务器的蜜罐中进行分析。

5.如权利要求1至4中任一项所述的方法，其特征在于，所述抓取网络数据流中的数据包包括：

从内网和外网之间的网关处的网络数据流的旁路数据流中抓取数据包。

6.一种基于云安全的网络数据流分析装置，其中，该装置包括：抓取单元、组包单元、网络协议分析单元和与不同网络协议一一对应的多个网络协议扫描单元；

抓取单元，适于抓取网络数据流中的数据包；

组包单元，适于对抓取单元所抓取的数据包进行组包处理，还原成消息；

网络协议确定单元，适于确定还原成的消息所对应的网络协议，并将该消息发送给对应的网络协议扫描单元；

每个网络协议扫描单元，适于对所接收的消息进行分析处理。

7.如权利要求6所述的装置，其中，

所述组包单元，适于根据抓取单元所抓取的各数据包的TCP头中的TCP序列号，按照TCP序列号数值小的在前，大的在后的顺序对各数据包进行排序；其中，TCP序列号标志数据包在数据流中的位置；对于排序后的数据包，将TCP头中的确认号码相同的数据包进行组包处理，还原出至少一条带网络协议格式的消息。

8.如权利要求6所述的装置，其中，

所述每个网络协议扫描单元，进一步适于从消息中提取文件，对所提取文件进行分析。

9.如权利要求8所述的装置，其中，

所述每个网络协议扫描单元适于根据以下几种方式中的至少一种，对所对所提取的文件进行分析：

将提取出的文件发送到云安全服务器进行查询；

对提取出的文件进行静态安全扫描；

将提取出的文件导入云安全服务器的蜜罐中进行分析。

10.如权利要求6至9中任一项所述的装置，其中，

所述抓取单元，适于从内网和外网之间的网关处的网络数据流的旁路数据流中抓取数据包。