[发明专利]一种基于云安全的网络数据流分析方法和装置

说明书

技术领域

本发明涉及计算机网络技术领域，具体涉及一种基于云安全的网络数据流分析方法和装置。

背景技术

高级持续性威胁（APT，Advanced Persistent Threat）是指特定组织使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。

当前，APT已成为各级各类网络所面临的主要安全威胁。它使网络威胁从散兵游勇式的随机攻击变成有目的、有组织、有预谋的群体式攻击。因此为了保护网络安全，需要对网络流量进行分析，检测网络行为是是否包含APT攻击。

当前业内的PAT检测方案是在PC机上实现的。

为了便于理解，首先简单介绍一下网络行为。网络行为可以理解为需要通过网络进行的各种行为，种类繁多，例如包括：HTTP（hypertext transport protocol，超文本传送协议）访问，常见的有下载文件或上传信息；SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）请求，收发电子邮件；DNS（Domain Name System，域名系统）请求，解析域名对应的IP地址等信息等等。

通常一个应用程序如果需要连接网络，需要通过操作系统（如Windows）提供的API（Application Program Interface，应用程序接口）接口发送连接网络的请求，操作系统接收到应用程序的这种网络请求后，会接收应用程序要发送的数据，并对接收到的数据进行封装，之后将封装的数据发送给物理设备（如网卡等），最后由硬件设备将数据传出。在应用程序访问网络的过程中，操作系统在处理相关数据的时候，会使用一些协议驱动和过滤驱动来获取网络行为的数据。

因此，在现有的APT检测方案中，通过在客户端注册协议驱动、创建与操作系统相似的过滤驱动、利用操作系统提供的应用程序编程接口函数（hook函数）截获当前网络行为的信息、接管程序调用网络编程接口函数（Winsock）的请求或者是利用注册防火墙回调等方式，截获应用程序的当前网络行为的数据包。然后仅对数据包的字节进行特征匹配，不进行内容分析，来一个数据包就进行扫描一次，匹配一下数据特征，如果匹配到有APT攻击风险的数据特征，则认为是APT攻击包。

但是，现有的这种APT检测方案中，由于一个数据包往往只是一个消息中的一小部分，因此这种检测没有针对性，并且逐个数据包进行匹配，效率比较低。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于云安全的网络数据流分析方法和装置。

依据本发明的一个方面，提供了一种基于云安全的网络数据流分析方法，该方法包括：

抓取网络数据流中的数据包；

对抓取的数据包进行组包处理，还原成消息；

确定还原成的消息所对应的网络协议；

根据还原成的消息所对应的网络协议，对该还原成的消息进行分析处理。

可选地，所述对抓取的数据包进行组包处理，还原成消息包括：

根据抓取的各数据包的TCP头中的TCP序列号，按照TCP序列号数值小的在前，大的在后的顺序对各数据包进行排序；其中，TCP序列号标志数据包在数据流中的位置；

对于排序后的数据包，将TCP头中的确认号码相同的数据包进行组包处理，还原出至少一条带网络协议格式的消息。

可选地，所述对该还原成的消息进行分析处理还包括：

从还原成的消息中提取文件，对所提取文件进行分析。

可选地，所述对所提取的文件进行分析包括以下几种方式中的至少一种：

将提取出的文件发送到云安全服务器进行查询；

对提取出的文件进行静态安全扫描；

将提取出的文件导入云安全服务器的蜜罐中进行分析。

可选地，所述抓取网络数据流中的数据包包括：从内网和外网之间的网关处的网络数据流的旁路数据流中抓取数据包。

根据本发明的另一方面，提供了一种基于云安全的网络数据流分析装置，该装置包括：抓取单元、组包单元、网络协议分析单元和与不同网络协议一一对应的多个网络协议扫描单元；

抓取单元，适于抓取网络数据流中的数据包；

组包单元，适于对抓取单元所抓取的数据包进行组包处理，还原成消息；

网络协议确定单元，适于确定还原成的消息所对应的网络协议，并将该消息发送给对应的网络协议扫描单元；

每个网络协议扫描单元，适于对所接收的消息进行分析处理。