基于安全檢測的數(shù)據(jù)流獲取方法及裝置制造方法及圖紙

本申請?zhí)峁┮环N基于安全檢測的數(shù)據(jù)流獲取方法及裝置，其中，該方法包括：在接收到待檢測數(shù)據(jù)包之后，對該待檢測數(shù)據(jù)包進行鏡像，將鏡像數(shù)據(jù)包保存到緩存模塊中，將該待檢測數(shù)據(jù)包與規(guī)則庫中的安全檢測規(guī)則進行匹配，其中，安全檢測規(guī)則用于檢測數(shù)據(jù)包是否為惡意數(shù)據(jù)包；當(dāng)該待檢測數(shù)據(jù)包命中安全檢測規(guī)則時，獲取該待檢測數(shù)據(jù)包的相關(guān)信息，該相關(guān)信息包括：該待檢測數(shù)據(jù)包的五元組信息；根據(jù)該相關(guān)信息，從緩存模塊中讀取該鏡像數(shù)據(jù)包所在的第一數(shù)據(jù)流，以及該第一數(shù)據(jù)流的上下文數(shù)據(jù)流。本申請能夠獲取到命中規(guī)則的惡意數(shù)據(jù)包、該惡意數(shù)據(jù)包所在數(shù)據(jù)流及其上下文數(shù)據(jù)流，根據(jù)這些數(shù)據(jù)流提供的完整攻擊信息，可以得到更加準(zhǔn)確的分析結(jié)果。

【技術(shù)實現(xiàn)步驟摘要】

本申請涉及網(wǎng)絡(luò)安全
，特別涉及一種基于安全檢測的數(shù)據(jù)流獲取方法及裝置。
技術(shù)介紹
為了維護網(wǎng)絡(luò)安全，通常會在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、或者在不同信任域網(wǎng)絡(luò)之間，部署網(wǎng)絡(luò)安全設(shè)備，來對要進入被保護網(wǎng)絡(luò)的數(shù)據(jù)流進行安全檢測，并對檢測出的惡意報文進行相應(yīng)處理。現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備主要有：IPS(Intrusion Prevention System，入侵防御系統(tǒng))設(shè)備和防火墻設(shè)備等。目前，網(wǎng)絡(luò)安全設(shè)備對數(shù)據(jù)包進行安全檢測的方法如下：在網(wǎng)絡(luò)安全設(shè)備中配置有規(guī)則庫，該規(guī)則庫中包含有大量的安全檢測規(guī)則。數(shù)據(jù)包進入網(wǎng)絡(luò)安全設(shè)備之后，網(wǎng)絡(luò)安全設(shè)備會將該數(shù)據(jù)包與規(guī)則庫中的各個安全檢測規(guī)則進行匹配，當(dāng)數(shù)據(jù)包命中一安全檢測規(guī)則時，確定該數(shù)據(jù)包為惡意數(shù)據(jù)包，即，該數(shù)據(jù)包可能是攻擊數(shù)據(jù)包或異常數(shù)據(jù)包等，并記錄此次攻擊事件(或攻擊日志)。為了便于進一步對檢測到的攻擊事件進行分析，網(wǎng)絡(luò)安全設(shè)備一般還具有抓包功能?？梢葬槍σ?guī)則庫中的不同安全檢測規(guī)則，開啟對應(yīng)的抓包功能。例如，針對安全檢測規(guī)則1開啟了抓包功能，當(dāng)數(shù)據(jù)包命中安全檢測規(guī)則1時，實時抓取到該命中安全檢測規(guī)則1的數(shù)據(jù)包，以便根據(jù)抓取到的數(shù)據(jù)包對此次攻擊事件進行進一步分析?，F(xiàn)有的網(wǎng)絡(luò)安全設(shè)備只能抓取到命中規(guī)則的那一個數(shù)據(jù)包，而這個數(shù)據(jù)包所能提供的攻擊信息是有限的、不完整的，因此，僅根據(jù)這一個數(shù)據(jù)包進行分析得到的分析結(jié)果有可能是不準(zhǔn)確的。
技術(shù)實現(xiàn)思路
有鑒于此，本申請?zhí)峁┮环N基于安全檢測的數(shù)據(jù)流獲取方法及裝置。具體地，本申請是通過如下技術(shù)方案實現(xiàn)的：一方面，提供了一種基于安全檢測的數(shù)據(jù)流獲取方法，該方法包括：在接收到待檢測數(shù)據(jù)包之后，對該待檢測數(shù)據(jù)包進行鏡像，將鏡像數(shù)據(jù)包保存到緩存模塊中，將該待檢測數(shù)據(jù)包與規(guī)則庫中的安全檢測規(guī)則進行匹配，其中，安全檢測規(guī)則用于檢測數(shù)據(jù)包是否為惡意數(shù)據(jù)包；當(dāng)該待檢測數(shù)據(jù)包命中安全檢測規(guī)則時，獲取該待檢測數(shù)據(jù)包的相關(guān)信息，該相關(guān)信息包括：該待檢測數(shù)據(jù)包的五元組信息；根據(jù)獲取到的相關(guān)信息，從緩存模塊中讀取該鏡像數(shù)據(jù)包所在的第一數(shù)據(jù)流，以及該第一數(shù)據(jù)流的上下文數(shù)據(jù)流。另一方面，還提供了一種基于安全檢測的數(shù)據(jù)流獲取裝置，該裝置包括：接收模塊，用于接收待檢測數(shù)據(jù)包；鏡像模塊，用于在接收模塊接收到待檢測數(shù)據(jù)包之后，對該待檢測數(shù)據(jù)包進行鏡像，將鏡像數(shù)據(jù)包保存到緩存模塊中；緩存模塊，用于保存鏡像數(shù)據(jù)包；檢測模塊，用于將該待檢測數(shù)據(jù)包與規(guī)則庫中的安全檢測規(guī)則進行匹配，其中，安全檢測規(guī)則用于檢測數(shù)據(jù)包是否為惡意數(shù)據(jù)包；信息獲取模塊，用于當(dāng)檢測模塊檢測到該待檢測數(shù)據(jù)包命中安全檢測規(guī)則時，獲取該待檢測數(shù)據(jù)包的相關(guān)信息，該相關(guān)信息包括：該待檢測數(shù)據(jù)包的五元組信息；數(shù)據(jù)流獲取模塊，用于根據(jù)信息獲取模塊獲取到的相關(guān)信息，從緩存模塊中讀取該鏡像數(shù)據(jù)包所在的第一數(shù)據(jù)流，以及該第一數(shù)據(jù)流的上下文數(shù)據(jù)流。通過本申請的以上技術(shù)方案，在對待檢測數(shù)據(jù)包進行安全檢測之前，先對該待檢測數(shù)據(jù)包進行鏡像得到鏡像數(shù)據(jù)包，之后，將該鏡像數(shù)據(jù)包保存到緩存模塊中，當(dāng)檢測到該待檢測數(shù)據(jù)包為惡意數(shù)據(jù)包時，獲取該待檢測數(shù)據(jù)包的相
關(guān)信息，即可從緩存模塊中讀取該待檢測數(shù)據(jù)包的鏡像數(shù)據(jù)包所在的第一數(shù)據(jù)流，還可以從緩存模塊中讀取該第一數(shù)據(jù)流的上下文數(shù)據(jù)流，從而，不僅獲取到了命中規(guī)則的惡意數(shù)據(jù)包，還獲取到了該惡意數(shù)據(jù)包所在數(shù)據(jù)流及其上下文數(shù)據(jù)流。由于獲取到了惡意數(shù)據(jù)包所在數(shù)據(jù)流及其上下文數(shù)據(jù)流，這些數(shù)據(jù)流能夠提供完整的攻擊信息，因此，根據(jù)這些完整的攻擊信息進行分析得到的分析結(jié)果也更加準(zhǔn)確。附圖說明圖1是本申請一示例性實施例示出的基于安全檢測的數(shù)據(jù)流獲取方法的流程圖；圖2是本申請一示例性實施例示出的讀取數(shù)據(jù)流的處理流程圖；圖3是本申請一示例性實施例示出的發(fā)送讀取到的數(shù)據(jù)流的處理流程圖；圖4是本申請一示例性實施例示出的基于安全檢測的數(shù)據(jù)流獲取裝置的一種結(jié)構(gòu)示意圖；圖5是本申請一示例性實施例示出的基于安全檢測的數(shù)據(jù)流獲取裝置的另一種結(jié)構(gòu)示意圖；圖6是本申請一示例性實施例示出的基于安全檢測的數(shù)據(jù)流獲取裝置的又一種結(jié)構(gòu)示意圖；圖7是本申請一示例性實施例示出的基于安全檢測的數(shù)據(jù)流獲取裝置的又一種結(jié)構(gòu)示意圖。具體實施方式這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。應(yīng)當(dāng)理解，盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當(dāng)……時”或“響應(yīng)于確定”。為了解決現(xiàn)有技術(shù)中存在的只能抓取到命中規(guī)則的那一個數(shù)據(jù)包，從而導(dǎo)致根據(jù)這一個數(shù)據(jù)包進行分析得到的分析結(jié)果不準(zhǔn)確的問題，本申請以下實施例中提供了一種基于安全檢測的數(shù)據(jù)流獲取方法，以及一種可以應(yīng)用該方法的數(shù)據(jù)流獲取裝置。如圖1所示，本申請實施例的基于安全檢測的數(shù)據(jù)流獲取方法包括以下步驟：步驟S101，在接收到任一數(shù)據(jù)包(為了描述方便，稱為待檢測數(shù)據(jù)包)之后，對該待檢測數(shù)據(jù)包進行鏡像，將鏡像數(shù)據(jù)包保存到緩存模塊中，將該待檢測數(shù)據(jù)包與規(guī)則庫中的安全檢測規(guī)則進行匹配，其中，安全檢測規(guī)則用于檢測數(shù)據(jù)包是否為惡意數(shù)據(jù)包；具體的，緩存模塊可以是一個大容量的硬盤，用于存儲鏡像數(shù)據(jù)包。為了避免緩存模塊的存儲空間不足，而無法繼續(xù)存儲鏡像數(shù)據(jù)包，可以預(yù)先配置緩存模塊的數(shù)據(jù)刪除時間間隔T1，每隔T1時間，對緩存模塊中保存的鏡像數(shù)據(jù)包進行刪除，其中，T1的值可以根據(jù)緩存模塊的總存儲空間大小和網(wǎng)絡(luò)安全設(shè)備支持的最大數(shù)據(jù)包轉(zhuǎn)發(fā)速度，來進行配置。由步驟S101可以看出，在接收到一個數(shù)據(jù)包之后，對該數(shù)據(jù)包進行鏡像會得到兩個相同的數(shù)據(jù)包，其中一個數(shù)據(jù)包保存到緩存模塊中，另外一個數(shù)據(jù)包
執(zhí)行安全檢測，即，將該數(shù)據(jù)包與規(guī)則庫中的各個安全檢測規(guī)則進行匹配。步驟S102，當(dāng)該待檢測數(shù)據(jù)包命中安全檢測規(guī)則時，獲取該待檢測數(shù)據(jù)包的相關(guān)信息；當(dāng)待檢測數(shù)據(jù)包命中安全檢測規(guī)則時，說明該數(shù)據(jù)包為惡意數(shù)據(jù)包，獲取該待檢測數(shù)據(jù)包的相關(guān)信息，該相關(guān)信息包括：該待檢測數(shù)據(jù)包的五元組信息等。步驟S103，根據(jù)獲取到的相關(guān)信息，從緩存模塊中讀取該鏡像數(shù)據(jù)包所在的數(shù)據(jù)流(為了描述方便，將該鏡像數(shù)據(jù)包所在的數(shù)據(jù)流稱為第一數(shù)據(jù)流)，以及該第一數(shù)據(jù)流的上下文數(shù)據(jù)流。在實際實施過程中，可以在獲取到該待檢測數(shù)據(jù)包的相關(guān)信息之后，就執(zhí)行步驟S103；也可以按照預(yù)定讀取時間間隔T2執(zhí)行步驟S103，也就是說，在T2時間到達之前，針對接收到的每一個數(shù)據(jù)包執(zhí)行步驟S101和本文檔來自技高網(wǎng)...

【技術(shù)保護點】
一種基于安全檢測的數(shù)據(jù)流獲取方法，其特征在于，所述方法包括：在接收到待檢測數(shù)據(jù)包之后，對所述待檢測數(shù)據(jù)包進行鏡像，將鏡像數(shù)據(jù)包保存到緩存模塊中，將所述待檢測數(shù)據(jù)包與規(guī)則庫中的安全檢測規(guī)則進行匹配，其中，安全檢測規(guī)則用于檢測數(shù)據(jù)包是否為惡意數(shù)據(jù)包；當(dāng)所述待檢測數(shù)據(jù)包命中安全檢測規(guī)則時，獲取所述待檢測數(shù)據(jù)包的相關(guān)信息，所述相關(guān)信息包括：所述待檢測數(shù)據(jù)包的五元組信息；根據(jù)獲取到的相關(guān)信息，從所述緩存模塊中讀取所述鏡像數(shù)據(jù)包所在的第一數(shù)據(jù)流，以及所述第一數(shù)據(jù)流的上下文數(shù)據(jù)流。

【技術(shù)特征摘要】
1.一種基于安全檢測的數(shù)據(jù)流獲取方法，其特征在于，所述方法包括：在接收到待檢測數(shù)據(jù)包之后，對所述待檢測數(shù)據(jù)包進行鏡像，將鏡像數(shù)據(jù)包保存到緩存模塊中，將所述待檢測數(shù)據(jù)包與規(guī)則庫中的安全檢測規(guī)則進行匹配，其中，安全檢測規(guī)則用于檢測數(shù)據(jù)包是否為惡意數(shù)據(jù)包；當(dāng)所述待檢測數(shù)據(jù)包命中安全檢測規(guī)則時，獲取所述待檢測數(shù)據(jù)包的相關(guān)信息，所述相關(guān)信息包括：所述待檢測數(shù)據(jù)包的五元組信息；根據(jù)獲取到的相關(guān)信息，從所述緩存模塊中讀取所述鏡像數(shù)據(jù)包所在的第一數(shù)據(jù)流，以及所述第一數(shù)據(jù)流的上下文數(shù)據(jù)流。2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述待檢測數(shù)據(jù)包的相關(guān)信息中還包括：所述待檢測數(shù)據(jù)包命中的安全檢測規(guī)則的標(biāo)識ID；則，在獲取所述待檢測數(shù)據(jù)包的相關(guān)信息之后，還包括：在惡意數(shù)據(jù)包信息表中添加第一信息表項，其中，所述第一信息表項中包含有：所述待檢測數(shù)據(jù)包的五元組信息、所述待檢測數(shù)據(jù)包命中的安全檢測規(guī)則的ID、以及設(shè)置為未讀取的第一讀取指示標(biāo)記，第一讀取指示標(biāo)記用于指示是否已經(jīng)針對所述待檢測數(shù)據(jù)包讀取了數(shù)據(jù)流。3.根據(jù)權(quán)利要求2所述的方法，其特征在于，從所述緩存模塊中讀取所述鏡像數(shù)據(jù)包所在的第一數(shù)據(jù)流的方法包括：從所述惡意數(shù)據(jù)包信息表中查找到包含的第一讀取指示標(biāo)記為未讀取的第一信息表項；根據(jù)所述第一信息表項中包含的安全檢測規(guī)則的ID，在數(shù)據(jù)讀取策略表中查找到對應(yīng)的第一策略表項，其中，所述數(shù)據(jù)讀取策略表中包含有：安全檢測規(guī)則的ID和第二讀取指示標(biāo)記，第二讀取指示標(biāo)記用于指示是否需要針對命中對應(yīng)安全檢測規(guī)則的數(shù)據(jù)包讀取數(shù)據(jù)流；若所述第一策略表項中包含的第二讀取指示標(biāo)記為需要讀取，則根據(jù)所述第一信息表項中包含的五元組信息，從所述緩存模塊中讀取符合所述五元組信
\t息的第一數(shù)據(jù)流，將所述第一信息表項中包含的第一讀取指示標(biāo)記更新為已讀取。4.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述數(shù)據(jù)讀取策略表中還包含有：需要讀取的上文數(shù)據(jù)流的個數(shù)和需要讀取的下文數(shù)據(jù)流的個數(shù)；則，從所述緩存模塊中讀取所述第一數(shù)據(jù)流的上下文數(shù)據(jù)流的方法包括：根據(jù)所述第一信息表項中包含的五元組信息中的三元組信息，確定所述緩存模塊中符合所述三元組信息的數(shù)據(jù)流；其中，所述三元組信息中包括：源因特網(wǎng)協(xié)議IP地址、目的IP地址和協(xié)議號；根據(jù)所述第一策略表項中包含的上文數(shù)據(jù)流的個數(shù)M和下文數(shù)據(jù)流的個數(shù)N，讀取確定的數(shù)據(jù)流中緊挨在所述第一數(shù)據(jù)流前面的M個數(shù)據(jù)流作為所述第一數(shù)據(jù)流的上文數(shù)據(jù)流，讀取所述確定的數(shù)據(jù)流中緊挨在所述第一數(shù)據(jù)流后面的N個數(shù)據(jù)流作為所述第一數(shù)據(jù)流的下文數(shù)據(jù)流；其中，M和N為正整數(shù)。5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述數(shù)據(jù)讀取策略表中還包含有：讀取總次數(shù)和已讀取次數(shù)；則，在讀取所述確定的數(shù)據(jù)流中緊挨在所述第一數(shù)據(jù)流后面的N個數(shù)據(jù)流之后，還包括：將所述第一策略表項中包含的已讀取次數(shù)加1，判斷加1后的已讀取次數(shù)是否等于所述第一策略表項中包含的讀取總次數(shù)；若等于，則將所述第一策略表項中包含的第二讀取指示標(biāo)記更新為不需要讀取。6.根據(jù)權(quán)利要求4或5所述的方法，其特征在于，在從所述緩存模塊中讀取所述鏡像數(shù)據(jù)包所在的第一數(shù)據(jù)流，以及所述第一數(shù)據(jù)流的上下文數(shù)據(jù)流之后，還包括：將讀取到的所述第一數(shù)據(jù)流、所述M個上文數(shù)據(jù)流和所述N個下文數(shù)據(jù)流打包成一個文件，并對打包文件進行命名；將打包文件的文件名添加到所述第一信息表項中。7.根據(jù)權(quán)利要求6所述的方法，其特征在于，所述惡意數(shù)據(jù)包信息表中還包含有第一發(fā)送指示標(biāo)記，所述數(shù)據(jù)讀取策略表中還包含有第二發(fā)送指示標(biāo)記，
\t第一發(fā)送指示標(biāo)記用于指示是否已經(jīng)將讀取到的數(shù)據(jù)流發(fā)送給云端服務(wù)器，第二發(fā)送指示標(biāo)記用于指示是否需要將針對命中對應(yīng)安全檢測規(guī)則的數(shù)據(jù)包讀取到的數(shù)據(jù)流發(fā)送給云端服務(wù)器；則，在從所述緩存模塊中讀取所述鏡像數(shù)據(jù)包所在的第一數(shù)據(jù)流，以及所述第一數(shù)據(jù)流的上下文數(shù)據(jù)流之后，還包括：從所述惡意數(shù)據(jù)包信息表中查找到包含的第一發(fā)送指示標(biāo)記為未發(fā)送的第一信息表項；根據(jù)所述第一信息表項中包含的安全檢測規(guī)則的ID，在所述數(shù)據(jù)讀取策略表中查找到對應(yīng)的第一策略表項；若所述第一策略表項中包含的第二發(fā)送指示標(biāo)記為需要發(fā)送，則根據(jù)所述第一信息表項中包含的文件名，查找到對應(yīng)的打包文件，將查找到的打包文件發(fā)送給云端服務(wù)器，將所述第一信息表項中包含的第一發(fā)送指示標(biāo)記更新為已發(fā)送。8.一種基于安全檢測的數(shù)據(jù)流獲取裝置，其特征在于，所述裝置包括：接收模塊，用于接收待檢測數(shù)據(jù)包；鏡像模塊，用于在所述接收模塊接收到待檢測數(shù)據(jù)包之后，對所述待檢測數(shù)據(jù)包進行鏡像，將鏡像數(shù)據(jù)包保存到緩存模塊中；所述緩存模塊，用于保存鏡像數(shù)據(jù)包；檢測模塊，用于將所述待檢測數(shù)據(jù)包與規(guī)則庫中的安全檢測規(guī)則進行匹配，其中，安全檢測規(guī)則用于檢測數(shù)據(jù)包是否為惡意數(shù)據(jù)包；信息獲取模塊，用于當(dāng)所述檢測...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：張驚申，
申請(專利權(quán))人：杭州華三通信技術(shù)有限公司，
類型：發(fā)明
國別省市：浙江;33