专利名称:一种根据网络数据恢复的方式识别网络数据的检测方法
技术领域:
本发明涉及一种识别网络数据的检测方法,尤其涉及一种根据网络数据恢复的方式识别网络数据的检测方法。
背景技术:
随着科技的发展,互联网技术的越来越成熟,人们对互联网的依赖程度,也在变得越来越高。人们在生活、工作、购物的各个方面,都已经对互联网通信有了依赖性。互联网所传输的数据量,也在迅速的提高中。根据摩尔定律,互联网流通的数据量,每18个月将会增加一倍。因此,避免互联网犯罪,增强对互联网的监控,已经成为一个严峻的课题摆在人们的面前。传统互联网监控的方式,依照互联网七层协议,对互联网监听到的数据进行分析,解构。其缺陷在于不但在处理速度上已经没办法满足现在网络监听的需求,而且在监控强度,特别是对技术型用户采用特殊手段传输数据的监控强度上,有极大的不足。黑客经常可以通过伪造夹带等方式,绕过监控,损害互联网使用者的利益。
发明内容
本发明的目的就在于为了解决上述问题而提供一种不依赖网络协议、根据网络数据恢复的方式识别网络数据的检测方法。为了达到上述目的,本发明采用了以下技术方案本发明所述根据网络数据恢复的方式识别网络数据的检测方法,包括以下步骤(I)将检测设备以直路监听或旁路监听的方式连接于待检测的网络节点,利用检测设备内的数据包采集装置捕捉网络中的数据包;(2)提取数据包中的源IP地址、源端口、目的IP地址、目的端口和传输层协议号;(3)用模式匹配的方式匹配数据包中的数据,以识别和恢复数据包中的指定数据报文;(4)识别到指定数据报文之后,按照文件格式类型智能恢复出整个数据,或者按照特征头和特征尾的方式恢复出整个数据;(5)重组数据,解析识别结果。相比于传统的依照数据包解析来识别和恢复数据信息的方式,本发明只需要提取出数据包中几个必要的元素,用于进行数据包碎片重组即可完成,对网络协议的依赖性很小。作为优选,所述步骤(3)中,所述模式匹配用于识别数据的传输行为和定位敏感数据的位置,其方法为通过分析待监听数据特征头的方式,总结待识别数据的特征头属性,通过这些特征头的信息在网络中识别相关敏感数据;所述模式匹配的算法采用正则表达式或字符串。具体地,所述步骤(5)中,重组数据的方法为通过TCP流解析的方式,重组TCP流,完成重组数据;或者,通过对数据内容的解析,依照数据恢复中智能恢复的方式,对网络中的每一个数据包按照待分析数据格式的先后顺序进行排序,完成重组数据。本发明的有益效果在于由于本发明不依赖网络协议,直接分析数据,无论使用者采用何种方式,只要以网络数据的方式通过网关,都会直接暴露在监控之下,提高了网络监控精度及效率。
图1是本发明所述实施例中的网络部署示意图。
具体实施例方式下面结合具体实施例对本发明作进一步具体描述在某公司网络环境中,有一些存储内部文件的计算机来供公司员工存储公司资料。按照公司的规定,这些内部的资料严禁通过网络发送到公网。因此公司在该网络出口的位置部署了网络数据分析程序。如图1所示,该公司网络的具体部署是在公司网络监控中很常见的一种监控架构。公司所有计算机与公网的数据交互都会经过网关B,同时数据分析服务器A基于网关B捕获网络出口数据包,并对其进行分析。这样,如果公司内部电脑F,将公司内部文件通过互联网发送到了互联网络。同时,电脑F采用的是加密后以一种断点续传的方式,所使用的分割协议只有电脑F和互联网端的接受者才知道。但是所采用的加密方法是一种常规的加密方法,比如加密压缩方式。此时,按照传统的方 法解析数据包文件的话,我们会看到电脑F向外面发送的是看起来很“正常”的数据,没有文件传输过程,同时也没涉及到敏感词传输。自然也就不会对电脑F行为报警。这样,电脑F就躲过了数据分析服务器A的监听,达到不可告人的目的。但是,按照本发明所述数据恢复的思想,我们可以清晰的看到电脑F传了什么数据出去,同时看到能完整的将文件保存下来。具体的操作步骤如下(I)将数据分析服务器A以旁路监听的方式连接于待检测的网络节点即网关B,利用数据分析服务器A内的数据包采集装置捕捉网络中的数据包,这一步骤与传统方法一致;(2)提取数据包中的源IP地址、源端口、目的IP地址、目的端口和传输层协议号;(3)数据分析服务器A在网络数据分析的过程中,通过数据恢复思想中的文件头匹配模式,定位到电脑F曾经向外发送的文件数据;(4)识别到指定数据报文之后,将电脑F发送的相关数据全部收集,并对其进行粗重组,这一步的目的是排除其它无关数据(跟本次文件传输通道无关的数据被定义为无关数据),到这一步,我们得到的是该文件的一个个离散的碎片;(5)过数据恢复中常用的智能恢复原理,按照rar文件的常规格式,计算出每个碎片在原始文件中所在的位置,然后对这些碎片进行拼凑,最终拼接出完整的文件,完成数据
重组;(6)将文件保存在硬盘上,供网络管理员查看使用。至此,电脑F向互联网发送的公司内部文件就原原本本的被数据分析服务器A还原出来,存储在硬盘上。
权利要求
1.一种根据网络数据恢复的方式识别网络数据的检测方法,其特征在于包括以下步骤(1)将检测设备以直路监听或旁路监听的方式连接于待检测的网络节点,利用检测设备内的数据包采集装置捕捉网络中的数据包;(2)提取数据包中的源IP地址、源端口、目的IP地址、目的端口和传输层协议号;(3)用模式匹配的方式匹配数据包中的数据,以识别和恢复数据包中的指定数据报文;(4)识别到指定数据报文之后,按照文件格式类型智能恢复出整个数据,或者按照特征头和特征尾的方式恢复出整个数据;(5)重组数据,解析识别结果。
2.根据权利要求1所述的根据网络数据恢复的方式识别网络数据的检测方法,其特征在于所述步骤(3)中,所述模式匹配用于识别数据的传输行为和定位敏感数据的位置,其方法为通过分析待监听数据特征头的方式,总结待识别数据的特征头属性,通过这些特征头的信息在网络中识别相关敏感数据;所述模式匹配的算法采用正则表达式或字符串。
3.根据权利要求1所述的根据网络数据恢复的方式识别网络数据的检测方法,其特征在于所述步骤(5)中,重组数据的方法为通过TCP流解析的方式,重组TCP流,完成重组数据;或者,通过对数据内容的解析,依照数据恢复中智能恢复的方式,对网络中的每一个数据包按照待分析数据格式的先后顺序进行排序,完成重组数据。
全文摘要
本发明公开了一种根据网络数据恢复的方式识别网络数据的检测方法,包括以下步骤将检测设备以直路监听或旁路监听的方式连接于待检测的网络节点,利用检测设备内的数据包采集装置捕捉网络中的数据包;提取数据包中的源IP地址、源端口、目的IP地址、目的端口和传输层协议号;用模式匹配的方式匹配数据包中的数据,以识别和恢复数据包中的指定数据报文;识别到指定数据报文之后,按照文件格式类型智能恢复出整个数据,或者按照特征头和特征尾的方式恢复出整个数据;重组数据,解析识别结果。由于本发明不依赖网络协议,直接分析数据,无论使用者采用何种方式,只要以网络数据的方式通过网关,都会直接暴露在监控之下,提高了网络监控精度及效率。
文档编号H04L12/26GK103051501SQ201310029949
公开日2013年4月17日 申请日期2013年1月25日 优先权日2013年1月25日
发明者陈虹宇, 其他发明人请求不公开姓名 申请人:四川神琥科技有限公司