网络数据的安全检测方法和安全检测服务器的制造方法【专利摘要】本发明提供了一种网络数据的安全检测方法和安全检测服务器。其中,网络数据的安全检测方法包括:抓取网络中传输的数据包;对数据包进行组包以还原传输控制协议TCP连接数据,识别TCP连接数据使用的应用层协议;使用与应用层协议对应的安全扫描模块对TCP连接数据进行安全扫描。利用本发明的技术方案,抓取数据包并进行组包后,根据数据包对应的应用层协议进行数据的安全监测,在重组的应用层协议的数据基础上进行协议分析,针对性强,可以快速有效地识别网络攻击,提高了网络安全性。【专利说明】网络数据的安全检测方法和安全检测服务器【
技术领域:
】[0001]本发明涉及互联网安全领域,特别是涉及一种网络数据的安全检测方法和安全检测服务器。【
背景技术:
】[0002]恶意程序是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒(batch,windowsshell,java等)、木马、犯罪软件、间谋软件和广告软件等等,都是一些可以称之为恶意程序的例子。[0003]传统的恶意程序防杀主要依赖于特征库匹配或者行为分析。特征库匹配的识别方式为:病毒查杀引擎读取本地文件并与特征库中的所有特征码“关键词”进行匹配,如果发现文件程序代码被命中,就可以判定该文件程序为恶意程序。行为分析的识别方式为:程序的行为作为判断恶意程序的依据,其中衍生出在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为。[0004]本地主动防御很容易对恶意程序造成免杀,例如,通过对恶意程序加壳或修改该恶意程序的特征码即可以避开本地主动防御的特征库防杀模式;通过针对恶意程序的行为,减少或替换恶意程序执行的相关行为从而避免触发行为阈值防杀模式的启动上限。另夕卜,本地主动防御还是要依赖于本地数据库的及时更新。[0005]基于以上问题,一些公司提出了“云查杀技术”,即将为数众多的客户端电脑当成一个病毒采集器,由他们将日常遭遇到的可疑文件上传至服务器端,这样服务器便能通过对上传样本进行分析,实现新病毒的快速响应。[0006]然而,目前的“云查杀技术”也仅仅能够将下载下来的文件进行扫描处理,而对于那些需要耗费大量网络资源下载的病毒或者木马文件则需要下载命令执行完毕后才有可能发现并删除。而对于正在网络中正在传输的内容来说却是无能为力。【
发明内容】[0007]鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的网络数据的安全检测服务器和相应的网络数据的安全检测方法。[0008]基于本发明的一个目的,提供了一种网络数据的安全检测方法。该网络数据的安全检测方法包括:抓取网络中传输的数据包;对数据包进行组包以还原传输控制协议TCP连接数据,识别TCP连接数据使用的应用层协议;使用与应用层协议对应的安全扫描模块对TCP连接数据进行安全扫描。[0009]可选地,抓取网络中传输的数据包包括:利用交换机的网络旁路复制网络中传输的数据包并送入安全检测服务器的网卡。[0010]可选地,对数据包进行组包以还原传输控制协议TCP连接数据包括:将数据包写入缓存文件;对写入缓存文件的数据包进行重组,还原为TCP连接数据。[0011]可选地,对写入缓存文件的数据包进行重组包括:解析数据包中TCP报头中的序号和确认序号;按照序号和确认序号对数据包按照TCP的传输顺序进行排序。[0012]可选地,识别TCP连接数据使用的应用层协议包括:按照重组后的数据包的数据特征和端口特征判断数据包使用的应用层协议。[0013]可选地,数据包使用的应用层协议包括:文件传输协议FTP、简单邮件传输协议SMTP、邮局协议的第3个版本POP3、超文本传输协议HTTP、简单网络管理协议SNMP、网络新闻传输协议NNTP、域名系统DNS解析请求。[0014]可选地,使用与应用层协议对应的安全扫描模块对TCP连接数据进行安全扫描之后还包括:从TCP连接数据中提取出文件,并对文件进行云安全分析和动态行为安全分析。[0015]可选地,对文件进行云安全分析包括:计算文件的散列值,并将散列值与云安全服务器中的散列值危险列表比对;和/或提取文件的统一资源定位符URL,并将URL与云安全服务器中的URL危险列表比对。[0016]可选地,将URL与云安全服务器中的URL危险列表比对包括:提取URL对应的网址密文;将网址密文与云安全服务器数据库中存储的密文进行匹配,数据库中存储的密文包括被标记为恶意网址的密文;若网址密文与云安全服务器数据库中存储的密文存在匹配,确定URL存在恶意内容。[0017]可选地,对文件进行动态行为安全分析包括:根据文件的类型确定对应的虚拟检测环境;在虚拟检测环境下运行或打开文件,并监控虚拟检测环境的运行状态,生成运行状态日志;对运行状态日志进行分析,得到文件的动态行为安全分析结果。[0018]可选地,对运行状态日志进行分析包括:对运行状态日志中文件触发的各项操作操作行为按照预先设置的权重进行加权累加;判断加权累加值是否大于预设值,若是,确定文件为恶意文件。[0019]可选地,监控虚拟检测环境的运行状态包括:监控虚拟检测环境的内存变化情况、注册表修改情况、进程变化情况、网络连接情况。[0020]基于本发明的另一个方面,还提供了一种网络数据的安全检测服务器。该网络数据的安全检测服务器包括:数据包抓取接口,用于抓取网络中传输的数据包;组包装置,用于对数据包进行组包以还原传输控制协议TCP连接数据,协议识别装置,识别TCP连接数据使用的应用层协议;数据包安全扫描装置,用于使用与应用层协议对应的安全扫描模块对TCP连接数据进行安全扫描。[0021]可选地,数据包抓取接口被配置为:利用交换机的网络旁路复制网络中传输的数据包并送入安全检测服务器的网卡。[0022]可选地,组包装置被配置为:将数据包写入缓存文件;对写入缓存文件的数据包进行重组,还原为TCP连接数据。[0023]可选地,协议识别装置被配置为:按照重组后的数据包的数据特征和端口特征判断数据包使用的应用层协议。[0024]可选地,数据包安全扫描装置包括:文件传输协议FTP扫描模块,用于对FTP协议的数据包进行安全扫描;简单邮件传输协议SMTP扫描模块,用于SMTP协议的数据包进行安全扫描;邮局协议的第3个版本POP3扫描模块,用于POP3协议的数据包进行安全扫描;超文本传输协议HTTP扫描模块,用于HTTP协议的数据包进行安全扫描;简单网络管理协议SNMP扫描模块,用于SNMP协议的数据包进行安全扫描;网络新闻传输协议NNTP扫描模块,用于NNTP协议的数据包进行安全扫描;域名系统DNS解析请求扫描模块,用于DNS解析请求协议的数据包进行安全扫描。[0025]可选地,本发明提供的网络数据的安全检测服务器还包括:文件分析装置,用于从TCP连接数据中提取出文件,并对文件进行云安全分析和动态行为安全分析。[0026]可选地,文件分析装置包括:散列值云分析模块,用于计算文件的散列值,并将散列值与云安全服务器中的散列值危险列表比对;URL云分析模块,用于提取文件的统一资源定位符URL,并将URL与云安全服务器中的URL危险列表比对。[0027]可选地,动态行为安全分析模块,用于根据文件的类型确定对应的虚拟检测环境;在虚拟检测环境下运行或打开文件,并监控虚拟检测环境的运行状态,生成运行状态日志;对运行状态日志进行分析,得到文件的动态行为安全分析结果。[0028]可选地,动态行为安全分析模块监控虚拟检测环境的运行状态包括:监控虚拟检测环境的内存变化情况、注册表修改情况、进程变化情况、网络连接情况。[0029]本发明提供的网络数据的安全检测方法和安全检测服务器,抓取数据包并进行组包后,根据数据包对应的应用层协议进行数据的安全监测,在重组的应用层协议的数据基础上进行协议分析,针对性强,可以快速有效地识别网络攻击,提高了网络安全性。[0030]进一步地,本发明的网络数据的安全检测方法,实现了高速网络流量的数据包重组,能够支持高速流量多IP连接高并发的网络环境,提高了网络安全监测的效率。[0031]又进一步地,对网络中传输的文件实现动态分析和云分析,提高了文件安全分析的全面性,安全可靠地保障了网络安全。[0032]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。[0033]根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。【专利附图】【附图说明】[0034]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:[0035]图1是根据本发明一个实施例的网络数据的安全检测服务器100的示意图;[0036]图2是根据本发明一个实施例的网络数据的安全检测服务器100中数据包安全扫描装置140的示意图;[0037]图3是根据本发明一个实施例的网络数据的安全检测服务器100中文件分析装置150的不意图;以及[0038]图4是根据本发明一个实施例的网络数据的安全检测方法的示意图。【具体实施方式】[0039]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。[0040]图1是根据本发明一个实施例的网络数据的安全检测服务器100的示意图,如图所示,该网络数据的安全检测服务器100—般性包括:数据包抓取接口110、组包装置120、协议识别装置130、数据包安全扫描装置140;此外根据需要还可以增加设置文件分析装置150。服务器100可以基于Linux或其他基于Linux的平台实现。[0041]在以上安全检测服务器100中,数据包抓取接口110用于抓取网络中传输的数据包。抓取数据包可以采用通过网络数据旁路抓取数据包并导入安全检测服务器100的方式进行。例如,在网络通道中设置一个旁路,将网络流量中的数据包由数据包抓取接口110导入到服务器100。一种具体的实现方式为:打开交换机的旁路开关,通过硬件方式复制数据包并传输到服务器100的网卡,利用抓包工具对网卡的驱动进行修改,将数据包直接发送给组包装置120。[0042]相比于以上数据包抓取接口110的抓包方式,传统应用程序连接网络的过程为:通过操作系统提供的应用程序接口(ApplicationProgramInterface,简称API)发送连接网络的请求,操作系统接收到这种网络请求后,接收应用程序发送的数据,并对接收到的数据进行封装,之后将封装的数据发送给物理设备(如网卡等),最后由硬件设备将数据传出。在需要抓取网络数据包时,操作系统在处理相关数据的时候,会使用一些协议驱动和过滤驱动来获取网络行为的数据,所以可以注册协议驱动或创建与操作系统使用的过滤驱动相似的过滤驱动,进而获取到网络行为的数据。具体监控的实施方式包括以下几种方式:通过在客户端注册协议驱动、创建与操作系统相似的过滤驱动、利用操作系统提供的应用程序编程接口函数(hook函数)截获当前网络行为的信息、接管程序调用网络编程接口函数(Winsock)的请求或者是利用注册防火墙回调等方式,截获程序的当前网络行为的信息。可以看出以上获取网络行为数据的过程均是在客户端的操作系统上实现的。[0043]现有的方式需要经过服务器的操作系统进行调用,存在内存和操作系统之间的交互,在带宽较高的情况下,受限于缓冲区的限制会出现的严重的丢包。但是使用本实施例的安全检测服务器100的数据包抓取接口110,不经过操作系统的调用,实现了高速网络的抓包功能。[0044]组包装置120用于对数据包进行组包以还原传输控制协议TCP连接数据。由于数据包在网路中传输的次序与数据包的原有顺序有可能不一致,因此识别数据包的应用层协议,需要按照数据包的预定义顺序对数据包进行重组。组包装置120可以被配置为:将数据包写入缓存文件;对写入缓存文件的数据包进行重组,还原为TCP连接数据,为协议识别提供了手段。写入缓存文件的数据包的内容可以包括:TCP连接的源IP、目标IP、源端口、目标端口、序列号(SequenceNumber)、确认序号(AcknowledgeNumber)以及数据包的数据内容。[0045]以上按照预定义的顺序对缓存后的数据包进行重组的过程可以利用TCP报头中的序号和确认序号进行。首先,解析数据包中TCP报头中的序号和确认序号;按照序号和确认序号对缓存后的数据包进行排序。[0046]网络中的数据包经过路由器等网络设备后,其传输顺序与组包的顺序发生改变,因此需要按照每个TCP端口的连接状态对传输顺序进行数据包的重组。例如在网路中传输一段文本,包括:0,1,2,3共4字节,同时在网络传输过程中改变了顺序,顺序变为2,1,3,4,0,对数据包进行重组的过程中需要首先恢复数据包的原有顺序。[0047]组包装置120重组数据包的顺序可以利用TCP的序列号(SequenceNumber)和确认序号(AcknowledgeNumber)。其中,TCP的序列号标志了到某个数据包其在数据流中的位置,TCP的确认序号记录了目的端口到源端口中已收到的连续性数据编号。这两个序列号的标识都包含在TCP数据包的头数据中,确认序号的变化标明一个文件传输完毕,例如,确认序号由1000000变为1000049,说明数据源发了一段数据过来,然后根据TCP的序列号对该文件的数据包进行顺序重组。[0048]通过TCP的序列号和确认序号将缓存的数据包按照重组后,按照重组后的数据包的数据特征和端口特征判断数据包使用的应用层协议。[0049]协议识别装置130用于识别TCP连接数据使用的应用层协议。该协议识别装置130可以被配置为:按照重组后的数据包的数据特征和端口特征判断数据包使用的应用层协议。数据特征和端口特征可以包括TCP连接的源IP、目标IP、源端口、目标端口、以及数据包的数据内容data。[0050]识别的协议类型可以包括:邮局协议的第3个版本协议(PostOfficeProtocol3,简称POP3协议),文件传输协议(FileTransferProtocol,简称FTP),超文本传输协议(HypertextTransportProtocol,简称HTTP),简单邮件传输协议(SimpleMailTransferProtocol,简称SMTP),域名系统(DomainNameSystem,简称DNS)请求等,简单网络管理协议(SimpleNetworkManagementProtocol,简称SNMP),网络新闻传输协议(NetworkNewsTransportProtocol,简称NNTP)。[0051]数据包安全扫描装置140包括多个安全扫描块,并使用与应用层协议对应的安全扫描模块对数据包进行安全扫描。图2是根据本发明一个实施例的网络数据的安全检测服务器100中数据包安全扫描装置140的示意图,该数据包安全扫描装置140可以包括:文件传输协议FTP扫描模块141,用于对FTP协议的数据包进行安全扫描;简单邮件传输协议SMTP扫描模块142,用于SMTP协议的数据包进行安全扫描;邮局协议的第3个版本POP3扫描模块143,用于POP3协议的数据包进行安全扫描;超文本传输协议HTTP扫描模块144,用于HTTP协议的数据包进行安全扫描;简单网络管理协议SNMP扫描模块145,用于SNMP协议的数据包进行安全扫描;网络新闻传输协议NNTP扫描模块146,用于NNTP协议的数据包进行安全扫描;域名系统DNS解析请求扫描模块147,用于DNS解析请求协议的数据包进行安全扫描。以上扫描模块可以根据实际应用需求灵活进行配置,选择以上扫描模块中的部分或全部。[0052]安全检测服务器100利用预先建立的多种扫描模块和文件协议的对应关系,调用对应的扫描模块对相应的协议类型文件进行扫描。[0053]经过数据包安全扫描装置140的安全扫描后,网络数据的安全检测服务器100还可以利用文件分析装置150,对提取出的数据包中的文件进行安全分析。[0054]图3是根据本发明一个实施例的网络数据的安全检测服务器100中文件分析装置150的示意图,该文件分析装置150可以包括:散列值云分析模块151、URL云分析模块153、动态行为安全分析模块153。该文件分析装置150用于从TCP连接数据中提取出文件,并对文件进行云安全分析和动态行为安全分析。[0055]以上散列值云分析模块151、URL云分析模块153、动态行为安全分析模块153三种模块分别对提取出的文件进行各类安全分析。其中散列值云分析模块151用于计算文件的散列值,并将散列值与云安全服务器中的散列值危险列表比对,以上散列值可以使用MD5算法得出,云安全服务器中的散列值危险列表中包含的数据是已检测出恶意文件的散列值,通过匹配可以得出当前文件是否是云安全服务器中的散列值危险列表中已知的恶意文件。[0056]URL云分析模块153对文件的统一资源定位符URL,并将URL与云安全服务器中的URL危险列表比对。类似地云安全服务器中的URL危险列表包含的数据也是已检测出恶意文件的来源URL,通过匹配可以得出当前文件是否是云安全服务器中的URL危险列表已知的恶意文件。[0057]如果数据包中解析出的文件通过了以上散列值云分析模块151、URL云分析模块153的云查杀,还可以由动态行为安全分析模块153对文件进行蜜罐行为分析,以确认评估文件触发系统行为的风险。[0058]此外,对于可移植执行体文件(PortableExecute,简称PE文件)的查杀还可以使用查杀PE(PortableExecute,可移植执行体)类型文件的云查杀引擎和人工智能引擎(QihooVirtualMachine,简称QVM引擎),以及BitDefender杀毒引擎和小红伞杀毒引擎等。常见的PE类型文件包括EXE、DLL、OCX、SYS、COM等类型文件。[0059]对于脚本文件,可以首先使用脚本杀毒引擎检测脚本病毒,如果没有检测出脚本病毒,则由客户端调用云查杀引擎、QVM引擎、宏病毒专杀引擎(QEX引擎)等其他杀毒引擎进行病毒查杀。此外,也可以先通过调用云查杀引擎、QVM引擎、QEX引擎等其他杀毒引擎进行病毒查杀,当未检测出病毒时,再调用脚本杀毒引擎对脚本进行查杀。[0060]动态行为安全分析模块153的分析流程包括:根据文件的类型确定对应的虚拟检测环境;在虚拟检测环境下运行或打开文件,并监控虚拟检测环境的运行状态,生成运行状态日志;对运行状态日志进行分析,得到文件的动态行为安全分析结果。其中,动态行为安全分析模块153监控虚拟检测环境的运行状态一般可以包括:监控虚拟检测环境的内存变化情况、注册表修改情况、进程变化情况、网络连接情况,更进一步地,可以对以下动作进行选择地监控:文件操作、网络操作、创建进程、创建线程、注册表操作、窗口、托盘操作、堆栈溢出、注入线程、拦截系统API调用以及访问、修改和创建用户帐号。以上动作均有可能为恶意程序的行为。[0061]动态行为安全分析模块153可以调用主动防御进行安全检测,也就是在服务器侧预先存储大量的恶意程序的行为,用于比对本次检测文件的行为,具体流程为:通过大量客户端计算机对各种程序的程序行为(可以是单一行为,也可以是一组行为的组合)和/或发起该程序行为的程序的程序特征进行收集,发送到服务器端;服务器端根据所收集到的每一台客户端计算机上的一程序的程序特征和/或程序行为在服务器的数据库进行分析比对,根据比对结果对该程序进行判定,并反馈给对应的客户端计算机;对应客户端计算机根据反馈的判定结果决定是否对该程序行为进行拦截、终止执行该程序和/或清理该程序,恢复系统环境。[0062]以上程序行为可以一程序是直接作出的行为,也可以是该程序并不直接做出行为,而是控制另一目标程序间接做出行为,因此程序行为包括:程序行为本体及该行为目标的属性;行为目标的属性包括:行为目标本身所属的黑白等级(即恶意或非恶意)、所处于系统中的位置(如处于引导区等等)、类型(如可执行文件、备份文件等类型),也可以扩展包括行为目标所作出行为所属的黑白等级、行为本身等等。[0063]在数据库中保存的各恶意行为,假设包括:删除注册表启动项或服务、终止电脑安全程序工具的进程、弱口令破解局域网其他电脑的管理员帐号并复制传播、修改注册表键值导致不能查看隐藏文件和系统文件、尝试破坏硬盘分区下的文件、删除用户的系统备份文件等等,对这些恶意行为可以根据技术人员经验判断其破坏程度或严重性,从而对破坏程度或严重性高的恶意行为赋予更大的权重值;另外在实作中也可以通过收集的大量客户端数据,根据恶意程序行为的上报频率、破坏范围等一系列参数建立数学模型,通过统计学算法获得各恶意行为的权重并分配权重值。在权重累加值大于预设值时,认定恶意程序。[0064]具体的操作中,木马行为规则经过多年的搜集,已有木马的操作行为包括:对文件自动压缩或解压,木马捆绑在一些文件上,造成文件增大,将文件改名,删除文件,更改文件内容,上传下载文件,扫描次数,扫描天数和扫描对象,利用系统自动运行程序启动,修改注册表,伪装文件,修改组策略等行为。[0065]进一步地,木马的操作行为还可能包括:文件操作、网络操作、创建进程、创建线程、注册表操作、窗口、托盘操作、堆栈溢出、注入线程、拦截系统API调用以及访问、修改和创建用户帐号、调用SHELL程序、修改程序文件或写程序文件、调用FTP或TFTP、创建FTP或TFTP服务、发送邮件、浏览器或邮件系统自动运行其他程序、创建大量相同线程、修改和创建用户帐号、危险网络操作、向系统注册表添加启动项、修改系统启动文件、向其他进程注入线程、堆找溢出、应用级进程自动提升为系统级进程操作、拦截系统API调用。[0066]对行为日志进行分析时,以上动作均可以设置权重,最终进行加权累加,进行综合判断。[0067]例如以上文件为office文档,可以使用office虚拟检测环境进行检测;对于图片文件,可以使用图片查看器进行检测;脚本文件可以由虚拟系统直接运行、网址文件可以虚拟浏览器打开。[0068]脚本文件也可以在脚本检测引擎中进行检测,通过预设多个脚本杀毒引擎;脚本杀毒引擎所针对的脚本类型一般性地包括:JS(JavaScript)脚本类型、HTML(HypertextMarkupLanguage)脚本类型、PHP(HypertextPreprocessor)脚本类型和VBS(MicrosoftVisualBasicScriptEditon)脚本类型;对应地,脚本杀毒引擎包括:JS脚本杀毒引擎、HTML脚本杀毒引擎、PHP脚本杀毒引擎和VBS脚本杀毒引擎;其中,每个脚本杀毒引擎都根据脚本类型进行设置,根据确定类型的脚本规范对该类型脚本进行解析,例如,JS脚本杀毒引擎根据JS脚本的脚本规范进行设置,对JS脚本根据JS脚本规范进行词法分析、表达式分析和语法分析。当确定实际脚本的类型后,调用与实际脚本的类型相对应的脚本杀毒引擎进行处理,例如,当实际脚本是JS脚本时,则调用JS脚本杀毒引擎进行处理。[0069]检测过程中通过对记录有内存变化情况、注册表修改情况、进程变化情况、网络连接情况的日志文件分析,得到文件是否触发了以上介绍恶意行为或者经过计算恶意加权值是否大于预设值,都可以判断文件是否恶意。从而进一步提高了文件的安全分析水平,可以判断出以上网络中传输的文件是否为木马文件或者其他恶意文件。[0070]对于高级持续性威胁(AdvancedPersistentThreat,简称APT),由于其潜伏性和持续性,现有技术缺乏对于APT攻击的防御手段,即使阻止依次攻击也无法彻底解决问题,本实施例提供的网络数据的安全检测服务器100能够提取高速网络中的传输的文件,对文件进行深度快速分析,从而快速有效识别出APT攻击。为进一步防范APT攻击提供了识别手段。[0071]本实施例提供的浏览器100可以部署在企业内网当中,通过对企业真实流量的分析,获取其中可能有危险的文件,借助云查杀、奇虎支持向量机(QihooSupportVectorMachine,简称QVM)和宏病毒专杀引擎(QEX)进行快速判定;对于无法判定的文件,借助内建在产品中的360样本分析引擎,快速重现样本行为,并对高危样本进行报警。[0072]本发明实施例还提供了一种网络数据的安全检测方法,该网络数据的安全检测方法可以由以上实施例中介绍的任一种网络数据的安全检测服务器100执行,抓取网络中传输数据包并进行组包后,根据数据包对应的应用层协议进行数据的安全监测,针对性强,可以快速有效地识别网络攻击。图4是根据本发明一个实施例的网络数据的安全检测方法的示意图,该网络数据的安全检测方法包括:[0073]步骤S402,抓取网络中传输的数据包;[0074]步骤S404,对数据包进行组包以还原传输控制协议TCP连接数据;[0075]步骤S406,识别TCP连接数据使用的应用层协议;[0076]步骤S408,使用与应用层协议对应的安全扫描模块对TCP连接数据进行安全扫描[0077]其中步骤S402流程可以包括:利用交换机的网络旁路复制网络中传输的数据包并送入安全检测服务器的网卡。抓取数据包可以采用通过网络数据旁路抓取数据包的方式进行。例如,在网络通道中设置一个旁路,将网络流量中的数据包导入到执行本方法的服务器中。一种具体的实现方式为:打开交换机的旁路开关,通过硬件方式复制数据包传输到安全检测服务器的网卡,利用抓包工具对网卡的驱动进行修改,将数据包直接发送给执行本实施例的网络数据的安全检测方法的进程。[0078]由于数据包在网路中传输的次序与数据包的原有顺序有可能不一致,因此步骤S404的流程可以包括:对写入缓存文件的数据包进行重组包括:解析数据包中TCP报头中的序号和确认序号;按照序号和确认序号对数据包按照TCP的传输顺序进行排序。其中按照预定义的顺序对缓存后的数据包进行重组可以包括:解析数据包中TCP报头中的序号和确认序号;按照序号和确认序号对缓存后的数据包进行排序。TCP的序列号标志了到某个数据包其在数据流中的位置,TCP的确认序号记录了目的端口到源端口中已收到的连续性数据编号。这两个序列号的标识都包含在TCP数据包的头数据中,确认序号的变化标明一个文件传输完毕,确认序号发生变化说明数据源发了一段数据过来,然后根据TCP的序列号对该文件的数据包进行顺序重组。[0079]步骤S406可以按照重组后的数据包的数据特征和端口特征判断数据包使用的应用层协议。数据特征和端口特征可以包括TCP连接的源IP、目标IP、源端口、目标端口、以及数据包的数据内容data。[0080]一般地,数据包使用的应用层协议包括:文件传输协议FTP、简单邮件传输协议SMTP、邮局协议的第3个版本POP3、超文本传输协议HTTP、简单网络管理协议SNMP、网络新闻传输协议NNTP、域名系统DNS解析请求。因此,对于以上协议,步骤S408可以分别使用文件传输协议FTP扫描模块141、简单邮件传输协议SMTP扫描模块142、邮局协议的第3个版本POP3扫描模块143、超文本传输协议HTTP扫描模块144、简单网络管理协议SNMP扫描模块145、网络新闻传输协议NNTP扫描模块146、域名系统DNS解析请求扫描模块147对各自对应的数据包进行安全扫描。[0081]为了对数据包中包含的文件进一步分析,在步骤S408之后还可以执行提取数据包中文件,对文件进行安全分析的步骤。其中对文件进行安全分析可以包括:从TCP连接数据中提取出文件,并对文件进行云安全分析和动态行为安全分析。[0082]其中对文件进行云安全分析可以包括:散列值云查杀和URL云查杀等。散列值云查杀包括:计算文件的散列值,并将散列值与云安全服务器中的散列值危险列表比对。散列值的计算优选可以使用信息摘要算法MD5。[0083]URL云查杀包括:对文件的统一资源定位符URL,并将URL与云安全服务器中的URL危险列表比对。[0084]URL云查杀的过程可以如下:[0085]URL云查杀的对象包括各种类型的浏览器的网页访问行为,所请求访问的网址信息称为第一URL。该第一URL可以包括如下几种:第一种、请求访问的网址对应的网页的URL,例如,请求访问“新浪”主页,该网页的URL即为:http://www.sina.com.cn/。第二种、请求访问的网址对应的网页内容中链接的URL;请求访问的网页的内容中有可能存在一些链接网址,这些链接网址的URL也属于监控的范围。第二种、下载文件的URL,请求下载文件,该下载文件的URL也属于监控的范围。[0086]URL云查杀的对象可能涉及到以上三种URL中的一种或多种,即第一URL包括以上三种URL中的任一种或任意几种的组合。其查杀流程包括:[0087]步骤S502,根据网址信息,提取网址密文,例如根据第一URL所包含的信息,提取第一URL对应的网址密文;[0088]步骤S504,将网址密文与数据库中存储的密文进行匹配,数据库中存储的密文包括被标记为恶意网址的密文;若网址密文与数据库中标记为恶意网址的密文匹配,执行步骤506;否则,执行步骤508。本实施例预先构建了数据库,该数据库中至少存储了被标记为恶意网址的密文。这些密文都是根据大量已知为恶意网址的URL而获得的。[0089]步骤506、返回恶意网址查询结果,执行步骤508。如果网址密文与数据库中标记为恶意网址的密文匹配,标明URL包含恶意内容,返回恶意网址查询结果,否则执行步骤510。[0090]步骤508、根据恶意网址查询结果,阻断对网址的访问行为,结束。[0091]步骤510、返回正常网址查询结果,查杀对象的网址密文与数据库中标记为恶意网址的密文不匹配,标明URL不包含恶意内容,返回正常网址查询结果,不阻断对网址的访问行为,结束。[0092]根据本实施例提供的URL云查杀,查杀对象包括URL数据时,从网址信息中提取网址密文,将网址密文与数据库中存储的密文匹配,完成网址的安全查询和验证。该方法不依赖客户端本地的数据库,将网址的安全查询和验证放在服务器侧完成。由于查杀的数据库可以及时的更新互联网上的各类恶意网址,数据库中恶意网址的信息存储量很大,覆盖面很广,从而能够快速有效地拦截恶意网站。[0093]提取出文件如果为网页数据的情况下,可以根据网页信息进行云安全分析。具体流程为:采集和汇总网页本身的信息:快照、CSS、JavaScript、html代码、文本、图片、链接、资源(如视频、可执行文件、文档);网页的服务器信息:URL、HOST、IP、变动时间、变动频率;网页所在域名的相关信息=ICP备案信息(如主办单位名称、主办单位性质、经营范围、审核时间等)、WH0IS信息(如注册商、域名服务器、相关网站、DNS服务器、域名状态、更新时间、创建时间、过期时间、REGISTRANTCONTACTINFO、ADMINISTRATIVECONTACTINFO、TECHNICALCONTACTINFO、BILLINGCONTACTINFO)、域名在其他搜索引擎下的权重和网页收录量。根据网页信息进行云安全分析可以从以下方面进行:[0094]金融欺诈网页会在文字、图片等方面仿冒官网。[0095]查家庭背景(服务器信息):如,HOST和IP下有恶意网页,那么当前网页是恶意的可能性极高。[0096]查祖上三代(ICP备案信息、WHOIS信息):如:一个网页能售卖机票,但备案信息无票务经营,那么欺诈的可能性很大;再如:注册商名下网站经常出恶意网页,信任记录很差,那么新出的网页是恶意的概率比较高。[0097]参考了邻里评价(在其他搜索引擎中的权重和网页收录量):如:大家给的权重都不高、也不收录相应的网页,在识别中,也可以对这样的网页降分。[0098]如果数据包中解析出的文件通过了以上云查杀,可以由对文件进行蜜罐行为分析即动态行为安全分析,以确认评估文件触发系统行为的风险。[0099]例如,正在传输的数据包中包含的文件为下载的文档,可以通过HTTP组包,由超文本传输协议HTTP扫描模块144对数据包进行扫描,经过扫描后提取该数据包中的文件,并将该文件导入到动态行为分析系统。[0100]动态行为安全分析的分析过程为:根据文件的类型确定对应的虚拟检测环境;在虚拟检测环境下运行或打开文件,并监控虚拟检测环境的运行状态,生成运行状态日志;对运行状态日志进行分析,得到文件的动态行为安全分析结果。其中,监控虚拟检测环境的运行状态包括:监控虚拟检测环境的内存变化情况、注册表修改情况、进程变化情况、网络连接情况。[0101]例如以上文件为office文档,可以使用office虚拟检测环境进行检测;对于图片文件,可以使用图片查看器进行检测;脚本文件可以由虚拟系统直接运行、网址文件可以虚拟浏览器打开。检测过程中通过对记录有内存变化情况、注册表修改情况、进程变化情况、网络连接情况的日志文件分析,得到文件是否触发了恶意行为,以判断文件是否恶意。从而进一步提高了文件的安全分析水平,可以判断出以上网络中传输的文件是否为木马文件或者其他恶意文件。以上文件可以包括可移植的执行文件(PortabIeExecute,简称PE文件)、脚本文件、文本文件、影音文件等多种类型的文件。[0102]动态行为安全分析可以调用主动防御进行安全检测,也就是在服务器侧预先存储大量的恶意程序的行为,用于比对本次检测文件的行为,具体流程为:通过大量客户端计算机对各种程序的程序行为(可以是单一行为,也可以是一组行为的组合)和/或发起该程序行为的程序的程序特征进行收集,发送到服务器端;服务器端根据所收集到的每一台客户端计算机上的一程序的程序特征和/或程序行为在服务器的数据库进行分析比对,根据比对结果对该程序进行判定,并反馈给对应的客户端计算机;对应客户端计算机根据反馈的判定结果决定是否对该程序行为进行拦截、终止执行该程序和/或清理该程序,恢复系统环境。[0103]以上程序行为可以一程序是直接作出的行为,也可以是该程序并不直接做出行为,而是控制另一目标程序间接做出行为,因此程序行为包括:程序行为本体及该行为目标的属性;行为目标的属性包括:行为目标本身所属的黑白等级(即恶意或非恶意)、所处于系统中的位置(如处于引导区等等)、类型(如可执行文件、备份文件等类型),也可以扩展包括行为目标所作出行为所属的黑白等级、行为本身等等。[0104]在数据库中保存的各恶意行为,假设包括:删除注册表启动项或服务、终止电脑安全程序工具的进程、弱口令破解局域网其他电脑的管理员帐号并复制传播、修改注册表键值导致不能查看隐藏文件和系统文件、尝试破坏硬盘分区下的文件、删除用户的系统备份文件等等,对这些恶意行为可以根据技术人员经验判断其破坏程度或严重性,从而对破坏程度或严重性高的恶意行为赋予更大的权重值;另外在实作中也可以通过收集的大量客户端数据,根据恶意程序行为的上报频率、破坏范围等一系列参数建立数学模型,通过统计学算法获得各恶意行为的权重并分配权重值。在权重累加值大于预设值时,认定恶意程序。[0105]具体的操作中,木马行为规则经过多年的搜集,已有木马的操作行为包括:对文件自动压缩或解压,木马捆绑在一些文件上,造成文件增大,将文件改名,删除文件,更改文件内容,上传下载文件,扫描次数,扫描天数和扫描对象,利用系统自动运行程序启动,修改注册表,伪装文件,修改组策略等行为。[0106]进一步地,木马的操作行为还可能包括:文件操作、网络操作、创建进程、创建线程、注册表操作、窗口、托盘操作、堆栈溢出、注入线程、拦截系统API调用以及访问、修改和创建用户帐号、调用SHELL程序、修改程序文件或写程序文件、调用FTP或TFTP、创建FTP或TFTP服务、发送邮件、浏览器或邮件系统自动运行其他程序、创建大量相同线程、修改和创建用户帐号、危险网络操作、向系统注册表添加启动项、修改系统启动文件、向其他进程注入线程、堆找溢出、应用级进程自动提升为系统级进程操作、拦截系统API调用。[0107]对行为日志进行分析时,以上动作均可以设置权重,最终进行加权累加,进行综合判断。[0108]通过上述一系列的安全分析:可以实现以下功能:[0109]1、对传统安全产品(如IDS、IPS、UTM)无能为力的未知漏洞利用攻击具有出色的精确检测效果;[0110]2、对传统终端杀毒软件、防毒墙无能为力的未知木马、未知病毒、未知恶意代码、特种木马具有出色的精确检测效果;[0111]3、全面检测利用已知系统漏洞、应用漏洞进行攻击的行为;[0112]4、全面、快速检测已知木马、蠕虫、病毒等恶意代码;[0113]5、对钓鱼网站、挂马网站、漏洞利用网站(如XSS)的访问行为具有全面、快速的检测能力;[0114]6、对通过邮件附件传播恶意代码的攻击方式(此种方式为APT攻击的主要方式)具有精确检测的能力;[0115]7、对邮件正文中嵌入的恶意URL具有精确检测能力;[0116]8、对通过頂工具(如QQ、阿里旺旺等)传输含恶意代码的文件具有精确检测能力;[0117]9、对在頂聊天内容中出现的恶意URL具有精确检测的能力;[0118]10、对通过Web下载含恶意代码的文件具有精确检测能力;[0119]11、对通过Web访问含有网马的页面具有精确检测能力。[0120]通过抓取网络运行数据包,并进行全面检测,全面准确地识别出各类恶意文件,大大提高安全可靠性。与现有技术中在个人计算机的客户端上实现不同,本发明的技术方案的实施环境可以为是在Iinux或者其他基于Iinux的平台上的服务器。例如高速网络流量上单核CPU能支持带宽上限达lOGbps。多核为cpu核数*lOGbps。[0121]另外与本发明的技术方案不同,现有技术中的二进制特征匹配的网络扫描方式,没有进行组包处理,而简单地进行数据包二进制数据匹配,线性搜索匹配到要求的特征,认为是恶意的数据包。本实施例的网络数据的检测方法进行了快速的数据包重组,支持高速流量多IP连接高并发,能够将散碎的数据包重组成有意义的数据,在此基础上进行协议分析。[0122]本发明提供的网络数据的安全检测方法和安全检测服务器100,抓取数据包并进行组包后,根据数据包对应的应用层协议进行数据的安全监测,在重组的应用层协议的数据基础上进行协议分析,针对性强,可以快速有效地识别网络攻击,提高了网络安全性。[0123]进一步地,本发明的网络数据的安全检测方法,实现了高速网络流量的数据包重组,能够支持高速流量多IP连接高并发的网络环境,提高了网络安全监测的效率。[0124]在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。[0125]类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】,其中每个权利要求本身都作为本发明的单独实施例。[0126]本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。[0127]此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。[0128]本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的安全检测服务器中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。[0129]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。[0130]至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。[0131]本发明实施例还提供了Al.—种网络数据的安全检测方法,包括:[0132]抓取网络中传输的数据包;[0133]对所述数据包进行组包以还原传输控制协议TCP连接数据,[0134]识别所述TCP连接数据使用的应用层协议;[0135]使用与所述应用层协议对应的安全扫描模块对所述TCP连接数据进行安全扫描。[0136]A2.根据Al所述的方法,其中,抓取网络中传输的数据包包括:利用交换机的网络旁路复制网络中传输的数据包并送入安全检测服务器的网卡。[0137]A3.根据Al所述的方法,其中,对所述数据包进行组包以还原传输控制协议TCP连接数据包括:[0138]将所述数据包写入缓存文件;[0139]对写入缓存文件的数据包进行重组,还原为TCP连接数据。[0140]A4.根据A3所述的方法,其中,对写入缓存文件的数据包进行重组包括:[0141]解析所述数据包中TCP报头中的序号和确认序号;[0142]按照所述序号和确认序号对所述数据包按照TCP的传输顺序进行排序。[0143]A5.根据Al至A4中任一项所述的方法,其中,识别所述TCP连接数据使用的应用层协议包括:按照重组后的数据包的数据特征和端口特征判断所述数据包使用的应用层协议。[0144]A6.根据Al至A5中任一项所述的方法,其中,所述数据包使用的应用层协议包括:文件传输协议FTP、简单邮件传输协议SMTP、邮局协议的第3个版本POP3、超文本传输协议HTTP、简单网络管理协议SNMP、网络新闻传输协议NNTP、域名系统DNS解析请求。[0145]A7.根据Al至A6中任一项所述的方法,其中,使用与所述应用层协议对应的安全扫描模块对所述TCP连接数据进行安全扫描之后还包括:[0146]从所述TCP连接数据中提取出文件,并对所述文件进行云安全分析和动态行为安全分析。[0147]AS.根据A7所述的方法,其中,对所述文件进行云安全分析包括:[0148]计算所述文件的散列值,并将所述散列值与云安全服务器中的散列值危险列表比对;和/或[0149]提取所述文件的统一资源定位符URL,并将所述URL与云安全服务器中的URL危险列表比对。[0150]A9.根据AS所述的方法,其中,将所述URL与云安全服务器中的URL危险列表比对包括:[0151]提取所述URL对应的网址密文;[0152]将所述网址密文与所述云安全服务器数据库中存储的密文进行匹配,所述数据库中存储的密文包括被标记为恶意网址的密文;[0153]若所述网址密文与所述云安全服务器数据库中存储的密文存在匹配,确定所述URL存在恶意内容。[0154]A10.根据A7至A9中任一项所述的方法,其中,对所述文件进行动态行为安全分析包括:[0155]根据所述文件的类型确定对应的虚拟检测环境;[0156]在所述虚拟检测环境下运行或打开所述文件,并监控所述虚拟检测环境的运行状态,生成运行状态日志;[0157]对所述运行状态日志进行分析,得到所述文件的动态行为安全分析结果。[0158]All.根据AlO所述的方法,其中,对所述运行状态日志进行分析包括:[0159]对所述运行状态日志中所述文件触发的各项操作操作行为按照预先设置的权重进行加权累加;[0160]判断加权累加值是否大于预设值,若是,确定所述文件为恶意文件。[0161]A12.根据AlO或AU所述的方法,其中,监控所述虚拟检测环境的运行状态包括:监控所述虚拟检测环境的内存变化情况、注册表修改情况、进程变化情况、网络连接情况。[0162]B13.一种网络数据的安全检测服务器,包括:[0163]数据包抓取接口,用于抓取网络中传输的数据包;[0164]组包装置,用于对所述数据包进行组包以还原传输控制协议TCP连接数据,[0165]协议识别装置,识别所述TCP连接数据使用的应用层协议;[0166]数据包安全扫描装置,用于使用与所述应用层协议对应的安全扫描模块对所述TCP连接数据进行安全扫描。[0167]B14.根据B13所述的安全检测服务器,其中,所述数据包抓取接口被配置为:利用交换机的网络旁路复制网络中传输的数据包并送入所述安全检测服务器的网卡。[0168]B15.根据B13所述的安全检测服务器,其中,所述组包装置被配置为:将所述数据包写入缓存文件;对写入缓存文件的数据包进行重组,还原为TCP连接数据。[0169]B16.根据B15所述的安全检测服务器,其中,所述协议识别装置被配置为:按照重组后的数据包的数据特征和端口特征判断所述数据包使用的应用层协议。[0170]B17.根据B13至B16中任一项所述的安全检测服务器,其中,所述数据包安全扫描装置包括:[0171]文件传输协议FTP扫描模块,用于对FTP协议的所述数据包进行安全扫描;[0172]简单邮件传输协议SMTP扫描模块,用于SMTP协议的所述数据包进行安全扫描;[0173]邮局协议的第3个版本POP3扫描模块,用于POP3协议的所述数据包进行安全扫描;[0174]超文本传输协议HTTP扫描模块,用于HTTP协议的所述数据包进行安全扫描;[0175]简单网络管理协议SNMP扫描模块,用于SNMP协议的所述数据包进行安全扫描;[0176]网络新闻传输协议NNTP扫描模块,用于NNTP协议的所述数据包进行安全扫描;[0177]域名系统DNS解析请求扫描模块,用于DNS解析请求协议的所述数据包进行安全扫描。[0178]B18.根据B13至B17中任一项所述的安全检测服务器,其中,还包括:[0179]文件分析装置,用于从所述TCP连接数据中提取出文件,并对所述文件进行云安全分析和动态行为安全分析。[0180]B19.根据B18所述的安全检测服务器,其中,所述文件分析装置包括:[0181]散列值云分析模块,用于计算所述文件的散列值,并将所述散列值与云安全服务器中的散列值危险列表比对;[0182]URL云分析模块,用于提取所述文件的统一资源定位符URL,并将所述URL与云安全服务器中的URL危险列表比对。[0183]B20.根据B18或B19所述的安全检测服务器,其中,所述文件分析装置还包括:[0184]动态行为安全分析模块,用于根据所述文件的类型确定对应的虚拟检测环境;在所述虚拟检测环境下运行或打开所述文件,并监控所述虚拟检测环境的运行状态,生成运行状态日志;对所述运行状态日志进行分析,得到所述文件的动态行为安全分析结果。[0185]B21.根据B20所述的安全检测服务器,其中,所述动态行为安全分析模块监控虚拟检测环境的运行状态包括:监控所述虚拟检测环境的内存变化情况、注册表修改情况、进程变化情况、网络连接情况。【权利要求】1.一种网络数据的安全检测方法,包括:抓取网络中传输的数据包;对所述数据包进行组包以还原传输控制协议TCP连接数据,识别所述TCP连接数据使用的应用层协议;使用与所述应用层协议对应的安全扫描模块对所述TCP连接数据进行安全扫描。2.根据权利要求1所述的方法,其中,抓取网络中传输的数据包包括:利用交换机的网络旁路复制网络中传输的数据包并送入安全检测服务器的网卡。3.根据权利要求1所述的方法,其中,对所述数据包进行组包以还原传输控制协议TCP连接数据包括:将所述数据包写入缓存文件;对写入缓存文件的数据包进行重组,还原为TCP连接数据。4.根据权利要求3所述的方法,其中,对写入缓存文件的数据包进行重组包括:解析所述数据包中TCP报头中的序号和确认序号;按照所述序号和确认序号对所述数据包按照TCP的传输顺序进行排序。5.根据权利要求1至4中任一项所述的方法,其中,识别所述TCP连接数据使用的应用层协议包括:按照重组后的数据包的数据特征和端口特征判断所述数据包使用的应用层协议。6.根据权利要求1至5中任一项所述的方法,其中,所述数据包使用的应用层协议包括:文件传输协议FTP、简单邮件传输协议SMTP、邮局协议的第3个版本POP3、超文本传输协议HTTP、简单网络管理协议SNMP、网络新闻传输协议NNTP、域名系统DNS解析请求。7.根据权利要求1至6中任一项所述的方法,其中,使用与所述应用层协议对应的安全扫描模块对所述TCP连接数据进行安全扫描之后还包括:从所述TCP连接数据中提取出文件,并对所述文件进行云安全分析和动态行为安全分析。8.—种网络数据的安全检测服务器,包括:数据包抓取接口,用于抓取网络中传输的数据包;组包装置,用于对所述数据包进行组包以还原传输控制协议TCP连接数据,协议识别装置,识别所述TCP连接数据使用的应用层协议;数据包安全扫描装置,用于使用与所述应用层协议对应的安全扫描模块对所述TCP连接数据进行安全扫描。9.根据权利要求8所述的安全检测服务器,其中,所述数据包安全扫描装置包括:文件传输协议FTP扫描模块,用于对FTP协议的所述数据包进行安全扫描;简单邮件传输协议SMTP扫描模块,用于SMTP协议的所述数据包进行安全扫描;邮局协议的第3个版本POP3扫描模块,用于POP3协议的所述数据包进行安全扫描;超文本传输协议HTTP扫描模块,用于HTTP协议的所述数据包进行安全扫描;简单网络管理协议SNMP扫描模块,用于SNMP协议的所述数据包进行安全扫描;网络新闻传输协议NNTP扫描模块,用于NNTP协议的所述数据包进行安全扫描;域名系统DNS解析请求扫描模块,用于DNS解析请求协议的所述数据包进行安全扫描。10.根据权利要求8或9所述的安全检测服务器,其中,还包括:文件分析装置,用于从所述TCP连接数据中提取出文件,并对所述文件进行云安全分析和动态行为安全分析。【文档编号】H04L29/06GK103634306SQ201310576843【公开日】2014年3月12日申请日期:2013年11月18日优先权日:2013年11月18日【发明者】张聪,唐海,邱鹏申请人:北京奇虎科技有限公司,奇智软件(北京)有限公司