[发明专利]一种高速镜像网络流量中外发文件的提取方法及装置

说明书

本发明公开了一种高速镜像网络流量中外发文件的提取方法及装置，该方法包括以下步骤：为监听的每个四元组标识的TCP数据，创建一个Hash桶；每个TCP数据包到来时根据四元组标志信息，将TCP数据放入相应的HASH桶；对放入相应HASH桶中的TCP数据进行协议识别和协议数据解析；接收经过协议数据解析得到的消息，并从该消息中提取文档属性信息；根据文档属性提取文档数据，并将提取的文档数据存储在内存文件系统上。通过本发明的方案，能够快速有效的提取外发文档，能够保证高速流量中的文档数据得以处理，为流量审计、病毒检测等提供条件。

技术领域

本发明涉及数据安全领域，具体涉及一种高速镜像网络流量中外发文件的提取方法及装置。

背景技术

对企业外网出口交换机或路由器的端口镜像流量进行审计是防止企业敏感数据通过网络外泄的有效途径。如何提取出端口镜像流量中的文档，并对提出的文档进行深度解析和精确内容匹配是实现流量审计的关键。端口镜像流量中既包含外发文档，也包含接收文档，只有外发文档才是数据防泄漏DLP的关注点。

端口镜像流量的解析主要包含会话还原、协议识别、协议分析三个过程。会话还原是指对端口镜像流量中的网络数据包进行处理，完成无效数据包丢弃、乱序数据包排序等主要工作。协议识别是指依据端口，协议特征等把还原出的网络会话数据归属到对应的应用协议。协议分析是指按照RFC的协议规则，对识别出的网络会话进行分析，提取会话中传输的内容，提取正文或附件的内容。在实际应用中，企业外网中的镜像流量主要是HTTP流量和SMTP流量。

现有技术文献：

文献1：CN104318162A，源代码泄露检测方法及装置。

该专利文献1通过拦截网络数据流，对数据流进行协议解析获得字符流，根据预设的检测字符串和/或语法分析库函数判断字符流中是否包含源代码。

文献1的主要目的在于根据检测字符串的手段判断字符流是否包含源码，若是则阻断所述网络数据流。然而文献存在以下缺点：

(1)其并不针对高速流量的处理过程。

(2)其主要是判定字符流是否包含特定关键字。

(3)未采用并发的协议解析，导致数据处理速度慢。

本发明主要是从内容还原的角度，注重说明高速流量中如何从各个协议会话数据中析取文件的内容。从而为后续的审计，标识和加密等过程建立条件。

发明内容

为解决上述技术问题，本发明提供了一种高速镜像网络流量中外发文件的提取方法，该方法包括以下步骤：

(1)为监听的每个四元组标识的TCP数据，创建一个HASH桶；

(2)每个TCP数据包到来时根据四元组标识信息，将TCP数据放入相应的HASH桶；

(3)对放入相应HASH桶中的TCP数据进行协议识别和协议数据解析；

(4)接收协议数据解析得到的消息，并从该消息中提取文档属性信息；

(5)根据该文档属性信息提取文档数据，并将提取的文档数据存储在内存文件系统上；

其中，所述协议数据解析采用线程池实现高速镜像网络流量中的高并发TCP会话数据解析。

根据本发明的实施例，优选的，在所述步骤(1)之前还包括步骤：

在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络数据的监听。

根据本发明的实施例，优选的，所述步骤(2)之后还包括：

TCP会话结束时，关闭为TCP数据创建的HASH桶。