[发明专利]一种基于报文协议特征的网络数据流恢复方法及系统

说明书

技术领域

本发明涉及互联网技术领域，更具体地，涉及一种基于报文协议特征的网络数据流恢复方法及系统。

背景技术

互联网的迅速发展给社会生产和人们生活方式带来了巨大的变革，用户通过网络，可以快速地交互信息与数据，但在这个过程中也存着巨大的安全隐患。网络黑客常常利用互联网来传播各种恶意软件，例如将木马病毒等放在网页中让用户下载，或者将它们附加在电子邮件中发送给用户。因此有必要对网络中传输的数据流进行监控，分析网络运行的状态及用户行为，帮助网络管理员及时发现其中的安全问题，保证网络正常运行。

要对数据流进行监控，首先需要将数据流进行恢复。数据流恢复是指将网络数据报文进行过滤和重组，恢复出这些数据报文所携带的原始数据流。由于现有的很多业务应用直接使用标准协议的知名端口进行传输，目前的数据流恢复方法主要基于各应用层协议通常使用的端口来判断该数据包所使用的应用层协议后进行过滤、重组，例如80端口判断为HTTP协议，21端口判断为FTP协议。

这种基于端口进行数据流恢复方法的缺陷在于无法准确、全面地分析出数据包的应用层协议，因为HTTP协议可以使用其它端口，而80端口也可能被其它协议所使用。特别是现在端口转换技术的广泛使用以及隐蔽通信技术的不断提高，网络中大部分流量已经不再使用标准端口进行传输。

发明内容

为了克服基于端口进行数据流恢复方法所存在的无法准确、全面地分析出数据包的应用层协议的问题，本发明提供一种基于报文协议特征的网络数据流恢复方法及系统。

根据本发明的一个方面，提供一种基于报文协议特征的网络数据流恢复方法，包括：

S1，获取网络中的数据报文，对所述数据报文进行解析，获得所述数据报文的数据报文标识符；

S2，根据所述数据报文标识符判断所述数据报文是否为已存在数据流的后继报文；

S3，若获知所述数据报文非已存在数据流的后继报文，则对所述数据报文进行应用层解析，并根据应用层解析所获得的数据流标识符判断所述数据报文是否为非法报文或被传输数据流的首个报文，若获知所述数据报文为被传输数据流的首个报文，则创建一个新的数据流；

S4，对属于同一数据流的数据报文进行重组，对数据流进行恢复。

其中，所述步骤S3还包括：

若获知所述数据报文为已存在数据流的后继报文，则将所述数据报文插入所述已存在数据流的报文队列中。

其中，在步骤S3中所述根据应用层解析所获得的数据流标识符判断所述数据报文是否为非法报文或被传输数据流的首个报文的步骤之后，还包括：

若获知所述数据报文为非法报文，则丢弃所述数据报文。

其中，步骤S1中对所数据报文进行解析的步骤进一步包括：

对所述数据报文依次进行以太网数据帧解析、IP报文解析和TCP/UDP报文解析。

其中，所述数据报文标识符为一个四元组DataPacketID＝<SrcIP,SrcPort,DstIP,DstPort>，其中，SrcIP、SrcPort、DstIP及DstPort分别表示数据报文的源IP地址，源端口，目的IP地址和目的端口。

其中，步骤S3中对所述数据报文进行应用层解析的步骤进一步包括：

根据应用层协议的特征字段，判断所述数据报文所使用的应用层协议，并提取所需要的特征信息，为所述数据报文生成数据流标识符。

其中，所述数据流标识符为一个四元组DataFlowID＝<Protocol,FlowName,Timestamp，DataPacketID>，其中，Protocol、FlowName、Timestamp及DataPacketID分别表示传输数据流的应用层协议，被传输数据流的名称，数据报文的发送时间戳，传输数据流的数据报文标识符。

根据本发明的另一个方面，提供一种基于报文协议特征的网络数据流恢复系统，包括：

数据报文采集与解析模块，用于获取网络中的数据报文，对所述数据报文进行解析，获得所述数据报文的数据报文标识符；

数据流分类模块，用于根据所述数据报文标识符判断所述数据报文是否为已存在数据流的后继报文；