[发明专利]一种网络流量还原方法、装置和计算机可读存储介质

权利要求书

1.一种网络流量还原方法，其特征在于，包括以下步骤：

获取所述网络流量中的目标数据包；

对所述目标数据包进行遍历，并查找目标特征信息；

在查找到目标特征信息的情况下，根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型；

根据所述协议类型确定所述目标数据包存放文件内容的位置信息；

基于所述位置信息，对所述目标数据包中的文件内容进行还原。

2.根据权利要求1所述的还原方法，其特征在于，所述对所述目标数据包进行遍历，并查找目标特征信息包括：

建立特征信息库；

对所述目标数据包的报头部分进行遍历；

若遍历到所述报头部分中包含所述特征信息库中的任意一种特征信息，则获取所述特征信息，所述特征信息为目标特征信息；

若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息，则对所述目标数据包的数据部分进行遍历。

3.根据权利要求2所述的还原方法，其特征在于，所述若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息时，则对所述目标数据包的数据部分进行遍历之后还包括：

若在所述目标数据包的数据部分未遍历到所述特征信息库中的任意一种特征信息，则获取网络流量中的下一个数据包。

4.根据权利要求1所述的还原方法，其特征在于，所述预设对应关系包括：所述目标特征信息与所述目标数据包应用层的协议类型之间预先定义的对应关系。

5.根据权利要求1所述的还原方法，其特征在于，所述获取所述网络流量中的目标数据包之后还包括：

根据所述目标数据包的报头部分建立目标会话；

所述对所述目标数据包进行遍历，查找目标特征信息包括：

在所述目标会话中对所述目标数据包进行遍历，并查找目标特征信息。

6.根据权利要求5所述的还原方法，其特征在于，所述基于所述位置信息，对所述目标数据包中的文件内容进行还原包括：

基于所述位置信息所标明的文件位置，对所述目标数据包中的文件内容进行缓存；

获取所述协议类型的结束标记，利用所述协议类型的结束标记，判断所述的目标会话中的所有数据包中的文件内容是否完成缓存；

若完成，则对所述目标会话中的所有数据包中的文件内容进行还原，若未完成，则获取网络流量中的下一个数据包。

7.根据权利要求1所述的还原方法，其特征在于，所述基于所述位置信息，对所述目标数据包中的文件内容进行还原之后还包括：

对所述还原的文件内容进行敏感分析；

若所述还原的文件内容包含敏感信息，则对所述还原的文件内容进行记录并上报。

8.一种网络流量还原装置，其特征在于，所述装置包括：

获取模块，用于获取所述网络流量中的目标数据包；

遍历模块，用于对所述目标数据包进行遍历，并查找目标特征信息；

协议确定模块，用于在查找到目标特征信息的情况下，根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型；

位置确定模块，用于根据所述协议类型确定所述目标数据包存放文件内容的位置信息；

还原模块，用于基于所述位置信息，对所述目标数据包中的文件内容进行还原。

9.一种网络流量还原装置，其特征在于，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的一种网络流量还原方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的一种网络流量还原方法的步骤。