[发明专利]一种网络流量还原方法、装置和计算机可读存储介质

说明书

本发明实施例公开了一种网络流量还原方法、装置和可读存储介质，包括以下步骤：获取所述网络流量中的目标数据包；对所述目标数据包进行遍历，并查找目标特征信息；在查找到目标特征信息的情况下，根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型；根据所述协议类型确定所述目标数据包存放文件内容的位置信息；基于所述位置信息，对所述目标数据包中的文件内容进行还原。本发明实施例只进行了目标数据包的遍历，相对于对多层协议进行分析，效率有很大程度的提高，减少了阻塞发生的可能，使得文件丢失的概率大大降低。

技术领域

本发明涉及网络技术技术领域，特别是涉及一种网络流量还原方法、装置和计算机可读存储介质。

背景技术

随着企业信息化的蓬勃发展，大量的文件在网络上进行传递，而且企业存在业务系统越来越多，无法在每个系统的入口及出口处做统一的监控，企业信息文档安全保护方面面临着越来越严峻的挑战。为了防止敏感文件的外泄，急需一种统一的监测系统，但是因为监测的文件传输均会产生网络流量，故若能在公司网络出口处将文件还原出来在做监控，则可有效的防止文件的外泄。但网络出口处的流量巨大，故需要一种文件还原方法。

目前网络流量还原文件的方法为:将抓取到的网络流量数据包送入协议分析器进行分析，协议分析器按照包头信息，一层层的分析各层协议内容，直到分析出文件内容为止，此时将文件内容保存下来，还原为文件。

目前的方法需要将每层协议都分析清楚，然后才能提取出文件，但分析协议是一个耗时操作，当网络流量巨大时，不能及时还原文件，一旦产生阻塞，会产生后续数据包无法继续分析，造成文件丢失，不能还原全部文件。

发明内容

鉴于上述问题，提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种网络流量还原方法、装置和计算机可读存储介质。

为了解决上述问题，本发明实施例公开了一种网络流量还原方法，包括以下步骤：

获取所述网络流量中的目标数据包；

对所述目标数据包进行遍历，并查找目标特征信息；

在查找到目标特征信息的情况下，根据所述目标特征信息以及预设对应关系表确定所述目标数据包应用层的协议类型；

根据所述协议类型确定所述目标数据包存放文件内容的位置信息；

基于所述位置信息，对所述目标数据包中的文件内容进行还原。

可选地，所述对所述目标数据包进行遍历，并查找目标特征信息包括：

建立特征信息库；

对所述目标数据包的报头部分进行遍历；

若遍历到所述报头部分中包含所述特征信息库中的任意一种特征信息，则获取所述特征信息，所述特征信息为目标特征信息；

若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息，则对所述目标数据包的数据部分进行遍历。

可选地，所述若在所述报头部分未遍历到所述特征信息库中的任意一种特征信息时，则对所述目标数据包的数据部分进行遍历之后还包括：

若在所述目标数据包的数据部分未遍历到所述特征信息库中的任意一种特征信息，则获取网络流量中的下一个数据包。

可选地，所述预设对应关系包括：所述目标特征信息与所述目标数据包应用层的协议类型之间预先定义的对应关系。

可选地，所述获取所述网络流量中的目标数据包之后还包括：

根据所述目标数据包的报头部分建立目标会话；

所述对所述目标数据包进行遍历，查找目标特征信息包括：