技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域，具體涉及一種基于云安全的網(wǎng)絡(luò)數(shù)據(jù)流分析方法和裝置。

背景技術(shù)

高級(jí)持續(xù)性威脅（APT，Advanced?Persistent?Threat）是指特定組織使用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。

當(dāng)前，APT已成為各級(jí)各類網(wǎng)絡(luò)所面臨的主要安全威脅。它使網(wǎng)絡(luò)威脅從散兵游勇式的隨機(jī)攻擊變成有目的、有組織、有預(yù)謀的群體式攻擊。因此為了保護(hù)網(wǎng)絡(luò)安全，需要對(duì)網(wǎng)絡(luò)流量進(jìn)行分析，檢測(cè)網(wǎng)絡(luò)行為是是否包含APT攻擊。

當(dāng)前業(yè)內(nèi)的PAT檢測(cè)方案是在PC機(jī)上實(shí)現(xiàn)的。

為了便于理解，首先簡(jiǎn)單介紹一下網(wǎng)絡(luò)行為。網(wǎng)絡(luò)行為可以理解為需要通過(guò)網(wǎng)絡(luò)進(jìn)行的各種行為，種類繁多，例如包括：HTTP（hypertext?transport?protocol，超文本傳送協(xié)議）訪問(wèn)，常見(jiàn)的有下載文件或上傳信息；SMTP（Simple?Mail?Transfer?Protocol，簡(jiǎn)單郵件傳輸協(xié)議）請(qǐng)求，收發(fā)電子郵件；DNS（Domain?Name?System，域名系統(tǒng)）請(qǐng)求，解析域名對(duì)應(yīng)的IP地址等信息等等。

通常一個(gè)應(yīng)用程序如果需要連接網(wǎng)絡(luò)，需要通過(guò)操作系統(tǒng)（如Windows）提供的API（Application?Program?Interface，應(yīng)用程序接口）接口發(fā)送連接網(wǎng)絡(luò)的請(qǐng)求，操作系統(tǒng)接收到應(yīng)用程序的這種網(wǎng)絡(luò)請(qǐng)求后，會(huì)接收應(yīng)用程序要發(fā)送的數(shù)據(jù)，并對(duì)接收到的數(shù)據(jù)進(jìn)行封裝，之后將封裝的數(shù)據(jù)發(fā)送給物理設(shè)備（如網(wǎng)卡等），最后由硬件設(shè)備將數(shù)據(jù)傳出。在應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)的過(guò)程中，操作系統(tǒng)在處理相關(guān)數(shù)據(jù)的時(shí)候，會(huì)使用一些協(xié)議驅(qū)動(dòng)和過(guò)濾驅(qū)動(dòng)來(lái)獲取網(wǎng)絡(luò)行為的數(shù)據(jù)。

因此，在現(xiàn)有的APT檢測(cè)方案中，通過(guò)在客戶端注冊(cè)協(xié)議驅(qū)動(dòng)、創(chuàng)建與操作系統(tǒng)相似的過(guò)濾驅(qū)動(dòng)、利用操作系統(tǒng)提供的應(yīng)用程序編程接口函數(shù)（hook函數(shù)）截獲當(dāng)前網(wǎng)絡(luò)行為的信息、接管程序調(diào)用網(wǎng)絡(luò)編程接口函數(shù)（Winsock）的請(qǐng)求或者是利用注冊(cè)防火墻回調(diào)等方式，截獲應(yīng)用程序的當(dāng)前網(wǎng)絡(luò)行為的數(shù)據(jù)包。然后僅對(duì)數(shù)據(jù)包的字節(jié)進(jìn)行特征匹配，不進(jìn)行內(nèi)容分析，來(lái)一個(gè)數(shù)據(jù)包就進(jìn)行掃描一次，匹配一下數(shù)據(jù)特征，如果匹配到有APT攻擊風(fēng)險(xiǎn)的數(shù)據(jù)特征，則認(rèn)為是APT攻擊包。

但是，現(xiàn)有的這種APT檢測(cè)方案中，由于一個(gè)數(shù)據(jù)包往往只是一個(gè)消息中的一小部分，因此這種檢測(cè)沒(méi)有針對(duì)性，并且逐個(gè)數(shù)據(jù)包進(jìn)行匹配，效率比較低。

發(fā)明內(nèi)容

鑒于上述問(wèn)題，提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的一種基于云安全的網(wǎng)絡(luò)數(shù)據(jù)流分析方法和裝置。

依據(jù)本發(fā)明的一個(gè)方面，提供了一種基于云安全的網(wǎng)絡(luò)數(shù)據(jù)流分析方法，該方法包括：

抓取網(wǎng)絡(luò)數(shù)據(jù)流中的數(shù)據(jù)包；

對(duì)抓取的數(shù)據(jù)包進(jìn)行組包處理，還原成消息；

確定還原成的消息所對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議；

根據(jù)還原成的消息所對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議，對(duì)該還原成的消息進(jìn)行分析處理。

可選地，所述對(duì)抓取的數(shù)據(jù)包進(jìn)行組包處理，還原成消息包括：

根據(jù)抓取的各數(shù)據(jù)包的TCP頭中的TCP序列號(hào)，按照TCP序列號(hào)數(shù)值小的在前，大的在后的順序?qū)Ω鲾?shù)據(jù)包進(jìn)行排序；其中，TCP序列號(hào)標(biāo)志數(shù)據(jù)包在數(shù)據(jù)流中的位置；

對(duì)于排序后的數(shù)據(jù)包，將TCP頭中的確認(rèn)號(hào)碼相同的數(shù)據(jù)包進(jìn)行組包處理，還原出至少一條帶網(wǎng)絡(luò)協(xié)議格式的消息。

可選地，所述對(duì)該還原成的消息進(jìn)行分析處理還包括：

從還原成的消息中提取文件，對(duì)所提取文件進(jìn)行分析。

可選地，所述對(duì)所提取的文件進(jìn)行分析包括以下幾種方式中的至少一種：

將提取出的文件發(fā)送到云安全服務(wù)器進(jìn)行查詢；

對(duì)提取出的文件進(jìn)行靜態(tài)安全掃描；

將提取出的文件導(dǎo)入云安全服務(wù)器的蜜罐中進(jìn)行分析。

可選地，所述抓取網(wǎng)絡(luò)數(shù)據(jù)流中的數(shù)據(jù)包包括：從內(nèi)網(wǎng)和外網(wǎng)之間的網(wǎng)關(guān)處的網(wǎng)絡(luò)數(shù)據(jù)流的旁路數(shù)據(jù)流中抓取數(shù)據(jù)包。

根據(jù)本發(fā)明的另一方面，提供了一種基于云安全的網(wǎng)絡(luò)數(shù)據(jù)流分析裝置，該裝置包括：抓取單元、組包單元、網(wǎng)絡(luò)協(xié)議分析單元和與不同網(wǎng)絡(luò)協(xié)議一一對(duì)應(yīng)的多個(gè)網(wǎng)絡(luò)協(xié)議掃描單元；

抓取單元，適于抓取網(wǎng)絡(luò)數(shù)據(jù)流中的數(shù)據(jù)包；

組包單元，適于對(duì)抓取單元所抓取的數(shù)據(jù)包進(jìn)行組包處理，還原成消息；

網(wǎng)絡(luò)協(xié)議確定單元，適于確定還原成的消息所對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議，并將該消息發(fā)送給對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議掃描單元；

每個(gè)網(wǎng)絡(luò)協(xié)議掃描單元，適于對(duì)所接收的消息進(jìn)行分析處理。