本發明公開了一種高速鏡像網絡流量中外發文件的提取方法及裝置，該方法包括以下步驟：為監聽的每個四元組標識的TCP數據，創建一個Hash桶；每個TCP數據包到來時根據四元組標志信息，將TCP數據放入相應的HASH桶；對放入相應HASH桶中的TCP數據進行協議識別和協議數據解析；接收經過協議數據解析得到的消息，并從該消息中提取文檔屬性信息；根據文檔屬性提取文檔數據，并將提取的文檔數據存儲在內存文件系統上。通過本發明的方案，能夠快速有效的提取外發文檔，能夠保證高速流量中的文檔數據得以處理，為流量審計、病毒檢測等提供條件。

技術領域

本發明涉及數據安全領域，具體涉及一種高速鏡像網絡流量中外發文件的提取方法及裝置。

背景技術

對企業外網出口交換機或路由器的端口鏡像流量進行審計是防止企業敏感數據通過網絡外泄的有效途徑。如何提取出端口鏡像流量中的文檔，并對提出的文檔進行深度解析和精確內容匹配是實現流量審計的關鍵。端口鏡像流量中既包含外發文檔，也包含接收文檔，只有外發文檔才是數據防泄漏DLP的關注點。

端口鏡像流量的解析主要包含會話還原、協議識別、協議分析三個過程。會話還原是指對端口鏡像流量中的網絡數據包進行處理，完成無效數據包丟棄、亂序數據包排序等主要工作。協議識別是指依據端口，協議特征等把還原出的網絡會話數據歸屬到對應的應用協議。協議分析是指按照RFC的協議規則，對識別出的網絡會話進行分析，提取會話中傳輸的內容，提取正文或附件的內容。在實際應用中，企業外網中的鏡像流量主要是HTTP流量和SMTP流量。

現有技術文獻：

文獻1：CN104318162A，源代碼泄露檢測方法及裝置。

該專利文獻1通過攔截網絡數據流，對數據流進行協議解析獲得字符流，根據預設的檢測字符串和/或語法分析庫函數判斷字符流中是否包含源代碼。

文獻1的主要目的在于根據檢測字符串的手段判斷字符流是否包含源碼，若是則阻斷所述網絡數據流。然而文獻存在以下缺點：

(1)其并不針對高速流量的處理過程。

(2)其主要是判定字符流是否包含特定關鍵字。

(3)未采用并發的協議解析，導致數據處理速度慢。

本發明主要是從內容還原的角度，注重說明高速流量中如何從各個協議會話數據中析取文件的內容。從而為后續的審計，標識和加密等過程建立條件。

發明內容

為解決上述技術問題，本發明提供了一種高速鏡像網絡流量中外發文件的提取方法，該方法包括以下步驟：

(1)為監聽的每個四元組標識的TCP數據，創建一個HASH桶；

(2)每個TCP數據包到來時根據四元組標識信息，將TCP數據放入相應的HASH桶；

(3)對放入相應HASH桶中的TCP數據進行協議識別和協議數據解析；

(4)接收協議數據解析得到的消息，并從該消息中提取文檔屬性信息；

(5)根據該文檔屬性信息提取文檔數據，并將提取的文檔數據存儲在內存文件系統上；

其中，所述協議數據解析采用線程池實現高速鏡像網絡流量中的高并發TCP會話數據解析。

根據本發明的實施例，優選的，在所述步驟(1)之前還包括步驟：

在交換機或路由器上，將一個或多個源端口的數據流量轉發到某一個指定端口來實現對網絡數據的監聽。

根據本發明的實施例，優選的，所述步驟(2)之后還包括：

TCP會話結束時，關閉為TCP數據創建的HASH桶。