本發(fā)明公開了一種高速鏡像網(wǎng)絡(luò)流量中外發(fā)文件的提取方法及裝置，該方法包括以下步驟：為監(jiān)聽的每個(gè)四元組標(biāo)識(shí)的TCP數(shù)據(jù)，創(chuàng)建一個(gè)Hash桶；每個(gè)TCP數(shù)據(jù)包到來時(shí)根據(jù)四元組標(biāo)志信息，將TCP數(shù)據(jù)放入相應(yīng)的HASH桶；對(duì)放入相應(yīng)HASH桶中的TCP數(shù)據(jù)進(jìn)行協(xié)議識(shí)別和協(xié)議數(shù)據(jù)解析；接收經(jīng)過協(xié)議數(shù)據(jù)解析得到的消息，并從該消息中提取文檔屬性信息；根據(jù)文檔屬性提取文檔數(shù)據(jù)，并將提取的文檔數(shù)據(jù)存儲(chǔ)在內(nèi)存文件系統(tǒng)上。通過本發(fā)明的方案，能夠快速有效的提取外發(fā)文檔，能夠保證高速流量中的文檔數(shù)據(jù)得以處理，為流量審計(jì)、病毒檢測(cè)等提供條件。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，具體涉及一種高速鏡像網(wǎng)絡(luò)流量中外發(fā)文件的提取方法及裝置。

背景技術(shù)

對(duì)企業(yè)外網(wǎng)出口交換機(jī)或路由器的端口鏡像流量進(jìn)行審計(jì)是防止企業(yè)敏感數(shù)據(jù)通過網(wǎng)絡(luò)外泄的有效途徑。如何提取出端口鏡像流量中的文檔，并對(duì)提出的文檔進(jìn)行深度解析和精確內(nèi)容匹配是實(shí)現(xiàn)流量審計(jì)的關(guān)鍵。端口鏡像流量中既包含外發(fā)文檔，也包含接收文檔，只有外發(fā)文檔才是數(shù)據(jù)防泄漏DLP的關(guān)注點(diǎn)。

端口鏡像流量的解析主要包含會(huì)話還原、協(xié)議識(shí)別、協(xié)議分析三個(gè)過程。會(huì)話還原是指對(duì)端口鏡像流量中的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行處理，完成無效數(shù)據(jù)包丟棄、亂序數(shù)據(jù)包排序等主要工作。協(xié)議識(shí)別是指依據(jù)端口，協(xié)議特征等把還原出的網(wǎng)絡(luò)會(huì)話數(shù)據(jù)歸屬到對(duì)應(yīng)的應(yīng)用協(xié)議。協(xié)議分析是指按照RFC的協(xié)議規(guī)則，對(duì)識(shí)別出的網(wǎng)絡(luò)會(huì)話進(jìn)行分析，提取會(huì)話中傳輸?shù)膬?nèi)容，提取正文或附件的內(nèi)容。在實(shí)際應(yīng)用中，企業(yè)外網(wǎng)中的鏡像流量主要是HTTP流量和SMTP流量。

現(xiàn)有技術(shù)文獻(xiàn)：

文獻(xiàn)1：CN104318162A，源代碼泄露檢測(cè)方法及裝置。

該專利文獻(xiàn)1通過攔截網(wǎng)絡(luò)數(shù)據(jù)流，對(duì)數(shù)據(jù)流進(jìn)行協(xié)議解析獲得字符流，根據(jù)預(yù)設(shè)的檢測(cè)字符串和/或語法分析庫函數(shù)判斷字符流中是否包含源代碼。

文獻(xiàn)1的主要目的在于根據(jù)檢測(cè)字符串的手段判斷字符流是否包含源碼，若是則阻斷所述網(wǎng)絡(luò)數(shù)據(jù)流。然而文獻(xiàn)存在以下缺點(diǎn)：

(1)其并不針對(duì)高速流量的處理過程。

(2)其主要是判定字符流是否包含特定關(guān)鍵字。

(3)未采用并發(fā)的協(xié)議解析，導(dǎo)致數(shù)據(jù)處理速度慢。

本發(fā)明主要是從內(nèi)容還原的角度，注重說明高速流量中如何從各個(gè)協(xié)議會(huì)話數(shù)據(jù)中析取文件的內(nèi)容。從而為后續(xù)的審計(jì)，標(biāo)識(shí)和加密等過程建立條件。

發(fā)明內(nèi)容

為解決上述技術(shù)問題，本發(fā)明提供了一種高速鏡像網(wǎng)絡(luò)流量中外發(fā)文件的提取方法，該方法包括以下步驟：

(1)為監(jiān)聽的每個(gè)四元組標(biāo)識(shí)的TCP數(shù)據(jù)，創(chuàng)建一個(gè)HASH桶；

(2)每個(gè)TCP數(shù)據(jù)包到來時(shí)根據(jù)四元組標(biāo)識(shí)信息，將TCP數(shù)據(jù)放入相應(yīng)的HASH桶；

(3)對(duì)放入相應(yīng)HASH桶中的TCP數(shù)據(jù)進(jìn)行協(xié)議識(shí)別和協(xié)議數(shù)據(jù)解析；

(4)接收協(xié)議數(shù)據(jù)解析得到的消息，并從該消息中提取文檔屬性信息；

(5)根據(jù)該文檔屬性信息提取文檔數(shù)據(jù)，并將提取的文檔數(shù)據(jù)存儲(chǔ)在內(nèi)存文件系統(tǒng)上；

其中，所述協(xié)議數(shù)據(jù)解析采用線程池實(shí)現(xiàn)高速鏡像網(wǎng)絡(luò)流量中的高并發(fā)TCP會(huì)話數(shù)據(jù)解析。

根據(jù)本發(fā)明的實(shí)施例，優(yōu)選的，在所述步驟(1)之前還包括步驟：

在交換機(jī)或路由器上，將一個(gè)或多個(gè)源端口的數(shù)據(jù)流量轉(zhuǎn)發(fā)到某一個(gè)指定端口來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)聽。

根據(jù)本發(fā)明的實(shí)施例，優(yōu)選的，所述步驟(2)之后還包括：

TCP會(huì)話結(jié)束時(shí)，關(guān)閉為TCP數(shù)據(jù)創(chuàng)建的HASH桶。