[发明专利]一种数据包的分析方法及装置

权利要求书

1.一种数据包的分析方法，其特征在于，所述方法应用于网络设备，所述方法包括：

接收待检测的第一数据包；

依据所述第一数据包的特征，确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型，其中，流量类型包括请求类型和应答类型；

将所述第一数据包存储到所述第一会话对应的第一流量存储文件中，记录所述第一数据包所属的第一流量类型，并通过预设的安全检测策略对所述第一数据包进行安全检测；

如果安全检测的检测结果为攻击数据包，则在检测到所述第一会话结束后，获取所述第一流量存储文件；

针对记录的每一第二流量类型，从所述第一流量存储文件中，获取流量类型为所述第二流量类型的第二数据包，并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中，选取满足该第二流量特征对应的匹配条件的流量特征，作为目标流量特征；

根据预设的所述目标流量特征的权重，计算所述第二流量类型的参考成功度，并将每种第二流量类型的参考成功度的和值，作为所述第一会话对应的攻击成功度。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当不存在与所述第一数据包的特征匹配的第一会话时，建立所述第一会话，并从所述第一数据包获取第一协议号；

如果所述第一协议号包括在预设的重要协议列表中，则在预设的重要文件夹中，创建所述第一会话对应的第一流量存储文件，并将所述第一数据包存储到所述第一流量存储文件中；

如果所述第一协议号包括在预设的普通协议列表中，则在预设的普通文件夹中，创建所述第一会话对应的第一流量存储文件，并将所述第一数据包存储到所述第一流量存储文件中。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

如果安全检测的检测结果为攻击数据包，则判断所述第一流量存储文件是否存储在所述普通文件夹中；

如果所述第一流量存储文件存储在所述普通文件夹中，则将所述第一流量存储文件从所述普通文件夹移动至所述重要文件夹中。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

检测所述第一数据包中是否包含文件数据；

如果所述第一数据包中包含文件数据，则提取所述文件数据，并将所述文件数据存储到所述第一会话对应的数据存储文件中。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

如果安全检测的检测结果为攻击数据包，则在检测到所述第一会话结束后，对所述数据存储文件中的文件数据进行安全检测，得到所述数据存储文件对应的安全检测结果。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在检测到所述第一会话结束后，如果所述第一会话对应的数据包中，不存在检测结果为攻击数据包的数据包，则删除所述第一流量存储文件。