[发明专利]一种数据包的分析方法及装置

说明书

本申请实施例提供了一种数据包的分析方法及装置，涉及网络安全技术领域，方法应用于网络设备，方法包括：接收待检测的第一数据包；依据第一数据包的特征，确定第一数据包所属的第一会话、以及第一数据包所属的第一流量类型，其中，流量类型包括请求类型和应答类型；将第一数据包存储到第一会话对应的第一流量存储文件中，记录第一数据包所属的第一流量类型，并通过预设的安全检测策略对第一数据包进行安全检测；如果安全检测的检测结果为攻击数据包，则在检测到第一会话结束后，获取第一会话对应的流量存储文件，根据获取的流量存储文件确定第一会话对应的攻击成功度。采用本申请可以更准确的检测出攻击是否有效或成功。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种数据包的分析方法及装置。

背景技术

随着信息技术的快速发展，网络的应用越来越广泛。同时，网络中存在的安全问题也日益突出，比如，信息泄露和计算机感染病毒等。因此，需要能及时、快速、准确的检测网络中的安全漏洞。

目前，人们通常会在防火墙等安全设备中部署安全检测策略，比如深度报文检测(英文：Deep Packet Inspection，简称：DPI)策略、深度流检测(英文：DeepFlowInspection，简称：DFI)策略等，以便对网络中的流量安全检测，提高网络安全性。网络设备之间可以通过建立会话进行通信，对于会话中传输的每个数据包，安全设备可以通过安全检测策略对该数据包进行安全检测，得到该数据包的安全检测结果。如果安全检测结果为该数据包不是攻击数据包，则安全设备转发该数据包；若如果安全检测结果为该数据包是攻击数据包，则安全设备将丢弃该数据包，以阻断该会话的流量，避免持续攻击。

基于上述技术方案，当发生攻击时，只能通过安全检测策略阻断某会话的流量，无法为技术人员的分析工作提供更有效的信息。

发明内容

本申请实施例的目的在于提供一种数据包的分析方法及装置，可以更准确的检测出攻击是否有效或成功。具体技术方案如下：

第一方面，提供了一种数据包的分析方法，所述方法应用于网络设备，所述方法包括：

接收待检测的第一数据包；

依据所述第一数据包的特征，确定所述第一数据包所属的第一会话、以及所述第一数据包所属的第一流量类型，其中，流量类型包括请求类型和应答类型；

将所述第一数据包存储到所述第一会话对应的第一流量存储文件中，记录所述第一数据包所属的第一流量类型，并通过预设的安全检测策略对所述第一数据包进行安全检测；

如果安全检测的检测结果为攻击数据包，则在检测到所述第一会话结束后，获取所述第一流量存储文件；

针对记录的每一第二流量类型，从所述第一流量存储文件中，获取流量类型为所述第二流量类型的第二数据包，并在所述第二数据包的与所述第二流量类型对应的每一第二流量特征中，选取满足该第二流量特征对应的匹配条件的流量特征，作为目标流量特征；

根据预设的所述目标流量特征的权重，计算所述第二流量类型的参考成功度，并将每种第二流量类型的参考成功度的和值，作为所述第一会话对应的攻击成功度。

可选的，所述方法还包括：

当不存在与所述第一数据包的特征匹配的第一会话时，建立所述第一会话，并从所述第一数据包获取第一协议号；

如果所述第一协议号包括在预设的重要协议列表中，则在预设的重要文件夹中，创建所述第一会话对应的第一流量存储文件，并将所述第一数据包存储到所述第一流量存储文件中；

如果所述第一协议号包括在预设的普通协议列表中，则在预设的普通文件夹中，创建所述第一会话对应的第一流量存储文件，并将所述第一数据包存储到所述第一流量存储文件中。

可选的，所述方法还包括：