[发明专利]一种数据全流量漏洞采集方法

权利要求书

1.一种数据全流量漏洞采集方法，其特征在于，依次包括以下步骤：

(1)抓取网络数据包

(2)对常用协议进行识别、解析与内容还原

(3)网络全流量采集与历史数据回溯分析

(4)数据回溯与数据挖掘。

2.根据权利要求1所述的数据全流量采集漏洞方法其特征在于：所述步骤(2)针对网络中常用的通讯协议，如HTTP、FTP、Telnet、SMTP/POP3等，采用快速协议识别引擎CSTRE对这些常用协议进行快速识别与统计，并对其传输内容进行还原分析。如针对HTTP的通讯，可提取该通讯传输的文件类型(图片文件、文档文件、压缩文件等)、URL、文件大小、持续时间等信息。同时，支持对协议的快速解码并可对解码字段进行灵活扩展。

3.根据权利要求1或2所述的数据全流量采集漏洞方法，其特征在于：所属步骤(3)采用回溯分析服务器对网络原始实时采集、分析以及原始流量完整保存。同时提供通讯接口与控制平台进行数据传输，采用分析控制台提供人机数据交互，连接分析服务器进行数据展示与回溯分析。回溯分析服务器与分析控制台采用C/S技术架构，分析服务器实时响应分析控制台命令并及时返回响应数据，需要检测分析指定的目标网络时，则可通过分析控制台连接到服务器进行远程数据查看和安全事件分析。

4.根据权利要求2或3所属的数据全流量采集漏洞方法，其特征在于：所述步骤(4)中，使用网络流量统计，统计固定时间段内的各种网络指标，支持对任意网络对象的回溯分析，支持通过原始数据包对任意时间进行完整回溯，定位安全事件时间、源IP、目的IP、事件起因、事件经过以及事件造成的影响。

5.根据权利要求2或3所属的数据全流量采集漏洞方法，其特征在于：所述步骤(4)中，数据分析时间精度为纳秒级，且支持分钟、小时、天等多种时间窗口对流量数据进行检索、挖掘、提取。