網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法和安全檢測(cè)服務(wù)器的制造方法【專利摘要】本發(fā)明提供了一種網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法和安全檢測(cè)服務(wù)器。其中,網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法包括:抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包;對(duì)數(shù)據(jù)包進(jìn)行組包以還原傳輸控制協(xié)議TCP連接數(shù)據(jù),識(shí)別TCP連接數(shù)據(jù)使用的應(yīng)用層協(xié)議;使用與應(yīng)用層協(xié)議對(duì)應(yīng)的安全掃描模塊對(duì)TCP連接數(shù)據(jù)進(jìn)行安全掃描。利用本發(fā)明的技術(shù)方案,抓取數(shù)據(jù)包并進(jìn)行組包后,根據(jù)數(shù)據(jù)包對(duì)應(yīng)的應(yīng)用層協(xié)議進(jìn)行數(shù)據(jù)的安全監(jiān)測(cè),在重組的應(yīng)用層協(xié)議的數(shù)據(jù)基礎(chǔ)上進(jìn)行協(xié)議分析,針對(duì)性強(qiáng),可以快速有效地識(shí)別網(wǎng)絡(luò)攻擊,提高了網(wǎng)絡(luò)安全性?!緦@f明】網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法和安全檢測(cè)服務(wù)器【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及互聯(lián)網(wǎng)安全領(lǐng)域,特別是涉及一種網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法和安全檢測(cè)服務(wù)器。【
背景技術(shù):
】[0002]惡意程序是一個(gè)概括性的術(shù)語,指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害行為的軟件程序。計(jì)算機(jī)病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導(dǎo)區(qū)病毒、腳本病毒(batch,windowsshell,java等)、木馬、犯罪軟件、間謀軟件和廣告軟件等等,都是一些可以稱之為惡意程序的例子。[0003]傳統(tǒng)的惡意程序防殺主要依賴于特征庫匹配或者行為分析。特征庫匹配的識(shí)別方式為:病毒查殺引擎讀取本地文件并與特征庫中的所有特征碼“關(guān)鍵詞”進(jìn)行匹配,如果發(fā)現(xiàn)文件程序代碼被命中,就可以判定該文件程序?yàn)閻阂獬绦?。行為分析的識(shí)別方式為:程序的行為作為判斷惡意程序的依據(jù),其中衍生出在本地使用特征庫、在本地設(shè)置行為閾值以及在本地啟發(fā)式殺毒的方式來判別、攔截惡意程序的行為。[0004]本地主動(dòng)防御很容易對(duì)惡意程序造成免殺,例如,通過對(duì)惡意程序加殼或修改該惡意程序的特征碼即可以避開本地主動(dòng)防御的特征庫防殺模式;通過針對(duì)惡意程序的行為,減少或替換惡意程序執(zhí)行的相關(guān)行為從而避免觸發(fā)行為閾值防殺模式的啟動(dòng)上限。另夕卜,本地主動(dòng)防御還是要依賴于本地?cái)?shù)據(jù)庫的及時(shí)更新。[0005]基于以上問題,一些公司提出了“云查殺技術(shù)”,即將為數(shù)眾多的客戶端電腦當(dāng)成一個(gè)病毒采集器,由他們將日常遭遇到的可疑文件上傳至服務(wù)器端,這樣服務(wù)器便能通過對(duì)上傳樣本進(jìn)行分析,實(shí)現(xiàn)新病毒的快速響應(yīng)。[0006]然而,目前的“云查殺技術(shù)”也僅僅能夠?qū)⑾螺d下來的文件進(jìn)行掃描處理,而對(duì)于那些需要耗費(fèi)大量網(wǎng)絡(luò)資源下載的病毒或者木馬文件則需要下載命令執(zhí)行完畢后才有可能發(fā)現(xiàn)并刪除。而對(duì)于正在網(wǎng)絡(luò)中正在傳輸?shù)膬?nèi)容來說卻是無能為力?!?br/>發(fā)明內(nèi)容】[0007]鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器和相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法。[0008]基于本發(fā)明的一個(gè)目的,提供了一種網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法。該網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法包括:抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包;對(duì)數(shù)據(jù)包進(jìn)行組包以還原傳輸控制協(xié)議TCP連接數(shù)據(jù),識(shí)別TCP連接數(shù)據(jù)使用的應(yīng)用層協(xié)議;使用與應(yīng)用層協(xié)議對(duì)應(yīng)的安全掃描模塊對(duì)TCP連接數(shù)據(jù)進(jìn)行安全掃描。[0009]可選地,抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包包括:利用交換機(jī)的網(wǎng)絡(luò)旁路復(fù)制網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并送入安全檢測(cè)服務(wù)器的網(wǎng)卡。[0010]可選地,對(duì)數(shù)據(jù)包進(jìn)行組包以還原傳輸控制協(xié)議TCP連接數(shù)據(jù)包括:將數(shù)據(jù)包寫入緩存文件;對(duì)寫入緩存文件的數(shù)據(jù)包進(jìn)行重組,還原為TCP連接數(shù)據(jù)。[0011]可選地,對(duì)寫入緩存文件的數(shù)據(jù)包進(jìn)行重組包括:解析數(shù)據(jù)包中TCP報(bào)頭中的序號(hào)和確認(rèn)序號(hào);按照序號(hào)和確認(rèn)序號(hào)對(duì)數(shù)據(jù)包按照TCP的傳輸順序進(jìn)行排序。[0012]可選地,識(shí)別TCP連接數(shù)據(jù)使用的應(yīng)用層協(xié)議包括:按照重組后的數(shù)據(jù)包的數(shù)據(jù)特征和端口特征判斷數(shù)據(jù)包使用的應(yīng)用層協(xié)議。[0013]可選地,數(shù)據(jù)包使用的應(yīng)用層協(xié)議包括:文件傳輸協(xié)議FTP、簡單郵件傳輸協(xié)議SMTP、郵局協(xié)議的第3個(gè)版本POP3、超文本傳輸協(xié)議HTTP、簡單網(wǎng)絡(luò)管理協(xié)議SNMP、網(wǎng)絡(luò)新聞傳輸協(xié)議NNTP、域名系統(tǒng)DNS解析請(qǐng)求。[0014]可選地,使用與應(yīng)用層協(xié)議對(duì)應(yīng)的安全掃描模塊對(duì)TCP連接數(shù)據(jù)進(jìn)行安全掃描之后還包括:從TCP連接數(shù)據(jù)中提取出文件,并對(duì)文件進(jìn)行云安全分析和動(dòng)態(tài)行為安全分析。[0015]可選地,對(duì)文件進(jìn)行云安全分析包括:計(jì)算文件的散列值,并將散列值與云安全服務(wù)器中的散列值危險(xiǎn)列表比對(duì);和/或提取文件的統(tǒng)一資源定位符URL,并將URL與云安全服務(wù)器中的URL危險(xiǎn)列表比對(duì)。[0016]可選地,將URL與云安全服務(wù)器中的URL危險(xiǎn)列表比對(duì)包括:提取URL對(duì)應(yīng)的網(wǎng)址密文;將網(wǎng)址密文與云安全服務(wù)器數(shù)據(jù)庫中存儲(chǔ)的密文進(jìn)行匹配,數(shù)據(jù)庫中存儲(chǔ)的密文包括被標(biāo)記為惡意網(wǎng)址的密文;若網(wǎng)址密文與云安全服務(wù)器數(shù)據(jù)庫中存儲(chǔ)的密文存在匹配,確定URL存在惡意內(nèi)容。[0017]可選地,對(duì)文件進(jìn)行動(dòng)態(tài)行為安全分析包括:根據(jù)文件的類型確定對(duì)應(yīng)的虛擬檢測(cè)環(huán)境;在虛擬檢測(cè)環(huán)境下運(yùn)行或打開文件,并監(jiān)控虛擬檢測(cè)環(huán)境的運(yùn)行狀態(tài),生成運(yùn)行狀態(tài)日志;對(duì)運(yùn)行狀態(tài)日志進(jìn)行分析,得到文件的動(dòng)態(tài)行為安全分析結(jié)果。[0018]可選地,對(duì)運(yùn)行狀態(tài)日志進(jìn)行分析包括:對(duì)運(yùn)行狀態(tài)日志中文件觸發(fā)的各項(xiàng)操作操作行為按照預(yù)先設(shè)置的權(quán)重進(jìn)行加權(quán)累加;判斷加權(quán)累加值是否大于預(yù)設(shè)值,若是,確定文件為惡意文件。[0019]可選地,監(jiān)控虛擬檢測(cè)環(huán)境的運(yùn)行狀態(tài)包括:監(jiān)控虛擬檢測(cè)環(huán)境的內(nèi)存變化情況、注冊(cè)表修改情況、進(jìn)程變化情況、網(wǎng)絡(luò)連接情況。[0020]基于本發(fā)明的另一個(gè)方面,還提供了一種網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器。該網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器包括:數(shù)據(jù)包抓取接口,用于抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包;組包裝置,用于對(duì)數(shù)據(jù)包進(jìn)行組包以還原傳輸控制協(xié)議TCP連接數(shù)據(jù),協(xié)議識(shí)別裝置,識(shí)別TCP連接數(shù)據(jù)使用的應(yīng)用層協(xié)議;數(shù)據(jù)包安全掃描裝置,用于使用與應(yīng)用層協(xié)議對(duì)應(yīng)的安全掃描模塊對(duì)TCP連接數(shù)據(jù)進(jìn)行安全掃描。[0021]可選地,數(shù)據(jù)包抓取接口被配置為:利用交換機(jī)的網(wǎng)絡(luò)旁路復(fù)制網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并送入安全檢測(cè)服務(wù)器的網(wǎng)卡。[0022]可選地,組包裝置被配置為:將數(shù)據(jù)包寫入緩存文件;對(duì)寫入緩存文件的數(shù)據(jù)包進(jìn)行重組,還原為TCP連接數(shù)據(jù)。[0023]可選地,協(xié)議識(shí)別裝置被配置為:按照重組后的數(shù)據(jù)包的數(shù)據(jù)特征和端口特征判斷數(shù)據(jù)包使用的應(yīng)用層協(xié)議。[0024]可選地,數(shù)據(jù)包安全掃描裝置包括:文件傳輸協(xié)議FTP掃描模塊,用于對(duì)FTP協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描;簡單郵件傳輸協(xié)議SMTP掃描模塊,用于SMTP協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描;郵局協(xié)議的第3個(gè)版本POP3掃描模塊,用于POP3協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描;超文本傳輸協(xié)議HTTP掃描模塊,用于HTTP協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描;簡單網(wǎng)絡(luò)管理協(xié)議SNMP掃描模塊,用于SNMP協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描;網(wǎng)絡(luò)新聞傳輸協(xié)議NNTP掃描模塊,用于NNTP協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描;域名系統(tǒng)DNS解析請(qǐng)求掃描模塊,用于DNS解析請(qǐng)求協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描。[0025]可選地,本發(fā)明提供的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器還包括:文件分析裝置,用于從TCP連接數(shù)據(jù)中提取出文件,并對(duì)文件進(jìn)行云安全分析和動(dòng)態(tài)行為安全分析。[0026]可選地,文件分析裝置包括:散列值云分析模塊,用于計(jì)算文件的散列值,并將散列值與云安全服務(wù)器中的散列值危險(xiǎn)列表比對(duì);URL云分析模塊,用于提取文件的統(tǒng)一資源定位符URL,并將URL與云安全服務(wù)器中的URL危險(xiǎn)列表比對(duì)。[0027]可選地,動(dòng)態(tài)行為安全分析模塊,用于根據(jù)文件的類型確定對(duì)應(yīng)的虛擬檢測(cè)環(huán)境;在虛擬檢測(cè)環(huán)境下運(yùn)行或打開文件,并監(jiān)控虛擬檢測(cè)環(huán)境的運(yùn)行狀態(tài),生成運(yùn)行狀態(tài)日志;對(duì)運(yùn)行狀態(tài)日志進(jìn)行分析,得到文件的動(dòng)態(tài)行為安全分析結(jié)果。[0028]可選地,動(dòng)態(tài)行為安全分析模塊監(jiān)控虛擬檢測(cè)環(huán)境的運(yùn)行狀態(tài)包括:監(jiān)控虛擬檢測(cè)環(huán)境的內(nèi)存變化情況、注冊(cè)表修改情況、進(jìn)程變化情況、網(wǎng)絡(luò)連接情況。[0029]本發(fā)明提供的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法和安全檢測(cè)服務(wù)器,抓取數(shù)據(jù)包并進(jìn)行組包后,根據(jù)數(shù)據(jù)包對(duì)應(yīng)的應(yīng)用層協(xié)議進(jìn)行數(shù)據(jù)的安全監(jiān)測(cè),在重組的應(yīng)用層協(xié)議的數(shù)據(jù)基礎(chǔ)上進(jìn)行協(xié)議分析,針對(duì)性強(qiáng),可以快速有效地識(shí)別網(wǎng)絡(luò)攻擊,提高了網(wǎng)絡(luò)安全性。[0030]進(jìn)一步地,本發(fā)明的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法,實(shí)現(xiàn)了高速網(wǎng)絡(luò)流量的數(shù)據(jù)包重組,能夠支持高速流量多IP連接高并發(fā)的網(wǎng)絡(luò)環(huán)境,提高了網(wǎng)絡(luò)安全監(jiān)測(cè)的效率。[0031]又進(jìn)一步地,對(duì)網(wǎng)絡(luò)中傳輸?shù)奈募?shí)現(xiàn)動(dòng)態(tài)分析和云分析,提高了文件安全分析的全面性,安全可靠地保障了網(wǎng)絡(luò)安全。[0032]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的【具體實(shí)施方式】。[0033]根據(jù)下文結(jié)合附圖對(duì)本發(fā)明具體實(shí)施例的詳細(xì)描述,本領(lǐng)域技術(shù)人員將會(huì)更加明了本發(fā)明的上述以及其他目的、優(yōu)點(diǎn)和特征?!緦@綀D】【附圖說明】[0034]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件。在附圖中:[0035]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器100的示意圖;[0036]圖2是根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器100中數(shù)據(jù)包安全掃描裝置140的示意圖;[0037]圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器100中文件分析裝置150的不意圖;以及[0038]圖4是根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法的示意圖?!揪唧w實(shí)施方式】[0039]在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外,本發(fā)明也不針對(duì)任何特定編程語言。應(yīng)當(dāng)明白,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對(duì)特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。[0040]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器100的示意圖,如圖所示,該網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器100—般性包括:數(shù)據(jù)包抓取接口110、組包裝置120、協(xié)議識(shí)別裝置130、數(shù)據(jù)包安全掃描裝置140;此外根據(jù)需要還可以增加設(shè)置文件分析裝置150。服務(wù)器100可以基于Linux或其他基于Linux的平臺(tái)實(shí)現(xiàn)。[0041]在以上安全檢測(cè)服務(wù)器100中,數(shù)據(jù)包抓取接口110用于抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包。抓取數(shù)據(jù)包可以采用通過網(wǎng)絡(luò)數(shù)據(jù)旁路抓取數(shù)據(jù)包并導(dǎo)入安全檢測(cè)服務(wù)器100的方式進(jìn)行。例如,在網(wǎng)絡(luò)通道中設(shè)置一個(gè)旁路,將網(wǎng)絡(luò)流量中的數(shù)據(jù)包由數(shù)據(jù)包抓取接口110導(dǎo)入到服務(wù)器100。一種具體的實(shí)現(xiàn)方式為:打開交換機(jī)的旁路開關(guān),通過硬件方式復(fù)制數(shù)據(jù)包并傳輸?shù)椒?wù)器100的網(wǎng)卡,利用抓包工具對(duì)網(wǎng)卡的驅(qū)動(dòng)進(jìn)行修改,將數(shù)據(jù)包直接發(fā)送給組包裝置120。[0042]相比于以上數(shù)據(jù)包抓取接口110的抓包方式,傳統(tǒng)應(yīng)用程序連接網(wǎng)絡(luò)的過程為:通過操作系統(tǒng)提供的應(yīng)用程序接口(ApplicationProgramInterface,簡稱API)發(fā)送連接網(wǎng)絡(luò)的請(qǐng)求,操作系統(tǒng)接收到這種網(wǎng)絡(luò)請(qǐng)求后,接收應(yīng)用程序發(fā)送的數(shù)據(jù),并對(duì)接收到的數(shù)據(jù)進(jìn)行封裝,之后將封裝的數(shù)據(jù)發(fā)送給物理設(shè)備(如網(wǎng)卡等),最后由硬件設(shè)備將數(shù)據(jù)傳出。在需要抓取網(wǎng)絡(luò)數(shù)據(jù)包時(shí),操作系統(tǒng)在處理相關(guān)數(shù)據(jù)的時(shí)候,會(huì)使用一些協(xié)議驅(qū)動(dòng)和過濾驅(qū)動(dòng)來獲取網(wǎng)絡(luò)行為的數(shù)據(jù),所以可以注冊(cè)協(xié)議驅(qū)動(dòng)或創(chuàng)建與操作系統(tǒng)使用的過濾驅(qū)動(dòng)相似的過濾驅(qū)動(dòng),進(jìn)而獲取到網(wǎng)絡(luò)行為的數(shù)據(jù)。具體監(jiān)控的實(shí)施方式包括以下幾種方式:通過在客戶端注冊(cè)協(xié)議驅(qū)動(dòng)、創(chuàng)建與操作系統(tǒng)相似的過濾驅(qū)動(dòng)、利用操作系統(tǒng)提供的應(yīng)用程序編程接口函數(shù)(hook函數(shù))截獲當(dāng)前網(wǎng)絡(luò)行為的信息、接管程序調(diào)用網(wǎng)絡(luò)編程接口函數(shù)(Winsock)的請(qǐng)求或者是利用注冊(cè)防火墻回調(diào)等方式,截獲程序的當(dāng)前網(wǎng)絡(luò)行為的信息??梢钥闯鲆陨汐@取網(wǎng)絡(luò)行為數(shù)據(jù)的過程均是在客戶端的操作系統(tǒng)上實(shí)現(xiàn)的。[0043]現(xiàn)有的方式需要經(jīng)過服務(wù)器的操作系統(tǒng)進(jìn)行調(diào)用,存在內(nèi)存和操作系統(tǒng)之間的交互,在帶寬較高的情況下,受限于緩沖區(qū)的限制會(huì)出現(xiàn)的嚴(yán)重的丟包。但是使用本實(shí)施例的安全檢測(cè)服務(wù)器100的數(shù)據(jù)包抓取接口110,不經(jīng)過操作系統(tǒng)的調(diào)用,實(shí)現(xiàn)了高速網(wǎng)絡(luò)的抓包功能。[0044]組包裝置120用于對(duì)數(shù)據(jù)包進(jìn)行組包以還原傳輸控制協(xié)議TCP連接數(shù)據(jù)。由于數(shù)據(jù)包在網(wǎng)路中傳輸?shù)拇涡蚺c數(shù)據(jù)包的原有順序有可能不一致,因此識(shí)別數(shù)據(jù)包的應(yīng)用層協(xié)議,需要按照數(shù)據(jù)包的預(yù)定義順序?qū)?shù)據(jù)包進(jìn)行重組。組包裝置120可以被配置為:將數(shù)據(jù)包寫入緩存文件;對(duì)寫入緩存文件的數(shù)據(jù)包進(jìn)行重組,還原為TCP連接數(shù)據(jù),為協(xié)議識(shí)別提供了手段。寫入緩存文件的數(shù)據(jù)包的內(nèi)容可以包括:TCP連接的源IP、目標(biāo)IP、源端口、目標(biāo)端口、序列號(hào)(SequenceNumber)、確認(rèn)序號(hào)(AcknowledgeNumber)以及數(shù)據(jù)包的數(shù)據(jù)內(nèi)容。[0045]以上按照預(yù)定義的順序?qū)彺婧蟮臄?shù)據(jù)包進(jìn)行重組的過程可以利用TCP報(bào)頭中的序號(hào)和確認(rèn)序號(hào)進(jìn)行。首先,解析數(shù)據(jù)包中TCP報(bào)頭中的序號(hào)和確認(rèn)序號(hào);按照序號(hào)和確認(rèn)序號(hào)對(duì)緩存后的數(shù)據(jù)包進(jìn)行排序。[0046]網(wǎng)絡(luò)中的數(shù)據(jù)包經(jīng)過路由器等網(wǎng)絡(luò)設(shè)備后,其傳輸順序與組包的順序發(fā)生改變,因此需要按照每個(gè)TCP端口的連接狀態(tài)對(duì)傳輸順序進(jìn)行數(shù)據(jù)包的重組。例如在網(wǎng)路中傳輸一段文本,包括:0,1,2,3共4字節(jié),同時(shí)在網(wǎng)絡(luò)傳輸過程中改變了順序,順序變?yōu)?,1,3,4,0,對(duì)數(shù)據(jù)包進(jìn)行重組的過程中需要首先恢復(fù)數(shù)據(jù)包的原有順序。[0047]組包裝置120重組數(shù)據(jù)包的順序可以利用TCP的序列號(hào)(SequenceNumber)和確認(rèn)序號(hào)(AcknowledgeNumber)。其中,TCP的序列號(hào)標(biāo)志了到某個(gè)數(shù)據(jù)包其在數(shù)據(jù)流中的位置,TCP的確認(rèn)序號(hào)記錄了目的端口到源端口中已收到的連續(xù)性數(shù)據(jù)編號(hào)。這兩個(gè)序列號(hào)的標(biāo)識(shí)都包含在TCP數(shù)據(jù)包的頭數(shù)據(jù)中,確認(rèn)序號(hào)的變化標(biāo)明一個(gè)文件傳輸完畢,例如,確認(rèn)序號(hào)由1000000變?yōu)?000049,說明數(shù)據(jù)源發(fā)了一段數(shù)據(jù)過來,然后根據(jù)TCP的序列號(hào)對(duì)該文件的數(shù)據(jù)包進(jìn)行順序重組。[0048]通過TCP的序列號(hào)和確認(rèn)序號(hào)將緩存的數(shù)據(jù)包按照重組后,按照重組后的數(shù)據(jù)包的數(shù)據(jù)特征和端口特征判斷數(shù)據(jù)包使用的應(yīng)用層協(xié)議。[0049]協(xié)議識(shí)別裝置130用于識(shí)別TCP連接數(shù)據(jù)使用的應(yīng)用層協(xié)議。該協(xié)議識(shí)別裝置130可以被配置為:按照重組后的數(shù)據(jù)包的數(shù)據(jù)特征和端口特征判斷數(shù)據(jù)包使用的應(yīng)用層協(xié)議。數(shù)據(jù)特征和端口特征可以包括TCP連接的源IP、目標(biāo)IP、源端口、目標(biāo)端口、以及數(shù)據(jù)包的數(shù)據(jù)內(nèi)容data。[0050]識(shí)別的協(xié)議類型可以包括:郵局協(xié)議的第3個(gè)版本協(xié)議(PostOfficeProtocol3,簡稱POP3協(xié)議),文件傳輸協(xié)議(FileTransferProtocol,簡稱FTP),超文本傳輸協(xié)議(HypertextTransportProtocol,簡稱HTTP),簡單郵件傳輸協(xié)議(SimpleMailTransferProtocol,簡稱SMTP),域名系統(tǒng)(DomainNameSystem,簡稱DNS)請(qǐng)求等,簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol,簡稱SNMP),網(wǎng)絡(luò)新聞傳輸協(xié)議(NetworkNewsTransportProtocol,簡稱NNTP)。[0051]數(shù)據(jù)包安全掃描裝置140包括多個(gè)安全掃描塊,并使用與應(yīng)用層協(xié)議對(duì)應(yīng)的安全掃描模塊對(duì)數(shù)據(jù)包進(jìn)行安全掃描。圖2是根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器100中數(shù)據(jù)包安全掃描裝置140的示意圖,該數(shù)據(jù)包安全掃描裝置140可以包括:文件傳輸協(xié)議FTP掃描模塊141,用于對(duì)FTP協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描;簡單郵件傳輸協(xié)議SMTP掃描模塊142,用于SMTP協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描;郵局協(xié)議的第3個(gè)版本POP3掃描模塊143,用于POP3協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描;超文本傳輸協(xié)議HTTP掃描模塊144,用于HTTP協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描;簡單網(wǎng)絡(luò)管理協(xié)議SNMP掃描模塊145,用于SNMP協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描;網(wǎng)絡(luò)新聞傳輸協(xié)議NNTP掃描模塊146,用于NNTP協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描;域名系統(tǒng)DNS解析請(qǐng)求掃描模塊147,用于DNS解析請(qǐng)求協(xié)議的數(shù)據(jù)包進(jìn)行安全掃描。以上掃描模塊可以根據(jù)實(shí)際應(yīng)用需求靈活進(jìn)行配置,選擇以上掃描模塊中的部分或全部。[0052]安全檢測(cè)服務(wù)器100利用預(yù)先建立的多種掃描模塊和文件協(xié)議的對(duì)應(yīng)關(guān)系,調(diào)用對(duì)應(yīng)的掃描模塊對(duì)相應(yīng)的協(xié)議類型文件進(jìn)行掃描。[0053]經(jīng)過數(shù)據(jù)包安全掃描裝置140的安全掃描后,網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器100還可以利用文件分析裝置150,對(duì)提取出的數(shù)據(jù)包中的文件進(jìn)行安全分析。[0054]圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器100中文件分析裝置150的示意圖,該文件分析裝置150可以包括:散列值云分析模塊151、URL云分析模塊153、動(dòng)態(tài)行為安全分析模塊153。該文件分析裝置150用于從TCP連接數(shù)據(jù)中提取出文件,并對(duì)文件進(jìn)行云安全分析和動(dòng)態(tài)行為安全分析。[0055]以上散列值云分析模塊151、URL云分析模塊153、動(dòng)態(tài)行為安全分析模塊153三種模塊分別對(duì)提取出的文件進(jìn)行各類安全分析。其中散列值云分析模塊151用于計(jì)算文件的散列值,并將散列值與云安全服務(wù)器中的散列值危險(xiǎn)列表比對(duì),以上散列值可以使用MD5算法得出,云安全服務(wù)器中的散列值危險(xiǎn)列表中包含的數(shù)據(jù)是已檢測(cè)出惡意文件的散列值,通過匹配可以得出當(dāng)前文件是否是云安全服務(wù)器中的散列值危險(xiǎn)列表中已知的惡意文件。[0056]URL云分析模塊153對(duì)文件的統(tǒng)一資源定位符URL,并將URL與云安全服務(wù)器中的URL危險(xiǎn)列表比對(duì)。類似地云安全服務(wù)器中的URL危險(xiǎn)列表包含的數(shù)據(jù)也是已檢測(cè)出惡意文件的來源URL,通過匹配可以得出當(dāng)前文件是否是云安全服務(wù)器中的URL危險(xiǎn)列表已知的惡意文件。[0057]如果數(shù)據(jù)包中解析出的文件通過了以上散列值云分析模塊151、URL云分析模塊153的云查殺,還可以由動(dòng)態(tài)行為安全分析模塊153對(duì)文件進(jìn)行蜜罐行為分析,以確認(rèn)評(píng)估文件觸發(fā)系統(tǒng)行為的風(fēng)險(xiǎn)。[0058]此外,對(duì)于可移植執(zhí)行體文件(PortableExecute,簡稱PE文件)的查殺還可以使用查殺PE(PortableExecute,可移植執(zhí)行體)類型文件的云查殺引擎和人工智能引擎(QihooVirtualMachine,簡稱QVM引擎),以及BitDefender殺毒引擎和小紅傘殺毒引擎等。常見的PE類型文件包括EXE、DLL、OCX、SYS、COM等類型文件。[0059]對(duì)于腳本文件,可以首先使用腳本殺毒引擎檢測(cè)腳本病毒,如果沒有檢測(cè)出腳本病毒,則由客戶端調(diào)用云查殺引擎、QVM引擎、宏病毒專殺引擎(QEX引擎)等其他殺毒引擎進(jìn)行病毒查殺。此外,也可以先通過調(diào)用云查殺引擎、QVM引擎、QEX引擎等其他殺毒引擎進(jìn)行病毒查殺,當(dāng)未檢測(cè)出病毒時(shí),再調(diào)用腳本殺毒引擎對(duì)腳本進(jìn)行查殺。[0060]動(dòng)態(tài)行為安全分析模塊153的分析流程包括:根據(jù)文件的類型確定對(duì)應(yīng)的虛擬檢測(cè)環(huán)境;在虛擬檢測(cè)環(huán)境下運(yùn)行或打開文件,并監(jiān)控虛擬檢測(cè)環(huán)境的運(yùn)行狀態(tài),生成運(yùn)行狀態(tài)日志;對(duì)運(yùn)行狀態(tài)日志進(jìn)行分析,得到文件的動(dòng)態(tài)行為安全分析結(jié)果。其中,動(dòng)態(tài)行為安全分析模塊153監(jiān)控虛擬檢測(cè)環(huán)境的運(yùn)行狀態(tài)一般可以包括:監(jiān)控虛擬檢測(cè)環(huán)境的內(nèi)存變化情況、注冊(cè)表修改情況、進(jìn)程變化情況、網(wǎng)絡(luò)連接情況,更進(jìn)一步地,可以對(duì)以下動(dòng)作進(jìn)行選擇地監(jiān)控:文件操作、網(wǎng)絡(luò)操作、創(chuàng)建進(jìn)程、創(chuàng)建線程、注冊(cè)表操作、窗口、托盤操作、堆棧溢出、注入線程、攔截系統(tǒng)API調(diào)用以及訪問、修改和創(chuàng)建用戶帳號(hào)。以上動(dòng)作均有可能為惡意程序的行為。[0061]動(dòng)態(tài)行為安全分析模塊153可以調(diào)用主動(dòng)防御進(jìn)行安全檢測(cè),也就是在服務(wù)器側(cè)預(yù)先存儲(chǔ)大量的惡意程序的行為,用于比對(duì)本次檢測(cè)文件的行為,具體流程為:通過大量客戶端計(jì)算機(jī)對(duì)各種程序的程序行為(可以是單一行為,也可以是一組行為的組合)和/或發(fā)起該程序行為的程序的程序特征進(jìn)行收集,發(fā)送到服務(wù)器端;服務(wù)器端根據(jù)所收集到的每一臺(tái)客戶端計(jì)算機(jī)上的一程序的程序特征和/或程序行為在服務(wù)器的數(shù)據(jù)庫進(jìn)行分析比對(duì),根據(jù)比對(duì)結(jié)果對(duì)該程序進(jìn)行判定,并反饋給對(duì)應(yīng)的客戶端計(jì)算機(jī);對(duì)應(yīng)客戶端計(jì)算機(jī)根據(jù)反饋的判定結(jié)果決定是否對(duì)該程序行為進(jìn)行攔截、終止執(zhí)行該程序和/或清理該程序,恢復(fù)系統(tǒng)環(huán)境。[0062]以上程序行為可以一程序是直接作出的行為,也可以是該程序并不直接做出行為,而是控制另一目標(biāo)程序間接做出行為,因此程序行為包括:程序行為本體及該行為目標(biāo)的屬性;行為目標(biāo)的屬性包括:行為目標(biāo)本身所屬的黑白等級(jí)(即惡意或非惡意)、所處于系統(tǒng)中的位置(如處于引導(dǎo)區(qū)等等)、類型(如可執(zhí)行文件、備份文件等類型),也可以擴(kuò)展包括行為目標(biāo)所作出行為所屬的黑白等級(jí)、行為本身等等。[0063]在數(shù)據(jù)庫中保存的各惡意行為,假設(shè)包括:刪除注冊(cè)表啟動(dòng)項(xiàng)或服務(wù)、終止電腦安全程序工具的進(jìn)程、弱口令破解局域網(wǎng)其他電腦的管理員帳號(hào)并復(fù)制傳播、修改注冊(cè)表鍵值導(dǎo)致不能查看隱藏文件和系統(tǒng)文件、嘗試破壞硬盤分區(qū)下的文件、刪除用戶的系統(tǒng)備份文件等等,對(duì)這些惡意行為可以根據(jù)技術(shù)人員經(jīng)驗(yàn)判斷其破壞程度或嚴(yán)重性,從而對(duì)破壞程度或嚴(yán)重性高的惡意行為賦予更大的權(quán)重值;另外在實(shí)作中也可以通過收集的大量客戶端數(shù)據(jù),根據(jù)惡意程序行為的上報(bào)頻率、破壞范圍等一系列參數(shù)建立數(shù)學(xué)模型,通過統(tǒng)計(jì)學(xué)算法獲得各惡意行為的權(quán)重并分配權(quán)重值。在權(quán)重累加值大于預(yù)設(shè)值時(shí),認(rèn)定惡意程序。[0064]具體的操作中,木馬行為規(guī)則經(jīng)過多年的搜集,已有木馬的操作行為包括:對(duì)文件自動(dòng)壓縮或解壓,木馬捆綁在一些文件上,造成文件增大,將文件改名,刪除文件,更改文件內(nèi)容,上傳下載文件,掃描次數(shù),掃描天數(shù)和掃描對(duì)象,利用系統(tǒng)自動(dòng)運(yùn)行程序啟動(dòng),修改注冊(cè)表,偽裝文件,修改組策略等行為。[0065]進(jìn)一步地,木馬的操作行為還可能包括:文件操作、網(wǎng)絡(luò)操作、創(chuàng)建進(jìn)程、創(chuàng)建線程、注冊(cè)表操作、窗口、托盤操作、堆棧溢出、注入線程、攔截系統(tǒng)API調(diào)用以及訪問、修改和創(chuàng)建用戶帳號(hào)、調(diào)用SHELL程序、修改程序文件或?qū)懗绦蛭募?、調(diào)用FTP或TFTP、創(chuàng)建FTP或TFTP服務(wù)、發(fā)送郵件、瀏覽器或郵件系統(tǒng)自動(dòng)運(yùn)行其他程序、創(chuàng)建大量相同線程、修改和創(chuàng)建用戶帳號(hào)、危險(xiǎn)網(wǎng)絡(luò)操作、向系統(tǒng)注冊(cè)表添加啟動(dòng)項(xiàng)、修改系統(tǒng)啟動(dòng)文件、向其他進(jìn)程注入線程、堆找溢出、應(yīng)用級(jí)進(jìn)程自動(dòng)提升為系統(tǒng)級(jí)進(jìn)程操作、攔截系統(tǒng)API調(diào)用。[0066]對(duì)行為日志進(jìn)行分析時(shí),以上動(dòng)作均可以設(shè)置權(quán)重,最終進(jìn)行加權(quán)累加,進(jìn)行綜合判斷。[0067]例如以上文件為office文檔,可以使用office虛擬檢測(cè)環(huán)境進(jìn)行檢測(cè);對(duì)于圖片文件,可以使用圖片查看器進(jìn)行檢測(cè);腳本文件可以由虛擬系統(tǒng)直接運(yùn)行、網(wǎng)址文件可以虛擬瀏覽器打開。[0068]腳本文件也可以在腳本檢測(cè)引擎中進(jìn)行檢測(cè),通過預(yù)設(shè)多個(gè)腳本殺毒引擎;腳本殺毒引擎所針對(duì)的腳本類型一般性地包括:JS(JavaScript)腳本類型、HTML(HypertextMarkupLanguage)腳本類型、PHP(HypertextPreprocessor)腳本類型和VBS(MicrosoftVisualBasicScriptEditon)腳本類型;對(duì)應(yīng)地,腳本殺毒引擎包括:JS腳本殺毒引擎、HTML腳本殺毒引擎、PHP腳本殺毒引擎和VBS腳本殺毒引擎;其中,每個(gè)腳本殺毒引擎都根據(jù)腳本類型進(jìn)行設(shè)置,根據(jù)確定類型的腳本規(guī)范對(duì)該類型腳本進(jìn)行解析,例如,JS腳本殺毒引擎根據(jù)JS腳本的腳本規(guī)范進(jìn)行設(shè)置,對(duì)JS腳本根據(jù)JS腳本規(guī)范進(jìn)行詞法分析、表達(dá)式分析和語法分析。當(dāng)確定實(shí)際腳本的類型后,調(diào)用與實(shí)際腳本的類型相對(duì)應(yīng)的腳本殺毒引擎進(jìn)行處理,例如,當(dāng)實(shí)際腳本是JS腳本時(shí),則調(diào)用JS腳本殺毒引擎進(jìn)行處理。[0069]檢測(cè)過程中通過對(duì)記錄有內(nèi)存變化情況、注冊(cè)表修改情況、進(jìn)程變化情況、網(wǎng)絡(luò)連接情況的日志文件分析,得到文件是否觸發(fā)了以上介紹惡意行為或者經(jīng)過計(jì)算惡意加權(quán)值是否大于預(yù)設(shè)值,都可以判斷文件是否惡意。從而進(jìn)一步提高了文件的安全分析水平,可以判斷出以上網(wǎng)絡(luò)中傳輸?shù)奈募欠駷槟抉R文件或者其他惡意文件。[0070]對(duì)于高級(jí)持續(xù)性威脅(AdvancedPersistentThreat,簡稱APT),由于其潛伏性和持續(xù)性,現(xiàn)有技術(shù)缺乏對(duì)于APT攻擊的防御手段,即使阻止依次攻擊也無法徹底解決問題,本實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器100能夠提取高速網(wǎng)絡(luò)中的傳輸?shù)奈募?,?duì)文件進(jìn)行深度快速分析,從而快速有效識(shí)別出APT攻擊。為進(jìn)一步防范APT攻擊提供了識(shí)別手段。[0071]本實(shí)施例提供的瀏覽器100可以部署在企業(yè)內(nèi)網(wǎng)當(dāng)中,通過對(duì)企業(yè)真實(shí)流量的分析,獲取其中可能有危險(xiǎn)的文件,借助云查殺、奇虎支持向量機(jī)(QihooSupportVectorMachine,簡稱QVM)和宏病毒專殺引擎(QEX)進(jìn)行快速判定;對(duì)于無法判定的文件,借助內(nèi)建在產(chǎn)品中的360樣本分析引擎,快速重現(xiàn)樣本行為,并對(duì)高危樣本進(jìn)行報(bào)警。[0072]本發(fā)明實(shí)施例還提供了一種網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法,該網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法可以由以上實(shí)施例中介紹的任一種網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器100執(zhí)行,抓取網(wǎng)絡(luò)中傳輸數(shù)據(jù)包并進(jìn)行組包后,根據(jù)數(shù)據(jù)包對(duì)應(yīng)的應(yīng)用層協(xié)議進(jìn)行數(shù)據(jù)的安全監(jiān)測(cè),針對(duì)性強(qiáng),可以快速有效地識(shí)別網(wǎng)絡(luò)攻擊。圖4是根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法的示意圖,該網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法包括:[0073]步驟S402,抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包;[0074]步驟S404,對(duì)數(shù)據(jù)包進(jìn)行組包以還原傳輸控制協(xié)議TCP連接數(shù)據(jù);[0075]步驟S406,識(shí)別TCP連接數(shù)據(jù)使用的應(yīng)用層協(xié)議;[0076]步驟S408,使用與應(yīng)用層協(xié)議對(duì)應(yīng)的安全掃描模塊對(duì)TCP連接數(shù)據(jù)進(jìn)行安全掃描[0077]其中步驟S402流程可以包括:利用交換機(jī)的網(wǎng)絡(luò)旁路復(fù)制網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并送入安全檢測(cè)服務(wù)器的網(wǎng)卡。抓取數(shù)據(jù)包可以采用通過網(wǎng)絡(luò)數(shù)據(jù)旁路抓取數(shù)據(jù)包的方式進(jìn)行。例如,在網(wǎng)絡(luò)通道中設(shè)置一個(gè)旁路,將網(wǎng)絡(luò)流量中的數(shù)據(jù)包導(dǎo)入到執(zhí)行本方法的服務(wù)器中。一種具體的實(shí)現(xiàn)方式為:打開交換機(jī)的旁路開關(guān),通過硬件方式復(fù)制數(shù)據(jù)包傳輸?shù)桨踩珯z測(cè)服務(wù)器的網(wǎng)卡,利用抓包工具對(duì)網(wǎng)卡的驅(qū)動(dòng)進(jìn)行修改,將數(shù)據(jù)包直接發(fā)送給執(zhí)行本實(shí)施例的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法的進(jìn)程。[0078]由于數(shù)據(jù)包在網(wǎng)路中傳輸?shù)拇涡蚺c數(shù)據(jù)包的原有順序有可能不一致,因此步驟S404的流程可以包括:對(duì)寫入緩存文件的數(shù)據(jù)包進(jìn)行重組包括:解析數(shù)據(jù)包中TCP報(bào)頭中的序號(hào)和確認(rèn)序號(hào);按照序號(hào)和確認(rèn)序號(hào)對(duì)數(shù)據(jù)包按照TCP的傳輸順序進(jìn)行排序。其中按照預(yù)定義的順序?qū)彺婧蟮臄?shù)據(jù)包進(jìn)行重組可以包括:解析數(shù)據(jù)包中TCP報(bào)頭中的序號(hào)和確認(rèn)序號(hào);按照序號(hào)和確認(rèn)序號(hào)對(duì)緩存后的數(shù)據(jù)包進(jìn)行排序。TCP的序列號(hào)標(biāo)志了到某個(gè)數(shù)據(jù)包其在數(shù)據(jù)流中的位置,TCP的確認(rèn)序號(hào)記錄了目的端口到源端口中已收到的連續(xù)性數(shù)據(jù)編號(hào)。這兩個(gè)序列號(hào)的標(biāo)識(shí)都包含在TCP數(shù)據(jù)包的頭數(shù)據(jù)中,確認(rèn)序號(hào)的變化標(biāo)明一個(gè)文件傳輸完畢,確認(rèn)序號(hào)發(fā)生變化說明數(shù)據(jù)源發(fā)了一段數(shù)據(jù)過來,然后根據(jù)TCP的序列號(hào)對(duì)該文件的數(shù)據(jù)包進(jìn)行順序重組。[0079]步驟S406可以按照重組后的數(shù)據(jù)包的數(shù)據(jù)特征和端口特征判斷數(shù)據(jù)包使用的應(yīng)用層協(xié)議。數(shù)據(jù)特征和端口特征可以包括TCP連接的源IP、目標(biāo)IP、源端口、目標(biāo)端口、以及數(shù)據(jù)包的數(shù)據(jù)內(nèi)容data。[0080]一般地,數(shù)據(jù)包使用的應(yīng)用層協(xié)議包括:文件傳輸協(xié)議FTP、簡單郵件傳輸協(xié)議SMTP、郵局協(xié)議的第3個(gè)版本POP3、超文本傳輸協(xié)議HTTP、簡單網(wǎng)絡(luò)管理協(xié)議SNMP、網(wǎng)絡(luò)新聞傳輸協(xié)議NNTP、域名系統(tǒng)DNS解析請(qǐng)求。因此,對(duì)于以上協(xié)議,步驟S408可以分別使用文件傳輸協(xié)議FTP掃描模塊141、簡單郵件傳輸協(xié)議SMTP掃描模塊142、郵局協(xié)議的第3個(gè)版本POP3掃描模塊143、超文本傳輸協(xié)議HTTP掃描模塊144、簡單網(wǎng)絡(luò)管理協(xié)議SNMP掃描模塊145、網(wǎng)絡(luò)新聞傳輸協(xié)議NNTP掃描模塊146、域名系統(tǒng)DNS解析請(qǐng)求掃描模塊147對(duì)各自對(duì)應(yīng)的數(shù)據(jù)包進(jìn)行安全掃描。[0081]為了對(duì)數(shù)據(jù)包中包含的文件進(jìn)一步分析,在步驟S408之后還可以執(zhí)行提取數(shù)據(jù)包中文件,對(duì)文件進(jìn)行安全分析的步驟。其中對(duì)文件進(jìn)行安全分析可以包括:從TCP連接數(shù)據(jù)中提取出文件,并對(duì)文件進(jìn)行云安全分析和動(dòng)態(tài)行為安全分析。[0082]其中對(duì)文件進(jìn)行云安全分析可以包括:散列值云查殺和URL云查殺等。散列值云查殺包括:計(jì)算文件的散列值,并將散列值與云安全服務(wù)器中的散列值危險(xiǎn)列表比對(duì)。散列值的計(jì)算優(yōu)選可以使用信息摘要算法MD5。[0083]URL云查殺包括:對(duì)文件的統(tǒng)一資源定位符URL,并將URL與云安全服務(wù)器中的URL危險(xiǎn)列表比對(duì)。[0084]URL云查殺的過程可以如下:[0085]URL云查殺的對(duì)象包括各種類型的瀏覽器的網(wǎng)頁訪問行為,所請(qǐng)求訪問的網(wǎng)址信息稱為第一URL。該第一URL可以包括如下幾種:第一種、請(qǐng)求訪問的網(wǎng)址對(duì)應(yīng)的網(wǎng)頁的URL,例如,請(qǐng)求訪問“新浪”主頁,該網(wǎng)頁的URL即為:http://www.sina.com.cn/。第二種、請(qǐng)求訪問的網(wǎng)址對(duì)應(yīng)的網(wǎng)頁內(nèi)容中鏈接的URL;請(qǐng)求訪問的網(wǎng)頁的內(nèi)容中有可能存在一些鏈接網(wǎng)址,這些鏈接網(wǎng)址的URL也屬于監(jiān)控的范圍。第二種、下載文件的URL,請(qǐng)求下載文件,該下載文件的URL也屬于監(jiān)控的范圍。[0086]URL云查殺的對(duì)象可能涉及到以上三種URL中的一種或多種,即第一URL包括以上三種URL中的任一種或任意幾種的組合。其查殺流程包括:[0087]步驟S502,根據(jù)網(wǎng)址信息,提取網(wǎng)址密文,例如根據(jù)第一URL所包含的信息,提取第一URL對(duì)應(yīng)的網(wǎng)址密文;[0088]步驟S504,將網(wǎng)址密文與數(shù)據(jù)庫中存儲(chǔ)的密文進(jìn)行匹配,數(shù)據(jù)庫中存儲(chǔ)的密文包括被標(biāo)記為惡意網(wǎng)址的密文;若網(wǎng)址密文與數(shù)據(jù)庫中標(biāo)記為惡意網(wǎng)址的密文匹配,執(zhí)行步驟506;否則,執(zhí)行步驟508。本實(shí)施例預(yù)先構(gòu)建了數(shù)據(jù)庫,該數(shù)據(jù)庫中至少存儲(chǔ)了被標(biāo)記為惡意網(wǎng)址的密文。這些密文都是根據(jù)大量已知為惡意網(wǎng)址的URL而獲得的。[0089]步驟506、返回惡意網(wǎng)址查詢結(jié)果,執(zhí)行步驟508。如果網(wǎng)址密文與數(shù)據(jù)庫中標(biāo)記為惡意網(wǎng)址的密文匹配,標(biāo)明URL包含惡意內(nèi)容,返回惡意網(wǎng)址查詢結(jié)果,否則執(zhí)行步驟510。[0090]步驟508、根據(jù)惡意網(wǎng)址查詢結(jié)果,阻斷對(duì)網(wǎng)址的訪問行為,結(jié)束。[0091]步驟510、返回正常網(wǎng)址查詢結(jié)果,查殺對(duì)象的網(wǎng)址密文與數(shù)據(jù)庫中標(biāo)記為惡意網(wǎng)址的密文不匹配,標(biāo)明URL不包含惡意內(nèi)容,返回正常網(wǎng)址查詢結(jié)果,不阻斷對(duì)網(wǎng)址的訪問行為,結(jié)束。[0092]根據(jù)本實(shí)施例提供的URL云查殺,查殺對(duì)象包括URL數(shù)據(jù)時(shí),從網(wǎng)址信息中提取網(wǎng)址密文,將網(wǎng)址密文與數(shù)據(jù)庫中存儲(chǔ)的密文匹配,完成網(wǎng)址的安全查詢和驗(yàn)證。該方法不依賴客戶端本地的數(shù)據(jù)庫,將網(wǎng)址的安全查詢和驗(yàn)證放在服務(wù)器側(cè)完成。由于查殺的數(shù)據(jù)庫可以及時(shí)的更新互聯(lián)網(wǎng)上的各類惡意網(wǎng)址,數(shù)據(jù)庫中惡意網(wǎng)址的信息存儲(chǔ)量很大,覆蓋面很廣,從而能夠快速有效地?cái)r截惡意網(wǎng)站。[0093]提取出文件如果為網(wǎng)頁數(shù)據(jù)的情況下,可以根據(jù)網(wǎng)頁信息進(jìn)行云安全分析。具體流程為:采集和匯總網(wǎng)頁本身的信息:快照、CSS、JavaScript、html代碼、文本、圖片、鏈接、資源(如視頻、可執(zhí)行文件、文檔);網(wǎng)頁的服務(wù)器信息:URL、HOST、IP、變動(dòng)時(shí)間、變動(dòng)頻率;網(wǎng)頁所在域名的相關(guān)信息=ICP備案信息(如主辦單位名稱、主辦單位性質(zhì)、經(jīng)營范圍、審核時(shí)間等)、WH0IS信息(如注冊(cè)商、域名服務(wù)器、相關(guān)網(wǎng)站、DNS服務(wù)器、域名狀態(tài)、更新時(shí)間、創(chuàng)建時(shí)間、過期時(shí)間、REGISTRANTCONTACTINFO、ADMINISTRATIVECONTACTINFO、TECHNICALCONTACTINFO、BILLINGCONTACTINFO)、域名在其他搜索引擎下的權(quán)重和網(wǎng)頁收錄量。根據(jù)網(wǎng)頁信息進(jìn)行云安全分析可以從以下方面進(jìn)行:[0094]金融欺詐網(wǎng)頁會(huì)在文字、圖片等方面仿冒官網(wǎng)。[0095]查家庭背景(服務(wù)器信息):如,HOST和IP下有惡意網(wǎng)頁,那么當(dāng)前網(wǎng)頁是惡意的可能性極高。[0096]查祖上三代(ICP備案信息、WHOIS信息):如:一個(gè)網(wǎng)頁能售賣機(jī)票,但備案信息無票務(wù)經(jīng)營,那么欺詐的可能性很大;再如:注冊(cè)商名下網(wǎng)站經(jīng)常出惡意網(wǎng)頁,信任記錄很差,那么新出的網(wǎng)頁是惡意的概率比較高。[0097]參考了鄰里評(píng)價(jià)(在其他搜索引擎中的權(quán)重和網(wǎng)頁收錄量):如:大家給的權(quán)重都不高、也不收錄相應(yīng)的網(wǎng)頁,在識(shí)別中,也可以對(duì)這樣的網(wǎng)頁降分。[0098]如果數(shù)據(jù)包中解析出的文件通過了以上云查殺,可以由對(duì)文件進(jìn)行蜜罐行為分析即動(dòng)態(tài)行為安全分析,以確認(rèn)評(píng)估文件觸發(fā)系統(tǒng)行為的風(fēng)險(xiǎn)。[0099]例如,正在傳輸?shù)臄?shù)據(jù)包中包含的文件為下載的文檔,可以通過HTTP組包,由超文本傳輸協(xié)議HTTP掃描模塊144對(duì)數(shù)據(jù)包進(jìn)行掃描,經(jīng)過掃描后提取該數(shù)據(jù)包中的文件,并將該文件導(dǎo)入到動(dòng)態(tài)行為分析系統(tǒng)。[0100]動(dòng)態(tài)行為安全分析的分析過程為:根據(jù)文件的類型確定對(duì)應(yīng)的虛擬檢測(cè)環(huán)境;在虛擬檢測(cè)環(huán)境下運(yùn)行或打開文件,并監(jiān)控虛擬檢測(cè)環(huán)境的運(yùn)行狀態(tài),生成運(yùn)行狀態(tài)日志;對(duì)運(yùn)行狀態(tài)日志進(jìn)行分析,得到文件的動(dòng)態(tài)行為安全分析結(jié)果。其中,監(jiān)控虛擬檢測(cè)環(huán)境的運(yùn)行狀態(tài)包括:監(jiān)控虛擬檢測(cè)環(huán)境的內(nèi)存變化情況、注冊(cè)表修改情況、進(jìn)程變化情況、網(wǎng)絡(luò)連接情況。[0101]例如以上文件為office文檔,可以使用office虛擬檢測(cè)環(huán)境進(jìn)行檢測(cè);對(duì)于圖片文件,可以使用圖片查看器進(jìn)行檢測(cè);腳本文件可以由虛擬系統(tǒng)直接運(yùn)行、網(wǎng)址文件可以虛擬瀏覽器打開。檢測(cè)過程中通過對(duì)記錄有內(nèi)存變化情況、注冊(cè)表修改情況、進(jìn)程變化情況、網(wǎng)絡(luò)連接情況的日志文件分析,得到文件是否觸發(fā)了惡意行為,以判斷文件是否惡意。從而進(jìn)一步提高了文件的安全分析水平,可以判斷出以上網(wǎng)絡(luò)中傳輸?shù)奈募欠駷槟抉R文件或者其他惡意文件。以上文件可以包括可移植的執(zhí)行文件(PortabIeExecute,簡稱PE文件)、腳本文件、文本文件、影音文件等多種類型的文件。[0102]動(dòng)態(tài)行為安全分析可以調(diào)用主動(dòng)防御進(jìn)行安全檢測(cè),也就是在服務(wù)器側(cè)預(yù)先存儲(chǔ)大量的惡意程序的行為,用于比對(duì)本次檢測(cè)文件的行為,具體流程為:通過大量客戶端計(jì)算機(jī)對(duì)各種程序的程序行為(可以是單一行為,也可以是一組行為的組合)和/或發(fā)起該程序行為的程序的程序特征進(jìn)行收集,發(fā)送到服務(wù)器端;服務(wù)器端根據(jù)所收集到的每一臺(tái)客戶端計(jì)算機(jī)上的一程序的程序特征和/或程序行為在服務(wù)器的數(shù)據(jù)庫進(jìn)行分析比對(duì),根據(jù)比對(duì)結(jié)果對(duì)該程序進(jìn)行判定,并反饋給對(duì)應(yīng)的客戶端計(jì)算機(jī);對(duì)應(yīng)客戶端計(jì)算機(jī)根據(jù)反饋的判定結(jié)果決定是否對(duì)該程序行為進(jìn)行攔截、終止執(zhí)行該程序和/或清理該程序,恢復(fù)系統(tǒng)環(huán)境。[0103]以上程序行為可以一程序是直接作出的行為,也可以是該程序并不直接做出行為,而是控制另一目標(biāo)程序間接做出行為,因此程序行為包括:程序行為本體及該行為目標(biāo)的屬性;行為目標(biāo)的屬性包括:行為目標(biāo)本身所屬的黑白等級(jí)(即惡意或非惡意)、所處于系統(tǒng)中的位置(如處于引導(dǎo)區(qū)等等)、類型(如可執(zhí)行文件、備份文件等類型),也可以擴(kuò)展包括行為目標(biāo)所作出行為所屬的黑白等級(jí)、行為本身等等。[0104]在數(shù)據(jù)庫中保存的各惡意行為,假設(shè)包括:刪除注冊(cè)表啟動(dòng)項(xiàng)或服務(wù)、終止電腦安全程序工具的進(jìn)程、弱口令破解局域網(wǎng)其他電腦的管理員帳號(hào)并復(fù)制傳播、修改注冊(cè)表鍵值導(dǎo)致不能查看隱藏文件和系統(tǒng)文件、嘗試破壞硬盤分區(qū)下的文件、刪除用戶的系統(tǒng)備份文件等等,對(duì)這些惡意行為可以根據(jù)技術(shù)人員經(jīng)驗(yàn)判斷其破壞程度或嚴(yán)重性,從而對(duì)破壞程度或嚴(yán)重性高的惡意行為賦予更大的權(quán)重值;另外在實(shí)作中也可以通過收集的大量客戶端數(shù)據(jù),根據(jù)惡意程序行為的上報(bào)頻率、破壞范圍等一系列參數(shù)建立數(shù)學(xué)模型,通過統(tǒng)計(jì)學(xué)算法獲得各惡意行為的權(quán)重并分配權(quán)重值。在權(quán)重累加值大于預(yù)設(shè)值時(shí),認(rèn)定惡意程序。[0105]具體的操作中,木馬行為規(guī)則經(jīng)過多年的搜集,已有木馬的操作行為包括:對(duì)文件自動(dòng)壓縮或解壓,木馬捆綁在一些文件上,造成文件增大,將文件改名,刪除文件,更改文件內(nèi)容,上傳下載文件,掃描次數(shù),掃描天數(shù)和掃描對(duì)象,利用系統(tǒng)自動(dòng)運(yùn)行程序啟動(dòng),修改注冊(cè)表,偽裝文件,修改組策略等行為。[0106]進(jìn)一步地,木馬的操作行為還可能包括:文件操作、網(wǎng)絡(luò)操作、創(chuàng)建進(jìn)程、創(chuàng)建線程、注冊(cè)表操作、窗口、托盤操作、堆棧溢出、注入線程、攔截系統(tǒng)API調(diào)用以及訪問、修改和創(chuàng)建用戶帳號(hào)、調(diào)用SHELL程序、修改程序文件或?qū)懗绦蛭募⒄{(diào)用FTP或TFTP、創(chuàng)建FTP或TFTP服務(wù)、發(fā)送郵件、瀏覽器或郵件系統(tǒng)自動(dòng)運(yùn)行其他程序、創(chuàng)建大量相同線程、修改和創(chuàng)建用戶帳號(hào)、危險(xiǎn)網(wǎng)絡(luò)操作、向系統(tǒng)注冊(cè)表添加啟動(dòng)項(xiàng)、修改系統(tǒng)啟動(dòng)文件、向其他進(jìn)程注入線程、堆找溢出、應(yīng)用級(jí)進(jìn)程自動(dòng)提升為系統(tǒng)級(jí)進(jìn)程操作、攔截系統(tǒng)API調(diào)用。[0107]對(duì)行為日志進(jìn)行分析時(shí),以上動(dòng)作均可以設(shè)置權(quán)重,最終進(jìn)行加權(quán)累加,進(jìn)行綜合判斷。[0108]通過上述一系列的安全分析:可以實(shí)現(xiàn)以下功能:[0109]1、對(duì)傳統(tǒng)安全產(chǎn)品(如IDS、IPS、UTM)無能為力的未知漏洞利用攻擊具有出色的精確檢測(cè)效果;[0110]2、對(duì)傳統(tǒng)終端殺毒軟件、防毒墻無能為力的未知木馬、未知病毒、未知惡意代碼、特種木馬具有出色的精確檢測(cè)效果;[0111]3、全面檢測(cè)利用已知系統(tǒng)漏洞、應(yīng)用漏洞進(jìn)行攻擊的行為;[0112]4、全面、快速檢測(cè)已知木馬、蠕蟲、病毒等惡意代碼;[0113]5、對(duì)釣魚網(wǎng)站、掛馬網(wǎng)站、漏洞利用網(wǎng)站(如XSS)的訪問行為具有全面、快速的檢測(cè)能力;[0114]6、對(duì)通過郵件附件傳播惡意代碼的攻擊方式(此種方式為APT攻擊的主要方式)具有精確檢測(cè)的能力;[0115]7、對(duì)郵件正文中嵌入的惡意URL具有精確檢測(cè)能力;[0116]8、對(duì)通過頂工具(如QQ、阿里旺旺等)傳輸含惡意代碼的文件具有精確檢測(cè)能力;[0117]9、對(duì)在頂聊天內(nèi)容中出現(xiàn)的惡意URL具有精確檢測(cè)的能力;[0118]10、對(duì)通過Web下載含惡意代碼的文件具有精確檢測(cè)能力;[0119]11、對(duì)通過Web訪問含有網(wǎng)馬的頁面具有精確檢測(cè)能力。[0120]通過抓取網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)包,并進(jìn)行全面檢測(cè),全面準(zhǔn)確地識(shí)別出各類惡意文件,大大提高安全可靠性。與現(xiàn)有技術(shù)中在個(gè)人計(jì)算機(jī)的客戶端上實(shí)現(xiàn)不同,本發(fā)明的技術(shù)方案的實(shí)施環(huán)境可以為是在Iinux或者其他基于Iinux的平臺(tái)上的服務(wù)器。例如高速網(wǎng)絡(luò)流量上單核CPU能支持帶寬上限達(dá)lOGbps。多核為cpu核數(shù)*lOGbps。[0121]另外與本發(fā)明的技術(shù)方案不同,現(xiàn)有技術(shù)中的二進(jìn)制特征匹配的網(wǎng)絡(luò)掃描方式,沒有進(jìn)行組包處理,而簡單地進(jìn)行數(shù)據(jù)包二進(jìn)制數(shù)據(jù)匹配,線性搜索匹配到要求的特征,認(rèn)為是惡意的數(shù)據(jù)包。本實(shí)施例的網(wǎng)絡(luò)數(shù)據(jù)的檢測(cè)方法進(jìn)行了快速的數(shù)據(jù)包重組,支持高速流量多IP連接高并發(fā),能夠?qū)⑸⑺榈臄?shù)據(jù)包重組成有意義的數(shù)據(jù),在此基礎(chǔ)上進(jìn)行協(xié)議分析。[0122]本發(fā)明提供的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法和安全檢測(cè)服務(wù)器100,抓取數(shù)據(jù)包并進(jìn)行組包后,根據(jù)數(shù)據(jù)包對(duì)應(yīng)的應(yīng)用層協(xié)議進(jìn)行數(shù)據(jù)的安全監(jiān)測(cè),在重組的應(yīng)用層協(xié)議的數(shù)據(jù)基礎(chǔ)上進(jìn)行協(xié)議分析,針對(duì)性強(qiáng),可以快速有效地識(shí)別網(wǎng)絡(luò)攻擊,提高了網(wǎng)絡(luò)安全性。[0123]進(jìn)一步地,本發(fā)明的網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法,實(shí)現(xiàn)了高速網(wǎng)絡(luò)流量的數(shù)據(jù)包重組,能夠支持高速流量多IP連接高并發(fā)的網(wǎng)絡(luò)環(huán)境,提高了網(wǎng)絡(luò)安全監(jiān)測(cè)的效率。[0124]在此處所提供的說明書中,說明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對(duì)本說明書的理解。[0125]類似地,應(yīng)當(dāng)理解,為了精簡本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè),在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此,遵循【具體實(shí)施方式】的權(quán)利要求書由此明確地并入該【具體實(shí)施方式】,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。[0126]本領(lǐng)域那些技術(shù)人員可以理解,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中??梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對(duì)本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來代替。[0127]此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如,在權(quán)利要求書中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。[0128]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的安全檢測(cè)服務(wù)器中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號(hào)上提供,或者以任何其他形式提供。[0129]應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說明而不是對(duì)本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序??蓪⑦@些單詞解釋為名稱。[0130]至此,本領(lǐng)域技術(shù)人員應(yīng)認(rèn)識(shí)到,雖然本文已詳盡示出和描述了本發(fā)明的多個(gè)示例性實(shí)施例,但是,在不脫離本發(fā)明精神和范圍的情況下,仍可根據(jù)本發(fā)明公開的內(nèi)容直接確定或推導(dǎo)出符合本發(fā)明原理的許多其他變型或修改。因此,本發(fā)明的范圍應(yīng)被理解和認(rèn)定為覆蓋了所有這些其他變型或修改。[0131]本發(fā)明實(shí)施例還提供了Al.—種網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法,包括:[0132]抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包;[0133]對(duì)所述數(shù)據(jù)包進(jìn)行組包以還原傳輸控制協(xié)議TCP連接數(shù)據(jù),[0134]識(shí)別所述TCP連接數(shù)據(jù)使用的應(yīng)用層協(xié)議;[0135]使用與所述應(yīng)用層協(xié)議對(duì)應(yīng)的安全掃描模塊對(duì)所述TCP連接數(shù)據(jù)進(jìn)行安全掃描。[0136]A2.根據(jù)Al所述的方法,其中,抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包包括:利用交換機(jī)的網(wǎng)絡(luò)旁路復(fù)制網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并送入安全檢測(cè)服務(wù)器的網(wǎng)卡。[0137]A3.根據(jù)Al所述的方法,其中,對(duì)所述數(shù)據(jù)包進(jìn)行組包以還原傳輸控制協(xié)議TCP連接數(shù)據(jù)包括:[0138]將所述數(shù)據(jù)包寫入緩存文件;[0139]對(duì)寫入緩存文件的數(shù)據(jù)包進(jìn)行重組,還原為TCP連接數(shù)據(jù)。[0140]A4.根據(jù)A3所述的方法,其中,對(duì)寫入緩存文件的數(shù)據(jù)包進(jìn)行重組包括:[0141]解析所述數(shù)據(jù)包中TCP報(bào)頭中的序號(hào)和確認(rèn)序號(hào);[0142]按照所述序號(hào)和確認(rèn)序號(hào)對(duì)所述數(shù)據(jù)包按照TCP的傳輸順序進(jìn)行排序。[0143]A5.根據(jù)Al至A4中任一項(xiàng)所述的方法,其中,識(shí)別所述TCP連接數(shù)據(jù)使用的應(yīng)用層協(xié)議包括:按照重組后的數(shù)據(jù)包的數(shù)據(jù)特征和端口特征判斷所述數(shù)據(jù)包使用的應(yīng)用層協(xié)議。[0144]A6.根據(jù)Al至A5中任一項(xiàng)所述的方法,其中,所述數(shù)據(jù)包使用的應(yīng)用層協(xié)議包括:文件傳輸協(xié)議FTP、簡單郵件傳輸協(xié)議SMTP、郵局協(xié)議的第3個(gè)版本POP3、超文本傳輸協(xié)議HTTP、簡單網(wǎng)絡(luò)管理協(xié)議SNMP、網(wǎng)絡(luò)新聞傳輸協(xié)議NNTP、域名系統(tǒng)DNS解析請(qǐng)求。[0145]A7.根據(jù)Al至A6中任一項(xiàng)所述的方法,其中,使用與所述應(yīng)用層協(xié)議對(duì)應(yīng)的安全掃描模塊對(duì)所述TCP連接數(shù)據(jù)進(jìn)行安全掃描之后還包括:[0146]從所述TCP連接數(shù)據(jù)中提取出文件,并對(duì)所述文件進(jìn)行云安全分析和動(dòng)態(tài)行為安全分析。[0147]AS.根據(jù)A7所述的方法,其中,對(duì)所述文件進(jìn)行云安全分析包括:[0148]計(jì)算所述文件的散列值,并將所述散列值與云安全服務(wù)器中的散列值危險(xiǎn)列表比對(duì);和/或[0149]提取所述文件的統(tǒng)一資源定位符URL,并將所述URL與云安全服務(wù)器中的URL危險(xiǎn)列表比對(duì)。[0150]A9.根據(jù)AS所述的方法,其中,將所述URL與云安全服務(wù)器中的URL危險(xiǎn)列表比對(duì)包括:[0151]提取所述URL對(duì)應(yīng)的網(wǎng)址密文;[0152]將所述網(wǎng)址密文與所述云安全服務(wù)器數(shù)據(jù)庫中存儲(chǔ)的密文進(jìn)行匹配,所述數(shù)據(jù)庫中存儲(chǔ)的密文包括被標(biāo)記為惡意網(wǎng)址的密文;[0153]若所述網(wǎng)址密文與所述云安全服務(wù)器數(shù)據(jù)庫中存儲(chǔ)的密文存在匹配,確定所述URL存在惡意內(nèi)容。[0154]A10.根據(jù)A7至A9中任一項(xiàng)所述的方法,其中,對(duì)所述文件進(jìn)行動(dòng)態(tài)行為安全分析包括:[0155]根據(jù)所述文件的類型確定對(duì)應(yīng)的虛擬檢測(cè)環(huán)境;[0156]在所述虛擬檢測(cè)環(huán)境下運(yùn)行或打開所述文件,并監(jiān)控所述虛擬檢測(cè)環(huán)境的運(yùn)行狀態(tài),生成運(yùn)行狀態(tài)日志;[0157]對(duì)所述運(yùn)行狀態(tài)日志進(jìn)行分析,得到所述文件的動(dòng)態(tài)行為安全分析結(jié)果。[0158]All.根據(jù)AlO所述的方法,其中,對(duì)所述運(yùn)行狀態(tài)日志進(jìn)行分析包括:[0159]對(duì)所述運(yùn)行狀態(tài)日志中所述文件觸發(fā)的各項(xiàng)操作操作行為按照預(yù)先設(shè)置的權(quán)重進(jìn)行加權(quán)累加;[0160]判斷加權(quán)累加值是否大于預(yù)設(shè)值,若是,確定所述文件為惡意文件。[0161]A12.根據(jù)AlO或AU所述的方法,其中,監(jiān)控所述虛擬檢測(cè)環(huán)境的運(yùn)行狀態(tài)包括:監(jiān)控所述虛擬檢測(cè)環(huán)境的內(nèi)存變化情況、注冊(cè)表修改情況、進(jìn)程變化情況、網(wǎng)絡(luò)連接情況。[0162]B13.一種網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器,包括:[0163]數(shù)據(jù)包抓取接口,用于抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包;[0164]組包裝置,用于對(duì)所述數(shù)據(jù)包進(jìn)行組包以還原傳輸控制協(xié)議TCP連接數(shù)據(jù),[0165]協(xié)議識(shí)別裝置,識(shí)別所述TCP連接數(shù)據(jù)使用的應(yīng)用層協(xié)議;[0166]數(shù)據(jù)包安全掃描裝置,用于使用與所述應(yīng)用層協(xié)議對(duì)應(yīng)的安全掃描模塊對(duì)所述TCP連接數(shù)據(jù)進(jìn)行安全掃描。[0167]B14.根據(jù)B13所述的安全檢測(cè)服務(wù)器,其中,所述數(shù)據(jù)包抓取接口被配置為:利用交換機(jī)的網(wǎng)絡(luò)旁路復(fù)制網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并送入所述安全檢測(cè)服務(wù)器的網(wǎng)卡。[0168]B15.根據(jù)B13所述的安全檢測(cè)服務(wù)器,其中,所述組包裝置被配置為:將所述數(shù)據(jù)包寫入緩存文件;對(duì)寫入緩存文件的數(shù)據(jù)包進(jìn)行重組,還原為TCP連接數(shù)據(jù)。[0169]B16.根據(jù)B15所述的安全檢測(cè)服務(wù)器,其中,所述協(xié)議識(shí)別裝置被配置為:按照重組后的數(shù)據(jù)包的數(shù)據(jù)特征和端口特征判斷所述數(shù)據(jù)包使用的應(yīng)用層協(xié)議。[0170]B17.根據(jù)B13至B16中任一項(xiàng)所述的安全檢測(cè)服務(wù)器,其中,所述數(shù)據(jù)包安全掃描裝置包括:[0171]文件傳輸協(xié)議FTP掃描模塊,用于對(duì)FTP協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描;[0172]簡單郵件傳輸協(xié)議SMTP掃描模塊,用于SMTP協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描;[0173]郵局協(xié)議的第3個(gè)版本POP3掃描模塊,用于POP3協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描;[0174]超文本傳輸協(xié)議HTTP掃描模塊,用于HTTP協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描;[0175]簡單網(wǎng)絡(luò)管理協(xié)議SNMP掃描模塊,用于SNMP協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描;[0176]網(wǎng)絡(luò)新聞傳輸協(xié)議NNTP掃描模塊,用于NNTP協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描;[0177]域名系統(tǒng)DNS解析請(qǐng)求掃描模塊,用于DNS解析請(qǐng)求協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描。[0178]B18.根據(jù)B13至B17中任一項(xiàng)所述的安全檢測(cè)服務(wù)器,其中,還包括:[0179]文件分析裝置,用于從所述TCP連接數(shù)據(jù)中提取出文件,并對(duì)所述文件進(jìn)行云安全分析和動(dòng)態(tài)行為安全分析。[0180]B19.根據(jù)B18所述的安全檢測(cè)服務(wù)器,其中,所述文件分析裝置包括:[0181]散列值云分析模塊,用于計(jì)算所述文件的散列值,并將所述散列值與云安全服務(wù)器中的散列值危險(xiǎn)列表比對(duì);[0182]URL云分析模塊,用于提取所述文件的統(tǒng)一資源定位符URL,并將所述URL與云安全服務(wù)器中的URL危險(xiǎn)列表比對(duì)。[0183]B20.根據(jù)B18或B19所述的安全檢測(cè)服務(wù)器,其中,所述文件分析裝置還包括:[0184]動(dòng)態(tài)行為安全分析模塊,用于根據(jù)所述文件的類型確定對(duì)應(yīng)的虛擬檢測(cè)環(huán)境;在所述虛擬檢測(cè)環(huán)境下運(yùn)行或打開所述文件,并監(jiān)控所述虛擬檢測(cè)環(huán)境的運(yùn)行狀態(tài),生成運(yùn)行狀態(tài)日志;對(duì)所述運(yùn)行狀態(tài)日志進(jìn)行分析,得到所述文件的動(dòng)態(tài)行為安全分析結(jié)果。[0185]B21.根據(jù)B20所述的安全檢測(cè)服務(wù)器,其中,所述動(dòng)態(tài)行為安全分析模塊監(jiān)控虛擬檢測(cè)環(huán)境的運(yùn)行狀態(tài)包括:監(jiān)控所述虛擬檢測(cè)環(huán)境的內(nèi)存變化情況、注冊(cè)表修改情況、進(jìn)程變化情況、網(wǎng)絡(luò)連接情況?!緳?quán)利要求】1.一種網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)方法,包括:抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包;對(duì)所述數(shù)據(jù)包進(jìn)行組包以還原傳輸控制協(xié)議TCP連接數(shù)據(jù),識(shí)別所述TCP連接數(shù)據(jù)使用的應(yīng)用層協(xié)議;使用與所述應(yīng)用層協(xié)議對(duì)應(yīng)的安全掃描模塊對(duì)所述TCP連接數(shù)據(jù)進(jìn)行安全掃描。2.根據(jù)權(quán)利要求1所述的方法,其中,抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包包括:利用交換機(jī)的網(wǎng)絡(luò)旁路復(fù)制網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并送入安全檢測(cè)服務(wù)器的網(wǎng)卡。3.根據(jù)權(quán)利要求1所述的方法,其中,對(duì)所述數(shù)據(jù)包進(jìn)行組包以還原傳輸控制協(xié)議TCP連接數(shù)據(jù)包括:將所述數(shù)據(jù)包寫入緩存文件;對(duì)寫入緩存文件的數(shù)據(jù)包進(jìn)行重組,還原為TCP連接數(shù)據(jù)。4.根據(jù)權(quán)利要求3所述的方法,其中,對(duì)寫入緩存文件的數(shù)據(jù)包進(jìn)行重組包括:解析所述數(shù)據(jù)包中TCP報(bào)頭中的序號(hào)和確認(rèn)序號(hào);按照所述序號(hào)和確認(rèn)序號(hào)對(duì)所述數(shù)據(jù)包按照TCP的傳輸順序進(jìn)行排序。5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法,其中,識(shí)別所述TCP連接數(shù)據(jù)使用的應(yīng)用層協(xié)議包括:按照重組后的數(shù)據(jù)包的數(shù)據(jù)特征和端口特征判斷所述數(shù)據(jù)包使用的應(yīng)用層協(xié)議。6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的方法,其中,所述數(shù)據(jù)包使用的應(yīng)用層協(xié)議包括:文件傳輸協(xié)議FTP、簡單郵件傳輸協(xié)議SMTP、郵局協(xié)議的第3個(gè)版本POP3、超文本傳輸協(xié)議HTTP、簡單網(wǎng)絡(luò)管理協(xié)議SNMP、網(wǎng)絡(luò)新聞傳輸協(xié)議NNTP、域名系統(tǒng)DNS解析請(qǐng)求。7.根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的方法,其中,使用與所述應(yīng)用層協(xié)議對(duì)應(yīng)的安全掃描模塊對(duì)所述TCP連接數(shù)據(jù)進(jìn)行安全掃描之后還包括:從所述TCP連接數(shù)據(jù)中提取出文件,并對(duì)所述文件進(jìn)行云安全分析和動(dòng)態(tài)行為安全分析。8.—種網(wǎng)絡(luò)數(shù)據(jù)的安全檢測(cè)服務(wù)器,包括:數(shù)據(jù)包抓取接口,用于抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包;組包裝置,用于對(duì)所述數(shù)據(jù)包進(jìn)行組包以還原傳輸控制協(xié)議TCP連接數(shù)據(jù),協(xié)議識(shí)別裝置,識(shí)別所述TCP連接數(shù)據(jù)使用的應(yīng)用層協(xié)議;數(shù)據(jù)包安全掃描裝置,用于使用與所述應(yīng)用層協(xié)議對(duì)應(yīng)的安全掃描模塊對(duì)所述TCP連接數(shù)據(jù)進(jìn)行安全掃描。9.根據(jù)權(quán)利要求8所述的安全檢測(cè)服務(wù)器,其中,所述數(shù)據(jù)包安全掃描裝置包括:文件傳輸協(xié)議FTP掃描模塊,用于對(duì)FTP協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描;簡單郵件傳輸協(xié)議SMTP掃描模塊,用于SMTP協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描;郵局協(xié)議的第3個(gè)版本POP3掃描模塊,用于POP3協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描;超文本傳輸協(xié)議HTTP掃描模塊,用于HTTP協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描;簡單網(wǎng)絡(luò)管理協(xié)議SNMP掃描模塊,用于SNMP協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描;網(wǎng)絡(luò)新聞傳輸協(xié)議NNTP掃描模塊,用于NNTP協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描;域名系統(tǒng)DNS解析請(qǐng)求掃描模塊,用于DNS解析請(qǐng)求協(xié)議的所述數(shù)據(jù)包進(jìn)行安全掃描。10.根據(jù)權(quán)利要求8或9所述的安全檢測(cè)服務(wù)器,其中,還包括:文件分析裝置,用于從所述TCP連接數(shù)據(jù)中提取出文件,并對(duì)所述文件進(jìn)行云安全分析和動(dòng)態(tài)行為安全分析?!疚臋n編號(hào)】H04L29/06GK103634306SQ201310576843【公開日】2014年3月12日申請(qǐng)日期:2013年11月18日優(yōu)先權(quán)日:2013年11月18日【發(fā)明者】張聰,唐海,邱鵬申請(qǐng)人:北京奇虎科技有限公司,奇智軟件(北京)有限公司