CN102035847A - 用户访问行为处理方法、系统和客户端 - Google Patents
用户访问行为处理方法、系统和客户端 Download PDFInfo
- Publication number
- CN102035847A CN102035847A CN2010106019501A CN201010601950A CN102035847A CN 102035847 A CN102035847 A CN 102035847A CN 2010106019501 A CN2010106019501 A CN 2010106019501A CN 201010601950 A CN201010601950 A CN 201010601950A CN 102035847 A CN102035847 A CN 102035847A
- Authority
- CN
- China
- Prior art keywords
- message
- application layer
- user access
- engine
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 23
- 238000001514 detection method Methods 0.000 claims abstract description 124
- 238000012545 processing Methods 0.000 claims abstract description 67
- 238000000034 method Methods 0.000 claims abstract description 23
- 230000000694 effects Effects 0.000 claims description 120
- 238000012360 testing method Methods 0.000 claims description 96
- 230000008569 process Effects 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 9
- 239000000284 extract Substances 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 3
- 108010001267 Protein Subunits Proteins 0.000 claims 4
- 230000006399 behavior Effects 0.000 description 11
- 238000004458 analytical method Methods 0.000 description 9
- 230000008521 reorganization Effects 0.000 description 7
- 230000015572 biosynthetic process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000009467 reduction Effects 0.000 description 2
- 101000911390 Homo sapiens Coagulation factor VIII Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000002224 dissection Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 102000057593 human F8 Human genes 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 229940047431 recombinate Drugs 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种用户访问行为处理方法、系统和客户端,其中方法包括:对获取的用户访问内网服务器的应用层报文进行检测处理;根据检测结果获得用户访问行为信息;向虚拟专用网网关发送用户访问行为报文,所述用户访问行为报文中包含有所述用户访问行为信息,以使所述虚拟专用网网关对所述用户访问行为信息进行记录。客户端包括检测模块、获取模块和发送模块。用户访问行为处理系统包括上述客户端、虚拟专用网网关和内网服务器。本发明实施例在不增加额外设备的情况下,实现了通过客户端分析获取用户访问行为,在VPN网关上对用户访问行为进行记录,减小了对VPN网关处理性能及吞吐量影响。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种用户访问行为处理方法、系统和客户端。
背景技术
虚拟专用网(Virtual Private Network;以下简称:VPN)作为一种通过公共网络建立自己的专用网络的技术,其出现解决了用户规模不断扩大,远程用户、远程分支机构、合作伙伴渐渐增多,关键业务的需求增加所带来的不安全因素。VPN技术通过特殊的加密通信协议,为连接在公共网络上位于不同地方的两个或多个企业内部网之间建立了一条专用的通讯线路,在不安全的因特网上能够开辟了一个安全的私有网络,因此得到了越来越广泛的应用。在某些应用场景中,由于需要对用户通过VPN网关访问内网服务器的行为进行记录,以便对用户访问行为进行审计和追查。
在现有技术中,通常在VPN网关内对用户访问行为进行检测并记录,VPN网关通过对数据报文的3层和4层协议头进行分析,可以容易地分析得到用户访问的目的IP地址和目的端口,但由于应用层内容在4层协议上被分割为多个报文,如果要分析得到用户访问的应用层内容,则VPN需要对应用层报文进行重组,才能分析得到用户的应用层访问行为。或者,通过新增加用户审计网关来对用户的应用层报文进行重组并分析出用户的应用层访问行为。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:通过VPN网关分析获取用户的应用层访问行为时,由于应用层报文重组需要占用较多内存,当VPN网关上并发的用户数量较大时,会导致VPN网关处理性能及吞吐量的降低;通过新增的用户审计网关分析获取用户的应用层访问行为时,由于引入新的设备,导致实施成本增加。
发明内容
本发明实施例提供一种用户访问行为处理方法、系统和客户端,能够在不增加额外设备的情况下,实现在VPN网关上对用户访问行为进行记录,减小对VPN网关处理性能及吞吐量的影响。
本发明实施例提供一种用户访问行为处理方法,包括:
对获取的用户访问内网服务器的应用层报文进行检测处理;
根据检测结果获得用户访问行为信息;
向虚拟专用网网关发送用户访问行为报文,所述用户访问行为报文中包含有所述用户访问行为信息,以使所述虚拟专用网网关对所述用户访问行为信息进行记录。
本发明实施例提供一种客户端,包括:
检测模块,用于对获取的用户访问内网服务器的应用层报文进行检测处理;
第一获取模块,用于根据检测结果获得用户访问行为信息;
发送模块,用于向虚拟专用网网关发送用户访问行为报文,所述用户访问行为报文中包含有所述用户访问行为信息,以使所述虚拟专用网网关对所述用户访问行为信息进行记录。
本发明实施例提供一种用户访问行为处理系统,包括虚拟专用网网关、内网服务器和上述客户端。
本发明实施例的用户访问行为处理方法、系统和客户端,通过在客户端对用户访问内网服务器的应用层报文进行检测处理,以检测结果获得用户访问行为信息,将用户访问行为信息携带在用户访问行为报文中上报到VPN网关上进行记录,本实施例在不增加额外设备的情况下,实现了通过客户端分析获取用户访问行为信息,在VPN网关上对用户访问行为信息进行记录,减小了VPN网关因检测、分析、记录用户访问行为而造成的处理性能及吞吐量的降低的影响。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所提供的一种用户访问行为处理方法的流程图;
图2为本发明实施例所提供的另一种用户访问行为处理方法的流程图;
图3为本发明实施例所提供的另一种用户访问行为处理方法中检测引擎链的示意图;
图4为本发明实施例所提供的另一种用户访问行为处理方法中步骤211的具体流程图;
图5为本发明实施例所提供的另一种用户访问行为处理方法中缓存器中报文的缓存示意图;
图6为本发明实施例所提供的一种客户端的结构示意图;
图7为本发明实施例所提供的另一种客户端的结构示意图;
图8为本发明实施例所提供的一种用户访问行为处理系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例所提供的一种用户访问行为处理方法的流程图,如图1所示,本实施例提供了一种用户访问行为处理方法,可以具体包括如下步骤:
步骤101,客户端对获取的用户访问内网服务器的应用层报文进行检测处理。
在本实施例中,在获取到用户访问内网服务器的应用层报文后,对该应用层报文进行检测处理,通过对应用层报文的检测处理获取检测结果。本实施例中的检测结果可以包括旁路(bypass)、已检测(detected)、未检测(undetected)和需要缓存(needcache)。其中,检测结果bypass可以表示该应用层报文为旁路报文,表示该报文不需要进行访问行为检测;检测结果detected可以表示该报文为已检测报文,表示通过该报文可以直接检测出用户访问行为信息;检测结果undetected可以表示该应用层报文为未检测报文,表示不能直接从该报文中检测出用户访问行为信息,且不需要对该报文进行缓存重组;检测结果needcache可以表示该应用层报文为需要缓存报文,表示不能直接从该报文中检测出用户访问行为信息,需要将该报文进行缓存重组后再检测。本实施例中客户端获取到的应用层报文可以直接来自于应用层软件,也可以来自于缓存器,即检测结果为needcache的应用层报文在缓存器中进行缓存重组后再发送到客户端执行本步骤的检测处理过程。
步骤102,客户端根据检测结果获得用户访问行为信息。
客户端在经过上述对获取到的应用层报文进行检测处理后,根据得到的检测结果来获得用户访问行为信息,但根据上述解释可知,并非所有检测结果均可以直接获取到用户访问行为信息。对于检测结果为detected来说,可以直接获取到用户访问行为信息;对于检测结果为needcache来说,则需要执行缓存重组后的再检测过程,具体的再检测过程可以与上述步骤101和102类似,此处不再赘述;对于检测结果为undetected来说,则也需要对该报文进行进一步的检测,具体的再检测过程可以与上述步骤101和102类似,此处不再赘述;对于检测结果为bypass来说,由于该应用层报文不属于本实施例中能检测获取到用户访问报文,则直接将该应用层报文发送到虚拟专用网网关,无需对其进行检测和相关分析处理。
步骤103,客户端向虚拟专用网网关发送用户访问行为报文,所述用户访问行为报文中包含有所述用户访问行为信息,以使所述虚拟专用网网关对所述用户访问行为信息进行记录。
客户端将获取到的用户访问行为信息封装在用户访问行为报文中发送到虚拟专用网网关上,由该虚拟专用网网关对该用户访问行为信息进行记录,实现了在客户端执行用户访问行为信息的分析、获取等,虚拟专用网网关只需记录该信息即可。
本实施例提供了一种用户访问行为处理方法,通过在客户端对用户访问内网服务器的应用层报文进行检测处理,以检测结果获得用户访问行为信息,将用户访问行为信息携带在用户访问行为报文中上报到VPN网关上进行记录,本实施例在不增加额外设备的情况下,实现了通过客户端分析获取用户访问行为信息,在VPN网关上对用户访问行为信息进行记录,减小了对VPN网关因检测、分析、记录用户访问行为对VPN网关处理性能及吞吐量的影响。
图2为本发明实施例所提供的另一种用户访问行为处理方法的流程图,如图2所示,本实施例提供了一种用户访问行为处理方法,为上述图1提供的方法的具体化,可以包括如下步骤:
步骤201,客户端获取用户访问内网服务器的应用层报文。
在本实施例中,在VPN技术中,用户通过VPN网关来对VPN网络中的各个内网服务器进行访问,以将用户接入到VPN网络中。为了使用户安全地接入到VPN网络中,通常采用加密协议,如IP层协议安全结构(Security Architecture for IP network;以下简称:IPsec)协议、安全套接字层(Security Socket Layer;以下简称:SSL)协议等,在客户端与VPN网关之间建立一条加密隧道,客户端的所有业务数据均通过这条加密隧道传送到VPN网关,再由VPN网关将数据转发到各个内网服务器上。本步骤为客户端获取用户访问内网服务器的应用层报文,客户端具体可以从缓存器中获取缓存的应用层报文,也可以直接从应用层软件获取应用层报文。
步骤202,客户端从获取的应用层报文中提取报文协议类型和目的端口。
客户端获取到用户访问内网服务器的应用层报文后,对该应用层报文进行解析处理,从中提取中该报文的报文协议类型和该报文的目的端口,还可以获取到该报文的目的IP地址等。
步骤203,客户端对应用层报文的报文协议类型进行判断,根据判断结果执行步骤204、步骤205或步骤206。
客户端根据提取的应用层报文的报文协议类型进行判断,判断其报文协议类型是否为传输控制协议(Transmission Control Protocol;以下简称:TCP),或者是否为用户数据包协议(User Datagram Protocol;以下简称:UDP);若该应用层报文的报文协议类型为非TCP且非UDP时,执行步骤204;若该应用层报文的报文协议类型为TCP时,执行步骤205;若该应用层报文的报文协议类型为UDP时,执行步骤206。
步骤204,当报文协议类型为非TCP且非UDP时,客户端生成检测结果为所述应用层报文为旁路报文,并将应用层报文发送到所述虚拟专用网网关。
当应用层报文的报文协议类型不属于TCP且不属于UDP时,如该应用层报文为IP报文,表明该报文不属于能够检测出用户访问行为的报文,则客户端直接生成检测结果为bypass,即将该应用层报文设置为旁路报文。客户端将该应用层报文发送到VPN网关,不再对其进行缓存、检测处理等。
步骤205,当报文协议类型为TCP时,客户端判断应用层报文的目的端口是否为协议固定知名端口,如果是,则执行步骤207,否则执行步骤208。
当应用层报文的报文协议类型为TCP时,客户端再判断该应用层报文的目的端口是否为协议固定知名端口。若该报文的目的端口为TCP协议的协议固定知名端口,则执行步骤207,若该报文的目的端口不是TCP协议的协议固定知名端口,则执行步骤208。
步骤206,当报文协议类型为UDP时,客户端判断应用层报文的目的端口是否为协议固定知名端口,如果是,则执行步骤209,否则执行步骤210。
当应用层报文的报文协议类型为UDP时,客户端再判断该应用层报文的目的端口是否为协议固定知名端口。若该报文的目的端口为UDP协议的协议固定知名端口,则执行步骤209,若该报文的目的端口不是UDP协议的协议固定知名端口,则执行步骤210。
在本实施例中,客户端保存有四类检测引擎的链表,分别为基于TCP知名端口检测引擎链、基于UDP知名端口检测引擎链、基于TCP关键字检测引擎链和基于UDP关键字检测引擎链。图3为本发明实施例所提供的另一种用户访问行为处理方法中检测引擎链的示意图,如图3所示,各引擎链中分别包括多个检测引擎。
步骤207,客户端调用基于TCP知名端口检测引擎链中与目的端口对应的检测引擎对所述应用层报文进行检测处理,并生成检测结果。
当应用层报文的报文协议类型为TCP,且其目的端口为TCP协议的协议固定知名端口时,客户端从基于TCP知名端口检测引擎链中选择与目的端口对应的检测引擎,调用该检测引擎对该应用报文进行检测处理。在图3所示的基于TCP知名端口检测引擎链中,各检测引擎分别对应于一个协议固定知名端口,则本步骤为从该检测引擎链中调用与应用层报文的目的端口相对应的那个检测引擎对该报文进行检测处理,并生成检测结果。本步骤中利用基于TCP知名端口检测引擎链中的该检测引擎对报文检测的检测结果可以包括detected和needcache两种。具体地,可以通过对检测引擎进行相应地配置来实现报文的检测,检测引擎可以具体根据报文所包含的内容来获取生成检测结果。例如,当用户访问某个网站时,其生成的应用层报文中除了包含“get”、“put”等动作外,还包含有网站的URL信息,则通过对该报文进行检测生成的检测结果可以为detected,若该报文中尚未包含全部的可以检测出该访问行为的信息,而只包含了其中一部分,还需要进一步通过用户的其他应用层报文来综合进行分析,则检测结果可以为needcache。
步骤208,客户端按照引擎链顺序调用基于TCP关键字检测引擎链中的检测引擎对所述应用报文进行检测处理,并生成检测结果。
当应用层报文的报文协议类型为TCP,且其目的端口不是TCP协议的协议固定知名端口时,客户端按照引擎链顺序,调用基于TCP关键字检测引擎链中的检测引擎对该应用报文进行检测处理。此处的引擎链顺序可以为引擎链中各检测引擎的排列顺序,本步骤为按顺序调用对应的检测引擎来对应用报文进行检测处理,并生成检测结果。本步骤中利用基于TCP关键字检测引擎链中的该检测引擎对报文检测的检测结果可以包括detected、undetected和needcache三种。具体地,可以通过对检测引擎进行相应地配置来实现报文的检测,检测引擎可以具体根据报文所包含的内容来获取生成检测结果。其中,检测结果undetected为根据该检测引擎得不到相应的检测结果,还需要调用引擎链中的其他检测引擎继续进行检测。
步骤209,客户端调用基于UDP知名端口检测引擎链中与UDP固定知名端口对应的检测引擎对应用层报文进行检测处理,并生成检测结果。
当应用层报文的报文协议类型为UDP,且其目的端口为UDP协议的协议固定知名端口时,客户端从基于UDP知名端口检测引擎链中选择与目的端口对应的检测引擎,调用该检测引擎对该应用报文进行检测处理。在图3所示的基于UDP知名端口检测引擎链中,各检测引擎分别对应于一个协议固定知名端口,则本步骤为从该检测引擎链中调用与应用层报文的目的端口相对应的那个检测引擎对该报文进行检测处理,并生成检测结果。本步骤中利用基于UDP知名端口检测引擎链中的该检测引擎对报文检测的检测结果可以包括detected和needcache两种。
步骤210,客户端按照引擎链顺序,调用基于UDP关键字检测引擎链中的检测引擎对所述应用报文进行检测处理,并生成检测结果。
当应用层报文的报文协议类型为UDP,且其目的端口不是UDP协议的协议固定知名端口时,客户端按照引擎链顺序,调用基于UDP关键字检测引擎链中的检测引擎对该应用报文进行检测处理。此处的引擎链顺序可以为引擎链中各检测引擎的排列顺序,本步骤为按顺序调用对应的检测引擎来对应用报文进行检测处理,并生成检测结果。本步骤中利用基于UDP关键字检测引擎链中的该检测引擎对报文检测的检测结果可以包括detected、undetected和needcache三种。
步骤211,客户端根据检测结果获得用户访问行为信息。
在客户端通过上述检测引擎对应用层报文进行检测处理后,得到相应的bypass、detected、undetected或needcache的检测结果,客户端根据不同的检测结果来对应用层报文进行不同的处理,并最终获取到检测出的用户访问行为信息,具体的处理过程将在后续进行详细的说明。
步骤212,客户端向VPN网关发送包含有用户访问行为信息的用户访问行为报文,以使VPN网关对用户访问行为信息进行记录。
当客户端经过上述步骤分析获取到用户访问行为信息时,将获取到的用户访问行为信息进行组装,将其组装生成用户访问行为报文,该用户访问行为报文中携带用户访问行为信息。客户端对该用户访问行为报文进行加密处理,将加密后的用户访问行为报文通过VPN加密隧道发送到VPN网关上进行记录。VPN网关在每次接收到客户端发送的报文后,对接收到的报文进行VPN隧道解密处理,由于客户端发送的报文的类型等包括很多种,则VPN网关需要对解密后的报文进行分析。VPN网关可以先判断解密后的报文的目的地址是否为VPN网关本地地址,以及判断该报文的类型是否为用户访问行为报文,如果该解密后的报文的目的地址为VPN网关本地地址,且该报文的类型为用户访问行为报文,则在VPN网关上对用户访问行为进行记录,也可以将解密后的报文转发到其他VPN网关上。
在本实施例中,在实际情况下,由于客户端的配置通常比较好,客户端具有剩余的计算能力来对应用层报文进行重组和分析,本实施例通过在客户端对用户访问行为进行分析检测,将获取到的用户访问行为信息发送到VPN网关上进行记录,实现了将应用层报文的重组和分析工作从VPN网关进行分离,VPN网关只负责对分析结果进行记录,因此对VPN网关的性能影响非常小。
进一步地,图4为本发明实施例所提供的另一种用户访问行为处理方法中步骤211的具体流程图,如图4所示,本实施例中上述步骤211可以具体包括如下步骤:
步骤2111,客户端对检测结果进行判断,根据判断结果执行步骤2112、步骤2113或步骤2114。
当客户端获取到检测结果后,先对该检测结果进行判断,以根据不同的检测结果执行不同的处理步骤。具体地,当检测结果为needcache,即应用层报文为需要缓存报文时,执行步骤2112;当检测结果为detected,即应用层报文为已检测报文时,执行步骤2113;当检测结果为undetected,即应用层报文为未检测报文时,执行步骤2114。
步骤2112,当检测结果为应用层报文为需要缓存报文时,客户端判断所述应用层报文是否为从应用层软件获取的报文,如果是,则执行步骤2115,否则丢弃该应用层报文。
当检测结果为needcache时,客户端进一步判断该应用层报文是否为从应用层软件获取的报文,若该报文为直接从应用层软件获取的报文,则执行步骤2115,对该报文进行缓存;若该报文为从缓存器获取的报文,表明缓存器中已缓存有该报文,则将该应用层报文进行丢弃处理,无需再进行缓存、重组、再检测处理。
步骤2113,当检测结果为应用层报文为已检测报文时,客户端根据所述应用层报文的内容生成用户访问行为信息,并执行向VPN网关发送用户访问行为报文的步骤以及步骤2116。
当检测结果为detected时,表明客户端通过该报文可以获取到用户访问行为信息,则客户端根据该应用层报文的内容直接生成用户访问行为信息,并执行步骤212中将该用户访问行为信息包含在用户访问行为报文中向VPN网关发送的步骤。同时,客户端还执行后续步骤2116,进一步判断该应用层报文的来源。
步骤2114,当检测结果为应用层报文为未检测报文时,客户端按照引擎链顺序,调用相应的引擎链中存在的下一个检测引擎对所述应用报文进行检测处理。
当检测结果为undetected时,客户端按照对应的引擎链中检测引擎的顺序,查看当前引擎链中是否存在下一个检测引擎,如果存在,则调用该下一个检测引擎对该应用层报文进行检测处理。根据上述解释可知,调用基于TCP关键字检测引擎链中的检测引擎和调用基于UDP关键字检测引擎链中的检测引擎对报文的检测处理的检测结果均可能包含undetected检测结果,则此处所指的相应的引擎链为当前进行检测处理的检测引擎所在的引擎链,可以为基于TCP关键字检测引擎链或基于UDP关键字检测引擎链。直到当前按照引擎链顺序,当前的检测引擎已处于引擎链中的最后一个检测引擎时,则客户端继续判断该应用层报文的来源,当该应用层报文来自缓存器时,丢弃该报文,否则将该报文发送到VPN网关。
步骤2115,客户端将所述应用层报文拷贝并缓存到缓存器中。
当检测结果为needcache,且该应用层报文为从应用层软件获取的报文时,客户端对该应用层报文进行拷贝,并将拷贝的应用层报文缓存到缓存器中,已备后续进行重组、再检测处理。
步骤2116,客户端判断所述应用层报文是否为从应用层软件获取的报文,如果是,则执行步骤2117,否则丢弃所述应用层报文。
当检测结果为detected,并获取到用户访问行为信息后,客户端继续判断该应用层报文的来源,如果该应用层报文从应用层软件直接获取,则执行步骤2117,客户端将所述应用层报文发送到虚拟专用网网关;若该报文来自缓存器,则将该应用层报文进行丢弃处理。
步骤2117,客户端将所述应用层报文发送到虚拟专用网网关。
客户端在向VPN网关发送应用层报文时,可以对应用层报文进行加密处理,并将加密后的应用层报文发送到VPN网关。
进一步地,本实施例提供的用户访问行为处理方法的上述步骤2115可以具体包括如下步骤:客户端从应用层报文中提取其五元组信息,五元组信息包括协议类型、源IP地址、源端口信息、目的IP地址和目的端口信息。客户端根据所述五元组信息将所述应用层报文缓存到缓存器中相应的数据流缓存队列中。图5为本发明实施例所提供的另一种用户访问行为处理方法中缓存器中报文的缓存示意图,如图5所示,在缓存器中维护有不同数据流缓存队列,各数据流缓存队列按照五元组区分,也就是说五元组信息相同的报文属于同一条数据流。客户端在对某个应用层报文进行缓存时,先从该报文中提取其协议类型、源IP地址、源端口信息、目的IP地址和目的端口信息,根据上述五元组信息将该报文定位到对应的数据流队列指针,再将其缓存到缓存器中相应的数据流缓存队列中。
更进一步地,在本实施例中的上述步骤2115之后,还可以包括如下步骤:对缓存器中各数据流缓存队列中的报文进行重组处理,并将重组完成的应用层报文进行发送,以用于所述检测处理。将应用层报文加入到缓存器中的数据流缓存队列中后,对各数据流缓存队列中的报文进行重组处理,将缓存完成生成的应用层报文返回到客户端,即返回执行本实施例中的步骤201,对其进行检测处理,并释放该应用层报文在缓存器中所占的空间。
进一步地,本实施例提供的方法还可以包括如下步骤:当所述检测引擎存在新版本时,客户端从所述虚拟专用网网关上获取新版本的检测引擎,并在本地将所述检测引擎更新为所述新版本的检测引擎。由于本实施例的报文检测过程依赖于检测引擎,为了适应应用层协议的变化,保证检测结果的准确性,需要及时对检测引擎进行更新,检测引擎的更新由虚拟专用网关的管理员来执行。当有新版本的检测引擎更新后,管理员将新版本的检测引擎上传到VPN网关上,并更新其版本号,则客户端会自动更新。客户端通过VPN网关上的版本号可以获知检测引擎存在新版本,则从VPN网关上下载新版本的检测引擎,并在客户端本地将该检测引起更新为新版本的检测引擎。
本实施例提供了一种用户访问行为处理方法,通过在客户端对用户访问内网服务器的应用层报文进行检测处理,以检测结果获得用户访问行为信息,将用户访问行为信息携带在用户访问行为报文中上报到VPN网关上进行记录,本实施例在不增加额外设备的情况下,实现了通过客户端分析获取用户访问行为信息,在VPN网关上对用户访问行为信息进行记录,减小了对VPN网关因检测、分析、记录用户访问行为对VPN网关处理性能及吞吐量的影响。另外,本实施例在对应用层报文进行检测时,根据报文协议类型和目的端口来调用相应的检测引擎进行检测处理,则可以进一步提高报文检测的效率。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图6为本发明实施例所提供的一种客户端的结构示意图,如图6所示,本实施例提供了一种客户端,本实施例可以具体执行上述图1所示的方法实施例的各个步骤,此处不再赘述。本实施例中的客户端可以具体为计算机、移动终端等。具体地,本实施例提供的客户端可以包括检测模块601、获取模块602和发送模块603。其中:
检测模块601,用于对获取的用户访问内网服务器的应用层报文进行检测处理;
获取模块602,用于根据检测结果获得用户访问行为信息;
发送模块603,用于向虚拟专用网网关发送用户访问行为报文,所述用户访问行为报文中包含有所述用户访问行为信息,以使所述虚拟专用网网关对所述用户访问行为信息进行记录。
图7为本发明实施例所提供的另一种客户端的结构示意图,如图7所示,本实施例提供了一种客户端,本实施例可以具体执行上述图2所示的方法实施例的各个步骤,此处不再赘述。具体地,本实施例提供的客户端在上述图6所示的客户端的基础之上,检测模块601可以具体包括提取单元611和检测单元621,其中:
提取单元611,用于从获取的用户访问内网服务器的应用层报文中提取报文协议类型和目的端口;
检测单元621,用于根据所述报文协议类型和所述目的端口调用检测引擎链中相应的检测引擎对所述应用层报文进行检测处理。
具体地,本实施例提供的客户端中的检测单元621可以具体包括第一检测子单元6211、第二检测子单元6212、第三检测子单元6213、第四检测子单元6214和第五检测子单元6215,其中:
第一检测子单元6211,用于当所述报文协议类型为非传输控制协议TCP且非用户数据包协议UDP时,生成检测结果为所述应用层报文为旁路报文;
第二检测子单元6212,用于当所述报文协议类型为TCP且所述目的端口为协议固定知名端口时,调用基于TCP知名端口检测引擎链中与所述目的端口对应的检测引擎对所述应用层报文进行检测处理,并生成检测结果为所述应用层报文为需要缓存报文或已检测报文;
第三检测子单元6213,用于当所述报文协议类型为TCP且所述目的端口为非协议固定知名端口时,按照引擎链顺序调用基于TCP关键字检测引擎链中的检测引擎对所述应用报文进行检测处理,并生成检测结果为所述应用层报文为需要缓存报文、已检测报文或未检测报文;
第四检测子单元6214,用于当所述报文协议类型为UDP且所述目的端口为协议固定知名端口时,调用基于UDP知名端口检测引擎链中与所述目的端口对应的检测引擎对所述应用层报文进行检测处理,并生成检测结果为所述应用层报文为需要缓存报文或已检测报文;
第五检测子单元6215,用于当所述报文协议类型为UDP且所述目的端口为非协议固定知名端口时,按照引擎链顺序,调用基于UDP关键字检测引擎链中的检测引擎对所述应用报文进行检测处理,并生成检测结果为所述应用层报文为需要缓存报文、已检测报文或未检测报文。
具体地,本实施例提供的客户端中的获取模块602可以具体用于当检测结果为所述应用层报文为已检测报文时,根据所述应用层报文的内容生成用户访问行为信息。
进一步地,本实施例中的客户端还可以包括第一处理模块604和第二处理模块605,其中:
第一处理模块604,用于当检测结果为所述应用层报文为所述需要缓存报文时,判断所述应用层报文是否为从应用层软件获取的报文时,如果是,将所述应用层报文拷贝并缓存到缓存器中,否则丢弃所述应用层报文,并结束本检测流程。
第二处理模块605,用于当检测结果为所述应用层报文为未检测报文时,按照引擎链顺序,调用相应的引擎链中存在的下一个检测引擎对所述应用报文进行检测处理。
本实施例提供了一种客户端,通过在客户端对用户访问内网服务器的应用层报文进行检测处理,以检测结果获得用户访问行为信息,将用户访问行为信息携带在用户访问行为报文中上报到VPN网关上进行记录,本实施例在不增加额外设备的情况下,实现了通过客户端分析获取用户访问行为信息,在VPN网关上对用户访问行为信息进行记录,减小了对VPN网关因检测、分析、记录用户访问行为对VPN网关处理性能及吞吐量的影响。
图8为本发明实施例所提供的一种用户访问行为处理系统的结构示意图,如图8所示,本实施例提供了一种用户访问行为处理系统,本实施例中提供的用户访问行为处理系统并未改变原有的VPN网络的组网结构,未增加新的网元。具体地,本实施例提供的用户访问行为处理系统可以包括客户端801、虚拟专用网网关802和多个内网服务器803。其中,客户端801可以为上述图6或图7所示的客户端,此处不再赘述。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种用户访问行为处理方法,其特征在于,包括:
对获取的用户访问内网服务器的应用层报文进行检测处理;
根据检测结果获得用户访问行为信息;
向虚拟专用网网关发送用户访问行为报文,所述用户访问行为报文中包含有所述用户访问行为信息,以使所述虚拟专用网网关对所述用户访问行为信息进行记录。
2.根据权利要求1所述的方法,其特征在于,所述对获取的用户访问内网服务器的应用层报文进行检测处理包括:
从获取的用户访问内网服务器的应用层报文中提取报文协议类型和目的端口;
根据所述报文协议类型和所述目的端口调用检测引擎链中相应的检测引擎对所述应用层报文进行检测处理。
3.根据权利要求2所述的方法,其特征在于,所述根据所述报文协议类型和所述目的端口调用检测引擎链中相应的检测引擎对所述应用层报文进行检测处理包括:
当所述报文协议类型为非传输控制协议TCP且非用户数据包协议UDP时,生成检测结果为所述应用层报文为旁路报文;
当所述报文协议类型为TCP且所述目的端口为协议固定知名端口时,调用基于TCP知名端口检测引擎链中与所述目的端口对应的检测引擎对所述应用层报文进行检测处理,并生成检测结果为所述应用层报文为需要缓存报文或已检测报文;
当所述报文协议类型为TCP且所述目的端口为非协议固定知名端口时,按照引擎链顺序调用基于TCP关键字检测引擎链中的检测引擎对所述应用报文进行检测处理,并生成检测结果为所述应用层报文为需要缓存报文、已检测报文或未检测报文;
当所述报文协议类型为UDP且所述目的端口为协议固定知名端口时,调用基于UDP知名端口检测引擎链中与所述目的端口对应的检测引擎对所述应用层报文进行检测处理,并生成检测结果所述应用层报文为需要缓存报文或已检测报文;
当所述报文协议类型为UDP且所述目的端口为非协议固定知名端口时,按照引擎链顺序,调用基于UDP关键字检测引擎链中的检测引擎对所述应用报文进行检测处理,并生成检测结果为所述应用层报文为需要缓存报文、已检测报文或未检测报文。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述根据检测结果获得用户访问行为信息包括:
当检测结果为所述应用层报文为已检测报文时,根据所述应用层报文的内容生成用户访问行为信息。
5.根据权利要求4所述的方法,其特征在于,还包括:
当检测结果为所述应用层报文为需要缓存报文时,判断所述应用层报文是否为从应用层软件获取的报文,如果是,将所述应用层报文拷贝并缓存到缓存器中,否则丢弃所述应用层报文,并结束本检测流程;和/或
当检测结果为所述应用层报文为未检测报文时,按照引擎链顺序,调用相应的引擎链中存在的下一个检测引擎对所述应用报文进行检测处理。
6.一种客户端,其特征在于,包括:
检测模块,用于对获取的用户访问内网服务器的应用层报文进行检测处理;
获取模块,用于根据检测结果获得用户访问行为信息;
发送模块,用于向虚拟专用网网关发送用户访问行为报文,所述用户访问行为报文中包含有所述用户访问行为信息,以使所述虚拟专用网网关对所述用户访问行为信息进行记录。
7.根据权利要求6所述的客户端,其特征在于,所述检测模块包括:
提取单元,用于从获取的用户访问内网服务器的应用层报文中提取报文协议类型和目的端口;
检测单元,用于根据所述报文协议类型和所述目的端口调用检测引擎链中相应的检测引擎对所述应用层报文进行检测处理。
8.根据权利要求6所述的客户端,其特征在于,所述检测单元包括:
第一检测子单元,用于当所述报文协议类型为非传输控制协议TCP且非用户数据包协议UDP时,生成检测结果为所述应用层报文为旁路报文;
第二检测子单元,用于当所述报文协议类型为TCP且所述目的端口为协议固定知名端口时,调用基于TCP知名端口检测引擎链中与所述目的端口对应的检测引擎对所述应用层报文进行检测处理,并生成检测结果为所述应用层报文为需要缓存报文或已检测报文;
第三检测子单元,用于当所述报文协议类型为TCP且所述目的端口为非协议固定知名端口时,按照引擎链顺序调用基于TCP关键字检测引擎链中的检测引擎对所述应用报文进行检测处理,并生成检测结果为所述应用层报文为需要缓存报文、已检测报文或未检测报文;
第四检测子单元,用于当所述报文协议类型为UDP且所述目的端口为协议固定知名端口时,调用基于UDP知名端口检测引擎链中与所述目的端口对应的检测引擎对所述应用层报文进行检测处理,并生成检测结果所述应用层报文为需要缓存报文或已检测报文;
第五检测子单元,用于当所述报文协议类型为UDP且所述目的端口为非协议固定知名端口时,按照引擎链顺序,调用基于UDP关键字检测引擎链中的检测引擎对所述应用报文进行检测处理,并生成检测结果为所述应用层报文为需要缓存报文、已检测报文或未检测报文。
9.根据权利要求6-8中任一项所述的客户端,其特征在于,所述获取模块具体用于当检测结果为所述应用层报文为已检测报文时,根据所述应用层报文的内容生成用户访问行为信息。
10.根据权利要求9所述的客户端,其特征在于,还包括:
第一处理模块,用于当检测结果为所述应用层报文为所述需要缓存报文时,判断所述应用层报文是否为从应用层软件获取的报文时,如果是,将所述应用层报文拷贝并缓存到缓存器中,否则丢弃所述应用层报文,并结束本检测流程;和/或
第二处理模块,用于当检测结果为所述应用层报文为未检测报文时,按照引擎链顺序,调用相应的引擎链中存在的下一个检测引擎对所述应用报文进行检测处理。
11.一种用户访问行为处理系统,其特征在于,包括虚拟专用网网关、内网服务器和上述权利要求6-10中任一项所述的客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010601950.1A CN102035847B (zh) | 2010-12-14 | 2010-12-14 | 用户访问行为处理方法、系统和客户端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010601950.1A CN102035847B (zh) | 2010-12-14 | 2010-12-14 | 用户访问行为处理方法、系统和客户端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102035847A true CN102035847A (zh) | 2011-04-27 |
| CN102035847B CN102035847B (zh) | 2014-03-12 |
Family
ID=43888170
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010601950.1A Active CN102035847B (zh) | 2010-12-14 | 2010-12-14 | 用户访问行为处理方法、系统和客户端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102035847B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739793A (zh) * | 2012-07-03 | 2012-10-17 | 厦门简帛信息科技有限公司 | 智能终端、数字资源的管理系统及方法 |
| CN102761573A (zh) * | 2011-04-28 | 2012-10-31 | 北京随视传媒科技有限公司 | 一种媒体信息的用户浏览行为数据的监测方法 |
| CN103905406A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 一种失效的防火墙策略检测方法和装置 |
| CN105978885A (zh) * | 2016-05-30 | 2016-09-28 | 刘华英 | 网络安全监控方法和装置 |
| CN107734006A (zh) * | 2017-09-27 | 2018-02-23 | 北京奇艺世纪科技有限公司 | 一种统计日志发送方法、装置及电子设备 |
| CN111314298A (zh) * | 2020-01-16 | 2020-06-19 | 北京金堤科技有限公司 | 验证识别方法和装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007014507A1 (en) * | 2005-07-30 | 2007-02-08 | Huawei Technologies Co., Ltd. | System and method for controling ngn service-based firewall |
| CN101369995A (zh) * | 2008-05-30 | 2009-02-18 | 国网南京自动化研究院 | 一种基于安全可信连接技术的拨号网关 |
| CN101789968A (zh) * | 2010-01-08 | 2010-07-28 | 深圳市沟通科技有限公司 | 安全的企业移动办公应用交付方法 |
| CN101895578A (zh) * | 2010-07-06 | 2010-11-24 | 国都兴业信息审计系统技术(北京)有限公司 | 基于综合安全审计的文档监控管理系统 |
-
2010
- 2010-12-14 CN CN201010601950.1A patent/CN102035847B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007014507A1 (en) * | 2005-07-30 | 2007-02-08 | Huawei Technologies Co., Ltd. | System and method for controling ngn service-based firewall |
| CN101369995A (zh) * | 2008-05-30 | 2009-02-18 | 国网南京自动化研究院 | 一种基于安全可信连接技术的拨号网关 |
| CN101789968A (zh) * | 2010-01-08 | 2010-07-28 | 深圳市沟通科技有限公司 | 安全的企业移动办公应用交付方法 |
| CN101895578A (zh) * | 2010-07-06 | 2010-11-24 | 国都兴业信息审计系统技术(北京)有限公司 | 基于综合安全审计的文档监控管理系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761573A (zh) * | 2011-04-28 | 2012-10-31 | 北京随视传媒科技有限公司 | 一种媒体信息的用户浏览行为数据的监测方法 |
| CN102761573B (zh) * | 2011-04-28 | 2016-06-29 | 北京随视传媒科技有限公司 | 一种媒体信息的用户浏览行为数据的监测方法 |
| CN102739793A (zh) * | 2012-07-03 | 2012-10-17 | 厦门简帛信息科技有限公司 | 智能终端、数字资源的管理系统及方法 |
| CN102739793B (zh) * | 2012-07-03 | 2016-05-18 | 厦门简帛信息科技有限公司 | 智能终端、数字资源的管理系统及方法 |
| CN103905406A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 一种失效的防火墙策略检测方法和装置 |
| CN103905406B (zh) * | 2012-12-28 | 2017-09-12 | 中国移动通信集团公司 | 一种失效防火墙策略的检测方法和装置 |
| CN105978885A (zh) * | 2016-05-30 | 2016-09-28 | 刘华英 | 网络安全监控方法和装置 |
| CN107734006A (zh) * | 2017-09-27 | 2018-02-23 | 北京奇艺世纪科技有限公司 | 一种统计日志发送方法、装置及电子设备 |
| CN111314298A (zh) * | 2020-01-16 | 2020-06-19 | 北京金堤科技有限公司 | 验证识别方法和装置、电子设备和存储介质 |
| CN111314298B (zh) * | 2020-01-16 | 2020-12-29 | 北京金堤科技有限公司 | 验证识别方法和装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102035847B (zh) | 2014-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Duchêne et al. | State of the art of network protocol reverse engineering tools | |
| US10447560B2 (en) | Data leakage protection in cloud applications | |
| Caballero et al. | Input generation via decomposition and re-stitching: Finding bugs in malware | |
| Beverly et al. | Forensic carving of network packets and associated data structures | |
| CN102035847B (zh) | 用户访问行为处理方法、系统和客户端 | |
| CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
| CN104281808B (zh) | 一种通用的Android恶意行为检测方法 | |
| JP2017538376A (ja) | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 | |
| CN107347057B (zh) | 入侵检测方法、检测规则生成方法、装置及系统 | |
| Kumari et al. | An insight into digital forensics branches and tools | |
| CN110417768B (zh) | 一种僵尸网络的跟踪方法及装置 | |
| CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
| US20060101511A1 (en) | Dynamic system and method for securing a communication network using portable agents | |
| CN105577670A (zh) | 一种撞库攻击的告警系统 | |
| JP2002533792A (ja) | 信頼された内部ネットワ−クの作動を保護方法およびシステム | |
| CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
| Khan et al. | Digital forensics and cyber forensics investigation: security challenges, limitations, open issues, and future direction | |
| TWI671655B (zh) | 用於程式安全保護的系統和方法 | |
| Herrerias et al. | A log correlation model to support the evidence search process in a forensic investigation | |
| CN111209566A (zh) | 一种多层威胁拦截的智能反爬虫系统及方法 | |
| CN110990056A (zh) | 逆向分析方法、装置、电子设备及存储介质 | |
| CN105610639A (zh) | 全量日志抓取方法及装置 | |
| CN112926050B (zh) | 基于hook技术获取ssh加密内容的方法及其应用 | |
| CN114826727A (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. TO: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220907 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20231127 Address after: Room 1-9, 24th Floor, Unit 2, Building 1, No. 28, North Section of Tianfu Avenue, High tech Zone, Chengdu City, Sichuan Province, 610095 Patentee after: Sichuan Huakun Zhenyu Intelligent Technology Co.,Ltd. Address before: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee before: Chengdu Huawei Technologies Co.,Ltd. |