CN101286903B - 一种网络审计领域提高会话完整性的方法 - Google Patents
一种网络审计领域提高会话完整性的方法 Download PDFInfo
- Publication number
- CN101286903B CN101286903B CN200810105944XA CN200810105944A CN101286903B CN 101286903 B CN101286903 B CN 101286903B CN 200810105944X A CN200810105944X A CN 200810105944XA CN 200810105944 A CN200810105944 A CN 200810105944A CN 101286903 B CN101286903 B CN 101286903B
- Authority
- CN
- China
- Prior art keywords
- prediction
- information
- data
- connection
- connection pool
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种网络审计领域提高会话完整性的方法,属于网络审计领域。本发明的方法为:审计系统通过对流经的数据包进行解析,提取该数据包的四元组信息,然后将此四元组信息与预测连接池中存储的预测信息条目进行匹配,如果存在该条目则补充完整之前预测时缺少的信息并将其加入连接管理器中;如果不存在该条目则生成该连接对象进行管理。本发明可以有效的解决在实际通讯过程中双方动态协商产生的数据连接无法识别的问题,通过预先记录关键指导信息而进行的特别处理可以将静态协议码表中没有记录的协议内容记录下来,大大改进了目前主流审计系统。
Description
技术领域:
本发明涉及一种网络审计领域的会话方法,尤其涉及一种网络审计领域提高会话完整性的方法,属于网络审计领域。
背景技术:
随着互联网的飞速发展,人们对它的使用变得越来越多。与前些年相比,很多企业对数据审计方面提出了更高的要求。数据审计领域正向着行为分析与更大的分析容量等方向发展,在识别复杂协议与吞吐量等关键技术点上满足市场对该类产品的需求。
常见的网络数据审计系统可以完成海量数据捕获、应用层协议数据识别、敏感关键字匹配等动作来对出口数据进行完整内容过滤。在基础协议分析上,主要对人们经常使用的TCP、UDP所承载的内容进行识别。
网络数据内容的审计关键在于对无法识别的“连接”进行审计,从而提高了海量数据的处理速度。前者所遇到的难题是会话双方在通信过程中经常会“衍生”出另外的数据连接,而该数据连接的端口及特征码是不确定的,无法在审计设备中进行有效识别,如FTP数据传输阶段以及MSN聊天阶段都是这种现象产生的例子。而后者的瓶颈主要来自庞大的协议特征码匹配表搜索压力与数据内容关键字过滤的压力。
目前的审计产品大多还依靠静态协议特征码对截获的内外网数据进行识别。在特征码中没有记录的数据将被“放行”,对于企业管理者来说不能不算做一个损失。
发明内容:
针对以上审计系统的不足之处,本发明提出了一种网络审计领域提高会话完整性的方法,可以明显改善该类产品对于应用协议数据识别的效率。
审计系统收到数据帧后进行底层解码将应用层数据向上提交至应用层,各个应用层协议处理模块选出自身的数据流并对其进行解析,过滤等操作,最终得到匹配关键字的审记数据。
处理双方底层数据链路的基本单位是四元组(源ip地址、源端口、目的ip地址、目的端口)之上的多个网络数据包。在这一系列的数据包组成的会话过程中交互着如“发送的电子邮件”、“好友之间的聊天文本”等实质性的内容信息,但也存在着大量的控制信令数据,衍生新的会话过程就是其中非常流行的一种。
进一步的,我们可以分析该控制信令的内容,提取出将要产生的新会话的关键信息,如要新产生连接的IP,PORT,PASSPORT等,这些信息均是应用层会话数据。通常,提取的内容并不是完整的,在由服务器端指示客户端进行会话派生的过程中客户端的本地端口一般是不确定的,它将在生成该会话时动态产生。这也就是“预测”这两个字的含义。
进一步的,将提取出的这些预测信息加入预测连接池中,该预测连接池可以理解为一个集中存储的数据区域,并提供网络审计系统进行访问的接口。
进一步的,对于不同的使用系统,获取预测连接池中的内容对其处理的方式将是不同的。他们以相同的一组接口对连接池进行操作。审计系统在随后的一段时间内会截获到我们之前在预测连接池内生成的匹配数据包,使用快速匹配技术(如HASH查找)将其找到并补充其不完整的地址信息。补充完整的四元组连接将进入正式的数据审计阶段。
为实现上述目的,本发明采取的技术方案为:
一种网络审计领域提高会话完整性的方法,其步骤为:
1)审计系统对流经的数据包进行解析,提取该数据包的四元组信息;所述四元组信息包括:源ip地址、源端口、目的ip地址、目的端口;
2)审计系统判断该四元组是否在于连接管理器中,如果存在则进行正常的数据提取审计操作;如果不存在则进行下述操作;
3)将提取的四元组信息与预测连接池中存储的预测信息条目进行匹配,如果存在该条目则补充完整之前预测时缺少的信息,然后将其加入连接管理器中;如果不存在该条目则生成该连接对象进行管理。
所述正常的数据提取审计操作的方法为:
1)提取应用层协议的连接双方衍生会话信息;
2)通过添加接口向预测连接池提交添加预测连接信息;
3)预测连接池记录该预测连接信息。
所述匹配方法为HASH查找匹配方法。
所述预测连接池包括查询接口和添加接口。
所述预测连接池内包含一预测连接哈西表,用于存储已经被预测的连接信息。
所述预测连接哈西表内每条信息使用将会出现连接的交叉二元组作为哈西关键字对数据进行匹配;所述二元组包括:对端IP、己端端口。
所述预测连接哈西表具有一超时管理机制,所述超时管理机制的工作方法为:在设定时间内,预测连接哈西表对没有被预测的连接信息到达的相关维护元素进行删除并对该次预测失败的连接进行数据库的记录工作;对有预测成功的的连接进行相关的记录动作。
所述预测连接池的数据映射在后台数据库中,采用准实时策略分批保存预测连接表及预测结果信息表。
所述后台数据库的工作方法为:所述预测连接池启动时读入常用协议的保存预测数据,将不常用的协议保存数据只做映射在内存中,之后如有需要再进行分批加载。
本发明的积极效果:
本发明可以有效的解决在实际通讯过程中双方动态协商产生的数据连接无法识别的问题,通过预先记录关键指导信息而进行的特别处理可以将静态协议码表中没有记录的协议内容记录下来。是目前主流审计系统非常好的改进措施。
附图说明:
图1为本发明的结构示意图;
图2为本发明的流程图;
图3现有技术中审计领域会话的处理方法流程图;
具体实施方式:
如图1所示,本发明涉及预测连接池模块、审计系统模块、添加及查询接口。这两个接口作为连接池与外界通讯的唯一途径。
在实现上,预测连接池可作为独立应用程序或审计系统的进程内模块方式存在,不论怎样都应使其保持低偶合、高内聚的设计原则。
审计系统对流经的数据包进行解析,提取必要的四元组信息(源ip地址、源端口、目的ip地址、目的端口),首先判断该四元组是否存在于连接管理器中,如果存在则进行正常的数据提取审计动作,该审计处理动作即普通的对连接通讯数据进行抓取。在数据提取过程中,对于某种应用层协议的连接双方衍生会话信息会被提取,提取完成后则通过添加接口可以进行向预测连接池提交添加预测连接信息的动作。
如果该四元组不在连接管理器中,则审计系统通过查询接口使用快速匹配技术(如HASH查找)将提取的四元组信息与预测连接池中存储的条目进行匹配,该条目即之前提到的新会话的关键信息(有可能是三元或两元组)。如果存在这个条目则审计系统在随后的一段时间内会截获到我们之前在预测连接池内生成该条目的匹配数据包,使用快速匹配技术(如HASH查找)将其找到并提取当前数据包的四元组信息来补充完整之前预测时缺少的1元信息即一方port或ip,然后加入连接管理器中。如果条目不存在则要依靠静态协议特征码表判断出具体数据协议并生成该连接对象进行管理(连接管理器即审计系统基础的连接监视器,为目前所有审计系统都具备的)。这样通过动态补充预测连接池中新产生的会话数据的四元组信息,来不断补充完善预测连接池。
预测连接池内部包含一预测连接哈西表,内部存储着已经被预测的连接信息,这些信息都由应用层模块解析相关协议得到,即审计系统收到数据帧后进行底层解码将应用层数据向上提交至应用层,各个应用层协议处理模块选出自身的数据流并对其进行解析、过滤等操作,最终得到匹配关键字的审记数据。每条信息使用将会出现连接的交叉二元组(对端IP及己端端口)作为哈西关键字对数据进行匹配。当从外部接口传递过来的添加数据或查询请求到达时对哈西表进行相关的添加或查询数据操作。预测连接池内部具备超时管理机制,在系统可配置的时间超时过后没有相应的预测数据包到达时将对维护的相关元素进行删除并对该次失败的动作进行数据库的记录工作。同样,对预测成功的的连接也进行相关的记录动作。
后台数据库是预测连接池的数据全息映像,采用准实时策略分批保存预测连接表及预测结果信息表等动作。连接池启动时会读入常用协议的保存预测数据,将不常用的协议保存数据只做映射在内存中,之后如有需要再进行分批加载。该系统工作模式在效率及安全性上满足断电及系统硬问题导致的故障。后台数据库可进行数据挖掘工作,定期产生某些协议预测连接命中情况及用户IP分布图等内容的分析报表,可对该系统协议预测改进提供基础数据。
预测连接池对外提供添加规则及查询规则的操作接口。为使多种系统对其进行使用,可定制接口中间程序(翻译程序,对不同系统可以做单独开发定制)对其输入输出数据进行规范化。对于不具备此条件的应用系统可以使用其数据库表做为接口。
在实际应用中,作为审计系统进程外组件,特别应该注意的是在海量数据处理方面对于预测连接池的进出数据将可能会产生瓶颈。应该尽量以信号量及内存消息方式进行进程间通讯,减少以文件作为纽带所带来的磁盘IO开销。如预测连接池组件是独立的一台服务器则应使用Socket方式直接进行数据传输而避免使用NFS。如果确定是在内网使用并可保证其链路间无路由器中转,则可使用UDP作为基础协议来适应海量数据请求时的响应速度。
预测连接数据从审计系统的各个应用层协议解析模块内得到。在需要产生预测数据的模块需要进行特别协议提取(特别协议指已经掌握协议格式并可以对其进行正确解析的协议)并对其做相应抛出动作。对于多种应用协议的新会话信令提取动作以模板的形式进行提供,以审计数据库内的描述脚本作为数据源对系统内的多种应用协议予以支持。预测连接池本身数据是不断完善的。
本发明可以做为较为独立的处理模块来应对多种需要该技术的产品,在提取预测数据地址、特定值以及查询数据处理上对外提供接口,使模块具备低偶合高内聚的设计特点,具有很强的适应性。本发明可有效的改善静态协议码的内容局限性以及节省海量数据处理时协议判断所带来的性能开销。
Claims (9)
1.一种网络审计领域提高会话完整性的方法,其步骤为:
1)审计系统对流经的数据包进行解析,提取该数据包的四元组信息;所述四元组信息包括:源ip地址、源端口、目的ip地址、目的端口;
2)审计系统判断该四元组是否在于连接管理器中,如果存在则进行正常的数据提取审计操作;如果不存在则进行下述操作;
3)将提取的四元组信息与预测连接池中存储的预测信息条目进行匹配,如果存在该条目则补充完整之前预测时缺少的信息,然后将其加入连接管理器中;如果不存在该条目则生成该连接对象进行管理。
2.如权利要求1所述的方法,其特征在于所述正常的数据提取审计操作的方法为:
1)提取应用层协议的连接双方衍生会话信息;
2)通过添加接口向预测连接池提交添加预测连接信息;
3)预测连接池记录该预测连接信息。
3.如权利要求1所述的方法,其特征在于所述匹配方法为HASH查找匹配方法。
4.如权利要求1所述的方法,其特征在于所述预测连接池包括查询接口和添加接口。
5.如权利要求4所述的方法,其特征在于所述预测连接池内包含一预测连接哈西表,用于存储已经被预测的连接信息。
6.如权利要求5所述的方法,其特征在于所述预测连接哈西表内每条信息使用将会出现连接的交叉二元组作为哈西关键字对数据进行匹配;所述二元组包括:对端IP、已端端口。
7.如权利要求5所述的方法,其特征在于所述预测连接哈西表具有一超时管理机制,所述超时管理机制的工作方法为:在设定时间内,预测连接哈西表对没有被预测的连接信息到达的相关维护元素进行删除并对该次预测失败的连接进行数据库的记录工作;对有预测成功的的连接进行相关的记录动作。
8.如权利要求5所述的方法,其特征在于所述预测连接池的数据映射在后台数据库中,采用准实时策略分批保存预测连接表及预测结果信息表。
9.如权利要求8所述的方法,其特征在于所述后台数据库的工作方法为:所述预测连接池启动时读入常用协议的保存预测数据,将不常用的协议保存数据只做映射在内存中,之后如有需要再进行分批加载。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810105944XA CN101286903B (zh) | 2008-05-06 | 2008-05-06 | 一种网络审计领域提高会话完整性的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810105944XA CN101286903B (zh) | 2008-05-06 | 2008-05-06 | 一种网络审计领域提高会话完整性的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101286903A CN101286903A (zh) | 2008-10-15 |
| CN101286903B true CN101286903B (zh) | 2010-09-15 |
Family
ID=40058883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810105944XA Active CN101286903B (zh) | 2008-05-06 | 2008-05-06 | 一种网络审计领域提高会话完整性的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101286903B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107592303B (zh) * | 2017-08-28 | 2020-01-03 | 北京明朝万达科技股份有限公司 | 一种高速镜像网络流量中外发文件的提取方法及装置 |
| CN110796336B (zh) * | 2019-09-18 | 2023-09-01 | 广东电网有限责任公司审计中心 | 一种基于数据分析的审计项目实施质量监测方法和设备 |
| CN110796335B (zh) * | 2019-09-18 | 2023-12-22 | 广东电网有限责任公司审计中心 | 一种基于数据分析的审计项目实施质量监测系统和设备 |
| CN112398863A (zh) * | 2020-11-19 | 2021-02-23 | 全知科技(杭州)有限责任公司 | 一种tcp长连接非完整流量的数据分析方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5101402A (en) * | 1988-05-24 | 1992-03-31 | Digital Equipment Corporation | Apparatus and method for realtime monitoring of network sessions in a local area network |
| CN1399742A (zh) * | 1999-06-30 | 2003-02-26 | 倾向探测公司 | 用于监控网络流量的方法和设备 |
| CN1484413A (zh) * | 2002-09-18 | 2004-03-24 | ����ͨѶ�ɷ�����˾ | 一种实现聚合链路流量均衡的方法 |
| CN1905491A (zh) * | 2006-08-11 | 2007-01-31 | 杭州华为三康技术有限公司 | 一种流量统计方法及流量采集器 |
| CN1996876A (zh) * | 2006-06-30 | 2007-07-11 | 深圳市中科新业信息科技发展有限公司 | 分布式审计系统 |
-
2008
- 2008-05-06 CN CN200810105944XA patent/CN101286903B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5101402A (en) * | 1988-05-24 | 1992-03-31 | Digital Equipment Corporation | Apparatus and method for realtime monitoring of network sessions in a local area network |
| CN1399742A (zh) * | 1999-06-30 | 2003-02-26 | 倾向探测公司 | 用于监控网络流量的方法和设备 |
| CN1484413A (zh) * | 2002-09-18 | 2004-03-24 | ����ͨѶ�ɷ�����˾ | 一种实现聚合链路流量均衡的方法 |
| CN1996876A (zh) * | 2006-06-30 | 2007-07-11 | 深圳市中科新业信息科技发展有限公司 | 分布式审计系统 |
| CN1905491A (zh) * | 2006-08-11 | 2007-01-31 | 杭州华为三康技术有限公司 | 一种流量统计方法及流量采集器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101286903A (zh) | 2008-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2020037918A1 (zh) | 基于预测模型的风险控制策略的确定方法及相关装置 | |
| CN109829726B (zh) | 一种基于区块链的药品信息管理方法及系统 | |
| CN103348325A (zh) | 部分数据流的数据丢失监控 | |
| CN110134674A (zh) | 一种货币信贷大数据监测分析系统 | |
| CN106095597B (zh) | 客户端数据处理方法及装置 | |
| CN104346480A (zh) | 信息挖掘方法和装置 | |
| CN106656919B (zh) | 一种基于Telnet协议的会话解析方法及系统 | |
| CN101286903B (zh) | 一种网络审计领域提高会话完整性的方法 | |
| CN104618410B (zh) | 资源推送方法和装置 | |
| WO2022151815A1 (zh) | 一种终端设备的安全状态判断方法及装置 | |
| CN105472412A (zh) | 一种区分智能电视状态的大数据处理方法 | |
| CN106202232A (zh) | 一种停电事件的分析方法及装置 | |
| CN106776973A (zh) | 黑名单数据生成方法和装置 | |
| CN104052737A (zh) | 一种网络数据报文的处理方法及装置 | |
| CN113127307A (zh) | 溯源请求的处理方法、相关装置、系统及存储介质 | |
| CN101827239A (zh) | 海量移动流媒体图像、视频数据存储与跨域资源访问 | |
| CN112910953B (zh) | 业务数据的推送方法、装置和服务器 | |
| CN101321097A (zh) | 基于净荷深度检测的腾讯网络直播业务识别方法 | |
| CN114265957A (zh) | 基于图数据库的多种数据源联合查询方法及系统 | |
| CN104539449B (zh) | 一种故障信息处理方法与相关装置 | |
| CN107085584A (zh) | 一种基于内容的云文档管理方法、系统及服务端 | |
| CN103580951B (zh) | 多个信息系统的输出比较方法、测试迁移辅助方法及系统 | |
| CN101436956B (zh) | 一种数据库操作响应时间测算方法及系统 | |
| CN112529102A (zh) | 特征拓展方法、设备、介质及计算机程序产品 | |
| CN110457897A (zh) | 一种基于通信协议与sql语法的数据库安全检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |