CN101778011B - 监视网络计算机终端通过互联网外传数据的方法 - Google Patents
监视网络计算机终端通过互联网外传数据的方法 Download PDFInfo
- Publication number
- CN101778011B CN101778011B CN200910217558A CN200910217558A CN101778011B CN 101778011 B CN101778011 B CN 101778011B CN 200910217558 A CN200910217558 A CN 200910217558A CN 200910217558 A CN200910217558 A CN 200910217558A CN 101778011 B CN101778011 B CN 101778011B
- Authority
- CN
- China
- Prior art keywords
- data message
- data
- internet
- outflow
- network terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
提供监视网络计算机终端通过互联网外传数据的方法,如果用户的网络计算机上被加载了窃取宿主网络计算机信息的程序,则使所述用户能够在第一时间发现其网络计算机上已经加载了窃取信息的程序,从而降低互联网用户的损失。
Description
技术领域
本发明涉及通信技术领域,特别是监视网络计算机终端通过互联网外传数据的方法。
背景技术
在目前的通信领域,特别是互联网的发展给网络计算机用户提供了浏览互联网网页、搜索、互联网通信等便捷的信息服务,缺陷是:如果用户在自己的网络计算机上加载或浏览了具有窃取宿主信息或文件功能的程序,则所述用户的网络计算机上存储的文件或所述用户在其计算机上的操作被窃取,但用户无从察觉。
如果用户的网络计算机上被加载了窃取宿主网络计算机信息的程序,使所述用户能够在第一时间发现其网络计算机上已经加载了窃取信息的程序,则会降低互联网用户的损失。因此,向互联网用户提供监视其互联网计算机终端通过互联网外传数据的方法,是技术人员所面临的科研课题,也是计算机互联网网络上需要尽快提供的服务项目。
目前尚未检索到有关互联网计算机终端外传数据监视的相关专利文献。
发明内容
本发明的目的在于提供监视网络计算机终端通过互联网外传数据的方法,以在互联网上为互联网用户提供监视其互联网计算机终端外传数据的服务。
本发明的系列技术方案如下:
一种监视网络计算机终端通过互联网外传数据的流入匹配方法,其特征在于,包括以下步骤:
A.实时采集用户网络计算机终端底层网络接口流出与流入的数据报文;
B.根据每条流入数据报文中的源关键字段的值在流出数据报文记录的目的关键字段中检索与所述源关键字段的值相同的流出数据报文;
C.按照设定时间区间进行统计,对于没有匹配的流出数据报文,发出告警信息;
D.按照设定时间区间计算流出到相同目的地址的数据报文携带的数据量,对于非用户发起的上传数据操作,发出告警信息;
E.对于未经域名解析操作而直接到IP目的地址的流出数据报文,发出告警信息。
所述步骤B中所述流出数据报文是指从网络接口发送出去的IP数据包;所述流入数据报文是指从网络接口接收到的IP数据包。
所述步骤B中所述源关键字段是指源IP地址和端口号,所述目的关键字段是指目的IP地址和端口号。
所述步骤C中所述告警信息包括流出的数据与目的IP地址的域名。
一种监视网络计算机终端通过互联网外传数据的流出匹配方法,其特征在于,包括以下步骤:
a.实时采集用户网络计算机终端底层网络接口流出与流入的数据报文;
b.对于每条流出数据报文,根据发生时间,在所述发生时间之后的指定时间段内采集到的流入数据报文记录中检索源关键字段的值与所述流出报文的目的关键字段的值相同的流入数据报文;
c.对于没有匹配的流出数据报文,发出告警信息;
d.按照设定时间区间计算流出到相同目的地址的数据报文携带的数据量,对于非用户发起的上传数据操作,发出告警信息;
e.对于未经域名解析操作而直接到IP目的地址的流出数据报文,发出告警信息。
所述步骤b中所述源关键字段是指源IP地址和端口号,所述目的关键字是指目的IP地址和端口号。
一种监视网络计算机终端通过互联网外传数据的综合匹配方法,其特征在于,包括以下步骤:
(A).实时采集用户网络计算机终端底层网络接口流出与流入的数据报文;
(B).逐条对流出数据报文或流入数据报文进行解析和行为分析,按照时间顺序生成经所述计算机网络接口的IP数据包所含报文的行为分析记录;
(C).从所述分析记录中筛选出可疑数据报文,包括流出数据报文和流入报文,生成可疑数据报文记录。
所述步骤(B)中的行为分析是指把数据报文中所包含的应用协议及协议中规定的操作按照协议进行描述。
所述步骤(C)中的可疑数据报文是指报文中远端互联网计算机的IP地址的域名不存在,或报文中远端互联网计算机的IP地址的域名是已被发现曾被用于窃取互联网计算机用户的信息。
一种监视网络计算机终端通过互联网外传数据的列表方法,其特征在于,包括以下步骤:
(a).实时采集用户网络计算机终端底层网络接口流出与流入的数据报文;
(b).逐条对流出数据报文和流入数据报文进行匹配,按照时间顺序生成匹配数据报文摘要列表的记录;
(c).对于没有匹配的数据报文,生成非匹配数据报文摘要的列表记录。
本发明的效果是:如果用户的网络计算机上被加载了窃取宿主网络计算机信息的程序,则使所述用户能够在第一时间发现其网络计算机上已经加载了窃取信息的程序,从而降低互联网用户的损失。
附图说明
图1是监视网络计算机终端通过互联网外传数据的系统结构图。
图2是监视网络计算机终端通过互联网外传数据的IP数据包结构图。
图3是实施例一的网络计算机终端通过互联网外传数据的监视设备连接图。
具体实施方式
参阅图1,图1是监视网络计算机终端通过互联网外传数据的系统结构图,其中,网络计算机终端100与通过网络连接线与互联网互连。
一种监视网络计算机终端通过互联网外传数据的流入匹配方法,包括以下步骤:
A.实时采集用户网络计算机终端100底层网络接口流出与流入的数据报文;
B.根据每条流入数据报文中的源关键字段的值在流出数据报文记录的目的关键字段中检索与所述源关键字段的值相同的流出数据报文;
C.按照设定时间区间进行统计,对于没有匹配的流出数据报文,发出告警信息;
D.按照设定时间区间计算流出到相同目的地址的数据报文携带的数据量,对于非用户发起的上传数据操作,发出告警信息;
E.对于未经域名解析操作而直接到IP目的地址的流出数据报文,发出告警信息。
所述步骤B中所述流出数据报文是指从网络接口发送出去的IP数据包;所述流入数据报文是指从网络接口接收到的IP数据包。
所述步骤B中所述源关键字段是指源IP地址和端口号,所述目的关键字是指目的IP地址和端口号。
所述步骤C中所述告警信息包括流出的数据与目的IP地址的域名。
如图2,图2是监视网络计算机终端通过互联网外传数据的IP数据包结构图。IP数据包结构包括以下内容:
版本:用于传输数据的IP版本,大小为4位;
头部长度:用于规定报头长度;
服务类型:用于设置数据传输的优先权或者优先级,其大小为8位;
总长度:指出数据报的总长,数据报总长=报头长度+数据长度,大小为16位;
标识:用于标识所有的分段,大小为16位;
分段标志:确定一个数据报是否可以分段,同时也指出当前分段后面是否还有更多分段,大小为3位;
分段偏移量:由目标计算机用于查找分段在整个数据报中的位置,大小位13位;
生存时间:设置数据报可以经过的最多路由器数。长度为8位;
协议:指定用于创建数据字段中的数据的上层协议,大小为8位;
校验和:检查所传输数据的完整性,大小为16位;
源地址:源IP地址,字段长度为32位;
目标地址:目标IP地址,字段长度为32位;
选项:不上一个必须的字段,字段长度具体取决于所选择的IP选项;
数据:包含网络中传输的数据,IP数据报还包括上层协议的报头信息。
一种监视网络计算机终端通过互联网外传数据的流出匹配方法,包括以下步骤:
a.实时采集用户网络计算机终端100底层网络接口流出与流入的数据报文;
b.对于每条流出数据报文,根据发生时间,在所述发生时间之后的指定时间段内采集到的流入数据报文记录中检索源关键字段的值与所述流出报文的目的关键字段的值相同的流入数据报文;
c.对于没有匹配的流出数据报文,发出告警信息;
d.按照设定时间区间计算流出到相同目的地址的数据报文携带的数据量,对于非用户发起的上传数据操作,发出告警信息;
e.对于未经域名解析操作而直接到IP目的地址的流出数据报文,发出告警信息。
所述步骤b中所述源关键字段是指源IP地址和端口号,所述目的关键字段是指目的IP地址和端口号。
一种监视网络计算机终端通过互联网外传数据的综合匹配方法,包括以下步骤:
(A).实时采集用户网络计算机终端100底层网络接口流出与流入的数据报文;
(B).逐条对流出数据报文或流入数据报文进行解析和行为分析,按照时间顺序生成经所述计算机网络接口的IP数据包所含报文的行为分析记录;
(C).从所述分析记录中筛选出可疑数据报文,包括流出数据报文和流入报文,生成可疑数据报文记录。
所述步骤(B)中的行为分析是指把数据报文中所包含的应用协议及协议中规定的操作按照协议进行描述。
所述步骤(C)中的可疑数据报文是指报文中远端互联网计算机的IP地址的域名不存在,或报文中远端互联网计算机的IP地址的域名是已被发现曾被用于窃取互联网计算机用户的信息。
一种监视网络计算机终端通过互联网外传数据的列表方法,包括以下步骤:
(a).实时采集用户网络计算机终端底层网络接口流出与流入的数据报文;
(b).逐条对流出数据报文和流入数据报文进行匹配,按照时间顺序生成匹配数据报文摘要列表的记录;
(c).对于没有匹配的数据报文,生成非匹配数据报文摘要的列表记录。
所述步骤(b)中,所述记录是指按照时间顺序排列的、所有匹配出的每对数据报文的操作描述的数据库记录。
为了便于进一步理解本发明,下面结合具体实施例进行详细描述。
一种典型的实施例是通过在互联网计算机终端中加载能够执行按照监视网络计算机终端通过互联网外传数据的方法编写的软件程序,就能够为互联网用户提供外传数据的监视服务。
也存在不增加互联网计算机终端的CPU和存储资源的实施例,参阅图3,图3是实施例一的网络计算机终端通过互联网外传数据的监视设备连接图,其中,
网络计算机终端100通过监视设备110连接互联网,监视设备110由能够执行按照监视网络计算机终端通过互联网外传数据的方法编写的软件程序的一种计算机装置,由显示器、两个网络接口、存储器等构成。
以上所述的实施例子仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进、组合和润饰,这些改进、组合和润饰也应视为本发明的保护范围。
Claims (6)
1.一种监视网络计算机终端通过互联网外传数据的流入匹配方法,其特征在于,包括以下步骤:
A.实时采集用户网络计算机终端底层网络接口流出与流入的数据报文;
B.根据每条流入数据报文中的源关键字段的值在流出数据报文记录的目的关键字段中检索与所述源关键字段的值相同的流出数据报文;
C.按照设定时间区间进行统计,对于没有匹配的流出数据报文,发出告警信息;
D.按照设定时间区间计算流出到相同目的地址的数据报文携带的数据量,对于非用户发起的上传数据操作,发出告警信息;
E.对于未经域名解析操作而直接到IP目的地址的流出数据报文,发出告警信息。
2.根据权利要求1所述的监视网络计算机终端通过互联网外传数据的流入匹配方法,其特征在于,所述步骤B中所述流出数据报文是指从网络接口发送出去的IP数据包;所述流入数据报文是指从网络接口接收到的IP数据包。
3.根据权利要求1所述的监视网络计算机终端通过互联网外传数据的流入匹配方法,其特征在于,所述步骤B中所述源关键字段是指源IP地址和端口号,所述目的关键字段是指目的IP地址和端口号。
4.根据权利要求1所述的监视网络计算机终端通过互联网外传数据的流入匹配方法,其特征在于,所述步骤C中所述告警信息包括流出的数据与目的IP地址的域名。
5.一种监视网络计算机终端通过互联网外传数据的流出匹配方法,其特征在于,包括以下步骤:
a.实时采集用户网络计算机终端底层网络接口流出与流入的数据报文;
b.对于每条流出数据报文,根据发生时间,在所述发生时间之后的指定时间段内采集到的流入数据报文记录中检索源关键字段的值与所述流出报文的目的关键字段的值相同的流入数据报文;
c.对于没有匹配的流出数据报文,发出告警信息;
d.按照设定时间区间计算流出到相同目的地址的数据报文携带的数据量,对于非用户发起的上传数据操作,发出告警信息;
e.对于未经域名解析操作而直接到IP目的地址的流出数据报文,发出告警信息。
6.根据权利要求5所述的监视网络计算机终端通过互联网外传数据的流出匹配方法,其特征在于,所述步骤b中所述源关键字段是指源IP地址和端口号,所述目的关键字段是指目的IP地址和端口号。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910217558A CN101778011B (zh) | 2009-12-31 | 2009-12-31 | 监视网络计算机终端通过互联网外传数据的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910217558A CN101778011B (zh) | 2009-12-31 | 2009-12-31 | 监视网络计算机终端通过互联网外传数据的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101778011A CN101778011A (zh) | 2010-07-14 |
CN101778011B true CN101778011B (zh) | 2012-10-10 |
Family
ID=42514345
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910217558A Ceased CN101778011B (zh) | 2009-12-31 | 2009-12-31 | 监视网络计算机终端通过互联网外传数据的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101778011B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1697404A (zh) * | 2005-06-10 | 2005-11-16 | 广东省电信有限公司研究院 | 一种交互式的网络蠕虫检测系统和方法 |
EP1881642A1 (en) * | 2006-07-19 | 2008-01-23 | Nokia Siemens Networks Gmbh & Co. Kg | Monitoring network information |
CN101192999A (zh) * | 2006-11-20 | 2008-06-04 | 中兴通讯股份有限公司 | 一种基于网络处理器的pppoe断流检测方法 |
CN101399711A (zh) * | 2007-09-28 | 2009-04-01 | 冲电气工业株式会社 | 网络监视装置以及网络监视方法 |
-
2009
- 2009-12-31 CN CN200910217558A patent/CN101778011B/zh not_active Ceased
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1697404A (zh) * | 2005-06-10 | 2005-11-16 | 广东省电信有限公司研究院 | 一种交互式的网络蠕虫检测系统和方法 |
EP1881642A1 (en) * | 2006-07-19 | 2008-01-23 | Nokia Siemens Networks Gmbh & Co. Kg | Monitoring network information |
CN101192999A (zh) * | 2006-11-20 | 2008-06-04 | 中兴通讯股份有限公司 | 一种基于网络处理器的pppoe断流检测方法 |
CN101399711A (zh) * | 2007-09-28 | 2009-04-01 | 冲电气工业株式会社 | 网络监视装置以及网络监视方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101778011A (zh) | 2010-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10795992B2 (en) | Self-adaptive application programming interface level security monitoring | |
US20200052983A1 (en) | Data leakage protection in cloud applications | |
US10404556B2 (en) | Methods and computer program products for correlation analysis of network traffic in a network device | |
US20190028508A1 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
US20210385251A1 (en) | System and methods for integrating datasets and automating transformation workflows using a distributed computational graph | |
US10659486B2 (en) | Universal link to extract and classify log data | |
CN107534690A (zh) | 采集域名系统流量 | |
CN110198248B (zh) | 检测ip地址的方法和装置 | |
CN104219230B (zh) | 识别恶意网站的方法及装置 | |
US20120331126A1 (en) | Distributed collection and intelligent management of communication and transaction data for analysis and visualization | |
CN106534146A (zh) | 一种安全监测系统及方法 | |
CN110311927B (zh) | 数据处理方法及其装置、电子设备和介质 | |
WO2020155508A1 (zh) | 可疑用户筛选方法、装置、计算机设备及存储介质 | |
CN104639391A (zh) | 一种生成网络流量记录的方法及相应的流量检测设备 | |
CN108073693A (zh) | 一种基于Hadoop的分布式网络爬虫系统 | |
US11038803B2 (en) | Correlating network level and application level traffic | |
WO2015123990A1 (zh) | 一种页面推送方法、装置、服务器和系统 | |
WO2021012554A1 (zh) | 区块链中数据字段的更新方法、装置、介质、电子设备 | |
CN101778011B (zh) | 监视网络计算机终端通过互联网外传数据的方法 | |
Chen et al. | Big data generation and acquisition | |
Lee et al. | Flowtag: a collaborative attack-analysis, reporting, and sharing tool for security researchers | |
US20130205015A1 (en) | Method and Device for Analyzing Data Intercepted on an IP Network in order to Monitor the Activity of Users on a Website | |
US20110265184A1 (en) | Security monitoring method, security monitoring system and security monitoring program | |
CN112073258B (zh) | 一种识别用户的方法及电子设备、存储介质 | |
TWI665578B (zh) | 軟體連線之管理系統及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C35 | Partial or whole invalidation of patent or utility model | ||
IW01 | Full invalidation of patent right |
Decision date of declaring invalidation: 20141031 Decision number of declaring invalidation: 24265 Granted publication date: 20121010 |