CN102291433A - 一种bbs报文的审计方法及装置 - Google Patents
一种bbs报文的审计方法及装置 Download PDFInfo
- Publication number
- CN102291433A CN102291433A CN2011101874860A CN201110187486A CN102291433A CN 102291433 A CN102291433 A CN 102291433A CN 2011101874860 A CN2011101874860 A CN 2011101874860A CN 201110187486 A CN201110187486 A CN 201110187486A CN 102291433 A CN102291433 A CN 102291433A
- Authority
- CN
- China
- Prior art keywords
- message
- bbs
- audit
- feature
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种BBS报文审计解决方案,应用于网络设备上,用于对BBS报文进行审计。本发明首先定义通用BBS协议特征,据此从流经网络设备的互联网报文中过滤出BBS报文;然后查找所述BBS报文是否存在预定的审计特征,并从存在所述审计特征的报文中提取对应的变量内容加以保存。在此基础上,本发明进一步提供动态加载特征库的设计。本发明可以提高论坛审计的效率,用户使用起来更加方便,并可以有效降低开发人员的工作量。
Description
技术领域
本发明涉及网络应用审计技术,尤其涉及一种BBS报文审计技术。
背景技术
在现有的互联网应用中,BBS应用范围非常广泛。互联网用户往往就感兴趣的话题聚集在BBS站点进行在线的交流。然而对于企业网络应用来说,在考虑员工的工作效率的情况下,同时需要考虑BBS论坛存在的信息安全的隐患,比如泄密以及并病毒与木马的传播等,因而需要对基于BBS协议的报文(以简称为BBS报文,也可称为Post报文,HTTP报文的一种)关键信息进行自动审计。
现有的BBS论坛审计基本处理流程是以通用应用识别引擎检测经过审计设备的网络报文,识别出报文所属的BBS的各个协议(例如天涯论坛协议、猫扑论坛协议等)。然后在协议识别的基础上再对各个协议载荷进行审计特征识别。根据设备配置的各个论坛行为审计策略针对不同的BBS论坛协议及各个协议的审计特征调用相应的处理函数完成审计的操作,将审计结果作为日志信息进行拼接并发送给日志处理模块,系统再将审计日志根据不同类型的业务进行解析和处理,将最终的审计日志存储到设备数据库中,也可将审计日志发送到远程主机,通过解析日志文件将结果反馈给管理员。
请参考图1,现有的BBS论坛审计所支持业务的协议特征是把各个业务分离开来和审计特征都是在平台代码中预先定义好的,当编译好的系统版本运行在设备上时就可以对支持的业务进行审计。当系统版本需要升级,比如需要添加新的论坛审计时,要另行定义一个新的论坛协议,或是对现有审计特征进行修改删除等操作,或是新增审计特征,那么需要修改平台代码并重新编译系统版本,将新的系统版本更新到设备方可完成升级操作。
现有的技术方案在BBS论坛审计升级的时候需要新定义一个论坛协议和相对应的审计特征,并且这个审计特征有大部分是冗余的,无意中增加了好多代码量。而后修改平台代码,重新编译版本,需花费较长时间,设备在版本升级过程中需要重新启动,此过程也需要花费较长的时间,而且在这个过程中设备是不能完成审计功能的。由于BBS论坛的各个业务众多,需要频繁的添加协议和相应的审计特征以及对应的审计代码,这样同样的代码和同样的流程就会重复处理很多次。造成代码冗余量大和设备性能高速下降的缺陷。
同时BBS论坛审计的需求决定了系统需要经常升级以适应经常发生改变的网络协议和新增审计业务,而在某些重要的网络位置或是布置多台审计设备的地方,由于系统升级操作复杂、耗时较长且升级期间审计功能失效,频繁升级所带来的影响是令人难以接受的。此外,开发人员在开发和后期维护过程中必定会频繁调整审计协议和审计特征,每次调整都需要重新编译版本、升级设备系统版本后才可以进行验证,编译和升级所耗费的时间在工作总时间中占很大比例。
发明内容
有鉴于此,本发明旨在提供一种效率更高,用户使用更加方便,有效降低开发工作量的BBS论坛审计解决方案,本发明是通过如下技术方案实现的:
一种BBS报文审计装置,应用于网络设备上,用于对BBS报文进行审计,该装置包括:报文过滤单元、内容提取单元以及存储单元,其中,
所述报文过滤单元,用于根据预设的通用BBS协议特征从流经网络设备的互联网报文中过滤出BBS报文;
所述查找提取单元,用于查找所述BBS报文是否存在预定的审计特征,并从存在所述审计特征的报文中提取对应的变量内容;
所述存储单元,用于将提取到的变量内容作为审计结果保存。
优选地,所述报文过滤单元,用于从流经网络设备的互联网报文中过滤出HTTP报文,然后从所述HTTP报文中过滤出所述BBS报文。
优选地,所述查找提取单元进一步用于从报文中提取Host信息。
优选地,所述查找提取单元进一步用于从报文中提取URL信息,并根据Host信息以及URL信息生成上网用户访问日志。
优选地,还包括特征库处理单元,用于将从外部接收加密的审计特征保存,并在装置初始化的时候将审计特征解密后加载到所述查找提取单元。
优选地,所述查找提取单元用于在在进行变量内容提取之前先将报文内部的Post表单保存,并在提取到相应的变量内容后删除Post表单,或者在发现Post表单中不存在审计特征时继续保存该Post表单。
优选地,所述通用BBS协议特征是HTTP报文中携带的字符特征“POST/”。
本发明还提供一种BBS报文的审计方法,应用于网络设备上,用于对BBS报文进行审计,该装置包括:报文过滤单元、内容提取单元以及存储单元,其中,
A、根据预设的通用BBS协议特征从流经网络设备的互联网报文中过滤出BBS报文;
B、查找所述BBS报文是否存在预定的审计特征,并从存在所述审计特征的报文中提取对应的变量内容;
C、将提取到的变量内容作为审计结果保存。
优选地,所述步骤A包括:从流经网络设备的互联网报文中过滤出HTTP报文,然后从所述HTTP报文中过滤出所述BBS报文。
优选地,还包括:D、从报文中提取Host信息。
优选地,还包括:E、从报文中提取URL信息,并根据Host信息以及URL信息生成上网用户访问日志。
优选地,还包括:F、从外部接收加密的审计特征保存,并在初始化的时候将审计特征解密后加载。
优选地,还包括:G、在进行变量内容提取之前先将报文内部的Post表单保存,并在提取到相应的变量内容后删除Post表单,或者在发现Post表单中不存在审计特征时继续保存该Post表单。
优选地,所述通用BBS协议特征是HTTP报文中携带的字符特征“POST/”。
附图说明
图1是本发明BBS论坛审计方法流程图。
图2是本发明BBS论坛审计装置逻辑结构图。
具体实施方式
本发明可以部署在企业网关这样的网络设备上,作为该设备的一个功能模块,对流经网络设备去往互联网的数据报文进行BBS审计。很显然,本发明也可以部署在其他靠近企业网络出口的网络设备上。此外,本发明也可以部署在其他网络设备上,比如高性能的服务器上,然后通过互联网报文流量旁路的方式,将互联网报文流量镜像到该服务器上进行BBS审计。
请参考图2以及图3,本发明BBS报文审计装置包括报文过滤单元21、查找提取单元22、特征库处理单元23、以及存储单元24本发明一般处理流程包括以下步骤。
步骤101,根据预设的通用BBS协议特征从流经网络设备的互联网报文中过滤出BBS报文;本步骤由报文过滤单元21执行。
流经网络设备的报文组成了各种各样的应用,比如访问网页、访问邮箱、访问论坛、各种下载业务以及多媒体流量等等。对于BBS这样的应用来说,其包含在所有访问互联网的报文中。为了提高审计效率,通常需要将基于BBS这种特定应用的报文过滤出来。
本实施方式提供一种较佳的过滤方法,然而报文的过滤方法不局限于此。由于BBS是基于HTTP协议的一种应用,因此可以先根据HTTP协议特征(典型地,端口80)先过滤出HTTP报文,然而先过滤出HTTP报文这个步骤并不是必须的。然后在HTTP报文中过滤出BBS报文。相较于现有技术针对各个具体BBS论坛协议进行协议匹配过滤。本发明采用通用BBS协议特征进行匹配过滤。请参考以下所附的BBS报文的格式,本发明以报文的报文中含有POST这个通用协议特征字符对报文进行过滤,即用户报文含有POST/这样的特征字样。以下为BBS报文内容的一段:
POST/post.php?HTTP/1.1
Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg,application/x-shockwave-flash,*/*
Referer:http://bbs.cnnb.com.cn/post.php?fid=437
Accept-Language:zh-cn
User-Agent:Mozilla/4.0(compatible;MSIE 8.0;Windows NT 5.1;Trident/4.0)
Content-Type: multipart/form-data;
boundary=---------------------------7da5c364022c
Accept-Encoding:gzip,deflate
Host:bbs.cnnb.com.cn
Content-Length:3037
Connection:Keep-Alive
Cache-Control:no-cache
步骤102,查找所述BBS报文是否存在预定的审计特征,并从包括所述审计特征的报文中提取变量内容;本步骤由查找提取单元22执行;
在识别和过滤出了BBS报文的基础上可以进行变量内容的提取。从具体实现上说,因为一般客户端发出BBS报文都是以Post表单形式进行组织的,可以先从从报文中提取出Post表单保存起来,然后查找Post表单中是否存在审计特征,然后根据审计特征提取相应的变量内容。
审计特征可以为很流行的特定标记Content-Disposition:form-data;name=。比如说:Content-Disposition:form-data;name=″atc_title″表示帖子的主题;再比如说:Content-Disposition:form-data;name=″attachment_1表示帖子所附加的附件。以下是一段报文的内容:
-----------------------------7da5c364022c
Content-Disposition:form-data;name=″atc_title″
.............
-----------------------------7da5c364022c
Content-Disposition:form-data;name=″atc_content″
............................................
-----------------------------7da5c364022c
Content-Disposition:form-data;name=″attachment_1”;filename=″″
上述报文内容中并没有显示出变量的具体内容,比如说主题名称以及发帖或者回帖内容等等,其均位于审计特征之后,具有固定的规律,因此本发明可以依据审计特征与变量内容之间的关系抓取到相应的变量内容加以保存。以上的报文仅仅是示例性的,省略号所代表的就是本发明所要抓取的变量内容,只是采用一般抓包工具时,上述变量内容因为加密等因素无法直接显示出来,然而这并不影响本领域普通技术人员对于本发明的理解。
审计特征同样可以为BBS站点自定义的审计特征。本发明同样可以将这种自定义的审计特征引入加以运用。进一步来说,本发明可以将上述两类审计特征通过加密的方式保存在审计特征库中,与上述的协议的识别的过程分离开来。这样方便用户根据BBS站点自定义特征的变化进行审计特征库升级。因此作为可选的步骤,在步骤101之前还可以包括步骤103。
步骤103,在BBS报文审计装置初始化的时候,升级并加载特征库;本步骤由特征库处理单元23执行。
在系统初始化时,可以由管理员手动或者网络设备通过远程服务器自动进行特征库升级。相应地,服务提供商可以将特征库加密发送给管理员或者放在服务器上供客户下载。特征库处理单元23,用于将从外部接收加密的审计特征保存起来,并将审计特征解密后加载到所述查找提取单元22供其使用。由于本发明将所有审计特征相关信息保存在数据库中并加密为审计特征库,这样一来开发人员在新增或调整审计特征时只需要改动特征数据库,然后将特征数据库加密生成新的审计特征库即可。用户获取新的审计特征库后,在网络设备管理页面上即可完成升级操作,无需重启网络设备去更新系统版本。
如前所述的那样审计特征中还包括了一些BBS站点自定义的个性化的审计特征,这些审计特征可能随时会发生变化(事实上多数BBS站点的审计特征比较稳定)。审计特征的变化可能导致审计装置无法提取到相应的变量内容。考虑到这一因素,由于一些自定义的个性化审计特征变化可能导致变量内容无法提取,本发明查找提取单元22会在Post表单无法从查找到审计特征的情况下,将Post表单保存起来,这样有效地应对了特征变化所产生的不利影响。进一步来说,管理员可以根据保存下来的Post表单发现根据审计结果发现上述审计特征的变化情况,然后利用期升级特征库的辅助设计手动定期升级的方式对特征库进行升级。升级之后,查找提取单元22自然就可以根据新的审计特征提取到对应的变量内容了。
进一步来说,步骤102提取到变量内容之后,可以保存到存储单元24中作为审计结果。然而,在保存之前查找提取单元22还可以执行步骤104以及步骤105。
步骤104,提取BBS报文中的Host信息。
如前述报文内容示例那样,其中Host信息是“bbs.cnnb.com.cn”,提取这些信息可以帮助管理员对BBS站点加以过滤。因为不是所有BBS站点都是管理员所关心的,所以Host信息可以协助管理员对站点进行过滤。
步骤105,提取BBS报文中的URL信息,并根据Host信息以及URL信息生成上网用户访问日志。
网络管理员除了关心Host信息之外,还可能会关心上网用户的访问日志信息,比如说用户访问了哪些站点,哪些站点受到欢迎等等。如前述报文内容示例那样,其中URL信息是“post.php?”。本发明查找提取单元22可以进一步将Host信息以及URL信息拼接起来作为访问日志。比如上述示例报文中的访问日志拼接结果是:http://www.bbs.cnnb.com.cn/post.php?。
本发明采用了通用的BBS报文的识别方法,并将报文识别过滤与审计对象的提取分离。根据各种BBS协议的特征总结出通用协议识别以及审计特征。首先,本发明大大简化了BBS论坛审计的过程,提升了BBS论坛审计的效率;其次,代码的冗余问题得到很好的解决,最后,由于采用独立的审计特征库的设计,更加方便了用户的使用与升级。以上所描述的仅仅是本发明较佳的实现方式,并不用以限定本发明的保护范围,任何等同的变化和修改皆应涵盖在本发明的保护范围之内。
Claims (14)
1.一种BBS报文审计装置,应用于网络设备上,用于对BBS报文进行审计,该装置包括:报文过滤单元、内容提取单元以及存储单元,其特征在于,
所述报文过滤单元,用于根据预设的通用BBS协议特征从流经网络设备的互联网报文中过滤出BBS报文;
所述查找提取单元,用于查找所述BBS报文是否存在预定的审计特征,并从存在所述审计特征的报文中提取对应的变量内容;
所述存储单元,用于将提取到的变量内容作为审计结果保存。
2.如权利要求1所述的装置,其特征在于,所述报文过滤单元,用于从流经网络设备的互联网报文中过滤出HTTP报文,然后从所述HTTP报文中过滤出所述BBS报文。
3.如权利要求1所述的装置,其特征在于,所述查找提取单元进一步用于从报文中提取Host信息。
4.如权利要求3所述的装置,其特征在于,所述查找提取单元进一步用于从报文中提取URL信息,并根据Host信息以及URL信息生成上网用户访问日志。
5.如权利要求1所述的装置,还包括特征库处理单元,用于将从外部接收加密的审计特征保存,并在装置初始化的时候将审计特征解密后加载到所述查找提取单元。
6.如权利要求1所述的装置,所述查找提取单元用于在在进行变量内容提取之前先将报文内部的Post表单保存,并在提取到相应的变量内容后删除Post表单,或者在发现Post表单中不存在审计特征时继续保存该Post表单。
7.如权利要求2所述的装置,其特征在于,所述通用BBS协议特征是HTTP报文中携带的字符特征“POST/”。
8.一种BBS报文的审计方法,应用于网络设备上,用于对BBS报文进行审计,该装置包括:报文过滤单元、内容提取单元以及存储单元,其特征在于,
A、根据预设的通用BBS协议特征从流经网络设备的互联网报文中过滤出BBS报文;
B、查找所述BBS报文是否存在预定的审计特征,并从存在所述审计特征的报文中提取对应的变量内容;
C、将提取到的变量内容作为审计结果保存。
9.如权利要求8所述的方法,其特征在于,所述步骤A包括:从流经网络设备的互联网报文中过滤出HTTP报文,然后从所述HTTP报文中过滤出所述BBS报文。
10.如权利要求8所述的方法,其特征在于,还包括:
D、从报文中提取Host信息。
11.如权利要求10所述的方法,其特征在于,还包括:
E、从报文中提取URL信息,并根据Host信息以及URL信息生成上网用户访问日志。
12.如权利要求8所述的方法,还包括:
F、从外部接收加密的审计特征保存,并在初始化的时候将审计特征解密后加载。
13.如权利要求8所述的方法,还包括:
G、在进行变量内容提取之前先将报文内部的Post表单保存,并在提取到相应的变量内容后删除Post表单,或者在发现Post表单中不存在审计特征时继续保存该Post表单。
14.如权利要求9所述的方法,其特征在于,所述通用BBS协议特征是HTTP报文中携带的字符特征“POST/”。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101874860A CN102291433A (zh) | 2011-07-06 | 2011-07-06 | 一种bbs报文的审计方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101874860A CN102291433A (zh) | 2011-07-06 | 2011-07-06 | 一种bbs报文的审计方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102291433A true CN102291433A (zh) | 2011-12-21 |
Family
ID=45337536
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011101874860A Pending CN102291433A (zh) | 2011-07-06 | 2011-07-06 | 一种bbs报文的审计方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102291433A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991331A (zh) * | 2015-02-16 | 2016-10-05 | 杭州迪普科技有限公司 | 一种论坛审计方法、装置及日志管理装置 |
| CN108847962A (zh) * | 2018-05-30 | 2018-11-20 | 新华三信息安全技术有限公司 | 一种信息审计方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808088A (zh) * | 2010-03-03 | 2010-08-18 | 北京网康科技有限公司 | 一种网络控制设备及其实现方法 |
| CN101841465A (zh) * | 2010-03-08 | 2010-09-22 | 北京网康科技有限公司 | 一种基于信息交互的内容流控系统及其实现方法 |
| CN102098331A (zh) * | 2010-12-29 | 2011-06-15 | 北京锐安科技有限公司 | 一种还原web类应用内容的方法及其系统 |
-
2011
- 2011-07-06 CN CN2011101874860A patent/CN102291433A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808088A (zh) * | 2010-03-03 | 2010-08-18 | 北京网康科技有限公司 | 一种网络控制设备及其实现方法 |
| CN101841465A (zh) * | 2010-03-08 | 2010-09-22 | 北京网康科技有限公司 | 一种基于信息交互的内容流控系统及其实现方法 |
| CN102098331A (zh) * | 2010-12-29 | 2011-06-15 | 北京锐安科技有限公司 | 一种还原web类应用内容的方法及其系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991331A (zh) * | 2015-02-16 | 2016-10-05 | 杭州迪普科技有限公司 | 一种论坛审计方法、装置及日志管理装置 |
| CN108847962A (zh) * | 2018-05-30 | 2018-11-20 | 新华三信息安全技术有限公司 | 一种信息审计方法及装置 |
| CN108847962B (zh) * | 2018-05-30 | 2022-01-07 | 新华三信息安全技术有限公司 | 一种信息审计方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105608134B (zh) | 一种基于多线程的网络爬虫系统及其网页爬取方法 | |
| CN102130847A (zh) | 一种互联网邮件审计方法及装置 | |
| JP6616774B2 (ja) | アンチマルウェア型モバイルコンテンツデータ管理装置及び方法 | |
| CN110334225A (zh) | 一种兼容多算法的分布式人脸基础信息中间库服务的设计方法 | |
| JP5122467B2 (ja) | メタデータを用いるマルチメディアミドルウェア装置とその制御方法及び記憶媒体 | |
| CN109359147B (zh) | 业务组件处理方法、组件服务器和系统 | |
| CN102664967A (zh) | 跨平台的个人信息交互方法和系统及后台服务器 | |
| CN110197085A (zh) | 一种基于fabric联盟链的文档防篡改方法 | |
| CN104199948B (zh) | 一种扫描二维码安装手机软件的方法以及装置 | |
| CN100579122C (zh) | 无线应用协议网关浏览业务cookie的实现方法 | |
| CN104932887B (zh) | 一种平台系统的插件管理方法和平台系统 | |
| CN103118007A (zh) | 一种用户访问行为的获取方法和系统 | |
| CN104951480A (zh) | 一种cdn系统中资源存储的索引装置及方法 | |
| CN104618410B (zh) | 资源推送方法和装置 | |
| CN102262633B (zh) | 一种面向全文检索的结构化数据安全检索方法 | |
| US20140122436A1 (en) | Read access logging | |
| US20140006351A1 (en) | Method, a server, a system and a computer program product for copying data from a source server to a target server | |
| CN101739522B (zh) | Drm文件完整性的保护方法及装置 | |
| CN102404353A (zh) | 终端的内容发布方法及其系统 | |
| CN102291433A (zh) | 一种bbs报文的审计方法及装置 | |
| CN108073630A (zh) | 一种基于动态化配置的业务搜索接入管理方法及系统 | |
| CN105991331A (zh) | 一种论坛审计方法、装置及日志管理装置 | |
| US20100088589A1 (en) | Method and system for detecting original document of web document, method and system for providing history information of web document for the same | |
| JP2010250548A (ja) | ログ出力装置 | |
| US20150286808A1 (en) | Marked image file security system and process |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20111221 |