CN102932202B - 审计外发信息的方法及装置 - Google Patents
审计外发信息的方法及装置 Download PDFInfo
- Publication number
- CN102932202B CN102932202B CN201210413912.2A CN201210413912A CN102932202B CN 102932202 B CN102932202 B CN 102932202B CN 201210413912 A CN201210413912 A CN 201210413912A CN 102932202 B CN102932202 B CN 102932202B
- Authority
- CN
- China
- Prior art keywords
- message
- outgoing messages
- carrying
- unit
- audit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种审计外发信息的方法及装置,包括:窥探承载外发信息的报文并存储到外发信息单元;根据报文的应用协议的特征,获取承载外发信息的最后一个报文的报文标识并记录在外发信息单元中;若报文中包括预设的非法信息,为外发信息单元添加阻断标记;根据承载外发信息的最后一个报文的报文标识,从报文中获得承载外发信息的最后一个报文;若存储承载外发信息的最后一个报文的外发信息单元包括阻断标记,丢弃承载外发信息的最后一个报文;根据报文,还原并审计所述外发信息。从而实现对外发信息的完整审计。
Description
技术领域
本发明涉及一种网络通信技术,尤其涉及一种审计外发信息的方法及装置。
背景技术
互联网的高速发展使得互联网已经渗透到社会生活的每一个角落,成为人们学习、生活、工作不可缺少的工具,也为企业高效运营提供了基础平台。但是互联网给我们带来诸多便利的同时,也给企业带来诸多负面问题,如企业员工工作效率低下,敏感信息泄露等问题。因此,企业会对员工进行上网行为管理,通常要求当内网用户外发的信息中包含有非法信息时,能够有效阻止其外发,并且能够有效审计内网用户外发信息的所有内容。
现有技术中,当内网用户外发信息时,网关会对承载外发信息的报文进行窥探、分析,如果承载外发信息的所有报文均不包含非法信息,则网关对上述报文进行还原,获得该外发信息的标题和内容,并对该外发信息的标题和内容进行审计;如果发现某个承载外发信息的报文中包含有非法信息,则将该报文丢弃,不允许转发,中断外发信息传输过程。
采用上述现有的外发信息审计方法,当外发信息内容很长时,外发信息会分散于多个报文中进行承载和传输,当网关检测到其中某个报文包含非法信息时,就会将该报文丢弃,导致外发信息传输过程中断,因此,网关设备无法窥探到承载外发信息的所有报文,从而无法完整地还原出外发信息的标题以及内容,无法对外发信息进行完整审计。
发明内容
本发明提供一种审计外发信息的方法及装置,用以解决现有技术中的无法对外发信息进行完整审计的问题。
本发明提供的审计外发信息的方法,包括:
窥探承载外发信息的至少一个报文并存储到外发信息单元;
根据所述至少一个报文的应用协议的特征,获取承载所述外发信息的最后一个报文的报文标识并记录在所述外发信息单元中;
若所述至少一个报文中包括预设的非法信息,为所述外发信息单元添加阻断标记;
根据所述承载所述外发信息的最后一个报文的报文标识,从所述至少一个报文中获得承载所述外发信息的最后一个报文;
若存储所述承载所述外发信息的最后一个报文的所述外发信息单元包括阻断标记,丢弃所述承载所述外发信息的最后一个报文;
根据所述至少一个报文,还原并审计所述外发信息。
本发明提供的审计外发信息的装置,包括:
窥探单元,用于窥探承载外发信息的至少一个报文;
外发信息单元,用于存储所述至少一个报文;
第一控制单元,用于根据所述至少一个报文的应用协议的特征,获取承载所述外发信息的最后一个报文的报文标识并记录在所述外发信息单元中;
第二控制单元,用于在所述至少一个报文中包括预设的非法信息时,为所述外发信息单元添加阻断标记;
检测单元,用于根据所述承载所述外发信息的最后一个报文的报文标识,从所述至少一个报文中获得承载所述外发信息的最后一个报文;
阻断单元,用于在存储所述承载所述外发信息的最后一个报文的所述外发信息单元包括阻断标记时,丢弃所述承载所述外发信息的最后一个报文;
审计单元,用于根据所述至少一个报文,还原并审计所述外发信息。
由上述技术方案可知,本发明提供的审计外发信息的方法及装置,通过窥探承载外发信息的至少一个报文并存储到外发信息单元,然后根据至少一个报文的应用协议特征,获取承载外发信息的最后一个报文的报文标识,记录在外发信息单元中,判断至少一个报文中是否包括预设的非法信息,如果是,为外发信息单元添加阻断标记,并根据承载外发信息的最后一个报文的报文标识,从至少一个报文中获得承载外发信息的最后一个报文,并丢弃承载外发信息的最后一个报文,根据至少一个报文,还原并审计外发信息,如果不是,转发承载外发信息的至少一个报文。从而实现了对外发信息的完整审计。
附图说明
图1为本发明实施例一的审计外发信息的方法的流程图;
图2为本发明实施例二的审计外发信息的方法的流程图;
图3为本发明实施例三的审计外发信息的装置的结构示意图;
图4为本发明实施例四的审计外发信息的装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例一的审计外发信息的方法的流程图。上述审计外发信息的方法在具体实现的过程中可以通过审计外发信息的装置来执行。如图1所示,本发明实施例一提供的审计外发信息的方法具体包括:
步骤101、窥探承载外发信息的至少一个报文并存储到外发信息单元。
步骤102、根据至少一个报文的应用协议的特征,获取承载外发信息的最后一个报文的报文标识并记录在外发信息单元中。
在本步骤中,外发信息单元具体用于存储承载外发信息的至少一个报文、并记录承载外发信息的最后一个报文的报文标识和阻断标记,具体地,一个数据流对应一个外发信息单元,上述承载外发信息的至少一个报文属于一条数据流。在对外发信息进行审计时,审计外发信息的装置针对一个数据流进行审计,并记录在该数据流对应的外发信息单元中。
步骤103、若至少一个报文中包括预设的非法信息,为外发信息单元添加阻断标记。
步骤104、根据承载外发信息的最后一个报文的报文标识,从至少一个报文中获得承载外发信息的最后一个报文。
步骤105、若存储承载外发信息的最后一个报文的外发信息单元包括阻断标记,丢弃承载外发信息的最后一个报文。
具体地,在本步骤中,若上述外发信息单元包括阻断标记,则丢弃承载外发信息的最后一个报文,由于承载该外发信息的至少一个报文的最后一个报文被丢弃,因此该外发信息是不完整的,无法被转发出去,外网服务器就不能接收到该外发信息,即,实现了对包括非法信息的外发信息的阻断,同时,由于外发信息单元中存储了承载该外发信息的至少一个报文,因而可以实现对外发信息的完整审计。
步骤106、根据至少一个报文,还原并审计外发信息。
本发明实施例一提供的审计外发信息的方法,通过窥探承载外发信息的至少一个报文并存储到外发信息单元,然后根据至少一个报文的应用协议特征,获取承载外发信息的最后一个报文的报文标识,记录在外发信息单元中,判断至少一个报文中是否包括预设的非法信息,如果是,为外发信息单元添加阻断标记,并根据承载外发信息的最后一个报文的报文标识,从至少一个报文中获得承载外发信息的最后一个报文,并丢弃承载外发信息的最后一个报文,根据至少一个报文,还原并审计外发信息,如果不是,转发承载外发信息的至少一个报文。从而实现了对外发信息的完整审计。
图2为本发明实施例二的审计外发信息的方法的流程图。如图2所示,本发明实施例二提供的审计外发信息的方法包括以下过程。
步骤201、审计外发信息的装置窥探承载外发信息的至少一个报文。
步骤202、审计外发信息的装置判断报文的类型属于第一类报文类型或第二类报文类型。
在本步骤中,审计外发信息的装置根据预设的审计规则,将上述至少一个报文划分为审计类报文和非审计类报文。具体地,该预设的审计规则可以为:根据报文的类型确定是否需要审计该报文,将各种报文类型划分为第一类报文类型和第二类报文类型,其中,若第一类报文类型的报文为非审计类报文,对非审计类报文不进行审计,第二类报文类型的报文为审计类报文,对审计类报文进行审计。在本步骤中,根据上述预设的审计规则,审计外发信息的装置对上述窥探到的承载外发信息的至少一个报文的协议类型逐一判断,判断所述报文的类型属于第一类报文类型或第二类报文类型,一种具体的实施方式为,第一类报文类型包括:路由协议类型等;第二类报文类型包括:超文本传送协议(Hypertext Transport Protocol,简称HTTP协议)类型等。
如果上述报文的类型属于第一类报文类型,执行步骤211。如果上述报文的类型属于第二类报文类型,执行步骤203。
步骤211、审计外发信息的装置将报文划分为非审计类报文。
在步骤211后,执行步骤212。
步骤212、审计外发信息的装置转发承载外发信息的至少一个报文中的非审计类报文。
非审计类报文由审计外发信息的装置直接进行转发,不需要进行后续的步骤。
步骤203、审计外发信息的装置将报文划分为审计类报文。
在步骤203之后,执行步骤204。
步骤204、审计外发信息的装置将至少一个报文中的审计类报文存储到外发信息单元。
步骤205、审计外发信息的装置根据至少一个报文中的审计类报文的应用协议的特征,获取承载外发信息的最后一个报文的报文标识。
步骤206、若至少一个报文中的审计类报文包括预设的非法信息,审计外发信息的装置为外发信息单元添加阻断标记。
步骤207、审计外发信息的装置根据承载外发信息的最后一个报文的报文标识,从至少一个报文中的审计类报文中获得承载外发信息的最后一个报文。
步骤208、审计外发信息的装置判断存储承载外发信息的最后一个报文的外发信息单元是否包括阻断标记。
如果判断结果为否,执行步骤213。如果判断结果为是,执行步骤209。
步骤213、审计外发信息的装置转发承载外发信息的至少一个报文中的审计类报文。
步骤209、审计外发信息的装置丢弃承载外发信息的最后一个报文,并向发送方发送复位信息,以使发送方终止数据传输。
步骤209之后,执行步骤210。
步骤210、审计外发信息的装置根据至少一个报文中的审计类报文,还原并审计外发信息。
为了使上述审计外发信息的方法更具体,下面将以论坛发帖为例,对上述审计外发信息的方法做进一步具体的说明。
当我们在浏览器上编辑完帖子标题及帖子内容后,点击“发表”,浏览器会按照该论坛特定的数据格式对帖子标题和帖子内容进行封装,然后通过HTTP上传协议将封装好的帖子数据提交到论坛服务器,最终完成整个帖子的发表过程。在本发明实施例中,预设当论坛发帖的内容中包括“法轮功”字样时为非法信息。网关设备窥探承载外发信息的所有报文,并判断报文是否属于非论坛发帖的报文,如果是,直接转发出去,如果不是,进行下一步处理。
当网关设备检测到HTTP上传报文时,会根据传输控制协议(TransmissionControl Protocol,简称TCP协议)规定的算法,即,HTTP上传报文的TCP序列号加上HTTP头部中标记的内容长度,再加上HTTP头部的长度,就等于该HTTP上传报文最后一个报文的下一个TCP序列号值的终值。然后将该TCP序列号值终值记录在该HTTP上传报文对应的外发信息单元中。例如,假设HTTP上传报文的TCP序列号为100,HTTP头部中标记的内容长度字段值为3000,并且HTTP头部信息长度为300,则终值为100+3000+300=3400。
接着,网关设备对所有的报文进行分析、扫描,如果报文中包括预设的非法信息“法轮功”字样,则标记该报文对应的外发信息单元为需要阻断。网关设备对所有的报文进行分析、扫描,当报文的TCP序列号等于该外发信息单元终值减去该报文的有效长度,则该报文为该HTTP上传报文对应的最后一个报文。此时,网关设备需要判断该外发信息单元是否包括阻断标记,如果不包括阻断标记,网关设备转发该报文;如果包括阻断标记,网关设备丢弃承载外发信息的最后一个报文,并向内网计算机发送TCP复位报文(TCP-RST)来复位该TCP外发信息单元,以使内网计算机终止数据传输。最后,网关设备可以对所有论坛发帖的报文进行还原、审计。
本实施例提供的审计外发信息的方法,根据报文的应用协议特征定位出承载外发信息的最后一个报文的报文特征并记录在对应的外发信息单元中,对报文进行分析、扫描,当发现该报文包含非法信息时,对该报文对应的外发信息单元进行标记,当根据该报文特征对报文进行检测,检测到承载外发信息的最后一个报文时,判断该外发信息单元是否包括阻断标记,如果包括阻断标记,丢弃承载外发信息的最后一个报文,如果不包括阻断标记,转发承载外发信息的报文。从而实现对外发信息的完整审计。
图3为本发明实施例三的审计外发信息的装置的结构示意图。如图3所示,在本发明实施例提供的审计外发信息的装置中,包括:窥探单元11、外发信息单元12、第一控制单元13、第二控制单元14、检测单元15、阻断单元16、审计单元17。
窥探单元11,用于窥探承载外发信息的至少一个报文;
外发信息单元12,用于存储至少一个报文;
第一控制单元13,用于根据至少一个报文的应用协议的特征,获取承载外发信息的最后一个报文的报文标识并记录在外发信息单元中;
第二控制单元14,用于在至少一个报文中包括预设的非法信息时,为外发信息单元添加阻断标记;
检测单元15,用于根据承载外发信息的最后一个报文的报文标识,从至少一个报文中获得承载外发信息的最后一个报文;
阻断单元16,用于在存储承载外发信息的最后一个报文的外发信息单元包括阻断标记时,丢弃承载外发信息的最后一个报文;
审计单元17,用于根据至少一个报文,还原并审计外发信息。
具体地,外发信息单元12与窥探单元11连接,窥探单元11窥探承载外发信息的至少一个报文,存储到外发信息单元12。第一控制单元13与外发信息单元12连接,并根据至少一个报文的应用协议特征,获取承载外发信息的最后一个报文的报文标识,记录在外发信息单元12中。第二控制单元14与第一控制单元13连接,同时与外发信息单元12连接,在第一控制单元13将承载外发信息的最后一个报文的报文标识记录在外发信息单元12后,第二控制单元14对至少一个报文进行检测,若至少一个报文中包括预设的非法信息时,由第二控制单元14为外发信息单元12添加阻断标记。检测单元15设置在第二控制单元14之后,并与外发信息单元12连接,检测单元15根据存储在外发信息单元12中的、承载外发信息的最后一个报文的报文标识,从至少一个报文中获得承载外发信息的最后一个报文。阻断单元16设置在检测单元15之后,并与外发信息单元12连接,检测单元15检测到承载外发信息的最后一个报文时,判断该承载外发信息的至少一个报文对应的外发信息单元12是否包括阻断标记,如果包括阻断标记,丢弃承载外发信息的最后一个报文,如果不包括阻断标记,转发该最后一个报文。阻断单元之后连接审计单元17,并与外发信息单元12连接,审计单元17根据存储在外发信息单元12中的至少一个报文,还原并审计外发信息。
本发明实施例提供的审计外发信息的装置通过各模块单元的配合连接,将承载外发信息的至少一个报文、承载外发信息的最后一个报文的报文标识记录在该外发信息对应的外发信息单元12中,以及当承载外发信息的至少一个报文中包括非法信息时,为该外发信息对应的外发信息单元12添加阻断标记,并通过丢弃包括阻断标记的承载外发信息的最后一个报文对包括非法信息的外发信息进行阻断,同时,由于承载外发信息的至少一个报文记录在外发信息单元12中,因而可以实现对外发信息的完整审计。
图4为本发明实施例四提供的审计外发信息的装置的结构示意图。如图4所示,在本发明实施例三的技术方案的基础上,在本发明实施例提供的审计外发信息的装置中,阻断单元16还用于在存储承载外发信息的最后一个报文的外发信息单元12包括阻断标记时,向发送方发送复位信息,以使发送方终止数据传输。
在上述技术方案的基础上,在本发明实施例提供的审计外发信息的装置中,阻断单元16还用于在存储承载外发信息的最后一个报文的外发信息单元12不包括阻断标记时,转发承载外发信息的至少一个报文。
在上述技术方案的基础上,本发明实施例提供的审计外发信息的装置还可以包括:
分类单元18,用于根据预设的审计规则,将至少一个报文划分为审计类报文和非审计类报文;
相应地,阻断单元16还用于转发至少一个报文中的非审计类报文,在存储承载外发信息的最后一个报文的外发信息单元12不包括阻断标记时,转发承载外发信息的至少一个报文中的审计类报文;
外发信息单元12具体用于存储至少一个报文中的审计类报文;
第一控制单元13具体用于根据至少一个报文中的审计类报文的应用协议特征,获取承载外发信息的最后一个报文的报文标识并记录在外发信息单元12中;
第二控制单元14具体用于在至少一个报文中的审计类报文中包括预设的非法信息时,为外发信息单元12添加阻断标记;
检测单元15具体用于根据承载外发信息的最后一个报文的报文标识,从至少一个报文中的审计类报文中获得承载外发信息的最后一个报文;
审计单元17具体用于根据至少一个报文中的审计类报文,还原并审计外发信息。
在上述技术方案的基础上,在本发明实施例提供的审计外发信息的装置中,分类单元18具体用于根据预设的审计规则,判断报文的类型属于第一类报文类型或第二类报文类型,若报文的类型属于第一类报文类型,将报文划分为非审计类报文,若报文的类型属于第二类报文,将报文划分为审计类报文。
具体地,分类单元18根据报文的协议类型,将报文划分为审计类报文和非审计类报文,非审计类报文由阻断单元16进行转发,审计类报文由外发信息单元12存储,第一控制单元13获取承载外发信息的审计类报文的最后一个报文的报文标识,并记录在承载外发信息的至少一个报文对应的外发信息单元12中,第二控制单元14对承载外发信息的至少一个报文中的审计类报文进行检测,如果至少一个报文中的审计类报文中包括预设的非法信息,为对应的外发信息单元12添加阻断标记,然后由检测单元15根据存储在外发信息单元12中的、承载外发信息的至少一个报文中的审计类报文的最后一个报文的报文标识,判断该报文是否是承载外发信息的最后一个报文,如果是,由阻断单元16识别该承载外发信息的至少一个报文中的审计类报文对应的外发信息单元12中,是否包括阻断标记,如果不包括阻断标记,由阻断单元16转发承载外发信息的至少一个报文中的审计类报文,如果包括阻断标记,则由阻断单元16丢弃承载外发信息的至少一个报文中的审计类报文的最后一个报文,并向发送方发送复位信息,以使发送方终止数据传输,最后由审计单元17根据存储在外发信息单元12中的至少一个报文中的审计类报文,还原并审计外发信息。
本发明实施例提供的审计外发信息的装置,分类单元18根据承载外发信息的至少一个报文的报文特征,将承载外发信息的至少一个报文划分为审计类报文和非审计类报文,对非审计类报文进行转发,对于审计类报文,将审计类报文的最后一个报文的报文标识记录在对应的外发信息单元12中,并在包含预设的非法信息的承载外发信息的至少一个报文中的审计类报文对应的外发信息单元12添加阻断标记,当阻断单元16发现阻断标记时,将承载外发信息的最后一个报文丢弃,此时,虽然承载外发信息的最后一个报文被丢弃了,但是承载外发信息的至少一个报文中的审计类报文被存储在了外发信息单元12中,因而本发明实施例提供的审计外发信息的装置可以实现对审计类报文的完整审计。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种审计外发信息的方法,其特征在于,包括:
窥探承载外发信息的至少一个报文并存储到外发信息单元;其中,所述承载外发信息的至少一个报文属于同一数据流,一个所述数据流对应一个所述外发信息单元;
根据所述至少一个报文的应用协议的特征,获取承载所述外发信息的最后一个报文的报文标识并记录在所述外发信息单元中;
若所述至少一个报文中包括预设的非法信息,为所述外发信息单元添加阻断标记;
根据所述承载所述外发信息的最后一个报文的报文标识,从所述至少一个报文中获得承载所述外发信息的最后一个报文;
若存储所述承载所述外发信息的最后一个报文的所述外发信息单元包括阻断标记,丢弃所述承载所述外发信息的最后一个报文;
根据所述至少一个报文,还原并审计所述外发信息。
2.根据权利要求1所述的方法,其特征在于,所述丢弃所述承载所述外发信息的最后一个报文之后,还包括:
向发送方发送复位信息,以使所述发送方终止数据传输。
3.根据权利要求1或2所述的方法,其特征在于,还包括:
若存储所述承载所述外发信息的最后一个报文的所述外发信息单元不包括阻断标记,转发所述承载外发信息的至少一个报文。
4.根据权利要求3所述的方法,其特征在于,
所述窥探承载外发信息的至少一个报文与所述存储到外发信息单元之间,还包括:根据预设的审计规则,将所述至少一个报文划分为审计类报文和非审计类报文;转发所述至少一个报文中的非审计类报文;
所述存储到外发信息单元包括:将所述至少一个报文中的审计类报文存储到外发信息单元;
所述根据所述至少一个报文的应用协议的特征,获取承载所述外发信息的最后一个报文的报文标识包括:根据所述至少一个报文中的审计类报文的应用协议的特征,获取承载所述外发信息的最后一个报文的报文标识
所述至少一个报文中包括预设的非法信息包括:所述至少一个报文中的审计类报文中包括预设的非法信息;
所述从所述至少一个报文中获得承载所述外发信息的最后一个报文包括:从所述至少一个报文中的审计类报文中获得承载所述外发信息的最后一个报文;
所述根据所述至少一个报文,还原并审计所述外发信息包括:根据所述至少一个报文中的审计类报文,还原并审计所述外发信息;
所述转发所述承载外发信息的至少一个报文包括:转发所述至少一个报文中的审计类报文。
5.根据权利要求4所述的方法,其特征在于,所述根据预设的审计规则,将所述至少一个报文划分为审计类报文和非审计类报文包括:
判断所述报文的类型属于第一类报文类型或第二类报文类型;
若所述报文的类型属于所述第一类报文类型,将所述报文划分为非审计类报文;
若所述报文的类型属于所述第二类报文类型,将所述报文划分为审计类报文。
6.一种审计外发信息的装置,其特征在于,包括:
窥探单元,用于窥探承载外发信息的至少一个报文;
外发信息单元,用于存储所述至少一个报文;其中,所述承载外发信息的至少一个报文属于同一数据流,一个所述数据流对应一个所述外发信息单元;
第一控制单元,用于根据所述至少一个报文的应用协议的特征,获取承载所述外发信息的最后一个报文的报文标识并记录在所述外发信息单元中;
第二控制单元,用于在所述至少一个报文中包括预设的非法信息时,为所述外发信息单元添加阻断标记;
检测单元,用于根据所述承载所述外发信息的最后一个报文的报文标识,从所述至少一个报文中获得承载所述外发信息的最后一个报文;
阻断单元,用于在存储所述承载所述外发信息的最后一个报文的所述外发信息单元包括阻断标记时,丢弃所述承载所述外发信息的最后一个报文;
审计单元,用于根据所述至少一个报文,还原并审计所述外发信息。
7.根据权利要求6所述的装置,其特征在于,
所述阻断单元还用于在存储所述承载所述外发信息的最后一个报文的所述外发信息单元包括阻断标记时,向发送方发送复位信息,以使所述发送方终止数据传输。
8.根据权利要求6或7所述的装置,其特征在于,
所述阻断单元还用于在存储所述承载所述外发信息的最后一个报文的所述外发信息单元不包括阻断标记时,转发所述承载外发信息的至少一个报文。
9.根据权利要求8所述的装置,其特征在于,还包括:
分类单元,用于根据预设的审计规则,将所述至少一个报文划分为审计类报文和非审计类报文;
所述阻断单元还用于转发所述至少一个报文中的非审计类报文,在存储所述承载所述外发信息的最后一个报文的所述外发信息单元不包括阻断标记时,转发所述承载外发信息的至少一个报文中的审计类报文;
所述外发信息单元具体用于存储所述至少一个报文中的审计类报文;
所述第一控制单元具体用于根据所述至少一个报文中的审计类报文的应用协议的特征,获取承载所述外发信息的最后一个报文的报文标识并记录在所述外发信息单元中;
所述第二控制单元具体用于在所述至少一个报文中的审计类报文中包括预设的非法信息时,为所述外发信息单元添加阻断标记;
所述检测单元具体用于根据所述承载所述外发信息的最后一个报文的报文标识,从所述至少一个报文中的审计类报文中获得承载所述外发信息的最后一个报文;
所述审计单元具体用于根据所述至少一个报文中的审计类报文,还原并审计所述外发信息。
10.根据权利要求9所述的装置,其特征在于,
所述分类单元具体用于判断所述报文的类型属于第一类报文类型或第二类报文类型,若所述报文的类型属于所述第一类报文类型,将所述报文划分为非审计类报文,若所述报文的类型属于所述第二类报文类型,将所述报文划分为审计类报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210413912.2A CN102932202B (zh) | 2012-10-25 | 2012-10-25 | 审计外发信息的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210413912.2A CN102932202B (zh) | 2012-10-25 | 2012-10-25 | 审计外发信息的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102932202A CN102932202A (zh) | 2013-02-13 |
CN102932202B true CN102932202B (zh) | 2015-08-19 |
Family
ID=47646909
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210413912.2A Active CN102932202B (zh) | 2012-10-25 | 2012-10-25 | 审计外发信息的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102932202B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105939223A (zh) * | 2016-06-01 | 2016-09-14 | 杭州迪普科技有限公司 | 存储数据的方法及装置 |
CN111614633B (zh) * | 2020-04-30 | 2022-03-08 | 武汉思普崚技术有限公司 | 一种针对l2tp协议的解析方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1983955A (zh) * | 2006-05-09 | 2007-06-20 | 华为技术有限公司 | 对非法报文的监控方法及监控系统 |
CN101426008A (zh) * | 2007-10-30 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种基于回显的审计方法及系统 |
CN101984603A (zh) * | 2010-11-11 | 2011-03-09 | 湖北电力信息通信中心 | 一种基于邮件截获的电力敏感信息检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7676659B2 (en) * | 2007-04-04 | 2010-03-09 | Qualcomm Incorporated | System, method and software to preload instructions from a variable-length instruction set with proper pre-decoding |
-
2012
- 2012-10-25 CN CN201210413912.2A patent/CN102932202B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1983955A (zh) * | 2006-05-09 | 2007-06-20 | 华为技术有限公司 | 对非法报文的监控方法及监控系统 |
CN101426008A (zh) * | 2007-10-30 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种基于回显的审计方法及系统 |
CN101984603A (zh) * | 2010-11-11 | 2011-03-09 | 湖北电力信息通信中心 | 一种基于邮件截获的电力敏感信息检测方法 |
Non-Patent Citations (1)
Title |
---|
涉密电子文件集中管控技术的研究;王文宇等;《信息安全与通信保密》;20110831;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN102932202A (zh) | 2013-02-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210352090A1 (en) | Network security monitoring method, network security monitoring device, and system | |
Dou et al. | A confidence-based filtering method for DDoS attack defense in cloud environment | |
TWI648650B (zh) | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 | |
CN107592303B (zh) | 一种高速镜像网络流量中外发文件的提取方法及装置 | |
CN112822167B (zh) | 异常tls加密流量检测方法与系统 | |
CN102769549A (zh) | 网络安全监控的方法和装置 | |
CN102404741A (zh) | 移动终端上网异常检测方法和装置 | |
CN108092976A (zh) | 设备指纹构造方法及装置 | |
CN102014145A (zh) | 文件传输安全管控系统及方法 | |
JP4877145B2 (ja) | 通信装置を制御するプログラム及び通信装置 | |
US20060149771A1 (en) | Information processing system and communication retry method | |
CN102932202B (zh) | 审计外发信息的方法及装置 | |
CN113163406A (zh) | 用于移动通信系统的威胁侦测系统及其中心装置与本地装置 | |
CN109213858B (zh) | 一种网络水军的自动识别方法及系统 | |
CN104462242B (zh) | 网页回流量统计方法及装置 | |
CN105490824A (zh) | 一种游戏服务器和群发消息过滤方法 | |
CN103580951B (zh) | 多个信息系统的输出比较方法、测试迁移辅助方法及系统 | |
CN104618878B (zh) | 短信网关 | |
WO2015176516A1 (zh) | 一种业务流程的跟踪方法及装置 | |
CN102624547A (zh) | 一种即时通信上网行为管理的方法、装置与系统 | |
KR101084681B1 (ko) | 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법 | |
Zhou et al. | Classification of botnet families based on features self-learning under network traffic censorship | |
CN104640093B (zh) | 业务处理装置 | |
CN101360120A (zh) | 一种对二维条码直接模式上网业务进行监控的方法 | |
CN101459546A (zh) | 对等节点流量的识别方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |