CN105376077A - 网络行为信息的处理方法、日志的发送方法、装置及系统 - Google Patents
网络行为信息的处理方法、日志的发送方法、装置及系统 Download PDFInfo
- Publication number
- CN105376077A CN105376077A CN201410384435.0A CN201410384435A CN105376077A CN 105376077 A CN105376077 A CN 105376077A CN 201410384435 A CN201410384435 A CN 201410384435A CN 105376077 A CN105376077 A CN 105376077A
- Authority
- CN
- China
- Prior art keywords
- operation log
- operational order
- behavior information
- network behavior
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明提供一种网络行为信息的处理方法、日志的发送方法、装置及系统,其中该处理方法包括:获取被监控主机设备的包含非加密协议数据包的操作日志;根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令;基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。该发送方法中,利用UNIX类主机自身带的指令,对预设端口进行专门的数据包采集,并自动保存为日志文件,再将该日志文件传送给Syslog进程,由Syslog以准实时方式将操作日志发送,同时该处理方法针对这些非加密协议日志进行处理,确定告警操作,解决了IDC内由于互联网上违法操作和“合法”违规操作而导致数据误删除、数据破坏、数据泄密等行为。
Description
技术领域
本发明涉及通信安全技术领域,特别涉及一种网络行为信息的处理方法、日志的发送方法、装置及系统。
背景技术
互联网数据中心(InternetDataCenter,简称IDC)是基于Internet网络,为集中式收集、存储、处理和发送数据的设备提供运行维护的设施基地并提供相关的服务。IDC提供的主要业务包括主机托管(机位、机架、机房出租)、资源出租(如虚拟主机业务、数据存储服务)、系统维护(系统配置、数据备份、故障排除服务)、管理服务(如带宽管理、流量分析、负载均衡),以及其他支撑、运行服务等。同时由于国内IDC中客户安全意识的普遍提高,国内IDC运营方也开始提供基于防火墙、IDS、IPS、防DDoS等硬件安全设施的安全增值服务,这些安全增值服务主要以虚拟安全产品出租的形式提供给重要业务客户,来防范互联网上常规的安全风险。
在现实中,这些基础网络安全防护产品在实际运营中取得了一定效果,可以解决病毒、蠕虫、僵尸网络等常规安全问题,但是IDC内高端和重要业务客户更加关注的是IDC内自身Web业务应用的安全性,例如互联网上是否有恶意人员登录了IDC内的Web业务应用系统,如果登录了该Web业务应用系统,具体从事了那些非法Web操作;或者是否有互联网上恶意人员登录承载该Web业务应用系统的UNIX类主机,执行了哪些非法操作指令;或者互联网上恶意人员通过FTP方式上传了哪些恶意代码等这些直接影响客户业务应用的恶意操作;还有就是客户自身内部“合法”用户的各类违规操作。这类恶意和违规操作才是导致IDC承租企业利益受损的主要行为,而上述基于虚拟安全硬件设备的常规的网络安全产品对此却显得无能为力。
针对IDC内这种恶意操作和“合法”违规操作发生的情况,由于各类Web应用服务器(例如Tomcat)不记录各类用户的在具体Web开发实现后的具体应用操作;同时UNIX主机中自带的Syslog日志也不记录用户的Telnet/FTP操作指令日志。所以,目前在IDC内针对Web应用操作和Telnet/FTP操作一般会采用以下不同的方式来分别进行处理:
1、针对基于Web的业务应用操作审计:
第一种方式是Web业务应用系统在开发建设之初,该Web业务应用自身就建立了完整的日志记录模块,对所有用户的Web业务应用操作均完全日志记录,并将日志记录结果可以送至日志审计服务器,由日志审计服务器来进行严格审计;第二种方式是在通过HTTP协议代理的方式,即通过与IDC内的网络设备的访问控制配合,只允许通过该HTTP代理服务器来访问IDC内Web业务应用,这样用户在访问IDC内业务应用时需在浏览器中设置http代理,通过代理设备对用户所有Web操作行为进行全面记录;第三种方式是通过在IDC内出口或主要网络节点部署硬件探针或在交换机上进行端口镜像,来截取所有数据包,并通过深度包检测和协议分析,来记录和审计Web用户的业务应用操作。
2、针对Telnet/FTP等非加密协议操作审计:
一种方式是通过单独部署运维审计型堡垒机方式(公司内部4A方式),即堡垒主机部署在内网中的服务器和网络设备等核心资源的逻辑前端,通过堡垒主机来记录用户操作行为,以此来发现恶意操作和“合法”用户的违规操作行为;另一种方式同样是通过在IDC内出口或主要网络节点部署硬件探针或在交换机上进行端口镜像,来截取所有数据包,并通过深度包检测和协议分析,来记录和审计用户的Telnet/FTP等操作。
目前,现实中解决IDC内由于互联网上WEB违法操作和“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的追查实现方式中,主要存在以下缺点:
1、针对基于Web的业务应用操作审计:
针对第一种Web业务应用自身建立完整的日志记录模块方式,由于前期很多Web业务应用在开发设计之初,没有很好的考虑日志记录问题,导致现网中很多Web业务应用无日志记录功能或Web应用日志记录不全,如果因为日志功能就对这些软件进行改造,则需要IDC用户投入大量投资,同时改造周期长,用户绝大多数不能接受;针对第二种通过HTTP协议代理的方式,则要用户在访问IDC内业务应用时自己设置代理,在访问其他非IDC业务应用时取消代理,给用户带来操作不便,如果用户数量巨大,同时用户范围不确定,则这种方式不可采用,否则会带来大量投诉;针对第三种通过部署硬件探针或交换机镜像方式,部署硬件探针则需要公司前期购买硬件,占用公司投资,交换机镜像则占用交换机额外端口,同时影响交换机自身转发效率,同时对于那些不需要审计的客户的隐私安全也是一个问题,容易引起用户投诉。
2、针对Telnet/FTP等非加密协议操作审计:
针对第一种单独部署堡垒主机方式,要求我们IDC运营单位先期购买并部署大量的物理实体堡垒主机,占用公司大量前期投资;同时由于这些堡垒主机均是各个安全厂家专用的物理实体机器,没有统一的标准,所以与目前IDC内基于云计算的虚拟主机难以融合,占用公司的日常维护资源;针对第二种通过部署硬件探针或交换机镜像方式,部署硬件探针则需要公司前期购买硬件,占用公司投资,交换机镜像则占用交换机端口,同时影响交换机自身转发效率,同时对于那些不需要审计的客户的隐私安全也是一个问题,容易引起用户投诉。
从上面分析中,我们可以看到目前现实中IDC内针对前台Web业务应用操作审计和后台维护操作审计,解决方案中要么采用串联方式堡垒主机、协议代理,这种方式单独购买硬件,同时严重影响具体IDC使用人员的用户感知;要么采用并联方式,单独购买硬件,对所有流经数据包进行深度包检测,同时该方式可能会导致非要求审计的其他用户密码文件等敏感文件泄露,引起其他用户的投诉。同时,这些方式也无法对其他非加密协议进行有效扩展。
发明内容
本发明的目的在于提供一种网络行为信息的处理方法、日志的发送方法、装置及系统,完全不影响用户正常的操作感知,同时不建立第三方账号,确保了承租设备自身的安全性。
为了达到上述目的,本发明实施例提供一种网络行为信息的处理方法,包括:
获取被监控主机设备的包含非加密协议数据包的操作日志;
根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令;
基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。
其中,所述处理方法还包括:
将所述符合预设告警规则的操作指令对应的预设告警信息进行Web展示,并将所述预设告警信息发送至终端监控平台。
其中,获取被监控主机设备的包含非加密协议数据包的操作日志的步骤包括:
通过标准syslog方式获取被监控主机设备的包含非加密协议数据包的操作日志。
其中,所述根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令的步骤包括:
根据协议类别对所述操作日志进行分类,将所述操作日志分配到不同协议的子队列中;
对每个协议的子队列中的操作日志均进行标准化操作,将所述操作日志均转化为符合预设格式的日志;
基于通信标准化协议对所有符合预设格式的日志进行还原操作,得到对应的操作指令。
其中,所述根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令的步骤还包括:
将每一个被监控主机设备的单条所述操作指令关联成完整会话;
基于不同协议类型对所述每一个被监控主机设备上的单条完整会话进行关联;
将多个被监控主机设备上的完整会话按照预设规则进行关联。
其中,基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令的步骤包括:
将所有操作日志的操作指令根据协议类型进行匹配分类,将所述操作指令分配到不同协议的子队列中;
按照时间顺序对每一个子队列中的操作指令进行排序;
将每一个子队列中的操作指令依次与预设告警规则进行匹配、过滤;
确定符合匹配所述预设告警规则的操作指令。
本发明实施例还提供一种包含非加密协议数据包的操作日志的发送方法,应用于UNIX类系统,包括:
获取预设端口的数据包信息并写成临时文件;
通过所述UNIX类系统内部的logger命令,将所述临时文件打上协议标签,得到日志文件;
将所述日志文件发送给该UNIX类系统的Syslog进程,得到操作日志;
通过该UNIX类系统的Syslog方式发送所述操作日志。
本发明实施例还提供一种网络行为信息的处理装置,包括:
获取模块,用于获取被监控主机设备的包含非加密协议数据包的操作日志;
提取模块,用于根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令;
确定模块,用于基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。
其中,所述处理装置还包括:
告警模块,用于将所述符合预设告警规则的操作指令对应的预设告警信息进行Web展示,并将所述预设告警信息发送至终端监控平台。
其中,所述获取模块包括:
获取子模块,用于通过标准syslog方式获取被监控主机设备的包含非加密协议数据包的操作日志。
其中,所述提取模块包括:
分配模块,用于根据协议类别对所述操作日志进行分类,将所述操作日志分配到不同协议的子队列中;
转化模块,用于对每个协议的子队列中的操作日志均进行标准化操作,将所述操作日志均转化为符合预设格式的日志;
还原模块,用于基于通信标准化协议对所有符合预设格式的日志进行还原操作,得到对应的操作指令。
其中,所述提取模块还包括:
第一关联模块,用于将每一个被监控主机设备的单条所述操作指令关联成完整会话;
第二关联模块,用于基于不同协议类型对所述每一个被监控主机设备上的单条完整会话进行关联;
第三关联模块,用于将多个被监控主机设备上的完整会话按照预设规则进行关联。
其中,所述确定模块包括:
分类模块,用于将所有操作日志的操作指令根据协议类型进行匹配分类,将所述操作指令分配到不同协议的子队列中;
排序模块,用于按照时间顺序对每一个子队列中的操作指令进行排序;
匹配模块,用于将每一个子队列中的操作指令依次与预设告警规则进行匹配、过滤;
确定子模块,用于确定符合匹配所述预设告警规则的操作指令。
本发明实施例还提供一种包含非加密协议数据包的操作日志的发送装置,应用于UNIX类系统,包括:
信息获取模块,用于获取预设端口的数据包信息并写成临时文件;
日志获取模块,用于通过所述UNIX类系统内部的logger命令,将所述临时文件打上协议标签,得到日志文件;
第一发送模块,用于将所述日志文件发送给该UNIX类系统的Syslog进程,得到操作日志;
第二发送模块,用于通过该UNIX类系统的Syslog方式发送所述操作日志。
本发明实施例还提供一种系统,包括如上所述的网络行为信息的处理装置以及如上所述的包含非加密协议数据包的操作日志的发送装置。
本发明的上述技术方案至少具有如下有益效果:
本发明实施例的操作日志的发送方法中,利用UNIX类主机自身带的指令,对预设端口进行专门的数据包采集,并将每次采集到的数据包内容自动保存为日志文件,再将该日志文件传送给Syslog进程,由Syslog以准实时方式将这些最新的操作日志发送,同时网络行为信息的处理方法针对这些非加密协议日志进行处理,确定告警操作,解决了IDC内由于互联网上违法操作和“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的行为。
附图说明
图1表示本发明实施例的网络行为信息的处理方法的基本步骤示意图;
图2表示本发明实施例的网络行为信息的处理方法中对操作日志预处理的流程图;
图3表示本发明实施例的网络行为信息的处理方法中确定符合告警规则的操作指令的流程图;
图4表示本发明的具体实施例中针对所有操作指令匹配关联告警的流程图;
图5表示本发明实施例的操作日志的发送方法的基本步骤示意图;
图6表示本发明实施例的网络行为信息的处理装置的组成结构示意图;
图7表示本发明实施例的操作日志的发送装置的组成结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有技术中针对IDC内的恶意操作和“合法”违规操作的处理不及时且方法不完善的问题,提供一种网络行为信息的处理方法、日志的发送方法、装置及系统,利用UNIX类主机自身带的指令,对预设端口进行专门的数据包采集,并将每次采集到的数据包内容自动保存为日志文件,再将该日志文件传送给Syslog进程,由Syslog以准实时方式将这些最新的操作日志发送,同时针对这些非加密协议日志进行处理,确定告警操作,解决了IDC内由于互联网上违法操作和“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的行为。
如图1所示,本发明实施例提供一种网络行为信息的处理方法,包括:
步骤1,获取被监控主机设备的包含非加密协议数据包的操作日志;
步骤2,根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令;
步骤3,基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。
本发明上述实施例中,步骤1具体为通过标准syslog方式获取被监控主机设备的包含非加密协议数据包的操作日志。其中,Syslog常被称为系统日志或系统记录,是一种用来在互联网协议(TCP/IP)的网络中传递记录档讯息的标准。这个词汇常用来指实际的syslog协议,或者那些送出syslog讯息的应用程式或数据库。
进一步的,本发明上述实施例中,步骤2中预处理包括对操作日志进行分类、标准化,解析还原、关联等子步骤,得到该操作日志的操作指令;其中,针对同一个被监控主机设备可以有多个用户同时控制(即存在与多个用户分别对应的操作日志),需要对操作日志进行预处理,主要是针对不同的用户,不用的被监控主机设备以及不同的协议类型等对操作日志进行分类,并对操作日志进行标准化处理(即将操作日志转化为同一格式的日志)便于后续统一处理。步骤3中的预设告警规则可以根据用户或运营商需求具体设定,例如突然的断电操作就发出告警,其他的均正常运行;则当获取的操作指令中存在断电指令时,发出告警信息。
本发明的具体实施例中,所述处理方法还包括:
步骤4,将所述符合预设告警规则的操作指令对应的预设告警信息进行Web展示,并将所述预设告警信息发送至终端监控平台。
承续上例,本发明上述实施例中,从监控平台能够实时的看到告警信息,便于维护人员及时采取维护、修理措施,保证互联网数据的安全运行。进一步的,预先针对每一条操作指令均设置对应的告警信息;例如,断电的操作指令对应闪烁的红灯的告警等,在此不一一列举。
较佳的,Web展示即网页展示仅为本发明的具体实施例,不用于限制本发明的保护范围,该告警信息也可通过其他方式展示,不限于一固定形式。具体的,该预设告警信息可通过短信或邮件的方式发送至终端监控平台(监控用户的手机和邮箱)。用户能够用手机或邮箱中直观的看到告警信息,找到对应的操作日志,进行修复,保证网络的安全运行。
本发明的上述实施例中,如图2所示,步骤2包括:
步骤21,根据协议类别对所述操作日志进行分类,将所述操作日志分配到不同协议的子队列中;
本发明具体实施例中,步骤21中对步骤1中获取到的操作日志按照不同的协议类型进行分类,即对日志队列中的每条日志,按照FIFO原则逐条进行协议类型匹配,例如:Telnet协议、FTP协议、http协议等。将所有的操作日志分配到不同协议的子队列中,执行步骤22。
步骤22,对每个协议的子队列中的操作日志均进行标准化操作,将所述操作日志均转化为符合预设格式的日志;
本发明具体实施例中,步骤22即对每个协议的子队列中的日志进行对应标准化操作;标准化操作即将不同格式的操作日志转化为相同的预设格式的日志,便于后续处理。需要说明的是,步骤21中的分类操作是为了能够更高效的进行标准化操作,是本发明的较佳方式,在具体实施过程中也可采用直接标准化的形式。
步骤23,基于通信标准化协议对所有符合预设格式的日志进行还原操作,得到对应的操作指令。
本发明具体实施例中,针对经过标准化处理的每种协议的子队列分别执行步骤23的还原操作。其中,由于所有的还原操作都是双向数据流,为了简便,本发明具体实施例中都是只对用户上行请求数据协议进行解析还原,得到操作指令;需要说明的是,如果用户需要更加详细的交互内容审计,则本发明提供的方法也能够实现。
承续上例,本发明具体实施例中,步骤2还包括:
步骤24,将每一个被监控主机设备的单条所述操作指令关联成完整会话;
本发明具体实施例中,经过上述步骤23处理的操作指令的单条的操作指令,需执行步骤24,将每一个被监控主机设备的单条操作指令关联成完整会话,完整会话即能执行一个完整的步骤。同时由于同一个被监控主机设备能够同时被多个用户操作,还需根据不同用户对完整会话进行关联,例如用户A和用户B同时向主机设备C发送不同的指令,则需要将该不同的指令分别分到不同的分组中,以免混淆指令,发生操作错误。
步骤25,基于不同协议类型对所述每一个被监控主机设备上的单条完整会话进行关联;
本发明具体实施例中,由于同一个被监控主机设备上能够存在多种不同协议的操作指令,为了后续操作方法,经同一个被监控主机设备上的同一协议类型的完整会话进行关联(即分到同一分组中)。
步骤26,将多个被监控主机设备上的完整会话按照预设规则进行关联。
本发明具体实施例中,同一个用户能够同时管理多台被监控主机设备,即同时向多台设备发送指令,步骤26即将同一个用户管理的多台被监控主机设备的操作指令进行关联,便于后续处理。
本发明上述实施例中,如图3所示,步骤3包括:
步骤31,将所有操作日志的操作指令根据协议类型进行匹配分类,将所述操作指令分配到不同协议的子队列中;
步骤32,按照时间顺序对每一个子队列中的操作指令进行排序;
步骤33,将每一个子队列中的操作指令依次与预设告警规则进行匹配、过滤;
步骤34,确定符合匹配所述预设告警规则的操作指令。
本发明具体实施例中,为了能够有序的对所有操作指令进行与预设告警规则匹配,需通过步骤31和步骤32对所有操作指令进行分类、排序,避免后续匹配步骤中漏掉一些操作指令,使网络存在安全隐患。
需要说明的是,步骤31和步骤32的排序方式仅为本发明的较佳实施例,不用于限制本发明的保护范围,其他的排序方法在本发明的具体实施例中均适用。
如图4所示为本发明的具体实施例中针对所有操作指令匹配关联告警的流程图;首先将所有的操作日志作标准化操作,得到标准化登录日志信息,再对标准化登录日志信息进行协议匹配;再根据不同的协议进行还原操作,再分别对还原后的操作指令进行地址匹配,得到不同的地址,如地址1、地址2等等,再分别将地址1、地址2与告警规则进行匹配,如果与告警规则不同,则正常运行,结束流程;如果与告警规则相同,则将所述地址进行展示及告警。
为了更好的实现上述目的,如图5所示,本发明实施例还提供一种包含非加密协议数据包的操作日志的发送方法,应用于UNIX类系统,包括:
步骤5,获取预设端口的数据包信息并写成临时文件;
步骤6,通过所述UNIX类系统内部的logger命令,将所述临时文件打上协议标签,得到日志文件;
步骤7,将所述日志文件发送给该UNIX类系统的Syslog进程,得到操作日志;
步骤8,通过该UNIX类系统的Syslog方式发送所述操作日志。
本发明具体实施例中,利用UNIX类系统自带的Tcpdump指令施原理:UNIX类计算资源中,系统在Tcpdump指令中可以将指定的端口的数据包进行采集,并自动保存为文件,所以我们将每次最新采集到的数据包指令通过管道重定向方式到系统message(info级别)中。例如:tcpdump-s0-iethX“tcpandport80andnetxxx.xxx.xxx.xxx”-w/opt/test.log,该UNIX主机的80端口数据包进行采集然后保存为test.log文件,通过修改用户环境变量同时将利用tail命令获取最新的数据包,通过管道重定向方式到系统message(info级别)中:Tail–f/opt/test.log|logger来获获取每次协议交互操作日志信息。
这种非加密协议操作日志采集方式优点是无需在UNIX类主机上安装特殊的采集程序且准实时,同时不需要部署硬件探针或占用交换机镜像端口,且只对需要审计的Web应用和维护操作进行审计,避免了在IDC内网络集中出口部署探针方式对那些不需要审计的客户的隐私安全(例如Telnet口令)问题的泄露。
具体的,步骤5中获取指定端口数据包信息并写成临时文件;利用UNIX主机自带的Tcpdump指令中将指定的端口的数据包进行采集,并自动保存为文件。例如:tcpdump-s0-iethX“tcpandport80andnetxxx.xxx.xxx.xxx”-w/opt/test_80.log。
步骤6中聚合生成日志统一信息;通过系统内部自带的logger命令,在上述文件信息打上协议标签。步骤7中将步骤6中的信息发送给自身Syslog进程;如:tail–f/opt/test_80.log|logger//Linux的历史命令存在于用户目录下的test.log内,通过管道重定向到message(info级别)中。步骤8中,通过自身Syslog方式发送操作日志;如:vi/etc/syslog.conf//修改Syslog配置文件;*.info@采集机IP地址//将所有info级别的日志指向采集机。
为了更好的实现上述目的,如图6所示,本发明实施例还提供一种网络行为信息的处理装置,包括:
获取模块10,用于获取被监控主机设备的包含非加密协议数据包的操作日志;
提取模块20,用于根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令;
确定模块30,用于基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。
进一步的,所述处理装置还包括:
告警模块40,用于将所述符合预设告警规则的操作指令对应的预设告警信息进行Web展示,并将所述预设告警信息发送至终端监控平台。
本发明具体实施例中,所述获取模块10包括:
获取子模块,用于通过标准syslog方式获取被监控主机设备的包含非加密协议数据包的操作日志。
本发明具体实施例中,所述提取模块20包括:
分配模块,用于根据协议类别对所述操作日志进行分类,将所述操作日志分配到不同协议的子队列中;
转化模块,用于对每个协议的子队列中的操作日志均进行标准化操作,将所述操作日志均转化为符合预设格式的日志;
还原模块,用于基于通信标准化协议对所有符合预设格式的日志进行还原操作,得到对应的操作指令。
本发明具体实施例中,所述提取模块20还包括:
第一关联模块,用于将每一个被监控主机设备的单条所述操作指令关联成完整会话;
第二关联模块,用于基于不同协议类型对所述每一个被监控主机设备上的单条完整会话进行关联;
第三关联模块,用于将多个被监控主机设备上的完整会话按照预设规则进行关联。
本发明具体实施例中,所述确定模块30包括:
分类模块,用于将所有操作日志的操作指令根据协议类型进行匹配分类,将所述操作指令分配到不同协议的子队列中;
排序模块,用于按照时间顺序对每一个子队列中的操作指令进行排序;
匹配模块,用于将每一个子队列中的操作指令依次与预设告警规则进行匹配、过滤;
确定子模块,用于确定符合匹配所述预设告警规则的操作指令。
为了更好的实现上述目的,如图7所示,本发明实施例还提供一种包含非加密协议数据包的操作日志的发送装置,应用于UNIX类系统,包括:
信息获取模块50,用于获取预设端口的数据包信息并写成临时文件;
日志获取模块60,用于通过所述UNIX类系统内部的logger命令,将所述临时文件打上协议标签,得到日志文件;
第一发送模块70,用于将所述日志文件发送给该UNIX类系统的Syslog进程,得到操作日志;
第二发送模块80,用于通过该UNIX类系统的Syslog方式发送所述操作日志。
本发明实施例提供的操作日志的发送方法中,利用UNIX类主机自身带的指令,对预设端口进行专门的数据包采集,并将每次采集到的数据包内容自动保存为日志文件,再将该日志文件传送给Syslog进程,由Syslog以准实时方式将这些最新的操作日志发送,同时网络行为信息的处理方法针对这些非加密协议日志进行处理,确定告警操作,解决了IDC内由于互联网上违法操作和“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的行为。
需要说明的是本发明实施例提供的处理装置是应用上述处理方法的装置,则上述处理方法的所有实施例及其有益效果均适用于该处理装置;同时本发明实施例提供的发送装置也是应用上述发送方法的装置,则上述发送方法的所有实施例均适用于该发送装置,且均能达到相同或相似的有益效果。
为了更好的实现上述目的,本发明实施例还提供一种系统,包括如上所述的网络行为信息的处理装置以及如上所述的包含非加密协议数据包的操作日志的发送装置。
例如,本发明的一个实施案例:在IDC内申请一台CentOS操作系统虚拟主机IP地址为218.203.12.16进行功能原型测试,当指定用户Telnet、HTTP提交测试数据后,可以在系统监控界面准实时看到该用户的Telnet登录操作整个操作会话全过程,同时也在Web还原页面中恢复了用户在Web前台提交给系统的数据。
本发明的上述实施例中,通过创新性的利用UNIX主机自带的Tcpdump指令配合相关SHELL脚本方式,解决了在无硬件投资的条件下指定协议数据包生成采集问题;且由于采用旁路方式,完全不影响用户正常的操作感知,同时不用在IDC内UNIX主机设备中建立第三方帐号,确保了承租设备自身的安全性,最后系统具备对所有非加密协议的扩展;同时通过Syslog准实时方式,解决了传统操作审计的时延问题,确保IDC计算资源承租人能够迅速发现安全事件,更好的服务于IDC广大用户;较佳的,本发明还通过对数据包进行基于协议、地址、时间的匹配,提出了一种快速匹配的方法。
需要说明的是,本发明实施例提供的系统是包括上述处理装置和发送装置的系统,则上述处理装置和发送装置的所有实施例及其有益效果均适用于该系统。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (15)
1.一种网络行为信息的处理方法,其特征在于,包括:
获取被监控主机设备的包含非加密协议数据包的操作日志;
根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令;
基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。
2.根据权利要求1所述的网络行为信息的处理方法,其特征在于,所述处理方法还包括:
将所述符合预设告警规则的操作指令对应的预设告警信息进行Web展示,并将所述预设告警信息发送至终端监控平台。
3.根据权利要求1所述的网络行为信息的处理方法,其特征在于,获取被监控主机设备的包含非加密协议数据包的操作日志的步骤包括:
通过标准syslog方式获取被监控主机设备的包含非加密协议数据包的操作日志。
4.根据权利要求1所述的网络行为信息的处理方法,其特征在于,所述根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令的步骤包括:
根据协议类别对所述操作日志进行分类,将所述操作日志分配到不同协议的子队列中;
对每个协议的子队列中的操作日志均进行标准化操作,将所述操作日志均转化为符合预设格式的日志;
基于通信标准化协议对所有符合预设格式的日志进行还原操作,得到对应的操作指令。
5.根据权利要求4所述的网络行为信息的处理方法,其特征在于,所述根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令的步骤还包括:
将每一个被监控主机设备的单条所述操作指令关联成完整会话;
基于不同协议类型对所述每一个被监控主机设备上的单条完整会话进行关联;
将多个被监控主机设备上的完整会话按照预设规则进行关联。
6.根据权利要求1所述的网络行为信息的处理方法,其特征在于,基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令的步骤包括:
将所有操作日志的操作指令根据协议类型进行匹配分类,将所述操作指令分配到不同协议的子队列中;
按照时间顺序对每一个子队列中的操作指令进行排序;
将每一个子队列中的操作指令依次与预设告警规则进行匹配、过滤;
确定符合匹配所述预设告警规则的操作指令。
7.一种包含非加密协议数据包的操作日志的发送方法,应用于UNIX类系统,其特征在于,包括:
获取预设端口的数据包信息并写成临时文件;
通过所述UNIX类系统内部的logger命令,将所述临时文件打上协议标签,得到日志文件;
将所述日志文件发送给该UNIX类系统的Syslog进程,得到操作日志;
通过该UNIX类系统的Syslog方式发送所述操作日志。
8.一种网络行为信息的处理装置,其特征在于,包括:
获取模块,用于获取被监控主机设备的包含非加密协议数据包的操作日志;
提取模块,用于根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令;
确定模块,用于基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。
9.根据权利要求8所述的网络行为信息的处理装置,其特征在于,所述处理装置还包括:
告警模块,用于将所述符合预设告警规则的操作指令对应的预设告警信息进行Web展示,并将所述预设告警信息发送至终端监控平台。
10.根据权利要求8所述的网络行为信息的处理装置,其特征在于,所述获取模块包括:
获取子模块,用于通过标准syslog方式获取被监控主机设备的包含非加密协议数据包的操作日志。
11.根据权利要求8所述的网络行为信息的处理装置,其特征在于,所述提取模块包括:
分配模块,用于根据协议类别对所述操作日志进行分类,将所述操作日志分配到不同协议的子队列中;
转化模块,用于对每个协议的子队列中的操作日志均进行标准化操作,将所述操作日志均转化为符合预设格式的日志;
还原模块,用于基于通信标准化协议对所有符合预设格式的日志进行还原操作,得到对应的操作指令。
12.根据权利要求11所述的网络行为信息的处理装置,其特征在于,所述提取模块还包括:
第一关联模块,用于将每一个被监控主机设备的单条所述操作指令关联成完整会话;
第二关联模块,用于基于不同协议类型对所述每一个被监控主机设备上的单条完整会话进行关联;
第三关联模块,用于将多个被监控主机设备上的完整会话按照预设规则进行关联。
13.根据权利要求8所述的网络行为信息的处理装置,其特征在于,所述确定模块包括:
分类模块,用于将所有操作日志的操作指令根据协议类型进行匹配分类,将所述操作指令分配到不同协议的子队列中;
排序模块,用于按照时间顺序对每一个子队列中的操作指令进行排序;
匹配模块,用于将每一个子队列中的操作指令依次与预设告警规则进行匹配、过滤;
确定子模块,用于确定符合匹配所述预设告警规则的操作指令。
14.一种包含非加密协议数据包的操作日志的发送装置,应用于UNIX类系统,其特征在于,包括:
信息获取模块,用于获取预设端口的数据包信息并写成临时文件;
日志获取模块,用于通过所述UNIX类系统内部的logger命令,将所述临时文件打上协议标签,得到日志文件;
第一发送模块,用于将所述日志文件发送给该UNIX类系统的Syslog进程,得到操作日志;
第二发送模块,用于通过该UNIX类系统的Syslog方式发送所述操作日志。
15.一种系统,其特征在于,包括如权利要求8至13任一项所述的网络行为信息的处理装置以及如权利要求14所述的包含非加密协议数据包的操作日志的发送装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410384435.0A CN105376077B (zh) | 2014-08-06 | 2014-08-06 | 网络行为信息的处理方法、日志的发送方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410384435.0A CN105376077B (zh) | 2014-08-06 | 2014-08-06 | 网络行为信息的处理方法、日志的发送方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105376077A true CN105376077A (zh) | 2016-03-02 |
| CN105376077B CN105376077B (zh) | 2019-08-13 |
Family
ID=55377907
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410384435.0A Active CN105376077B (zh) | 2014-08-06 | 2014-08-06 | 网络行为信息的处理方法、日志的发送方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105376077B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106709283A (zh) * | 2016-11-17 | 2017-05-24 | 上海斐讯数据通信技术有限公司 | 一种防止程序误操作的方法及系统 |
| CN107465694A (zh) * | 2017-09-19 | 2017-12-12 | 北京哈工大计算机网络与信息安全技术研究中心 | 基于消息队列的openstack租户操作行为审计方法及系统 |
| CN109829315A (zh) * | 2017-11-23 | 2019-05-31 | 西门子(中国)有限公司 | 日志处理的方法、装置及计算机可读存储介质 |
| CN110110081A (zh) * | 2019-04-09 | 2019-08-09 | 国家计算机网络与信息安全管理中心 | 用于移动互联网海量监测数据的分级分类处理方法及系统 |
| CN110489391A (zh) * | 2019-07-25 | 2019-11-22 | 深圳壹账通智能科技有限公司 | 一种数据处理方法及相关设备 |
| CN112347501A (zh) * | 2019-08-06 | 2021-02-09 | 中国移动通信集团广东有限公司 | 数据处理方法、装置、设备及存储介质 |
| CN113515493A (zh) * | 2021-07-20 | 2021-10-19 | 中国联合网络通信集团有限公司 | 日志关联方法和装置 |
| CN114338419A (zh) * | 2021-12-15 | 2022-04-12 | 中电信数智科技有限公司 | 一种IPv6全球组网边缘节点监测及预警方法及系统 |
| CN116028461A (zh) * | 2023-01-06 | 2023-04-28 | 北京志行正科技有限公司 | 一种基于大数据的日志审计系统 |
| CN117118824A (zh) * | 2023-10-20 | 2023-11-24 | 成都卓拙科技有限公司 | 一种日志数据收集方法及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005302155A (ja) * | 2004-04-12 | 2005-10-27 | Sharp Corp | 情報再生装置、情報再生方法、コンピュータで実行可能なプログラム、及び記録媒体 |
| CN101075915A (zh) * | 2007-06-28 | 2007-11-21 | 中兴通讯股份有限公司 | 通信设备中snmp的日志功能实现方法 |
| CN102202007A (zh) * | 2010-03-25 | 2011-09-28 | 腾讯科技(深圳)有限公司 | 一种自动统计即时通讯行为的方法及装置 |
| WO2012001795A1 (ja) * | 2010-06-30 | 2012-01-05 | 富士通株式会社 | 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法 |
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
-
2014
- 2014-08-06 CN CN201410384435.0A patent/CN105376077B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005302155A (ja) * | 2004-04-12 | 2005-10-27 | Sharp Corp | 情報再生装置、情報再生方法、コンピュータで実行可能なプログラム、及び記録媒体 |
| CN101075915A (zh) * | 2007-06-28 | 2007-11-21 | 中兴通讯股份有限公司 | 通信设备中snmp的日志功能实现方法 |
| CN102202007A (zh) * | 2010-03-25 | 2011-09-28 | 腾讯科技(深圳)有限公司 | 一种自动统计即时通讯行为的方法及装置 |
| WO2012001795A1 (ja) * | 2010-06-30 | 2012-01-05 | 富士通株式会社 | 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法 |
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106709283A (zh) * | 2016-11-17 | 2017-05-24 | 上海斐讯数据通信技术有限公司 | 一种防止程序误操作的方法及系统 |
| CN107465694A (zh) * | 2017-09-19 | 2017-12-12 | 北京哈工大计算机网络与信息安全技术研究中心 | 基于消息队列的openstack租户操作行为审计方法及系统 |
| CN109829315A (zh) * | 2017-11-23 | 2019-05-31 | 西门子(中国)有限公司 | 日志处理的方法、装置及计算机可读存储介质 |
| CN110110081A (zh) * | 2019-04-09 | 2019-08-09 | 国家计算机网络与信息安全管理中心 | 用于移动互联网海量监测数据的分级分类处理方法及系统 |
| CN110110081B (zh) * | 2019-04-09 | 2021-05-11 | 国家计算机网络与信息安全管理中心 | 用于移动互联网海量监测数据的分级分类处理方法及系统 |
| CN110489391A (zh) * | 2019-07-25 | 2019-11-22 | 深圳壹账通智能科技有限公司 | 一种数据处理方法及相关设备 |
| CN110489391B (zh) * | 2019-07-25 | 2022-06-28 | 深圳壹账通智能科技有限公司 | 一种数据处理方法及相关设备 |
| CN112347501A (zh) * | 2019-08-06 | 2021-02-09 | 中国移动通信集团广东有限公司 | 数据处理方法、装置、设备及存储介质 |
| CN113515493B (zh) * | 2021-07-20 | 2023-06-02 | 中国联合网络通信集团有限公司 | 日志关联方法和装置 |
| CN113515493A (zh) * | 2021-07-20 | 2021-10-19 | 中国联合网络通信集团有限公司 | 日志关联方法和装置 |
| CN114338419A (zh) * | 2021-12-15 | 2022-04-12 | 中电信数智科技有限公司 | 一种IPv6全球组网边缘节点监测及预警方法及系统 |
| CN114338419B (zh) * | 2021-12-15 | 2024-04-16 | 中电信数智科技有限公司 | 一种IPv6全球组网边缘节点监测及预警方法及系统 |
| CN116028461A (zh) * | 2023-01-06 | 2023-04-28 | 北京志行正科技有限公司 | 一种基于大数据的日志审计系统 |
| CN116028461B (zh) * | 2023-01-06 | 2023-09-19 | 北京志行正科技有限公司 | 一种基于大数据的日志审计系统 |
| CN117118824A (zh) * | 2023-10-20 | 2023-11-24 | 成都卓拙科技有限公司 | 一种日志数据收集方法及设备 |
| CN117118824B (zh) * | 2023-10-20 | 2024-02-27 | 成都卓拙科技有限公司 | 一种日志数据收集方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105376077B (zh) | 2019-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105376077A (zh) | 网络行为信息的处理方法、日志的发送方法、装置及系统 | |
| AU756407B2 (en) | Information security analysis system | |
| US6253337B1 (en) | Information security analysis system | |
| US7047423B1 (en) | Information security analysis system | |
| US6304262B1 (en) | Information security analysis system | |
| CN101605074B (zh) | 基于网络通讯行为特征监测木马的方法与系统 | |
| US8516586B1 (en) | Classification of unknown computer network traffic | |
| US20100046391A1 (en) | Apparatus and method for network analysis | |
| US20100027430A1 (en) | Apparatus and Method for Network Analysis | |
| CN105391687A (zh) | 一种向中小企业提供信息安全运维服务的系统与方法 | |
| CN109922073A (zh) | 网络安全监控装置、方法和系统 | |
| AU757353B2 (en) | Information security analysis system | |
| CN106055608A (zh) | 自动采集和分析交换机日志的方法和装置 | |
| CN103152352A (zh) | 一种基于云计算环境的全信息安全取证监听方法和系统 | |
| US20070180101A1 (en) | System and method for storing data-network activity information | |
| CN109039749A (zh) | 一种远程日志采集和加密传输系统及方法 | |
| CN105007175A (zh) | 一种基于openflow的流深度关联分析方法及系统 | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| CN110311927B (zh) | 数据处理方法及其装置、电子设备和介质 | |
| CN104539463B (zh) | 一种网络设备配置文件联机属性交叉检查方法及系统 | |
| Uramová et al. | Packet capture infrastructure based on Moloch | |
| CN105530137A (zh) | 流量数据分析方法及流量数据分析系统 | |
| Kshirsagar et al. | Network Intrusion Detection based on attack pattern | |
| CN114374530A (zh) | 基于实时网络流量进行监测分析的ids系统和检测方法 | |
| US20130205015A1 (en) | Method and Device for Analyzing Data Intercepted on an IP Network in order to Monitor the Activity of Users on a Website |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |