专利名称:网络监控数据的升级方法和装置的制作方法
技术领域:
本发明涉及计算机网络技术领域,更具体地,涉及一种网络监控数据的升级方法 和装置。
背景技术:
随着网络的发展,网络信息安全关系着公司的很多方面利益,很多公司对内部计 算机访问外部网络有严格的监控。这种监控系统又称为用户行为审计系统。目前,公司内部网络的用户行为审计系统对用户的网络操作进行监视,其基本处 理流程是以将应用识别引擎集成在IPS内,IPS为具有审计功能的审计装置,如统一接入网 关(UAG,Unified AccessGateway)路由器、具备路由功能的交换机等。计算机的报文经过审计装置时,审计装置识别出报文所属的网络协议,在协议识 别之后的基础上再对协议载荷进行审计特征识别,协议载荷为此协议的报文所封装的内容 数据,如网页、聊天、邮件等数据内容。审计特征为所监控数据的关键词,通过判断出不同的 协议后,按照此协议需要监控的关键词,判断协议载荷中是否存在这些关键词,例如,判断 报文属于邮件协议或即时消息的协议后,截取里面的收件人邮箱或聊天内容等;判断报文 属于XML协议后,判断报文中是否含有非法网站地址这类关键词。对于不同的协议报文,对应有不同的审计特征,调用此协议报文相对应的处理函 数进行审计,提取报文中的关键词判断是否合法,即判断报文中是否含有与审计特征相同 或相近似的关键词,判断出非法的关键词作为审计结果以日志的形式存储到数据库中,也 可将审计日志发送到远程主机,远程主机通过解析日志文件将结果显示给管理员。目前的用户行为审计系统所支持业务的审计特征都是固化在审计装置中并预先 定义好的,当编译后的系统版本运行在装置上就可以对支持的业务进行审计。当系统版本 需要升级,比如要对审计装置中的审计特征进行修改、删除等操作,或是新增审计特征,需 要修改审计装置中的平台代码,并重新编译系统版本,将编译后的系统版本更新到审计装 置完成升级操作。由于用户需要频繁改变被审计的网络协议和审计业务,审计装置内则需要重新启 动、下载新的审计特征,修改固化在内部相应审计特征,并重新编译版本,频繁的重启、升级 过程花费较长时间,降低了审计装置的工作效率。
发明内容
本发明旨在提供一种网络监控数据的升级方法和装置,其能够解决审计装置升级 的过程中,由于修改固化在审计装置内的审计特征,并重新编译版本,重启、升级过程时间 较长的问题。根据本发明的一个方面,提供了一种网络监控数据的升级方法,包括更新存储在 数据库中作为网络监控数据的审计特征,通过审计装置获取审计特征,按照审计特征监控 网络中的数据。
进一步地,更新操作之前,还包括备份数据库中的审计特征。
进一步地,更新操作之后,还包括将数据库加密成审计特征库。进一步地,通过审计装置获取审计特征的步骤包括将审计特征库解密成数据库并 读取数据库中的审计特征;在读取失败的情况下,读取备份的数据库的审计特征。进一步地,数据库或审计特征库安装在一个与审计装置连接的服务器中。根据本发明的另一个方面,还提供一种网络监控数据的升级装置,包括更新模块, 用于更新存储在数据库中作为网络监控数据的审计特征;获取模块,用于通过审计装置获 取审计特征;以及监控模块,用于响应审计特征监控网络中的数据。进一步地,升级装置还包括备份模块,用于在更新模块执行更新操作之前,备份数 据库的审计特征。进一步地,升级装置还包括加密模块,用于在更新模块执行更新操作之后,将数据 库加密成审计特征库。进一步地,监控模块包括解密模块,用于将审计特征库解密成数据库;读取模块, 用于读取数据库中的审计特征;如果读取失败,则读取备份模块中备份的数据库中的审计 特征;以及审计模块,用于通知读取模块读取的审计特征,监控网络中的数据。进一步地,以上所述审计装置为路由器、交换机、或代理服务器。因为本发明采用了将固化在审计装置中的特征库存在可升级并修改的数据库中 且不需要编译、重新启动,所以克服了审计装置重启、升级的过程中,由于修改固化在审计 装置内的审计特征,并重新编译版本,升级过程时间较长的问题,进而达到了节省升级时 间,提高审计装置的工作效率的效果。
附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实 施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1示出了根据本发明一个实施例的网络装置结构框图;图2示出了根据本发明方法的一个实施例的流程图;图3示出了根据本发明第二和第三个实施例的网络装置结构框图;图4示出了根据本发明方法第二个实施例的流程图;图5示出了根据本发明方法第三个实施例的流程图;以及图6示出了根据本发明第四个实施例的结构框图。
具体实施例方式下面将参考附图并结合实施例,来详细说明本发明。本发明将固化在审计装置10中审计特征,以数据库12的形式保存,数据库可集成 在审计装置10中,也可以单独集成在与审计装置10连接的服务器16中。从而在对审计特 征进行升级时,可直接修改数据库12中的审计特征,不必修改、编译固化在审计装置10内 的审计特征,从而节省了时间,提高了审计装置10的工作效率。本发明的实现方式有多种形式,下面详细描述各个实施例中审计特征的升级过禾呈。
下面结合附图详细说明根据本发明的第一个实施例,该实施例中,存储审计特征 的数据库12集成在服务器16内,如图1所示的网络装置的结构示意图,审计装置10连接 服务器16,并从服务器16中的数据库12读取审计特征。审计装置10连接远程监控中心的 客户端14,由用户通过客户端14修改审计装置10的数据库12中的审计特征,审计装置10 连接装置1至装置N,审计各个装置发送或接收到的数据。根据本发明的方法应用在图1所 示的网络装置中,下面通过本发明所应用的网络环境装置并结合图2所示的流程图详细说 明实施例一,实施例一包括以下步骤S20 服务器16更新存储在数据库12中作为网络监控数据的审计特征。优选地,服务器16接收管理员输入的修改信息,并根据修改信息来更新存储在数 据库12中作为网络监控数据的审计特征。管理员可通过服务器16连接的远程管理中心的 客户端14,由管理员通过客户端14修改数据库12中审计特征,这些审计特征包括需要审 计的报文协议,如TCP/IP协议报文、XML协议报文、邮件传输协议报文等,以及每种协议所 对应的要审计的关键词,如网址、即时消息、邮件中的收件人等审计特征。在更新操作完成 之后,即可实现审计特征的升级,这些审计特征作为后续的监控数据。S22 审计装置10读取审计特征,使用审计特征监控网络中的数据。审计装置10读取数据库12中的审计特征,并监控网络中的数据。审计装置10可 以是路由器、交换机、或代理服务器等,可按照IP地址或MAC地址监控每个地址所对应审计 装置10的收发的数据,这些审计装置10与审计装置10连接,包括装置1至装置N,通过审 计装置10收发数据,审计装置10从收发的数据中监控相应的审计特征,并将监控的审计特 征以日志形式发送至连接的远程监控中心的客户端14,还可以同时保存在存储审计特征的 数据库内。上面详细描述了根据本发明的实施例一,在该实施例中,可以通过数据库升级审 计特征,审计装置10直接读取数据库12中更新后的审计特征,并使用读取的审计特征监控 数据。由于避免了更新、编译固化在审计装置10内的审计特征,可有效节省升级时间,提高 审计装置10的工作效率。当然,存储审计特征的数据库12还可以集成在审计装置10内部,如图3所示,用 户通过审计装置10连接的I/O装置20对数据库中的审计特征进行修改。为便于审计特征 不被任意修改、或泄密,还可对审计特征进行加密,并使用加密后的审计特征进行升级。下 面通过图4所示的第二个实施例说明此流程,该流程包括以下步骤S40 审计装置10对审计特征或数据库进行加密。审计装置10加密用于升级的审 计特征或存储审计特征的数据库,加密后的数据库12也可定义为审计特征库18。S42 更新审计装置10内的审计特征库18。用户可通过外部存储器连接审计装置 10,如U盘或读卡器等,由审计装置10自动更新连接的U盘或读卡器中存储卡的审计特征 库18,或通过审计装置10连接的I/O装置20,修改审计特征库18内的审计特征。S44 审计装置10解密审计特征库18,读取解密后的数据库12中的审计特征。在 审计装置10更新审计特征库18以后,解密审计特征库18,恢复数据库12,读取数据库12 中的审计特征。S46 审计装置10使用读取的审计特征,监控网络中的数据。在上述第二实施例 中,通过加密审计特征或数据库12,在升级的同时,还可有效防止审计特征随意被改动,避免被修改的审计特征导致审计装置10监控失效。在审计特征升级的过程中,如果将数据库12或审计特征库18直接覆盖升级前的 数据库12或审计特征库18,有时会出现升级失败的情况,从而导致升级后的审计装置10无 法实现审计功能,为避免这种情况,可在升级操作前,备份数据库12或审计特征库18,下面 通过实施例三说明,参见图5和图3,其包括以下步骤S500 审计装置10执行审计功能。审计装置10响应审计特征对网络中的数据进 行审计。S502 为审计装置10选择用于升级的审计特征库18。用户通过审计装置10连接 的I/O装置20为审计装置10选择用于升级的审计特征库18。S504 审计装置10停止当前的审计功能。S506 审计装置10备份当前的审计特征库18。在审计装置10停止操作后,审计 装置10备份当前使用的审计特征库18或数据库12。S508 审计装置10更新审计特征库18。审计装置10按照S502选择的审计特征 库18更新。当然,如果审计特征存储在第一实施例中与审计装置10连接的服务器16上, 可由服务器16升级审计特征库18或数据库12,S510 审计装置10读取审计特征库18并解密,恢复数据库12。S512 审计装置10获得数据库12中的审计特征,并判断是否可用,如果是,则执行 S500,审计装置10按照审计特征对网络中的数据进行审计。如果否,则执行S514。S514 审计装置10还原备份的审计特征库18,并执行S508。经过上述的步骤,当审计装置10在升级过程中,如果出现了升级失败的情况,可 选择备份的审计特征库18或数据库12继续使用。从而即使出现因升级失败导致的审计装 置10失效,审计装置10还可恢复并继续使用。在上述的实施例三中,审计装置10还可能初始化,如执行S506a,在S506a的步骤 之后,执行S508等步骤以执行审计操作。上面详细说明了根据本发明方法的实施例,根据本发明的方法可以采用各种装置 的形式集成在审计装置10中,如集成在代理服务器、路由器、交换机、网关等装置中,还可 集成在与审计装置10连接的服务器16中,均不影响本发明的实现。下面通过实施例四描 述根据本发明的优选升级装置,参见图6,该升级装置包括更新模块60,用于更新存储在数 据库12中作为网络监控数据的审计特征;监控模块62,用于控制审计装置10读取审计特 征,并响应审计特征监控网络中的数据。优选地,该升级装置还包括备份模块64,用于在更新模块60执行更新操作之前, 响应相连接的更新模块60,备份数据库12的审计特征。以便于后续的恢复过程中,由连接 的读取模块622读取备份模块64中的备份的数据库12的审计特征。优选地,该升级装置还包括加密模块66,用于在所述更新模块60执行所述更新操 作之后,响应更新模块60,将数据库12加密成审计特征库18。优选地,监控模块62包括解密模块620,用于将所述审计特征库18解密成数据库 12 ;读取模块622,用于读取解密模块620所解密出的数据库12中的审计特征;如果读取失 败,则读取备份模块64中备份的数据库12的审计特征;审计模块624,用于通知读取模块 622读取的审计特征,监控网络中的数据。
优选地,所述审计装置10为路由器、交换机、或代理服务器。本发明的装置可集成 在审计装置10内部,也可集成在存储器中,可插拔连接审计装置10,便于用户使用。本发明的技术效果在于,因为本发明采用了将固化在审计装置中的审计特征库存 在可升级并修改的数据库中、且不需要编译,所以克服了审计装置升级的过程中,由于修改 固化在审计装置内的审计特征,并重新编译版本,升级过程时间较长的问题,进而达到了节 省升级时间,提高审计装置的工作效率的效果。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而可以将它们存储在 存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中 的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬 件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
一种网络监控数据的升级方法,包括数据库和审计装置,其特征在于包括以下步骤更新存储在所述数据库中作为所述网络监控数据的审计特征;通过所述审计装置读取所述审计特征;以及按照所述审计特征监控网络中的数据。
2.根据权利要求1所述的方法,其特征在于,在所述更新步骤之前备份所述数据库中 的所述审计特征。
3.根据权利要求2所述的方法,其特征在于,在所述更新步骤之后将所述数据库加密 成审计特征库。
4.根据权利要求3所述的方法,其特征在于,所述读取所述审计特征的步骤包括 通过所述审计装置解密所述审计特征库成所述数据库;读取所述数据库中的所述审计特征;以及如果读取失败,则读取备份的所述数据库的审计特征。
5.根据权利要求1至4中任一项所述的方法,其特征在于所述审计装置为路由器、交换 机、或代理服务器。
6.根据权利要求5所述的方法,其特征在于所述数据库或所述审计特征库安装在一个 服务器中,所述服务器连接至所述审计装置。
7.—种网络监控数据的升级装置,包括数据库和审计装置,其特征在于包括 更新模块,用于更新存储在所述数据库中作为所述网络监控数据的审计特征; 获取模块,用于通过所述审计装置获取所述审计特征;以及监控模块,用于响应所述审计特征监控网络中的数据。
8.根据权利要求7所述的装置,其特征在于还包括备份模块,用于在所述更新模块执 行所述更新操作之前,备份所述数据库的审计特征。
9.根据权利要求8所述的装置,其特征在于还包括加密模块,用于在所述更新模块执 行所述更新操作之后,将所述数据库加密成审计特征库。
10.根据权利要求9所述的装置,其特征在于所述获取模块包括 解密模块,用于将所述审计特征库解密成所述数据库;读取模块,用于读取所述数据库中的所述审计特征;如果读取失败,则读取所述备份模 块中备份的所述数据库的所述审计特征;审计模块,用于通过所述读取模块读取的所述审计特征监控网络中的数据。
11.根据权利要求7至10中任一项所述的装置,其特征在于所述审计装置为路由器、交 换机、或代理服务器。
全文摘要
本发明提供了一种网络监控数据的升级方法和装置,本发明的方法包括更新存储在数据库中作为所述网络监控数据的审计特征;审计装置读取所述审计特征,监控网络中的数据。本发明还可加密数据库或数据库中的审计特征,防止被修改;在升级过程中备份数据库,如果升级失败,还可恢复并不影响其审计功能。由于将固化在审计装置中的特征库存在可执行修改、升级的数据库中,所以克服了由于修改固化在审计装置内的审计特征,并重新编译版本,升级过程时间较长的问题,节省升级时间,提高审计装置的工作效率。
文档编号H04L12/26GK101931625SQ20101025536
公开日2010年12月29日 申请日期2010年8月13日 优先权日2010年8月13日
发明者张晓东, 李晶楠, 杨光, 田海燕 申请人:杭州迪普科技有限公司