一种WLAN集中审计方法和装置与流程

本发明涉及无线数据审计技术领域，尤其涉及一种WLAN集中审计方法和装置。

背景技术：

由于前端无线访问接入点(Access Point，AP)设备的硬件性能有限，很多公共场所的WLAN上网行为都没有落实安全审计义务，造成很多场所审计的网络安全监管空白。目前，针对公共场所的安全审计方法主要有两种：一种是通过带安全审计功能的AP来实现；一种是利用旁路审计设备来实现。

专有的带安全审计功能的AP设备是由国内的一些安全审计厂商定制开发的，其审计功能都是在单台设备上完成的，在AP设备上进行数据流的还原解析和病毒规则匹配，因此审计能力受限于设备的计算能力和存储能力，可靠性受限于设备的硬件质量，硬件成本高，很难大面积推广；同时为了达到更高的审计效果，需要上报更多的原始数据到云审计平台进一步处理，由于受带宽的影响，上传的数据越多，对用户的上网体验影响越大。

旁路审计设备是通过在交换机上配置端口镜像，把场所的数据镜像一份再送给另外的审计设备。此种方式存在两个弊端：第一，小场所的交换机通常都不支持端口镜像功能；第二，旁路设备直接插入交换机，以旁路侦听的方式分析数据包，这种方式对上网行为的管理作用有限。

技术实现要素：

本发明的目的在于针对现有技术中AP设备中嵌入审计能力受限于设备的硬件配置，而造成导致审计能力差、难以维护的问题，提供一种WLAN集中审计方法和装置以利用串接设备高性能CPU和大容量内存，在设备前端本地进行原始数据的解析，不再将原始数据上传到云审计平台来实现将大量的公共AP设备进行集中审计和管理。

一方面，本发明实施例提供一种WLAN集中审计方法，包括以下步骤：

采集原始数据包，对所述原始数据包进行识别处理，生成格式化日志；

将所述格式化日志存入所述存储模块；

将所述存储模块中存储的所述格式化日志发送至云审计平台；以及

向所述云审计平台发送心跳信号，展示所述WLAN集中审计装置的工作状态。

优选地，还包括：

向设备控制中心发送所述心跳信号，向所述设备控制中心展示所述WLAN集中审计装置的工作状态；以及

接收来自所述设备控制中心的控制命令，根据所述控制命令执行对应操作。

优选地，所述控制命令包括开/关审计功能、连接所述云审计平台、策略下发、审计版本升级/安装、协议特征库升级以及重启设备命令。

优选地，采集原始数据包，对所述原始数据包进行识别处理，生成格式化日志的所述步骤包括：

通过配置文件选择不同的数据捕获方式，运行不同的模式捕获所述原始数据包；

对所述原始数据包的数据流进行识别，将对应的数据流标记为对应的协议类型；以及

将所述数据流的内容格式化为符合网监要求的所述格式化日志，发送到所述存储模块。

相应地，本发明还提供一种WLAN集中审计装置，包括审计模块、存储模块以及第一通信模块，所述存储模块连接于所述审计模块和所述第一通信模块，其中，

所述审计模块用于采集原始数据包，对所述原始数据包进行识别处理，生成格式化日志，并将所述格式化日志存入所述存储模块；以及

所述第一通信模块用于将所述存储模块中存储的所述格式化日志发送至云审计平台，同时向所述云审计平台发送心跳信号，展示所述WLAN集中审计装置的工作状态。

优选地，还包括：

第二通信模块，用于向设备控制中心发送所述心跳信号，向所述设备控制中心展示所述WLAN集中审计装置的工作状态，同时接收来自所述设备控制中心的控制命令，根据所述控制命令执行对应操作。

优选地，所述控制命令包括开/关审计功能、连接所述云审计平台、策略下发、审计版本升级/安装、协议特征库升级以及重启设备命令。

优选地，所述第二通信模块还用于管理设备厂家信息和场所资料信息。

优选地，所述审计模块包括：

采集单元，用于通过配置文件选择不同的数据捕获方式，运行不同的模式捕获所述原始数据包；

识别单元，用于对所述原始数据包的数据流进行识别，将对应的数据流标记为对应的协议类型；以及

格式化单元，用于将所述数据流的内容格式化为符合网监要求的所述格式化日志，发送到所述存储模块。

优选地，所述第一通信模块还用于将用户的上下线信息发送到所述云审计平台，以展示用户的上线或下线信息。

实施本发明实施例，具有如下有益效果：本发明提供的WLAN集中审计方法和装置，针对公共场所多台AP设备组成的无线局域网，对用户上网行为进行全审计，并保持设备原有部署结构不发生任何变化情况下，在设备前端本地进行原始数据的解析，不再将原始数据上传到云审计平台，由此，大大降低审计数据消耗的网络带宽，改善了用户的上网体验，实现高审计效果；在前端设备上完成终端用户上网行为的全审计，并将审计后的数据直接传送给云审计平台，再由云审计平台传输给第三方管综系统；利用设备控制中心对审计功能灵活控制，包括审计版本升级/安装、开/关审计功能、审计协议特征库升级、审计策略下发、同步设备场所资料。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的WLAN集中审计装置的应用场景示意图；

图2是本发明实施例一提供的WLAN集中审计装置的原理图；

图3是图2所示的WLAN集中审计装置的审计模块的原理图；

图4是本发明实施例二提供的WLAN集中审计装置的原理图；

图5是本发明实施例三提供的WLAN集中审计方法的流程图；

图6是本发明实施例四提供的WLAN集中审计方法的流程图；。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1是本发明提供的WLAN集中审计装置的应用场景示意图。如图1所示，该站点使用多台AP来实现WLAN覆盖，利用二层或三层交换机做汇聚，使用防火墙设备作为出口网关进行互联网接入。WLAN集中审计装置嵌入在防火墙中，对用户产生的上网行为进行审计，将原始数据进行本地解析，提取用户的行为日志(包括网页浏览和虚拟身份轨迹)并传给云审计平台，再由云审计平台将数据传到第三方管综系统。此外，利用设备控制中心实现对审计功能的灵活控制。

实施例一

本发明实施例提供了一种WLAN集中审计装置。参见图2，该WLAN集中审计装置包括审计模块210、存储模块220以及第一通信模块230，所述存储模块220连接于所述审计模块210和所述第一通信模块230。

在本实施例中，所述审计模块210用于采集原始数据包，对所述原始数据包进行识别处理，生成格式化日志，并将所述格式化日志存入所述存储模块220。具体地，如图3所示，审计模块210包括：

采集单元212，用于通过配置文件选择不同的数据捕获方式，运行不同的模式捕获所述原始数据包；

识别单元214，用于对所述原始数据包的数据流进行识别，将对应的数据流标记为对应的协议类型；以及

格式化单元216，用于将所述数据流的内容格式化为符合网监要求的所述格式化日志，发送到所述存储模块220。

审计模块210通过采集单元212来根据配置文件选择不同的数据捕获方式，有mmap、pcap、pfring、pag等，通过灵活的配置，运行不同的模式进行原始数据包捕获；并采用协议识别引擎来实现对数据流的识别，识别后将对应的数据流标记为该协议类型并将审计到的内容格式化成网监要求的格式，入到Redis队列中。通过审计模块210，在前端设备上完成终端用户上网行为的全审计。在设备前端本地进行原始数据的解析，不再将原始数据上传到云审计平台，并按照中华人民共和国公安部82号令要求，形成主要的日志格式，进行审计数据上报，大大降低审计数据消耗的网络带宽，改善了用户的上网体验，实现了高审计的目的。

在本实施例中，所述存储模块220为Redis服务器。Redis是一个key-value存储系统，它支持存储的value类型相对更多，包括string(字符串)、list(链表)、set(集合)、zset(sorted set--有序集合)和hash(哈希类型)。

在本实施例中，所述第一通信模块230用于将所述存储模块220中存储的所述格式化日志发送至云审计平台，同时向所述云审计平台发送心跳信号，展示所述WLAN集中审计装置的工作状态。具体地，第一通信模块将Redis服务器中的日志发送到云审计平台，由云审计平台将数据传到第三方管综系统；通过向云审计平台发送的心跳，保持与云审计平台之间的通信正常，用于展示该集中审计装置的当前运行状态。

优选地，所述第一通信模块230还用于将用户的上下线信息发送到所述云审计平台，以展示用户的上线或下线信息。由此，云审计平台还可以进一步掌握统计用户的登录情况，方便进行安全监管。

本实施例提供的WLAN集中审计装置，针对公共场所多台AP设备组成的无线局域网，对用户上网行为进行全审计，并保持设备原有部署结构不发生任何变化情况下，在前端设备上完成终端用户上网行为的全审计，并将审计后的数据直接传送给云审计平台，再由云审计平台传输给第三方管综系统，减少审计数据消耗网络带宽，实现高审计效果。

实施例二

本发明实施例提供了一种WLAN集中审计装置。参见图4，与图2所示的WLAN集中审计装置的不同之处在于，该WLAN集中审计装置还包括与设备控制中心通信的第二通信模块240。

如图4所示，该WLAN集中审计装置：

审计模块210，用于采集原始数据包，对所述原始数据包进行识别处理，生成格式化日志，并将所述格式化日志存入所述存储模块220；

存储模块220，用于存储所示格式化日志；

第一通信模块230，用于将所述存储模块220中存储的所述格式化日志发送至云审计平台，同时向所述云审计平台发送心跳信号，展示所述WLAN集中审计装置的工作状态；以及

第二通信模块240，用于向设备控制中心发送所述心跳信号，向所述设备控制中心展示所述WLAN集中审计装置的工作状态，同时接收来自所述设备控制中心的控制命令，根据所述控制命令执行对应操作。

进一步地，所述控制命令包括开/关审计功能、连接所述云审计平台、策略下发、审计版本升级/安装、协议特征库升级以及重启设备命令。具体地，通过开/关审计功能控制命令，可以对该WLAN集中审计装置的审计功能进行控制；通过连接所述云审计平台控制命令，可以实现该WLAN集中审计装置与云审计平台之间的连接或断开；通过策略下发控制命令，可以实现将设备控制中心的具体审计策略下发到该WLAN集中审计装置；通过审计版本升级/安装控制命令，可以实现对该WLAN集中审计装置的更新；通过协议特征库升级控制命令，可以将控制中心新增的需审计的协议增加到该WLAN集中审计装置；通过重启设备命令可以实现该WLAN集中审计装置的重新启动。

进一步地，第二通信模块240还用于管理设备厂家信息和场所资料信息。

本实施例提供的WLAN集中审计装置，通过第二通信模块实现设备控制中心对审计功能的灵活控制。

实施例三

本发明实施例提供了一种WLAN集中审计方法。参见图5，该WLAN集中审计方法包括以下步骤：

步骤S1：采集原始数据包，对所述原始数据包进行识别处理，生成格式化日志；

步骤S2：将所述格式化日志存入所述存储模块；

步骤S3：将所述存储模块中存储的所述格式化日志发送至云审计平台；以及

步骤S4：向所述云审计平台发送心跳信号，展示所述WLAN集中审计装置的工作状态。

需要说明的是，上述步骤S3和步骤S4的顺序仅为示例性说明，并不做具体限定。

进一步地，步骤S1包括：

通过配置文件选择不同的数据捕获方式，运行不同的模式捕获所述原始数据包；

对所述原始数据包的数据流进行识别，将对应的数据流标记为对应的协议类型；以及

将所述数据流的内容格式化为符合网监要求的所述格式化日志，发送到所述存储模块。

本实施例提供的WLAN集中审计方法，针对公共场所多台AP设备组成的无线局域网，对用户上网行为进行全审计，并保持设备原有部署结构不发生任何变化情况下，在前端设备上完成终端用户上网行为的全审计，并将审计后的数据直接传送给云审计平台，再由云审计平台传输给第三方管综系统，减少审计数据消耗网络带宽，实现高审计效果。

实施例四

本发明实施例提供了一种WLAN集中审计方法。参见图6，该WLAN集中审计方法包括以下步骤：

步骤S1：采集原始数据包，对所述原始数据包进行识别处理，生成格式化日志；

步骤S2：将所述格式化日志存入所述存储模块；

步骤S3：将所述存储模块中存储的所述格式化日志发送至云审计平台；

步骤S4：向所述云审计平台发送心跳信号，展示所述WLAN集中审计装置的工作状态。

步骤S5：向设备控制中心发送所述心跳信号，向所述设备控制中心展示所述WLAN集中审计装置的工作状态；

步骤S6：接收来自所述设备控制中心的控制命令，根据所述控制命令执行对应操作。

需要说明的是，上述步骤S3至步骤S6的顺序仅为示例性说明，并不做具体限定。

优选地，所述控制命令包括开/关审计功能、连接所述云审计平台、策略下发、审计版本升级/安装、协议特征库升级以及重启设备命令。

本实施例提供的WLAN集中审计方法，在对数据进行本地全审计的基础上，，还可以实现设备控制中心对审计功能的灵活控制。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。