本发明涉及网络通信技术,涉及一种基于旁路的上网行为分析方法。
背景技术:
随着网络技术的不断发展,互联网和我们的工作、生活关系越来越紧密。互联网带来极大便利和改变的同时,也隐藏着巨大的风险。内部的重要文件、核心数据更容易通过网络流传出去,而无处可查。
现有技术中,通过使用预设的过滤条件提前过滤掉不需要分析的数据包,减少上网行为分析系统所在设备的负担,预设的过滤条件是通过大量使用上网行为分析系统,在不断的优化后得到的一个超集,在使用过程中还可以及时调整;通过使用协议分析引擎分析数据包来获取数据包的详细操作,引擎中规则根据匹配数据包数可能被动态调整,所以分析数据包更准确、更有效。
在现有技术中,仅通过查询数据包中mac地址、ip地址的有效性对数据包进行过滤,但是仅通过mac地址、ip地址的有效性过滤数据包,没有结合实际场景,也就是说,过滤的效果并不理想。
在现有技术中,仅通过固定协议分析引擎判断数据包的详细操作,没有考虑数据包是应用程序联网通讯的内容,应用程序很容易变化,导致数据包也很容易变化,也就是,可能分析不出上网详细操作,也可能分析出错误上网详细操作。
技术实现要素:
本发明的目的就在于为了解决上述问题而提供一种基于旁路的上网行为分析方法。
本发明通过以下技术方案来实现上述目的:
一种基于旁路的上网行为分析方法,包括以下步骤:
(1)通过核心交换机镜像获取内网人员的上网数据包;
(2)根据网络协议格式,获取上网数据包中的mac地址和ip地址信息;
(3)根据网络协议格式,判断mac地址、ip地址的是否有效,若有效则继续执行步骤(4),若无效则执行步骤(11);
(4)根据预设的过滤条件,过滤掉满足条件的上网数据包,如不满足过滤条件则继续执行步骤(5),如果满足过滤条件则执行步骤(11);
(5)根据mac地址、ip地址确定上网数据包的对应真实身份;
(6)根据网络协议格式,获取上网数据包中的端口号信息;
(7)根据网络协议格式,判断端口号信息是否有效,若有效则继续执行步骤(8),若无效则执行步骤(11);
(8)根据端口号和预设的过滤条件,判断上网数据包是否应该丢弃,若不丢弃则继续执行步骤(9),若丢弃执行步骤(11);
(9)通过端口号确定上网数据包的基本行为,若能确定该上网数据包的基本行为则执行步骤(10),若不能确定则执行步骤(11);
(10)根据上网数据包的基本行为通过网络协议分析引擎确定上网数据包的详细操作过程,若能确定该上网数据包的详细操作过程,则在保存所确定的详细操作过程后执行步骤(11),若不能确定该上网数据包的详细操作过程则直接执行步骤(11);
(11)将上网数据包丢弃。
进一步地,所述核心交换机具有可将内网人员的上网数据包直接镜像复制出来的镜像功能。
进一步地,根据在同一台核心交换机上,每个mac地址和ip地址只能对应标识一个上网人员,可以判断出通过mac地址、ip地址便可确定上网数据包的对应真实身份。
进一步地,根据不同应用程序所使用的端口号可能不同,可以判断出通过端口号便可确定上网数据包的基本行为。
进一步地,所述过滤条件需要根据周期性从云端服务器获取到的最新配置信息进行更新。
进一步地,所述网络协议分析引擎包含能分析出上网详细操作过程的若干条规则,每条规则具有自己的参数,根据网络协议分析引擎中的规则,可判断上网数据包是否包含需要记录的上网详细操作信息,如果包含有需记录的信息,则将其记录。
更进一步地,所述网络协议分析引擎需要根据周期性从云端服务器获取到的协议分析引擎信息进行更新。
更进一步地,若所述网络协议分析引擎中的某条规则在指定的时间段内匹配的上网数据包数量超过预先配置的阀值,则标记这条规则,并上报至云端服务器核查;若网络协议分析引擎中某条规则在指定的时间段内匹配的上网数据包数量低于预先配置的阀值,则标记这条规则,并上报至云端服务器核查。
进一步地,步骤(10)中上网数据包的详细操作过程需要周期性的上传到云端服务器。
本发明的有益效果在于:
与现有技术相比,本发明通过mac地址、ip地址、端口号和过滤条件对上网数据包进行过滤,过滤效率更高;网络协议分析引擎和过滤条件都是周期性的根据云端服务器进行更新的,实现了动态调整,更能灵活的适宜不同的网络环境,有效减少了分析上网数据包的失误率。
附图说明
图1是本发明所述上网行为分析方法的流程图。
具体实施方式
下面结合附图对本发明作进一步说明:
结合图1所示,本发明所述上网行为分析方法如下:
(1)通过核心交换机镜像获取内网人员的上网数据包,核心交换机具有可将内网人员的上网数据包直接镜像复制出来的镜像功能;
(2)根据网络协议格式,获取上网数据包中的mac地址和ip地址信息;
(3)根据网络协议格式,判断mac地址、ip地址的是否有效,若有效则继续执行步骤(4),若无效则执行步骤(11);
(4)根据预设的过滤条件,过滤掉满足条件的上网数据包,如不满足过滤条件则继续执行步骤(5),如果满足过滤条件则执行步骤(11);
(5)根据mac地址、ip地址确定上网数据包的对应真实身份,这样做的依据是因为在同一台核心交换机上,每个mac地址和ip地址只能对应标识一个上网人员;
(6)根据网络协议格式,获取上网数据包中的端口号信息;
(7)根据网络协议格式,判断端口号信息是否有效,若有效则继续执行步骤(8),若无效则执行步骤(11);
(8)根据端口号和预设的过滤条件,判断上网数据包是否应该丢弃,若不丢弃则继续执行步骤(9),若丢弃执行步骤(11);
(9)通过端口号确定上网数据包的基本行为,若能确定该上网数据包的基本行为则执行步骤(10),若不能确定则执行步骤(11),这样操作方式的依据是因为不同应用程序所使用的端口号可能不同;
(10)根据上网数据包的基本行为通过网络协议分析引擎确定上网数据包的详细操作过程,若能确定该上网数据包的详细操作过程,则在保存所确定的详细操作过程后执行步骤(11),若不能确定该上网数据包的详细操作过程则直接执行步骤(11),保存在本地的上网数据包详细操作过程需要周期性的上传到云端服务器,以便以后对内网人员的上网操作历史进行检查;
(11)将上网数据包丢弃。
本发明中所用到的过滤条件需要根据周期性从云端服务器获取到的最新配置信息进行更新,以便更能灵活的适宜不同的网络环境,过滤条件为数据包原ip地址和网关ip地址是否在同一个网段、原ip地址是否在过滤列表中;网络协议分析引擎需要根据周期性从云端服务器获取到的协议分析引擎信息进行更新,从而有效减少了分析上网数据包的失误率。网络协议分析引擎包含能分析出上网详细操作过程的若干条规则,每条规则具有自己的参数,根据网络协议分析引擎中的规则,可判断上网数据包是否包含需要记录的上网详细操作信息,如果包含有需记录的信息,则将其记录。若网络协议分析引擎中的某条规则在指定的时间段内匹配的上网数据包数量超过预先配置的阀值,则标记这条规则,并上报至云端服务器核查;若网络协议分析引擎中某条规则在指定的时间段内匹配的上网数据包数量低于预先配置的阀值,则标记这条规则,并上报至云端服务器核查。
以上仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围内。