网络请求的记录方法、服务器及计算机可读存储介质与流程

本发明涉及计算机技术，特别涉及一种网络请求的记录方法、服务器及计算机可读存储介质。

背景技术

现有的数据中心审计技术按照审计对象可以分为服务器操作审计和网络策略、流量审计和协议分析这三类。

服务器操作审计主要是获取并记录服务器操作系统登录的用户名、ip地址、登录时间及用户使用的操作系统命令等信息，利用记录的操作信息进行回溯完成对服务器的审计工作，服务器操作审计存在无法记录审计操作系统中运行编译过的可执行程序的行为的问题，操作审计仅能记录下运行了某个可执行程序，而无法确定该程序是否有请求敏感数据或对外泄露数据的行为，可执行程序被删除后，则无法继续审计定位。

网络策略、流量审计是在防火墙等网络设备上对传输的网络流量抽样存储后进行分析，用于审计点到点的网络传输策略和链路流量变化情况，网络策略、流量审计仅适用于对防火墙等网络设备有管理权限的自建数据中心环境，而对于租用云服务器等场景不适用，并且在网络设备上仅能审计点到点的网络策略，而无法确认使用该网络策略的服务是否存在异常。

协议分析是通过对特定应用协议进行分析得到操作行为，并将行为记录到审计日志以供回溯分析。协议分析不适用于加密协议、私有协议等场景，并且由于需要对应用协议的报文进行存储和分析计算，对审计系统的存储空间和计算性能要求较高，应用场景局限性较大，并且协议分析是根据分析得到的操作行为进行审计，不能确定行为的发起进程，无法审计恶意进程。

技术实现要素：

本发明实施例提供一种网络请求的记录方法、服务器及计算机可读存储介质，能够追踪发现请求敏感数据或外泄数据等恶意进程，从而提供审计支持。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供一种网络请求的记录方法，包括：

在目标服务器中建立审计进程；

通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息。

其中，所述方法还包括：

在所述审计进程中，以随机采集周期τ，对所述网络请求、及所述网络请求对应的进程信息进行采集；

其中，τ的变化范围满足：1s≤τ<2·msl；msl为报文最长存活时间。

其中，所述方法还包括：

在所述审计进程中接收审计管理服务器发送的审计信任规则。

其中，所述方法还包括：

将已采集到的网络请求与所述审计信任规则进行匹配，对于已匹配的网络请求在所述审计进程中不予记录。

其中，所述方法还包括：

对于未匹配所述审计信任规则的网络请求，根据服务器间网络请求的进程信息比对，在所述审计进程中对所述网络请求生成信任或排查的建议处理方式。

其中，所述方法还包括：

对于未匹配所述审计信任规则的网络请求，根据已信任的网络请求的进程信息比对，在所述审计进程中对所述网络请求生成信任或排查的建议处理方式。

本发明实施例提供一种服务器，包括：

建立模块，用于建立审计进程；

记录模块，用于通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息。

其中，所述服务器还包括采集模块，

所述采集模块，用于在所述审计进程中，以随机采集周期τ，对所述网络请求、及所述网络请求对应的进程信息进行采集；

其中，τ的变化范围满足：1s≤τ<2·msl；msl为报文最长存活时间。

其中，所述服务器还包括接收模块，

所述接收模块，用于审计进程接收审计管理服务器发送的审计信任规则。

本发明实施例提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例所提供的网络请求的记录方法。

本发明实施例的技术方案中，通过在目标服务器中建立审计进程，以及通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息，从而可以完成对数据传输的进程信息进行记录，从而能够追踪发现请求敏感数据或外泄数据等恶意进程。

附图说明

图1为本发明实施例的一种针对网络请求的记录方法的流程图；

图2为本发明实施例的一种针对网络请求的审计采集方法流程图；

图3为本发明实施例的一种针对网络请求增加信任与主动发现的流程图；

图4为本发明实施例的一种服务器的结构示意图；

图5为本发明实施例的一种服务器的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

如图1所示，为本发明实施例的一种针对网络请求的记录方法的流程示意图，下面分别对各个步骤进行说明。

步骤101：在目标服务器中建立审计进程。

在需要审计的目标服务器中，部署审计进程，这里的审计进程负责记录服务器中进行的网络请求及其对应的进程信息，以及实现与审计管理服务器一起实现信任添加和异常上报的功能，关于信任添加和异常上报的功能将在后续的内容中详细阐述。

步骤102：通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息。

审计进程每次记录的信息可选的包括：当前时间、进行网络请求的进程启动路径、环境变量、执行命令、进程运行时间(通过操作系统提供的网络资源使用接口和进程资源使用接口获得)、网络请求的传输方向(判断是主动对外请求或接收远端请求，通过操作系统提供的网络服务状态接口获得)、ip/端口信息(如果是主动对外请求则记录使用的本地ip及远端ip/端口，如果是接收远端请求则记录本地ip/端口及远端ip)。

其中，可选择在所述审计进程中进一步记录进程启动路径、环境变量，目的是为了审计发现恶意进程通过伪造进程名的方式来进行网络请求；伪造进程名的方法举例：某服务器的a目录执行进程名为process的业务进程正常访问用户付费接口，非法用户在b目录启动同样名为process的恶意进程执行批量的用户付费接口调用，仅通过进程名，无法区分正常业务进程与恶意进程。

本实施例中，因为明确记录网络请求及其对应的进程信息，因而采集信息全面，便于审计定位，从而能够追踪发现请求敏感数据或外泄数据等恶意进程；另外，适用场景广泛，不受服务类型、应用协议等限制。

在一个可选的实施例中，在所述审计进程中，以随机采集周期τ，对所述网络请求、及所述网络请求对应的进程信息进行采集；

其中，τ的变化范围满足：1s≤τ<2·msl；msl为报文最长存活时间。

在实际生产中，由于服务器操作系统配置的差异，每台服务器中tcp网络请求完成后的time_wait时间不同，time_wait为tcp通信中连接关闭后需要维护的一种状态，表示服务器在等待对端的响应，其时间周期为2倍的最msl，msl为最大分段寿命(msl，maximumsegmentlifetime)，是一个tcp分段可以存在与互联网系统中的最大时间，在不同服务器中设置存在差异；

为了保证记录全量的tcp网络请求，审计进程需要以小于time_wait时间的周期进行采集，即小于2倍msl，例如，某台服务器中time_wait的时间为20秒，即代表一次用时最短的tcp请求即连接成功后立即断开连接进入time_wait状态，整个请求在系统中存在审计线索的时间为20秒，若该服务器的审计进程以小于20秒的周期进行采集，则采集记录中不会遗漏最短时间的tcp请求。

另外，由于服务器中除tcp网络请求外，还存在udp网络请求，并且因为udp网络请求无连接的特性，只有在网络传输进行时做审计采集，才能记录到相应的网络请求及其对应的进程信息。为了采集全量tcp网络请求信息，同时尽可能采集udp网络请求信息，在可选的实施例中，引入随机时延配合进行审计信息的周期采集，如图2所示，具体步骤如下：

s11，获取操作系统中msl配置信息，计算对应的time_wait时间，time_wait时间为msl的2倍；

s12，审计进程发起网络请求信息采集并记录；

s13，审计进程等待一个随机时延τ后，返回步骤s12进行下一个周期的采集，这个随机时延τ的值大于等于1秒，小于time_wait。

如此，在可选的实施例中，实现了同时针对tcp网络以及udp网络进行审计采集，避免了特定udp网络请求绕过审计采集，保证了对网络请求信息采集的有效性。

在另一个可选的实施例中，在所述审计进程中接收审计管理服务器发送的审计信任规则，具体说明如下：

在完成审计记录的工作后，即可对敏感服务器的网络请求进行审计，为了提高审计效率、主动发现异常网络请求，需要对审计目标服务器上的正常业务使用的网络请求增加信任，具体步骤如下：

s21，审计管理服务器与待添加信任的目标服务器上的审计进程进行通信，获取去除重复项后的全量待信任网络请求信息(不包含审计记录中的当前时间和进程运行时间两项)；

s22，根据业务架构，将业务正常使用的网络请求和组件依赖的正常网络请求标注为信任；

s23，审计管理服务器将人工调整过的信任规则下发到目标服务器的审计进程。

在另一个可选的实施例中，将已采集到的网络请求与所述审计信任规则进行匹配，对于已匹配的网络请求在所述审计进程中不予记录，具体的添加信任的步骤还包括：

s24，目标服务器审计进程接收到审计管理服务器下发的信任规则后，将信任规则写入配置文件，后续采集网络请求信息后，与信任规则相匹配的网络请求数据则不再写入网络请求审计日志。

在另一个可选的实施例中，对于未匹配所述审计信任规则的网络请求，根据服务器间网络请求的进程信息比对，在所述审计进程中对所述网络请求生成信任或排查的建议处理方式，主动发现并进行异常上报的步骤具体包括：

s25，审计管理服务器定期获取目标服务器采集到的新增网络请求信息，如有新增未添加信任的网络请求，审计管理服务器会根据多服务器间进程比对的方式对新增的未添加信任的网络请求进行建议信任和建议排查的分类，例如：在生产环境中，出于容灾的考虑，实现特定功能的进程会部署在多台服务器上形成集群，如新增了多台服务器相同进程信息到某个ip/端口的未添加信任的网络请求，且发起网络请求的进程信息存在已信任的其他网络请求规则，通常是因为业务变更导致的新增网络请求，审计管理服务器则会向运维人员建议对这些网络请求进行批量信任，提高运维效率。

在另一个可选的实施例中，对于未匹配所述审计信任规则的网络请求，根据已信任的网络请求的进程信息比对，在所述审计进程中对所述网络请求生成信任或排查的建议处理方式。主动发现并上报的步骤具体还包括：

s26，对于未匹配所述审计信任规则的网络请求，根据已信任的网络请求的进程信息比对，在所述审计进程中对所述网络请求生成信任或排查的建议处理方式，例如，新增了服务器a上的某个进程到特定ip/端口的未添加信任的网络请求，且a服务器上的该进程从未有过信任规则，审计服务器则会向运维人员建议对这条网络请求进行审计定位，排查是否有恶意敏感数据访问或者数据泄露问题。最终添加信任的操作还是由目标服务器运维人员进行，审计管理服务器通过分析网络请求特征提供处理建议提高运维人员处理效率。

通过添加信任，可以大幅减小网络请求审计日志文件大小，有效提高审计效率；可选地，对于不符合审计信任规则的网络请求能够做到主动发现并给出具体的建议处理方式，形成有效的监控，降低了数据泄露风险。

需要说明的是，以上可选的实施例中，对于未匹配所述审计信任规则的网络请求，并不仅限于根据已信任的网络请求的进程信息比对，或是根据多服务器间进程进行比对，也可选择通过其他比对方式对所述网络请求进行处理。

在另一个可选的实施例中，如图3所示，为本发明实施例的一种针对网络请求增加信任与主动发现的流程图，该实施例包括上述s21～s26全部步骤的完整的添加信任与主动发现的方法，其中，s25/s26表示可选择s25或s26步骤来对网络请求进行处理；通过添加信任与主动发现结合的方式，实现了审计效率的提高以及有效监控的双重功能。

如图4所示，为本发明实施例的一种服务器的结构示意图，所述服务器包括：

建立模块301，用于建立审计进程；

记录模块302，用于通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息。

在一个可选择的实施例中，所述服务器还包括采集模块303，用于在所述审计进程中，以随机采集周期τ，对所述网络请求、及所述网络请求对应的进程信息进行采集；

其中，τ的变化范围满足：1s≤τ<2·msl；msl为报文最长存活时间。

本发明实施例的服务器中，接收模块304、匹配模块305以及处理模块306可根据实际业务构架，选择设置与否。

所述服务器可选择设置接收模块304，用于审计进程接收审计管理服务器发送的审计信任规则。

所述服务器可选择设置匹配模块305，用于将已采集到的网络请求与所述审计信任规则进行匹配。

所述服务器可选择设置处理模块306，用于对于匹配模块305中已匹配的网络请求在所述审计进程中不予记录；还用于对于匹配模块305中未匹配所述审计信任规则的网络请求，根据服务器间网络请求的进程信息比对，在所述审计进程中对所述网络请求生成信任或排查的建议处理方式；还用于对于匹配模块305中未匹配所述审计信任规则的网络请求，根据已信任的网络请求的进程信息比对，在所述审计进程中对所述网络请求生成信任或排查的建议处理方式。

本发明实施例中，基于本领域技术人员应当理解，图2所示的服务器中的各模块的实现功能可参照前述针对网络请求的记录方法的相关描述而理解。图2所示的服务器中的各模块的功能可通过运行于处理器上的程序而实现，也可通过具体的逻辑电路而实现。

继续说明实现本发明实施例的服务器的结构。

参见图5，是本发明实施例提供的服务器500的一个可选的结构示意图，图5所示的服务器包括：至少一个处理器510、至少一个通信总线520、用户接口530、至少一个网络接口540和存储器550。服务器500中的各个组件通过通信总线520耦合在一起。可以理解，通信总线520用于实现这些组件之间的连接通信。通信总线520除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图5中将各种总线都标为通信总线520。

其中，用户接口530可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。网络接口540可以包括标准的有线接口、无线接口可以是wifi接口。

可以理解，存储器550可以是高速ram存储器，也可以是非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器。存储器550还可以是至少一个在物理位置上远离处理器510的存储系统。

本发明实施例提供的应用于服务器的网络请求的记录方法可以应用于处理器510中，或者由处理器510实现。处理器510可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，应用于服务器的网络请求的记录方法中的不同操作可以通过处理器510中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器510可以是通用处理器、dsp或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器510可以实现或者执行本发明实施例应用于服务器的网络请求的记录方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所提供的应用于服务器的网络请求的记录方法，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。

作为示例，软件模块可以位于存储介质中，存储介质可以是如图5示出的存储器550，处理器510读取存储器550中的信息，结合其硬件完成本发明实施例提供的应用于服务器的网络请求的记录方法。

在示例性实施例中，本发明实施例还提供了一种可读存储介质，例如包括可执行程序的存储器，上述可执行程序可由处理器执行，以完成前述方法的步骤。可读存储介质可以是fram、rom、prom、eprom、eeprom、flashmemory、磁表面存储器、光盘、或cd-rom等存储器；也可以是包括上述存储器之一或任意组合的各种设备，如移动电话、计算机设备、平板设备、个人数字助理、医疗设备等。

本发明实施例还记载了一种计算机可读存储介质，例如包括可执行程序的存储器，上述可执行程序可由处理器执行，该计算机程序被处理器执行时，执行：一种网络请求的记录方法，包括：在目标服务器中建立审计进程；通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息。

所述计算机程序被处理器时，还执行：在所述审计进程中，以随机采集周期τ，对所述网络请求、及所述网络请求对应的进程信息进行采集；

其中，τ的变化范围满足：1s≤τ<2·msl；msl为报文最长存活时间。

所述计算机程序被处理器时，还执行：在所述审计进程中接收审计管理服务器发送的审计信任规则。

所述计算机程序被处理器时，还执行：将已采集到的网络请求与所述审计信任规则进行匹配，对于已匹配的网络请求在所述审计进程中不予记录。

所述计算机程序被处理器时，还执行：对于未匹配所述审计信任规则的网络请求，根据服务器间网络请求的进程信息比对，在所述审计进程中对所述网络请求生成信任或排查的建议处理方式。

所述计算机程序被处理器时，还执行：对于未匹配所述审计信任规则的网络请求，根据已信任的网络请求的进程信息比对，在所述审计进程中对所述网络请求生成信任或排查的建议处理方式。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。