技术特征:
1.一种设备网络行为记录方法,其特征在于,包括以下步骤:步骤1:实时获取业务网络中各类设备的原始网络数据包;步骤2:根据ip协议族分类,对原始网络数据包进行分类识别,得到协议与管理数据包和业务应用数据包;步骤3:根据协议上下文关系,为每个协议与管理数据包建立协议交互特征索引,并以各协议标识为数据表名,将协议与管理数据包存储到与该数据包相对应的协议标识的数据表中;根据业务类型和上下文关系,为每个业务应用数据包建立业务链接特征索引,以各业务链接标识为数据表名,将业务应用数据包存储到与该数据包对应的业务链接标识的数据表中。2.根据权利要求1所述的一种设备网络行为记录方法,其特征在于,所述协议交互特征索引为时间、发起方设备mac地址、发起方设备ip地址、反馈方设备mac地址和反馈方设备ip地址。3.根据权利要求2所述的一种设备网络行为记录方法,其特征在于,所述协议标识为arp、icmp、rip、ospf、bgp、dhcp、dns和snmp。4.根据权利要求1所述的一种设备网络行为记录方法,其特征在于,所述业务链接特征索引为时间、业务网设备mac地址、业务网设备ip地址、业务网设备链接端口、互联网设备ip地址、互联网设备域名、传输协议、外网设备服务端口。5.根据权利要求2所述的一种设备网络行为记录方法,其特征在于,所述业务链接标识为内网设备mac+ip地址。6.根据权利要求1至5中任一项所述的一种设备网络行为记录方法,其特征在于,以各协议标识为表名的数据表和以各业务链接标识为表名的数据表都存储在网络行为数据库中,所述网络行为数据库为nosql类型数据库中。7.一种设备网络行为记录装置,其特征在于,包括以下模块:网络数据抓取模块:用于实时抓取业务网络中各类设备的原始网络数据包;数据包分类模块:用于根据ip协议族分类,对原始网络数据包进行分类识别,得到协议与管理数据包和业务应用数据包;协议与管理数据包处理模块:用于根据协议上下文关系,为每个协议与管理数据包建立协议交互特征索引;业务应用数据包处理模块:用于根据业务类型和上下文关系,为每个业务应用数据包建立业务链接特征索引;网络行为数据管理模块:用于建立网络行为数据库,并创建以各协议标识为数据表名的数据表和以各业务链接标识为数据表名的数据表,将以所述协议交互特征为索引的协议与管理数据包存储在以该索引对应的协议标识为数据表名的数据表中,将以业务链接特征为索引的业务应用数据包存储在以该索引对应的业务链接标识为数据表名的数据表中。8.一种设备网络行为回溯举证方法,使用权利要求7所述的一种设备网络行为记录装置,其特征在于,包括以下步骤:步骤1:从网络行为数据库中,获取与各网络设备相关的协议与管理数据包,将协议与管理数据包与其对应的网络设备的业务应用数据包进行关联,并以时间为主轴,得到各网络设备的网络行为主线;
步骤2:获取用户的查询条件,所述查询条件是与网络设备对应的协议与管理数据包,从网络行为数据库中查询得到拟查询的协议与管理数据包对应的网络设备,并映射到该网络设备的网络行为主线;步骤3:根据该网络设备的网络行为主线,回溯该网络设备对外网络行为的整个过程,定位关键网络事件,提取应用层网络的业务应用数据内容,进而对设备的网络行为举证。9.一种设备网络行为回溯举证装置,其特征在于,包括以下模块:网络行为主线构建模块:用于从网络行为数据库中,获取与各网络设备相关的协议与管理数据包,将协议与管理数据包与其对应的网络设备的业务应用数据包进行关联,并以时间为主轴,得到各网络设备的网络行为主线;查询模块:用于获取用户的查询条件,所述查询条件是与网络设备对应的网络行为数据包,从网络行为数据库中查询得到拟查询的网络行为数据包对应的网络设备,并映射到该网络设备的网络行为主线;回溯举证模块:用于根据查询模块查询到的该网络设备的网络行为主线,回溯该网络设备对外网络行为的整个过程,定位关键网络事件,提取应用层网络的业务应用数据内容,进而对设备的网络行为举证。
技术总结
本发明提供了一种设备网络行为记录方法、装置及回溯举证方法、装置,通过实时获取业务网络中各类设备的原始网络数据包;并对原始网络数据包进行分类识别,得到协议与管理数据包和业务应用数据包;以各协议标识为数据表名,将协议与管理数据包存储到与该数据包相对应的协议标识的数据表中;以各业务链接标识为数据表名,将业务应用数据包存储到与该数据包对应的业务链接标识的数据表中。与传统的网络数据采集记录方法的区别在于将数据包按照IP协议族分类化进行分类记录,从而实现对网络设备行为主线的快速构造,进而能够快速对关键事件进行查询。传统的网络数据采集记录方法仅能实现对数据包的查询,无法提供对网络行为的快速便捷查询支持。便捷查询支持。便捷查询支持。
技术研发人员:李新明 张春生 王志淋 厉海燕
受保护的技术使用者:中科边缘智慧信息科技(苏州)有限公司
技术研发日:2022.03.10
技术公布日:2022/4/12