网络行为信息的处理方法、日志的发送方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及通信安全技术领域,特别涉及一种网络行为信息的处理方法、日志的发送方法、装置及系统。
【背景技术】
[0002]互联网数据中心(Internet Data Center,简称IDC)是基于Internet网络,为集中式收集、存储、处理和发送数据的设备提供运行维护的设施基地并提供相关的服务。IDC提供的主要业务包括主机托管(机位、机架、机房出租)、资源出租(如虚拟主机业务、数据存储服务)、系统维护(系统配置、数据备份、故障排除服务)、管理服务(如带宽管理、流量分析、负载均衡),以及其他支撑、运行服务等。同时由于国内IDC中客户安全意识的普遍提高,国内IDC运营方也开始提供基于防火墙、IDS、IPS、防DDoS等硬件安全设施的安全增值服务,这些安全增值服务主要以虚拟安全产品出租的形式提供给重要业务客户,来防范互联网上常规的安全风险。
[0003]在现实中,这些基础网络安全防护产品在实际运营中取得了一定效果,可以解决病毒、蠕虫、僵尸网络等常规安全问题,但是IDC内高端和重要业务客户更加关注的是IDC内自身Web业务应用的安全性,例如互联网上是否有恶意人员登录了 IDC内的Web业务应用系统,如果登录了该Web业务应用系统,具体从事了那些非法Web操作;或者是否有互联网上恶意人员登录承载该Web业务应用系统的UNIX类主机,执行了哪些非法操作指令;或者互联网上恶意人员通过FTP方式上传了哪些恶意代码等这些直接影响客户业务应用的恶意操作;还有就是客户自身内部“合法”用户的各类违规操作。这类恶意和违规操作才是导致IDC承租企业利益受损的主要行为,而上述基于虚拟安全硬件设备的常规的网络安全产品对此却显得无能为力。
[0004]针对IDC内这种恶意操作和“合法”违规操作发生的情况,由于各类Web应用服务器(例如Tomcat)不记录各类用户的在具体Web开发实现后的具体应用操作;同时UNIX主机中自带的Syslog日志也不记录用户的Telnet/FTP操作指令日志。所以,目前在IDC内针对Web应用操作和Telnet/FTP操作一般会采用以下不同的方式来分别进行处理:
[0005]1、针对基于Web的业务应用操作审计:
[0006]第一种方式是Web业务应用系统在开发建设之初,该Web业务应用自身就建立了完整的日志记录模块,对所有用户的Web业务应用操作均完全日志记录,并将日志记录结果可以送至日志审计服务器,由日志审计服务器来进行严格审计;第二种方式是在通过HTTP协议代理的方式,即通过与IDC内的网络设备的访问控制配合,只允许通过该HTTP代理服务器来访问IDC内Web业务应用,这样用户在访问IDC内业务应用时需在浏览器中设置http代理,通过代理设备对用户所有Web操作行为进行全面记录;第三种方式是通过在IDC内出口或主要网络节点部署硬件探针或在交换机上进行端口镜像,来截取所有数据包,并通过深度包检测和协议分析,来记录和审计Web用户的业务应用操作。
[0007]2、针对Telnet/FTP等非加密协议操作审计:
[0008]一种方式是通过单独部署运维审计型堡垒机方式(公司内部4A方式),即堡垒主机部署在内网中的服务器和网络设备等核心资源的逻辑前端,通过堡垒主机来记录用户操作行为,以此来发现恶意操作和“合法”用户的违规操作行为;另一种方式同样是通过在IDC内出口或主要网络节点部署硬件探针或在交换机上进行端口镜像,来截取所有数据包,并通过深度包检测和协议分析,来记录和审计用户的Telnet/FTP等操作。
[0009]目前,现实中解决IDC内由于互联网上WEB违法操作和“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的追查实现方式中,主要存在以下缺点:
[0010]1、针对基于Web的业务应用操作审计:
[0011]针对第一种Web业务应用自身建立完整的日志记录模块方式,由于前期很多Web业务应用在开发设计之初,没有很好的考虑日志记录问题,导致现网中很多Web业务应用无日志记录功能或Web应用日志记录不全,如果因为日志功能就对这些软件进行改造,则需要IDC用户投入大量投资,同时改造周期长,用户绝大多数不能接受;针对第二种通过HTTP协议代理的方式,则要用户在访问IDC内业务应用时自己设置代理,在访问其他非IDC业务应用时取消代理,给用户带来操作不便,如果用户数量巨大,同时用户范围不确定,则这种方式不可采用,否则会带来大量投诉;针对第三种通过部署硬件探针或交换机镜像方式,部署硬件探针则需要公司前期购买硬件,占用公司投资,交换机镜像则占用交换机额外端口,同时影响交换机自身转发效率,同时对于那些不需要审计的客户的隐私安全也是一个问题,容易引起用户投诉。
[0012]2、针对Telnet/FTP等非加密协议操作审计:
[0013]针对第一种单独部署堡垒主机方式,要求我们IDC运营单位先期购买并部署大量的物理实体堡垒主机,占用公司大量前期投资;同时由于这些堡垒主机均是各个安全厂家专用的物理实体机器,没有统一的标准,所以与目前IDC内基于云计算的虚拟主机难以融合,占用公司的日常维护资源;针对第二种通过部署硬件探针或交换机镜像方式,部署硬件探针则需要公司前期购买硬件,占用公司投资,交换机镜像则占用交换机端口,同时影响交换机自身转发效率,同时对于那些不需要审计的客户的隐私安全也是一个问题,容易引起用户投诉。
[0014]从上面分析中,我们可以看到目前现实中IDC内针对前台Web业务应用操作审计和后台维护操作审计,解决方案中要么采用串联方式堡垒主机、协议代理,这种方式单独购买硬件,同时严重影响具体IDC使用人员的用户感知;要么采用并联方式,单独购买硬件,对所有流经数据包进行深度包检测,同时该方式可能会导致非要求审计的其他用户密码文件等敏感文件泄露,引起其他用户的投诉。同时,这些方式也无法对其他非加密协议进行有效扩展。
【发明内容】
[0015]本发明的目的在于提供一种网络行为信息的处理方法、日志的发送方法、装置及系统,完全不影响用户正常的操作感知,同时不建立第三方账号,确保了承租设备自身的安全性。
[0016]为了达到上述目的,本发明实施例提供一种网络行为信息的处理方法,包括:
[0017]获取被监控主机设备的包含非加密协议数据包的操作日志;
[0018]根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令;
[0019]基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。
[0020]其中,所述处理方法还包括:
[0021]将所述符合预设告警规则的操作指令对应的预设告警信息进行Web展示,并将所述预设告警信息发送至终端监控平台。
[0022]其中,获取被监控主机设备的包含非加密协议数据包的操作日志的步骤包括:
[0023]通过标准syslog方式获取被监控主机设备的包含非加密协议数据包的操作日
JoS ο
[0024]其中,所述根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令的步骤包括:
[0025]根据协议类别对所述操作日志进行分类,将所述操作日志分配到不同协议的子队列中;
[0026]对每个协议的子队列中的操作日志均进行标准化操作,将所述操作日志均转化为符合预设格式的日志;
[0027]基于通信标准化协议对所有符合预设格式的日志进行还原操作,得到对应的操作指令。
[0028]其中,所述根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令的步骤还包括:
[0029]将每一个被监控主机设备的单条所述操作指令关联成完整会话;
[0030]基于不同协议类型对所述每一个被监控主机设备上的单条完整会话进行关联;
[0031]将多个被监控主机设备上的完整会话按照预设规则进行关联。
[0032]其中,基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令的步骤包括:
[0033]将所有操作日志的操作指令根据协议类型进行匹配分类,将所述操作指令分配到不同协议的子队列中;
[0034]按照时间顺序对每一个子队列中的操作指令进行排序;
[0035]将每一个子队列中的操作指令依次与预设告警规则进行匹配、过滤;
[0036]确定符合匹配所述预设告警规则的操作指令。
[0037]本发明实施例还提供一种包含非加密协议数据包的操作日志的发送方法,应用于UNIX类系统,包括:
[0038]获取预设端口的数据包信息并写成临时文件;
[0039]通过所述UNIX类系统内部的logger命令,将所述临时文件打上协议标签,得到日志文件;
[0040]将所述日志文件发送给该UNIX类系统的Syslog进程,得到操作日志;