[0041]通过该UNIX类系统的Syslog方式发送所述操作日志。
[0042]本发明实施例还提供一种网络行为信息的处理装置,包括:
[0043]获取模块,用于获取被监控主机设备的包含非加密协议数据包的操作日志;
[0044]提取模块,用于根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令;
[0045]确定模块,用于基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。
[0046]其中,所述处理装置还包括:
[0047]告警模块,用于将所述符合预设告警规则的操作指令对应的预设告警信息进行Web展示,并将所述预设告警信息发送至终端监控平台。
[0048]其中,所述获取模块包括:
[0049]获取子模块,用于通过标准syslog方式获取被监控主机设备的包含非加密协议数据包的操作日志。
[0050]其中,所述提取模块包括:
[0051]分配模块,用于根据协议类别对所述操作日志进行分类,将所述操作日志分配到不同协议的子队列中;
[0052]转化模块,用于对每个协议的子队列中的操作日志均进行标准化操作,将所述操作日志均转化为符合预设格式的日志;
[0053]还原模块,用于基于通信标准化协议对所有符合预设格式的日志进行还原操作,得到对应的操作指令。
[0054]其中,所述提取模块还包括:
[0055]第一关联模块,用于将每一个被监控主机设备的单条所述操作指令关联成完整会话;
[0056]第二关联模块,用于基于不同协议类型对所述每一个被监控主机设备上的单条完整会话进行关联;
[0057]第三关联模块,用于将多个被监控主机设备上的完整会话按照预设规则进行关联。
[0058]其中,所述确定模块包括:
[0059]分类模块,用于将所有操作日志的操作指令根据协议类型进行匹配分类,将所述操作指令分配到不同协议的子队列中;
[0060]排序模块,用于按照时间顺序对每一个子队列中的操作指令进行排序;
[0061]匹配模块,用于将每一个子队列中的操作指令依次与预设告警规则进行匹配、过滤;
[0062]确定子模块,用于确定符合匹配所述预设告警规则的操作指令。
[0063]本发明实施例还提供一种包含非加密协议数据包的操作日志的发送装置,应用于UNIX类系统,包括:
[0064]信息获取模块,用于获取预设端口的数据包信息并写成临时文件;
[0065]日志获取模块,用于通过所述UNIX类系统内部的logger命令,将所述临时文件打上协议标签,得到日志文件;
[0066]第一发送模块,用于将所述日志文件发送给该UNIX类系统的Syslog进程,得到操作日志;
[0067]第二发送模块,用于通过该UNIX类系统的Syslog方式发送所述操作日志。
[0068]本发明实施例还提供一种系统,包括如上所述的网络行为信息的处理装置以及如上所述的包含非加密协议数据包的操作日志的发送装置。
[0069]本发明的上述技术方案至少具有如下有益效果:
[0070]本发明实施例的操作日志的发送方法中,利用UNIX类主机自身带的指令,对预设端口进行专门的数据包采集,并将每次采集到的数据包内容自动保存为日志文件,再将该日志文件传送给Syslog进程,由Syslog以准实时方式将这些最新的操作日志发送,同时网络行为信息的处理方法针对这些非加密协议日志进行处理,确定告警操作,解决了 IDC内由于互联网上违法操作和“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的行为。
【附图说明】
[0071]图1表示本发明实施例的网络行为信息的处理方法的基本步骤示意图;
[0072]图2表示本发明实施例的网络行为信息的处理方法中对操作日志预处理的流程图;
[0073]图3表示本发明实施例的网络行为信息的处理方法中确定符合告警规则的操作指令的流程图;
[0074]图4表示本发明的具体实施例中针对所有操作指令匹配关联告警的流程图;
[0075]图5表示本发明实施例的操作日志的发送方法的基本步骤示意图;
[0076]图6表示本发明实施例的网络行为信息的处理装置的组成结构示意图;
[0077]图7表示本发明实施例的操作日志的发送装置的组成结构示意图。
【具体实施方式】
[0078]为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
[0079]本发明针对现有技术中针对IDC内的恶意操作和“合法”违规操作的处理不及时且方法不完善的问题,提供一种网络行为信息的处理方法、日志的发送方法、装置及系统,利用UNIX类主机自身带的指令,对预设端口进行专门的数据包采集,并将每次采集到的数据包内容自动保存为日志文件,再将该日志文件传送给Syslog进程,由Syslog以准实时方式将这些最新的操作日志发送,同时针对这些非加密协议日志进行处理,确定告警操作,解决了 IDC内由于互联网上违法操作和“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的行为。
[0080]如图1所示,本发明实施例提供一种网络行为信息的处理方法,包括:
[0081]步骤1,获取被监控主机设备的包含非加密协议数据包的操作日志;
[0082]步骤2,根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令;
[0083]步骤3,基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。
[0084]本发明上述实施例中,步骤1具体为通过标准syslog方式获取被监控主机设备的包含非加密协议数据包的操作日志。其中,Syslog常被称为系统日志或系统记录,是一种用来在互联网协议(TCP/IP)的网络中传递记录档讯息的标准。这个词汇常用来指实际的syslog协议,或者那些送出syslog讯息的应用程式或数据库。
[0085]进一步的,本发明上述实施例中,步骤2中预处理包括对操作日志进行分类、标准化,解析还原、关联等子步骤,得到该操作日志的操作指令;其中,针对同一个被监控主机设备可以有多个用户同时控制(即存在与多个用户分别对应的操作日志),需要对操作日志进行预处理,主要是针对不同的用户,不用的被监控主机设备以及不同的协议类型等对操作日志进行分类,并对操作日志进行标准化处理(即将操作日志转化为同一格式的日志)便于后续统一处理。步骤3中的预设告警规则可以根据用户或运营商需求具体设定,例如突然的断电操作就发出告警,其他的均正常运行;则当获取的操作指令中存在断电指令时,发出告警信息。
[0086]本发明的具体实施例中,所述处理方法还包括:
[0087]步骤4,将所述符合预设告警规则的操作指令对应的预设告警信息进行Web展示,并将所述预设告警信息发送至终端监控平台。
[0088]承续上例,本发明上述实施例中,从监控平台能够实时的看到告警信息,便于维护人员及时采取维护、修理措施,保证互联网数据的安全运行。进一步的,预先针对每一条操作指令均设置对应的告警信息;例如,断电的操作指令对应闪烁的红灯的告警等,在此不
列举。
[0089]较佳的,Web展示即网页展示仅为本发明的具体实施例,不用于限制本发明的保护范围,该告警信息也可通过其他方式展示,不限于一固定形式。具体的,该预设告警信息可通过短信或邮件的方式发送至终端监控平台(监控用户的手机和邮箱)。用户能够用手机或邮箱中直观的看到告警信息,找到对应的操作日志,进行修复,保证网络的安全运行。
[0090]本发明的上述实施例中,如图2所示,步骤2包括:
[0091]步骤21,根据协议类别对所述操作日志进行分类,将所述操作日志分配到不同协议的子队列中;
[0092]本发明具体实施例中,步骤21中对步骤1中获取到的操作日志按照不同的协议类型进行分类,即对日志队列中的每条日志,按照FIFO原则逐条进行协议类型匹配,例如:Telnet协议、FTP协议、http协议等。将所有的操作日志分配到不同协议的子队列中,执行步骤22。
[0093]步骤22,对每个协议的子队列中的操作日志均进行标准化操作,将所述操作日志均转化为符合预设格式的日志;
[0094]本发明具体实施例中,步骤22即对每个协议的子队列中的日志进行对应标准化操作;标准化操作即将不同格式的操作日志转化为相同的预设格式的日志,便于后续处理。需要说明的是,步骤21中的分类操作是为了能够更高效的进行标准化操作,是本发明的较佳方式,在具体实施过程中也可采用直接标准化的形式。
[0095]步骤23,基于通信标准化协议对所有符合预设格式的日志进行还原操作,得到对应的操作指令。
[0096]本发明具体实施例中,针对经过标准化处理的每种协议的子队列分别执行步