骤23的还原操作。其中,由于所有的还原操作都是双向数据流,为了简便,本发明具体实施例中都是只对用户上行请求数据协议进行解析还原,得到操作指令;需要说明的是,如果用户需要更加详细的交互内容审计,则本发明提供的方法也能够实现。
[0097]承续上例,本发明具体实施例中,步骤2还包括:
[0098]步骤24,将每一个被监控主机设备的单条所述操作指令关联成完整会话;
[0099]本发明具体实施例中,经过上述步骤23处理的操作指令的单条的操作指令,需执行步骤24,将每一个被监控主机设备的单条操作指令关联成完整会话,完整会话即能执行一个完整的步骤。同时由于同一个被监控主机设备能够同时被多个用户操作,还需根据不同用户对完整会话进行关联,例如用户A和用户B同时向主机设备C发送不同的指令,则需要将该不同的指令分别分到不同的分组中,以免混淆指令,发生操作错误。
[0100]步骤25,基于不同协议类型对所述每一个被监控主机设备上的单条完整会话进行关联;
[0101]本发明具体实施例中,由于同一个被监控主机设备上能够存在多种不同协议的操作指令,为了后续操作方法,经同一个被监控主机设备上的同一协议类型的完整会话进行关联(即分到同一分组中)。
[0102]步骤26,将多个被监控主机设备上的完整会话按照预设规则进行关联。
[0103]本发明具体实施例中,同一个用户能够同时管理多台被监控主机设备,即同时向多台设备发送指令,步骤26即将同一个用户管理的多台被监控主机设备的操作指令进行关联,便于后续处理。
[0104]本发明上述实施例中,如图3所示,步骤3包括:
[0105]步骤31,将所有操作日志的操作指令根据协议类型进行匹配分类,将所述操作指令分配到不同协议的子队列中;
[0106]步骤32,按照时间顺序对每一个子队列中的操作指令进行排序;
[0107]步骤33,将每一个子队列中的操作指令依次与预设告警规则进行匹配、过滤;
[0108]步骤34,确定符合匹配所述预设告警规则的操作指令。
[0109]本发明具体实施例中,为了能够有序的对所有操作指令进行与预设告警规则匹配,需通过步骤31和步骤32对所有操作指令进行分类、排序,避免后续匹配步骤中漏掉一些操作指令,使网络存在安全隐患。
[0110]需要说明的是,步骤31和步骤32的排序方式仅为本发明的较佳实施例,不用于限制本发明的保护范围,其他的排序方法在本发明的具体实施例中均适用。
[0111]如图4所示为本发明的具体实施例中针对所有操作指令匹配关联告警的流程图;首先将所有的操作日志作标准化操作,得到标准化登录日志信息,再对标准化登录日志信息进行协议匹配;再根据不同的协议进行还原操作,再分别对还原后的操作指令进行地址匹配,得到不同的地址,如地址1、地址2等等,再分别将地址1、地址2与告警规则进行匹配,如果与告警规则不同,则正常运行,结束流程;如果与告警规则相同,则将所述地址进行展示及告警。
[0112]为了更好的实现上述目的,如图5所示,本发明实施例还提供一种包含非加密协议数据包的操作日志的发送方法,应用于UNIX类系统,包括:
[0113]步骤5,获取预设端口的数据包信息并写成临时文件;
[0114]步骤6,通过所述UNIX类系统内部的logger命令,将所述临时文件打上协议标签,得到日志文件;
[0115]步骤7,将所述日志文件发送给该UNIX类系统的Syslog进程,得到操作日志;
[0116]步骤8,通过该UNIX类系统的Syslog方式发送所述操作日志。
[0117]本发明具体实施例中,利用UNIX类系统自带的Tcpdump指令施原理:UNIX类计算资源中,系统在Tcpdump指令中可以将指定的端口的数据包进行采集,并自动保存为文件,所以我们将每次最新采集到的数据包指令通过管道重定向方式到系统meSSage(inf0级别)中° 例如:tcpdump-sO-1 ethX “tcp and port80and net xxx.xxx.xxx.xxx,,_w/opt/test, log,该UNIX主机的80端口数据包进行采集然后保存为test, log文件,通过修改用户环境变量同时将利用tail命令获取最新的数据包,通过管道重定向方式到系统message (info级别)中:Tail - f/opt/test.log logger来获获取每次协议交互操作日志信息。
[0118]这种非加密协议操作日志采集方式优点是无需在UNIX类主机上安装特殊的采集程序且准实时,同时不需要部署硬件探针或占用交换机镜像端口,且只对需要审计的Web应用和维护操作进行审计,避免了在IDC内网络集中出口部署探针方式对那些不需要审计的客户的隐私安全(例如Telnet 口令)问题的泄露。
[0119]具体的,步骤5中获取指定端口数据包信息并写成临时文件;利用UNIX主机自带的Tcpdump指令中将指定的端口的数据包进行采集,并自动保存为文件。例如:tcpdump-sO-1 ethX “tcp and port 80and net xxx.xxx.xxx.xxx,,_w/opt/test_80.log。
[0120]步骤6中聚合生成日志统一信息;通过系统内部自带的logger命令,在上述文件信息打上协议标签。步骤7中将步骤6中的信息发送给自身Syslog进程;如:tail - f/opt/test_80.log I logger//Linux的历史命令存在于用户目录下的test, log内,通过管道重定向到message (info级别)中。步骤8中,通过自身Syslog方式发送操作日志;如:vi/etc/syslog.conf//修改Syslog配置文件;*.1nfo@采集机IP地址//将所有info级别的日志指向米集机。
[0121]为了更好的实现上述目的,如图6所示,本发明实施例还提供一种网络行为信息的处理装置,包括:
[0122]获取模块10,用于获取被监控主机设备的包含非加密协议数据包的操作日志;
[0123]提取模块20,用于根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令;
[0124]确定模块30,用于基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。
[0125]进一步的,所述处理装置还包括:
[0126]告警模块40,用于将所述符合预设告警规则的操作指令对应的预设告警信息进行Web展示,并将所述预设告警信息发送至终端监控平台。
[0127]本发明具体实施例中,所述获取模块10包括:
[0128]获取子模块,用于通过标准syslog方式获取被监控主机设备的包含非加密协议数据包的操作日志。
[0129]本发明具体实施例中,所述提取模块20包括:
[0130]分配模块,用于根据协议类别对所述操作日志进行分类,将所述操作日志分配到不同协议的子队列中;
[0131]转化模块,用于对每个协议的子队列中的操作日志均进行标准化操作,将所述操作日志均转化为符合预设格式的日志;
[0132]还原模块,用于基于通信标准化协议对所有符合预设格式的日志进行还原操作,得到对应的操作指令。
[0133]本发明具体实施例中,所述提取模块20还包括:
[0134]第一关联模块,用于将每一个被监控主机设备的单条所述操作指令关联成完整会话;
[0135]第二关联模块,用于基于不同协议类型对所述每一个被监控主机设备上的单条完整会话进行关联;
[0136]第三关联模块,用于将多个被监控主机设备上的完整会话按照预设规则进行关联。
[0137]本发明具体实施例中,所述确定模块30包括:
[0138]分类模块,用于将所有操作日志的操作指令根据协议类型进行匹配分类,将所述操作指令分配到不同协议的子队列中;
[0139]排序模块,用于按照时间顺序对每一个子队列中的操作指令进行排序;
[0140]匹配模块,用于将每一个子队列中的操作指令依次与预设告警规则进行匹配、过滤;
[0141]确定子模块,用于确定符合匹配所述预设告警规则的操作指令。
[0142]为了更好的实现上述目的,如图7所示,本发明实施例还提供一种包含非加密协议数据包的操作日志的发送装置,应用于UNIX类系统,包括:
[0143]信息获取模块50,用于获取预设端口的数据包信息并写成临时文件;
[0144]日志获取模块60,用于通过所述UNIX类系统内部的logger命令,将所述临时文件打上协议标签,得到日志文件;
[0145]第一发送模块70,用于将所述日志文件发送给该UNIX类系统的Syslog进程,得到操作日志;
[0146]第二发送模块80,用于通过该UNIX类系统的Syslog方式发送所述操作日志。
[0147]本发明实施例提供的操作日志的发送方法中,利用U