NIX类主机自身带的指令,对预设端口进行专门的数据包采集,并将每次采集到的数据包内容自动保存为日志文件,再将该日志文件传送给Syslog进程,由Syslog以准实时方式将这些最新的操作日志发送,同时网络行为信息的处理方法针对这些非加密协议日志进行处理,确定告警操作,解决了 IDC内由于互联网上违法操作和“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的行为。
[0148]需要说明的是本发明实施例提供的处理装置是应用上述处理方法的装置,则上述处理方法的所有实施例及其有益效果均适用于该处理装置;同时本发明实施例提供的发送装置也是应用上述发送方法的装置,则上述发送方法的所有实施例均适用于该发送装置,且均能达到相同或相似的有益效果。
[0149]为了更好的实现上述目的,本发明实施例还提供一种系统,包括如上所述的网络行为信息的处理装置以及如上所述的包含非加密协议数据包的操作日志的发送装置。
[0150]例如,本发明的一个实施案例:在IDC内申请一台CentOS操作系统虚拟主机IP地址为218.203.12.16进行功能原型测试,当指定用户Telnet、HTTP提交测试数据后,可以在系统监控界面准实时看到该用户的Telnet登录操作整个操作会话全过程,同时也在Web还原页面中恢复了用户在Web前台提交给系统的数据。
[0151]本发明的上述实施例中,通过创新性的利用UNIX主机自带的Tcpdump指令配合相关SHELL脚本方式,解决了在无硬件投资的条件下指定协议数据包生成采集问题;且由于采用旁路方式,完全不影响用户正常的操作感知,同时不用在IDC内UNIX主机设备中建立第三方帐号,确保了承租设备自身的安全性,最后系统具备对所有非加密协议的扩展;同时通过Syslog准实时方式,解决了传统操作审计的时延问题,确保IDC计算资源承租人能够迅速发现安全事件,更好的服务于IDC广大用户;较佳的,本发明还通过对数据包进行基于协议、地址、时间的匹配,提出了一种快速匹配的方法。
[0152]需要说明的是,本发明实施例提供的系统是包括上述处理装置和发送装置的系统,则上述处理装置和发送装置的所有实施例及其有益效果均适用于该系统。
[0153]以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种网络行为信息的处理方法,其特征在于,包括: 获取被监控主机设备的包含非加密协议数据包的操作日志; 根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令; 基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。2.根据权利要求1所述的网络行为信息的处理方法,其特征在于,所述处理方法还包括: 将所述符合预设告警规则的操作指令对应的预设告警信息进行Web展示,并将所述预设告警信息发送至终端监控平台。3.根据权利要求1所述的网络行为信息的处理方法,其特征在于,获取被监控主机设备的包含非加密协议数据包的操作日志的步骤包括: 通过标准syslog方式获取被监控主机设备的包含非加密协议数据包的操作日志。4.根据权利要求1所述的网络行为信息的处理方法,其特征在于,所述根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令的步骤包括: 根据协议类别对所述操作日志进行分类,将所述操作日志分配到不同协议的子队列中; 对每个协议的子队列中的操作日志均进行标准化操作,将所述操作日志均转化为符合预设格式的日志; 基于通信标准化协议对所有符合预设格式的日志进行还原操作,得到对应的操作指令。5.根据权利要求4所述的网络行为信息的处理方法,其特征在于,所述根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令的步骤还包括: 将每一个被监控主机设备的单条所述操作指令关联成完整会话; 基于不同协议类型对所述每一个被监控主机设备上的单条完整会话进行关联; 将多个被监控主机设备上的完整会话按照预设规则进行关联。6.根据权利要求1所述的网络行为信息的处理方法,其特征在于,基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令的步骤包括: 将所有操作日志的操作指令根据协议类型进行匹配分类,将所述操作指令分配到不同协议的子队列中; 按照时间顺序对每一个子队列中的操作指令进行排序; 将每一个子队列中的操作指令依次与预设告警规则进行匹配、过滤; 确定符合匹配所述预设告警规则的操作指令。7.一种包含非加密协议数据包的操作日志的发送方法,应用于UNIX类系统,其特征在于,包括: 获取预设端口的数据包信息并写成临时文件; 通过所述UNIX类系统内部的logger命令,将所述临时文件打上协议标签,得到日志文件; 将所述日志文件发送给该UNIX类系统的Syslog进程,得到操作日志; 通过该UNIX类系统的Syslog方式发送所述操作日志。8.—种网络行为信息的处理装置,其特征在于,包括: 获取模块,用于获取被监控主机设备的包含非加密协议数据包的操作日志; 提取模块,用于根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令; 确定模块,用于基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。9.根据权利要求8所述的网络行为信息的处理装置,其特征在于,所述处理装置还包括: 告警模块,用于将所述符合预设告警规则的操作指令对应的预设告警信息进行Web展示,并将所述预设告警信息发送至终端监控平台。10.根据权利要求8所述的网络行为信息的处理装置,其特征在于,所述获取模块包括: 获取子模块,用于通过标准syslog方式获取被监控主机设备的包含非加密协议数据包的操作日志。11.根据权利要求8所述的网络行为信息的处理装置,其特征在于,所述提取模块包括: 分配模块,用于根据协议类别对所述操作日志进行分类,将所述操作日志分配到不同协议的子队列中; 转化模块,用于对每个协议的子队列中的操作日志均进行标准化操作,将所述操作日志均转化为符合预设格式的日志; 还原模块,用于基于通信标准化协议对所有符合预设格式的日志进行还原操作,得到对应的操作指令。12.根据权利要求11所述的网络行为信息的处理装置,其特征在于,所述提取模块还包括: 第一关联模块,用于将每一个被监控主机设备的单条所述操作指令关联成完整会话;第二关联模块,用于基于不同协议类型对所述每一个被监控主机设备上的单条完整会话进行关联; 第三关联模块,用于将多个被监控主机设备上的完整会话按照预设规则进行关联。13.根据权利要求8所述的网络行为信息的处理装置,其特征在于,所述确定模块包括: 分类模块,用于将所有操作日志的操作指令根据协议类型进行匹配分类,将所述操作指令分配到不同协议的子队列中; 排序模块,用于按照时间顺序对每一个子队列中的操作指令进行排序; 匹配模块,用于将每一个子队列中的操作指令依次与预设告警规则进行匹配、过滤; 确定子模块,用于确定符合匹配所述预设告警规则的操作指令。14.一种包含非加密协议数据包的操作日志的发送装置,应用于UNIX类系统,其特征在于,包括: 信息获取模块,用于获取预设端口的数据包信息并写成临时文件; 日志获取模块,用于通过所述UNIX类系统内部的logger命令,将所述临时文件打上协议标签,得到日志文件; 第一发送模块,用于将所述日志文件发送给该UNIX类系统的Syslog进程,得到操作日志; 第二发送模块,用于通过该UNIX类系统的Syslog方式发送所述操作日志。15.一种系统,其特征在于,包括如权利要求8至13任一项所述的网络行为信息的处理装置以及如权利要求14所述的包含非加密协议数据包的操作日志的发送装置。
【专利摘要】本发明提供一种网络行为信息的处理方法、日志的发送方法、装置及系统,其中该处理方法包括:获取被监控主机设备的包含非加密协议数据包的操作日志;根据协议类别分别对所述操作日志进行预处理,提取与所述操作日志对应的操作指令;基于预设告警规则对所述操作指令进行过滤,确定符合所述预设告警规则的操作指令。该发送方法中,利用UNIX类主机自身带的指令,对预设端口进行专门的数据包采集,并自动保存为日志文件,再将该日志文件传送给Syslog进程,由Syslog以准实时方式将操作日志发送,同时该处理方法针对这些非加密协议日志进行处理,确定告警操作,解决了IDC内由于互联网上违法操作和“合法”违规操作而导致数据误删除、数据破坏、数据泄密等行为。
【IPC分类】H04L29/06, H04L12/24
【公开号】CN105376077
【申请号】CN201410384435
【发明人】宋刚, 李伟东, 孙志杰, 金太洙, 姜月, 谭永波, 沈冰, 王爱东, 陈强, 隋鹏, 路洋, 毕永生, 贾金良, 孟凡哲, 朱先德
【申请人】中国移动通信集团黑龙江有限公司
【公开日】2016年3月2日
【申请日】2014年8月6日