一种流量还原方法及装置的制造方法
【技术领域】
[0001] 本发明涉及计算机领域,尤其涉及一种流量还原方法及装置。
【背景技术】
[0002] 随着我国信息化建设的快速增长,企业信息系统建设及覆盖率均快速提高。由此 引发的信息系统泄密、非法信息传输及安全攻击等安全事件时常发生;因此,建设审计系统 来对关键信息系统的操作进行跟踪审计,及时发现问题,及时提出防范和化解风险的对策 建议成为普遍做法。
[0003]目前,流量审计由于采用对信息系统无影响的旁路镜像流量审计的方式而成为企 业首选。通过流量审计,将得到海量的超文本传输流量数据;当审计过程中发现问题,追责 时定位责任方时,需要根据流量审计得到的超文本传输流量数据,获取用户操作数据及页 面等必要证据。
[0004] 在上述获取定位责任方的证据的过程中,发明人发现现有技术至少存在下述缺 陷:一方面,对审计系统的管理员专业知识要求高,需要熟悉被审计系统的业务场景、熟悉 超文本传输协议和超文本标记语言相关专业知识;另一方面,由于海量数据数量巨大并且 无序,使得获取定位责任方的证据非常困难且非常耗时。
【发明内容】
[0005] 本发明的实施例提供一种流量还原方法及装置,实现了对审计系统的管理员专业 知识要求低、简单且节约时间的超文本传输流量还原,以达到在审计过程中轻松获取定位 责任方的证据的目的。
[0006] 为达到上述目的,本发明的实施例采用如下技术方案:
[0007] 本发明的第一方面,提供一种流量还原方法,包括:
[0008] 获取包含至少一个操作的流量;其中,一个所述操作包括请求和响应;所述请求 包括会话标识和前驱操作标识;
[0009] 分别将包含相同会话标识的每组操作,根据操作中的前驱操作标识,进行关联排 序,获取X个会话的有序的操作列表;其中,所述至少一个操作中包括X种会话标识,所述X 种会话标识指示所述X个会话;
[0010] 分别对所述X个会话的有序的操作列表中相互匹配的请求和响应中的每个响应 进行植染,构建文档对象模型(Document Object Model,简称D0M)树;其中,相互匹配的请 求和响应为所述有序的操作列表中连续的请求和响应;
[0011] 分别将所述X个会话的有序的操作列表中相互匹配的请求和响应中的每个请求 中包含的提交数据,填充至与其相互匹配的响应的DOM树中的数据填充节点;
[0012] 分别将所述X个会话中填充后的DOM树进行可视化保存,作为所述流量中每个会 话的还原文件。
[0013] 本发明的第二方面,提供一种流量还原装置,包括:
[0014] 获取单元,用于获取包含至少一个操作的流量;其中,一个所述操作包括请求和响 应;所述请求包括会话标识和前驱操作标识;
[0015] 关联单元,用于分别将所述获取单元获取的包含相同会话标识的每组操作,根据 操作中的前驱操作标识,进行关联排序,获取X个会话的有序的操作列表;其中,所述至少 一个操作中包括X种会话标识,所述X种会话标识指示所述X个会话;
[0016] 渲染单元,用于分别对所述获取单元获取的所述X个会话的有序的操作列表中相 互匹配的请求和响应中的每个响应进行渲染,构建DOM树;其中,相互匹配的请求和响应为 所述有序的操作列表中连续的请求和响应;
[0017] 填充单元,用于分别将所述获取单元获取的所述X个会话的有序的操作列表中相 互匹配的请求和响应中的每个请求中包含的提交数据,填充至与其相互匹配的响应的DOM 树中的数据填充节点;
[0018] 保存单元,用于分别所述X个会话中所述填充单元填充后的DOM树进行可视化保 存,作为所述流量中每个会话的还原文件。
[0019] 本发明实施例提供的流量还原方法及装置,通过获取包含至少一个操作的流量; 其中,一个操作包括请求和响应;请求包括会话标识和前驱操作标识;分别将包含相同会 话标识的每组操作,根据操作中的前驱操作标识,进行关联排序,获取X个会话的有序的操 作列表;分别对X个会话的有序的操作列表中相互匹配的请求和响应中的每个响应所属的 操作进行渲染,构建DOM树;其中,相互匹配的请求和响应为所述有序的操作列表中连续的 请求和响应;分别将X个会话的有序的操作列表中相互匹配的请求和响应中的每个请求中 包含的提交数据,填充至与其相互匹配的响应所属的操作的DOM树中的数据填充节点;分 别将X个会话中填充后的DOM树进行可视化保存,作为流量中每个会话的还原文件。由上可 知,生成的流量还原文件,是根据操作的特征自动获取的,不再需要人工参与,且处理过程 快,实现了对审计系统的管理员专业知识要求低、简单且节约时间的超文本传输流量还原, 以达到在审计过程中轻松获取定位责任方的证据的目的。
【附图说明】
[0020] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。
[0021] 图1为本发明实施例提供的一种流量还原方法的流程图;
[0022] 图2为本发明实施例提供的一种操作示意图;
[0023] 图3为本发明实施例提供的一种流量还原装置结构示意图;
[0024] 图4为本发明实施例提供的另一种流量还原装置结构示意图。
【具体实施方式】
[0025] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0026] 另外,本文中术语"系统"和"网络"在本文中常被可互换使用。本文中术语"和/ 或",仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以 表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符"/",一般表 示前后关联对象是一种"或"的关系。
[0027] 实施例1
[0028] 本发明实施例1提供一种流量还原方法,应用于流量还原装置,所述流量还原装 置可以为服务器。
[0029] 如图1所示,该方法可以包括:
[0030] S101、获取包含至少一个操作的流量。
[0031] 其中,一个所述操作包括请求和响应;所述请求包括会话标识和前驱操作标识。
[0032] 可选的,所述会话标识可以从Cookie或者提交参数中获取。
[0033] 可选的,所述流量可以为超文本传输协议(HyperText Transfer Protocol,简称 HTTP)流量;当然,也可以为其他需要还原的流量类型,本发明对于流量的具体类型不进行 限定。
[0034] 优选的,在客户端与原始服务器交互的过程中,可以通过采集引擎在旁路上,通过 抓包技术采集获取HTTP流量包,将采集到的HTTP流量包抓取出来后,按固定大小写入磁 盘,生成采集文件;SlOl中即可从采集文件中获取包含至少一个操作的流量。
[0035] 其中,原始服务器是与客户端常规交互的服务器,与本发明所应用的服务器不同。
[0036] 所述采集文件,可以实时生成(即原始服务器与客户端每一次交互均生成采集文 件),也可以周期性生成,本发明对于采集文件的生成时间点不进行具体限定。
[0037] 当所述采集文件周期性生成时,对于该周期的持续时长,以及周期的间隔时长,均 可以根据实际需求设定,本发明对此不进行具体限定。
[0038] 进一步,若在获取至少一个操作的过程中,存在不包含会话标识的操作,所述方法 还可以包括:
[0039] 判断不包含会话标识的操作是否为登录行为;
[0040] 若不包含会话标识的操作为登录行为,则根据登录信息,非该操作分配登录信息 所属的会话标识,使得操作中包含会话标识。
[0041] 若不包含会话标识的操作为非登录行为,则忽略该操作。
[0042] S102、分别将包含相同会话标识的每组操作,根据操作中的前驱操作标识,进行关 联排序,获取X个会话的有序的操作列表。
[0043] 其中,所述至少一个操作中包括X种会话标识,所述X种会话标识指示所述X个会 话。
[0044] 具体的,会话是一个客户端与原始服务器之间的不中断的操作(请求和响应)序 列。对客户的每个请