CN117336215A - 一种网络数据的审计方法、装置、电子设备及存储介质 - Google Patents

一种网络数据的审计方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN117336215A
CN117336215A CN202311191461.7A CN202311191461A CN117336215A CN 117336215 A CN117336215 A CN 117336215A CN 202311191461 A CN202311191461 A CN 202311191461A CN 117336215 A CN117336215 A CN 117336215A
Authority
CN
China
Prior art keywords
auditing
network data
audit
audited
terminal equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311191461.7A
Other languages
English (en)
Inventor
李斌
黄兵华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd, Hubei Topsec Network Security Technology Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202311191461.7A priority Critical patent/CN117336215A/zh
Publication of CN117336215A publication Critical patent/CN117336215A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • H04L47/62Queue scheduling characterised by scheduling criteria
    • H04L47/6295Queue scheduling characterised by scheduling criteria using multiple queues, one for each individual QoS, connection, flow or priority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供一种网络数据的审计方法、装置、电子设备及存储介质,该方法包括:获取多个终端设备发送的待审计的网络数据,其中,待审计的网络数据至少包括终端设备的传输信息和业务请求;根据终端设备的传输信息,分别确定与终端设备对应的审计队列编号;采用多线程方式,将待审计的网络数据分别存储在与审计队列编号对应的队列中;根据业务请求,对队列中的待审计的网络数据进行审计,得到审计结果;将审计结果分别返回至终端设备,可以同时处理多个终端设备发送的待审计的网络数据,提高审计效率。

Description

一种网络数据的审计方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络数据的审计方法、装置、电子设备及存储介质。
背景技术
在数据传输过程中,可能会携带一些敏感信息或违规信息,这样容易造成数据泄露,或者数据传输不满足客户需求,这样数据接收端无法接收到正确的数据,因此,在进行数据传输前需要对网络数据进行审计,如何能对大量的网络数据同时进行审计,且提高审计效率是目前急需解决的问题。
发明内容
本申请的一些实施例的目的在于提供一种网络数据的审计方法、装置、电子设备及存储介质,通过本申请的实施例的技术方案,通过获取多个终端设备发送的待审计的网络数据,其中,所述待审计的网络数据至少包括终端设备的传输信息和业务请求;根据所述终端设备的传输信息,分别确定与所述终端设备对应的审计队列编号;采用多线程方式,将所述待审计的网络数据分别存储在与所述审计队列编号对应的队列中;根据所述业务请求,对所述队列中的待审计的网络数据进行审计,得到审计结果;将所述审计结果分别返回至所述终端设备,本申请实施例中代理审计服务器获取多个终端设备发送的待审计的网络数据,根据各个终端设备的传输信息,采用多线程方式,将接收到的待审计的网络数据分别存储到审计队列中,然后根据业务请求,对各个队列中的待审计的网络数据分别进行审计,得到审计结果,并将不同的审计结果分别返回至各个终端设备,这样,可以同时处理多个终端设备发送的待审计的网络数据,提高审计效率。
第一方面,本申请的一些实施例提供了一种网络数据的审计方法,包括:
获取多个终端设备发送的待审计的网络数据,其中,所述待审计的网络数据至少包括终端设备的传输信息和业务请求;
根据所述终端设备的传输信息,分别确定与所述终端设备对应的审计队列编号;
采用多线程方式,将所述待审计的网络数据分别存储在与所述审计队列编号对应的队列中;
根据所述业务请求,对所述队列中的待审计的网络数据进行审计,得到审计结果;
将所述审计结果分别返回至所述终端设备。
本申请的一些实施例通过代理审计服务器获取多个终端设备发送的待审计的网络数据,根据各个终端设备的传输信息,采用多线程方式,将接收到的待审计的网络数据分别存储到审计队列中,然后根据业务请求,对各个队列中的待审计的网络数据分别进行审计,得到审计结果,并将不同的审计结果分别返回至各个终端设备,这样,可以同时处理多个终端设备发送的待审计的网络数据,提高审计效率。
可选地,所述根据所述终端设备的传输信息,分别确定与所述终端设备对应的审计队列编号,包括:
获取终端设备的传输信息,其中,所述传输信息至少包括源地址、目的地址、源端口号、目的端口号和协议号;
对所述源地址、目的地址、源端口号、目的端口号和协议号进行哈希运算,得到与所述终端设备对应的审计队列编号。
本申请的一些实施例通过代理审计服务器以共享内存方式,创建多条独立的缓存队列即审计队列,每条缓存队列使用一个线程进行流量重组,这样就可以多线程同时进行流量审计,提高数据重组效率及性能。
可选地,所述采用多线程方式,将所述待审计的网络数据分别存储在与所述审计队列编号对应的队列中,包括:
获取终端设备发送的待审计的网络数据的首包;
根据所述首包,确定第一终端设备标识符;其中,所述终端设备标识符是终端设备采用UUID方式生成的;
根据预先存储的媒体访问控制地址和传输通道标识符的对应关系,将与所述第一终端设备标识符对应的首包存储在与所述审计队列编号对应的队列中;
在接收到通过第一传输通道标识符的通道传输的后续包的情况下,确定与所述传输通道标识符对应的后续包的第一终端设备标识符;
根据所述后续包的第一终端设备标识符,将所述后续包存储在与所述审计队列编号对应的队列中。
本申请的一些实施例通过代理审计服务器以共享内存方式,创建多条独立的缓存队列即审计队列,每条缓存队列使用一个线程进行流量重组,这样就可以多线程同时进行流量审计,提高数据重组效率及性能
可选地,所述根据所述业务请求,对所述队列中的待审计的网络数据进行审计,得到审计结果,包括:
对所述待审计的网络数据中的协议格式、身份识别信息或者协议号进行审计,得到审计结果,其中,所述审计结果至少包括正常审计结果和异常审计结果。
本申请的一些实施例,代理审计服务器对获取到的待审计的网络数据进行识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络***中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确定位,为整体网络安全策略的制定提供权威可靠的支持。
可选地,所述对所述待审计的网络数据中的协议格式、身份识别信息或者协议号进行审计,得到审计结果,包括:
对所述待审计的网络数据的协议格式中的预设关键字进行解析,得到解析后的协议格式数据;
若所述解析后的协议格式数据和预设协议格式相匹配,确定所述审计结果为正常审计结果;
若所述解析后的协议格式数据和预设协议格式不匹配,确定所述审计结果为异常审计结果;
获取所述待审计的网络数据中的身份识别信息;
将所述身份识别信息与预设身份信息进行比较;
若所述身份识别信息和所述预设身份信息相匹配,确定所述审计结果为正常审计结果;
若所述身份识别信息和所述预设身份信息不匹配,确定所述审计结果为异常审计结果;
获取所述待审计的网络数据中的邮件协议号或网页协议号;
判断所述邮件协议号或网页协议号是否在预设范围内;
若所述邮件协议号或网页协议号在所述预设范围内,确定所述审计结果为正常审计结果;
若所述邮件协议号或网页协议号不在所述预设范围内,确定所述审计结果为异常审计结果。
本申请的一些实施例通过代理审计服务器对所述待审计的网络数据中的协议格式、身份识别信息或者协议号进行审计,审计完成后,得到正常审计结果和异常审计结果,这样加快了审计效率和审计的准确性。
可选地,所述将所述审计结果分别返回至所述终端设备,包括:
在所述审计结果为异常审计结果的情况下,获取所述异常审计结果对应的第二终端设备标识符;
通过与所述第二终端设备标识符对应的第二传输通道标识符,将所述异常审计结果和与所述异常审计结果对应的待审计的网络数据的传输信息返回至对应的终端设备。
本申请的一些实施例通过在审计完成后,根据终端设备标识符对应的第二传输通道标识符,将异常审计结果发送至对应的终端设备,这样,终端设备收到审计结果进行分析,可根据客户需要,进行后续的业务处理。
可选地,所述方法还包括:
在网络数据传输中断的情况下,根据终端设备标识符,将接收到的中断后的网络数据存储在与终端设备标识符对应的审计队列中。
本申请的一些实施例代理审计服务器通过根据所述终端设备的传输信息,分别确定与所述终端设备对应的审计队列编号,将该连接后续待审计的网络数据帧存入该队列,即使出现网络异常进行了重连,由于设备标识符相同,不会出现同一个客户端审计数据,进入了不同队列导致的重组失败问题。
第二方面,本申请的一些实施例提供了一种网络数据的审计装置,包括:
获取模块,用于获取多个终端设备发送的待审计的网络数据,其中,所述待审计的网络数据至少包括终端设备的传输信息和业务请求;
确定模块,用于根据所述终端设备的传输信息,分别确定与所述终端设备对应的审计队列编号;
存储模块,用于采用多线程方式,将所述待审计的网络数据分别存储在与所述审计队列编号对应的队列中;
审计模块,用于根据所述业务请求,对所述队列中的待审计的网络数据进行审计,得到审计结果;
发送模块,用于将所述审计结果分别返回至所述终端设备。
本申请的一些实施例通过代理审计服务器获取多个终端设备发送的待审计的网络数据,根据各个终端设备的传输信息,采用多线程方式,将接收到的待审计的网络数据分别存储到审计队列中,然后根据业务请求,对各个队列中的待审计的网络数据分别进行审计,得到审计结果,并将不同的审计结果分别返回至各个终端设备,这样,可以同时处理多个终端设备发送的待审计的网络数据,提高审计效率。
可选地,所述确定模块用于:
获取终端设备的传输信息,其中,所述传输信息至少包括源地址、目的地址、源端口号、目的端口号和协议号;
对所述源地址、目的地址、源端口号、目的端口号和协议号进行哈希运算,得到与所述终端设备对应的审计队列编号。
本申请的一些实施例通过代理审计服务器以共享内存方式,创建多条独立的缓存队列即审计队列,每条缓存队列使用一个线程进行流量重组,这样就可以多线程同时进行流量审计,提高数据重组效率及性能。
可选地,所述采存储模块用于:
获取终端设备发送的待审计的网络数据的首包;
根据所述首包,确定第一终端设备标识符;其中,所述终端设备标识符是终端设备采用UUID方式生成的;
根据预先存储的媒体访问控制地址和传输通道标识符的对应关系,将与所述第一终端设备标识符对应的首包存储在与所述审计队列编号对应的队列中;
在接收到通过第一传输通道标识符的通道传输的后续包的情况下,确定与所述传输通道标识符对应的后续包的第一终端设备标识符;
根据所述后续包的第一终端设备标识符,将所述后续包存储在与所述审计队列编号对应的队列中。
本申请的一些实施例通过代理审计服务器以共享内存方式,创建多条独立的缓存队列即审计队列,每条缓存队列使用一个线程进行流量重组,这样就可以多线程同时进行流量审计,提高数据重组效率及性能
可选地,所述审计模块用于:
对所述待审计的网络数据中的协议格式、身份识别信息或者协议号进行审计,得到审计结果,其中,所述审计结果至少包括正常审计结果和异常审计结果。
本申请的一些实施例,代理审计服务器对获取到的待审计的网络数据进行识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络***中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确定位,为整体网络安全策略的制定提供权威可靠的支持。
可选地,所述审计模块用于:
对所述待审计的网络数据的协议格式中的预设关键字进行解析,得到解析后的协议格式数据;
若所述解析后的协议格式数据和预设协议格式相匹配,确定所述审计结果为正常审计结果;
若所述解析后的协议格式数据和预设协议格式不匹配,确定所述审计结果为异常审计结果;
获取所述待审计的网络数据中的身份识别信息;
将所述身份识别信息与预设身份信息进行比较;
若所述身份识别信息和所述预设身份信息相匹配,确定所述审计结果为正常审计结果;
若所述身份识别信息和所述预设身份信息不匹配,确定所述审计结果为异常审计结果;
获取所述待审计的网络数据中的邮件协议号或网页协议号;
判断所述邮件协议号或网页协议号是否在预设范围内;
若所述邮件协议号或网页协议号在所述预设范围内,确定所述审计结果为正常审计结果;
若所述邮件协议号或网页协议号不在所述预设范围内,确定所述审计结果为异常审计结果。
本申请的一些实施例通过代理审计服务器对所述待审计的网络数据中的协议格式、身份识别信息或者协议号进行审计,审计完成后,得到正常审计结果和异常审计结果,这样加快了审计效率和审计的准确性。
可选地,所述发送模块用于:
在所述审计结果为异常审计结果的情况下,获取所述异常审计结果对应的第二终端设备标识符;
通过与所述第二终端设备标识符对应的第二传输通道标识符,将所述异常审计结果和与所述异常审计结果对应的待审计的网络数据的传输信息返回至对应的终端设备。
本申请的一些实施例通过在审计完成后,根据终端设备标识符对应的第二传输通道标识符,将异常审计结果发送至对应的终端设备,这样,终端设备收到审计结果进行分析,可根据客户需要,进行后续的业务处理。
可选地,所述存储模块用于:
在网络数据传输中断的情况下,根据终端设备标识符,将接收到的中断后的网络数据存储在与终端设备标识符对应的审计队列中。
本申请的一些实施例代理审计服务器通过根据所述终端设备的传输信息,分别确定与所述终端设备对应的审计队列编号,将该连接后续待审计的网络数据帧存入该队列,即使出现网络异常进行重连,由于设备标识符相同,不会出现同一个客户端审计数据,进入了不同队列导致的重组失败问题。
第三方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任一实施例所述的网络数据的审计方法。
第四方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任一实施例所述的网络数据的审计方法。
第五方面,本申请的一些实施例提供一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如第一方面任一实施例所述的网络数据的审计方法。
附图说明
为了更清楚地说明本申请的一些实施例的技术方案,下面将对本申请的一些实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络数据的审计方法的流程示意图;
图2为本申请实施例提供的代理审计***的结构示意图;
图3为本申请实施例提供的又一种代理审计***的结构示意图;
图4为本申请实施例提供的一种网络数据的审计装置的结构示意图;
图5为本申请实施例提供的一种电子设备示意图。
具体实施方式
下面将结合本申请的一些实施例中的附图,对本申请的一些实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在数据传输过程中,可能会携带一些敏感信息或违规信息,这样容易造成数据泄露,或者数据传输不满足客户需求,这样数据接收端无法接收到正确的数据,鉴于此,本申请的一些实施例提供了一种网络数据的审计方法,该方法包括获取多个终端设备发送的待审计的网络数据,其中,待审计的网络数据至少包括终端设备的传输信息和业务请求;根据终端设备的传输信息,分别确定与终端设备对应的审计队列编号;采用多线程方式,将待审计的网络数据分别存储在与审计队列编号对应的队列中;根据业务请求,对队列中的待审计的网络数据进行审计,得到审计结果;将审计结果分别返回至终端设备,本申请实施例中代理审计服务器获取多个终端设备发送的待审计的网络数据,根据各个终端设备的传输信息,采用多线程方式,将接收到的待审计的网络数据分别存储到审计队列中,然后根据业务请求,对各个队列中的待审计的网络数据分别进行审计,得到审计结果,并将不同的审计结果分别返回至各个终端设备,这样,可以同时处理多个终端设备发送的待审计的网络数据,提高审计效率。
如图1所示,本申请的实施例提供了一种网络数据的审计方法,该方法包括:
S101、获取多个终端设备发送的待审计的网络数据,其中,待审计的网络数据至少包括终端设备的传输信息和业务请求;
具体地,如图2所示,多个终端设备即客户端分别与代理审计服务器,客户终端根据不同***的待审计设备运行平台,适配不同方式的抓包软件,例如,pcap++或wincap等不同方式,采集抓取流过待审计设备运行平台的流量即待审计的网络数据,多个终端设备将获取到待审计的网络数据发送至代理审计服务器,其中,待审计的网络数据至少包括终端设备的传输信息和业务请求,该终端设备的传输信息至少包括五元组数据,即源IP、目的IP、源端口、目的端口和协议号。
S102、根据终端设备的传输信息,分别确定与终端设备对应的审计队列编号;
具体地,代理审计服务器对终端设备的传输信息进行哈希计算,即对源IP地址、目的IP地址、源端口、目的端口和协议号进行哈希计算,得到与终端设备对应的审计队列编号。
每一个终端设备具有自己的传输信息,即终端设备的IP地址、代理审计服务器的IP地址、终端设备的源端口、代理审计服务器的目的端口和协议号,代理审计服务器对每一个终端设备的传输信息进行哈希运算后,得到与终端设备对应的审计队列编号。
S103、采用多线程方式,将待审计的网络数据分别存储在与审计队列编号对应的队列中;
具体地,代理审计服务器以共享内存方式,创建多条独立的缓存队列,每条缓存队列使用一个线程,即采用多线程方式,接收多个终端设备发送的待审计的网络数据,并根据计算得到的审计队列编号,将不同的终端设备的待审计的网络数据存储在与审计队列编号对应的队列中,这样可以通过多线程同时进行流量审计,提高效率及性能。
示例性地,代理审计服务器计算终端设备1的哈希值为1,将终端设备1发送的待审计的网络数据存放在审计队列编号为1的对列中,计算终端设备2的哈希值为2,将终端设备2发送的待审计的网络数据存放在审计队列编号为2的对列中。
S104、根据业务请求,对队列中的待审计的网络数据进行审计,得到审计结果;
具体地,代理审计服务器根据终端设备发送的业务请求,例如,smtp审计请求、数据库审计请求或ftp审计请求等,根据不同的请求,分别对不同审计队列中的待审计的网络数据进行审计,得到审计结果。
S105、将审计结果分别返回至终端设备。
代理审计服务器将得到的审计结果发送至对应的终端设备,终端设备在接收到审计结果后,可以执行相应的操作。
本申请实施例中的网络数据安全审计是通过对网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络***中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确定位,为整体网络安全策略的制定提供权威可靠的支持,以客户端-服务器模型,实现对各种终端设备的网络数据进行审计,同时提高了代理审计的处理性能及稳定性,减少漏审概率,进而提升网络安全性,防止数据泄露。
本申请的一些实施例通过代理审计服务器获取多个终端设备发送的待审计的网络数据,根据各个终端设备的传输信息,采用多线程方式,将接收到的待审计的网络数据分别存储到审计队列中,然后根据业务请求,对各个队列中的待审计的网络数据分别进行审计,得到审计结果,并将不同的审计结果分别返回至各个终端设备,这样,可以同时处理多个终端设备发送的待审计的网络数据,提高审计效率。
本申请又一实施例对上述实施例提供的网络数据的审计方法做进一步补充说明。
图2为本申请实施例提供的代理审计***的结构示意图,如图2所示,该代理审计***至少包括多个客户端和代理审计服务器,多个客户端如客户端1、客户端2……客户端n,多个客户端分别与代理审计服务器通过TCP SOCKET相连,其中:
客户端实施技术方案:
(1)客户端根据待审计设备运行平台的不同***,例如,不同***包括linux***、windows***和鸿蒙***,对于不同的***适配不同的抓包方式,例如pcap++抓包软件和wincap,客户端采集抓取流过待审计设备运行平台的流量,流量可以进行网址IP、端口和网口(硬件)等过滤,例如,根据审计的需求进行过滤,例如要求审计邮件的,只过滤邮件的数据,获取想要进行审计的数据流量。
(2)客户端对采集到的原始数据帧即待审计的网络数据进行缓存,以帧长度和原始帧数据存入缓存循环队列,队列大小、队列数可根据设备性能等因素灵活设置。单条队列满时,开始发送数据,选择下一个队列循环缓存。
(3)从缓存队列中取出待审计数据帧,使用UUID生成客户端的设备唯一标识符即第一终端设备标识符,首包发送第一终端设备标识符、抓包口MAC、帧长度和帧数据信息,后续包包括帧长度和帧数据,通过TCP socket通信,发送到代理审计服务器。
(4)TCP连接出现网络波动或者重连等导致发送失败时,待审计网络数据会存入缓存循环队列,待连接稳定后继续发送,防止待审计网络数据丢失导致的数据泄露。
(5)等待代理审计服务器响应,客户端根据响应报文,获取异常行为信息即审计结果,进行后续处理。
本申请实施例中客户端审计数据采集使用多缓存队列循环存储,单队列满发送,即使网络出现卡顿或重连等问题,采集到的审计数据可先存放在剩余队列中,只要在所有队列满之前恢复TCP通信,审计数据帧就不会丢,防止数据出现泄漏。
可选地,根据终端设备的传输信息,分别确定与终端设备对应的审计队列编号,包括:
获取终端设备的传输信息,其中,传输信息至少包括源地址、目的地址、源端口号、目的端口号和协议号;
对源地址、目的地址、源端口号、目的端口号和协议号进行哈希运算,得到与终端设备对应的审计队列编号。
本申请的一些实施例通过代理审计服务器以共享内存方式,创建多条独立的缓存队列即审计队列,每条缓存队列使用一个线程进行流量重组,这样就可以多线程同时进行流量审计,提高数据重组效率及性能。
可选地,采用多线程方式,将待审计的网络数据分别存储在与审计队列编号对应的队列中,包括:
获取终端设备发送的待审计的网络数据的首包;
根据首包,确定目第一终端设备标识符;其中,终端设备标识符是终端设备采用UUID方式生成的;
根据预先存储的媒体访问控制地址和传输通道标识符的对应关系,获取与终端设备的媒体访问控制地址对应的传输通道标识符;
在接收到通过第一传输通道标识符的通道传输的后续包的情况下,确定与传输通道标识符对应的后续包的第一终端设备标识符;
根据后续包的第一终端设备标识符,将后续包存储在与审计队列编号对应的队列中。
具体的,代理审计服务器接收到客户端发来的待审计的网络数据,对首包进行解析,获取客户端的抓包MAC即媒体访问控制地址,根据预先存储的媒体访问控制地址和传输通道标识符的对应关系,即MAC与TCP连接描述符的关系表,得到与MAC地址对应的TCP连接描述符;同时解析出客户端设备标识符,通过hash映射(对五元组进行哈希)获取到指定的队列号即审计队列编号,将该连接后续待审计数据帧存入该队列,即使出现网络异常进行了重连,由于设备标识符相同,不会出现同一个客户端审计数据,进入了不同队列导致的重组失败问题。
在客户端与代理审计服务器的TCP连接后,发送的首包头部加上客户端的唯一标识符及抓包网口MAC地址信息,即使出现网络异常重连、IP变更等问题,代理审计服务器可以通过新连接首包头部的标识符信息,确定源设备,从而将断连前后的审计数据进行统一处理,避免代理审计服务器重组时出现失败;网口MAC地址信息可以帮助代理审计服务器查找异常行为数据对应的客户端,从而及时给客户端反馈审计结果。
本申请的一些实施例通过代理审计服务器以共享内存方式,创建多条独立的缓存队列即审计队列,每条缓存队列使用一个线程进行流量重组,这样就可以多线程同时进行流量审计,提高数据重组效率及性能。
可选地,根据业务请求,对队列中的待审计的网络数据进行审计,得到审计结果,包括:
对待审计的网络数据中的协议格式、身份识别信息或者协议号进行审计,得到审计结果,其中,审计结果至少包括正常审计结果和异常审计结果。
本申请的一些实施例,代理审计服务器对获取到的待审计的网络数据进行识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络***中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确定位,为整体网络安全策略的制定提供权威可靠的支持。
可选地,对待审计的网络数据中的协议格式、身份识别信息或者协议号进行审计,得到审计结果,包括:
对待审计的网络数据的协议格式中的预设关键字进行解析,得到解析后的协议格式数据;
若解析后的协议格式数据和预设协议格式相匹配,确定审计结果为正常审计结果;
若解析后的协议格式数据和预设协议格式不匹配,确定审计结果为异常审计结果;
获取待审计的网络数据中的身份识别信息;
将身份识别信息与预设身份信息进行比较;
若身份识别信息和预设身份信息相匹配,确定审计结果为正常审计结果;
若身份识别信息和预设身份信息不匹配,确定审计结果为异常审计结果;
获取待审计的网络数据中的邮件协议号或网页协议号;
判断邮件协议号或网页协议号是否在预设范围内;
若邮件协议号或网页协议号在预设范围内,确定审计结果为正常审计结果;
若邮件协议号或网页协议号不在预设范围内,确定审计结果为异常审计结果。
本申请的一些实施例通过代理审计服务器对待审计的网络数据中的协议格式、身份识别信息或者协议号进行审计,审计完成后,得到正常审计结果和异常审计结果,这样加快了审计效率和审计的准确性。
可选地,将审计结果分别返回至终端设备,包括:
在审计结果为异常审计结果的情况下,获取异常审计结果对应的第二终端设备标识符;
通过与第二终端设备标识符对应的第二传输通道标识符,将异常审计结果和与异常审计结果对应的待审计的网络数据的传输信息返回至对应的终端设备。
具体的,代理审计服务器将不同队列中的待审计的网络数据分分别发送至不同的审计处理模块,例如审计处理模块可用于处理邮件smtp协议、数据库mysql协议等不同业务。
代理审计服务器采用多线程方式对不同队列中的待审计的网络数据进行审计,例如,根据协议格式进行关键数据解析,并且与预设协议格式进行比较;判断邮件协议号或http网页协议号是否在预设范围内;进行身份识别审计,比如对邮件的发件人或收件人与预设信息相比,从而得到审计结果,例如正常审计结果或异常审计结果,若是异常审计结果,则根据异常审计结果对应的客户端即第二终端设备标识符的MAC地址即第二传输通道标识符,在媒体访问控制地址和传输通道标识符的对应关系中找到与客户端的MAC地址对应的TCP连接描述符,然后将五元组(源IP、目的IP、源端口、目的端口和协议号)和审计异常码的响应报文发送至对应的客户端。
本申请的一些实施例通过在审计完成后,根据终端设备标识符对应的第二传输通道标识符,将异常审计结果发送至对应的终端设备,这样,终端设备收到审计结果进行分析,可根据客户需要,进行后续的业务处理。
可选地,该方法还包括:
在网络数据传输中断的情况下,根据终端设备标识符,将接收到的中断后的网络数据存储在与终端设备标识符对应审计队列中。
本申请的一些实施例代理审计服务器通过根据终端设备的传输信息,分别确定与终端设备对应的审计队列编号,将该连接后续待审计的网络数据帧存入该队列,即使出现网络异常进行了重连,由于设备标识符相同,不会出现同一个客户端审计数据,进入了不同队列导致的重组失败问题。
图3为本申请实施例提供的又一种代理审计***的结构示意图,如图3所示,本申请实施例基于C-S模型,可运用与分布式***,在企业网关、网安设备、代理服务器等多种场景都能适配使用,需要在各个终端设备服务器上新增加代理审计客户端即APP。
以网络安全产品应用举例,具体的流程如下:
1.企业网络组网中,可在网络安全管理设备上,部署代理审计服务,启动后开启服务端口监听,端口可根据管理员配置,例如7777端口。
2.企业网络中不同的***设备终端,客户端可支持linux***、windows***、鸿蒙***等,在需要数据审计的设备上,安装客户端,比如在数据库服务器、虚拟机、企业网关等,也可以跨越公司局域网,通过互联网连接分公司终端设备。
3.客户端上配置抓包网口、需要审计的数据类型,比如端口号、IP地址等,以及代理审计服务器IP port,开启代理审计。
4.代理审计服务器接收客户端审计数据,进行审计,并将审计结果返回给客户端。
5.客户端收到审计结果进行分析,可根据客户需要,进行后续的业务处理。
本申请实施例以C-S模型架构来实现网络数据的代理审计功能,可运用与分布式***,提高了灵活性、可扩展性、可靠性、可实施性。
需要说明的是,本实施例中各可实施的方式可以单独实施,也可以在不冲突的情况下以任意组合方式结合实施本申请不做限定。
本申请另一实施例提供一种网络数据的审计装置,用于执行上述实施例提供的网络数据的审计方法。
如图4所示,为本申请实施例提供的网络数据的审计装置的结构示意图。该网络数据的审计装置包括获取模块401、确定模块402、存储模块403、审计模块404和发送模块405,其中:
获取模块401用于获取多个终端设备发送的待审计的网络数据,其中,待审计的网络数据至少包括终端设备的传输信息和业务请求;
确定模块402用于根据终端设备的传输信息,分别确定与终端设备对应的审计队列编号;
存储模块403用于采用多线程方式,将待审计的网络数据分别存储在与审计队列编号对应的队列中;
审计模块404用于根据业务请求,对队列中的待审计的网络数据进行审计,得到审计结果;
发送模块405用于将审计结果分别返回至终端设备。
关于本实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本申请的一些实施例通过代理审计服务器获取多个终端设备发送的待审计的网络数据,根据各个终端设备的传输信息,采用多线程方式,将接收到的待审计的网络数据分别存储到审计队列中,然后根据业务请求,对各个队列中的待审计的网络数据分别进行审计,得到审计结果,并将不同的审计结果分别返回至各个终端设备,这样,可以同时处理多个终端设备发送的待审计的网络数据,提高审计效率。
本申请又一实施例对上述实施例提供的网络数据的审计装置做进一步补充说明。
可选地,确定模块用于:
获取终端设备的传输信息,其中,传输信息至少包括源地址、目的地址、源端口号、目的端口号和协议号;
对源地址、目的地址、源端口号、目的端口号和协议号进行哈希运算,得到与终端设备对应的审计队列编号。
本申请的一些实施例通过代理审计服务器以共享内存方式,创建多条独立的缓存队列即审计队列,每条缓存队列使用一个线程进行流量重组,这样就可以多线程同时进行流量审计,提高数据重组效率及性能。
可选地,采存储模块用于:
获取终端设备发送的待审计的网络数据的首包;
根据首包,确定目第一终端设备标识符;其中,终端设备标识符是终端设备采用UUID方式生成的;
根据预先存储的媒体访问控制地址和传输通道标识符的对应关系,获取与终端设备的媒体访问控制地址对应的传输通道标识符;
在接收到通过第一传输通道标识符的通道传输的后续包的情况下,确定与传输通道标识符对应的后续包的第一终端设备标识符;
根据后续包的第一终端设备标识符,将后续包存储在与审计队列编号对应的队列中。
本申请的一些实施例通过代理审计服务器以共享内存方式,创建多条独立的缓存队列即审计队列,每条缓存队列使用一个线程进行流量重组,这样就可以多线程同时进行流量审计,提高数据重组效率及性能
可选地,审计模块用于:
对待审计的网络数据中的协议格式、身份识别信息或者协议号进行审计,得到审计结果,其中,审计结果至少包括正常审计结果和异常审计结果。
本申请的一些实施例,代理审计服务器对获取到的待审计的网络数据进行识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络***中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确定位,为整体网络安全策略的制定提供权威可靠的支持。
可选地,审计模块用于:
对待审计的网络数据的协议格式中的预设关键字进行解析,得到解析后的协议格式数据;
若解析后的协议格式数据和预设协议格式相匹配,确定审计结果为正常审计结果;
若解析后的协议格式数据和预设协议格式不匹配,确定审计结果为异常审计结果;
获取待审计的网络数据中的身份识别信息;
将身份识别信息与预设身份信息进行比较;
若身份识别信息和预设身份信息相匹配,确定审计结果为正常审计结果;
若身份识别信息和预设身份信息不匹配,确定审计结果为异常审计结果;
获取待审计的网络数据中的邮件协议号或网页协议号;
判断邮件协议号或网页协议号是否在预设范围内;
若邮件协议号或网页协议号在预设范围内,确定审计结果为正常审计结果;
若邮件协议号或网页协议号不在预设范围内,确定审计结果为异常审计结果。
本申请的一些实施例通过代理审计服务器对待审计的网络数据中的协议格式、身份识别信息或者协议号进行审计,审计完成后,得到正常审计结果和异常审计结果,这样加快了审计效率和审计的准确性。
可选地,发送模块用于:
在所述审计结果为异常审计结果的情况下,获取所述异常审计结果对应的第二终端设备标识符;
通过与所述第二终端设备标识符对应的第二传输通道标识符,将所述异常审计结果和与所述异常审计结果对应的待审计的网络数据的传输信息返回至对应的终端设备。
本申请的一些实施例通过在审计完成后,根据终端设备标识符对应的第二传输通道标识符,将异常审计结果发送至对应的终端设备,这样,终端设备收到审计结果进行分析,可根据客户需要,进行后续的业务处理。
可选地,存储模块用于:
在网络数据传输中断的情况下,根据终端设备标识符,将接收到的中断后的网络数据存储在与终端设备标识符对应审计队列中。
本申请的一些实施例代理审计服务器通过根据终端设备的传输信息,分别确定与终端设备对应的审计队列编号,将该连接后续待审计的网络数据帧存入该队列,即使出现网络异常进行重连,由于设备标识符相同,不会出现同一个客户端审计数据,进入了不同队列导致的重组失败问题。
关于本实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
需要说明的是,本实施例中各可实施的方式可以单独实施,也可以在不冲突的情况下以任意组合方式结合实施本申请不做限定。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,程序被处理器执行时可实现如上述实施例提供的网络数据的审计方法中的任意实施例所对应方法的操作。
本申请实施例还提供了一种计算机程序产品,的计算机程序产品包括计算机程序,其中,的计算机程序被处理器执行时可实现如上述实施例提供的网络数据的审计方法中的任意实施例所对应方法的操作。
如图5所示,本申请的一些实施例提供一种电子设备500,该电子设备500包括:存储器510、处理器520以及存储在存储器510上并可在处理器520上运行的计算机程序,其中,处理器520通过总线530从存储器510读取程序并执行程序时可实现如上述网络数据的审计方法包括的任意实施例的方法。
处理器520可以处理数字信号,可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中,处理器520可以是微处理器。
存储器510可以用于存储由处理器520执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码,用于实现本申请实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器520可以用于执行存储器510中的指令以实现上述所示的方法。存储器510包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种网络数据的审计方法,其特征在于,应用于代理审计服务器,所述方法包括:
获取多个终端设备发送的待审计的网络数据,其中,所述待审计的网络数据至少包括终端设备的传输信息和业务请求;
根据所述终端设备的传输信息,分别确定与所述终端设备对应的审计队列编号;
采用多线程方式,将所述待审计的网络数据分别存储在与所述审计队列编号对应的队列中;
根据所述业务请求,对所述队列中的待审计的网络数据进行审计,得到审计结果;
将所述审计结果分别返回至所述终端设备。
2.根据权利要求1所述的网络数据的审计方法,其特征在于,所述根据所述终端设备的传输信息,分别确定与所述终端设备对应的审计队列编号,包括:
获取终端设备的传输信息,其中,所述传输信息至少包括源地址、目的地址、源端口号、目的端口号和协议号;
对所述源地址、目的地址、源端口号、目的端口号和协议号进行哈希运算,得到与所述终端设备对应的审计队列编号。
3.根据权利要求1所述的网络数据的审计方法,其特征在于,所述采用多线程方式,将所述待审计的网络数据分别存储在与所述审计队列编号对应的队列中,包括:
获取终端设备发送的待审计的网络数据的首包;
根据所述首包,确定第一终端设备标识符;其中,所述终端设备标识符是终端设备采用UUID方式生成的;
根据预先存储的媒体访问控制地址和传输通道标识符的对应关系,将与所述第一终端设备标识符对应的首包存储在与所述审计队列编号对应的队列中;
在接收到通过第一传输通道标识符的通道传输的后续包的情况下,确定与所述传输通道标识符对应的后续包的第一终端设备标识符;
根据所述后续包的第一终端设备标识符,将所述后续包存储在与所述审计队列编号对应的队列中。
4.根据权利要求1所述的网络数据的审计方法,其特征在于,所述根据所述业务请求,对所述队列中的待审计的网络数据进行审计,得到审计结果,包括:
对所述待审计的网络数据中的协议格式、身份识别信息或者协议号进行审计,得到审计结果,其中,所述审计结果至少包括正常审计结果和异常审计结果。
5.根据权利要求4所述的网络数据的审计方法,其特征在于,所述对所述待审计的网络数据中的协议格式、身份识别信息或者协议号进行审计,得到审计结果,包括:
对所述待审计的网络数据的协议格式中的预设关键字进行解析,得到解析后的协议格式数据;
若所述解析后的协议格式数据和预设协议格式相匹配,确定所述审计结果为正常审计结果;
若所述解析后的协议格式数据和预设协议格式不匹配,确定所述审计结果为异常审计结果;
获取所述待审计的网络数据中的身份识别信息;
将所述身份识别信息与预设身份信息进行比较;
若所述身份识别信息和所述预设身份信息相匹配,确定所述审计结果为正常审计结果;
若所述身份识别信息和所述预设身份信息不匹配,确定所述审计结果为异常审计结果;
获取所述待审计的网络数据中的邮件协议号或网页协议号;
判断所述邮件协议号或网页协议号是否在预设范围内;
若所述邮件协议号或网页协议号在所述预设范围内,确定所述审计结果为正常审计结果;
若所述邮件协议号或网页协议号不在所述预设范围内,确定所述审计结果为异常审计结果。
6.根据权利要求3所述的网络数据的审计方法,其特征在于,所述将所述审计结果分别返回至所述终端设备,包括:
在所述审计结果为异常审计结果的情况下,获取所述异常审计结果对应的第二终端设备标识符;
通过与所述第二终端设备标识符对应的第二传输通道标识符,将所述异常审计结果和与所述异常审计结果对应的待审计的网络数据的传输信息返回至对应的终端设备。
7.根据权利要求3所述的网络数据的审计方法,其特征在于,所述方法还包括:
在网络数据传输中断的情况下,根据终端设备标识符,将接收到的中断后的网络数据存储在与终端设备标识符对应的审计队列中。
8.一种网络数据的审计装置,其特征在于,所述装置包括:
获取模块,用于获取多个终端设备发送的待审计的网络数据,其中,所述待审计的网络数据至少包括终端设备的传输信息和业务请求;
确定模块,用于根据所述终端设备的传输信息,分别确定与所述终端设备对应的审计队列编号;
存储模块,用于采用多线程方式,将所述待审计的网络数据分别存储在与所述审计队列编号对应的队列中;
审计模块,用于根据所述业务请求,对所述队列中的待审计的网络数据进行审计,得到审计结果;
发送模块,用于将所述审计结果分别返回至所述终端设备。
9.一种电子设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现权利要求1-7中任意一项权利要求所述的网络数据的审计方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述程序被处理器执行时可实现权利要求1-7中任意一项权利要求所述的网络数据的审计方法。
CN202311191461.7A 2023-09-13 2023-09-13 一种网络数据的审计方法、装置、电子设备及存储介质 Pending CN117336215A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311191461.7A CN117336215A (zh) 2023-09-13 2023-09-13 一种网络数据的审计方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311191461.7A CN117336215A (zh) 2023-09-13 2023-09-13 一种网络数据的审计方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN117336215A true CN117336215A (zh) 2024-01-02

Family

ID=89290956

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311191461.7A Pending CN117336215A (zh) 2023-09-13 2023-09-13 一种网络数据的审计方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN117336215A (zh)

Similar Documents

Publication Publication Date Title
US10855718B2 (en) Management of actions in a computing environment based on asset classification
US10257224B2 (en) Method and apparatus for providing forensic visibility into systems and networks
US9501345B1 (en) Method and system for creating enriched log data
US9372995B2 (en) Vulnerability countermeasure device and vulnerability countermeasure method
CN111176941B (zh) 一种数据处理的方法、装置和存储介质
US20160380867A1 (en) Method and System for Detecting and Identifying Assets on a Computer Network
CN113424157A (zh) IoT设备行为的多维周期性检测
US8661456B2 (en) Extendable event processing through services
CN108052824B (zh) 一种风险防控方法、装置及电子设备
US12003517B2 (en) Enhanced cloud infrastructure security through runtime visibility into deployed software
CN110311927B (zh) 数据处理方法及其装置、电子设备和介质
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
CN114208114B (zh) 每参与者的多视角安全上下文
CN113098727A (zh) 一种数据包检测处理方法与设备
JP2017199250A (ja) 計算機システム、データの分析方法、及び計算機
CN117336215A (zh) 一种网络数据的审计方法、装置、电子设备及存储介质
CN113778709B (zh) 接口调用方法、装置、服务器及存储介质
CN108880920B (zh) 云服务管理方法、装置以及电子设备
Wüstrich et al. Network profiles for detecting application-characteristic behavior using linux eBPF
US20180351978A1 (en) Correlating user information to a tracked event
CN114785621A (zh) 漏洞检测方法、装置、电子设备及计算机可读存储介质
CN114900359A (zh) 一种网络安全事件回溯方法和***
CN111177281B (zh) 一种访问管控方法、装置、设备及存储介质
CN113259386A (zh) 恶意请求拦截方法、装置及计算机设备
Mokhov et al. Automating MAC spoofer evidence gathering and encoding for investigations

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination