2. 技术
  3. 网络行为审计方法、装置、设备及存储介质与流程

网络行为审计方法、装置、设备及存储介质与流程

allin2023-04-02  86

1.本发明涉及数据处理技术领域,尤其涉及一种网络行为审计方法、装置、设备及存储介质。


背景技术:

2.目前市面上主流的linux服务器网络数据采集方案较多采用了pcap集成方案,在此基础上进行数据包的解析拆分处理,但是,主流的网络审计方案存在着数据采集不完整和没有深度挖掘分析的能力的问题。
3.上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。


技术实现要素:

4.本发明的主要目的在于提出一种网络行为审计方法、装置、设备及存储介质,旨在解决如何在网络行为审计中采集更具有深度的完整数据的技术问题。
5.为实现上述目的,本发明提供一种网络行为审计方法,所述网络行为审计方法包括:获取网络行为数据;根据所述网络行为数据确定网络事件;将所述网络事件与系统进程行为进行关联;基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息。
6.可选地,所述获取网络行为数据,包括:获取当前使用的操作系统对应的操作系统信息;根据所述操作系统信息获取网络收发数据包;对所述网络收发数据包进行解析,得到网络行为数据。
7.可选地,所述根据所述操作系统信息获取网络收发数据包,包括:根据所述操作系统信息确定网络协议信息和网卡信息;根据所述网络协议信息确定网络协议栈层,并根据所述网卡信息确定网卡接口;越过所述网络协议栈层,从所述网卡接口处获取网络收发数据包。
8.可选地,所述对所述网络收发数据包进行解析,得到网络行为数据,包括:将所述网络收发数据包进行多队列缓存,得到多个待解析数据;通过多个队列对多个待解析数据进行解析,得到多个初始行为数据;对多个初始行为数据进行组合,得到网络行为数据。
9.可选地,所述将所述网络事件与系统进程行为进行关联,包括:获取所述网络事件对应的网络信息以及系统进程行为对应的进程信息;根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关
联。
10.可选地,所述根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关联,包括:根据所述进程信息确定各系统进程行为对应的进程路径和进程标识符;将属于同一系统进程行为的进程路径和进程标识符进行关联,得到关联后的进程路径和进程标识符;根据所述网络信息以及关联后的进程路径和进程标识符将所述网络事件与所述系统进程行为进行关联。
11.可选地,所述根据所述网络信息以及关联后的进程路径和进程标识符将所述网络事件与所述系统进程行为进行关联,包括:根据所述网络信息生成第一标识,并根据关联后的进程路径和进程标识符生成第二标识;将所述第一标识与所述第二标识进行匹配,使所述第一标识与所述第二标识一一对应;根据匹配结果将所述网络事件与所述系统进程行为进行关联。
12.可选地,所述根据所述网络行为数据确定网络事件,包括:根据所述网络行为数据确定行为特征参数和行为描述信息;根据所述行为特征参数确定行为发生时间和行为类型;根据所述行为描述信息、所述行为发生时间以及所述行为类型确定网络事件。
13.可选地,所述基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息,包括:基于关联后的网络事件和系统进程行为确定待审计数据;对所述待审计数据进行网络行为审计,得到审计日志;根据所述审计日志生成目标网络行为事件信息。
14.可选地,所述根据所述审计日志生成目标网络行为事件信息,包括:根据所述审计日志确定与网络行为相关的审计信息;提取所述审计信息中的网络行为特征;根据所述网络行为特征对所述审计信息进行聚类,得到多个审计信息集合;分别根据各审计信息集合生成对应的初始网络行为事件信息;对所述初始网络行为事件信息进行组合,得到目标网络行为事件信息。
15.此外,为实现上述目的,本发明还提出一种网络行为审计装置,所述网络行为审计装置包括:数据获取模块,用于获取网络行为数据;数据分析模块,用于根据所述网络行为数据确定网络事件;信息关联模块,用于将所述网络事件与系统进程行为进行关联;行为审计模块,用于基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息。
16.所述数据获取模块,还用于获取当前使用的操作系统对应的操作系统信息;根据所述操作系统信息获取网络收发数据包;对所述网络收发数据包进行解析,得到网络行为
数据。
17.可选地,所述数据获取模块,还用于根据所述操作系统信息确定网络协议信息和网卡信息;根据所述网络协议信息确定网络协议栈层,并根据所述网卡信息确定网卡接口;越过所述网络协议栈层,从所述网卡接口处获取网络收发数据包。
18.可选地,所述数据获取模块,还用于将所述网络收发数据包进行多队列缓存,得到多个待解析数据;通过多个队列对多个待解析数据进行解析,得到多个初始行为数据;对多个初始行为数据进行组合,得到网络行为数据。
19.可选地,所述信息关联模块,还用于获取所述网络事件对应的网络信息以及系统进程行为对应的进程信息;根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关联。
20.可选地,所述信息关联模块,还用于根据所述进程信息确定各系统进程行为对应的进程路径和进程标识符;将属于同一系统进程行为的进程路径和进程标识符进行关联,得到关联后的进程路径和进程标识符;根据所述网络信息以及关联后的进程路径和进程标识符将所述网络事件与所述系统进程行为进行关联。
21.可选地,所述信息关联模块,还用于根据所述网络信息生成第一标识,并根据关联后的进程路径和进程标识符生成第二标识;将所述第一标识与所述第二标识进行匹配,使所述第一标识与所述第二标识一一对应;根据匹配结果将所述网络事件与所述系统进程行为进行关联。
22.可选地,所述数据分析模块,还用于根据所述网络行为数据确定行为特征参数和行为描述信息;根据所述行为特征参数确定行为发生时间和行为类型;根据所述行为描述信息、所述行为发生时间以及所述行为类型确定网络事件。
23.此外,为实现上述目的,本发明还提出一种网络行为审计设备,所述网络行为审计设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络行为审计程序,所述网络行为审计程序被处理器执行时实现如上所述的网络行为审计方法。
24.此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有网络行为审计程序,所述网络行为审计程序被处理器执行时实现如上所述的网络行为审计方法。
25.本发明提出的网络行为审计方法中,获取网络行为数据;根据所述网络行为数据确定网络事件;将所述网络事件与系统进程行为进行关联;基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息。从而可以根据网络行为数据确定网络事件后与系统进程行为进行关联,再根据关联后的数据进行网络行为审计,可以在网络行为审计中采集更具有深度的完整数据,达到更好的网络行为审计效果。
附图说明
26.图1是本发明实施例方案涉及的硬件运行环境的网络行为审计设备结构示意图;图2为本发明网络行为审计方法第一实施例的流程示意图;图3为本发明网络行为审计方法第二实施例的流程示意图;图4为本发明网络行为审计方法第三实施例的流程示意图;图5为本发明网络行为审计装置第一实施例的功能模块示意图。
27.本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
28.应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
29.参照图1,图1为本发明实施例方案涉及的硬件运行环境的网络行为审计设备结构示意图。
30.如图1所示,该网络行为审计设备可以包括:处理器1001,例如中央处理器(central processing unit,cpu),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如按键,可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是高速随机存取存储器(random access memory,ram),也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
31.本领域技术人员可以理解,图1中示出的设备结构并不构成对网络行为审计设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
32.如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络行为审计程序。
33.在图1所示的网络行为审计设备中,网络接口1004主要用于连接外网,与其他网络设备进行数据通信;用户接口1003主要用于连接用户设备,与所述用户设备进行数据通信;本发明设备通过处理器1001调用存储器1005中存储的网络行为审计程序,并执行本发明实施例提供的网络行为审计方法。
34.基于上述硬件结构,提出本发明网络行为审计方法实施例。
35.参照图2,图2为本发明网络行为审计方法第一实施例的流程示意图。
36.在第一实施例中,所述网络行为审计方法包括:步骤s10,获取网络行为数据。
37.需要说明的是,本实施例的执行主体可为网络行为审计设备,该网络行为审计设备可以为具有数据处理功能的服务器,还可为其他可实现相同或相似功能的设备,本实施例对此不作限制,在本实施例中,以linux网络服务器为例进行说明。
38.需要说明的是,本方案主要涉及在linux网络服务器系统中形成采集网络行为数据并生成审计事件的解决方案,目前市面上主流的linux服务器网络数据采集方案较多采用了pcap集成方案,在此基础上进行数据包的解析拆分处理。但是,此类方案包含两个重要问题,其一是在较浅层次上采集网络数据较为延迟,导致了数据处理不及时或丢失,其二是采集的网络数据信息维度不够,信息只是单纯的网络内容缺乏与系统内具体行为的有效关联性,导致采集到的信息分析价值不高。受限于以上两个关键原因,主流的网络审计方案存在着数据采集不完整和没有深度挖掘分析的能力。
39.需要说明的是,本实施例中的网络行为数据可以包括但不限于与网络行为相关的数据,例如,与观看视频相关的数据、与下载软件相关的数据以及与浏览网站相关的数据等,本实施例对此不作限制。
40.应当理解的是,在本方案中,可以采用两种技术结合的方式来获取网络行为数据。第一种是使用pcap底层驱动的ebpf技术方法,越过操作系统的网络协议层可直接从网卡接口处优先获取网络收发数据包,从而并行于操作系统的正常网络任务处理,更快更优的接收到网络数据进行处理。第二种是采用可动态调节的网络数据包多队列分优先级缓存方案,在数据包的存入取出队列阶段使用了动态竞争无锁算法,结合竞争选择队列算法避免并发运行的数据包存入取出计算而堵塞和处理速度降低问题,以此实现队列缓存的性能均衡与效率最大化。除此之外,也可通过其他可实现相同或相似效果的方式来获取网络行为数据,本实施例对此不作限制。
41.可以理解的是,为了提高数据获取效率,可以获取当前使用的操作系统对应的操作系统信息,然后根据操作系统信息来采用合适的数据获取策略获取网络收发数据包。在得到网络收发数据包之后,可以对网络收发数据包进行解析,得到网络行为数据。
42.需要说明的是,由于本方案应用于linux网络服务器,因此,上述操作系统可为linux系统,可以包括但不限于各种版本的linux系统,本实施例对此不作限制。
43.步骤s20,根据所述网络行为数据确定网络事件。
44.需要说明的是,由于用户在使用网络的过程中,可能存在多种类型的网络事件,适用于多种不同的使用场景,因此,为了准确的对这些网络事件进行识别,可以结合网络行为数据中的行为特征参数和行为描述信息来确定网络事件,除此之外,也可根据网络行为数据通过其他方式确定网络事件,本实施例对此不作限制。
45.需要说明的是,本实施例中的行为特征参数可以包括但不限于行为发生时间和行为类型,行为描述信息可以包括但不限于行为关键词,本实施例对此不作限制。
46.可以理解的是,在获取与网络行为相关的网络行为数据之后,可以对网络行为数据进行解析,以确定行为特征参数和行为描述信息。然后,还可从行为特征参数中提取行为发生时间和行为类型等参数,从行为描述信息中提取行为关键词,进而结合行为描述信息、行为发生时间以及行为类型确定网络事件。
47.步骤s30,将所述网络事件与系统进程行为进行关联。
48.应当理解的是,可以获取网络事件对应的网络信息,并获取操作系统中系统进程行为对应的进程信息,然后结合网络信息和进程信息将网络事件与系统进程行为进行关联。
49.可以理解的是,本方案可以采用广度关联方案,即将网络事件与具体的系统进程行为相关联,如网络信息的远程地址(ip)与端口等信息可关联到系统中具体的进程路径与进程标识符(pid),从而让两种维度的事件可以关联,通过多维度的方式深度挖掘数据。
50.步骤s40,基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息。
51.需要说明的是,本方案支持对网络格式包括http、tcp、udp、dhcp、dns、icmp、raw、ip、arp等协议的拆解分析和网络行为识别处理。基于上述包含的技术特征,形成了一套相对完整的linux系统环境下高效且全面可关联系统行为的网络行为审计方案。
52.应当理解的是,在将网络事件和系统进程行为进行关联之后,可以先基于关联后的网络事件和系统进程行为确定待审计数据。然后,可以对待审计数据进行网络行为审计,得到审计日志,再根据审计日志生成目标网络行为事件信息。
53.应当理解的是,为了更加准确地进行网络行为审计,达到更好的网络行为审计效果,在得到审计日志之后,可以根据审计日志确定与网络行为相关的审计信息,然后提取审计信息中的网络行为特征,根据网络行为特征对审计信息进行聚类,得到多个审计信息集合,分别根据各审计信息集合生成对应的初始网络行为事件信息,对初始网络行为事件信息进行组合,得到目标网络行为事件信息。
54.可以理解的是,由于可能存在多种类型的与网络行为相关的审计信息,因此,为了使最终得到的网络行为事件信息更加具有条理,可以先根据审计信息中的网络行为特征对审计信息进行聚类,将不同类型的审计解析集合到一起,得到多个审计信息集合,其中,每个审计信息集合中的审计信息的类型相同。
55.可以理解的是,在经过上述处理得到多个审计信息集合之后,可以分别对各审计信息集合进行网络行为审计,然后再将不同类型的审计信息集合对应的初始网络行为事件信息进行组合,得到最终的目标网络行为事件信息,从而不仅可以快速的进行网络行为审计,还可以达到更好的网络行为审计效果。
56.可以理解的是,本方案的整体技术方案实现了对网络linux服务器网络事件审计的完整方案,方案实现具有采集丰富性、高效性、审计信息维度高的特点。
57.在本实施例中,获取网络行为数据;根据所述网络行为数据确定网络事件;将所述网络事件与系统进程行为进行关联;基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息。从而可以根据网络行为数据确定网络事件后与系统进程行为进行关联,再根据关联后的数据进行网络行为审计,可以在网络行为审计中采集更具有深度的完整数据,达到更好的网络行为审计效果。
58.在一实施例中,如图3所示,基于第一实施例提出本发明网络行为审计方法第二实施例,所述步骤s10,包括:步骤s101,获取当前使用的操作系统对应的操作系统信息。
59.需要说明的是,本实施例中的操作系统可为linux系统,但是,由于存在多个版本的linux系统,而各版本的linux系统之间可能会存在区别,因此,为了达到更好的网络行为数据采集效果,可以linux服务器当前使用的操作系统对应的操作系统信息。
60.步骤s102,根据所述操作系统信息获取网络收发数据包。
61.应当理解的是,为了准确地确定操作系统的网络协议栈层和网卡接口,达到更好的网络收发数据包获取效果,可以根据操作系统信息确定网络协议信息和网卡信息。
62.需要说明的是,由于网络协议信息中包含多种与网络协议相关的信息,网卡信息中包含多种与网卡相关的信息,因此,在确定网络协议信息和网卡信息之后,可以根据网络协议信息确定网络协议栈层,并根据网卡信息确定网卡接口,进而使用pcap底层驱动的ebpf技术方法,越过网络协议栈层,从网卡接口处直接获取网络收发数据包。
63.步骤s103,对所述网络收发数据包进行解析,得到网络行为数据。
64.应当理解的是,为了避免数据堵塞出现处理速度降低的问题,实现队列缓存的性能均衡与效率最大化,可以将网络收发数据包进行多队列缓存,得到多个待解析数据,通过多个队列同时对多个待解析数据进行解析,得到多个初始行为数据,对多个初始行为数据进行组合,得到网络行为数据。因此,本方案可以采用动态调节的网络数据包多队列分优先级缓存方案,在数据包的存入取出队列阶段使用了动态竞争无锁算法,结合竞争选择队列
算法避免并发运行的数据包存入取出计算而堵塞和处理速度降低问题,以此实现队列缓存的性能均衡与效率最大化。
65.在本实施例中,获取当前使用的操作系统对应的操作系统信息;根据所述操作系统信息获取网络收发数据包;对所述网络收发数据包进行解析,得到网络行为数据。从而可以结合操作系统信息准确地采集网络行为数据,充分的利用了资源和性能,提高了网络行为数据的采集效率。
66.在一实施例中,如图4所示,基于第一实施例或第二实施例提出本发明网络行为审计方法第三实施例,在本实施例中,基于第一实施例进行说明,所述步骤s30,包括:步骤s301,获取所述网络事件对应的网络信息以及系统进程行为对应的进程信息。
67.应当理解的是,可以获取网络事件对应的与网络相关的网络信息,同时,还可获取当前使用的操作系统中与系统进程行为对应的与进程相关的进程信息。
68.步骤s302,根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关联。
69.需要说明的是,本实施例中的进程信息可以包括但不限于进程路径和进程标识符等信息,本实施例对此不作限制。
70.应当理解的是,在得到系统进程行为对应的进程信息之后,可以根据进程信息确定各系统进程行为对应的进程路径和进程标识符,并将属于同一系统进程行为的进程路径和进程标识符进行关联,得到关联后的进程路径和进程标识符,再根据网络信息以及关联后的进程路径和进程标识符将网络事件与系统进程进行关联。
71.可以理解的是,在本实施例中,为了提高关联效率,避免出现关联失误的情况,在确定进程路径和进程标识符之后,可以先将进程路径与进程标识符进行关联,然后再与网络事件进行关联。
72.应当理解的是,可以根据网络信息生成第一标识,并根据关联后的进程路径和进程标识生成第二标识,将第一标识与第二标识进行匹配,使第一标识与第二标识一一对应,进而根据匹配结果将网络事件与系统进程进行关联。
73.需要说明的是,本实施例中的“第一”、“第二”是为了便于区分不同的对象,不对特征作其他限制。本实施例中的第一标识和第二标识可包括但不限于数字标识、文字标识、字符标识以及符号标识,本实施例对此不作限制。
74.可以理解的是,为了更加方便的将网络事件和系统进程进行关联,由于网络信息与网络事件之间存在对应关系,关联后的进程路径和进程标识符与系统进程之间存在对应关系,因此,需要将网络信息与关联后的进程路径和进程标识符进行匹配,使网络信息与关联后的进程路径和进程标识符之间存在对应关系,便可根据上述三种对应关系进行转换,来确定网络事件与系统进程之间的对应关系,从而根据网络事件与系统进程之间的对应关系将网络事件与系统进程行为进行关联。
75.可以理解的是,由于网络信息和关联后的进程路径和进程标识符可能存在数量较多、数据量较大的情况,因此,为了便于将两者进行匹配,可以根据网络信息生成第一标识,并根据关联后的进程路径和进程标识符生成第二标识,通过将第一标识与第二标识进行匹配的方式来替代将网络信息与关联后的进程路径和进程标识符进行匹配,提高了匹配效
率。
76.在本实施例中,获取所述网络事件对应的网络信息以及系统进程行为对应的进程信息,根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关联,从而可以准确高效地将网络事件与系统进程行为进行关联。
77.此外,本发明实施例还提出一种存储介质,所述存储介质上存储有网络行为审计程序,所述网络行为审计程序被处理器执行时实现如上文所述的网络行为审计方法的步骤。
78.由于本存储介质采用了上述所有实施例的全部技术方案,因此至少具有上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
79.此外,参照图5,本发明实施例还提出一种网络行为审计装置,所述网络行为审计装置包括:数据获取模块10,用于获取网络行为数据。
80.需要说明的是,本方案主要涉及在linux网络服务器系统中形成采集网络行为数据并生成审计事件的解决方案,目前市面上主流的linux服务器网络数据采集方案较多采用了pcap集成方案,在此基础上进行数据包的解析拆分处理。但是,此类方案包含两个重要问题,其一是在较浅层次上采集网络数据较为延迟,导致了数据处理不及时或丢失,其二是采集的网络数据信息维度不够,信息只是单纯的网络内容缺乏与系统内具体行为的有效关联性,导致采集到的信息分析价值不高。受限于以上两个关键原因,主流的网络审计方案存在着数据采集不完整和没有深度挖掘分析的能力。
81.需要说明的是,本实施例中的网络行为数据可以包括但不限于与网络行为相关的数据,例如,与观看视频相关的数据、与下载软件相关的数据以及与浏览网站相关的数据等,本实施例对此不作限制。
82.应当理解的是,在本方案中,可以采用两种技术结合的方式来获取网络行为数据。第一种是使用pcap底层驱动的ebpf技术方法,越过操作系统的网络协议层可直接从网卡接口处优先获取网络收发数据包,从而并行于操作系统的正常网络任务处理,更快更优的接收到网络数据进行处理。第二种是采用可动态调节的网络数据包多队列分优先级缓存方案,在数据包的存入取出队列阶段使用了动态竞争无锁算法,结合竞争选择队列算法避免并发运行的数据包存入取出计算而堵塞和处理速度降低问题,以此实现队列缓存的性能均衡与效率最大化。除此之外,也可通过其他可实现相同或相似效果的方式来获取网络行为数据,本实施例对此不作限制。
83.可以理解的是,为了提高数据获取效率,可以获取当前使用的操作系统对应的操作系统信息,然后根据操作系统信息来采用合适的数据获取策略获取网络收发数据包。在得到网络收发数据包之后,可以对网络收发数据包进行解析,得到网络行为数据。
84.需要说明的是,由于本方案应用于linux网络服务器,因此,上述操作系统可为linux系统,可以包括但不限于各种版本的linux系统,本实施例对此不作限制。
85.数据分析模块20,用于根据所述网络行为数据确定网络事件。
86.需要说明的是,由于用户在使用网络的过程中,可能存在多种类型的网络事件,适用于多种不同的使用场景,因此,为了准确的对这些网络事件进行识别,可以结合网络行为数据中的行为特征参数和行为描述信息来确定网络事件,除此之外,也可根据网络行为数
据通过其他方式确定网络事件,本实施例对此不作限制。
87.需要说明的是,本实施例中的行为特征参数可以包括但不限于行为发生时间和行为类型,行为描述信息可以包括但不限于行为关键词,本实施例对此不作限制。
88.可以理解的是,在获取与网络行为相关的网络行为数据之后,可以对网络行为数据进行解析,以确定行为特征参数和行为描述信息。然后,还可从行为特征参数中提取行为发生时间和行为类型等参数,从行为描述信息中提取行为关键词,进而结合行为描述信息、行为发生时间以及行为类型确定网络事件。
89.信息关联模块30,用于将所述网络事件与系统进程行为进行关联。
90.应当理解的是,可以获取网络事件对应的网络信息,并获取操作系统中系统进程行为对应的进程信息,然后结合网络信息和进程信息将网络事件与系统进程行为进行关联。
91.可以理解的是,本方案可以采用广度关联方案,即将网络事件与具体的系统进程行为相关联,如网络信息的远程地址(ip)与端口等信息可关联到系统中具体的进程路径与进程标识符(pid),从而让两种维度的事件可以关联,通过多维度的方式深度挖掘数据。
92.行为审计模块40,用于基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息。
93.需要说明的是,本方案支持对网络格式包括http、tcp、udp、dhcp、dns、icmp、raw、ip、arp等协议的拆解分析和网络行为识别处理。基于上述包含的技术特征,形成了一套相对完整的linux系统环境下高效且全面可关联系统行为的网络行为审计方案。
94.应当理解的是,在将网络事件和系统进程行为进行关联之后,可以先基于关联后的网络事件和系统进程行为确定待审计数据。然后,可以对待审计数据进行网络行为审计,得到审计日志,再根据审计日志生成目标网络行为事件信息。
95.应当理解的是,为了更加准确地进行网络行为审计,达到更好的网络行为审计效果,在得到审计日志之后,可以根据审计日志确定与网络行为相关的审计信息,然后提取审计信息中的网络行为特征,根据网络行为特征对审计信息进行聚类,得到多个审计信息集合,分别根据各审计信息集合生成对应的初始网络行为事件信息,对初始网络行为事件信息进行组合,得到目标网络行为事件信息。
96.可以理解的是,由于可能存在多种类型的与网络行为相关的审计信息,因此,为了使最终得到的网络行为事件信息更加具有条理,可以先根据审计信息中的网络行为特征对审计信息进行聚类,将不同类型的审计解析集合到一起,得到多个审计信息集合,其中,每个审计信息集合中的审计信息的类型相同。
97.可以理解的是,在经过上述处理得到多个审计信息集合之后,可以分别对各审计信息集合进行网络行为审计,然后再将不同类型的审计信息集合对应的初始网络行为事件信息进行组合,得到最终的目标网络行为事件信息,从而不仅可以快速的进行网络行为审计,还可以达到更好的网络行为审计效果。
98.可以理解的是,本方案的整体技术方案实现了对网络linux服务器网络事件审计的完整方案,方案实现具有采集丰富性、高效性、审计信息维度高的特点。
99.在本实施例中,获取网络行为数据;根据所述网络行为数据确定网络事件;将所述网络事件与系统进程行为进行关联;基于关联后的网络事件和系统进程行为进行网络行为
审计,生成目标网络行为事件信息。从而可以根据网络行为数据确定网络事件后与系统进程行为进行关联,再根据关联后的数据进行网络行为审计,可以在网络行为审计中采集更具有深度的完整数据,达到更好的网络行为审计效果。
100.在一实施例中,所述数据获取模块10,还用于获取当前使用的操作系统对应的操作系统信息;根据所述操作系统信息获取网络收发数据包;对所述网络收发数据包进行解析,得到网络行为数据。
101.在一实施例中,所述数据获取模块10,还用于根据所述操作系统信息确定网络协议信息和网卡信息;根据所述网络协议信息确定网络协议栈层,并根据所述网卡信息确定网卡接口;越过所述网络协议栈层,从所述网卡接口处获取网络收发数据包。
102.在一实施例中,所述数据获取模块10,还用于将所述网络收发数据包进行多队列缓存,得到多个待解析数据;通过多个队列对多个待解析数据进行解析,得到多个初始行为数据;对多个初始行为数据进行组合,得到网络行为数据。
103.在一实施例中,所述信息关联模块30,还用于获取所述网络事件对应的网络信息以及系统进程行为对应的进程信息;根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关联。
104.在一实施例中,所述信息关联模块30,还用于根据所述进程信息确定各系统进程行为对应的进程路径和进程标识符;将属于同一系统进程行为的进程路径和进程标识符进行关联,得到关联后的进程路径和进程标识符;根据所述网络信息以及关联后的进程路径和进程标识符将所述网络事件与所述系统进程行为进行关联。
105.在一实施例中,所述信息关联模块30,还用于根据所述网络信息生成第一标识,并根据关联后的进程路径和进程标识符生成第二标识;将所述第一标识与所述第二标识进行匹配,使所述第一标识与所述第二标识一一对应;根据匹配结果将所述网络事件与所述系统进程行为进行关联。
106.在一实施例中,所述数据分析模块20,还用于根据所述网络行为数据确定行为特征参数和行为描述信息;根据所述行为特征参数确定行为发生时间和行为类型;根据所述行为描述信息、所述行为发生时间以及所述行为类型确定网络事件。
107.在一实施例中,所述行为审计模块40,还用于基于关联后的网络事件和系统进程行为确定待审计数据;对所述待审计数据进行网络行为审计,得到审计日志;根据所述审计日志生成目标网络行为事件信息。
108.在一实施例中,所述行为审计模块40,还用于根据所述审计日志确定与网络行为相关的审计信息;提取所述审计信息中的网络行为特征;根据所述网络行为特征对所述审计信息进行聚类,得到多个审计信息集合;分别根据各审计信息集合生成对应的初始网络行为事件信息;对所述初始网络行为事件信息进行组合,得到目标网络行为事件信息。
109.在本发明所述网络行为审计装置的其他实施例或具体实现方法可参照上述各方法实施例,此处不再赘述。
110.需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括该
要素的过程、方法、物品或者装置中还存在另外的相同要素。
111.上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
112.通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该估算机软件产品存储在如上所述的一个估算机可读存储介质(如rom/ram、磁碟、光盘)中,包括若干指令用以使得一台智能设备(可以是手机,估算机,网络行为审计设备,或者网络网络行为审计设备等)执行本发明各个实施例所述的方法。
113.以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
114.本发明公开了a1、一种网络行为审计方法,所述网络行为审计方法包括:获取网络行为数据;根据所述网络行为数据确定网络事件;将所述网络事件与系统进程行为进行关联;基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息。
115.a2、如a1所述的网络行为审计方法,所述获取网络行为数据,包括:获取当前使用的操作系统对应的操作系统信息;根据所述操作系统信息获取网络收发数据包;对所述网络收发数据包进行解析,得到网络行为数据。
116.a3、如a2所述的网络行为审计方法,所述根据所述操作系统信息获取网络收发数据包,包括:根据所述操作系统信息确定网络协议信息和网卡信息;根据所述网络协议信息确定网络协议栈层,并根据所述网卡信息确定网卡接口;越过所述网络协议栈层,从所述网卡接口处获取网络收发数据包。
117.a4、如a2所述的网络行为审计方法,所述对所述网络收发数据包进行解析,得到网络行为数据,包括:将所述网络收发数据包进行多队列缓存,得到多个待解析数据;通过多个队列对多个待解析数据进行解析,得到多个初始行为数据;对多个初始行为数据进行组合,得到网络行为数据。
118.a5、如a1所述的网络行为审计方法,所述将所述网络事件与系统进程行为进行关联,包括:获取所述网络事件对应的网络信息以及系统进程行为对应的进程信息;根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关联。
119.a6、如a5所述的网络行为审计方法,所述根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关联,包括:
根据所述进程信息确定各系统进程行为对应的进程路径和进程标识符;将属于同一系统进程行为的进程路径和进程标识符进行关联,得到关联后的进程路径和进程标识符;根据所述网络信息以及关联后的进程路径和进程标识符将所述网络事件与所述系统进程行为进行关联。
120.a7、如a6所述的网络行为审计方法,所述根据所述网络信息以及关联后的进程路径和进程标识符将所述网络事件与所述系统进程行为进行关联,包括:根据所述网络信息生成第一标识,并根据关联后的进程路径和进程标识符生成第二标识;将所述第一标识与所述第二标识进行匹配,使所述第一标识与所述第二标识一一对应;根据匹配结果将所述网络事件与所述系统进程行为进行关联。
121.a8、如a1至a7中任一项所述的网络行为审计方法,所述根据所述网络行为数据确定网络事件,包括:根据所述网络行为数据确定行为特征参数和行为描述信息;根据所述行为特征参数确定行为发生时间和行为类型;根据所述行为描述信息、所述行为发生时间以及所述行为类型确定网络事件。
122.a9、如a1至a7中任一项所述的网络行为审计方法,所述基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息,包括:基于关联后的网络事件和系统进程行为确定待审计数据;对所述待审计数据进行网络行为审计,得到审计日志;根据所述审计日志生成目标网络行为事件信息。
123.a10、如a9所述的网络行为审计方法,所述根据所述审计日志生成目标网络行为事件信息,包括:根据所述审计日志确定与网络行为相关的审计信息;提取所述审计信息中的网络行为特征;根据所述网络行为特征对所述审计信息进行聚类,得到多个审计信息集合;分别根据各审计信息集合生成对应的初始网络行为事件信息;对所述初始网络行为事件信息进行组合,得到目标网络行为事件信息。
124.本发明还公开了b11、一种网络行为审计装置,所述网络行为审计装置包括:数据获取模块,用于获取网络行为数据;数据分析模块,用于根据所述网络行为数据确定网络事件;信息关联模块,用于将所述网络事件与系统进程行为进行关联;行为审计模块,用于基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息。
125.b12、如b11所述的网络行为审计装置,所述数据获取模块,还用于获取当前使用的操作系统对应的操作系统信息;根据所述操作系统信息获取网络收发数据包;对所述网络收发数据包进行解析,得到网络行为数据。
126.b13、如b12所述的网络行为审计装置,所述数据获取模块,还用于根据所述操作系
统信息确定网络协议信息和网卡信息;根据所述网络协议信息确定网络协议栈层,并根据所述网卡信息确定网卡接口;越过所述网络协议栈层,从所述网卡接口处获取网络收发数据包。
127.b14、如b12所述的网络行为审计装置,所述数据获取模块,还用于将所述网络收发数据包进行多队列缓存,得到多个待解析数据;通过多个队列对多个待解析数据进行解析,得到多个初始行为数据;对多个初始行为数据进行组合,得到网络行为数据。
128.b15、如b11所述的网络行为审计装置,所述信息关联模块,还用于获取所述网络事件对应的网络信息以及系统进程行为对应的进程信息;根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关联。
129.b16、如b15所述的网络行为审计装置,所述信息关联模块,还用于根据所述进程信息确定各系统进程行为对应的进程路径和进程标识符;将属于同一系统进程行为的进程路径和进程标识符进行关联,得到关联后的进程路径和进程标识符;根据所述网络信息以及关联后的进程路径和进程标识符将所述网络事件与所述系统进程行为进行关联。
130.b17、如b16所述的网络行为审计装置,所述信息关联模块,还用于根据所述网络信息生成第一标识,并根据关联后的进程路径和进程标识符生成第二标识;将所述第一标识与所述第二标识进行匹配,使所述第一标识与所述第二标识一一对应;根据匹配结果将所述网络事件与所述系统进程行为进行关联。
131.b18、如b11至b16中任一项所述的网络行为审计装置,所述数据分析模块,还用于根据所述网络行为数据确定行为特征参数和行为描述信息;根据所述行为特征参数确定行为发生时间和行为类型;根据所述行为描述信息、所述行为发生时间以及所述行为类型确定网络事件。
132.本发明还公开了c19、一种网络行为审计设备,所述网络行为审计设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络行为审计程序,所述网络行为审计程序被处理器执行时实现如上所述的网络行为审计方法。
133.本发明还公开了d20、一种存储介质,所述存储介质上存储有网络行为审计程序,所述网络行为审计程序被处理器执行时实现如上所述的网络行为审计方法。

技术特征:
1.一种网络行为审计方法,其特征在于,所述网络行为审计方法包括:获取网络行为数据;根据所述网络行为数据确定网络事件;将所述网络事件与系统进程行为进行关联;基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息。2.如权利要求1所述的网络行为审计方法,其特征在于,所述获取网络行为数据,包括:获取当前使用的操作系统对应的操作系统信息;根据所述操作系统信息获取网络收发数据包;对所述网络收发数据包进行解析,得到网络行为数据。3.如权利要求2所述的网络行为审计方法,其特征在于,所述根据所述操作系统信息获取网络收发数据包,包括:根据所述操作系统信息确定网络协议信息和网卡信息;根据所述网络协议信息确定网络协议栈层,并根据所述网卡信息确定网卡接口;越过所述网络协议栈层,从所述网卡接口处获取网络收发数据包。4.如权利要求2所述的网络行为审计方法,其特征在于,所述对所述网络收发数据包进行解析,得到网络行为数据,包括:将所述网络收发数据包进行多队列缓存,得到多个待解析数据;通过多个队列对多个待解析数据进行解析,得到多个初始行为数据;对多个初始行为数据进行组合,得到网络行为数据。5.如权利要求1所述的网络行为审计方法,其特征在于,所述将所述网络事件与系统进程行为进行关联,包括:获取所述网络事件对应的网络信息以及系统进程行为对应的进程信息;根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关联。6.如权利要求5所述的网络行为审计方法,其特征在于,所述根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关联,包括:根据所述进程信息确定各系统进程行为对应的进程路径和进程标识符;将属于同一系统进程行为的进程路径和进程标识符进行关联,得到关联后的进程路径和进程标识符;根据所述网络信息以及关联后的进程路径和进程标识符将所述网络事件与所述系统进程行为进行关联。7.如权利要求6所述的网络行为审计方法,其特征在于,所述根据所述网络信息以及关联后的进程路径和进程标识符将所述网络事件与所述系统进程行为进行关联,包括:根据所述网络信息生成第一标识,并根据关联后的进程路径和进程标识符生成第二标识;将所述第一标识与所述第二标识进行匹配,使所述第一标识与所述第二标识一一对应;根据匹配结果将所述网络事件与所述系统进程行为进行关联。8.一种网络行为审计装置,其特征在于,所述网络行为审计装置包括:
数据获取模块,用于获取网络行为数据;数据分析模块,用于根据所述网络行为数据确定网络事件;信息关联模块,用于将所述网络事件与系统进程行为进行关联;行为审计模块,用于基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息。9.一种网络行为审计设备,其特征在于,所述网络行为审计设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络行为审计程序,所述网络行为审计程序被处理器执行时实现如权利要求1至7中任一项所述的网络行为审计方法。10.一种存储介质,其特征在于,所述存储介质上存储有网络行为审计程序,所述网络行为审计程序被处理器执行时实现如权利要求1至7中任一项所述的网络行为审计方法。

技术总结
本发明公开了一种网络行为审计方法、装置、设备及存储介质,属于数据处理技术领域,所述方法包括:获取网络行为数据;根据所述网络行为数据确定网络事件;将所述网络事件与系统进程行为进行关联;基于关联后的网络事件和系统进程行为进行网络行为审计,生成目标网络行为事件信息。从而可以根据网络行为数据确定网络事件后与系统进程行为进行关联,再根据关联后的数据进行网络行为审计,可以在网络行为审计中采集更具有深度的完整数据,达到更好的网络行为审计效果。络行为审计效果。络行为审计效果。


技术研发人员:邢超 任杰 任海峰
受保护的技术使用者:北京奇虎科技有限公司
技术研发日:2022.05.19
技术公布日:2022/7/5
转载请注明原文地址: https://www.8miu.com/read-8617.html

专利

最新回复(0)