The invention discloses a method for analysis of online behavior based on bypass core switches, through access to the Internet data mirroring intranet staff package, according to the data packet in the MAC address, IP address and preset filter conditions in advance to filter out unwanted data packets, determining left packet identity through the port; number of packets and preset filter, filter out in advance don't need to analyze data packets, determine the basic behavior of left packet; determine the detailed operation of the Internet through the packet contents and protocol analysis engine. Compared with the prior art, the invention has higher filtering efficiency for the online data packets, realizes dynamic adjustment, is more flexible and suitable for different network environments, and effectively reduces the error rate of analyzing the data packets on the internet.
【技术实现步骤摘要】
基于旁路的上网行为分析方法
本专利技术涉及网络通信技术,涉及一种基于旁路的上网行为分析方法。
技术介绍
随着网络技术的不断发展,互联网和我们的工作、生活关系越来越紧密。互联网带来极大便利和改变的同时,也隐藏着巨大的风险。内部的重要文件、核心数据更容易通过网络流传出去,而无处可查。现有技术中,通过使用预设的过滤条件提前过滤掉不需要分析的数据包,减少上网行为分析系统所在设备的负担,预设的过滤条件是通过大量使用上网行为分析系统,在不断的优化后得到的一个超集,在使用过程中还可以及时调整;通过使用协议分析引擎分析数据包来获取数据包的详细操作,引擎中规则根据匹配数据包数可能被动态调整,所以分析数据包更准确、更有效。在现有技术中,仅通过查询数据包中MAC地址、IP地址的有效性对数据包进行过滤,但是仅通过MAC地址、IP地址的有效性过滤数据包,没有结合实际场景,也就是说,过滤的效果并不理想。在现有技术中,仅通过固定协议分析引擎判断数据包的详细操作,没有考虑数据包是应用程序联网通讯的内容,应用程序很容易变化,导致数据包也很容易变化,也就是,可能分析不出上网详细操作,也可能分析出错误上网详细操作。
技术实现思路
本专利技术的目的就在于为了解决上述问题而提供一种基于旁路的上网行为分析方法。本专利技术通过以下技术方案来实现上述目的:一种基于旁路的上网行为分析方法,包括以下步骤:(1)通过核心交换机镜像获取内网人员的上网数据包;(2)根据网络协议格式,获取上网数据包中的MAC地址和IP地址信息;(3)根据网络协议格式,判断MAC地址、IP地址的是否有效,若有效则继续执行步骤(4),若无 ...
【技术保护点】
一种基于旁路的上网行为分析方法,其特征在于,包括以下步骤:(1)通过核心交换机镜像获取内网人员的上网数据包;(2)根据网络协议格式,获取上网数据包中的MAC地址和IP地址信息;(3)根据网络协议格式,判断MAC地址、IP地址的是否有效,若有效则继续执行步骤(4),若无效则执行步骤(11);(4)根据预设的过滤条件,过滤掉满足条件的上网数据包,如不满足过滤条件则继续执行步骤(5),如果满足过滤条件则执行步骤(11);(5)根据MAC地址、IP地址确定上网数据包的对应真实身份;(6)根据网络协议格式,获取上网数据包中的端口号信息;(7)根据网络协议格式,判断端口号信息是否有效,若有效则继续执行步骤(8),若无效则执行步骤(11);(8)根据端口号和预设的过滤条件,判断上网数据包是否应该丢弃,若不丢弃则继续执行步骤(9),若丢弃执行步骤(11);(9)通过端口号确定上网数据包的基本行为,若能确定该上网数据包的基本行为则执行步骤(10),若不能确定则执行步骤(11);(10)根据上网数据包的基本行为通过网络协议分析引擎确定上网数据包的详细操作过程,若能确定该上网数据包的详细操作过程,则在保存所 ...
【技术特征摘要】
1.一种基于旁路的上网行为分析方法,其特征在于,包括以下步骤:(1)通过核心交换机镜像获取内网人员的上网数据包;(2)根据网络协议格式,获取上网数据包中的MAC地址和IP地址信息;(3)根据网络协议格式,判断MAC地址、IP地址的是否有效,若有效则继续执行步骤(4),若无效则执行步骤(11);(4)根据预设的过滤条件,过滤掉满足条件的上网数据包,如不满足过滤条件则继续执行步骤(5),如果满足过滤条件则执行步骤(11);(5)根据MAC地址、IP地址确定上网数据包的对应真实身份;(6)根据网络协议格式,获取上网数据包中的端口号信息;(7)根据网络协议格式,判断端口号信息是否有效,若有效则继续执行步骤(8),若无效则执行步骤(11);(8)根据端口号和预设的过滤条件,判断上网数据包是否应该丢弃,若不丢弃则继续执行步骤(9),若丢弃执行步骤(11);(9)通过端口号确定上网数据包的基本行为,若能确定该上网数据包的基本行为则执行步骤(10),若不能确定则执行步骤(11);(10)根据上网数据包的基本行为通过网络协议分析引擎确定上网数据包的详细操作过程,若能确定该上网数据包的详细操作过程,则在保存所确定的详细操作过程后执行步骤(11),若不能确定该上网数据包的详细操作过程则直接执行步骤(11);(11)将上网数据包丢弃。2.根据权利要求1所述基于旁路的上网行为分析方法,其特征在于:所述核心交换机具有可将内网人员的上网数据包直接镜像复制出来的镜像功能。3.根据权利要求1所述基于旁路的上网行为...
【专利技术属性】
技术研发人员:覃贵礼,
申请(专利权)人:成都锐帆网智信息技术有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。