对用户网络访问进行审计的方法及装置制造方法及图纸

本公开是关于一种对用户网络访问进行审计的方法及装置，其中所述方法包括：获取用户网络访问的数据包；根据所述数据包解析用户网络访问的传输协议；以及根据所述传输协议的内容字段来确定所述用户网络访问的具体内容。通过对用户网络访问的具体内容进行审计，可以实现对敏感性内容或可能产生安全问题的内容进行审计，从而使得网络管理员能够很容易地确定出用户网络访问的安全问题或异常行为。

Method and device for auditing user network access

This is a page about a public user network access device and audit method, wherein said method comprises: acquiring user access to the network data packet transmission protocol; according to the access to the data packet analysis of network users; and the specific content according to the content of the field the transmission protocol to determine the user network access. The specific content of audit access to network users, can realize the audit of sensitive content or the possible security problems, so that the network administrator can easily identify the security problem of network users to access or abnormal behavior.

【技术实现步骤摘要】
对用户网络访问进行审计的方法及装置
本公开涉及网络监控领域，尤其涉及对用户网络访问进行审计的方法及装置。
技术介绍
相关技术中，主要有以下两种方式来实现对用户网络访问的审计：一种方式是以表格形式显示审计结果。对用户上网的IP(InternetProtocol，网际协议)地址，URL(UniformResoureLocator，统一资源定位符)以及网站分类信息等进行记录及显示，并且可以通过对配置审计条件来对满足相应条件的用户网络访问进行审计。但是这一方式亦表格所显示的数据量非常大，行为之间的关联性很差，网络管理员很难从中发现安全问题。另一种方式是以时光轴形式显示审计结果。这种方式虽然很好的解决了行为之间的关联性的问题，但是，网络管理员很难从所显示的内容中发现异常行为。
技术实现思路
本专利技术实施例的目的是提供一种对用户网络访问进行审计的方法及装置，用于解决或至少部分解决上述技术问题。根据本公开实施例的第一方面，提供一种对用户网络访问进行审计的方法，所述方法包括：获取用户网络访问的数据包；根据所述数据包解析用户网络访问的传输协议；以及根据所述传输协议的内容字段来确定所述用户网络访问的具体内容。可选地，所述方法还包括：针对所述用户显示所述具体内容。可选地，所述方法还包括：将所述具体内容与网络漏洞库中存储的黑名单规则文件进行匹配；以及在所述具体内容与所述网络漏洞库中存储的黑名单规则文件匹配的情况下，生成黑名单告警事件，其中所述黑名单规则文件包括与网络漏洞相对应的字段。可选地，所述方法还包括：针对所述用户显示所述具体内容及所述黑名单告警事件。可选地，所述方法还包括：对所述传输协议进行行为审计以确定所述用户网络访问的类别。可选地，所述方法还包括：针对所述用户显示所述具体内容及所述用户网络访问的类别。可选地，所述对所述传输协议进行行为审计以确定所述用户网络访问的类别包括：从所述传输协议中提取统一资源定位符字段；从所述统一资源定位符字段中提取所述用户网络访问的域名；以及将所述域名与域名库中存储的域名进行匹配以确定所述用户网络访问的类别，其中所述域名库中存储有多个域名及与该多个域名中的每一个域名相对应的类别信息。根据本公开实施例的第二方面，提供一种对用户网络访问进行审计的装置，所述装置包括获取模块，用于获取用户网络访问的数据包；解析模块，用于根据所述数据包解析用户上网的传输协议；以及内容确定模块，用于根据所述传输协议的内容字段来确定所述用户网络访问的具体内容。可选地，所述装置还包括：显示模块，用于针对所述用户显示所述具体内容。根据本专利技术实施例的第三方面，提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机指令，该计算机指令用于使得所述计算机执行上述的对用户网络访问进行审计的方法。本公开的实施例提供的技术方案可以包括以下有益效果：通过对用户网络访问的具体内容进行审计，可以实现对敏感性内容或可能产生安全问题的内容进行审计，从而使得网络管理员能够很容易地确定出用户网络访问的安全问题或异常行为。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本专利技术的实施例，并与说明书一起用于解释本专利技术的原理。图1是根据一示例性实施例示出的一种对用户网络访问进行审计的方法的流程图；图2示出了对用户网络访问进行审计的方法的网络拓扑；图3示出根据又一示例性实施例示出的一种对用户网络访问进行审计的方法的流程图；图4示出用户网络访问的示例性审计结果；以及图5是根据一示例性实施例示出的一种对用户网络访问进行审计的装置的结构框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。图1示出根据一示例性实施例示出的一种对用户网络访问进行审计的方法的流程图。如图1所示，本专利技术实施例提供的对用户网络访问进行审计方法可以包括以下步骤：在步骤S11中，获取用户网络访问的数据包。在本专利技术实施例中对用户网络访问进行审计时，首先针对用户获取其网络访问的数据包，可选地，可以使用任意一种方式来获取所述数据包，例如，可选地，可以利用网络探针来获取用户网络访问的数据包。在步骤S12中，根据所述数据包解析用户网络访问的传输协议。在获得用户网络访问的数据包之后，可以对数据包进行解析来获取用户进行网络访问的传输协议。一般情况下，用户进行网络访问的传输协议可以为HTTP(HyperTextTransferProtocol，超文本传输协议)协议、FTP(FileTransferProtocol，文件传输协议)协议等。在步骤S13中，根据所述传输协议的内容字段来确定所述用户网络访问的具体内容。以HTTP协议为例，可以根据HTTP协议应用层的内容字段来确定用户进行网络访问的具体内容。步骤S13用户实现对内容审计，可选地，可以使用正则匹配表达式来实现对用户网络访问的具体内容进行内容审计。确定出用户进行网络访问的具体内容后，可以针对该用户显示所确定的具体内容。可选地，在对步骤S11获取的数据包进行解析的过程中也可以获取用户的IP地址，然后可以根据其IP地址连续地获取该用户进行网络访问的数据包，然后对所获取的数据包执行步骤S11-S13，从而实现连续地对该用户网络访问的审计。本专利技术实施例通过对用户网络访问的具体内容进行审计，可以实现对敏感性内容或可能产生安全问题的内容进行审计，从而使得网络管理员能够很容易地确定出用户网络访问的安全问题或异常行为。基于上述实施例，本专利技术实施例提供的对用户网络访问进行审计的方法还可以进一步包括针对所述用户显示所述具体内容。所显示的具体内容例如可以是，用户在贴吧发帖的具体内容，或者用户正在访问的网页的具体内容。在上述步骤S13中获取地具体内容是以二进制形式表示的，将该二进行形式表示的具体内容转化为可视内容以进行显示，从而方便网络管理员进行观察分析。图2示出了对用户网络访问进行审计的方法的网络拓扑。如图2所示，监控服务器23连接交换机22的镜像端口，其属于旁路模式。用户可以通过终端21访问WEB(WorldWideWeb，全球广域网)服务器25的网页，同时所述网页的内容也有可能对WEB服务器25或网络设备24造成攻击。图3示出根据又一示例性实施例示出的一种对用户网络访问进行审计的方法的流程图。如图2所示，可选地，本专利技术实施例提供的对用户网络访问进行审计的方法还可以进一步包括以下步骤：步骤S14，将所述步骤S13中以二进制形式表示的具体内容与网络漏洞库中存储的黑名单规则文件进行匹配。这里，网络漏洞库中存储有多个黑名单规则文件及该多个黑名单规则文件中每一个黑名单规则文件所对应的网络漏洞，所述黑名单规则文件包括与网络漏洞相对应的字段。如果步骤S13中所确定的具体内容中存在某些字段与黑名单规则文件中的字段相匹配，则说明用户正在访问的内容可能会对网络产生攻击。如果步骤S13中所确定的具体内容中存在某些字段与黑名单规则文本文档来自技高网...

【技术保护点】
一种对用户网络访问进行审计的方法，其特征在于，所述方法包括：获取用户网络访问的数据包；根据所述数据包解析用户网络访问的传输协议；以及根据所述传输协议的内容字段来确定所述用户网络访问的具体内容。

【技术特征摘要】
1.一种对用户网络访问进行审计的方法，其特征在于，所述方法包括：获取用户网络访问的数据包；根据所述数据包解析用户网络访问的传输协议；以及根据所述传输协议的内容字段来确定所述用户网络访问的具体内容。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：针对所述用户显示所述具体内容。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：将所述具体内容与网络漏洞库中存储的黑名单规则文件进行匹配；以及在所述具体内容与所述网络漏洞库中存储的黑名单规则文件匹配的情况下，生成黑名单告警事件，其中所述黑名单规则文件包括与网络漏洞相对应的字段。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：针对所述用户显示所述具体内容及所述黑名单告警事件。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：对所述传输协议进行行为审计以确定所述用户网络访问的类别。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：针对所述用户显示所述具体内容及所述用户网络访问的类别。7...

【专利技术属性】
技术研发人员：庞小锋，邹丛林，
申请(专利权)人：北京匡恩网络科技有限责任公司，
类型：发明
国别省市：北京,11