网络请求的记录方法、服务器及计算机可读存储介质技术

本发明专利技术实施例提供一种网络请求的记录方法、服务器及计算机可读存储介质，方法包括：在目标服务器中建立审计进程；通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息。

Network request recording method, server and computer readable storage medium

The embodiment of the present invention provides a recording method of network requests, a server and a computer readable storage medium. The method includes: establishing an audit process in the target server; recording network requests in the target server and process information corresponding to the network requests through the audit process.

【技术实现步骤摘要】
网络请求的记录方法、服务器及计算机可读存储介质
本专利技术涉及计算机技术，特别涉及一种网络请求的记录方法、服务器及计算机可读存储介质。
技术介绍
现有的数据中心审计技术按照审计对象可以分为服务器操作审计和网络策略、流量审计和协议分析这三类。服务器操作审计主要是获取并记录服务器操作系统登录的用户名、IP地址、登录时间及用户使用的操作系统命令等信息，利用记录的操作信息进行回溯完成对服务器的审计工作，服务器操作审计存在无法记录审计操作系统中运行编译过的可执行程序的行为的问题，操作审计仅能记录下运行了某个可执行程序，而无法确定该程序是否有请求敏感数据或对外泄露数据的行为，可执行程序被删除后，则无法继续审计定位。网络策略、流量审计是在防火墙等网络设备上对传输的网络流量抽样存储后进行分析，用于审计点到点的网络传输策略和链路流量变化情况，网络策略、流量审计仅适用于对防火墙等网络设备有管理权限的自建数据中心环境，而对于租用云服务器等场景不适用，并且在网络设备上仅能审计点到点的网络策略，而无法确认使用该网络策略的服务是否存在异常。协议分析是通过对特定应用协议进行分析得到操作行为，并将行为记录到审计日志以供回溯分析。协议分析不适用于加密协议、私有协议等场景，并且由于需要对应用协议的报文进行存储和分析计算，对审计系统的存储空间和计算性能要求较高，应用场景局限性较大，并且协议分析是根据分析得到的操作行为进行审计，不能确定行为的发起进程，无法审计恶意进程。
技术实现思路
本专利技术实施例提供一种网络请求的记录方法、服务器及计算机可读存储介质，能够追踪发现请求敏感数据或外泄数据等恶意进程，从而提供审计支持。为达到上述目的，本专利技术实施例的技术方案是这样实现的：本专利技术实施例提供一种网络请求的记录方法，包括：在目标服务器中建立审计进程；通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息。其中，所述方法还包括：在所述审计进程中，以随机采集周期τ，对所述网络请求、及所述网络请求对应的进程信息进行采集；其中，τ的变化范围满足：1s≤τ<2·MSL；MSL为报文最长存活时间。其中，所述方法还包括：在所述审计进程中接收审计管理服务器发送的审计信任规则。其中，所述方法还包括：将已采集到的网络请求与所述审计信任规则进行匹配，对于已匹配的网络请求在所述审计进程中不予记录。其中，所述方法还包括：对于未匹配所述审计信任规则的网络请求，根据服务器间网络请求的进程信息比对，在所述审计进程中对所述网络请求生成信任或排查的建议处理方式。其中，所述方法还包括：对于未匹配所述审计信任规则的网络请求，根据已信任的网络请求的进程信息比对，在所述审计进程中对所述网络请求生成信任或排查的建议处理方式。本专利技术实施例提供一种服务器，包括：建立模块，用于建立审计进程；记录模块，用于通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息。其中，所述服务器还包括采集模块，所述采集模块，用于在所述审计进程中，以随机采集周期τ，对所述网络请求、及所述网络请求对应的进程信息进行采集；其中，τ的变化范围满足：1s≤τ<2·MSL；MSL为报文最长存活时间。其中，所述服务器还包括接收模块，所述接收模块，用于审计进程接收审计管理服务器发送的审计信任规则。本专利技术实施例提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现本专利技术实施例所提供的网络请求的记录方法。本专利技术实施例的技术方案中，通过在目标服务器中建立审计进程，以及通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息，从而可以完成对数据传输的进程信息进行记录，从而能够追踪发现请求敏感数据或外泄数据等恶意进程。附图说明图1为本专利技术实施例的一种针对网络请求的记录方法的流程图；图2为本专利技术实施例的一种针对网络请求的审计采集方法流程图；图3为本专利技术实施例的一种针对网络请求增加信任与主动发现的流程图；图4为本专利技术实施例的一种服务器的结构示意图；图5为本专利技术实施例的一种服务器的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述。如图1所示，为本专利技术实施例的一种针对网络请求的记录方法的流程示意图，下面分别对各个步骤进行说明。步骤101：在目标服务器中建立审计进程。在需要审计的目标服务器中，部署审计进程，这里的审计进程负责记录服务器中进行的网络请求及其对应的进程信息，以及实现与审计管理服务器一起实现信任添加和异常上报的功能，关于信任添加和异常上报的功能将在后续的内容中详细阐述。步骤102：通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息。审计进程每次记录的信息可选的包括：当前时间、进行网络请求的进程启动路径、环境变量、执行命令、进程运行时间(通过操作系统提供的网络资源使用接口和进程资源使用接口获得)、网络请求的传输方向(判断是主动对外请求或接收远端请求，通过操作系统提供的网络服务状态接口获得)、IP/端口信息(如果是主动对外请求则记录使用的本地IP及远端IP/端口，如果是接收远端请求则记录本地IP/端口及远端IP)。其中，可选择在所述审计进程中进一步记录进程启动路径、环境变量，目的是为了审计发现恶意进程通过伪造进程名的方式来进行网络请求；伪造进程名的方法举例：某服务器的A目录执行进程名为process的业务进程正常访问用户付费接口，非法用户在B目录启动同样名为process的恶意进程执行批量的用户付费接口调用，仅通过进程名，无法区分正常业务进程与恶意进程。本实施例中，因为明确记录网络请求及其对应的进程信息，因而采集信息全面，便于审计定位，从而能够追踪发现请求敏感数据或外泄数据等恶意进程；另外，适用场景广泛，不受服务类型、应用协议等限制。在一个可选的实施例中，在所述审计进程中，以随机采集周期τ，对所述网络请求、及所述网络请求对应的进程信息进行采集；其中，τ的变化范围满足：1s≤τ<2·MSL；MSL为报文最长存活时间。在实际生产中，由于服务器操作系统配置的差异，每台服务器中TCP网络请求完成后的TIME_WAIT时间不同，TIME_WAIT为TCP通信中连接关闭后需要维护的一种状态，表示服务器在等待对端的响应，其时间周期为2倍的最MSL，MSL为最大分段寿命(MSL，MaximumSegmentLifetime)，是一个TCP分段可以存在与互联网系统中的最大时间，在不同服务器中设置存在差异；为了保证记录全量的TCP网络请求，审计进程需要以小于TIME_WAIT时间的周期进行采集，即小于2倍MSL，例如，某台服务器中TIME_WAIT的时间为20秒，即代表一次用时最短的TCP请求即连接成功后立即断开连接进入TIME_WAIT状态，整个请求在系统中存在审计线索的时间为20秒，若该服务器的审计进程以小于20秒的周期进行采集，则采集记录中不会遗漏最短时间的TCP请求。另外，由于服务器中除TCP网络请求外，还存在UDP网络请求，并且因为UDP网络请求无连接的特性，只有在网络传输进行时做审计采集，才能记录到相应的网络请求及其对应的进程信息。为了采集全量TCP网络请求信息，本文档来自技高网...

【技术保护点】
1.一种网络请求的记录方法，其特征在于，所述方法包括：在目标服务器中建立审计进程；通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息。

【技术特征摘要】
1.一种网络请求的记录方法，其特征在于，所述方法包括：在目标服务器中建立审计进程；通过审计进程记录所述目标服务器中的网络请求、及所述网络请求对应的进程信息。2.根据权利要求1所述的基于网络请求的记录方法，其特征在于，所述方法还包括：在所述审计进程中，以随机采集周期τ，对所述网络请求、及所述网络请求对应的进程信息进行采集；其中，τ的变化范围满足：1s≤τ<2·MSL；MSL为报文最长存活时间。3.根据权利要求1所述的基于网络请求的记录方法，其特征在于，所述方法还包括：在所述审计进程中接收审计管理服务器发送的审计信任规则。4.根据权利要求3所述的基于网络请求的记录方法，其特征在于，所述方法还包括：将已采集到的网络请求与所述审计信任规则进行匹配，对于已匹配的网络请求在所述审计进程中不予记录。5.根据权利要求3所述的基于网络请求的记录方法，其特征在于，所述方法还包括：对于未匹配所述审计信任规则的网络请求，根据服务器间网络请求的进程信息比对，在所述审计进程中对所述网络请求生成信任或排查的建议处理方式...

【专利技术属性】
技术研发人员：王林涛，张竞，
申请(专利权)人：咪咕文化科技有限公司，中国移动通信集团有限公司，
类型：发明
国别省市：北京,11