一种网络应用行为解析还原方法及系统技术方案

本申请提供了一种网络应用行为解析还原方法及系统，能够提升信息安全审计的安全精度。网络应用行为解析还原方法包括：将过程特性分析网络数据包写入数据仓库；对写入数据仓库的过程特性分析网络数据包进行流还原，得到过程特性分析数据文件；解析得到的过程特性分析数据文件，获取网络应用行为信息流；对获取的网络应用行为信息流进行信息安全审计。

A method and system for analyzing and restoring network application behavior

This application provides a network application behavior analysis and restore method and system, which can improve the security accuracy of information security audit. Network application behavior analysis and restoration methods include: Writing process characteristics analysis network packets into data warehouse; restoring process characteristics analysis network packets into data warehouse to obtain process characteristics analysis data files; parsing process characteristics analysis data files to obtain network application behavior information flow. The information security audit of the network application behavior information stream is carried out.

【技术实现步骤摘要】
一种网络应用行为解析还原方法及系统
本申请涉及信息安全监测
，具体而言，涉及一种网络应用行为解析还原方法及系统。
技术介绍
随着计算机网络技术的高速发展，上网人数保持快速增长，截止2016年6月，我国网民突破7.1亿大关，互联网普及率达到51.7％，同时，移动互联网塑造的社会生活形态进一步加强，“互联网+”行动计划推动政企服务朝多元化、移动化发展。但上网人数的持续增长，也给网络安全、网络监管带来了很多问题。例如，隐私信息泄露、网络攻击、卡号被盗刷等，因而，对网络安全、网络信息审计等信息安全的需求也越来越强烈。目前的网络安全、网络信息审计，主要基于网络应用行为产生的信息流的采集、分析、识别和用户的行为分析，确定用户的网络应用行为是否安全，其中，网络应用行为产生的信息流为记录网络活动的信息，使得信息安全审计结果的安全精度较低，安全性不高。
技术实现思路
有鉴于此，本申请的目的在于提供网络应用行为解析还原方法及系统，能够提升信息安全审计的安全精度。第一方面，本专利技术提供了网络应用行为解析还原方法，包括：将过程特性分析网络数据包写入数据仓库；对写入数据仓库的过程特性分析网络数据包进行流还原，得到过程特性分析数据文件；解析得到的过程特性分析数据文件，获取网络应用行为信息流；对获取的网络应用行为信息流进行信息安全审计。结合第一方面，本专利技术提供了第一方面的第一种可能的实施方式，其中，所述将过程特性分析网络数据包写入数据仓库包括：从暂时存储的集群存储系统中，拷贝一未携带写入标识的过程特性分析网络数据包，将拷贝的过程特性分析网络数据包写入数据仓库；校验写入数据仓库的过程特性分析网络数据包，若校验正确，在集群存储系统中为该写入数据仓库的过程特性分析网络数据包设置写入标识；判断集群存储系统中是否还存在有未携带写入标识的过程特性分析网络数据包，如果有，继续拷贝一未携带标识的过程特性分析网络数据包，直至集群存储系统中不存在有未携带写入标识的过程特性分析网络数据包。结合第一方面的第一种可能的实施方式，本专利技术提供了第一方面的第二种可能的实施方式，其中，在所述将拷贝的过程特性分析网络数据包写入数据仓库之前，所述方法还包括：利用磁盘空间的动态检测技术检测数据仓库存储空间，当检测到数据仓库存储空间不足时，移除数据仓库中创建时间最小的PCAP数据包。结合第一方面的第一种可能的实施方式，本专利技术提供了第一方面的第三种可能的实施方式，其中，通过多线程并发的方式拷贝所述PCAP数据包。结合第一方面、第一方面的第一种可能的实施方式至第三种可能的实施方式中的任一可能的实施方式，本专利技术提供了第一方面的第四种可能的实施方式，其中，所述对写入数据仓库的过程特性分析网络数据包进行流还原包括：提取过程特性分析网络数据包中的源IP、目的IP、源端口、目的端口信息，得到四元组；按照应用协议对四元组相同的过程特性分析网络数据包进行还原。结合第一方面、第一方面的第一种可能的实施方式至第三种可能的实施方式中的任一可能的实施方式，本专利技术提供了第一方面的第五种可能的实施方式，其中，在所述对写入数据仓库的过程特性分析网络数据包进行流还原之后，得到过程特性分析数据文件之前，该方法还包括：对流还原的过程特性分析网络数据包进行过滤以及去重处理。结合第一方面的第五种可能的实施方式，本专利技术提供了第一方面的第六种可能的实施方式，其中，通过特征匹配对所述流还原的过程特性分析网络数据包进行过滤；以及，通过链表维护对过滤得到的流还原的过程特性分析网络数据包进行去重处理。结合第一方面、第一方面的第一种可能的实施方式至第三种可能的实施方式中的任一可能的实施方式，本专利技术提供了第一方面的第七种可能的实施方式，其中，所述解析得到的过程特性分析数据文件包括：依次读取PCAP数据包文件，调用回调函数为读取的PCAP数据包文件设置任务标识，将设置任务标识的PCAP数据包文件添加到静态队列中；调用多线程对静态队列中的PCAP数据包文件进行解析。结合第一方面的第七种可能的实施方式，本专利技术提供了第一方面的第八种可能的实施方式，其中，所述对静态队列中的PCAP数据包文件进行解析包括：对PCAP数据包文件进行协议解析、解密、编解码，以从编解码后得到的信息中，提取网络应用行为信息流。第二方面，本专利技术提供了网络应用行为解析还原系统，包括：数据仓库模块、流还原模块、解析模块以及安全审计模块，其中，数据仓库模块，用于将过程特性分析网络数据包写入数据仓库；流还原模块，用于对写入数据仓库的过程特性分析网络数据包进行流还原，得到过程特性分析数据文件；解析模块，用于解析得到的过程特性分析数据文件，获取网络应用行为信息流；安全审计模块，用于对获取的网络应用行为信息流进行信息安全审计。本申请实施例提供的网络应用行为解析还原方法及系统，网络应用行为解析还原方法包括：将过程特性分析网络数据包写入数据仓库；对写入数据仓库的过程特性分析网络数据包进行流还原，得到过程特性分析数据文件；解析得到的过程特性分析数据文件，获取网络应用行为信息流；分别对获取的网络应用行为信息流进行信息安全审计，这样，增加了网络信息审计的维度，能够提升信息安全审计的安全精度。为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1为本申请实施例涉及的网络应用行为解析还原方法流程示意图；图2为本申请实施例涉及的解析过程特性分析数据文件具体流程示意图；图3为本申请实施例涉及的网络应用行为解析还原系统结构示意图。具体实施方式为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。图1为本申请实施例涉及的网络应用行为解析还原方法流程示意图。如图1所示，该流程包括：步骤101，将过程特性分析网络数据包写入数据仓库；本实施例中，过程特性分析网络(PCAP，ProcessCharacterizationAnalysisPackage)数据包是一种数据流格式的数据包，作为一可选实施例，可以利用PCAP抓包库提供的高层次接口抓取网络上的网络数据流，并将抓取的网络数据流转换为PCAP数据包。本实施例中，抓包的数据来源为用户在网络通信过程中所产生的网络数据流，包括但不限于：网络应用数据(电脑软件、手机APP)通信信息、网站访问和其他通信协议、网络应用账号上线信息(例如，QQ、微博论坛发帖信息)、用户产生的URL、POST信息等。作为一可选实施本文档来自技高网...

【技术保护点】
1.一种网络应用行为解析还原方法，其特征在于，该方法包括：将过程特性分析网络数据包写入数据仓库；对写入数据仓库的过程特性分析网络数据包进行流还原，得到过程特性分析数据文件；解析得到的过程特性分析数据文件，获取网络应用行为信息流；对获取的网络应用行为信息流进行信息安全审计。

【技术特征摘要】
1.一种网络应用行为解析还原方法，其特征在于，该方法包括：将过程特性分析网络数据包写入数据仓库；对写入数据仓库的过程特性分析网络数据包进行流还原，得到过程特性分析数据文件；解析得到的过程特性分析数据文件，获取网络应用行为信息流；对获取的网络应用行为信息流进行信息安全审计。2.如权利要求1所述的方法，其特征在于，所述将过程特性分析网络数据包写入数据仓库包括：从暂时存储的集群存储系统中，拷贝一未携带写入标识的过程特性分析网络数据包，将拷贝的过程特性分析网络数据包写入数据仓库；校验写入数据仓库的过程特性分析网络数据包，若校验正确，在集群存储系统中为该写入数据仓库的过程特性分析网络数据包设置写入标识；判断集群存储系统中是否还存在有未携带写入标识的过程特性分析网络数据包，如果有，继续拷贝一未携带标识的过程特性分析网络数据包，直至集群存储系统中不存在有未携带写入标识的过程特性分析网络数据包。3.如权利要求2所述的方法，其特征在于，在所述将拷贝的过程特性分析网络数据包写入数据仓库之前，所述方法还包括：利用磁盘空间的动态检测技术检测数据仓库存储空间，当检测到数据仓库存储空间不足时，移除数据仓库中创建时间最小的过程特性分析网络数据包。4.如权利要求2所述的方法，其特征在于，通过多线程并发的方式拷贝所述过程特性分析网络数据包。5.如权利要求1至4任一项所述的方法，其特征在于，所述对写入数据仓库的过程特性分析网络数据包进行流还原包括：提取过程特性分析网络数据包中的源IP、目的IP、源端口、目的端口信息，得到四元组；按照应用协议对四...

【专利技术属性】
技术研发人员：孙波，房靖，杜雄杰，姚珊，侯美佳，董建武，李胜男，张泽亚，刘云昊，谢印东，王俊彪，韩兆岩，李硕，冯家玮，
申请(专利权)人：国家计算机网络与信息安全管理中心，北京无声信息技术有限公司，
类型：发明
国别省市：北京,11