本发明专利技术提供一种用户访问行为分析方法,包括:步骤1:获取用于访问网络时产生的数据所对应的TCP/IP信息;步骤2:根据所述对应的TCP/IP信息来建立源地址和目的地址之间的映射关系;步骤3:根据所述映射关系进行分析处理来得到用户访问行为日志信息。本发明专利技术方法直接从核心交换设备中读取数据,杜绝了因人为因素和使用环境的影响,能更加客观、准确、实时的反映和记录了用户的访问行为,而且不借助使用外界工具,普适性更高。
【技术实现步骤摘要】
一种用户访问行为分析方法和装置
本专利技术涉及大数据分析
,尤其涉及一种用户访问行为分析方法和装置。
技术介绍
在近日的全国网络安全和信息化会议上,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”如何避免和杜绝在特定局域网环境中的网络违法和滥用现象,如何更为有效的监控和管理特殊环境下的网络访问行为,是作为保密单位网络管理人员需要考虑的首要问题。目前常用的用户访问行为分析方式主要有以下二种:第一种是使用人工抽样调查法,来对用户访问行为进行跟踪。这种方法主要是通过在对应用软件进行分类后,收集访问数据,收集使用电子邮件和各种即时通信软件(微信、QQ等)的记录以及跟踪登录各种网络社区的浏览痕迹,来进行分析和汇总。从而得到大量用户在应用软件上的使用频率、使用时间、使用时长、地域属性、群体特征、访问习惯等数据,最后形成特定时段的分析结果。这种使用人工抽样调查法是通过随机原理抽取软件数据为样本,来追溯用户主体行为习惯的方法。它的优点在于利用了统计学中的随机抽样理论和概率算法,来获得相对精确的行为轨迹。但缺点是需要动用大量的人力、财力和物力,还需要多个团队相互协作,对大量的样本数据进行分析和汇总,每一次统计所需要的时间都比较长,统计时效性较弱。第二种是用户行为日志分析法,通过在上网终端机中安装客户端软件的方法,来收集数据,从而达到实时记录用户上网行为的目的。这种方法必须通过安装的客户端软件实时收集终端机上的各种数据,比如各种网络的访问日志,安装软件信息,用户的上网使用时间,上网使用频率,用户使用习惯等,来进行分析和统计。这种安装客户端方法的优点在于时效性很强,能实时跟踪,及时处理,可以直观的反应用户所有网络访问行为。但安装的客户端经常会受到安全防护软件(比如360安全卫士)的干扰和屏蔽,同时数据收集的客户端很有可能会因用户的主观原因被人为关闭,来阻止这类软件的运行,从而会导致数据收集的不完整和不稳定,不能展示用户真实的访问行为。该方法受外在条件的干扰因素较大,稳定性较弱。
技术实现思路
本专利技术的目的在于解决上述现有技术存在的缺陷,提供一种基于网络底层TCP/IP协议的分析方法和装置,该方法直接从核心交换设备中读取数据,杜绝了因人为因素和使用环境的影响,能更加客观、准确、实时的反映和记录了用户的访问行为,而且不借助使用外界工具,普适性更高。一种用户访问行为分析方法,包括:步骤1:获取用于访问网络时产生的数据所对应的TCP/IP信息;步骤2:根据所述对应的TCP/IP信息来建立源地址和目的地址之间的映射关系;步骤3:根据所述映射关系进行分析处理来得到用户访问行为日志信息。进一步地,如上所述的用户访问行为分析方法,所述对应的TCP/IP信息包括:IP头部信息和TCP头部信息。进一步地,如上所述的用户访问行为分析方法,根据所述用户访问行为日志信息来封锁特定应用的网络服务器IP和端口。进一步地,如上所述的用户访问行为分析方法,所述用户访问行为日志信息根据访问IP地址、端口号过滤、关键字过滤的组合来封锁特定应用的网络服务器IP和端口。一种用户访问行为分析装置,包括:获取单元:用于获取用于访问网络时产生的数据所对应的TCP/IP信息;处理单元:用于根据所述对应的TCP/IP信息来建立源地址和目的地址之间的映射关系;分析单元:用于根据所述映射关系进行分析处理来得到用户访问行为日志信息。进一步地,如上所述的用户访问行为分析装置,所述对应的TCP/IP信息包括:IP头部信息和TCP头部信息。进一步地,如上所述的用户访问行为分析装置,包括封锁模块,用于根据所述用户访问行为日志信息来封锁特定应用的网络服务器IP和端口。有益效果:可靠性高本专利技术主要是依托分析在传输过程中的TCP/IP信息,正是该协议是一种面向链接的可靠性传输标准,具有实时CRC校验、停止等待、窗口滑动、自动重传、超时重传、拥塞控制等特点,所以基于该协议专利技术的用户访问行为分析方法也同样具有较高的可靠性和普适性。适用性广,兼容性良好本专利技术完全独立于特定的硬件或操作系统,只要是基于网络传输的信息都能进行正常识别和记录。同时基于国际开放的TCP/IP协议标准,可以免费试用,极大的降低了研发成本。使用简单,扩展性强,方便管理基于本方法研发出来的系统,具有图形化管理界面便于操作,只需定期更新应用识别库扩展识别内容即可,扩展性强。同时还具有按策略制定管理模式、智能信息提醒、安全上网等功能。本专利技术主要应用在财务内网、机关保密网和涉密专网中,具有以下几种积极的效果:提升了网络管理人员的工作效率和掌控力度对网络管理人员而言,使用基于这种分析方法开发的系统,能针对不同的用户群体提供不同的监管和方式,既能保证用户身份的合法性,也使得认证过程更加快捷,降低管理成本,工作效率将有50%以上的提升。减少了局域网中的安全隐患,提升监管级别,降低了泄密风险。本方法通过利用应用识别库中千万级别的URL库、端口协议样本以及智能判识系统能对现今95%以上的应用进行识别,这样大大减少了网络环境中非法网站的访问,进一步提升监管级别,降低泄密风险。附图说明图1为TCP/IP四层简化协议架构图;图2为数据包发送和接收交互示意图;图3为TCP/IP数据包结构化信息提取示意图。图4为本专利技术用户访问行为分析方法流程图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面本专利技术中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术提供了在特定局域网环境中,通过收集核心交换设备转发的TCP/IP信息,实时分析和记录用户访问行为的一种方法。本专利技术是这样实现的,通过提取和分析核心交换设备中的TCP/IP信息,而TCP/IP则是(TransmissionControlProtocol/InternetProtocol的简写,中文译名为传输控制和互联网络协议,这是一种面向连接的、可靠的、基于字节流的,全双工通讯协议。TCP/IP通常被认为是一个四层简化协议架构的系统,它是一组由不同协议组组合在一起构成的协议族,详情可参见附图1的简化协议架构。本专利技术的核心部分是提取和分析TCP/IP协议中的传输层和网络层部分。在用户进行网络通信的过程中,发送端在进行数据发送时,是自上而下,层层叠加;接收端接受数据是,是自下而上,层层解码,如附图2的数据包发送和接受交互示意图。如图3所示,通过利用应用程序在数据接受和发送过程中的叠加和解码过程,实时提取数据包中的TCP首部和IP首部信息,来获取该数据包发送数据的TCP端口号、接受端口号和用户数据字段,从而建立源地址和目的地址之间的映射关系,再根据这个关系与常用的应用识别库进行比对,然后根据比对结果按照应用程序的类型进行分类记录和存储日志,从而产生一条用户访问行为日志信息。本专利技术的另一目的在于通过对用户访问行为进行提取和分析数据后,还可以进一步的提供一种用户行为封锁方式,通过以“访问IP地址”、“端口号过滤”、“关键字过滤”等几个功能的组合,来达到封锁特定应用的网络服务器IP和端口,来提供对用户访本文档来自技高网...
【技术保护点】
1.一种用户访问行为分析方法,其特征在于,包括:步骤1:获取用于访问网络时产生的数据所对应的TCP/IP信息;步骤2:根据所述对应的TCP/IP信息来建立源地址和目的地址之间的映射关系;步骤3:根据所述映射关系进行分析处理来得到用户访问行为日志信息。
【技术特征摘要】
1.一种用户访问行为分析方法,其特征在于,包括:步骤1:获取用于访问网络时产生的数据所对应的TCP/IP信息;步骤2:根据所述对应的TCP/IP信息来建立源地址和目的地址之间的映射关系;步骤3:根据所述映射关系进行分析处理来得到用户访问行为日志信息。2.根据权利要求1所述的用户访问行为分析方法,其特征在于,所述对应的TCP/IP信息包括:IP头部信息和TCP头部信息。3.根据权利要求1所述的用户访问行为分析方法,其特征在于,根据所述用户访问行为日志信息来封锁特定应用的网络服务器IP和端口。4.根据权利要求3所述的用户访问行为分析方法,其特征在于,所述用户访问行为日志信息根据访问IP地址、...
【专利技术属性】
技术研发人员:吴宇,代丹,姚彩云,何斌,陈振梁,彭霖,樊婷婷,
申请(专利权)人:中国科学院,水利部成都山地灾害与环境研究所,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。