【技术实现步骤摘要】
一种网络行为检测方法及装置
本专利技术涉及计算机网络安全审计
,具体涉及一种网络行为检测方法及装置。
技术介绍
随着计算机网络的高速发展,我国上网人口每年都保持着快速增长,移动互联网塑造的社会生活形态进一步加强,“互联网+”行动计划推动政企服务多元化、移动化发展。上网人群的持续增长,也给网络安全、网络监管带来了很多问题。所以市场上的网络安全、网络信息审计产品也逐渐的增多。国内的汉邦软科集团研制出的“信息安全综合强审计监控系统”是一个基于信息流的数据采集、分析、识别和目标行为分析软件,其采用分布式结构、模块化的设计思想,整个系统由审计中心、主机传感器、网络引擎三部分组成。天融信公司研制的全新综合安全审计系统TOPSECAuditor可以对安全产品(如防火墙、IDS、AV等)、网络产品(如Router、Switch)、应用系统(如Web、Mail)、操作系统(如Windows、Linux、Unix)等多种产品和系统的同志信息进行收集,提供统一的集中管理平台,实现网络和系统的审计分析。现有安全审计系统...
【技术保护点】
1.一种网络行为检测装置,其特征在于,至少包括:/nPCAP数据包增量拷贝模块,具有龙存和据仓库,用于实时检测龙存数据包变化,对比校验已存储数据包,通过多线程并发的方式进行拷贝,PCAP数据包由龙存拷贝到数据仓库后,再由数据仓库分发到前置机进行数据包解析;/nPCAP数据包解析模块,用于对离线PCAP数据文件读取,在文件读取时将文件按照不同的任务进行分解,每个任务分配唯一的任务ID,从而保证多个任务可以同时运行;并且依次调用回调函数进行处理,在进行回调函数时不需要执行完全的数据包分析任务;回调函数仅需完成数据包分析的前期准备工作,包括为每个数据包添加唯一的任务标识,并将数据...
【技术特征摘要】 【专利技术属性】
1.一种网络行为检测装置,其特征在于,至少包括:
PCAP数据包增量拷贝模块,具有龙存和据仓库,用于实时检测龙存数据包变化,对比校验已存储数据包,通过多线程并发的方式进行拷贝,PCAP数据包由龙存拷贝到数据仓库后,再由数据仓库分发到前置机进行数据包解析;
PCAP数据包解析模块,用于对离线PCAP数据文件读取,在文件读取时将文件按照不同的任务进行分解,每个任务分配唯一的任务ID,从而保证多个任务可以同时运行;并且依次调用回调函数进行处理,在进行回调函数时不需要执行完全的数据包分析任务;回调函数仅需完成数据包分析的前期准备工作,包括为每个数据包添加唯一的任务标识,并将数据包添加到静态队列中;
数据处理模块,具有预处理模块,调用协议应用分析预处理模块,对原始数据包进行解析、过滤、去重,保留协议应用分析所需数据包,保存到协议应用分析模块对应数据目录中;以及处理模块,调用协议应用分析处理模块,在协议应用分析模块对应数据目录中,对数据进行协议解析、解密、编码解码、提取数据后保存数据库;
数据库模块,使用非关系型MONGODB数据库和分布式数据库的分布式部署架构。
2.根据权利要求1所述的一种网络行为检测装置,其特征在于,PCAP数据包增量拷贝模块采用磁盘空间的动态检测技术,当数据仓库空间不足时,系统将移除创建时间最小的数据包,确保最新数据包被成功保存。
3.根据权利要求2所述的一种网络行为检测装置,其特征在于,所述PCAP数据包解析模块采用多任务和多线程的方案并行处理多个离线数据文件。
技术研发人员:王鹏翩,黄元飞,杜薇,李晔,张家旺,林星辰,谢印东,贾鹏,王俊彪,
申请(专利权)人:国家计算机网络与信息安全管理中心,北京无声信息技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。