设备网络行为分类记录方法、装置及回溯举证方法、装置制造方法及图纸

本发明专利技术提供了一种设备网络行为记录方法、装置及回溯举证方法、装置，通过实时获取业务网络中各类设备的原始网络数据包；并对原始网络数据包进行分类识别，得到协议与管理数据包和业务应用数据包；以各协议标识为数据表名，将协议与管理数据包存储到与该数据包相对应的协议标识的数据表中；以各业务链接标识为数据表名，将业务应用数据包存储到与该数据包对应的业务链接标识的数据表中。与传统的网络数据采集记录方法的区别在于将数据包按照IP协议族分类化进行分类记录，从而实现对网络设备行为主线的快速构造，进而能够快速对关键事件进行查询。传统的网络数据采集记录方法仅能实现对数据包的查询，无法提供对网络行为的快速便捷查询支持。便捷查询支持。便捷查询支持。

【技术实现步骤摘要】
设备网络行为分类记录方法、装置及回溯举证方法、装置


[0001]本专利技术属于计算机网络安全领域，尤其是涉及一种设备网络行为记录方法、装置及回溯举证方法、装置。

技术介绍

[0002]随着互联网技术的快速发展和普及，网络互联已经深入到我们的生活和工作中。随之而来的网络安全问题，对家庭而言是隐私和财产安全，对企业而言是商业秘密安全。据相关安全机构统计，引起网络安全问题的最大源头是内部人员疏忽或故意操作导致。通过有效记录设备的网络行为，并能快速回溯查看，可以为后续问题排查、责任认定提供强有力的证据。
[0003]根据IP网络模型，设备网络行为数据依次被应用层、传输层、网络层和链路层封装。目前常用的网络分析工具有两大类：一是以Wireshark、Sniffer为代表的链路层分析工具，对其他层次数据分析能力弱，且使用复杂度高；二是针对特殊应用层软件开发的专用分析工具（比如QQ、IE等），只适用于相关应用产品，通用性差。
[0004]在以docker为代表的新一代互联网集群技术引领下，网络通信已摆脱传统的固定mac地址、固定IP地址的点对点模式，基于链路层和网络层已经无法有效展现设备的网络行为；以nodejs、html5和python等新型应用APP开发技术的兴趣，也颠覆了人们对应用层APP的传统认知。设备网络行为的回溯分析，必须适配这些新的互联网技术。

技术实现思路

[0005]本专利技术要解决的技术问题是针对各类网络应用，怎样记录设备网络行为，从而可以快速对设备网络行为进行回溯分析，提出了一种设备网络行为记录方法及装置。
[0006]为解决上述技术问题，本专利技术所采用的技术方案是：一种设备网络行为记录方法，包括以下步骤:步骤1：实时获取业务网络中各类设备的原始网络数据包；步骤2：根据IP协议族分类，对原始网络数据包进行分类识别，得到协议与管理数据包和业务应用数据包；步骤3：根据协议上下文关系，为每个协议与管理数据包建立协议交互特征索引，并以各协议标识为数据表名，将协议与管理数据包存储到与该数据包相对应的协议标识的数据表中；根据业务类型和上下文关系，为每个业务应用数据包建立业务链接特征索引，以各业务链接标识为数据表名，将业务应用数据包存储到与该数据包对应的业务链接标识的数据表中。
[0007]进一步地，所述协议交互特征索引为时间、发起方设备MAC地址、发起方设备IP地址、反馈方设备MAC地址和反馈方设备IP地址。
[0008]进一步地，所述协议标识为ARP、ICMP、RIP、OSPF、BGP、DHCP、DNS和SNMP。
[0009]进一步地，所述业务链接特征索引为时间、业务网设备MAC地址、业务网设备IP地
址、业务网设备链接端口、互联网设备IP地址、互联网设备域名、传输协议、外网设备服务端口。
[0010]进一步地，所述业务链接标识为内网设备MAC+IP地址。
[0011]进一步地，以各协议标识为表名的数据表和以各业务链接标识为表名的数据表都存储在网络行为数据库中，所述网络行为数据库为nosql类型数据库中。
[0012]本专利技术还提供了一种设备网络行为记录装置，包括以下模块：网络数据抓取模块：用于实时抓取业务网络中各类设备的原始网络数据包；数据包分类模块：用于根据IP协议族分类，对原始网络数据包进行分类识别，得到协议与管理数据包和业务应用数据包；协议与管理数据包处理模块：用于根据协议上下文关系，为每个协议与管理数据包建立协议交互特征索引；业务应用数据包处理模块：用于根据业务类型和上下文关系，为每个业务应用数据包建立业务链接特征索引；网络行为数据管理模块：用于建立网络行为数据库，并创建以各协议标识为数据表名的数据表和以各业务链接标识为数据表名的数据表，将以所述协议交互特征为索引的协议与管理数据包存储在以该索引对应的协议标识为数据表名的数据表中，将以业务链接特征为索引的业务应用数据包存储在以该索引对应的业务链接标识为数据表名的数据表中。
[0013]本专利技术还提供了一种设备网络行为回溯举证方法，使用所述设备网络行为记录装置，包括以下步骤：步骤1：从网络行为数据库中，获取与各网络设备相关的协议与管理数据包，将协议与管理数据包与其对应的网络设备的业务应用数据包进行关联，并以时间为主轴，得到各网络设备的网络行为主线；步骤2：获取用户的查询条件，所述查询条件是与网络设备对应的协议与管理数据包，从网络行为数据库中查询得到拟查询的协议与管理数据包对应的网络设备，并映射到该网络设备的网络行为主线；步骤3：根据该网络设备的网络行为主线，回溯该网络设备对外网络行为的整个过程，定位关键网络事件，提取应用层网络的业务应用数据内容，进而对设备的网络行为举证。
[0014]本专利技术还提供了一种设备网络行为回溯举证装置，包括以下模块：网络行为主线构建模块：用于从网络行为数据库中，获取与各网络设备相关的协议与管理数据包，将协议与管理数据包与其对应的网络设备的业务应用数据包进行关联，并以时间为主轴，得到各网络设备的网络行为主线；查询模块：用于获取用户的查询条件，所述查询条件是与网络设备对应的网络行为数据包，从网络行为数据库中查询得到拟查询的网络行为数据包对应的网络设备，并映射到该网络设备的网络行为主线；回溯举证模块：用于根据查询模块查询到的该网络设备的网络行为主线，回溯该网络设备对外网络行为的整个过程，定位关键网络事件，提取应用层网络的业务应用数据内容，进而对设备的网络行为举证。
[0015]采用上述技术方案，本专利技术具有如下有益效果：本专利技术一种设备网络行为记录方法、装置及回溯举证方法、装置，通过对网络数据的分类记录，构建设备的网络行为主线，从而可以建立清晰的回溯机制，进而快速对关键事件进行举证。与传统的网络数据采集记录方法的区别在于将数据包按照IP协议族分类化进行分类记录，从而实现对网络设备行为主线的快速构造，进而能够快速对关键事件进行查询。传统的网络数据采集记录方法仅能实现对数据包的查询，无法提供对网络行为的快速便捷查询支持。
附图说明
[0016]图1为网络行为记录方法系统流程图；图2为网络行为回溯举证方法系统流程图。
具体实施方式
[0017]下面将结合附图对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0018]实施例一：图1示出了本专利技术一种设备网络行为记录方法，如图1所示，包括以下步骤:步骤1：实时获取业务网络中各类设备的原始网络数据包；步骤2：根据IP协议族分类，对原始网络数据包进行分类识别，得到协议与管理数据包和业务应用数据包；步骤3：根据协议上下文关系，为每个协议与管理数据包建立协议交互特征索引，并以各协议标识为数据表名，将协议与管理数据包存储到与该数据包相对应的协议标识的数据表中；根据业务类型和上下文关系，为每个业务应用数据包建立业务链接特征索引，以各业务链本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种设备网络行为记录方法，其特征在于，包括以下步骤:步骤1：实时获取业务网络中各类设备的原始网络数据包；步骤2：根据IP协议族分类，对原始网络数据包进行分类识别，得到协议与管理数据包和业务应用数据包；步骤3：根据协议上下文关系，为每个协议与管理数据包建立协议交互特征索引，并以各协议标识为数据表名，将协议与管理数据包存储到与该数据包相对应的协议标识的数据表中；根据业务类型和上下文关系，为每个业务应用数据包建立业务链接特征索引，以各业务链接标识为数据表名，将业务应用数据包存储到与该数据包对应的业务链接标识的数据表中。2.根据权利要求1所述的一种设备网络行为记录方法，其特征在于，所述协议交互特征索引为时间、发起方设备MAC地址、发起方设备IP地址、反馈方设备MAC地址和反馈方设备IP地址。3.根据权利要求2所述的一种设备网络行为记录方法，其特征在于，所述协议标识为ARP、ICMP、RIP、OSPF、BGP、DHCP、DNS和SNMP。4.根据权利要求1所述的一种设备网络行为记录方法，其特征在于，所述业务链接特征索引为时间、业务网设备MAC地址、业务网设备IP地址、业务网设备链接端口、互联网设备IP地址、互联网设备域名、传输协议、外网设备服务端口。5.根据权利要求2所述的一种设备网络行为记录方法，其特征在于，所述业务链接标识为内网设备MAC+IP地址。6.根据权利要求1至5中任一项所述的一种设备网络行为记录方法，其特征在于，以各协议标识为表名的数据表和以各业务链接标识为表名的数据表都存储在网络行为数据库中，所述网络行为数据库为nosql类型数据库中。7.一种设备网络行为记录装置，其特征在于，包括以下模块：网络数据抓取模块：用于实时抓取业务网络中各类设备的原始网络数据包；数据包分类模块：用于根据IP协议族分类，对原始网络数据包进行分类识别，得到协议与管理数据包和业务应用数据包；协议与管理数据包处理模块：用于根据协议上下文关系，为每个协议与管理数据包建...

【专利技术属性】
技术研发人员：李新明，张春生，王志淋，厉海燕，
申请(专利权)人：中科边缘智慧信息科技苏州有限公司，
类型：发明
国别省市：