【技术实现步骤摘要】
设备网络行为分类记录方法、装置及回溯举证方法、装置
[0001]本专利技术属于计算机网络安全领域,尤其是涉及一种设备网络行为记录方法、装置及回溯举证方法、装置。
技术介绍
[0002]随着互联网技术的快速发展和普及,网络互联已经深入到我们的生活和工作中。随之而来的网络安全问题,对家庭而言是隐私和财产安全,对企业而言是商业秘密安全。据相关安全机构统计,引起网络安全问题的最大源头是内部人员疏忽或故意操作导致。通过有效记录设备的网络行为,并能快速回溯查看,可以为后续问题排查、责任认定提供强有力的证据。
[0003]根据IP网络模型,设备网络行为数据依次被应用层、传输层、网络层和链路层封装。目前常用的网络分析工具有两大类:一是以Wireshark、Sniffer为代表的链路层分析工具,对其他层次数据分析能力弱,且使用复杂度高;二是针对特殊应用层软件开发的专用分析工具(比如QQ、IE等),只适用于相关应用产品,通用性差。
[0004]在以docker为代表的新一代互联网集群技术引领下,网络通信已摆脱传统的固定mac地址...
【技术保护点】
【技术特征摘要】
1.一种设备网络行为记录方法,其特征在于,包括以下步骤:步骤1:实时获取业务网络中各类设备的原始网络数据包;步骤2:根据IP协议族分类,对原始网络数据包进行分类识别,得到协议与管理数据包和业务应用数据包;步骤3:根据协议上下文关系,为每个协议与管理数据包建立协议交互特征索引,并以各协议标识为数据表名,将协议与管理数据包存储到与该数据包相对应的协议标识的数据表中;根据业务类型和上下文关系,为每个业务应用数据包建立业务链接特征索引,以各业务链接标识为数据表名,将业务应用数据包存储到与该数据包对应的业务链接标识的数据表中。2.根据权利要求1所述的一种设备网络行为记录方法,其特征在于,所述协议交互特征索引为时间、发起方设备MAC地址、发起方设备IP地址、反馈方设备MAC地址和反馈方设备IP地址。3.根据权利要求2所述的一种设备网络行为记录方法,其特征在于,所述协议标识为ARP、ICMP、RIP、OSPF、BGP、DHCP、DNS和SNMP。4.根据权利要求1所述的一种设备网络行为记录方法,其特征在于,所述业务链接特征索引为时间、业务网设备MAC地址、业务网设备IP地址、业务网设备链接端口、互联网设备IP地址、互联网设备域名、传输协议、外网设备服务端口。5.根据权利要求2所述的一种设备网络行为记录方法,其特征在于,所述业务链接标识为内网设备MAC+IP地址。6.根据权利要求1至5中任一项所述的一种设备网络行为记录方法,其特征在于,以各协议标识为表名的数据表和以各业务链接标识为表名的数据表都存储在网络行为数据库中,所述网络行为数据库为nosql类型数据库中。7.一种设备网络行为记录装置,其特征在于,包括以下模块:网络数据抓取模块:用于实时抓取业务网络中各类设备的原始网络数据包;数据包分类模块:用于根据IP协议族分类,对原始网络数据包进行分类识别,得到协议与管理数据包和业务应用数据包;协议与管理数据包处理模块:用于根据协议上下文关系,为每个协议与管理数据包建...
【专利技术属性】
技术研发人员:李新明,张春生,王志淋,厉海燕,
申请(专利权)人:中科边缘智慧信息科技苏州有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。