【技术实现步骤摘要】
一种WEB日志NAT前后关联方法及系统
[0001]本专利技术涉及计算机
,具体为一种WEB日志NAT前后关联方法及系统。
技术介绍
[0002]无论是云应用服务,还是企业内部自身开发的应用,基本上是以HTTP或HTTPs协议提供的WEB服务为主要形式。为了监控这些应用的安全和性能问题,企业往往需要在不同的网络节点部署大量的探针(采集器)来采集流量,生成与这些应用的相关日志,再通过大数据分析来追踪溯源安全事件或者调查业务应用的性能瓶颈。因为网络的复杂性,访问业务应用的流量经常会经过防火墙或负载均衡设备,而这些设备又可能配置了IP地址转换(NAT
‑ꢀ
Network Address Translation),将网络五元组(源IP、源端口、目标IP、目标端口、协议)原来的IP/端口转换成新的IP地址或端口。这样就会导致NAT前后,流量采集器获取的WEB日志五元组无法匹配,导致本属于同一流量的日志被分割成不相干的两组,无法实现对整个数据流进行完整分析的目的。因为NAT是防火墙或第三方设备完成的,转换前后IP...
【技术保护点】
【技术特征摘要】
1.一种WEB日志NAT前后关联方法,其特征在于,包括如下步骤:获取NAT前和NAT后的网络流量;对NAT前和NAT后的数据包进行IP/TCP协议解析,获取网络五元组信息;以五元组为key,在TCP流数据库中检索该TCP流存在状态;检查TCP flag位,在TCP流结束了计算最终哈希值H,和五元组一起生成最终日志并存储到日志数据库;对收集存储的与NAT源IP或目标IP相关的日志,在给定的时间范围内以日志X的哈希值H为检索,搜索匹配相同哈希值的日志;当匹配到相同的哈希值的日志Y后,将两条日志X和Y合并。2.根据权利要求1所述的一种WEB日志NAT前后关联方法,其特征在于,所述网络五元组信息包括两组,分别是A组和B组,两组信息均包括:源IP、源端口、目标IP、目标端口以及协议名。3.根据权利要求1所述的一种WEB日志NAT前后关联方法,其特征在于,所述TCP流如不存在,则查看数据包是否有TCP握手报文,其中如TCP握手报文,则以五元组为key在数据库中新建一个TCP流的数据结构表项,记录期待序号,并且选择一种哈希算法并生成初始值H,如无TCP握手报文,则忽略该报文。4.根据权利要求3所述的一种WEB日志NAT前后关联方法,其特征在于,所述哈希算法包括但不局限于MD5、SHA
‑
1以及SHA
‑
2;所述初始值H= HashInit(),所述TCP流包括五元组以及期待序号S。5.根据权利要求1所述的一种WEB日志NAT前后关联方法,其特征在于,所述检查TCP flag位,如果是RST或者FIN则表明该TCP流结束;所述最终哈希值H= HashFinal(H),所述日志内容包括时间戳、五元组以及最终哈希值H。6.根据权利要求4所述的一种WEB日志NAT前后关联方法,其特征在于,检查数据包是否含有HTTP或者HTTPs层数据,如果没有则忽略该报文;检查数据包的序号是期待序号S:a)如果小于期待...
【专利技术属性】
技术研发人员:王利,
申请(专利权)人:合肥全息网御科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。