【技术实现步骤摘要】
一种协议重编辑的网络流量审计装置及方法
[0001]本专利技术是关于流量审计的
,特别是关于一种协议重编辑的网络流量审计装置及方法。
技术介绍
[0002]网络流量审计技术是网络安全防御体系的核心组成部分,通过采集网络流量进行安全分析可以精准发现网络攻击行为。现有的网络流量审计技术主要是以下三种:通过物理交换机进行流量镜像、通过云平台SDN节点内部的Vrouter进行流量镜像以及通过Agent插件对服务器网卡进行流量镜像。最终,在完成数据导出后,将相关数据送入安全分析系统中进行分析研判工作。
[0003]现有的网络流量审计技术由于网络协议的限制、应用系统架构的变化以及云计算技术的飞速发展,出现诸多技术性缺陷,在现网真实环境中难以进行有效的审计工作,主要缺陷为以下3大方面:
[0004](1)环境适应性差
[0005]我国目前处于快速的信息化基础设施迭代更新阶段,应用上云是目前的主流建设方向。但是由于技术路线、国家规范等诸多原因,未来必定是云计算环境为主、传统环境为辅的共存状态,因此所选择的技术路...
【技术保护点】
【技术特征摘要】
1.一种协议重编辑的网络流量审计装置,其特征在于,包括统一管理模块、系统API重定向模块、流量性质判定模块、入站流量复制打印模块和出站流量编辑重写模块;所述统一管理模块对操作系统运行进程进行检查,筛选出使用应用层私有协议的进程后,通过DLL注入方式,将所述系统API重定向模块、所述流量性质判定模块、所述入站流量复制打印模块和所述出站流量编辑重写模块注入到筛选的进程中;所述系统API重定向模块用于通过系统初始化对筛选的进程中的PLT表进行地址重写,调用Socket库的读取和写入函数改为自定义编译的DLL库;所述流量性质判定模块用于将流量数据引流到缓冲区中,通过判断流量是出站流量还是入站流量,对流量进行重定向,将流量发到所述入站流量复制打印模块、所述出站流量编辑重写模块或直接放行;所述入站流量复制打印模块用于从缓冲区中获取入站流量,通过内存拷贝的方式将入站流量进行复制,将入站流量数据转为流量日志,以Syslog协议的形式外发至外部的日志审计服务器进行审计;所述出站流量编辑重写模块用于从缓冲区中获取出站流量,通过调取本地网卡和配置文件信息后,利用应用层协议的可扩展性,在出站流量数据包头中写入进程信息、IP信息、端口信息以及会话ID。2.如权利要求1所述的协议重编辑的网络流量审计装置,其特征在于,所述自定义编译的DLL库为监控库,筛选的进程经过所述自定义编译的DLL库的监控后转发到系统原有的DLL库。3.如权利要求1所述的协议重编辑的网络流量审计装置,其特征在于,所述流量性质判定模块用于对流量的协议进行解析,判断流量的协议是否在适配范围内,若协议在适配范围内,则转发至所述入站流量复制打印模块或所述出站流量编辑重写模块,若协议不在适配范围内则直接放行,执行流量原本的业务函数;其中,所述适配范围指的自定义DLL库中内置的流量解析规则的范围。4.如权利要求1所述的协议重编辑的网络流量审计装置,其特征在于,所述入站流量复制打印模块还用于将入站流量的数据包重新写入至缓冲区中,等待业务应用读取使用。5.如权利要求1所述的协...
【专利技术属性】
技术研发人员:宋宇宸,张海山,
申请(专利权)人:应急管理部大数据中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。