审计外发信息的方法及装置

摘要

本发明提供一种审计外发信息的方法及装置，包括：窥探承载外发信息的报文并存储到外发信息单元；根据报文的应用协议的特征，获取承载外发信息的最后一个报文的报文标识并记录在外发信息单元中；若报文中包括预设的非法信息，为外发信息单元添加阻断标记；根据承载外发信息的最后一个报文的报文标识，从报文中获得承载外发信息的最后一个报文；若存储承载外发信息的最后一个报文的外发信息单元包括阻断标记，丢弃承载外发信息的最后一个报文；根据报文，还原并审计所述外发信息。从而实现对外发信息的完整审计。

说明书

技术领域

本发明涉及一种网络通信技术，尤其涉及一种审计外发信息的方法及装 置。

背景技术

互联网的高速发展使得互联网已经渗透到社会生活的每一个角落，成 为人们学习、生活、工作不可缺少的工具，也为企业高效运营提供了基础 平台。但是互联网给我们带来诸多便利的同时，也给企业带来诸多负面问 题，如企业员工工作效率低下，敏感信息泄露等问题。因此，企业会对员 工进行上网行为管理，通常要求当内网用户外发的信息中包含有非法信息 时，能够有效阻止其外发，并且能够有效审计内网用户外发信息的所有内 容。

现有技术中，当内网用户外发信息时，网关会对承载外发信息的报文 进行窥探、分析，如果承载外发信息的所有报文均不包含非法信息，则网 关对上述报文进行还原，获得该外发信息的标题和内容，并对该外发信息 的标题和内容进行审计；如果发现某个承载外发信息的报文中包含有非法 信息，则将该报文丢弃，不允许转发，中断外发信息传输过程。

采用上述现有的外发信息审计方法，当外发信息内容很长时，外发信 息会分散于多个报文中进行承载和传输，当网关检测到其中某个报文包含 非法信息时，就会将该报文丢弃，导致外发信息传输过程中断，因此，网 关设备无法窥探到承载外发信息的所有报文，从而无法完整地还原出外发 信息的标题以及内容，无法对外发信息进行完整审计。

发明内容

本发明提供一种审计外发信息的方法及装置，用以解决现有技术中的无 法对外发信息进行完整审计的问题。

本发明提供的审计外发信息的方法，包括：

窥探承载外发信息的至少一个报文并存储到外发信息单元；

根据所述至少一个报文的应用协议的特征，获取承载所述外发信息的最 后一个报文的报文标识并记录在所述外发信息单元中；

若所述至少一个报文中包括预设的非法信息，为所述外发信息单元添加 阻断标记；

根据所述承载所述外发信息的最后一个报文的报文标识，从所述至少一 个报文中获得承载所述外发信息的最后一个报文；

若存储所述承载所述外发信息的最后一个报文的所述外发信息单元包括 阻断标记，丢弃所述承载所述外发信息的最后一个报文；

根据所述至少一个报文，还原并审计所述外发信息。

本发明提供的审计外发信息的装置，包括：

窥探单元，用于窥探承载外发信息的至少一个报文；

外发信息单元，用于存储所述至少一个报文；

第一控制单元，用于根据所述至少一个报文的应用协议的特征，获取承 载所述外发信息的最后一个报文的报文标识并记录在所述外发信息单元中；

第二控制单元，用于在所述至少一个报文中包括预设的非法信息时，为 所述外发信息单元添加阻断标记；

检测单元，用于根据所述承载所述外发信息的最后一个报文的报文标识， 从所述至少一个报文中获得承载所述外发信息的最后一个报文；

阻断单元，用于在存储所述承载所述外发信息的最后一个报文的所述外 发信息单元包括阻断标记时，丢弃所述承载所述外发信息的最后一个报文；

审计单元，用于根据所述至少一个报文，还原并审计所述外发信息。

由上述技术方案可知，本发明提供的审计外发信息的方法及装置，通过 窥探承载外发信息的至少一个报文并存储到外发信息单元，然后根据至少一 个报文的应用协议特征，获取承载外发信息的最后一个报文的报文标识，记 录在外发信息单元中，判断至少一个报文中是否包括预设的非法信息，如果 是，为外发信息单元添加阻断标记，并根据承载外发信息的最后一个报文的 报文标识，从至少一个报文中获得承载外发信息的最后一个报文，并丢弃承 载外发信息的最后一个报文，根据至少一个报文，还原并审计外发信息，如 果不是，转发承载外发信息的至少一个报文。从而实现了对外发信息的完整 审计。

附图说明

图1为本发明实施例一的审计外发信息的方法的流程图；

图2为本发明实施例二的审计外发信息的方法的流程图；

图3为本发明实施例三的审计外发信息的装置的结构示意图；

图4为本发明实施例四的审计外发信息的装置的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发 明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述， 显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获 得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例一的审计外发信息的方法的流程图。上述审计外发 信息的方法在具体实现的过程中可以通过审计外发信息的装置来执行。如图 1所示，本发明实施例一提供的审计外发信息的方法具体包括：

步骤101、窥探承载外发信息的至少一个报文并存储到外发信息单元。

步骤102、根据至少一个报文的应用协议的特征，获取承载外发信息的 最后一个报文的报文标识并记录在外发信息单元中。

在本步骤中，外发信息单元具体用于存储承载外发信息的至少一个报文、 并记录承载外发信息的最后一个报文的报文标识和阻断标记，具体地，一个 数据流对应一个外发信息单元，上述承载外发信息的至少一个报文属于一条 数据流。在对外发信息进行审计时，审计外发信息的装置针对一个数据流进 行审计，并记录在该数据流对应的外发信息单元中。

步骤103、若至少一个报文中包括预设的非法信息，为外发信息单元添 加阻断标记。

步骤104、根据承载外发信息的最后一个报文的报文标识，从至少一个 报文中获得承载外发信息的最后一个报文。

步骤105、若存储承载外发信息的最后一个报文的外发信息单元包括阻 断标记，丢弃承载外发信息的最后一个报文。

具体地，在本步骤中，若上述外发信息单元包括阻断标记，则丢弃承载 外发信息的最后一个报文，由于承载该外发信息的至少一个报文的最后一个 报文被丢弃，因此该外发信息是不完整的，无法被转发出去，外网服务器就 不能接收到该外发信息，即，实现了对包括非法信息的外发信息的阻断，同 时，由于外发信息单元中存储了承载该外发信息的至少一个报文，因而可以 实现对外发信息的完整审计。

步骤106、根据至少一个报文，还原并审计外发信息。

本发明实施例一提供的审计外发信息的方法，通过窥探承载外发信息的 至少一个报文并存储到外发信息单元，然后根据至少一个报文的应用协议特 征，获取承载外发信息的最后一个报文的报文标识，记录在外发信息单元中， 判断至少一个报文中是否包括预设的非法信息，如果是，为外发信息单元添 加阻断标记，并根据承载外发信息的最后一个报文的报文标识，从至少一个 报文中获得承载外发信息的最后一个报文，并丢弃承载外发信息的最后一个 报文，根据至少一个报文，还原并审计外发信息，如果不是，转发承载外发 信息的至少一个报文。从而实现了对外发信息的完整审计。

图2为本发明实施例二的审计外发信息的方法的流程图。如图2所示， 本发明实施例二提供的审计外发信息的方法包括以下过程。

步骤201、审计外发信息的装置窥探承载外发信息的至少一个报文。

步骤202、审计外发信息的装置判断报文的类型属于第一类报文类型或 第二类报文类型。

在本步骤中，审计外发信息的装置根据预设的审计规则，将上述至少一 个报文划分为审计类报文和非审计类报文。具体地，该预设的审计规则可以 为：根据报文的类型确定是否需要审计该报文，将各种报文类型划分为第一 类报文类型和第二类报文类型，其中，若第一类报文类型的报文为非审计类 报文，对非审计类报文不进行审计，第二类报文类型的报文为审计类报文， 对审计类报文进行审计。在本步骤中，根据上述预设的审计规则，审计外发 信息的装置对上述窥探到的承载外发信息的至少一个报文的协议类型逐一判 断，判断所述报文的类型属于第一类报文类型或第二类报文类型，一种具体 的实施方式为，第一类报文类型包括：路由协议类型等；第二类报文类型包 括：超文本传送协议（Hypertext Transport Protocol，简称HTTP协议）类型 等。

如果上述报文的类型属于第一类报文类型，执行步骤211。如果上述报 文的类型属于第二类报文类型，执行步骤203。

步骤211、审计外发信息的装置将报文划分为非审计类报文。

在步骤211后，执行步骤212。

步骤212、审计外发信息的装置转发承载外发信息的至少一个报文中的 非审计类报文。

非审计类报文由审计外发信息的装置直接进行转发，不需要进行后续的 步骤。

步骤203、审计外发信息的装置将报文划分为审计类报文。

在步骤203之后，执行步骤204。

步骤204、审计外发信息的装置将至少一个报文中的审计类报文存储到 外发信息单元。

步骤205、审计外发信息的装置根据至少一个报文中的审计类报文的应 用协议的特征，获取承载外发信息的最后一个报文的报文标识。

步骤206、若至少一个报文中的审计类报文包括预设的非法信息，审计 外发信息的装置为外发信息单元添加阻断标记。

步骤207、审计外发信息的装置根据承载外发信息的最后一个报文的报 文标识，从至少一个报文中的审计类报文中获得承载外发信息的最后一个报 文。

步骤208、审计外发信息的装置判断存储承载外发信息的最后一个报文 的外发信息单元是否包括阻断标记。

如果判断结果为否，执行步骤213。如果判断结果为是，执行步骤209。

步骤213、审计外发信息的装置转发承载外发信息的至少一个报文中的 审计类报文。

步骤209、审计外发信息的装置丢弃承载外发信息的最后一个报文，并 向发送方发送复位信息，以使发送方终止数据传输。

步骤209之后，执行步骤210。

步骤210、审计外发信息的装置根据至少一个报文中的审计类报文，还 原并审计外发信息。

为了使上述审计外发信息的方法更具体，下面将以论坛发帖为例，对上 述审计外发信息的方法做进一步具体的说明。

当我们在浏览器上编辑完帖子标题及帖子内容后，点击“发表”，浏览 器会按照该论坛特定的数据格式对帖子标题和帖子内容进行封装，然后通过 HTTP上传协议将封装好的帖子数据提交到论坛服务器，最终完成整个帖子 的发表过程。在本发明实施例中，预设当论坛发帖的内容中包括“法轮功” 字样时为非法信息。网关设备窥探承载外发信息的所有报文，并判断报文是 否属于非论坛发帖的报文，如果是，直接转发出去，如果不是，进行下一步 处理。

当网关设备检测到HTTP上传报文时，会根据传输控制协议（Transmission  Control Protocol，简称TCP协议）规定的算法，即，HTTP上传报文的TCP 序列号加上HTTP头部中标记的内容长度，再加上HTTP头部的长度，就等 于该HTTP上传报文最后一个报文的下一个TCP序列号值的终值。然后将该 TCP序列号值终值记录在该HTTP上传报文对应的外发信息单元中。例如， 假设HTTP上传报文的TCP序列号为100，HTTP头部中标记的内容长度字 段值为3000，并且HTTP头部信息长度为300，则终值为100+3000+300=3400。

接着，网关设备对所有的报文进行分析、扫描，如果报文中包括预设的 非法信息“法轮功”字样，则标记该报文对应的外发信息单元为需要阻断。 网关设备对所有的报文进行分析、扫描，当报文的TCP序列号等于该外发信 息单元终值减去该报文的有效长度，则该报文为该HTTP上传报文对应的最 后一个报文。此时，网关设备需要判断该外发信息单元是否包括阻断标记， 如果不包括阻断标记，网关设备转发该报文；如果包括阻断标记，网关设备 丢弃承载外发信息的最后一个报文，并向内网计算机发送TCP复位报文 (TCP-RST)来复位该TCP外发信息单元，以使内网计算机终止数据传输。最 后，网关设备可以对所有论坛发帖的报文进行还原、审计。

本实施例提供的审计外发信息的方法，根据报文的应用协议特征定位出 承载外发信息的最后一个报文的报文特征并记录在对应的外发信息单元中， 对报文进行分析、扫描，当发现该报文包含非法信息时，对该报文对应的外 发信息单元进行标记，当根据该报文特征对报文进行检测，检测到承载外发 信息的最后一个报文时，判断该外发信息单元是否包括阻断标记，如果包括 阻断标记，丢弃承载外发信息的最后一个报文，如果不包括阻断标记，转发 承载外发信息的报文。从而实现对外发信息的完整审计。

图3为本发明实施例三的审计外发信息的装置的结构示意图。如图3所 示，在本发明实施例提供的审计外发信息的装置中，包括：窥探单元11、外 发信息单元12、第一控制单元13、第二控制单元14、检测单元15、阻断单 元16、审计单元17。

窥探单元11，用于窥探承载外发信息的至少一个报文；

外发信息单元12，用于存储至少一个报文；

第一控制单元13，用于根据至少一个报文的应用协议的特征，获取承载 外发信息的最后一个报文的报文标识并记录在外发信息单元中；

第二控制单元14，用于在至少一个报文中包括预设的非法信息时，为外 发信息单元添加阻断标记；

检测单元15，用于根据承载外发信息的最后一个报文的报文标识，从至 少一个报文中获得承载外发信息的最后一个报文；

阻断单元16，用于在存储承载外发信息的最后一个报文的外发信息单元 包括阻断标记时，丢弃承载外发信息的最后一个报文；

审计单元17，用于根据至少一个报文，还原并审计外发信息。

具体地，外发信息单元12与窥探单元11连接，窥探单元11窥探承载外 发信息的至少一个报文，存储到外发信息单元12。第一控制单元13与外发 信息单元12连接，并根据至少一个报文的应用协议特征，获取承载外发信息 的最后一个报文的报文标识，记录在外发信息单元12中。第二控制单元14 与第一控制单元13连接，同时与外发信息单元12连接，在第一控制单元13 将承载外发信息的最后一个报文的报文标识记录在外发信息单元12后，第二 控制单元14对至少一个报文进行检测，若至少一个报文中包括预设的非法信 息时，由第二控制单元14为外发信息单元12添加阻断标记。检测单元15设 置在第二控制单元14之后，并与外发信息单元12连接，检测单元15根据存 储在外发信息单元12中的、承载外发信息的最后一个报文的报文标识，从至 少一个报文中获得承载外发信息的最后一个报文。阻断单元16设置在检测单 元15之后，并与外发信息单元12连接，检测单元15检测到承载外发信息的 最后一个报文时，判断该承载外发信息的至少一个报文对应的外发信息单元 12是否包括阻断标记，如果包括阻断标记，丢弃承载外发信息的最后一个报 文，如果不包括阻断标记，转发该最后一个报文。阻断单元之后连接审计单 元17，并与外发信息单元12连接，审计单元17根据存储在外发信息单元12 中的至少一个报文，还原并审计外发信息。

本发明实施例提供的审计外发信息的装置通过各模块单元的配合连接， 将承载外发信息的至少一个报文、承载外发信息的最后一个报文的报文标识 记录在该外发信息对应的外发信息单元12中，以及当承载外发信息的至少一 个报文中包括非法信息时，为该外发信息对应的外发信息单元12添加阻断标 记，并通过丢弃包括阻断标记的承载外发信息的最后一个报文对包括非法信 息的外发信息进行阻断，同时，由于承载外发信息的至少一个报文记录在外 发信息单元12中，因而可以实现对外发信息的完整审计。

图4为本发明实施例四提供的审计外发信息的装置的结构示意图。如图 4所示，在本发明实施例三的技术方案的基础上，在本发明实施例提供的审 计外发信息的装置中，阻断单元16还用于在存储承载外发信息的最后一个报 文的外发信息单元12包括阻断标记时，向发送方发送复位信息，以使发送方 终止数据传输。

在上述技术方案的基础上，在本发明实施例提供的审计外发信息的装置 中，阻断单元16还用于在存储承载外发信息的最后一个报文的外发信息单元 12不包括阻断标记时，转发承载外发信息的至少一个报文。

在上述技术方案的基础上，本发明实施例提供的审计外发信息的装置还 可以包括：

分类单元18，用于根据预设的审计规则，将至少一个报文划分为审计类 报文和非审计类报文；

相应地，阻断单元16还用于转发至少一个报文中的非审计类报文，在存 储承载外发信息的最后一个报文的外发信息单元12不包括阻断标记时，转发 承载外发信息的至少一个报文中的审计类报文；

外发信息单元12具体用于存储至少一个报文中的审计类报文；

第一控制单元13具体用于根据至少一个报文中的审计类报文的应用协 议特征，获取承载外发信息的最后一个报文的报文标识并记录在外发信息单 元12中；

第二控制单元14具体用于在至少一个报文中的审计类报文中包括预设 的非法信息时，为外发信息单元12添加阻断标记；

检测单元15具体用于根据承载外发信息的最后一个报文的报文标识，从 至少一个报文中的审计类报文中获得承载外发信息的最后一个报文；

审计单元17具体用于根据至少一个报文中的审计类报文，还原并审计外 发信息。

在上述技术方案的基础上，在本发明实施例提供的审计外发信息的装置 中，分类单元18具体用于根据预设的审计规则，判断报文的类型属于第一类 报文类型或第二类报文类型，若报文的类型属于第一类报文类型，将报文划 分为非审计类报文，若报文的类型属于第二类报文，将报文划分为审计类报 文。

具体地，分类单元18根据报文的协议类型，将报文划分为审计类报文和 非审计类报文，非审计类报文由阻断单元16进行转发，审计类报文由外发信 息单元12存储，第一控制单元13获取承载外发信息的审计类报文的最后一 个报文的报文标识，并记录在承载外发信息的至少一个报文对应的外发信息 单元12中，第二控制单元14对承载外发信息的至少一个报文中的审计类报 文进行检测，如果至少一个报文中的审计类报文中包括预设的非法信息，为 对应的外发信息单元12添加阻断标记，然后由检测单元15根据存储在外发 信息单元12中的、承载外发信息的至少一个报文中的审计类报文的最后一个 报文的报文标识，判断该报文是否是承载外发信息的最后一个报文，如果是， 由阻断单元16识别该承载外发信息的至少一个报文中的审计类报文对应的 外发信息单元12中，是否包括阻断标记，如果不包括阻断标记，由阻断单元 16转发承载外发信息的至少一个报文中的审计类报文，如果包括阻断标记， 则由阻断单元16丢弃承载外发信息的至少一个报文中的审计类报文的最后 一个报文，并向发送方发送复位信息，以使发送方终止数据传输，最后由审 计单元17根据存储在外发信息单元12中的至少一个报文中的审计类报文， 还原并审计外发信息。

本发明实施例提供的审计外发信息的装置，分类单元18根据承载外发信 息的至少一个报文的报文特征，将承载外发信息的至少一个报文划分为审计 类报文和非审计类报文，对非审计类报文进行转发，对于审计类报文，将审 计类报文的最后一个报文的报文标识记录在对应的外发信息单元12中，并在 包含预设的非法信息的承载外发信息的至少一个报文中的审计类报文对应的 外发信息单元12添加阻断标记，当阻断单元16发现阻断标记时，将承载外 发信息的最后一个报文丢弃，此时，虽然承载外发信息的最后一个报文被丢 弃了，但是承载外发信息的至少一个报文中的审计类报文被存储在了外发信 息单元12中，因而本发明实施例提供的审计外发信息的装置可以实现对审计 类报文的完整审计。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可 读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而 前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码 的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对 其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通 技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改， 或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并 不使相应技术方案的本质脱离本发明各实施例技术方案的范围。