基于多层数据拦截的远程网络行为实时监控方法

摘要

本发明提供一种基于多层数据拦截的远程网络行为实时监控方法，多台监控设备与安全中心连接，基于B/S模型的分布式网络行为实施监控系统的设计框架，网络行为实时监控分为两部分：监控设备实时分析报文，符合监控策略的报文上报安全中心；安全中心向监控设备下发监控策略，报文解析并提供搜索引擎，用户通过终端连接安全中心，用户配置监控策略和查询网络行为；实现对远程网络行为实时监控。本发明基于多层数据拦截的远程网络行为实时监控技术应用，有效的管理远程网络的信息安全，实现了信息安全统一管理，数据二次挖掘、分析，提高了整个网络的信息安全。

说明书

技术领域

本发明涉及一种基于多层数据拦截的远程网络行为实时监控方法，属于网络行为安全技术领域。

背景技术

随着Internet的高速发展，网络应用越来越多，大多数企业的一些关键业务也开始通过Internet提供。而Internet的一大特性是开放性，正是这种开放性给Internet上服务的安全构成了严重的威胁。为了保证健康有序的发展，必须在网络安全上提供强有力的保证。

由于传统的网络行为监控系统是终端行设备，报文分析后就丢弃，监控结果存放在数据库，有严重的局限性：不能对报文进行二次分析，监控设备之间的数据不共享，安全信息闭塞，网络行为分析不能更好的表现当前网络状况。

基于多层数据拦截的远程网络行为实时监控技术解决这方面问题，监控设备向安全中心上报数据报文，统一存储在安全中心服务器，安全中心嵌入报文解析引擎，根据不同的策略二次解析，提供全方面的网络行为分析引擎，使用户能更好的了解当前网络状况。

基于多层数据拦截的远程网络行为实时监控系统提供以下功能和特性：

1)报文检测：对报文从第二层到第七层深度检测，检测的结果反映为对报文的处理决定，报文被按照处理决定进行处理；

2)监控策略：用户监控策略解析为协议类型，下发到监控设备，监控设备加载监控策略并实时监控网络报文；

3)报文解析引擎：报文二次解析，解析报文协议类型，汇总流量；

4)网络行为分析引擎：根据报文解析引擎，汇总数据，分析当前网络行为，以饼图、曲线等形式显示当前网络状况。

5)有效资源利用：报文统一管理，有效的利用网络资源和人力资源，提高网络安全。

随着计算机网络的发展与普及，网络内部的安全性越来越受到人们的关注，如何对网络内部主机的行为进行监视与控制，是解决问题的基础和关键所在。

发明内容

本发明的目的是克服现有技术存在的不足，提供一种基于多层数据拦截的远程网络行为实时监控方法。

本发明的目的通过以下技术方案来实现：

基于多层数据拦截的远程网络行为实时监控方法，特点是：多台监控设备与安全中心连接，网络行为实时监控分为两部分：一是，监控设备实时报文检测，符合监控策略的报文上报安全中心；二是，安全中心向监控设备下发监控策略，安全中心提供报文解析引擎，通过终端连接安全中心，用户配置监控策略和查询网络行为；从而实现对远程网络行为实时监控。

进一步地，上述的基于多层数据拦截的远程网络行为实时监控方法，其中，报文检测，监控设备对报文进行第二层到第七层的检测，检测内容包括状态的分类和处理、防火墙、防病毒、反间谍软件、入侵检测/入侵防御、内容过滤、应用层网关、虚拟专用网，检测的结果反映为对报文的处理决定，报文被按照处理决定进行处理；

监控策略，用户设置监控策略，安全中心解析监控策略，下发到监控设备并执行；

报文解析引擎，安全中心根据用户的搜索指令对报文二次解析，识别协议类型并返回搜索结果；

网络行为分析引擎，分析用户在不同时间段、不同协议的网络占用率、流量、内容，了解目前网络的运行状况，如有异常情况，及时处理。

更进一步地，上述的基于多层数据拦截的远程网络行为实时监控方法，安全中心和监控设备通过双向通信实现远程网络行为实时监控，用户终端接口响应用户的的请求，分为两部分：监控策略配置和查询引擎，首先监控策略模块向监控设备下发监控策略，监控策略模块调用服务器接口，服务器接口通过安全连接通道向监控设备请求，监控设备接口响应请求，监控策略配置模块配置监控策略，并通知流预处理模块加载，用户设置的监控策略下发到监控设备，监控设备实时监控网络行为；网络中的报文流向监控设备，捕获网络数据并把报文发送给流预处理模块，流预处理模块对报文深度检索，符合监控策略要求的报文上报给监控设备接口，监控设备接口向安全中心请求上报，服务器接口响应上报请求，进行报文解析并存储数据库mysql；用户在终端查询指定QQ号码，用户终端接口提交给查询引擎模块，报文解析出QQ协议，深度匹配QQ号码，返回结果发送给用户终端接口；监控设备实时上报符合安全策略的报文，安全中心汇总报文并解析，用户通过安全中心实现远程网络行为的实时监控。

本发明技术方案突出的实质性特点和显著的进步主要体现在：

本发明提出一种基于B/S模型的分布式网络行为实时监控系统的设计框架，通过对实现过程中的软件体系结构、报文解析引擎和网络行为分析引擎等关键技术的研究，达到对用户网络行为的实时监控的要求。基于多层数据拦截的远程网络行为实时监控技术应用，有效的管理远程网络的信息安全，基于B/S模型的分布式网络行为实施监控系统的设计框架，实现了信息安全统一管理，数据二次挖掘、分析，提高了整个网络的信息安全。

附图说明

下面结合附图对本发明技术方案作进一步说明：

图1：基于多层数据拦截的远程网络行为实时监控系统总体架构示意图；

图2：基于多层数据拦截的远程网络行为实时监控系统的实现过程示意图；

图3：基于多层数据拦截的远程网络行为实时监控系统的报文解析流程示意图。

图中各附图标记的含义见下表：

  附图  标记含义附图标记含义附图标记含义  1用户终端接口2监控策略模块3查询引擎模块  4数据库Mysql5报文解析6服务器接口  7安全连接通道8监控设备接口9监控策略配置模块  10流预处理模块11安全事件12捕获网络数据  13监控设备14安全中心15报  16物理网络接口17报文输入18深度报文检测  19报文输出

具体实施方式

基于多层数据拦截的远程网络行为实时监控技术，采用SOCKET实现服务器/客户端双向连接技术，对数据业务的处理，分为两类；服务器器端提供监控协议设置，报文解析及其搜索引擎；客户端实现监控子网，深度解析报文，实时向服务器上报异常报文；客户端实时监控异常报文，并上报服务器，服务器对报文进行二次解析，并向用户提供搜索接口，从而实现远程网络行为的实时监控。

图1表述了远程网络行为实时监控系统的总体框架，多台监控设备(客户端)分布在网络中并与安全中心服务器连接，监控设备实时监控内网网络行为并上报安全中心，用户登录安全中心管理远程网络行为。

图2表述了远程网络行为实时监控系统的实现过程，用户终端接口1响应用户的的请求，分为两部分：监控策略配置和查询引擎，比如用户监控QQ行为，首先监控策略模块2向监控设备下发监控策略，监控策略模块2调用服务器接口6，服务器接口6通过安全连接通道7向监控设备13请求，监控设备接口8响应请求，监控策略配置模块9配置监控策略，并通知流预处理模块10加载，这样用户设置的监控策略下发到监控设备13，监控设备13实时监控网络行为；网络中的报文流向监控设备13，捕获网络数据12并把报文发送给流预处理模块10，流预处理模块10对报文深度检索，符合要求的安全事件11上报给监控设备接口8，监控设备接口8向安全中心请求上报，服务器接口6响应上报请求，进行报文解析并存储数据库mysql 4；用户在终端查询指定QQ号码，用户终端接口1提交给查询引擎模块3，报文解析5出QQ协议，深度匹配QQ号码，返回结果发送给用户终端接口；监控设备实时上报符合安全策略的报文，安全中心14汇总报文并解析，用户通过安全中心实现远程网络行为的实时监控。

图3表述了基于多层数据拦截的网络行为实时监控系统的报文解析处理过程，物理网络接口16捕获报文15，在流预处理模块中报文输入17，对输入的报文深度检测18，解析报文的协议，符合安全策略的报文发送给安全中心，报文检测完毕后报文输出19，网络网络接口继续处理报文。

多台监控设备与安全中心实现双向链接，监控设备以报文形式向安全中心上报，安全中心在报文的基础上进行二次解析、挖掘，实现对远程网络的实时监控、分析。监控设备向安全中心发送连接请求，服务器确认请求时合法的连接同时响应客户端，其中：安全验证机制采用基于口令的安全验证或基于密钥的安全验证机制。监控设备深度检测报文，符合监控设备的报文向安全中心上报。安全中心响应上报请求，对报文解析并存储到数据库，提供二次解析搜索。安全中心设置监控策略，解析监控策略，转化为协议类型向监控设备下发。监控设备响应下发请求，并通知流预处理模块加载监控策略，实时监控网络数据包。用户在安全中心上可以查看当前网络行为，以不同的形式展现当前的网络使用状况，从而实现了对远程网络行为的实时监控。

综上所述，本发明基于多层数据拦截的远程网络行为实时监控技术应用，有效的管理远程网络的信息安全，基于B/S模型的分布式网络行为实施监控系统的设计框架，实现了信息安全统一管理，数据二次挖掘、分析，提高了整个网络的信息安全。

需要理解到的是：上述说明并非是对本发明的限制，在本发明构思范围内，所进行的添加、变换、替换等，也应属于本发明的保护范围。