一种用户网络行为分析方法及装置的制造方法
【专利摘要】本发明公开了一种用户网络行为分析方法及装置,涉及软件开发技术领域,用于解决现有的网络安全审计和分析系统存在不能针对用户网络行为进行针对性统计的问题。该方法包括:通过探针服务器,获取通过交换机传输的网络数据包;通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法;通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。
【专利说明】
一种用户网络行为分析方法及装置
技术领域
[0001]本发明涉及软件开发技术领域,更具体的涉及一种用户网络行为分析方法及装置。
【背景技术】
[0002]计算机网络安全审计(Audit)是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。
[0003]现有的网络安全审计和分析系统一般通过在交换机上抓包后分析数据包的方式,生成原始数据,这些原始数据包含MAC(Media Access Control,中文简称:媒体访问控制)地址、源IP(Internet Protocol,中文简称:网协)、源端口、目标IP、目标端口、访问的URL(Uniform Resource Locator,中文简称:统一资源定位符)、下载的文件等。针对这些原始数据,进一步处理可以判断用户访问网站、微博、论坛、收发邮件、传输文件、远程访问等网络行为。根据上述方法,可以将用户的网络行为记录在关系型的数据库中,进一步的通过设计的Web网页将记录在关系型数据库中的数据进行展示。但是上述方法,还存在以下问题:当数据量比较大时,获取用户的网络行为和在Web网页中显示记录在关系型数据库中的数据比较缓慢;基于时间、MAC地址或者IP地址方式记录用户的网络行为和在Web网页上显示记录在关系型数据库中的数据不够直观,不能很好的体现数据之间的联系和相关性;不能检索用户在各种网络行为中同时出现的关键词。
[0004]综上所述,现有的网络安全审计和分析系统存在不能针对用户网络行为进行针对性统计的问题。
【发明内容】
[0005]本发明实施例提供一种用户网络行为分析方法及装置,用以解决现有的网络安全审计和分析系统存在不能针对用户网络行为进行针对性统计的问题。
[0006]本发明实施例提供一种用户网络行为分析方法,包括:
[0007]通过探针服务器,获取通过交换机传输的网络数据包;
[0008]通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;
[0009]将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法;
[0010]通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。
[0011]优选地,所述网络数据包信息包括以下信息中的一种或多种组合:
[0012]MAC地址,源IP地址,目标IP地址,源端口,目标端口,传输协议。
[0013]优选地,所述将所述网络数据包信息保存至搜索引擎,包括:
[0014]通过所述搜索引擎的应用程序编程接口,将所述网络数据包信息保存至所述搜索引擎。
[0015]本发明实施例还提供一种用户网络行为分析装置,包括:
[0016]第一获取单元,用于通过探针服务器,获取通过交换机传输的网络数据包;
[0017]第二获取单元,用于通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;
[0018]保存单元,用于将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法;
[0019]第三获取单元,用于通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。
[0020]优选地,所述网络数据包信息包括以下信息中的一种或多种组合:
[0021 ] MAC地址,源IP地址,目标IP地址,源端口,目标端口,传输协议。
[0022]优选地,所述保存单元具体用于:
[0023]通过所述搜索引擎的应用程序编程接口,将所述网络数据包信息保存至所述搜索引擎。
[0024]本发明实施例中,通过探针服务器,获取通过交换机传输的网络数据包;通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法;通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。上述方法中,将通过交换机传送的网络数据包进行分析,将分析后的所述网络数据包保存至搜索引擎中,可以通过符合搜索引擎所提供的搜索语法的搜索词对保存的网络数据包进行检索,获取与搜索词匹配的所述数据包信息,进一步地,还可以根据实际需要,在搜索引擎中输入个性化的并符合搜索语法的搜索词,获取用户感兴趣的数据以及根据所述感兴趣的数据得到的结论。从而可以解决现有的网络安全审计和分析系统存在不能针对用户网络行为进行针对性统计的问题。
【附图说明】
[0025]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0026]图1为本发明实施例提供的一种用户网络行为分析方法流程示意图;
[0027]图2为本发明实施例提供的一种用户网络行为分析装置结构示意图。
【具体实施方式】
[0028]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0029]图1示例性的示出了本发明实施例提供的一种用户网络行为分析方法流程示意图,该方法至少可以应用于网络数据统计中。
[0030]如图1所示,本发明实施例提供的一种用户网络行为分析方法,包括以下步骤:
[0031]步骤101,通过探针服务器,获取通过交换机传输的网络数据包;
[0032]步骤102,通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;
[0033]步骤103,将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法;
[0034]步骤104,通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。
[0035]在步骤101中,由于交换机的镜像网口通过网线与网络中部署的服务器连接,即可以通过在交换机上连接安装网络数据包分析程序的探针服务器,获取通过交换机传输的网络数据包。
[0036]在步骤102中,探针服务器中安装有网络数据包分析程序,该程序可以通过分析网络数据包,获取网络数据包信息。
[0037]具体地,网络数据包信息包括以下一种信息或者多种信息的组合:MAC地址,源IP地址,目标IP地址,源端口,目标端口,传输协议。在本发明实施例中,对网络数据包信息具体包括的内容不做限定。
[0038]在步骤103中,将获取到的网络数据包信息可以存储到搜索引擎中,具体地,网络数据包分析程序通过搜索引擎所提供的应用程序编程接口(英文为:Applicat1nProgramming Interface,英文简称API),将网络数据包信息保存至搜索引擎中。
[0039]在本发明实施例中,为了能够迅速的完成针对用户、MAC地址或者IP地址的网络行为统计,并通过使用搜索引擎得到上述数据的检索结果,优选地,搜索引擎对保存的网络数据包按照信息类型进行分类,并且根据分类结果,设置与分类结果相对应的搜索语法。
[0040]具体的,针对用户、MAC地址或者IP地址的网络行为统计可以包括下列多种方法:
[0041]a:统计用户在各种网络行为中同时出现的关键词;
[0042]b:统计用户在设定时间段内的相同的网络行为出现的次数;
[0043]c:通过关联用户,MAC地址和/或IP地址,统计用户在设定的时间段内相同的网络行为出现的次数;
[0044]d:通过关联设备名称,MAC地址和/或IP地址,统计设备在设定时间段内相同的网络行为出现的次数;
[0045]e:统计在设定时间段内各种网络行为中用户的排名情况或者设备的排名情况。
[0046]在本发明实施例中,可以使用的搜索引擎包括但不限于:Elastic Search,Solr等。
[0047]在步骤104中,通过访问所述搜索引擎,获取与搜索词相匹配的数据包信息。
[0048]在本发明实施例中,由于已经根据保存至搜索引擎的数据包信息确定了与数据包分类结果相对应的搜索语法,因此,在该步骤中使用的搜索词应该符合搜索语法规定。
[0049]具体地,在搜索引擎中输入搜索词,可以查看那些用户、MAC地址或IP地址的网络行为中出现了该搜索词;在搜索引擎中输入搜索词,可以查看各种网络行为中那些用户、MAC地址或IP地址同时出现了该搜索词;在搜索引擎中输入搜索词,可以查看该搜索词在一定时间内,在那些用户、MAC地址或IP地址的那种网络行为上进行了传递和扩散;进一步地,还可以定义搜索词,当网络行为中出现该搜索词时,对该网络行为进行记录,并能通过邮件、短信、微信等方式对该网络行为进行告警提示。
[0050]进一步地,通过在搜索引擎中输入搜索词,可以获取到与该搜索词相关的信息,在本发明实施例中,为了能够高速完成网络行为统计,可以通过表格、图表等方式将获取到的与搜索词相关的信息进行可视化展示,并且能够清晰的表达数据之间的联系和相关性。
[0051]具体的,在搜索引擎中输入搜索词之后,可以通过表格显示详细的数据包记录信息;可以通过柱状、折线图、饼图等显示与搜索词相关的网络行为的排名情况。在本发明实施例中,对显示与搜索词相关信息的方式不做具体的限定。
[0052]进一步地,还可以根据实际需要,在搜索引擎中执行更多的个性化检索,其中,个性化检索所对应的搜索词应该符合搜索语法要求,从而可以获取到用户感兴趣的数据,以及根据获取到的数据得到相关结论。
[0053]基于同一发明构思,本发明实施例提供了种用户网络行为分析装置,由于该装置解决技术问题的原理与种用户网络行为分析方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
[0054]如图2所示,为本发明实施例提供的种用户网络行为分析装置,包括:第一获取单元201,第二获取单元202,保存单元203和第三获取单元204。
[0055]第一获取单元201,用于通过探针服务器,获取通过交换机传输的网络数据包;
[0056]第二获取单元202,用于通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;
[0057]保存单元203,用于将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法:
[0058]第三获取单元204,用于通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。
[0059]优选地,所述网络数据包信息包括以下信息中的一种或多种组合:
[0060]MAC地址,源IP地址,目标IP地址,源端口,目标端口,传输协议。
[0061 ]优选地,所述保存单元203具体用于:
[0062]通过所述搜索引擎的应用程序编程接口,将所述网络数据包信息保存至所述搜索引擎。
[0063]应当理解,以上一种用户网络行为分析装置包括的单元仅为根据该设备装置实现的功能进行的逻辑划分,实际应用中,可以进行上述单元的叠加或拆分。并且该实施例提供的一种用户网络行为分析装置所实现的功能与上述实施例提供的一种用户网络行为分析方法一一对应,对于该装置所实现的更为详细的处理流程,在上述方法实施例一中已做详细描述,此处不再详细描述。
[0064]本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0065]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0066]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0067]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0068]尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0069]显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
【主权项】
1.一种用户网络行为分析方法,其特征在于,包括: 通过探针服务器,获取通过交换机传输的网络数据包; 通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法; 通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。2.如权利要求1所述的方法,其特征在于,所述网络数据包信息包括以下信息中的一种或多种组合: MAC地址,源IP地址,目标IP地址,源端口,目标端口,传输协议。3.如权利要求1所述的方法,其特征在于,所述将所述网络数据包信息保存至搜索引擎,包括: 通过所述搜索引擎的应用程序编程接口,将所述网络数据包信息保存至所述搜索引擎。4.一种用户网络行为分析装置,其特征在于,包括: 第一获取单元,用于通过探针服务器,获取通过交换机传输的网络数据包; 第二获取单元,用于通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息; 保存单元,用于将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法; 第三获取单元,用于通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。5.如权利要求4所述的装置,其特征在于,所述网络数据包信息包括以下信息中的一种或多种组合: MAC地址,源IP地址,目标IP地址,源端口,目标端口,传输协议。6.如权利要求4所述的装置,其特征在于,所述保存单元具体用于: 通过所述搜索引擎的应用程序编程接口,将所述网络数据包信息保存至所述搜索引擎。
【文档编号】G06F17/30GK105893462SQ201610172502
【公开日】2016年8月24日
【申请日】2016年3月20日
【发明人】柏昆, 朱震
【申请人】百势软件(北京)有限公司