网络连接信息获取方法、装置、电子设备及存储介质与流程

本申请涉及网络安全，尤其涉及一种网络连接信息获取方法、装置、电子设备及存储介质。

背景技术：

1、在服务器的安全运维中，需要对服务器收发的网络流量进行分析，其中一项分析就是从网络流量中分析出服务器与外部系统的网络连接信息，从而基于网络连接信息进行异常连接检测。

2、所谓网络连接信息，是指五元组等信息，即源网际互连协议(internet protocol，ip)地址、源端口、目的ip地址、目的端口、三层协议(udp/tcp/icmp)等。为了获取服务器的网络连接信息，目前主要采取的方式为：获取外部系统向服务器发送的网络流量包，或者服务器向外部系统发送的网络流量包，进而对获取到的网络流量包进行解析，从解析的数据中获取服务器与外部系统的网络连接信息。

3、在网络流量包中，不仅包含有网络连接信息，还包含有大量的传输内容。这就导致网络流量包解析的工作量较大，解析时间较长，从而获取服务器与外部系统的网络连接信息的速度较慢，使得网络连接信息的获取效率低下。

技术实现思路

1、本申请实施例的目的是提供一种网络连接信息获取方法、装置、电子设备及存储介质，以提高网络连接信息获取效率。

2、为解决上述技术问题，本申请实施例提供如下技术方案：

3、本申请第一方面提供一种网络连接信息获取方法，所述方法包括：从目标设备的内核模块中获取网络连接事件，所述内核模块用于追踪所述目标设备中产生变化的网络连接，并生成相应的事件；从所述网络连接事件中提取所述目标设备的网络连接信息。

4、本申请第二方面提供一种网络连接信息获取装置，所述装置包括：获取模块，用于从目标设备的内核模块中获取网络连接事件，所述内核模块用于追踪所述目标设备中产生变化的网络连接，并生成相应的事件；提取模块，用于从所述网络连接事件中提取所述目标设备的网络连接信息。

5、本申请第三方面提供一种电子设备，所述电子设备包括：处理器、存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行第一方面中的方法。

6、本申请第四方面提供一种计算机可读存储介质，所述存储介质包括：存储的程序；其中，在所述程序运行时控制所述存储介质所在设备执行第一方面中的方法。

7、相较于现有技术，本申请第一方面提供的网络连接信息获取方法，由于目标设备的内核模块能够追踪目标设备中产生变化的网络连接，并生成相应的事件，因此，从目标设备的内核模块中能够获取到网络连接事件，进而能够从网络连接事件中提取出目标设备的网络连接信息。采用这种方式获取目标设备与外部系统的网络连接信息，无需对目标设备与外部系统间传输的网络流量包进行解析，从目标设备内核模块监听到的网络连接事件中能够直接获取到网络连接信息，方便简单，能够提高网络连接信息的获取效率。

8、本申请第二方面提供的网络连接信息获取装置、第三方面提供的电子设备、第四方面提供的计算机可读存储介质，与第一方面提供的网络连接信息获取方法具有相同或相似的有益效果。

技术特征：

1.一种网络连接信息获取方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述网络连接事件包括连接创建事件和连接销毁事件，所述从所述网络连接事件中提取所述目标设备的网络连接信息，包括：

3.根据权利要求2所述的方法，其特征在于，在将所述第一连接信息和所述第二连接信息合并，得到所述目标设备的网络连接信息之前，所述方法还包括：

4.根据权利要求2所述的方法，其特征在于，所述第一连接信息包括：五元组信息、源mac地址、目的mac地址、连接开始时间中的至少一个，

5.根据权利要求1至4中任一项所述的方法，其特征在于，在从目标设备的内核模块中获取网络连接事件之前，所述方法还包括：

6.根据权利要求5所述的方法，其特征在于，所述网络套接字的指定类型为af_netlink，指定协议为netlink_netfilter。

7.根据权利要求1至4中任一项所述的方法，其特征在于，在从目标设备的内核模块中获取网络连接事件之前，所述方法还包括：

8.根据权利要求1至4中任一项所述的方法，其特征在于，在从目标设备的内核模块中获取网络连接事件之前，所述方法还包括：

9.一种网络连接信息获取装置，其特征在于，所述装置包括：

10.一种电子设备，其特征在于，所述电子设备包括：处理器、存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行如权利要求1至8中任一项所述的方法。

11.一种计算机可读存储介质，其特征在于，所述存储介质包括：存储的程序；其中，在所述程序运行时控制所述存储介质所在设备执行如权利要求1至8中任一项所述的方法。

技术总结
本申请提供一种网络连接信息获取方法、装置、电子设备及存储介质，网络连接信息获取方法包括：从目标设备的内核模块中获取网络连接事件，内核模块用于追踪目标设备中产生变化的网络连接，并生成相应的事件；从网络连接事件中提取目标设备的网络连接信息。无需对目标设备与外部系统间传输的网络流量包进行解析，从目标设备内核模块监听到的网络连接事件中能够直接获取到网络连接信息，方便简单，能够提高网络连接信息的获取效率。

技术研发人员：刘浩,蒋凯,冯顾
受保护的技术使用者：奇安信科技集团股份有限公司
技术研发日：
技术公布日：2024/1/14