一种用户网络行为分析方法及装置制造方法及图纸

技术编号:13603774 阅读:56 留言:0更新日期:2016-08-27 23:23
本发明专利技术公开了一种用户网络行为分析方法及装置,涉及软件开发技术领域,用于解决现有的网络安全审计和分析系统存在不能针对用户网络行为进行针对性统计的问题。该方法包括:通过探针服务器,获取通过交换机传输的网络数据包;通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法;通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。

【技术实现步骤摘要】

本专利技术涉及软件开发
,更具体的涉及一种用户网络行为分析方法及装置
技术介绍
计算机网络安全审计(Audit)是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。现有的网络安全审计和分析系统一般通过在交换机上抓包后分析数据包的方式,生成原始数据,这些原始数据包含MAC(Media Access Control,中文简称:媒体访问控制)地址、源IP(Internet Protocol,中文简称:网协)、源端口、目标IP、目标端口、访问的URL(Uniform Resource Locator,中文简称:统一资源定位符)、下载的文件等。针对这些原始数据,进一步处理可以判断用户访问网站、微博、论坛、收发邮件、传输文件、远程访问等网络行为。根据上述方法,可以将用户的网络行为记录在关系型的数据库中,进一步的通过设计的Web网页将记录在关系型数据库中的数据进行展示。但是上述方法,还存在以下问题:当数据量比较大时,获取用户的网络行为和在Web网页中显示记录在关系型数据库中的数据比较缓慢;基于时间、MAC地址或者IP地址方式记录用户的网络行为和在Web网页上显示记录在关系型数据库中的数据不够直观,不能很好的体现数据之间的联系和相关性;不能检索用户在各种网络行为中同时出现的关键词。综上所述,现有的网络安全审计和分析系统存在不能针对用户网络行为进行针对性统计的问题。
技术实现思路
本专利技术实施例提供一种用户网络行为分析方法及装置,用以解决现有的网络安全审计和分析系统存在不能针对用户网络行为进行针对性统计的问题。本专利技术实施例提供一种用户网络行为分析方法,包括:通过探针服务器,获取通过交换机传输的网络数据包;通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法;通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。优选地,所述网络数据包信息包括以下信息中的一种或多种组合:MAC地址,源IP地址,目标IP地址,源端口,目标端口,传输协议。优选地,所述将所述网络数据包信息保存至搜索引擎,包括:通过所述搜索引擎的应用程序编程接口,将所述网络数据包信息保存至所述搜索引擎。本专利技术实施例还提供一种用户网络行为分析装置,包括:第一获取单元,用于通过探针服务器,获取通过交换机传输的网络数据包;第二获取单元,用于通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;保存单元,用于将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法;第三获取单元,用于通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。优选地,所述网络数据包信息包括以下信息中的一种或多种组合:MAC地址,源IP地址,目标IP地址,源端口,目标端口,传输协议。优选地,所述保存单元具体用于:通过所述搜索引擎的应用程序编程接口,将所述网络数据包信息保存至所述搜索引擎。本专利技术实施例中,通过探针服务器,获取通过交换机传输的网络数据包;通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法;通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。上述方法中,将通过交换机传送的网络数据包进行分析,将分析后的所述网络数据包保存至搜索引擎中,可以通过符合搜索引擎所提供的搜索语法的搜索词对保存的网络数据包进行检索,获取与搜索词匹配的所述数据包信息,进一步地,还可以根据实际需要,在搜索引擎中输入个性化的并符合搜索语法的搜索词,获取用户感兴趣的数据以及根据所述感兴趣的数据得到的结论。从而可以解决现有的网络安全审计和分析系统存在不能针对用户网络行为进行针对性统计的问题。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种用户网络行为分析方法流程示意图;图2为本专利技术实施例提供的一种用户网络行为分析装置结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1示例性的示出了本专利技术实施例提供的一种用户网络行为分析方法流程示意图,该方法至少可以应用于网络数据统计中。如图1所示,本专利技术实施例提供的一种用户网络行为分析方法,包括以下步骤:步骤101,通过探针服务器,获取通过交换机传输的网络数据包;步骤102,通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;步骤103,将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法;步骤104,通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。在步骤101中,由于交换机的镜像网口通过网线与网络中部署的服务器连接,即可以通过在交换机上连接安装网络数据包分析程序的探针服务器,获取通过交换机传输的网络数据包。在步骤102中,探针服务器中安装有网络数据包分析程序,该程序可以通过分析网络数据包,获取网络数据包信息。具体地,网络数据包信息包括以下一种信息或者多种信息的组合:MAC地址,源IP地址,目标IP地址,源端口,目标端口,传输协议。在本专利技术实施例中,对网络数据包信息具体包括的内容不做限定。在步骤103中,将获取到的网络数据包信息可以存储到搜索引擎中,具体地,网络数据包分析程序通过搜索引擎所提供的应用程序编程接口(英文为:
Application Programming Interface,英文简称API),将网络数据包信息保存至搜索引擎中。在本专利技术实施例中,为了能够迅速的完成针对用户、MAC地址或者IP地址的网络行为统计,并通过使用搜索引擎得到上述数据的检索结果,优选地,搜索引擎对保存的网络数据包按照信息类型进行分类,并且根据分类结果,设置与分类结果相对应的搜索语法。具体的,针对用户、MAC地址或者IP地址的网络行为统计可以包括下列多种方法:a:统计用户在各种网络行为中同时出现的关键词;b:统计用户在设定时间段内的相同的网络行为出现的次数;c:通过关联用户,MAC地址和/或IP地址,统计用户在设定的时间段内相同的网络行为出现的次数;d:通过关联设备名称,MAC地址和/或IP地址,统计设备在设定时间段内相同的网络行为出本文档来自技高网
...

【技术保护点】
一种用户网络行为分析方法,其特征在于,包括:通过探针服务器,获取通过交换机传输的网络数据包;通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法;通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。

【技术特征摘要】
1.一种用户网络行为分析方法,其特征在于,包括:通过探针服务器,获取通过交换机传输的网络数据包;通过网络数据包分析程序对所述网络数据包进行分析,获取所述网络数据包信息;将所述网络数据包信息保存至搜索引擎;其中,所述搜索引擎对所述网络数据包信息进行分类,并根据所述分类结果设置搜索语法;通过访问所述搜索引擎,获取与搜索词匹配的所述数据包信息,其中,所述搜索词符合所述搜索语法规定。2.如权利要求1所述的方法,其特征在于,所述网络数据包信息包括以下信息中的一种或多种组合:MAC地址,源IP地址,目标IP地址,源端口,目标端口,传输协议。3.如权利要求1所述的方法,其特征在于,所述将所述网络数据包信息保存至搜索引擎,包括:通过所述搜索引擎的应用程序编程接口,将所述网络数据包信息保存至所述搜索引擎。4.一种用户网络行为分...

【专利技术属性】
技术研发人员:柏昆朱震
申请(专利权)人:百势软件北京有限公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1