本公開涉及網(wǎng)絡(luò)監(jiān)控領(lǐng)域，尤其涉及對用戶網(wǎng)絡(luò)訪問進行審計的方法及裝置。

背景技術(shù)：

相關(guān)技術(shù)中，主要有以下兩種方式來實現(xiàn)對用戶網(wǎng)絡(luò)訪問的審計：

一種方式是以表格形式顯示審計結(jié)果。對用戶上網(wǎng)的ip(internetprotocol，網(wǎng)際協(xié)議)地址，url(uniformresourelocator，統(tǒng)一資源定位符)以及網(wǎng)站分類信息等進行記錄及顯示，并且可以通過對配置審計條件來對滿足相應(yīng)條件的用戶網(wǎng)絡(luò)訪問進行審計。但是這一方式亦表格所顯示的數(shù)據(jù)量非常大，行為之間的關(guān)聯(lián)性很差，網(wǎng)絡(luò)管理員很難從中發(fā)現(xiàn)安全問題。

另一種方式是以時光軸形式顯示審計結(jié)果。這種方式雖然很好的解決了行為之間的關(guān)聯(lián)性的問題，但是，網(wǎng)絡(luò)管理員很難從所顯示的內(nèi)容中發(fā)現(xiàn)異常行為。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例的目的是提供一種對用戶網(wǎng)絡(luò)訪問進行審計的方法及裝置，用于解決或至少部分解決上述技術(shù)問題。

根據(jù)本公開實施例的第一方面，提供一種對用戶網(wǎng)絡(luò)訪問進行審計的方法，所述方法包括：獲取用戶網(wǎng)絡(luò)訪問的數(shù)據(jù)包；根據(jù)所述數(shù)據(jù)包解析用戶網(wǎng)絡(luò)訪問的傳輸協(xié)議；以及根據(jù)所述傳輸協(xié)議的內(nèi)容字段來確定所述用戶網(wǎng)絡(luò)訪問的具體內(nèi)容。

可選地，所述方法還包括：針對所述用戶顯示所述具體內(nèi)容。

可選地，所述方法還包括：將所述具體內(nèi)容與網(wǎng)絡(luò)漏洞庫中存儲的黑名單規(guī)則文件進行匹配；以及在所述具體內(nèi)容與所述網(wǎng)絡(luò)漏洞庫中存儲的黑名單規(guī)則文件匹配的情況下，生成黑名單告警事件，其中所述黑名單規(guī)則文件包括與網(wǎng)絡(luò)漏洞相對應(yīng)的字段。

可選地，所述方法還包括：針對所述用戶顯示所述具體內(nèi)容及所述黑名單告警事件。

可選地，所述方法還包括：對所述傳輸協(xié)議進行行為審計以確定所述用戶網(wǎng)絡(luò)訪問的類別。

可選地，所述方法還包括：針對所述用戶顯示所述具體內(nèi)容及所述用戶網(wǎng)絡(luò)訪問的類別。

可選地，所述對所述傳輸協(xié)議進行行為審計以確定所述用戶網(wǎng)絡(luò)訪問的類別包括：從所述傳輸協(xié)議中提取統(tǒng)一資源定位符字段；從所述統(tǒng)一資源定位符字段中提取所述用戶網(wǎng)絡(luò)訪問的域名；以及將所述域名與域名庫中存儲的域名進行匹配以確定所述用戶網(wǎng)絡(luò)訪問的類別，其中所述域名庫中存儲有多個域名及與該多個域名中的每一個域名相對應(yīng)的類別信息。

根據(jù)本公開實施例的第二方面，提供一種對用戶網(wǎng)絡(luò)訪問進行審計的裝置，所述裝置包括獲取模塊，用于獲取用戶網(wǎng)絡(luò)訪問的數(shù)據(jù)包；解析模塊，用于根據(jù)所述數(shù)據(jù)包解析用戶上網(wǎng)的傳輸協(xié)議；以及內(nèi)容確定模塊，用于根據(jù)所述傳輸協(xié)議的內(nèi)容字段來確定所述用戶網(wǎng)絡(luò)訪問的具體內(nèi)容。

可選地，所述裝置還包括：顯示模塊，用于針對所述用戶顯示所述具體內(nèi)容。

根據(jù)本發(fā)明實施例的第三方面，提供一種計算機可讀存儲介質(zhì)，該計算機可讀存儲介質(zhì)上存儲有計算機指令，該計算機指令用于使得所述計算機執(zhí)行上述的對用戶網(wǎng)絡(luò)訪問進行審計的方法。

本公開的實施例提供的技術(shù)方案可以包括以下有益效果：通過對用戶網(wǎng)絡(luò)訪問的具體內(nèi)容進行審計，可以實現(xiàn)對敏感性內(nèi)容或可能產(chǎn)生安全問題的內(nèi)容進行審計，從而使得網(wǎng)絡(luò)管理員能夠很容易地確定出用戶網(wǎng)絡(luò)訪問的安全問題或異常行為。

應(yīng)當理解的是，以上的一般描述和后文的細節(jié)描述僅是示例性和解釋性的，并不能限制本公開。

附圖說明

此處的附圖被并入說明書中并構(gòu)成本說明書的一部分，示出了符合本發(fā)明的實施例，并與說明書一起用于解釋本發(fā)明的原理。

圖1是根據(jù)一示例性實施例示出的一種對用戶網(wǎng)絡(luò)訪問進行審計的方法的流程圖；

圖2示出了對用戶網(wǎng)絡(luò)訪問進行審計的方法的網(wǎng)絡(luò)拓撲；

圖3示出根據(jù)又一示例性實施例示出的一種對用戶網(wǎng)絡(luò)訪問進行審計的方法的流程圖；

圖4示出用戶網(wǎng)絡(luò)訪問的示例性審計結(jié)果；以及

圖5是根據(jù)一示例性實施例示出的一種對用戶網(wǎng)絡(luò)訪問進行審計的裝置的結(jié)構(gòu)框圖。

具體實施方式

這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本發(fā)明相一致的所有實施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本發(fā)明的一些方面相一致的裝置和方法的例子。

圖1示出根據(jù)一示例性實施例示出的一種對用戶網(wǎng)絡(luò)訪問進行審計的方法的流程圖。如圖1所示，本發(fā)明實施例提供的對用戶網(wǎng)絡(luò)訪問進行審計方法可以包括以下步驟：

在步驟s11中，獲取用戶網(wǎng)絡(luò)訪問的數(shù)據(jù)包。

在本發(fā)明實施例中對用戶網(wǎng)絡(luò)訪問進行審計時，首先針對用戶獲取其網(wǎng)絡(luò)訪問的數(shù)據(jù)包，可選地，可以使用任意一種方式來獲取所述數(shù)據(jù)包，例如，可選地，可以利用網(wǎng)絡(luò)探針來獲取用戶網(wǎng)絡(luò)訪問的數(shù)據(jù)包。

在步驟s12中，根據(jù)所述數(shù)據(jù)包解析用戶網(wǎng)絡(luò)訪問的傳輸協(xié)議。

在獲得用戶網(wǎng)絡(luò)訪問的數(shù)據(jù)包之后，可以對數(shù)據(jù)包進行解析來獲取用戶進行網(wǎng)絡(luò)訪問的傳輸協(xié)議。

一般情況下，用戶進行網(wǎng)絡(luò)訪問的傳輸協(xié)議可以為http(hypertexttransferprotocol，超文本傳輸協(xié)議)協(xié)議、ftp(filetransferprotocol，文件傳輸協(xié)議)協(xié)議等。

在步驟s13中，根據(jù)所述傳輸協(xié)議的內(nèi)容字段來確定所述用戶網(wǎng)絡(luò)訪問的具體內(nèi)容。

以http協(xié)議為例，可以根據(jù)http協(xié)議應(yīng)用層的內(nèi)容字段來確定用戶進行網(wǎng)絡(luò)訪問的具體內(nèi)容。步驟s13用戶實現(xiàn)對內(nèi)容審計，可選地，可以使用正則匹配表達式來實現(xiàn)對用戶網(wǎng)絡(luò)訪問的具體內(nèi)容進行內(nèi)容審計。

確定出用戶進行網(wǎng)絡(luò)訪問的具體內(nèi)容后，可以針對該用戶顯示所確定的具體內(nèi)容。可選地，在對步驟s11獲取的數(shù)據(jù)包進行解析的過程中也可以獲取用戶的ip地址，然后可以根據(jù)其ip地址連續(xù)地獲取該用戶進行網(wǎng)絡(luò)訪問的數(shù)據(jù)包，然后對所獲取的數(shù)據(jù)包執(zhí)行步驟s11-s13，從而實現(xiàn)連續(xù)地對該用戶網(wǎng)絡(luò)訪問的審計。

本發(fā)明實施例通過對用戶網(wǎng)絡(luò)訪問的具體內(nèi)容進行審計，可以實現(xiàn)對敏感性內(nèi)容或可能產(chǎn)生安全問題的內(nèi)容進行審計，從而使得網(wǎng)絡(luò)管理員能夠很容易地確定出用戶網(wǎng)絡(luò)訪問的安全問題或異常行為。

基于上述實施例，本發(fā)明實施例提供的對用戶網(wǎng)絡(luò)訪問進行審計的方法還可以進一步包括針對所述用戶顯示所述具體內(nèi)容。所顯示的具體內(nèi)容例如可以是，用戶在貼吧發(fā)帖的具體內(nèi)容，或者用戶正在訪問的網(wǎng)頁的具體內(nèi)容。在上述步驟s13中獲取地具體內(nèi)容是以二進制形式表示的，將該二進行形式表示的具體內(nèi)容轉(zhuǎn)化為可視內(nèi)容以進行顯示，從而方便網(wǎng)絡(luò)管理員進行觀察分析。

圖2示出了對用戶網(wǎng)絡(luò)訪問進行審計的方法的網(wǎng)絡(luò)拓撲。如圖2所示，監(jiān)控服務(wù)器23連接交換機22的鏡像端口，其屬于旁路模式。用戶可以通過終端21訪問web(worldwideweb，全球廣域網(wǎng))服務(wù)器25的網(wǎng)頁，同時所述網(wǎng)頁的內(nèi)容也有可能對web服務(wù)器25或網(wǎng)絡(luò)設(shè)備24造成攻擊。

圖3示出根據(jù)又一示例性實施例示出的一種對用戶網(wǎng)絡(luò)訪問進行審計的方法的流程圖。如圖2所示，可選地，本發(fā)明實施例提供的對用戶網(wǎng)絡(luò)訪問進行審計的方法還可以進一步包括以下步驟：

步驟s14，將所述步驟s13中以二進制形式表示的具體內(nèi)容與網(wǎng)絡(luò)漏洞庫中存儲的黑名單規(guī)則文件進行匹配。

這里，網(wǎng)絡(luò)漏洞庫中存儲有多個黑名單規(guī)則文件及該多個黑名單規(guī)則文件中每一個黑名單規(guī)則文件所對應(yīng)的網(wǎng)絡(luò)漏洞，所述黑名單規(guī)則文件包括與網(wǎng)絡(luò)漏洞相對應(yīng)的字段。如果步驟s13中所確定的具體內(nèi)容中存在某些字段與黑名單規(guī)則文件中的字段相匹配，則說明用戶正在訪問的內(nèi)容可能會對網(wǎng)絡(luò)產(chǎn)生攻擊。如果步驟s13中所確定的具體內(nèi)容中存在某些字段與黑名單規(guī)則文件中的字段不匹配，則說明用戶正在訪問比較安全的內(nèi)容。

步驟s15，在確定出步驟s13中的具體內(nèi)容與網(wǎng)絡(luò)漏洞庫中存儲的黑名單規(guī)則文件均不匹配的情況下，可以針對所述用戶僅顯示步驟s13中所確定的具體內(nèi)容。

步驟s16，在確定出步驟s13中的具體內(nèi)容與網(wǎng)絡(luò)漏洞庫中存儲的黑名單規(guī)則文件匹配的情況下，生成黑名單告警事件。具體的，可以根據(jù)所匹配的黑名單規(guī)定文件所對應(yīng)的網(wǎng)絡(luò)漏洞來生成黑名單告警事件。例如，所生成的黑名單告警事件可以是http跨站腳本攻擊嘗試。

步驟s17，針對所述用戶顯示所述具體內(nèi)容及所述黑名單漏洞庫文件。

本發(fā)明實施例通過結(jié)合黑名單告警事件來顯示對用戶網(wǎng)絡(luò)訪問進行審計的審計結(jié)果，使得網(wǎng)絡(luò)管理員很容易發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且方便追蹤攻擊源，進而通過打補丁解決安全漏洞問題。

進一步地，本發(fā)明實施例提供的對用戶網(wǎng)絡(luò)訪問進行審計的方法還包括：對所述傳輸協(xié)議進行行為審計以確定所述用戶網(wǎng)絡(luò)訪問的類別。

具體地，可以從步驟s12所解析的傳輸協(xié)議的應(yīng)用層中提取url(uniformresourelocator，統(tǒng)一資源定位符)字段。然后從該url字段中提取用戶進行網(wǎng)絡(luò)訪問的域名，將所述域名與域名庫中存儲的域名進行匹配以確定所述用戶網(wǎng)絡(luò)訪問的類別，其中所述域名庫中存儲有多個域名及與該多個域名中的每一個域名相對應(yīng)的類別信息?？蛇x地，可以使用任意一種域名匹配算法來實現(xiàn)上述的匹配。

以所提取的域名是“http://sina.com”為例，所述域名庫中存儲有“sina”對應(yīng)于娛樂這一項，將所述域名與域名庫中存儲的域名進行匹配就可以確定出用戶網(wǎng)絡(luò)訪問的類別是娛樂。在用戶在論壇進行發(fā)帖的時候，可以根據(jù)上述方法確定出用戶網(wǎng)絡(luò)訪問的類別是論壇發(fā)帖。然后可以針對所述用戶顯示其進行網(wǎng)絡(luò)訪問的具體內(nèi)容、黑名單告警事件和/或所述用戶網(wǎng)絡(luò)訪問的類別。

可選地，所述方法還可以包括在接收到用戶選擇的對審計結(jié)果進行分類顯示的指示后，分類地顯示用戶網(wǎng)絡(luò)訪問的具體內(nèi)容。

通過使用豐富的域名庫積累和高效的域名匹配算法來對用戶網(wǎng)絡(luò)訪問進行分類統(tǒng)計及顯示，可以方便網(wǎng)絡(luò)管理員分類觀察審計結(jié)果。

可選地，在本發(fā)明實施例還可以包括以時光軸的形式顯示對用戶網(wǎng)絡(luò)訪問進行審計的審計結(jié)果，所述審計結(jié)果包括上述的用戶網(wǎng)絡(luò)訪問的具體內(nèi)容、黑名單告警事件和/或用戶網(wǎng)絡(luò)訪問的類別。

圖4示出用戶網(wǎng)絡(luò)訪問的示例性審計結(jié)果。如圖3所示，以時光軸的形式示出了對用一戶在2016年09月22日12:00至15:00這三個小時內(nèi)網(wǎng)絡(luò)訪問進行審計后所顯示的審計結(jié)果，具體顯示時是以時間作為縱軸。圖3中示出了黑名單告警事件“http跨站腳本攻擊嘗試”以及用戶網(wǎng)絡(luò)訪問的具體內(nèi)容，如所顯示的“百度貼吧-鄭州的記憶”等，此外，還顯示了用戶網(wǎng)絡(luò)訪問的類別，如“論壇發(fā)帖”。網(wǎng)絡(luò)管理員還可以通過圖3右下角所顯示的搜索框來對審計結(jié)果進行搜索。并且網(wǎng)絡(luò)管理員還可以通過圖3右上角的選項框來對所顯示的審計結(jié)果進行篩選，例如，可以選擇是否顯示告警事件、選擇顯示某一網(wǎng)絡(luò)訪問類別所對應(yīng)的網(wǎng)絡(luò)訪問的內(nèi)容，例如論壇發(fā)帖這一類別所對應(yīng)的網(wǎng)絡(luò)訪問的內(nèi)容、選擇是否顯示搜索引擎以及選擇是否顯示網(wǎng)頁瀏覽對應(yīng)的內(nèi)容。

以時光軸的方式對審計結(jié)果進行顯示可以較好地顯示出用戶網(wǎng)絡(luò)訪問的關(guān)聯(lián)性。本發(fā)明實施例并不限制于此，也可以表格的形式來顯示所述審計結(jié)果。

圖5是根據(jù)一示例性實施例示出的一種對用戶網(wǎng)絡(luò)訪問進行審計的裝置50的結(jié)構(gòu)框圖。參照圖5，該裝置50包括：獲取模塊51，用于獲取用戶網(wǎng)絡(luò)訪問的數(shù)據(jù)包；解析模塊52，用于根據(jù)所述數(shù)據(jù)包解析用戶上網(wǎng)的傳輸協(xié)議；內(nèi)容確定模塊53，用于根據(jù)所述傳輸協(xié)議的內(nèi)容字段來確定所述用戶網(wǎng)絡(luò)訪問的具體內(nèi)容。通過對用戶網(wǎng)絡(luò)訪問的具體內(nèi)容進行審計，可以實現(xiàn)對敏感性內(nèi)容或可能產(chǎn)生安全問題的內(nèi)容進行審計，從而使得網(wǎng)絡(luò)管理員能夠很容易地確定出用戶網(wǎng)絡(luò)訪問的安全問題或異常行為。

進一步地，所述裝置50還可以包括顯示模塊，該顯示模塊，例如可以是ui(userinterface，用戶界面)界面，用于針對所述用戶顯示所述具體內(nèi)容，進而方便網(wǎng)絡(luò)管理員查看用戶網(wǎng)絡(luò)訪問的具體內(nèi)容。

進一步地，所述裝置50還可以包括：匹配模塊，用于將所述具體內(nèi)容與網(wǎng)絡(luò)漏洞庫中存儲的黑名單規(guī)則文件進行匹配；以及黑名單告警事件生成模塊，用于在所述具體內(nèi)容與所述網(wǎng)絡(luò)漏洞庫中存儲的黑名單規(guī)則文件匹配的情況下，生成黑名單告警事件，其中所述黑名單規(guī)則文件包括與網(wǎng)絡(luò)漏洞相對應(yīng)的字段。進一步地，所述顯示模塊還可以在針對所述用戶顯示所述具體內(nèi)容的同時顯示所述黑名單告警事件。通過結(jié)合黑名單告警事件來顯示對用戶網(wǎng)絡(luò)訪問進行審計的審計結(jié)果，使得網(wǎng)絡(luò)管理員很容易發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且方便追蹤攻擊源，進而通過打補丁解決安全漏洞問題。

進一步地，所述裝置50還可以包括：類別確定模塊，用于對所述傳輸協(xié)議進行行為審計以確定所述用戶網(wǎng)絡(luò)訪問的類別。具體地，該類別確定模塊可以包括：第一提取單元，用于從所述傳輸協(xié)議中提取統(tǒng)一資源定位符字段；第二提取單元，用于從所述統(tǒng)一資源定位符字段中提取所述用戶網(wǎng)絡(luò)訪問的域名；以及匹配單元，用于將所述域名與域名庫中存儲的域名進行匹配以確定所述用戶網(wǎng)絡(luò)訪問的類別，其中所述域名庫中存儲有多個域名及與該多個域名中的每一個域名相對應(yīng)的類別信息。通過使用豐富的域名庫積累和高效的域名匹配算法來對用戶網(wǎng)絡(luò)訪問進行分類統(tǒng)計及顯示，可以方便網(wǎng)絡(luò)管理員分類觀察審計結(jié)果。

關(guān)于上述實施例中的裝置，其中各個模塊執(zhí)行操作的具體方式已經(jīng)在有關(guān)該方法的實施例中進行了詳細描述，此處將不做詳細闡述說明。

相應(yīng)地，本發(fā)明實施例還提供一種計算機可讀存儲介質(zhì)，該計算機可讀存儲介質(zhì)上存儲有計算機指令，該計算機指令用于使得所述計算機執(zhí)行上述的對用戶網(wǎng)絡(luò)訪問進行審計的方法。

本領(lǐng)域技術(shù)人員在考慮說明書及實踐這里公開的發(fā)明后，將容易想到本發(fā)明的其它實施方案。本申請旨在涵蓋本發(fā)明的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本發(fā)明的一般性原理并包括本公開未公開的本技術(shù)領(lǐng)域中的公知常識或慣用技術(shù)手段。說明書和實施例僅被視為示例性的，本發(fā)明的真正范圍和精神由下面的權(quán)利要求指出。

本領(lǐng)域技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成，該程序存儲在一個存儲介質(zhì)中，包括若干指令用以使得一個(可以是單片機，芯片等)或處理器(processor)執(zhí)行本申請各個實施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：u盤、移動硬盤、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

應(yīng)當理解的是，本發(fā)明并不局限于上面已經(jīng)描述并在附圖中示出的精確結(jié)構(gòu)，并且可以在不脫離其范圍進行各種修改和改變。本發(fā)明的范圍僅由所附的權(quán)利要求來限制。