[发明专利]网络行为信息的处理方法、日志的发送方法、装置及系统

说明书

本发明提供一种网络行为信息的处理方法、日志的发送方法、装置及系统，其中该处理方法包括：获取被监控主机设备的包含非加密协议数据包的操作日志；根据协议类别分别对所述操作日志进行预处理，提取与所述操作日志对应的操作指令；基于预设告警规则对所述操作指令进行过滤，确定符合所述预设告警规则的操作指令。该发送方法中，利用UNIX类主机自身带的指令，对预设端口进行专门的数据包采集，并自动保存为日志文件，再将该日志文件传送给Syslog进程，由Syslog以准实时方式将操作日志发送，同时该处理方法针对这些非加密协议日志进行处理，确定告警操作，解决了IDC内由于互联网上违法操作和“合法”违规操作而导致数据误删除、数据破坏、数据泄密等行为。

技术领域

本发明涉及通信安全技术领域，特别涉及一种网络行为信息的处理方法、日志的发送方法、装置及系统。

背景技术

互联网数据中心(Internet Data Center，简称IDC)是基于Internet网络，为集中式收集、存储、处理和发送数据的设备提供运行维护的设施基地并提供相关的服务。IDC提供的主要业务包括主机托管(机位、机架、机房出租)、资源出租(如虚拟主机业务、数据存储服务)、系统维护(系统配置、数据备份、故障排除服务)、管理服务(如带宽管理、流量分析、负载均衡)，以及其他支撑、运行服务等。同时由于国内IDC中客户安全意识的普遍提高，国内IDC运营方也开始提供基于防火墙、IDS、IPS、防DDoS等硬件安全设施的安全增值服务，这些安全增值服务主要以虚拟安全产品出租的形式提供给重要业务客户，来防范互联网上常规的安全风险。

在现实中，这些基础网络安全防护产品在实际运营中取得了一定效果，可以解决病毒、蠕虫、僵尸网络等常规安全问题，但是IDC内高端和重要业务客户更加关注的是IDC内自身Web业务应用的安全性，例如互联网上是否有恶意人员登录了IDC内的Web业务应用系统，如果登录了该Web业务应用系统，具体从事了那些非法Web操作；或者是否有互联网上恶意人员登录承载该Web业务应用系统的UNIX类主机，执行了哪些非法操作指令；或者互联网上恶意人员通过FTP方式上传了哪些恶意代码等这些直接影响客户业务应用的恶意操作；还有就是客户自身内部“合法”用户的各类违规操作。这类恶意和违规操作才是导致IDC承租企业利益受损的主要行为，而上述基于虚拟安全硬件设备的常规的网络安全产品对此却显得无能为力。

针对IDC内这种恶意操作和“合法”违规操作发生的情况，由于各类Web应用服务器(例如Tomcat)不记录各类用户的在具体Web开发实现后的具体应用操作；同时UNIX主机中自带的Syslog日志也不记录用户的Telnet/FTP操作指令日志。所以，目前在IDC内针对Web应用操作和Telnet/FTP操作一般会采用以下不同的方式来分别进行处理：

1、针对基于Web的业务应用操作审计：

第一种方式是Web业务应用系统在开发建设之初，该Web业务应用自身就建立了完整的日志记录模块，对所有用户的Web业务应用操作均完全日志记录，并将日志记录结果可以送至日志审计服务器，由日志审计服务器来进行严格审计；第二种方式是在通过HTTP协议代理的方式，即通过与IDC内的网络设备的访问控制配合，只允许通过该HTTP代理服务器来访问IDC内Web业务应用，这样用户在访问IDC内业务应用时需在浏览器中设置http代理，通过代理设备对用户所有Web操作行为进行全面记录；第三种方式是通过在IDC内出口或主要网络节点部署硬件探针或在交换机上进行端口镜像，来截取所有数据包，并通过深度包检测和协议分析，来记录和审计Web用户的业务应用操作。

2、针对Telnet/FTP等非加密协议操作审计：