[发明专利]流量数据包的审计装置、系统及方法

说明书

本申请提供一种流量数据包的审计装置，用于监控平台，装置包括：第一接收模块，接收流量数据包的特征信息；主机定位模块，根据地址信息确定流量数据包对应的主机；第一发送模块，发送第一指令至对应的主机，触发主机根据端口信息获取使用流量数据包的主机进程、可执行文件的相关信息，以及，动态链接库的相关信息；第二接收模块，接收主机发送的使用流量数据包的主机进程、可执行文件的相关信息，以及，动态链接库的相关信息；存储模块，利用流量数据包分别与主机进程、可执行文件以及动态链接库的对应关系构建流量数据包审计模型；审计模块，将新构建的流量数据包审计模型与存储模块中预存的流量数据包审计模型进行对比分析，并输出分析结果。

技术领域

本发明涉及计算机技术领域，特别涉及一种流量数据包的审计装置、系统及方法。

背景技术

在传统的流量分析领域，流量分析系统主要采取串接或旁路镜像的方式获取网络通讯数据包，然后对通讯数据包进行分析，完成数据包解析，通讯协议解析，通讯流重组，应用协议解析过程。根据通讯解析的结果，发现可能的异常通讯行为(例如：端口扫描)，根据应用层的通讯数据及攻击特征库，判断可能存在的应用层攻击行为。部分产品还会基于流量特征基线，对通讯行为进行进一步的判断。

但是，传统的网络流量分析方法，对通讯双方的分析粒度通常只到主机，无法分析到具体是哪个程序，该程序是否可能是非法程序，又是否在近期被更改。这导致了当发现异常情况时，无法判定通讯异常是否确实来自于该主机。当发现异常情况时，无法判定通讯具体是由哪个程序引起。且，现有技术的流量分析方法难以跟踪主机进程在进行版本升级后或其它更改后的通讯特征变化。

发明内容

针对以上缺陷，本发明提出了一种流量数据包的审计装置、系统及方法，用于解决现有技术的流量分析方法中存在的难以跟踪主机进程在进行版本升级后或其它更改后的通讯特征变化的问题。

本申请提供一种流量数据包的审计装置，用于监控平台，所述装置包括：

第一接收模块，用于接收网络侧节点发送的用以表征流量数据包的特征信息，所述特征信息包括地址信息、端口信息和数据包标识，所述地址信息包括源地址和/或目标地址，所述端口信息包括源端口号和/或目标端口号；

主机定位模块，用于根据所述地址信息确定所述流量数据包对应的主机；

第一发送模块，发送第一指令至所述主机，所述第一指令用于触发所述主机根据所述第一指令中的端口信息获取使用所述流量数据包的主机进程、所述主机进程所涉及的所有可执行文件的相关信息，以及，所述主机进程使用的动态链接库的相关信息，其中，所述主机进程为所述主机安装的代理程序根据所述端口信息确定，所述可执行文件的相关信息以及动态链接库的相关信息为所述代理程序根据所述主机进程确定；

第二接收模块，用于接收所述主机发送的使用所述流量数据包的主机进程、所述主机进程所涉及的所有可执行文件的相关信息，以及，所述主机进程使用的动态链接库的相关信息；

存储模块，用于将所述流量数据包的数据包标识分别与主机进程、可执行文件以及动态链接库的对应关系构建流量数据包审计模型。

进一步的，所述装置还包括：

流量匹配模块，用于根据所述地址信息，以及网络配置信息，判断所述流量数据包的源地址对应的源设备是否是NAT设备和/或判断所述流量数据包的目标地址对应的目标设备是否是NAT设备；

第二发送模块，用于当所述流量匹配模块判断所述流量数据包的源地址对应的源设备是NAT设备和/或判断所述流量数据包的目标地址对应的目标设备是NAT设备时，发送第二指令至NAT设备，所述第二指令用于触发所述NAT设备查询流量数据包翻译前后的地址信息对应关系；

第三接收模块，用于根据所接收的来自NAT设备的流量数据包翻译前后地址信息的对应关系，确定翻译前流量数据包的特征信息，并触发所述主机定位模块以确定所述流量数据包对应的主机。

进一步的，所述装置包括：