[发明专利]网络行为审计方法、装置、设备及存储介质

说明书

本发明公开了一种网络行为审计方法、装置、设备及存储介质，属于数据处理技术领域，所述方法包括：获取网络行为数据；根据所述网络行为数据确定网络事件；将所述网络事件与系统进程行为进行关联；基于关联后的网络事件和系统进程行为进行网络行为审计，生成目标网络行为事件信息。从而可以根据网络行为数据确定网络事件后与系统进程行为进行关联，再根据关联后的数据进行网络行为审计，可以在网络行为审计中采集更具有深度的完整数据，达到更好的网络行为审计效果。

技术领域

本发明涉及数据处理技术领域，尤其涉及一种网络行为审计方法、装置、设备及存储介质。

背景技术

目前市面上主流的Linux服务器网络数据采集方案较多采用了pcap集成方案，在此基础上进行数据包的解析拆分处理，但是，主流的网络审计方案存在着数据采集不完整和没有深度挖掘分析的能力的问题。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提出一种网络行为审计方法、装置、设备及存储介质，旨在解决如何在网络行为审计中采集更具有深度的完整数据的技术问题。

为实现上述目的，本发明提供一种网络行为审计方法，所述网络行为审计方法包括：

获取网络行为数据；

根据所述网络行为数据确定网络事件；

将所述网络事件与系统进程行为进行关联；

基于关联后的网络事件和系统进程行为进行网络行为审计，生成目标网络行为事件信息。

可选地，所述获取网络行为数据，包括：

获取当前使用的操作系统对应的操作系统信息；

根据所述操作系统信息获取网络收发数据包；

对所述网络收发数据包进行解析，得到网络行为数据。

可选地，所述根据所述操作系统信息获取网络收发数据包，包括：

根据所述操作系统信息确定网络协议信息和网卡信息；

根据所述网络协议信息确定网络协议栈层，并根据所述网卡信息确定网卡接口；

越过所述网络协议栈层，从所述网卡接口处获取网络收发数据包。

可选地，所述对所述网络收发数据包进行解析，得到网络行为数据，包括：

将所述网络收发数据包进行多队列缓存，得到多个待解析数据；

通过多个队列对多个待解析数据进行解析，得到多个初始行为数据；

对多个初始行为数据进行组合，得到网络行为数据。

可选地，所述将所述网络事件与系统进程行为进行关联，包括：

获取所述网络事件对应的网络信息以及系统进程行为对应的进程信息；

根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关联。

可选地，所述根据所述网络信息和所述进程信息将所述网络事件与所述系统进程行为进行关联，包括：

根据所述进程信息确定各系统进程行为对应的进程路径和进程标识符；

将属于同一系统进程行为的进程路径和进程标识符进行关联，得到关联后的进程路径和进程标识符；

根据所述网络信息以及关联后的进程路径和进程标识符将所述网络事件与所述系统进程行为进行关联。

可选地，所述根据所述网络信息以及关联后的进程路径和进程标识符将所述网络事件与所述系统进程行为进行关联，包括：

根据所述网络信息生成第一标识，并根据关联后的进程路径和进程标识符生成第二标识；

将所述第一标识与所述第二标识进行匹配，使所述第一标识与所述第二标识一一对应；