(19)国家知识产权局
(12)发明 专利申请
(10)申请公布号
(43)申请公布日
(21)申请 号 202211108789.3
(22)申请日 2022.09.13
(71)申请人 应急管理部大 数据中心
地址 100011 北京市东城区和平里九区甲4
号
(72)发明人 宋宇宸 张海山
(74)专利代理 机构 北京兴智翔达知识产权代理
有限公司 1 1768
专利代理师 李泽中
(51)Int.Cl.
H04L 9/40(2022.01)
H04L 69/22(2022.01)
(54)发明名称
一种协议重编辑的网络流量审计装置及方
法
(57)摘要
本发明公开了一种协议重编辑的网络流量
审计装置及方法, 属于流量审计的技术领域, 该
装置包括统一管理模块、 系统API重定向模块、 流
量性质判定模块、 入站流量复制打印模块和出站
流量编辑重写模块; 由统一管 理模块对其他模块
进行全生命周期的管理, 系统API重定向模块用
于进行操作系统内部的流量劫持, 流量判定模块
与入站流量复制打印模块和出站流量编辑重写
模块组成整个业务逻辑, 用来判定相关流量是否
符合标准, 从而进行后续业务执行工作。 本发明
能够解决现有的对流量进行审计时环境适应性
差、 承载性能低、 数据失真严重等问题。
权利要求书2页 说明书7页 附图2页
CN 115549980 A
2022.12.30
CN 115549980 A
1.一种协议重编辑的网络流量审计装置, 其特征在于, 包括统一管理模块、 系统API重
定向模块、 流 量性质判定模块、 入站流 量复制打印模块和出站流 量编辑重写模块;
所述统一管理模块对操作系统运行进程进行检查, 筛选出使用应用层私有协议的进程
后, 通过DLL注入方式, 将所述系统API重定向模块、 所述流量性质 判定模块、 所述入站流量
复制打印模块和所述出站流 量编辑重写模块注入到 筛选的进程中;
所述系统API重定向模块用于通过系统初始化对筛选的进程中的PLT表进行地址重写,
调用Socket库的读取和写入函数改为自定义编译的DL L库;
所述流量性质判定模块用于将流量数据引流到缓冲区中, 通过判断流量是出站流量还
是入站流量, 对流量进 行重定向, 将流量 发到所述入站流量复制打印模块、 所述出站流量编
辑重写模块或直接放行;
所述入站流量复制打印模块用于从缓冲区中获取入站流量, 通过内存拷贝的方式将入
站流量进行复制, 将入站流量数据转为流量日志, 以Syslog协议的形式外发至外部的日志
审计服务器进行审计;
所述出站流量编 辑重写模块用于从缓冲区中获取出站流量, 通过调取本地网卡和配置
文件信息后, 利用应用层协议的可扩展性, 在出站流量数据包头中写入进程信息、 IP信息、
端口信息以及会话 ID。
2.如权利要求1所述的协议重编 辑的网络流量审计装置, 其特征在于, 所述自定义编译
的DLL库为监控库, 筛选的进程经过所述自定义编译的DLL库的监控后转发到系统原有的
DLL库。
3.如权利要求1所述的协议重编 辑的网络流量审计装置, 其特征在于, 所述流量性质判
定模块用于对流量的协议进行解析, 判断流量的协议是否在适配范围内, 若协议在适配范
围内, 则转发至所述入站流量复制打印模块或所述出站流量编辑重写模块, 若协议不在适
配范围内则直接放行, 执行流量原本的业务函数; 其中, 所述适配范围指的自定义DLL库中
内置的流 量解析规则的范围。
4.如权利要求1所述的协议重编 辑的网络流量审计装置, 其特征在于, 所述入站流量复
制打印模块还用于将入站流 量的数据包重新写入至缓冲区中, 等待业 务应用读取使用。
5.如权利要求1所述的协议重编 辑的网络流量审计装置, 其特征在于, 所述出站流量编
辑重写模块还用于将出站 流量的数据包重新写入至缓冲区中, 由系统Socket发送至目的地
址。
6.一种协议重编辑的网络流 量审计方法, 其特 征在于, 包括以下步骤:
S1: 对操作系 统运行进程进行检查, 筛选出使用应用层私有协议的进程后, 通过DLL注
入方式在筛 选的进程中执 行步骤S2 ‑S5;
S2: 通过系统初始化对筛选的进程中的PLT表进行地址重写, 调用Socket库的读取和写
入函数改为自定义编译的DL L库;
S3: 将流量数据引流到缓冲区中, 通过判断流量是出站流量还是入站流量, 对流量进行
重定向, 进行步骤S4、 S5或直接放行;
S4: 从缓冲区中获取入站流量, 通过内存拷贝的方式将入站流量进行复制, 将入站流量
数据转为流量日志, 以Sysl og协议的形式外发至 外部的日志审计服 务器进行审计;
S5: 从缓冲区中获取出站流量, 通过调取本地网卡和配置文件信息后, 利用应用层协议权 利 要 求 书 1/2 页
2
CN 115549980 A
2的可扩展性, 在出站流 量数据包头中写入进程信息、 IP信息、 端口信息以及会话 ID。
7.如权利要求6所述的协议重编 辑的网络流量审计方法, 其特征在于, 所述自定义编译
的DLL库为监控库, 筛选的进程经过所述自定义编译的DLL库的监控后转发到系统原有的
DLL库。
8.如权利要求6所述的协议重编辑的网络流量审计方法, 其特征在于, 所述步骤S3 中还
包括: 对流量的协议进行解析, 判断流量的协议是否在适配范围内, 若协议在适配范围内,
则转发至所述入站 流量复制打印模块或所述出站 流量编辑重写模块, 若协 议不在适配范围
内则直接放行, 执行流量原本的业务函数; 其中, 所述适配范围指的自定义DLL库中内置的
流量解析规则的范围。
9.如权利要求6所述的协议重编辑的网络流量审计方法, 其特征在于, 所述步骤S4完成
后, 入站流 量的数据包重新写入至缓冲区中, 等待业 务应用读取使用。
10.如权利要求6所述的协议重编辑的网络流量审计方法, 其特征在于, 所述步骤S5完
成后, 出站流 量数据包重写 写入至缓冲区中, 由系统Socket发送至目的地址 。权 利 要 求 书 2/2 页
3
CN 115549980 A
3
专利 一种协议重编辑的网络流量审计装置及方法
安全报告 >
其他 >
文档预览
中文文档
12 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
温馨提示:本文档共12页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思考人生 于 2024-03-03 20:05:06上传分享