[發明專利]一種網絡監控方法和裝置有效
| 申請號: | 202110360287.9 | 申請日: | 2021-04-02 |
| 公開(公告)號: | CN113098875B | 公開(公告)日: | 2023-01-10 |
| 發明(設計)人: | 蔣春華 | 申請(專利權)人: | 北京蘭云科技有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L43/08 |
| 代理公司: | 北京安信方達知識產權代理有限公司 11262 | 代理人: | 吳曉霞;解婷婷 |
| 地址: | 100085 北京市*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 網絡 監控 方法 裝置 | ||
1.一種網絡監控方法,其特征在于,所述方法包括:
在需監控的終端上設置監控軟件Agent;
通過所述Agent監控所述終端上的文件讀寫操作過程中網絡會話流量大小以及網絡會話的加密情況;
根據所述網絡會話流量大小和所述網絡會話的加密情況識別出可疑的文件讀寫操作;
其中,通過所述Agent監控所述終端上的文件讀寫操作過程中網絡會話流量大小以及網絡會話的加密情況,包括:
在文件發送進程中順序讀取文件,檢測在第一預設時長內同一文件發送進程單個網絡會話發送的流量大小是否大于所讀取文件的大小,并檢測當前網絡會話是否使用加密協議;
在文件下載進程新建文件夾并將下載文件寫入所述新建文件夾,檢測在第二預設時長內同一文件下載進程單個網絡會話接收的流量大小是否大于所下載文件的大小,并檢測當前網絡會話是否使用加密協議;
其中,根據所述網絡會話流量大小和所述網絡會話的加密情況識別出可疑的文件讀寫操作,包括:
當確定所述第一預設時長內同一文件發送進程單個網絡會話發送的流量大小大于所讀取文件的大小,并且當前網絡會話使用了加密協議時,判定當前的文件讀取操作為可疑操作;
當確定所述第二預設時長內同一文件下載進程單個網絡會話發送的流量大小大于所下載文件的大小,并且當前網絡會話使用了加密協議時,判定當前的文件寫入操作為可疑操作。
2.根據權利要求1所述的網絡監控方法,其特征在于,所述方法還包括:
當所述第一預設時長內同一文件發送進程單個網絡會話發送的流量大小大于所讀取文件大小的值達到第一流量閾值時,確定所述第一預設時長內同一文件發送進程單個網絡會話發送的流量大小大于所讀取文件的大小;和/或,
當所述第二預設時長內同一文件下載進程單個網絡會話接收的流量大小大于所下載文件大小的值達到第二流量閾值時,確定所述第二預設時長內同一文件下載進程單個網絡會話發送的流量大小大于所下載文件的大小。
3.根據權利要求2所述的網絡監控方法,其特征在于,
所述第一預設時長滿足:1-2s;
所述第二預設時長滿足:1-2s。
4.根據權利要求2所述的網絡監控方法,其特征在于,
所述第一流量閾值滿足:1-2KB;
所述第二流量閾值滿足:1-2KB。
5.根據權利要求1-4任意一項所述的網絡監控方法,其特征在于,在根據所述網絡會話流量大小和所述網絡會話的加密情況識別出可疑的文件讀寫操作之前,所述方法還包括:
通過文件類型識別和/或內容關鍵字匹配過濾掉非可疑的文件傳輸內容。
6.根據權利要求1-4任意一項所述的網絡監控方法,其特征在于,在根據所述網絡會話流量大小和所述網絡會話的加密情況識別出可疑的文件讀寫操作之后,所述方法還包括:對識別出的可疑的文件讀寫操作進行上報。
7.一種網絡監控裝置,包括處理器和計算機可讀存儲介質,所述計算機可讀存儲介質中存儲有指令,其特征在于,當所述指令被所述處理器執行時,實現如權利要求1-5任意一項所述的網絡監控方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京蘭云科技有限公司,未經北京蘭云科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110360287.9/1.html,轉載請聲明來源鉆瓜專利網。
