本公開實施例提供了一種網絡監控方法和裝置，該方法包括：在需監控的終端上設置監控軟件Agent；通過所述Agent監控所述終端上的文件讀寫操作過程中網絡會話流量大小以及網絡會話的加密情況；根據所述網絡會話流量大小和所述網絡會話的加密情況識別出可疑的文件讀寫操作。通過該實施例方案，實現了在不需要獲取應用服務器的私鑰的情況下實現網絡監控，并且拓展了應用范圍。

技術領域

本文涉及網絡監控技術，尤指一種網絡監控方法和裝置。

背景技術

目前，企業對員工進行網絡監控的方法包括以下幾種：

1、網絡核心交換機鏡像流量監控：通過對核心交換機鏡像流量做協議還原，可以監控到非加密流量的文件傳輸內容。

2、使用私鑰解密ssl(安全套接層)加密流量：針對應用比較廣泛的加密通信協議：ssl協議，可以導入應用服務器私鑰解密加密流量。

目前的技術主要包括以下缺點：

1、需要獲取應用服務器的私鑰，存在私鑰泄漏的風險。

2、只能獲取到企業內部應用服務器的私鑰，絕大部分應用服務器的私鑰無法導出，因此應用范圍很小。

發明內容

本申請實施例提供了一種網絡監控方法和裝置，能夠在不需要獲取應用服務器的私鑰的情況下實現網絡監控，并且應用范圍廣。

本申請實施例提供了一種網絡監控方法，所述方法可以包括：

在需監控的終端上設置監控軟件Agent；

通過所述Agent監控所述終端上的文件讀寫操作過程中網絡會話流量大小以及網絡會話的加密情況；

根據所述網絡會話流量大小和所述網絡會話的加密情況識別出可疑的文件讀寫操作。

在本申請的示例性實施例中，所述通過所述Agent監控所述終端上的文件讀寫操作過程中網絡會話流量大小以及網絡會話的加密情況，可以包括：

在文件發送進程中根據預設的文件發送識別規則檢測網絡會話發送流量，并檢測當前網絡會話是否使用加密協議；

在文件下載進程中根據預設的文件下載識別規則檢測網絡會話接收流量，并檢測當前網絡會話是否使用加密協議。

在本申請的示例性實施例中，所述文件發送識別規則可以包括：文件發送進程順序讀取文件，檢測在第一預設時長內同一文件發送進程單個網絡會話發送的流量大小是否大于所讀取文件的大小；

所述文件下載識別規則可以包括：文件下載進程新建文件夾并將下載文件寫入所述新建文件夾，檢測在第二預設時長內同一文件下載進程單個網絡會話接收的流量大小是否大于所下載文件的大小。

在本申請的示例性實施例中，所述方法還可以包括：

當所述第一預設時長內同一文件發送進程單個網絡會話發送的流量大小大于所讀取文件大小的值達到第一流量閾值時，確定所述第一預設時長內同一文件發送進程單個網絡會話發送的流量大小大于所讀取文件的大小；和/或，

當所述第二預設時長內同一文件下載進程單個網絡會話接收的流量大小大于所下載文件大小的值達到第二流量閾值時，確定所述第二預設時長內同一文件下載進程單個網絡會話發送的流量大小大于所下載文件的大小。

在本申請的示例性實施例中，所述第一預設時長可以滿足：1-2s；

所述第二預設時長可以滿足：1-2s。

在本申請的示例性實施例中，所述第一流量閾值可以滿足：1-2KB；

所述第二流量閾值可以滿足：1-2KB。