一种实时监视远程用户网络操作行为的方法.pdf

摘要
申请专利号：	CN200810055631.8	申请日：	2008.01.04
公开号：	CN101478406A	公开日：	2009.07.08
当前法律状态：	驳回	有效性：	无权
法律详情：	发明专利申请公布后的驳回IPC(主分类):H04L 9/36申请公布日:20090708\|\|\|实质审查的生效\|\|\|公开
IPC分类号：	H04L9/36; H04L12/26; G06F13/00	主分类号：	H04L9/36
申请人：	北京启明星辰信息技术股份有限公司
发明人：	洪东; 孙海波; 张辉; 赵振东; 李新鹏
地址：	100094北京市海淀区东北旺西路8号中关村软件园21号启明星辰大厦
优先权：
专利代理机构：	北京市商泰律师事务所	代理人：	毛燕生
PDF下载：	PDF下载

内容摘要

本发明公开了一种实时监视远程用户网络操作行为的方法，所述方法包括：设定远程用户ID，并根据ID对网络数据包进行分组的方式；根据不同应用层协议对已分组数据包进行解析，提取出其中的用户操作命令并显示在监视器中。利用本发明，可以对访问受监视网络的远程用户的操作行为进行实时监视，为网络管理者提供直观的分析依据。

权利要求书

1、  一种实时监视远程用户网络操作行为的方法，其特征在于当远程用户远程访问受监视的网络时，对于用户进行的一系列网络操作行为进行实时分析及还原，并根据还原结果进行显示。

2、  根据权利要求1所述的一种实时监视远程用户网络操作行为的方法，其特征在于，采用旁路监听模式对某一特定网络进行监视。

3、  根据权利要求1所述的一种实时监视远程用户网络操作行为的方法，其特征在于，对进入某一特定网络的数据包进行收集，并进行分组，其包含如下步骤：
A.根据源IP地址标识该数据包所属用户，形成用户ID；
B.在用户ID下，对数据包进行二次分组，使用“源IP+源Port+目的IP+目的Port”标识数据包所属会话。

4、  根据权利要求1所述的实时监视远程用户网络操作行为的方法，其特征在于，对每一个已分组数据包进行解析，从中提取出针对不同应用层协议的用户操作命令，并以html格式进行实时显示。

说明书

一种实时监视远程用户网络操作行为的方法
技术领域
本发明涉及网络通信技术领域，具体涉及一种实时监视远程用户网络操作行为的方法。
背景技术
目前，随着计算机网络技术的日益发展，网络应用已经普及到社会的各个角落，其重要性已经不言而喻。但是随着网络技术的大规模应用，使得某些安全问题也越来越严重，因此对于用户网络操作的监视也变得越来越迫切。经文献检索，发现国内申请：01139037.9，发明名称：远程用户操作过程记录和还原的方法，申请人：上海复旦光华信息科技股份有限公司，发明人：吴承荣，该发明描述了一种记录和还原远程用户操作过程的方法，可针对以Telnet、Ftp以及Http协议为基础进行远程登陆、文件传输以及网页浏览的三种远程用户网络操作进行记录和还原。但是还存在以下的缺陷：1、仅实现对三种协议操作的记录和还原；2、仅提供对已结束的一次会话进行还原，无法更加及时的对用户操作进行监视。总之，现有技术对于现实有效的远程用户网络操作的监视是比较缺乏的。
发明内容
本发明的目的是克服现有技术的上述缺点，提供了一种实时监视远程用户网络操作行为的方法。可以对某一用户所进行的所有网络操作进行实时监视，提高了网络安全性。
本发明的目的是通过以下技术方案实现的：
一种实时监视远程用户网络操作行为的方法，所述方法包括以下步骤；
为当远程用户远程访问受监视的网络时，对于用户进行的一系列网络操作行为进行实时分析及还原，并根据还原结果进行显示。
其中一系列网络操作行为包括：用户的登陆操作，查看操作，修改操作以及退出操作等。
实现本发明的技术方案是这样的，一种实时监视远程用户网络操作行为的方法，包括如下步骤：
(1)采用旁路监听模式对某一特定网络进行监视；
(2)对进入某一特定网络的数据包进行收集，并进行分组，其包含如下步骤：
A.根据源IP地址标识该数据包所属用户，形成用户ID；
B.在用户ID下，对数据包进行二次分组，使用“源IP+源Port+目的IP+目的Port”标识数据包所属会话；
(3)对每一个已分组数据包进行解析，从中提取出针对不同应用层协议的用户操作命令，并以html格式进行实时显示。
本发明与之前远程用户网络操作行为监视方法比较，具有显著进步，主要表现在：
(1)全面考虑网络行为的各种因素，实现对用户通过网络进行的各种操作的实时监视功能；
(2)在用户进行网络操作的同时，对其操作进行还原，提高了监视的实时性。
附图说明
图1是受监视网络组网示意图；
图2是本发明方法的工作流程图。
具体实施方式
如图1所示，以一个受监视的局域网环境为例，描述其实施方式：这个局域网由以太网技术构建，局域网内存在多台业务服务器，在这个局域网入口处有一台具有镜像功能的交换机，与之相连的是一台安装了采用本发明所述的远程用户网络操作实时监视系统软件的PC。局域网管理员可以通过使用该PC的管理界面，指定需要监视的用户，发送监视请求，来获得该用户的网络操作显示。
为了使本技术领域的人员更好地理解本发明，下面结合图2所示的流程图对本发明作进一步的详细说明。包括以下步骤：
步骤201：抓包，主要通过交换机镜像口收集进入该网络的原始数据包，包内承载有源IP、目的IP等信息；
步骤202：分组，本发明中采用二层分组的形式对原始数据包进行分组归类，首先根据源IP地址划分属于不同用户的数据包，再进一步通过源IP+源端口+目的IP+目的端口的方式指定属于某一用户的不同服务的数据包；
步骤203：解析，针对不同应用层协议对数据包进行解析，分析出其中用户所做的网络操作命令；
步骤204：显示，将步骤203解析出来的网络操作命令转化为纯文本的形式在管理界面进行输出。