[发明专利]一种网络监控方法和装置

说明书

本公开实施例提供了一种网络监控方法和装置，该方法包括：在需监控的终端上设置监控软件Agent；通过所述Agent监控所述终端上的文件读写操作过程中网络会话流量大小以及网络会话的加密情况；根据所述网络会话流量大小和所述网络会话的加密情况识别出可疑的文件读写操作。通过该实施例方案，实现了在不需要获取应用服务器的私钥的情况下实现网络监控，并且拓展了应用范围。

技术领域

本文涉及网络监控技术，尤指一种网络监控方法和装置。

背景技术

目前，企业对员工进行网络监控的方法包括以下几种：

1、网络核心交换机镜像流量监控：通过对核心交换机镜像流量做协议还原，可以监控到非加密流量的文件传输内容。

2、使用私钥解密ssl(安全套接层)加密流量：针对应用比较广泛的加密通信协议：ssl协议，可以导入应用服务器私钥解密加密流量。

目前的技术主要包括以下缺点：

1、需要获取应用服务器的私钥，存在私钥泄漏的风险。

2、只能获取到企业内部应用服务器的私钥，绝大部分应用服务器的私钥无法导出，因此应用范围很小。

发明内容

本申请实施例提供了一种网络监控方法和装置，能够在不需要获取应用服务器的私钥的情况下实现网络监控，并且应用范围广。

本申请实施例提供了一种网络监控方法，所述方法可以包括：

在需监控的终端上设置监控软件Agent；

通过所述Agent监控所述终端上的文件读写操作过程中网络会话流量大小以及网络会话的加密情况；

根据所述网络会话流量大小和所述网络会话的加密情况识别出可疑的文件读写操作。

在本申请的示例性实施例中，所述通过所述Agent监控所述终端上的文件读写操作过程中网络会话流量大小以及网络会话的加密情况，可以包括：

在文件发送进程中根据预设的文件发送识别规则检测网络会话发送流量，并检测当前网络会话是否使用加密协议；

在文件下载进程中根据预设的文件下载识别规则检测网络会话接收流量，并检测当前网络会话是否使用加密协议。

在本申请的示例性实施例中，所述文件发送识别规则可以包括：文件发送进程顺序读取文件，检测在第一预设时长内同一文件发送进程单个网络会话发送的流量大小是否大于所读取文件的大小；

所述文件下载识别规则可以包括：文件下载进程新建文件夹并将下载文件写入所述新建文件夹，检测在第二预设时长内同一文件下载进程单个网络会话接收的流量大小是否大于所下载文件的大小。

在本申请的示例性实施例中，所述方法还可以包括：

当所述第一预设时长内同一文件发送进程单个网络会话发送的流量大小大于所读取文件大小的值达到第一流量阈值时，确定所述第一预设时长内同一文件发送进程单个网络会话发送的流量大小大于所读取文件的大小；和/或，

当所述第二预设时长内同一文件下载进程单个网络会话接收的流量大小大于所下载文件大小的值达到第二流量阈值时，确定所述第二预设时长内同一文件下载进程单个网络会话发送的流量大小大于所下载文件的大小。

在本申请的示例性实施例中，所述第一预设时长可以满足：1-2s；

所述第二预设时长可以满足：1-2s。

在本申请的示例性实施例中，所述第一流量阈值可以满足：1-2KB；

所述第二流量阈值可以满足：1-2KB。