一種WLAN集中審計方法和裝置與流程

文檔序號：11156581閱讀：1064來源：國知局

本發(fā)明涉及無線數據審計技術領域，尤其涉及一種WLAN集中審計方法和裝置。

背景技術：

由于前端無線訪問接入點(Access Point，AP)設備的硬件性能有限，很多公共場所的WLAN上網行為都沒有落實安全審計義務，造成很多場所審計的網絡安全監(jiān)管空白。目前，針對公共場所的安全審計方法主要有兩種：一種是通過帶安全審計功能的AP來實現；一種是利用旁路審計設備來實現。

專有的帶安全審計功能的AP設備是由國內的一些安全審計廠商定制開發(fā)的，其審計功能都是在單臺設備上完成的，在AP設備上進行數據流的還原解析和病毒規(guī)則匹配，因此審計能力受限于設備的計算能力和存儲能力，可靠性受限于設備的硬件質量，硬件成本高，很難大面積推廣；同時為了達到更高的審計效果，需要上報更多的原始數據到云審計平臺進一步處理，由于受帶寬的影響，上傳的數據越多，對用戶的上網體驗影響越大。

旁路審計設備是通過在交換機上配置端口鏡像，把場所的數據鏡像一份再送給另外的審計設備。此種方式存在兩個弊端：第一，小場所的交換機通常都不支持端口鏡像功能；第二，旁路設備直接插入交換機，以旁路偵聽的方式分析數據包，這種方式對上網行為的管理作用有限。

技術實現要素：

本發(fā)明的目的在于針對現有技術中AP設備中嵌入審計能力受限于設備的硬件配置，而造成導致審計能力差、難以維護的問題，提供一種WLAN集中審計方法和裝置以利用串接設備高性能CPU和大容量內存，在設備前端本地進行原始數據的解析，不再將原始數據上傳到云審計平臺來實現將大量的公共AP設備進行集中審計和管理。

一方面，本發(fā)明實施例提供一種WLAN集中審計方法，包括以下步驟：

采集原始數據包，對所述原始數據包進行識別處理，生成格式化日志；

將所述格式化日志存入所述存儲模塊；

將所述存儲模塊中存儲的所述格式化日志發(fā)送至云審計平臺；以及

向所述云審計平臺發(fā)送心跳信號，展示所述WLAN集中審計裝置的工作狀態(tài)。

優(yōu)選地，還包括：

向設備控制中心發(fā)送所述心跳信號，向所述設備控制中心展示所述WLAN集中審計裝置的工作狀態(tài)；以及

接收來自所述設備控制中心的控制命令，根據所述控制命令執(zhí)行對應操作。

優(yōu)選地，所述控制命令包括開/關審計功能、連接所述云審計平臺、策略下發(fā)、審計版本升級/安裝、協(xié)議特征庫升級以及重啟設備命令。

優(yōu)選地，采集原始數據包，對所述原始數據包進行識別處理，生成格式化日志的所述步驟包括：

通過配置文件選擇不同的數據捕獲方式，運行不同的模式捕獲所述原始數據包；

對所述原始數據包的數據流進行識別，將對應的數據流標記為對應的協(xié)議類型；以及

將所述數據流的內容格式化為符合網監(jiān)要求的所述格式化日志，發(fā)送到所述存儲模塊。

相應地，本發(fā)明還提供一種WLAN集中審計裝置，包括審計模塊、存儲模塊以及第一通信模塊，所述存儲模塊連接于所述審計模塊和所述第一通信模塊，其中，

所述審計模塊用于采集原始數據包，對所述原始數據包進行識別處理，生成格式化日志，并將所述格式化日志存入所述存儲模塊；以及

所述第一通信模塊用于將所述存儲模塊中存儲的所述格式化日志發(fā)送至云審計平臺，同時向所述云審計平臺發(fā)送心跳信號，展示所述WLAN集中審計裝置的工作狀態(tài)。

優(yōu)選地，還包括：

第二通信模塊，用于向設備控制中心發(fā)送所述心跳信號，向所述設備控制中心展示所述WLAN集中審計裝置的工作狀態(tài)，同時接收來自所述設備控制中心的控制命令，根據所述控制命令執(zhí)行對應操作。

優(yōu)選地，所述控制命令包括開/關審計功能、連接所述云審計平臺、策略下發(fā)、審計版本升級/安裝、協(xié)議特征庫升級以及重啟設備命令。

優(yōu)選地，所述第二通信模塊還用于管理設備廠家信息和場所資料信息。

優(yōu)選地，所述審計模塊包括：

采集單元，用于通過配置文件選擇不同的數據捕獲方式，運行不同的模式捕獲所述原始數據包；

識別單元，用于對所述原始數據包的數據流進行識別，將對應的數據流標記為對應的協(xié)議類型；以及

格式化單元，用于將所述數據流的內容格式化為符合網監(jiān)要求的所述格式化日志，發(fā)送到所述存儲模塊。

優(yōu)選地，所述第一通信模塊還用于將用戶的上下線信息發(fā)送到所述云審計平臺，以展示用戶的上線或下線信息。

實施本發(fā)明實施例，具有如下有益效果：本發(fā)明提供的WLAN集中審計方法和裝置，針對公共場所多臺AP設備組成的無線局域網，對用戶上網行為進行全審計，并保持設備原有部署結構不發(fā)生任何變化情況下，在設備前端本地進行原始數據的解析，不再將原始數據上傳到云審計平臺，由此，大大降低審計數據消耗的網絡帶寬，改善了用戶的上網體驗，實現高審計效果；在前端設備上完成終端用戶上網行為的全審計，并將審計后的數據直接傳送給云審計平臺，再由云審計平臺傳輸給第三方管綜系統(tǒng)；利用設備控制中心對審計功能靈活控制，包括審計版本升級/安裝、開/關審計功能、審計協(xié)議特征庫升級、審計策略下發(fā)、同步設備場所資料。

附圖說明

為了更清楚地說明本發(fā)明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1是本發(fā)明提供的WLAN集中審計裝置的應用場景示意圖；

圖2是本發(fā)明實施例一提供的WLAN集中審計裝置的原理圖；

圖3是圖2所示的WLAN集中審計裝置的審計模塊的原理圖；

圖4是本發(fā)明實施例二提供的WLAN集中審計裝置的原理圖；

圖5是本發(fā)明實施例三提供的WLAN集中審計方法的流程圖；

圖6是本發(fā)明實施例四提供的WLAN集中審計方法的流程圖；。

具體實施方式

下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

圖1是本發(fā)明提供的WLAN集中審計裝置的應用場景示意圖。如圖1所示，該站點使用多臺AP來實現WLAN覆蓋，利用二層或三層交換機做匯聚，使用防火墻設備作為出口網關進行互聯網接入。WLAN集中審計裝置嵌入在防火墻中，對用戶產生的上網行為進行審計，將原始數據進行本地解析，提取用戶的行為日志(包括網頁瀏覽和虛擬身份軌跡)并傳給云審計平臺，再由云審計平臺將數據傳到第三方管綜系統(tǒng)。此外，利用設備控制中心實現對審計功能的靈活控制。

實施例一

本發(fā)明實施例提供了一種WLAN集中審計裝置。參見圖2，該WLAN集中審計裝置包括審計模塊210、存儲模塊220以及第一通信模塊230，所述存儲模塊220連接于所述審計模塊210和所述第一通信模塊230。

在本實施例中，所述審計模塊210用于采集原始數據包，對所述原始數據包進行識別處理，生成格式化日志，并將所述格式化日志存入所述存儲模塊220。具體地，如圖3所示，審計模塊210包括：

采集單元212，用于通過配置文件選擇不同的數據捕獲方式，運行不同的模式捕獲所述原始數據包；

識別單元214，用于對所述原始數據包的數據流進行識別，將對應的數據流標記為對應的協(xié)議類型；以及

格式化單元216，用于將所述數據流的內容格式化為符合網監(jiān)要求的所述格式化日志，發(fā)送到所述存儲模塊220。

審計模塊210通過采集單元212來根據配置文件選擇不同的數據捕獲方式，有mmap、pcap、pfring、pag等，通過靈活的配置，運行不同的模式進行原始數據包捕獲；并采用協(xié)議識別引擎來實現對數據流的識別，識別后將對應的數據流標記為該協(xié)議類型并將審計到的內容格式化成網監(jiān)要求的格式，入到Redis隊列中。通過審計模塊210，在前端設備上完成終端用戶上網行為的全審計。在設備前端本地進行原始數據的解析，不再將原始數據上傳到云審計平臺，并按照中華人民共和國公安部82號令要求，形成主要的日志格式，進行審計數據上報，大大降低審計數據消耗的網絡帶寬，改善了用戶的上網體驗，實現了高審計的目的。

在本實施例中，所述存儲模塊220為Redis服務器。Redis是一個key-value存儲系統(tǒng)，它支持存儲的value類型相對更多，包括string(字符串)、list(鏈表)、set(集合)、zset(sorted set--有序集合)和hash(哈希類型)。

在本實施例中，所述第一通信模塊230用于將所述存儲模塊220中存儲的所述格式化日志發(fā)送至云審計平臺，同時向所述云審計平臺發(fā)送心跳信號，展示所述WLAN集中審計裝置的工作狀態(tài)。具體地，第一通信模塊將Redis服務器中的日志發(fā)送到云審計平臺，由云審計平臺將數據傳到第三方管綜系統(tǒng)；通過向云審計平臺發(fā)送的心跳，保持與云審計平臺之間的通信正常，用于展示該集中審計裝置的當前運行狀態(tài)。

優(yōu)選地，所述第一通信模塊230還用于將用戶的上下線信息發(fā)送到所述云審計平臺，以展示用戶的上線或下線信息。由此，云審計平臺還可以進一步掌握統(tǒng)計用戶的登錄情況，方便進行安全監(jiān)管。

本實施例提供的WLAN集中審計裝置，針對公共場所多臺AP設備組成的無線局域網，對用戶上網行為進行全審計，并保持設備原有部署結構不發(fā)生任何變化情況下，在前端設備上完成終端用戶上網行為的全審計，并將審計后的數據直接傳送給云審計平臺，再由云審計平臺傳輸給第三方管綜系統(tǒng)，減少審計數據消耗網絡帶寬，實現高審計效果。

實施例二

本發(fā)明實施例提供了一種WLAN集中審計裝置。參見圖4，與圖2所示的WLAN集中審計裝置的不同之處在于，該WLAN集中審計裝置還包括與設備控制中心通信的第二通信模塊240。

如圖4所示，該WLAN集中審計裝置：

審計模塊210，用于采集原始數據包，對所述原始數據包進行識別處理，生成格式化日志，并將所述格式化日志存入所述存儲模塊220；

存儲模塊220，用于存儲所示格式化日志；

第一通信模塊230，用于將所述存儲模塊220中存儲的所述格式化日志發(fā)送至云審計平臺，同時向所述云審計平臺發(fā)送心跳信號，展示所述WLAN集中審計裝置的工作狀態(tài)；以及

第二通信模塊240，用于向設備控制中心發(fā)送所述心跳信號，向所述設備控制中心展示所述WLAN集中審計裝置的工作狀態(tài)，同時接收來自所述設備控制中心的控制命令，根據所述控制命令執(zhí)行對應操作。

進一步地，所述控制命令包括開/關審計功能、連接所述云審計平臺、策略下發(fā)、審計版本升級/安裝、協(xié)議特征庫升級以及重啟設備命令。具體地，通過開/關審計功能控制命令，可以對該WLAN集中審計裝置的審計功能進行控制；通過連接所述云審計平臺控制命令，可以實現該WLAN集中審計裝置與云審計平臺之間的連接或斷開；通過策略下發(fā)控制命令，可以實現將設備控制中心的具體審計策略下發(fā)到該WLAN集中審計裝置；通過審計版本升級/安裝控制命令，可以實現對該WLAN集中審計裝置的更新；通過協(xié)議特征庫升級控制命令，可以將控制中心新增的需審計的協(xié)議增加到該WLAN集中審計裝置；通過重啟設備命令可以實現該WLAN集中審計裝置的重新啟動。

進一步地，第二通信模塊240還用于管理設備廠家信息和場所資料信息。

本實施例提供的WLAN集中審計裝置，通過第二通信模塊實現設備控制中心對審計功能的靈活控制。

實施例三

本發(fā)明實施例提供了一種WLAN集中審計方法。參見圖5，該WLAN集中審計方法包括以下步驟：

步驟S1：采集原始數據包，對所述原始數據包進行識別處理，生成格式化日志；

步驟S2：將所述格式化日志存入所述存儲模塊；

步驟S3：將所述存儲模塊中存儲的所述格式化日志發(fā)送至云審計平臺；以及

步驟S4：向所述云審計平臺發(fā)送心跳信號，展示所述WLAN集中審計裝置的工作狀態(tài)。

需要說明的是，上述步驟S3和步驟S4的順序僅為示例性說明，并不做具體限定。

進一步地，步驟S1包括：

通過配置文件選擇不同的數據捕獲方式，運行不同的模式捕獲所述原始數據包；

對所述原始數據包的數據流進行識別，將對應的數據流標記為對應的協(xié)議類型；以及

將所述數據流的內容格式化為符合網監(jiān)要求的所述格式化日志，發(fā)送到所述存儲模塊。

本實施例提供的WLAN集中審計方法，針對公共場所多臺AP設備組成的無線局域網，對用戶上網行為進行全審計，并保持設備原有部署結構不發(fā)生任何變化情況下，在前端設備上完成終端用戶上網行為的全審計，并將審計后的數據直接傳送給云審計平臺，再由云審計平臺傳輸給第三方管綜系統(tǒng)，減少審計數據消耗網絡帶寬，實現高審計效果。

實施例四

本發(fā)明實施例提供了一種WLAN集中審計方法。參見圖6，該WLAN集中審計方法包括以下步驟：

步驟S1：采集原始數據包，對所述原始數據包進行識別處理，生成格式化日志；

步驟S2：將所述格式化日志存入所述存儲模塊；

步驟S3：將所述存儲模塊中存儲的所述格式化日志發(fā)送至云審計平臺；

步驟S4：向所述云審計平臺發(fā)送心跳信號，展示所述WLAN集中審計裝置的工作狀態(tài)。

步驟S5：向設備控制中心發(fā)送所述心跳信號，向所述設備控制中心展示所述WLAN集中審計裝置的工作狀態(tài)；

步驟S6：接收來自所述設備控制中心的控制命令，根據所述控制命令執(zhí)行對應操作。

需要說明的是，上述步驟S3至步驟S6的順序僅為示例性說明，并不做具體限定。

優(yōu)選地，所述控制命令包括開/關審計功能、連接所述云審計平臺、策略下發(fā)、審計版本升級/安裝、協(xié)議特征庫升級以及重啟設備命令。

本實施例提供的WLAN集中審計方法，在對數據進行本地全審計的基礎上，，還可以實現設備控制中心對審計功能的靈活控制。

本領域普通技術人員可以理解實現上述實施例的全部或部分步驟可以通過硬件來完成，也可以通過程序來指令相關的硬件完成，所述的程序可以存儲于一種計算機可讀存儲介質中，上述提到的存儲介質可以是只讀存儲器，磁盤或光盤等。