(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111630381.8 (22)申请日 2021.12.28 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 胡运好　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/141(2022.01) H04L 69/16(2022.01) (54)发明名称 基于动态代理实现通信审计的方法及系统 (57)摘要 本发明提供的基于动态代理实现通信审计 的方法及系统， 通过网络驱动模块监视代理端设 备的出网的网络行为； 通过通道建立模块建立目 标服务器与代理端设备的第一加密转发通道； 通 过通道建立模块建立客户端设备与代理端设备 的第二加密转发通道； 通过代理对象解密客户端 设备的第一通信数据， 通过管控审计模块对解密 的第一通信数据进行第一审计， 将通过第一审计 的第一通信数据由第一加密转发通道发送至目 标服务器； 通过代理对象解密目标服务器返回的 第二通信数据， 通过管控审计模块对解密的第二 通信数据进行第二审计， 将通过第二审计的第二 通信数据由第二加密转发通道发送至客户端设 备。 该方法可以降低对通信审计的成本 。 权利要求书2页 说明书10页 附图5页 CN 114513326 A 2022.05.17 CN 114513326 A 1.一种基于动态 代理实现通信审计的方法， 应用于代理端设备， 其特 征在于， 包括： 通过网络驱动模块监视所述代理端设备的出网的网络行为， 获取所述出网的网络行为 指向的目标服 务器的IP和端口， 并发送到通道建立模块； 通过所述通道建立模块根据 所述目标服务器的IP和端口， 建立所述目标服务器与代 理 端设备的第一加密转发通道； 通过所述通道建立模块将所述代理端设备的第 一端口与客户端设备进行绑定， 在所述 第一端口上启动代理对象， 建立所述 客户端设备与所述代理端设备的第二加密转发通道； 通过所述代理对象解密所述客户端设备的第 一通信数据， 通过管控审计模块对解密的 第一通信数据进 行第一审 计， 将通过第一审 计的第一通信数据由第一加密转 发通道发送至 所述目标服 务器； 通过所述代理对象解密所述目标服务器返回的第 二通信数据， 通过所述管控审计模块 对解密的第二通信数据进 行第二审计， 将通过第二审 计的第二通信数据由第二加密转发通 道发送至所述 客户端设备。 2.根据权利要求1所述的基于动态 代理实现通信审计的方法， 其特 征在于， 还 包括： 若所述解密的第 一通信数据没有通过所述管控审计模块的第 一审计， 或所述解密的第 二通信数据没有通过所述管控审 计模块的第二审 计， 断开并销毁所述第一加密转 发通道和 所述第二加密转发通道， 记录审计事 件。 3.根据权利要求1所述的基于动态代 理实现通信审计的方法， 其特征在于， 所述将通过 第二审计的第二通信数据由第二加密转发通道发送至所述客户端设备之后， 还包括： 销毁 所述第一加密转发通道和所述第二加密转发通道。 4.根据权利要求1所述的基于动态代 理实现通信审计的方法， 其特征在于， 所述获取所 述出网的网络行为指向的目标服 务器的IP和端口， 包括： 若所述出网的网络行为是基于TCP协议连接服务器的初始化报文， 确定所述服务器为 目标服务器， 获取 所述目标服 务器的IP和端口。 5.根据权利要求1所述的基于动态代 理实现通信审计的方法， 其特征在于， 所述通过所 述通道建立模块根据所述目标服务器的IP和端口， 建立所述目标服务器与 代理端设备的第 一加密转发通道， 包括： 通过所述通道建立模块根据 所述目标服务器的IP和端口探测所述目标服务器， 若基于 对所述目标服务器的探测， 获取所述 目标服务器的证书信息， 将所述证书信息保存在证书 管理模块； 对所述客户端设备进行模拟； 基于所述证书信息建立所述代理端设备与所述目标服 务器的所述第一加密转发通道。 6.根据权利要求1所述的基于动态代 理实现通信审计的方法， 其特征在于， 所述通过所 述通道建立模块基于代理端设备的第一端口与客户端设备的绑定， 在所述第一端口上启动 代理对象， 建立所述 客户端设备与所述代理端设备的第二加密转发通道， 包括： 通过所述通道建立模块将所述代理端设备的第一端口与客户端设备的本地回环地址 进行绑定， 在所述第一端口上启动所述代理对象； 监听所述代理端设备与所述客户端设备的连接， 若所述代理端设备与 所述客户端设备 连接成功， 获取 所述代理端设备对所述 客户端设备进行代理的代理地址；权　利　要　求　书 1/2 页 2 CN 114513326 A 2基于所述代理地址建立所述第二加密转发通道。 7.根据权利要求6所述的基于动态代 理实现通信审计的方法， 其特征在于， 所述获取所 述代理端设备对所述 客户端设备进行代理的代理地址之后， 还 包括： 通过所述通道建立模块将所述代理地址发送到所述网络驱动模块； 通过所述网络驱动模块 根据所述代理地址 跳转到所述第一端口。 8.根据权利要求1所述的基于动态代 理实现通信审计的方法， 其特征在于， 通过所述管 控审计模块对解密的第二 通信数据进行第二审计， 包括： 通过所述管控审计模块判断所述 解密的第二 通信数据是否 完整； 若所述解密的第二 通信数据完整， 对所述 解密的第二 通信数据进行第二审计。 9.根据权利要求1 ‑8任一项所述的基于动态代 理实现通信审计的方法， 其特征在于， 所 述通过网络驱动模块监视所述代理端设备的出网的网络行为， 获取所述出网的网络行为指 向的目标服 务器的IP和端口之前， 还 包括： 确定是否通过 管控审计模块对所述目标服 务器进行审计； 若对所述目标服务器进行审计， 安装并加载所述网络驱动模块， 并向所述网络驱动模 块发送审计白名单； 所述获取 所述出网的网络行为指向的目标服 务器的IP和端口之后， 还 包括： 通过所述网络驱动模块基于所述审计白名单对所述目标服 务器进行审计。 10.一种基于动态代理实现通信审计的系统， 其特征在于， 包括： 代理端装置和管理端 装置。 其中， 所述代理端装置包括： 通道建立模块， 用于根据目标服务器的IP和端口， 建立目标服务器与代理端设备的第 一加密转发通道； 将代理端设备 的第一端口绑定到客户端设备上， 在所述第一端口上启动 代理对象， 建立 客户端设备与代理端设备的第二加密转发通道； 管控审计模块， 用于对第一通信数据进行第一审计， 将通过第一审计的第一通信数据 由第一加密转发通道发送至所述目标服务器； 通过所述管控审计模块对第二通信数据进 行 第二审计， 将通过第二审计的第二 通信数据由第二加密转发通道发送至所述 客户端设备； 证书管理模块， 用于存 储证书信息； 驱动通信模块， 用于检查驱动是否正常， 注 册驱动事 件回调； 网络驱动模块， 用于监视所述代理端设备的出网的网络行为， 获取所述出网的网络行 为指向的目标服 务器的IP和端口； 基于根据所述回调指令， 跳转到所述第一端口。 所述管理端装置， 用于管理用户鉴权、 白名单、 客户端设备分组、 管控策略、 审计事件展 示和同步配置 。 11.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1～9任一项所 述的基于动态 代理实现通信审计的方法的步骤。 12.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算 机程序被处理器执行时实现如权利要求1～9任一项所述的基于动态代理实现通信审计的 方法的步骤。 13.一种计算机程序产品， 其上存储有可执行指令， 其特征在于， 该指令被处理器执行 时使处理器实现如权利要求1～ 9任一项所述的基于动态 代理实现通信审计的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114513326 A 3