一種數據包監(jiān)測方法及裝置制造方法
【專利摘要】本申請公開了一種數據包監(jiān)測方法及裝置��,應用于網絡中間設備�,該方法通過獲取所述網絡中間設備接收到的數據包,并依據該數據包的類型���,在該數據包中確定預設監(jiān)測項目對應的字段�,進而對確定的字段的字段值進行記錄���,實現了對數據包的監(jiān)測�,由于所述網絡中間設備與多臺計算機設備相連���,該網絡中間設備接收到的數據包可以是與其相連的任意計算機設備發(fā)送或接收的數據包���,與現有技術中需要在每臺監(jiān)測的計算機設備上安裝監(jiān)控客戶端相比����,本申請實現了對多臺計算機設備的監(jiān)控�,應用性較高����。
【專利說明】一種數據包監(jiān)測方法及裝置
【技術領域】
[0001]本申請涉及網絡監(jiān)測【技術領域】,尤其是一種數據包監(jiān)測方法及裝置��。
【背景技術】
[0002]在當今數字時代����,互聯網已成為無可替代的信息交流方式?��;ヂ摼W的安全越來越引起人們的關注����,高關注度促使互聯網安全技術日新月異����。但互聯網攻擊技術也在不斷出現新的攻擊手段,其中之一就是攻擊設備在數據包中封裝入攻擊數據,并將所述數據包發(fā)送到作為攻擊對象的計算機設備��。因此����,為了提高計算機設備在應用互聯網過程中的安全性,需要對設備接收或發(fā)送的數據包進行監(jiān)測�����。
[0003]目前��,實現所述監(jiān)測的方式主要是在各個計算機設備上分別獨立安裝監(jiān)控客戶端��,對所述各個設備進行獨立的監(jiān)控��,應用性較低�。
【發(fā)明內容】
[0004]有鑒于此,本申請?zhí)峁┝艘环N數據包監(jiān)測方法及裝置�,用以解決現有技術中的監(jiān)測方式需要在各個計算機設備上分別獨立安裝監(jiān)控客戶端,對所述各個設備進行獨立的監(jiān)控���,應用性較低的問題�����。本申請?zhí)峁┑募夹g方案如下:
[0005]一種數據包監(jiān)測方法�����,應用于網絡中間設備���,所述方法包括:
[0006]獲取所述網絡中間設備接收到的當前數據包��;
[0007]依據所述當前數據包的類型����,在所述當前數據包中確定與預設監(jiān)測項目對應的字段���;
[0008]記錄所述字段的字段值。
[0009]上述方法�,優(yōu)選的,所述當前數據包為當前請求數據包���;
[0010]其中�����,所述依據所述當前數據包的類型���,在所述當前數據包中確定與預設監(jiān)測項目對應的字段��,包括:
[0011]在所述當前請求數據包中�����,確定與所述監(jiān)測項目對應的第一用戶標識字段及訪問網頁標識字段����,所述第一用戶標識字段中包括第一用戶標識信息�����,所述訪問網頁標識字段中包括訪問網頁標識信息���;
[0012]其中�����,所述記錄所述字段的字段值���,包括:
[0013]獲取所述第一用戶標識信息、所述訪問網頁標識信息及所述第一用戶標識信息與所述訪問網頁標識信息的對應關系�;
[0014]保存所述第一用戶標識信息�、所述訪問網頁標識信息及所述第一用戶標識信息與所述訪問網頁標識信息的對應關系�����。
[0015]上述方法�����,優(yōu)選的����,所述當前數據包為當前響應數據包�;
[0016]其中,所述依據所述當前數據包的類型��,在所述當前數據包中確定與預設監(jiān)測項目對應的字段���,包括:
[0017]在所述當前響應數據包中,確定與所述監(jiān)測項目對應的第二用戶標識字段����、IP數據包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息���,所述IP數據包總長度字段中包括IP數據包長度信息�����,所述IP首部長度字段中包括IP首部長度信息�;
[0018]其中,所述記錄所述字段的字段值���,包括:
[0019]依據獲取的所述IP數據包總長度信息及所述IP首部長度信息��,生成所述當前響應數據包的響應數據量��;
[0020]獲取所述第二用戶標識信息與所述響應數據量的對應關系�;
[0021]保存所述第二用戶標識信息�、所述響應數據量及所述第二用戶標識信息與所述響應數據量的對應關系。
[0022]上述方法��,優(yōu)選的���,在獲取所述網絡中間設備接收到的當前數據包之后�����,還包括:
[0023]判斷所述當前數據包是否符合預設報警規(guī)則�;
[0024]若是,生成報警信息���。
[0025]上述方法,優(yōu)選的�����,依據生成報警信息之后�����,還包括:
[0026]依據所述報警規(guī)則�,記錄所述當前數據包,并刪除所述當前數據包����。
[0027]本申請還提供了一種數據包監(jiān)測裝置,應用于網絡中間設備���,所述裝置包括:
[0028]數據包獲取單元,用于獲取所述網絡中間設備接收到的當前數據包��;
[0029]字段確定單元����,用于依據所述當前數據包的類型,在所述當前數據包中確定與預設監(jiān)測項目對應的字段����;
[0030]字段值記錄單元,用于記錄所述字段的字段值��。
[0031]上述裝置���,優(yōu)選的���,所述數據包獲取單元獲取到的當前數據包為當前請求數據包;
[0032]其中�,所述字段確定單元�,包括:
[0033]第一字段確定子單元,用于在所述當前請求數據包中����,確定與所述監(jiān)測項目對應的第一用戶標識字段及訪問網頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息�����,所述訪問網頁標識字段中包括訪問網頁標識信息�;
[0034]其中,所述字段值記錄單元�����,包括:
[0035]第一字段值獲取子單元��,用于獲取所述第一用戶標識信息���、所述訪問網頁標識信息及所述第一用戶標識信息與所述訪問網頁標識信息的對應關系��;
[0036]第一字段值保存子單元,用于保存所述第一用戶標識信息�、所述訪問網頁標識信息及所述第一用戶標識信息與所述訪問網頁標識信息的對應關系。
[0037]上述裝置���,優(yōu)選的,所述數據包獲取單元獲取到的當前數據包為當前響應數據包�;
[0038]其中,所述字段確定單元���,包括:
[0039]第二字段確定子單元���,用于在所述當前響應數據包中,確定與所述監(jiān)測項目對應的第二用戶標識字段��、IP數據包總長度字段及IP首部長度字段���,所述第二用戶標識字段中包括第二用戶標識信息�,所述IP數據包總長度字段中包括IP數據包長度信息����,所述IP首部長度字段中包括IP首部長度信息;
[0040]其中�,所述字段值記錄單元��,包括:
[0041]第二字段值獲取子單元�,用于依據獲取的所述IP數據包總長度信息及所述IP首部長度信息,生成所述當前響應數據包的響應數據量�����;
[0042]第三字段值獲取子單元����,用于獲取所述第二用戶標識信息與所述響應數據量的對應關系�;
[0043]第二字段值保存子單元���,用于保存所述第二用戶標識信息����、所述響應數據量及所述第二用戶標識信息與所述響應數據量的對應關系��。
[0044]上述裝置��,優(yōu)選的�,還包括:
[0045]判斷單元,用于判斷所述當前數據包是否符合預設報警規(guī)則���;若是�,觸發(fā)報警單元;
[0046]報警單元��,用于生成報警信息��。
[0047]上述裝置�,優(yōu)選的,還包括:
[0048]報警數據包處理單元�,用于依據所述報警規(guī)則�,記錄所述當前數據包��,并刪除所述當前數據包�。
[0049]由以上的技術方案可知����,本申請?zhí)峁┝艘环N數據包監(jiān)測方法及裝置,應用于網絡中間設備��,該方法通過獲取所述網絡中間設備接收到的數據包����,并依據該數據包的類型,在該數據包中確定預設監(jiān)測項目對應的字段����,進而對確定的字段的字段值進行記錄,實現了對數據包的監(jiān)測�,由于所述網絡中間設備與多臺計算機設備相連,該網絡中間設備接收到的數據包可以是與其相連的任意計算機設備發(fā)送或接收的數據包��,與現有技術中需要在每臺監(jiān)測的計算機設備上安裝監(jiān)控客戶端相比��,本申請實現了對多臺計算機設備的監(jiān)控�����,應用性較高。
【專利附圖】
【附圖說明】
[0050]為了更清楚地說明本申請實施例中的技術方案�����,下面將對實施例描述中所需要使用的附圖作簡單地介紹���,顯而易見地�,下面描述中的附圖僅僅是本申請的一些實施例����,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動性的前提下��,還可以根據這些附圖獲得其他的附圖����。
[0051]圖1為本申請?zhí)峁┑囊环N數據包監(jiān)測方法一個實施例的流程圖;
[0052]圖2為本申請?zhí)峁┑囊环N數據包監(jiān)測方法另一實施例的流程圖�����;
[0053]圖3為本申請?zhí)峁┑囊环N數據包監(jiān)測方法又一實施例的流程圖���;
[0054]圖4為本申請?zhí)峁┑囊环N數據包監(jiān)測方法又一實施例的流程圖��;
[0055]圖5為本申請?zhí)峁┑囊环N數據包監(jiān)測裝置一個實施例的結構示意圖��;
[0056]圖6為本申請?zhí)峁┑囊环N數據包監(jiān)測裝置另一實施例的結構示意圖���;
[0057]圖7為本申請?zhí)峁┑囊环N數據包監(jiān)測裝置又一實施例的結構示意圖;
[0058]圖8為本申請?zhí)峁┑囊环N數據包監(jiān)測裝置又一實施例的結構示意圖��;
[0059]圖9為本申請實施例的一種網絡拓撲結構圖�����;
[0060]圖10為本申請實施例的另一種網絡拓撲結構圖�。
【具體實施方式】
[0061]下面將結合本申請實施例中的附圖,對本申請實施例中的技術方案進行清楚�����、完整地描述���,顯然��,所描述的實施例僅僅是本申請一部分實施例�,而不是全部的實施例?�;诒旧暾堉械膶嵤├?��,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�����,都屬于本申請保護的范圍�。
[0062]請參閱圖1��,其示出了本申請?zhí)峁┑囊环N數據包監(jiān)測方法一個實施例的流程圖����,本實施例方法可以包括:
[0063]步驟101:獲取所述網絡中間設備接收到的當前數據包。
[0064]所述網絡中間設備與多臺計算機終端設備相連�,可接收與所述計算機終端設備發(fā)送的數據包,或將其他計算機設備發(fā)送的數據包向與所述網絡中間設備相連的計算機終端設備進行轉發(fā)�。當所述網絡中間設備接收到當前數據包時,獲取所述當前數據包���。其中�����,所述網絡中間設備具備數據包的接收與轉發(fā)功能��,例如交換機���、路由器�。
[0065]步驟102:依據所述當前數據包的類型�����,在所述當前數據包中確定與預設監(jiān)測項目對應的字段��。
[0066]所述網絡中間設備與多臺計算機終端設備相連�,形成內網��。所述當前數據包的類型是依據所述當前數據包與所述計算機終端設備的關系確定的���,即若所述當前數據包是所述計算機終端設備通過所述網絡中間設備向外網發(fā)送的��,則所述當前數據包為當前請求數據包����;若所述當前數據包是通過所述網絡中間設備向所述計算機終端設備發(fā)送的�����,則所述當前數據包為當前響應數據包。
[0067]需要說明的是���,數據包中某些特定字段包含的信息會表明用戶利用計算機終端設備的操作信息或對其他計算機設備對所述用戶的訪問或響應信息�����,其中����,所述其他計算機設備可以是計算機終端設備����,也可以是服務器。
[0068]因此����,可以預先設置監(jiān)測項目,用于在獲取到的所述當前數據包中查找與所述監(jiān)測項目對應的字段�����。例如,所述監(jiān)測項目包括用戶發(fā)送的請求數據包的數據量���、用戶接收到的請求數據包的數據量����、用戶發(fā)送的請求數據包使用的協議或用戶發(fā)送的請求數據包中包含的訪問網頁信息等�����。
[0069]具體地��,所述確定過程可以是解析所述當前數據包���,在所述當前數據包中查找與預設監(jiān)測項目對應的字段�。例如����,所述監(jiān)測項目為用戶發(fā)送的請求數據包中包含的訪問網頁信息����,則與所述監(jiān)測項目對應的字段為請求數據包中的用戶標識字段及訪問網頁標識字段;所述監(jiān)測項目為用戶發(fā)送的請求數據包使用的協議��,則與所述監(jiān)測項目對應的字段為請求數據包中用戶標識字段及協議字段。
[0070]步驟103:記錄所述字段的字段值���。
[0071]具體地�����,所述記錄的過程可以是�����,獲取步驟102確定的所述字段的字段值��,將所述字段值進行保存�。保存的形式可以是以結構體����,即建立包含所述字段值數據成員的結構體,將所述字段的字段值保存在所述結構體中���。當然�����,所述記錄的形式包含但不限定于上述形式����。
[0072]本實施例提供了一種數據包監(jiān)測方法,應用于網絡中間設備�����,該方法通過獲取所述網絡中間設備接收到的數據包��,并依據該數據包的類型��,在該數據包中確定預設監(jiān)測項目對應的字段����,進而對確定的字段的字段值進行記錄,實現了對數據包的監(jiān)測����,由于所述網絡中間設備與多臺計算機設備相連,該網絡中間設備接收到的數據包可以是與其相連的任意計算機設備發(fā)送或接收的數據包��,與現有技術中需要在每臺監(jiān)測的計算機設備上安裝監(jiān)控客戶端相比�,本申請實現了對多臺計算機設備的監(jiān)控����,應用性較高。[0073]所述網絡中間設備與多臺計算機終端設備相連,具備數據包接收與轉發(fā)功能�����。若上述實施例的步驟101中所述網絡中間設備接收到的是所述計算機終端設備向外網計算機設備發(fā)送的數據包����,其中,所述外網計算機設備可以是服務器��,則所述當前數據包為當前請求數據包�����。請參閱圖2���,其示出了本申請?zhí)峁┑囊环N數據包監(jiān)測方法另一實施例的流程圖�,本實施例可以包括:
[0074]步驟201:獲取所述網絡中間設備接收到的當前請求數據包�。
[0075]步驟202:在所述當前請求數據包中,確定與所述監(jiān)測項目對應的第一用戶標識字段及訪問網頁標識字段���,所述第一用戶標識字段中包括第一用戶標識信息�����,所述訪問網頁標識字段中包括訪問網頁標識信息��。
[0076]所述當前數據包的類型為當前請求數據包��,即所述當前請求數據包是與所述網絡中間設備相連的計算機終端設備向外網服務器發(fā)送的請求數據包���。所述監(jiān)測項目是監(jiān)測用戶訪問的網頁信息���。
[0077]其中,所述請求數據包中包含有計算機終端標識字段����。解析所述當前請求數據包,在所述當前請求數據包中查找所述計算機終端標識字段���,其中����,所述計算機終端標識字段可以是源IP地址字段��,將查找到的所述計算機終端標識字段確定為所述第一用戶標識字段�。同時,在所述當前請求數據包中查找訪問網頁標識字段����,其中,所述訪問網頁標識字段可以是URL字段���。
[0078]步驟203:獲取所述第一用戶標識信息�����、所述訪問網頁標識信息及所述第一用戶標識信息與所述訪問網頁標識信息的對應關系�����。
[0079]所述獲取過程可以是��,提取所述步驟201中確定的所述第一用戶標識字段及訪問網頁標識字段的字段值�����。例如�,提取源IP地址字段的字段值����,提取URL字段的字段值。
[0080]其中�����,所述第一用戶標識信息可以表明所述當前請求數據包的來源,即所述當前請求數據包是與所述網絡中間設備相連的哪一臺計算機終端設備發(fā)送的���,例如�,獲取到的所述源IP地址字段的字段值為192.168.0.27�。所述訪問網頁標識信息可以表明所述當前請求數據包正在向外網請求何種信息資源,例如����,獲取到的所述訪問網頁標識字段的字段值為 http://sports, sina.com.cn/。
[0081]需要說明的是�����,獲取到的所述第一用戶標識信息與所述訪問網頁標識信息具有對應關系���。即所述第一用戶標識信息對應的用戶請求的是所述訪問網頁標識信息對應的網頁���。
[0082]步驟204:保存所述第一用戶標識信息、所述訪問網頁標識信息及所述第一用戶標識信息與所述訪問網頁標識信息的對應關系�����。
[0083]其中,所述保存的形式可以是結構體��,即在所述結構體中建立用戶標識及訪問網頁標識數據成員����,分別用以保存所述第一用戶標識信息及所述訪問網頁標識信息�。同時,所述第一用戶標識信息與所述訪問網頁標識信息保存在所述同一結構體中���,表明所述第一用戶標識信息與所述訪問網頁標識信息具有對應關系���。
[0084]需要說明的是,保存的所述內容��,即第一用戶標識信息�、訪問網頁標識信息及所述對應關系,可以作為分析用戶行為的依據�����。
[0085]所述網絡中間設備與多臺計算機終端設備相連��,具備數據包接收與轉發(fā)功能���。若上述實施例的步驟101中所述網絡中間設備接收到的是向所述計算機終端設備向外網計算機設備返回的數據包��,其中����,所述外網計算機設備可以是服務器。則所述當前數據包為當前響應數據包���。請參閱圖3���,其示出了本申請?zhí)峁┑囊环N數據包監(jiān)測方法又一實施例的流程圖,本實施例可以包括:
[0086]步驟301:獲取所述網絡中間設備接收到的當前響應數據包���。
[0087]步驟302:在所述當前響應數據包中�����,確定與所述監(jiān)測項目對應的第二用戶標識字段��、IP數據包總長度字段及IP首部長度字段�,所述第二用戶標識字段中包括第二用戶標識信息�,所述IP數據包總長度字段中包括IP數據包長度信息,所述IP首部長度字段中包括IP首部長度信息。
[0088]所述當前數據包的類型為當前響應數據包��,即所述當前請求數據包是外網計算機設備��,如服務器向所述網絡中間設備相連的計算機終端設備返回的響應數據包�����。所述監(jiān)測項目是外網計算機設備向用戶返回的數據包的數據量�����。
[0089]其中�,所述響應數據包中包含有計算機終端標識字段��。解析所述當前響應數據包�,在所述當前響應數據包中查找所述計算機終端標識字段,其中����,所述計算機終端標識字段可以是目的IP地址字段,將查找到的所述計算機終端標識字段確定為所述第二用戶標識字段�。所述第二用戶標識字段中包含有第二用戶標識信息。例如���,所述目的IP地址字段中包含的第二用戶標識信息為192.168.0.27����。
[0090]同時,在所述當前響應數據包中查找IP數據包總長度字段及IP首部長度字段�����,所述IP數據包總長度字段中包括IP數據包長度信息���,所述IP首部長度字段中包括IP首部長度信息��,用于確定所述當前響應數據包的響應數據量�����。
[0091]步驟303:依據獲取的所述IP數據包總長度信息及所述IP首部長度信息�,生成所述當前響應數據包的響應數據量����。
[0092]所述生成當前響應數據包的響應數據量的過程,可以是用所述IP數據包總長度減去所述IP首部長度�����。例如,所述IP數據包長度信息為10242byte�,所述IP首部長度信息為20byte,則所述響應數據量為10222byte�。
[0093]步驟304:獲取所述第二用戶標識信息與所述響應數據量的對應關系。
[0094]其中�����,所述第二用戶標識信息可以表明所述當前響應數據包的目的地址��,即所述當前響應數據包是向所述網絡中間設備相連的哪一臺計算機終端設備返回的響應數據包����。所述響應數據量可以表明所述當前響應數據包中包含的響應資源的數據量�����。所述第二用戶標識信息與所述響應數據量具有對應關系�。即向所述第二用戶標識信息對應的用戶返回的響應資源的數據量。
[0095]例如�����,所述IP地址字段的字段值為192.168.0.27����,所述響應數據量為10222byte�,即向地址信息為192.168.0.27的用戶返回10222byte的響應資源���。
[0096]步驟305:保存所述第二用戶標識信息���、所述響應數據量及所述第二用戶標識信息與所述響應數據量的對應關系。
[0097]當然����,保存所述第二用戶標識信息、所述響應數據量值之前包含獲取過程�����,其中�����,所述獲取過程可以是��,提取所述步驟302中確定的所述第二用戶標識字段的字段值如目的IP地址字段的字段值���,并獲取所述步驟303中生成的所述響應數據量���。
[0098]其中��,所述保存的形式可以是結構體�,即在所述結構體中建立用戶標識及響應數據量數據成員�����,分別用以保存所述第二用戶標識信息及所述響應數據量信息���。同時�����,所述第二用戶標識信息與所述響應數據量信息保存在所述同一結構體中�����,表明所述第二用戶標識與所述響應數據量具有對應關系。
[0099]需要說明的是�����,保存的所述內容����,即第二用戶標識信息��、響應數據量及所述對應關系��,可以作為分析網絡安全的依據��。
[0100]請參閱圖4����,其示出了本申請?zhí)峁┑囊环N數據包監(jiān)測方法又一實施例的流程圖�����,本實施可以包括:
[0101]步驟401至步驟403與上述實施例中的步驟101至步驟103相同,在此不做贅述���。
[0102]步驟404:判斷所述當前數據包是否符合預設報警規(guī)則�����;若是�����,觸發(fā)執(zhí)行步驟405��。
[0103]所述預設報警規(guī)則��,可以是協議類型�、數據量、源IP地址�、目的IP網段、目的端口號等一項或多項元素信息的組合�����。例如����,若向目的IP網段為202.12.1.0轉發(fā)的TCP協議數據包的響應數據量大于3000byte,則進行報警��。當然���,所述報警規(guī)則包括但不限定于上述幾種信息的組合����。
[0104]所述判斷過程����,可以是解析所述當前數據包,依據所述預設報警規(guī)則查找與所述報警規(guī)則對應的字段���,判斷所述查找到的字段的字段值是否符合所述預設報警規(guī)則�,若是�,觸發(fā)執(zhí)行步驟405。
[0105]步驟405:生成報警信息���,觸發(fā)執(zhí)行步驟406�。
[0106]生成的所述報警信息可以是�,聲音報警指令和/或報警文字。其中�,所述聲音報警指令,用于觸發(fā)對應的報警裝置進行報警����。所述報警文字,可以顯示在相應的顯示裝置上�����,以對監(jiān)測所述顯示裝置的人員進行提醒��。
[0107]其中,還可以對生成的報警信息進行保存�。
[0108]步驟406:依據所述報警規(guī)則,記錄所述當前數據包�����,并刪除所述當前數據包����。
[0109]若所述當前數據包符合預設報警規(guī)則,依據所述報警規(guī)則����,對所述當前數據包進行記錄。其中�����,所述記錄的形式可以是建立結構體���,所述結構體中包含有與所述預設報警規(guī)則中的元素信息對應的數據成員���,將所述當前數據包中與所述預設報警規(guī)則對應的字段的字段值分別保存于所述數據成員中。
[0110]刪除所述當前數據包�,以防止所述當前數據包被發(fā)送至目的IP地址,從而防止對所述目的IP地址表示的計算機終端設備造成攻擊。
[0111]請參閱圖5����,其示出了本申請?zhí)峁┑囊环N數據包監(jiān)測裝置一個實施例的結構示意圖�����,本實施例可以包括:數據包獲取單元501���、字段確定單元502及字段值記錄單元503����。其中:
[0112]所述數據包獲取單元501�����,用于獲取所述網絡中間設備接收到的當前數據包���。
[0113]所述網絡中間設備與多臺計算機終端設備相連��,可接收與所述計算機終端設備發(fā)送的數據包���,或將其他計算機設備發(fā)送的數據包向與所述網絡中間設備相連的計算機終端設備進行轉發(fā)。當所述網絡中間設備接收到當前數據包時,所述數據包獲取單元501獲取所述當前數據包��。其中�����,所述網絡中間設備具備數據包的接收與轉發(fā)功能�,例如交換機、路由器����。
[0114]所述字段確定單元502,用于依據所述當前數據包的類型�����,在所述當前數據包中確定與預設監(jiān)測項目對應的字段�����。
[0115]所述網絡中間設備與多臺計算機終端設備相連��,形成內網���。所述當前數據包的類型是依據所述當前數據包與所述計算機終端設備的關系確定的���,即若所述當前數據包是所述計算機終端設備通過所述網絡中間設備向外網發(fā)送的��,則所述當前數據包為當前請求數據包�;若所述當前數據包是通過所述網絡中間設備向所述計算機終端設備發(fā)送的���,則所述當前數據包為當前響應數據包。
[0116]需要說明的是�,數據包中某些特定字段包含的信息會表明用戶利用計算機終端設備的操作信息或對其他計算機設備對所述用戶的訪問或響應信息,其中�����,所述其他計算機設備可以是計算機終端設備��,也可以是服務器��。
[0117]因此�����,可以預先設置監(jiān)測項目�,用于在獲取到的所述當前數據包中查找與所述監(jiān)測項目對應的字段。例如����,所述監(jiān)測項目包括用戶發(fā)送的請求數據包的數據量����、用戶接收到的請求數據包的數據量��、用戶發(fā)送的請求數據包使用的協議或用戶發(fā)送的請求數據包中包含的訪問網頁信息等����。
[0118]具體地,所述字段確定單元502的確定過程可以是解析所述當前數據包���,在所述當前數據包中查找與預設監(jiān)測項目對應的字段�����。例如���,所述監(jiān)測項目為用戶發(fā)送的請求數據包中包含的訪問網頁信息,則與所述監(jiān)測項目對應的字段為請求數據包中的用戶標識字段及訪問網頁標識字段���;所述監(jiān)測項目為用戶發(fā)送的請求數據包使用的協議����,則與所述監(jiān)測項目對應的字段為請求數據包中用戶標識字段及協議字段。
[0119]所述字段值記錄單元503����,用于記錄所述字段的字段值。
[0120]具體地�����,所述字段值記錄單元503的記錄的過程可以是���,獲取步驟102確定的所述字段的字段值,將所述字段值進行保存����。所述字段值記錄單元503保存的形式可以是以結構體,即建立包含所述字段值數據成員的結構體���,將所述字段的字段值保存在所述結構體中����。當然���,所述字段值記錄單元503記錄的形式包含但不限定于上述形式�。
[0121]本實施例提供了一種數據包監(jiān)測裝置,應用于網絡中間設備��,該裝置通過數據包獲取單元501獲取所述網絡中間設備接收到的數據包��,字段確定單元502依據該數據包的類型����,在該數據包中確定預設監(jiān)測項目對應的字段,進而字段值記錄單元503對確定的字段的字段值進行記錄����,實現了對數據包的監(jiān)測,由于所述網絡中間設備與多臺計算機設備相連���,該網絡中間設備接收到的數據包可以是與其相連的任意計算機設備發(fā)送或接收的數據包����,與現有技術中需要在每臺監(jiān)測的計算機設備上安裝監(jiān)控客戶端相比����,本申請實現了對多臺計算機設備的監(jiān)控,應用性較高�。
[0122]所述網絡中間設備與多臺計算機終端設備相連,具備數據包接收與轉發(fā)功能��。若上述裝置實施例應用的所述網絡中間設備接收到的是所述計算機終端設備向外網計算機設備發(fā)送的數據包,其中��,所述外網計算機設備可以是服務器�����,則所述當前數據包為當前請求數據包�。請參閱圖6,其示出了本申請?zhí)峁┑囊环N數據包監(jiān)測裝置另一實施例的結構示意圖��,本實施例可以包括:數據包獲取單元601�、第一字段確定子單元602、第一字段值獲取子單元603及第一字段值保存子單元604��。其中:
[0123]所述數據包獲取單元601���,用于獲取所述網絡中間設備接收到的當前請求數據包。
[0124]所述第一字段確定子單元602��,用于在所述當前請求數據包中�����,確定與所述監(jiān)測項目對應的第一用戶標識字段及訪問網頁標識字段�����,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網頁標識字段中包括訪問網頁標識信息�。
[0125]所述當前數據包的類型為當前請求數據包,即所述當前請求數據包是與所述網絡中間設備相連的計算機終端設備向外網服務器發(fā)送的請求數據包�����。所述監(jiān)測項目是監(jiān)測用戶訪問的網頁信息�����。
[0126]其中����,所述請求數據包中包含有計算機終端標識字段。所述第一字段確定子單元602解析所述當前請求數據包���,在所述當前請求數據包中查找所述計算機終端標識字段���,其中,所述計算機終端標識字段可以是源IP地址字段�����,所述第一字段確定子單元602將查找到的所述計算機終端標識字段確定為所述第一用戶標識字段。同時�,所述第一字段確定子單元602在所述當前請求數據包中查找訪問網頁標識字段,其中����,所述訪問網頁標識字段可以是URL字段。
[0127]所述第一字段值獲取子單元603�,用于獲取所述第一用戶標識信息、所述訪問網頁標識信息及所述第一用戶標識信息與所述訪問網頁標識信息的對應關系����。
[0128]所述第一字段值獲取子單元603的獲取過程可以是,提取所述第一字段確定子單元602確定的所述第一用戶標識字段及訪問網頁標識字段的字段值����。例如,所述第一字段值獲取子單元603提取源IP地址字段的字段值�,提取URL字段的字段值。
[0129]其中����,所述第一用戶標識信息可以表明所述當前請求數據包的來源�,即所述當前請求數據包是與所述網絡中間設備相連的哪一臺計算機終端設備發(fā)送的,例如,所述第一字段值獲取子單元603獲取到的所述源IP地址字段的字段值為192.168.0.27��。所述訪問網頁標識信息可以表明所述當前請求數據包正在向外網請求何種信息資源��,例如���,所述第一字段值獲取子單元603獲取到的所述訪問網頁標識字段的字段值為http://sports, sina.com.cn/��。
[0130]需要說明的是���,所述第一字段值獲取子單元603獲取到的所述第一用戶標識信息與所述訪問網頁標識信息具有對應關系。即所述第一用戶標識信息對應的用戶請求的是所述訪問網頁標識信息對應的網頁��。
[0131]所述第一字段值保存子單元604���,用于保存所述第一用戶標識信息���、所述訪問網頁標識信息及所述第一用戶標識信息與所述訪問網頁標識信息的對應關系。
[0132]其中�,所述第一字段值保存子單元604的保存的形式可以是結構體,即在所述結構體中建立用戶標識及訪問網頁標識數據成員���,分別用以保存所述第一用戶標識信息及所述訪問網頁標識信息����。同時,所述第一字段值保存子單元604將所述第一用戶標識信息與所述訪問網頁標識信息保存在所述同一結構體中����,表明所述第一用戶標識信息與所述訪問網頁標識信息具有對應關系。
[0133]需要說明的是�,所述第一字段值保存子單元604保存的所述內容,即第一用戶標識信息�����、訪問網頁標識信息及所述對應關系�,可以作為分析用戶行為的依據。
[0134]所述網絡中間設備與多臺計算機終端設備相連�����,具備數據包接收與轉發(fā)功能����。若上述裝置實施例應用的所述網絡中間設備接收到的是向所述計算機終端設備向外網計算機設備返回的數據包,其中�����,所述外網計算機設備可以是服務器���。則所述當前數據包為當前響應數據包����。請參閱圖7�����,其示出了本申請?zhí)峁┑囊环N數據包監(jiān)測裝置又一實施例的結構示意圖����,本實施例可以包括:數據包獲取單元701、第二字段確定子單元702���、第二字段值獲取子單元703�����、第三字段值獲取子單元704及第二字段值保存子單元705��。其中:
[0135]所述數據包獲取單元701���,用于獲取所述網絡中間設備接收到的當前響應數據包���。
[0136]所述第二字段確定子單元702,用于在所述當前響應數據包中����,確定與所述監(jiān)測項目對應的第二用戶標識字段、IP數據包總長度字段及IP首部長度字段��,所述第二用戶標識字段中包括第二用戶標識信息���,所述IP數據包總長度字段中包括IP數據包長度信息��,所述IP首部長度字段中包括IP首部長度信息�。
[0137]所述當前數據包的類型為當前響應數據包��,即所述當前請求數據包是外網計算機設備�����,如服務器向所述網絡中間設備相連的計算機終端設備返回的響應數據包����。所述監(jiān)測項目是外網計算機設備向用戶返回的數據包的數據量。
[0138]其中����,所述響應數據包中包含有計算機終端標識字段�����。所述第二字段確定子單元702解析所述當前響應數據包,在所述當前響應數據包中查找所述計算機終端標識字段��,其中����,所述計算機終端標識字段可以是目的IP地址字段,所述第二字段確定子單元702將查找到的所述計算機終端標識字段確定為所述第二用戶標識字段���。所述第二用戶標識字段中包含有第二用戶標識信息���。例如,所述目的IP地址字段中包含的第二用戶標識信息為192.168.0.27����。
[0139]同時,所述第二字段確定子單元702在所述當前響應數據包中查找IP數據包總長度字段及IP首部長度字段����,所述IP數據包總長度字段中包括IP數據包長度信息����,所述IP首部長度字段中包括IP首部長度信息�����,用于確定所述當前響應數據包的響應數據量�����。
[0140]所述第二字段值獲取子單元703����,用于依據獲取的所述IP數據包總長度信息及所述IP首部長度信息,生成所述當前響應數據包的響應數據量��。
[0141]所述第二字段值獲取子單元703生成當前響應數據包的響應數據量的過程��,可以是用所述IP數據包總長度減去所述IP首部長度����。例如,所述IP數據包長度信息為10242byte��,所述IP首部長度信息為20byte���,則所述響應數據量為10222byte�����。
[0142]所述第三字段值獲取子單元704���,用于獲取所述第二用戶標識信息與所述響應數據量的對應關系。
[0143]其中����,所述第二用戶標識信息可以表明所述當前響應數據包的目的地址,即所述當前響應數據包是向所述網絡中間設備相連的哪一臺計算機終端設備返回的響應數據包����。所述響應數據量可以表明所述當前響應數據包中包含的響應資源的數據量。所述第二用戶標識信息與所述響應數據量具有對應關系����。即向所述第二用戶標識信息對應的用戶返回的響應資源的數據量。
[0144]例如��,所述IP地址字段的字段值為192.168.0.27�����,所述響應數據量為10222byte���,即向地址信息為192.168.0.27的用戶返回10222byte的響應資源�����。
[0145]所述第二字段值保存子單元705,用于保存所述第二用戶標識信息���、所述響應數據量及所述第二用戶標識信息與所述響應數據量的對應關系���。
[0146]當然����,所述第二字段值保存子單元705保存所述第二用戶標識信息����、所述響應數據量值之前包含獲取過程���,其中,所述第二字段值保存子單元705獲取過程可以是�,提取所述步驟302中確定的所述第二用戶標識字段的字段值如目的IP地址字段的字段值,并獲取所述步驟303中生成的所述響應數據量。
[0147]其中,所述第二字段值保存子單元705保存的形式可以是結構體�����,即在所述結構體中建立用戶標識及響應數據量數據成員,分別用以保存所述第二用戶標識信息及所述響應數據量信息���。同時�����,所述第二字段值保存子單元705將所述第二用戶標識信息與所述響應數據量信息保存在所述同一結構體中���,表明所述第二用戶標識與所述響應數據量具有對應關系。
[0148]需要說明的是�,所述第二字段值保存子單元705保存的所述內容,即第二用戶標識信息����、響應數據量及所述對應關系�����,可以作為分析網絡安全的依據。
[0149]請參閱圖8����,其示出了本申請?zhí)峁┑囊环N數據包監(jiān)測裝置又一實施例的結構示意圖,本實施可以包括:數據包獲取單元801�����、字段確定單元802���、字段值記錄單元803��、判斷單元804��、報警單元805及報警數據包處理單元806���。其中:
[0150]所述單元801至單元803與上述裝置實施例中的單元501至單元503相同�,在此不做贅述����。
[0151]所述判斷單元804,用于判斷所述當前數據包是否符合預設報警規(guī)則��;若是��,觸發(fā)報警單元805�。
[0152]所述預設報警規(guī)則,可以是協議類型����、數據量、源IP地址����、目的IP網段����、目的端口號等一項或多項元素信息的組合��。例如��,若向目的IP網段為202.12.1.0轉發(fā)的TCP協議數據包的響應數據量大于3000byte���,則進行報警。當然�����,所述報警規(guī)則包括但不限定于上述幾種信息的組合�����。
[0153]所述判斷單元804的判斷過程��,可以是解析所述當前數據包����,依據所述預設報警規(guī)則查找與所述報警規(guī)則對應的字段,判斷所述查找到的字段的字段值是否符合所述預設報警規(guī)則���,若是�,觸發(fā)報警單元805�。
[0154]所述報警單元805����,用于生成報警信息���,觸發(fā)報警數據包處理單元806���。
[0155]所述報警單元805生成的所述報警信息可以是,聲音報警指令和/或報警文字�。其中,所述聲音報警指令����,用于觸發(fā)對應的報警裝置進行報警。所述報警文字��,可以顯示在相應的顯示裝置上���,以對監(jiān)測所述顯示裝置的人員進行提醒�����。
[0156]其中�,所述報警單元805還可以對生成的報警信息進行保存。
[0157]所述報警數據包處理單元806���,用于依據所述報警規(guī)則,記錄所述當前數據包����,并刪除所述當前數據包。
[0158]若所述當前數據包符合預設報警規(guī)則�����,所述報警數據包處理單元806依據所述報警規(guī)則�����,對所述當前數據包進行記錄��。其中����,所述報警數據包處理單元806記錄的形式可以是建立結構體,所述結構體中包含有與所述預設報警規(guī)則中的元素信息對應的數據成員�,所述報警數據包處理單元806將所述當前數據包中與所述預設報警規(guī)則對應的字段的字段值分別保存于所述數據成員中。
[0159]所述報警數據包處理單元806刪除所述當前數據包��,以防止所述當前數據包被發(fā)送至目的IP地址�����,從而防止對所述目的IP地址表示的計算機終端設備造成攻擊。
[0160]請參閱圖9�����,其示出了本申請實施例的一種網絡拓撲結構圖�。其中,所述計算機設備901�����、902及903是被監(jiān)測的計算機設備���,所述網絡中間設備904分別與所述901����、902及903相連��,所述顯示設備905與所述網絡中間設備904相連�����。其中,所述網絡中間設備904至少包含有上述裝置實施例中的數據包獲取單元�����、字段確定單元���、字段值記錄單元、判斷單元��,報警單元及報警數據包處理單元���,實現直接從所述網絡中間設備904中獲取該設備接收到的當前數據包并進行監(jiān)測�����。所述網絡中間設備可以是交換機��、路由器等�。
[0161]請參閱圖10�,其示出了本申請實施例的另一種網絡拓撲結構圖。其中�,在圖9的基礎上還可以包括監(jiān)測設備906,分別與所述網絡中間設備904及所述顯示設備905相連��。所述監(jiān)測設備906至少包含數據包獲取單元、字段確定單元����、字段值記錄單元、判斷單元����,報警單元及報警數據包處理單元。所述監(jiān)測設備906需要從所述網絡中間設備904處獲取該設備接收到的當前數據包并進行流量監(jiān)測�����。該種實現方式����,可以減輕所述網絡中間設備904的工作負擔,提高監(jiān)測效率��。
[0162]需要說明的是��,本說明書中的各個實施例均采用遞進的方式描述�����,每個實施例重點說明的都是與其他實施例的不同之處��,各個實施例之間相同相似的部分互相參見即可。
[0163]以上對本發(fā)明所提供的一種數據包監(jiān)測方法及裝置進行了詳細介紹��,對所公開的實施例的上述說明�����,使本領域專業(yè)技術人員能夠實現或使用本發(fā)明���。對這些實施例的多種修改對本領域的專業(yè)技術人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下�����,在其它實施例中實現����。因此,本發(fā)明將不會被限制于本文所示的這些實施例����,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。
【權利要求】
1.一種數據包監(jiān)測方法����,其特征在于�,應用于網絡中間設備����,所述方法包括: 獲取所述網絡中間設備接收到的當前數據包; 依據所述當前數據包的類型�����,在所述當前數據包中確定與預設監(jiān)測項目對應的字段���; 記錄所述字段的字段值��。
2.根據權利要求1所述的方法����,其特征在于����,所述當前數據包為當前請求數據包; 其中��,所述依據所述當前數據包的類型�����,在所述當前數據包中確定與預設監(jiān)測項目對應的字段,包括: 在所述當前請求數據包中��,確定與所述監(jiān)測項目對應的第一用戶標識字段及訪問網頁標識字段�,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網頁標識字段中包括訪問網頁標識信息����; 其中,所述記錄所述字段的字段值��,包括: 獲取所述第一用戶標識信息��、所述訪問網頁標識信息及所述第一用戶標識信息與所述訪問網頁標識信息的對應關系�����; 保存所述第一用戶標識信息����、所述訪問網頁標識信息及所述第一用戶標識信息與所述訪問網頁標識信息的對應關系�。
3.根據權利要求1所述的方法,其特征在于���,所述當前數據包為當前響應數據包�; 其中,所述依據所述當前數據包的類型���,在所述當前數據包中確定與預設監(jiān)測項目對`應的字段�����,包括: 在所述當前響應數據包中����,確定與所述監(jiān)測項目對應的第二用戶標識字段���、IP數據包總長度字段及IP首部長度字段���,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數據包總長度字段中包括IP數據包長度信息����,所述IP首部長度字段中包括IP首部長度信息; 其中�,所述記錄所述字段的字段值,包括: 依據獲取的所述IP數據包總長度信息及所述IP首部長度信息�,生成所述當前響應數據包的響應數據量; 獲取所述第二用戶標識信息與所述響應數據量的對應關系�; 保存所述第二用戶標識信息����、所述響應數據量及所述第二用戶標識信息與所述響應數據量的對應關系���。
4.根據權利要求1所述的方法���,其特征在于,在獲取所述網絡中間設備接收到的當前數據包之后�,還包括: 判斷所述當前數據包是否符合預設報警規(guī)則; 若是��,生成報警信息�����。
5.根據權利要求4所述的方法���,其特征在于,依據生成報警信息之后�,還包括: 依據所述報警規(guī)則,記錄所述當前數據包�,并刪除所述當前數據包。
6.一種數據包監(jiān)測裝置���,其特征在于���,應用于網絡中間設備����,所述裝置包括: 數據包獲取單元�����,用于獲取所述網絡中間設備接收到的當前數據包�����; 字段確定單元���,用于依據所述當前數據包的類型��,在所述當前數據包中確定與預設監(jiān)測項目對應的字段����; 字段值記錄單元��,用于記錄所述字段的字段值。
7.根據權利要求6所述的裝置�����,其特征在于�����,所述數據包獲取單元獲取到的當前數據包為當前請求數據包��; 其中�,所述字段確定單元,包括: 第一字段確定子單元����,用于在所述當前請求數據包中,確定與所述監(jiān)測項目對應的第一用戶標識字段及訪問網頁標識字段�����,所述第一用戶標識字段中包括第一用戶標識信息�,所述訪問網頁標識字段中包括訪問網頁標識信息; 其中�,所述字段值記錄單元���,包括: 第一字段值獲取子單元�,用于獲取所述第一用戶標識信息、所述訪問網頁標識信息及所述第一用戶標識信息與所述訪問網頁標識信息的對應關系��; 第一字段值保存子單元����,用于保存所述第一用戶標識信息、所述訪問網頁標識信息及所述第一用戶標識信息與所述訪問網頁標識信息的對應關系�。
8.根據權利要求6所述的裝置,其特征在于����,所述數據包獲取單元獲取到的當前數據包為當前響應數據包; 其中����,所述字段確定單元,包括: 第二字段確定子單元���,用于在所述當前響應數據包中���,確定與所述監(jiān)測項目對應的第二用戶標識字段、IP數據包總長度字段及IP首部長度字段����,所述第二用戶標識字段中包括第二用戶標識信息�,所述IP數據包總長度字段中包括IP數據包長度信息���,所述IP首部長度字段中包括IP首部長度信息���; 其中,所述字段值記錄單元����,包括: 第二字段值獲取子單元,用于依`據獲取的所述IP數據包總長度信息及所述IP首部長度信息�,生成所述當前響應數據包的響應數據量; 第三字段值獲取子單元����,用于獲取所述第二用戶標識信息與所述響應數據量的對應關系; 第二字段值保存子單元,用于保存所述第二用戶標識信息���、所述響應數據量及所述第二用戶標識信息與所述響應數據量的對應關系�����。
9.根據權利要求6所述的裝置���,其特征在于,還包括: 判斷單元�,用于判斷所述當前數據包是否符合預設報警規(guī)則;若是�,觸發(fā)報警單元; 報警單元�����,用于生成報警信息��。
10.根據權利要求9所述的裝置�����,其特征在于���,還包括: 報警數據包處理單元�����,用于依據所述報警規(guī)則�,記錄所述當前數據包�,并刪除所述當前數據包����。
【文檔編號】H04L12/26GK103684927SQ201310737892
【公開日】2014年3月26日 申請日期:2013年12月27日 優(yōu)先權日:2013年12月27日
【發(fā)明者】陳新, 董永勝, 季曉旭, 葉鑫, 王興 申請人:昆山中創(chuàng)軟件工程有限責任公司