一種監視網絡用戶數據流的方法,其特征在于該方法包括以下步驟:a、在網絡設備中,將用于監視和分析網絡用戶數據流的信息作為日志記錄保存起來;b、檢索并分析步驟a所述的日志記錄,獲取所監視數據流的源信息與具體用戶的對應關系。(*該技術在2023年保護過期,可自由使用*)
【技術實現步驟摘要】
?一種監視網絡用戶數據流的方法
本專利技術涉及網絡監視
,特別是指一種監視網絡用戶數據流的方法。
技術介紹
通常情況下,用戶經過網絡接入設備才能與Internet網絡建立起連接,如果待接入用戶為內部網絡的主機之一,則需經過網絡地址轉換(NAT:Network?Address?Translation)設備,或NAT設備和網絡接入設備才能與Internet網絡建立起連接。網絡接入設備是指網絡接入服務器(NAS:Network?Access?Server)、寬帶接入服務器(BAS:Broadband?Access?Server)等設備,網絡接入技術的一個重要功能就是給接入用戶分配IP地址并進行管理。大多數情況,網絡提供服務商(ISP:Internet?Service?Provider)為每一個接入用戶每次接入時分配的IP地址是隨機的,且不是與接入用戶固定綁定的,即ISP是將地址池中有限的IP地址,在不同的時間內重復分配給大量的用戶。因此,接入用戶數據流中所包含的源IP地址信息與某一個接入用戶之間沒有固定的對應關系。網絡地址轉換(NAT:Network?Address?Translation)設備的機制,是指將內部網絡主機所發報文的源IP地址和源端口,轉換為外部網絡的源IP地址和源端口,并將轉換前的源IP地址、源端口與地址轉換后的源IP地址、源端口的對應關系保存在地址轉換哈希(HASH)表中;反之,對于外部網絡響應報文的目的IP地址和目的端口,通過查詢已建立的地址轉換HASH表,使之轉換回內部網絡主機的IP地址和端口。NAT技術使內部網絡實現-->了訪問外部網絡的功能。當訪問結束后,該地址轉換HASH表將被刪除。由于NAT技術本身具有“屏蔽”內部主機的作用,即對內部網絡的源IP地址和源端口進行了轉換,為內部主機提供了“隱私”保護。但與此同時,也為在外部網絡的信息安全相關部門監視內部網絡主機的數據流設置了障礙。在某些情況,為了公共的利益,需長期或實時監視并分析網絡用戶的數據流,并詳細了解數據流的源、目的、應用、時間、流量等信息。例如:安全部門希望追蹤某一時間段,哪個用戶對Internet上的某一網絡站點,進行了什么性質的訪問。現在一般采用以下兩種監視方案:1)在網絡終端服務器上,對訪問本服務器的數據流做日志和審計,從而達到監視用戶數據流的目的。應用上述方法不能對所有的服務器終端進行監視,同時,該方案也不能解決NAT和接入等技術帶來的數據流中的源信息與具體用戶不能一一對應的問題。2)利用Cisco公司提供的網絡數據流(NetFlow)技術,實現對流經路由設備的數據流的源和目的地址、應用協議、創建和持續時間等信息進行收集、過濾、輸出和存儲,并根據所收集的信息對網絡用戶的數據流進分析,從而達到監視用戶數據流的目的。應用上述方法,同樣不能解決NAT和接入等技術帶來的數據流中的源信息與具體接入用戶不能一一對應的問題。而且在NAT設備上采用NetFlow機制時,還需要獨立于NAT技術所維護HASH表,再創建一張數據流HASH表,并需單獨對該數據流HASH表進行維護、查詢等工作,這無疑增加了內存的消耗,降低了系統的性能;在NAT設備或接入設備上采用NetFlow機制監視用戶數據流時,只能在數據流結束時才進行記錄,因此對于在線網絡用戶的數據流無法進行實時監視。無論是服務器的日志技術,還是NetFlow技術,都無法解決NAT和接入等技術中數據流中的源信息與具體用戶一一對應的問題,即無法定位到具-->體的接入用戶。在目前NAT和接入等技術普遍應用的情況下,這個問題是不容忽略的。
技術實現思路
有鑒于此,本專利技術提供一種監視網絡用戶數據流的方法,使網絡用戶所在數據流的源信息與具體的接入用戶之間形成一一對應關系,同時,實現長期或實時對接入用戶數據流的監視以及分析。為達到上述目的本專利技術的技術方案是這樣實現的:一種監視網絡用戶數據流的方法,該方法包括以下步驟:a、在網絡設備中,將用于監視和分析網絡用戶數據流的信息作為日志記錄保存起來;b、檢索并分析步驟a所述的日志記錄,獲取所監視數據流的源信息與具體用戶的對應關系。較佳地,步驟a所述的網絡設備為網絡地址轉換設備和/或網絡接入設備。較佳地,對于網絡地址轉換設備,步驟a所述用于監視和分析網絡用戶數據流的信息至少包括:經網絡地址轉換設備轉換前的源IP地址和源端口、經網絡地址轉換設備轉換后的源IP地址和源端口、目的IP地址、數據流的創建時間以及數據流的結束時間;對于接入設備,步驟a所述用于監視和分析網絡用戶數據流的信息至少包括:源IP地址、目的IP地址、接入的用戶名、用戶被分配的IP地址、數據流的創建時間、數據流的結束時間、上線時間和下線時間。較佳地,對于網絡地址轉換設備,步驟b所述所監視數據流的源信息為經網絡地址轉換設備轉換后的源IP地址和源端口,所述具體用戶為經網絡地址轉換設備轉換前的源IP地址和源端口;對于接入設備,步驟b所述所監視數據流的源信息為源IP地址,所述具體用戶為接入的用戶名。較佳地,所述步驟b進一步包括:對于網絡地址轉換設備,根據日志記-->錄中的經網絡地址轉換設備轉換后的源IP地址和源端口、目的IP地址,以及該源IP地址和源端口所在數據流的創建時間和結束時間,獲取經網絡地址轉換設備轉換后的源IP地址和源端口與轉換前的源IP地址和源端口的對應關系;對于接入設備,根據日志記錄中的源IP地址所在數據流的創建時間和結束時間,再根據網絡用戶的上線時間、下線時間以及該用戶被分配到的IP地址,獲取接入的用戶名與所監視數據流的源IP地址對應關系。較佳地,創建所述用于監視和分析網絡用戶數據流的同時生成日志記錄并輸出。較佳地,該方法進一步包括,設置一定時器,使用于監視和分析網絡用戶數據流的日志記錄定時輸出。較佳地,該方法進一步包括,設置日志存儲設備,所述的日志記錄保存于日志產生設備中和/或保存于日志存儲設備中,并通過日志產生設備和/或日志存儲設備進行輸出。較佳地,該方法進一步包括,設置過濾條件,只對符合過濾條件的用戶數據流進行日志記錄。較佳地,對于網絡地址轉換設備,所述用于監視和分析網絡用戶數據流的信息還包括但不限于:目的端口、協議號、數據流的結束原因和流量中的一項或復數項;對于接入設備,所述用于監視和分析網絡用戶數據流的信息還包括但不限于:源端口、目的端口、協議號、數據流的結束原因、流量、接入的接口、永久虛擬電路和虛擬局域網標識中的一項或復數項。應用本專利技術,在用戶接入網絡所必經的網絡設備上,對接入用戶的數據流進行日志記錄,通過檢索、分析日志記錄,解決了數據流中源信息與具體用戶不對應的問題,使接入用戶的數據流迅速準確的被定位到具體的接入用戶。應用本專利技術,通過對網絡用戶數據流進行監視和分析,可追蹤網絡用戶中的不正當的非法活動,或對網絡數據的流量與分布進行分析,或對用戶進行計帳與收費,或指導網絡的規劃或者服務器的維護等等,該方法簡便易行,-->實用性強。附圖說明圖1為應用本專利技術的NAT設備對內部網絡用戶做地址轉換后的數據流進行日志記錄的示意圖;圖2為應用本專利技術的接入設備對接入用戶的數據流日志記錄及上下線日志記錄的示意圖;圖3為應用本專利技術的日志產生設備將所生成的日志報文傳輸到日志存儲設備本文檔來自技高網...
【技術保護點】
【技術特征摘要】
1、一種監視網絡用戶數據流的方法,其特征在于該方法包括以下步驟:a、在網絡設備中,將用于監視和分析網絡用戶數據流的信息作為日志記錄保存起來;b、檢索并分析步驟a所述的日志記錄,獲取所監視數據流的源信息與具體用戶的對應關系。2、根據權利要求1所述的方法,其特征在于,步驟a所述的網絡設備為網絡地址轉換設備和/或網絡接入設備。3、根據權利要求2所述的方法,其特征在于,對于網絡地址轉換設備,步驟a所述用于監視和分析網絡用戶數據流的信息至少包括:經網絡地址轉換設備轉換前的源IP地址和源端口、經網絡地址轉換設備轉換后的源IP地址和源端口、目的IP地址、數據流的創建時間以及數據流的結束時間;對于接入設備,步驟a所述用于監視和分析網絡用戶數據流的信息至少包括:源IP地址、目的IP地址、接入的用戶名、用戶被分配的IP地址、數據流的創建時間、數據流的結束時間、上線時間和下線時間。4、根據權利要求3所述的方法,其特征在于,對于網絡地址轉換設備,步驟b所述所監視數據流的源信息為經網絡地址轉換設備轉換后的源IP地址和源端口,所述具體用戶為經網絡地址轉換設備轉換前的源IP地址和源端口;對于接入設備,步驟b所述所監視數據流的源信息為源IP地址,所述具體用戶為接入的用戶名。5、根據權利要求4所述的方法,其特征在于,所述步驟b進一步包括:對于網絡地址轉換設備,根據日志記錄中的經網絡地址轉換設備轉換后的源IP地址和源端口、目的IP地址,以及該...
【專利技術屬性】
技術研發人員:閆長江,田力,
申請(專利權)人:華為技術有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。