国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種數(shù)據(jù)包監(jiān)測方法及裝置制造方法

      文檔序號:7782440閱讀:174來源:國知局
      一種數(shù)據(jù)包監(jiān)測方法及裝置制造方法
      【專利摘要】本申請公開了一種數(shù)據(jù)包監(jiān)測方法及裝置,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,該方法通過獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包,并依據(jù)該數(shù)據(jù)包的類型,在該數(shù)據(jù)包中確定預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,進而對確定的字段的字段值進行記錄,實現(xiàn)了對數(shù)據(jù)包的監(jiān)測,由于所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機設(shè)備相連,該網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包可以是與其相連的任意計算機設(shè)備發(fā)送或接收的數(shù)據(jù)包,與現(xiàn)有技術(shù)中需要在每臺監(jiān)測的計算機設(shè)備上安裝監(jiān)控客戶端相比,本申請實現(xiàn)了對多臺計算機設(shè)備的監(jiān)控,應(yīng)用性較高。
      【專利說明】一種數(shù)據(jù)包監(jiān)測方法及裝置
      【技術(shù)領(lǐng)域】
      [0001]本申請涉及網(wǎng)絡(luò)監(jiān)測【技術(shù)領(lǐng)域】,尤其是一種數(shù)據(jù)包監(jiān)測方法及裝置。
      【背景技術(shù)】
      [0002]在當今數(shù)字時代,互聯(lián)網(wǎng)已成為無可替代的信息交流方式?;ヂ?lián)網(wǎng)的安全越來越引起人們的關(guān)注,高關(guān)注度促使互聯(lián)網(wǎng)安全技術(shù)日新月異。但互聯(lián)網(wǎng)攻擊技術(shù)也在不斷出現(xiàn)新的攻擊手段,其中之一就是攻擊設(shè)備在數(shù)據(jù)包中封裝入攻擊數(shù)據(jù),并將所述數(shù)據(jù)包發(fā)送到作為攻擊對象的計算機設(shè)備。因此,為了提高計算機設(shè)備在應(yīng)用互聯(lián)網(wǎng)過程中的安全性,需要對設(shè)備接收或發(fā)送的數(shù)據(jù)包進行監(jiān)測。
      [0003]目前,實現(xiàn)所述監(jiān)測的方式主要是在各個計算機設(shè)備上分別獨立安裝監(jiān)控客戶端,對所述各個設(shè)備進行獨立的監(jiān)控,應(yīng)用性較低。

      【發(fā)明內(nèi)容】

      [0004]有鑒于此,本申請?zhí)峁┝艘环N數(shù)據(jù)包監(jiān)測方法及裝置,用以解決現(xiàn)有技術(shù)中的監(jiān)測方式需要在各個計算機設(shè)備上分別獨立安裝監(jiān)控客戶端,對所述各個設(shè)備進行獨立的監(jiān)控,應(yīng)用性較低的問題。本申請?zhí)峁┑募夹g(shù)方案如下:
      [0005]一種數(shù)據(jù)包監(jiān)測方法,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,所述方法包括:
      [0006]獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包;
      [0007]依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段;
      [0008]記錄所述字段的字段值。
      [0009]上述方法,優(yōu)選的,所述當前數(shù)據(jù)包為當前請求數(shù)據(jù)包;
      [0010]其中,所述依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,包括:
      [0011]在所述當前請求數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第一用戶標識字段及訪問網(wǎng)頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網(wǎng)頁標識字段中包括訪問網(wǎng)頁標識信息;
      [0012]其中,所述記錄所述字段的字段值,包括:
      [0013]獲取所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系;
      [0014]保存所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
      [0015]上述方法,優(yōu)選的,所述當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包;
      [0016]其中,所述依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,包括:
      [0017]在所述當前響應(yīng)數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第二用戶標識字段、IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息;
      [0018]其中,所述記錄所述字段的字段值,包括:
      [0019]依據(jù)獲取的所述IP數(shù)據(jù)包總長度信息及所述IP首部長度信息,生成所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量;
      [0020]獲取所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系;
      [0021]保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量及所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
      [0022]上述方法,優(yōu)選的,在獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包之后,還包括:
      [0023]判斷所述當前數(shù)據(jù)包是否符合預(yù)設(shè)報警規(guī)則;
      [0024]若是,生成報警信息。
      [0025]上述方法,優(yōu)選的,依據(jù)生成報警信息之后,還包括:
      [0026]依據(jù)所述報警規(guī)則,記錄所述當前數(shù)據(jù)包,并刪除所述當前數(shù)據(jù)包。
      [0027]本申請還提供了一種數(shù)據(jù)包監(jiān)測裝置,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,所述裝置包括:
      [0028]數(shù)據(jù)包獲取單元,用于獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包;
      [0029]字段確定單元,用于依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段;
      [0030]字段值記錄單元,用于記錄所述字段的字段值。
      [0031]上述裝置,優(yōu)選的,所述數(shù)據(jù)包獲取單元獲取到的當前數(shù)據(jù)包為當前請求數(shù)據(jù)包;
      [0032]其中,所述字段確定單元,包括:
      [0033]第一字段確定子單元,用于在所述當前請求數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第一用戶標識字段及訪問網(wǎng)頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網(wǎng)頁標識字段中包括訪問網(wǎng)頁標識信息;
      [0034]其中,所述字段值記錄單元,包括:
      [0035]第一字段值獲取子單元,用于獲取所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系;
      [0036]第一字段值保存子單元,用于保存所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
      [0037]上述裝置,優(yōu)選的,所述數(shù)據(jù)包獲取單元獲取到的當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包;
      [0038]其中,所述字段確定單元,包括:
      [0039]第二字段確定子單元,用于在所述當前響應(yīng)數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第二用戶標識字段、IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息;
      [0040]其中,所述字段值記錄單元,包括:
      [0041]第二字段值獲取子單元,用于依據(jù)獲取的所述IP數(shù)據(jù)包總長度信息及所述IP首部長度信息,生成所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量;
      [0042]第三字段值獲取子單元,用于獲取所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系;
      [0043]第二字段值保存子單元,用于保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量及所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
      [0044]上述裝置,優(yōu)選的,還包括:
      [0045]判斷單元,用于判斷所述當前數(shù)據(jù)包是否符合預(yù)設(shè)報警規(guī)則;若是,觸發(fā)報警單元;
      [0046]報警單元,用于生成報警信息。
      [0047]上述裝置,優(yōu)選的,還包括:
      [0048]報警數(shù)據(jù)包處理單元,用于依據(jù)所述報警規(guī)則,記錄所述當前數(shù)據(jù)包,并刪除所述當前數(shù)據(jù)包。
      [0049]由以上的技術(shù)方案可知,本申請?zhí)峁┝艘环N數(shù)據(jù)包監(jiān)測方法及裝置,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,該方法通過獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包,并依據(jù)該數(shù)據(jù)包的類型,在該數(shù)據(jù)包中確定預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,進而對確定的字段的字段值進行記錄,實現(xiàn)了對數(shù)據(jù)包的監(jiān)測,由于所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機設(shè)備相連,該網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包可以是與其相連的任意計算機設(shè)備發(fā)送或接收的數(shù)據(jù)包,與現(xiàn)有技術(shù)中需要在每臺監(jiān)測的計算機設(shè)備上安裝監(jiān)控客戶端相比,本申請實現(xiàn)了對多臺計算機設(shè)備的監(jiān)控,應(yīng)用性較高。
      【專利附圖】

      【附圖說明】
      [0050]為了更清楚地說明本申請實施例中的技術(shù)方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
      [0051]圖1為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法一個實施例的流程圖;
      [0052]圖2為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法另一實施例的流程圖;
      [0053]圖3為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法又一實施例的流程圖;
      [0054]圖4為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法又一實施例的流程圖;
      [0055]圖5為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置一個實施例的結(jié)構(gòu)示意圖;
      [0056]圖6為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置另一實施例的結(jié)構(gòu)示意圖;
      [0057]圖7為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置又一實施例的結(jié)構(gòu)示意圖;
      [0058]圖8為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置又一實施例的結(jié)構(gòu)示意圖;
      [0059]圖9為本申請實施例的一種網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖;
      [0060]圖10為本申請實施例的另一種網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。
      【具體實施方式】
      [0061]下面將結(jié)合本申請實施例中的附圖,對本申請實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本申請一部分實施例,而不是全部的實施例。基于本申請中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本申請保護的范圍。
      [0062]請參閱圖1,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法一個實施例的流程圖,本實施例方法可以包括:
      [0063]步驟101:獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包。
      [0064]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,可接收與所述計算機終端設(shè)備發(fā)送的數(shù)據(jù)包,或?qū)⑵渌嬎銠C設(shè)備發(fā)送的數(shù)據(jù)包向與所述網(wǎng)絡(luò)中間設(shè)備相連的計算機終端設(shè)備進行轉(zhuǎn)發(fā)。當所述網(wǎng)絡(luò)中間設(shè)備接收到當前數(shù)據(jù)包時,獲取所述當前數(shù)據(jù)包。其中,所述網(wǎng)絡(luò)中間設(shè)備具備數(shù)據(jù)包的接收與轉(zhuǎn)發(fā)功能,例如交換機、路由器。
      [0065]步驟102:依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段。
      [0066]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,形成內(nèi)網(wǎng)。所述當前數(shù)據(jù)包的類型是依據(jù)所述當前數(shù)據(jù)包與所述計算機終端設(shè)備的關(guān)系確定的,即若所述當前數(shù)據(jù)包是所述計算機終端設(shè)備通過所述網(wǎng)絡(luò)中間設(shè)備向外網(wǎng)發(fā)送的,則所述當前數(shù)據(jù)包為當前請求數(shù)據(jù)包;若所述當前數(shù)據(jù)包是通過所述網(wǎng)絡(luò)中間設(shè)備向所述計算機終端設(shè)備發(fā)送的,則所述當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包。
      [0067]需要說明的是,數(shù)據(jù)包中某些特定字段包含的信息會表明用戶利用計算機終端設(shè)備的操作信息或?qū)ζ渌嬎銠C設(shè)備對所述用戶的訪問或響應(yīng)信息,其中,所述其他計算機設(shè)備可以是計算機終端設(shè)備,也可以是服務(wù)器。
      [0068]因此,可以預(yù)先設(shè)置監(jiān)測項目,用于在獲取到的所述當前數(shù)據(jù)包中查找與所述監(jiān)測項目對應(yīng)的字段。例如,所述監(jiān)測項目包括用戶發(fā)送的請求數(shù)據(jù)包的數(shù)據(jù)量、用戶接收到的請求數(shù)據(jù)包的數(shù)據(jù)量、用戶發(fā)送的請求數(shù)據(jù)包使用的協(xié)議或用戶發(fā)送的請求數(shù)據(jù)包中包含的訪問網(wǎng)頁信息等。
      [0069]具體地,所述確定過程可以是解析所述當前數(shù)據(jù)包,在所述當前數(shù)據(jù)包中查找與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段。例如,所述監(jiān)測項目為用戶發(fā)送的請求數(shù)據(jù)包中包含的訪問網(wǎng)頁信息,則與所述監(jiān)測項目對應(yīng)的字段為請求數(shù)據(jù)包中的用戶標識字段及訪問網(wǎng)頁標識字段;所述監(jiān)測項目為用戶發(fā)送的請求數(shù)據(jù)包使用的協(xié)議,則與所述監(jiān)測項目對應(yīng)的字段為請求數(shù)據(jù)包中用戶標識字段及協(xié)議字段。
      [0070]步驟103:記錄所述字段的字段值。
      [0071]具體地,所述記錄的過程可以是,獲取步驟102確定的所述字段的字段值,將所述字段值進行保存。保存的形式可以是以結(jié)構(gòu)體,即建立包含所述字段值數(shù)據(jù)成員的結(jié)構(gòu)體,將所述字段的字段值保存在所述結(jié)構(gòu)體中。當然,所述記錄的形式包含但不限定于上述形式。
      [0072]本實施例提供了一種數(shù)據(jù)包監(jiān)測方法,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,該方法通過獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包,并依據(jù)該數(shù)據(jù)包的類型,在該數(shù)據(jù)包中確定預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,進而對確定的字段的字段值進行記錄,實現(xiàn)了對數(shù)據(jù)包的監(jiān)測,由于所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機設(shè)備相連,該網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包可以是與其相連的任意計算機設(shè)備發(fā)送或接收的數(shù)據(jù)包,與現(xiàn)有技術(shù)中需要在每臺監(jiān)測的計算機設(shè)備上安裝監(jiān)控客戶端相比,本申請實現(xiàn)了對多臺計算機設(shè)備的監(jiān)控,應(yīng)用性較高。[0073]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,具備數(shù)據(jù)包接收與轉(zhuǎn)發(fā)功能。若上述實施例的步驟101中所述網(wǎng)絡(luò)中間設(shè)備接收到的是所述計算機終端設(shè)備向外網(wǎng)計算機設(shè)備發(fā)送的數(shù)據(jù)包,其中,所述外網(wǎng)計算機設(shè)備可以是服務(wù)器,則所述當前數(shù)據(jù)包為當前請求數(shù)據(jù)包。請參閱圖2,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法另一實施例的流程圖,本實施例可以包括:
      [0074]步驟201:獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前請求數(shù)據(jù)包。
      [0075]步驟202:在所述當前請求數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第一用戶標識字段及訪問網(wǎng)頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網(wǎng)頁標識字段中包括訪問網(wǎng)頁標識信息。
      [0076]所述當前數(shù)據(jù)包的類型為當前請求數(shù)據(jù)包,即所述當前請求數(shù)據(jù)包是與所述網(wǎng)絡(luò)中間設(shè)備相連的計算機終端設(shè)備向外網(wǎng)服務(wù)器發(fā)送的請求數(shù)據(jù)包。所述監(jiān)測項目是監(jiān)測用戶訪問的網(wǎng)頁信息。
      [0077]其中,所述請求數(shù)據(jù)包中包含有計算機終端標識字段。解析所述當前請求數(shù)據(jù)包,在所述當前請求數(shù)據(jù)包中查找所述計算機終端標識字段,其中,所述計算機終端標識字段可以是源IP地址字段,將查找到的所述計算機終端標識字段確定為所述第一用戶標識字段。同時,在所述當前請求數(shù)據(jù)包中查找訪問網(wǎng)頁標識字段,其中,所述訪問網(wǎng)頁標識字段可以是URL字段。
      [0078]步驟203:獲取所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
      [0079]所述獲取過程可以是,提取所述步驟201中確定的所述第一用戶標識字段及訪問網(wǎng)頁標識字段的字段值。例如,提取源IP地址字段的字段值,提取URL字段的字段值。
      [0080]其中,所述第一用戶標識信息可以表明所述當前請求數(shù)據(jù)包的來源,即所述當前請求數(shù)據(jù)包是與所述網(wǎng)絡(luò)中間設(shè)備相連的哪一臺計算機終端設(shè)備發(fā)送的,例如,獲取到的所述源IP地址字段的字段值為192.168.0.27。所述訪問網(wǎng)頁標識信息可以表明所述當前請求數(shù)據(jù)包正在向外網(wǎng)請求何種信息資源,例如,獲取到的所述訪問網(wǎng)頁標識字段的字段值為 http://sports, sina.com.cn/。
      [0081]需要說明的是,獲取到的所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息具有對應(yīng)關(guān)系。即所述第一用戶標識信息對應(yīng)的用戶請求的是所述訪問網(wǎng)頁標識信息對應(yīng)的網(wǎng)頁。
      [0082]步驟204:保存所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
      [0083]其中,所述保存的形式可以是結(jié)構(gòu)體,即在所述結(jié)構(gòu)體中建立用戶標識及訪問網(wǎng)頁標識數(shù)據(jù)成員,分別用以保存所述第一用戶標識信息及所述訪問網(wǎng)頁標識信息。同時,所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息保存在所述同一結(jié)構(gòu)體中,表明所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息具有對應(yīng)關(guān)系。
      [0084]需要說明的是,保存的所述內(nèi)容,即第一用戶標識信息、訪問網(wǎng)頁標識信息及所述對應(yīng)關(guān)系,可以作為分析用戶行為的依據(jù)。
      [0085]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,具備數(shù)據(jù)包接收與轉(zhuǎn)發(fā)功能。若上述實施例的步驟101中所述網(wǎng)絡(luò)中間設(shè)備接收到的是向所述計算機終端設(shè)備向外網(wǎng)計算機設(shè)備返回的數(shù)據(jù)包,其中,所述外網(wǎng)計算機設(shè)備可以是服務(wù)器。則所述當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包。請參閱圖3,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法又一實施例的流程圖,本實施例可以包括:
      [0086]步驟301:獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前響應(yīng)數(shù)據(jù)包。
      [0087]步驟302:在所述當前響應(yīng)數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第二用戶標識字段、IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息。
      [0088]所述當前數(shù)據(jù)包的類型為當前響應(yīng)數(shù)據(jù)包,即所述當前請求數(shù)據(jù)包是外網(wǎng)計算機設(shè)備,如服務(wù)器向所述網(wǎng)絡(luò)中間設(shè)備相連的計算機終端設(shè)備返回的響應(yīng)數(shù)據(jù)包。所述監(jiān)測項目是外網(wǎng)計算機設(shè)備向用戶返回的數(shù)據(jù)包的數(shù)據(jù)量。
      [0089]其中,所述響應(yīng)數(shù)據(jù)包中包含有計算機終端標識字段。解析所述當前響應(yīng)數(shù)據(jù)包,在所述當前響應(yīng)數(shù)據(jù)包中查找所述計算機終端標識字段,其中,所述計算機終端標識字段可以是目的IP地址字段,將查找到的所述計算機終端標識字段確定為所述第二用戶標識字段。所述第二用戶標識字段中包含有第二用戶標識信息。例如,所述目的IP地址字段中包含的第二用戶標識信息為192.168.0.27。
      [0090]同時,在所述當前響應(yīng)數(shù)據(jù)包中查找IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息,用于確定所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量。
      [0091]步驟303:依據(jù)獲取的所述IP數(shù)據(jù)包總長度信息及所述IP首部長度信息,生成所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量。
      [0092]所述生成當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量的過程,可以是用所述IP數(shù)據(jù)包總長度減去所述IP首部長度。例如,所述IP數(shù)據(jù)包長度信息為10242byte,所述IP首部長度信息為20byte,則所述響應(yīng)數(shù)據(jù)量為10222byte。
      [0093]步驟304:獲取所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
      [0094]其中,所述第二用戶標識信息可以表明所述當前響應(yīng)數(shù)據(jù)包的目的地址,即所述當前響應(yīng)數(shù)據(jù)包是向所述網(wǎng)絡(luò)中間設(shè)備相連的哪一臺計算機終端設(shè)備返回的響應(yīng)數(shù)據(jù)包。所述響應(yīng)數(shù)據(jù)量可以表明所述當前響應(yīng)數(shù)據(jù)包中包含的響應(yīng)資源的數(shù)據(jù)量。所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量具有對應(yīng)關(guān)系。即向所述第二用戶標識信息對應(yīng)的用戶返回的響應(yīng)資源的數(shù)據(jù)量。
      [0095]例如,所述IP地址字段的字段值為192.168.0.27,所述響應(yīng)數(shù)據(jù)量為10222byte,即向地址信息為192.168.0.27的用戶返回10222byte的響應(yīng)資源。
      [0096]步驟305:保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量及所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
      [0097]當然,保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量值之前包含獲取過程,其中,所述獲取過程可以是,提取所述步驟302中確定的所述第二用戶標識字段的字段值如目的IP地址字段的字段值,并獲取所述步驟303中生成的所述響應(yīng)數(shù)據(jù)量。
      [0098]其中,所述保存的形式可以是結(jié)構(gòu)體,即在所述結(jié)構(gòu)體中建立用戶標識及響應(yīng)數(shù)據(jù)量數(shù)據(jù)成員,分別用以保存所述第二用戶標識信息及所述響應(yīng)數(shù)據(jù)量信息。同時,所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量信息保存在所述同一結(jié)構(gòu)體中,表明所述第二用戶標識與所述響應(yīng)數(shù)據(jù)量具有對應(yīng)關(guān)系。
      [0099]需要說明的是,保存的所述內(nèi)容,即第二用戶標識信息、響應(yīng)數(shù)據(jù)量及所述對應(yīng)關(guān)系,可以作為分析網(wǎng)絡(luò)安全的依據(jù)。
      [0100]請參閱圖4,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法又一實施例的流程圖,本實施可以包括:
      [0101]步驟401至步驟403與上述實施例中的步驟101至步驟103相同,在此不做贅述。
      [0102]步驟404:判斷所述當前數(shù)據(jù)包是否符合預(yù)設(shè)報警規(guī)則;若是,觸發(fā)執(zhí)行步驟405。
      [0103]所述預(yù)設(shè)報警規(guī)則,可以是協(xié)議類型、數(shù)據(jù)量、源IP地址、目的IP網(wǎng)段、目的端口號等一項或多項元素信息的組合。例如,若向目的IP網(wǎng)段為202.12.1.0轉(zhuǎn)發(fā)的TCP協(xié)議數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量大于3000byte,則進行報警。當然,所述報警規(guī)則包括但不限定于上述幾種信息的組合。
      [0104]所述判斷過程,可以是解析所述當前數(shù)據(jù)包,依據(jù)所述預(yù)設(shè)報警規(guī)則查找與所述報警規(guī)則對應(yīng)的字段,判斷所述查找到的字段的字段值是否符合所述預(yù)設(shè)報警規(guī)則,若是,觸發(fā)執(zhí)行步驟405。
      [0105]步驟405:生成報警信息,觸發(fā)執(zhí)行步驟406。
      [0106]生成的所述報警信息可以是,聲音報警指令和/或報警文字。其中,所述聲音報警指令,用于觸發(fā)對應(yīng)的報警裝置進行報警。所述報警文字,可以顯示在相應(yīng)的顯示裝置上,以對監(jiān)測所述顯示裝置的人員進行提醒。
      [0107]其中,還可以對生成的報警信息進行保存。
      [0108]步驟406:依據(jù)所述報警規(guī)則,記錄所述當前數(shù)據(jù)包,并刪除所述當前數(shù)據(jù)包。
      [0109]若所述當前數(shù)據(jù)包符合預(yù)設(shè)報警規(guī)則,依據(jù)所述報警規(guī)則,對所述當前數(shù)據(jù)包進行記錄。其中,所述記錄的形式可以是建立結(jié)構(gòu)體,所述結(jié)構(gòu)體中包含有與所述預(yù)設(shè)報警規(guī)則中的元素信息對應(yīng)的數(shù)據(jù)成員,將所述當前數(shù)據(jù)包中與所述預(yù)設(shè)報警規(guī)則對應(yīng)的字段的字段值分別保存于所述數(shù)據(jù)成員中。
      [0110]刪除所述當前數(shù)據(jù)包,以防止所述當前數(shù)據(jù)包被發(fā)送至目的IP地址,從而防止對所述目的IP地址表示的計算機終端設(shè)備造成攻擊。
      [0111]請參閱圖5,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置一個實施例的結(jié)構(gòu)示意圖,本實施例可以包括:數(shù)據(jù)包獲取單元501、字段確定單元502及字段值記錄單元503。其中:
      [0112]所述數(shù)據(jù)包獲取單元501,用于獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包。
      [0113]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,可接收與所述計算機終端設(shè)備發(fā)送的數(shù)據(jù)包,或?qū)⑵渌嬎銠C設(shè)備發(fā)送的數(shù)據(jù)包向與所述網(wǎng)絡(luò)中間設(shè)備相連的計算機終端設(shè)備進行轉(zhuǎn)發(fā)。當所述網(wǎng)絡(luò)中間設(shè)備接收到當前數(shù)據(jù)包時,所述數(shù)據(jù)包獲取單元501獲取所述當前數(shù)據(jù)包。其中,所述網(wǎng)絡(luò)中間設(shè)備具備數(shù)據(jù)包的接收與轉(zhuǎn)發(fā)功能,例如交換機、路由器。
      [0114]所述字段確定單元502,用于依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段。
      [0115]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,形成內(nèi)網(wǎng)。所述當前數(shù)據(jù)包的類型是依據(jù)所述當前數(shù)據(jù)包與所述計算機終端設(shè)備的關(guān)系確定的,即若所述當前數(shù)據(jù)包是所述計算機終端設(shè)備通過所述網(wǎng)絡(luò)中間設(shè)備向外網(wǎng)發(fā)送的,則所述當前數(shù)據(jù)包為當前請求數(shù)據(jù)包;若所述當前數(shù)據(jù)包是通過所述網(wǎng)絡(luò)中間設(shè)備向所述計算機終端設(shè)備發(fā)送的,則所述當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包。
      [0116]需要說明的是,數(shù)據(jù)包中某些特定字段包含的信息會表明用戶利用計算機終端設(shè)備的操作信息或?qū)ζ渌嬎銠C設(shè)備對所述用戶的訪問或響應(yīng)信息,其中,所述其他計算機設(shè)備可以是計算機終端設(shè)備,也可以是服務(wù)器。
      [0117]因此,可以預(yù)先設(shè)置監(jiān)測項目,用于在獲取到的所述當前數(shù)據(jù)包中查找與所述監(jiān)測項目對應(yīng)的字段。例如,所述監(jiān)測項目包括用戶發(fā)送的請求數(shù)據(jù)包的數(shù)據(jù)量、用戶接收到的請求數(shù)據(jù)包的數(shù)據(jù)量、用戶發(fā)送的請求數(shù)據(jù)包使用的協(xié)議或用戶發(fā)送的請求數(shù)據(jù)包中包含的訪問網(wǎng)頁信息等。
      [0118]具體地,所述字段確定單元502的確定過程可以是解析所述當前數(shù)據(jù)包,在所述當前數(shù)據(jù)包中查找與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段。例如,所述監(jiān)測項目為用戶發(fā)送的請求數(shù)據(jù)包中包含的訪問網(wǎng)頁信息,則與所述監(jiān)測項目對應(yīng)的字段為請求數(shù)據(jù)包中的用戶標識字段及訪問網(wǎng)頁標識字段;所述監(jiān)測項目為用戶發(fā)送的請求數(shù)據(jù)包使用的協(xié)議,則與所述監(jiān)測項目對應(yīng)的字段為請求數(shù)據(jù)包中用戶標識字段及協(xié)議字段。
      [0119]所述字段值記錄單元503,用于記錄所述字段的字段值。
      [0120]具體地,所述字段值記錄單元503的記錄的過程可以是,獲取步驟102確定的所述字段的字段值,將所述字段值進行保存。所述字段值記錄單元503保存的形式可以是以結(jié)構(gòu)體,即建立包含所述字段值數(shù)據(jù)成員的結(jié)構(gòu)體,將所述字段的字段值保存在所述結(jié)構(gòu)體中。當然,所述字段值記錄單元503記錄的形式包含但不限定于上述形式。
      [0121]本實施例提供了一種數(shù)據(jù)包監(jiān)測裝置,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,該裝置通過數(shù)據(jù)包獲取單元501獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包,字段確定單元502依據(jù)該數(shù)據(jù)包的類型,在該數(shù)據(jù)包中確定預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,進而字段值記錄單元503對確定的字段的字段值進行記錄,實現(xiàn)了對數(shù)據(jù)包的監(jiān)測,由于所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機設(shè)備相連,該網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包可以是與其相連的任意計算機設(shè)備發(fā)送或接收的數(shù)據(jù)包,與現(xiàn)有技術(shù)中需要在每臺監(jiān)測的計算機設(shè)備上安裝監(jiān)控客戶端相比,本申請實現(xiàn)了對多臺計算機設(shè)備的監(jiān)控,應(yīng)用性較高。
      [0122]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,具備數(shù)據(jù)包接收與轉(zhuǎn)發(fā)功能。若上述裝置實施例應(yīng)用的所述網(wǎng)絡(luò)中間設(shè)備接收到的是所述計算機終端設(shè)備向外網(wǎng)計算機設(shè)備發(fā)送的數(shù)據(jù)包,其中,所述外網(wǎng)計算機設(shè)備可以是服務(wù)器,則所述當前數(shù)據(jù)包為當前請求數(shù)據(jù)包。請參閱圖6,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置另一實施例的結(jié)構(gòu)示意圖,本實施例可以包括:數(shù)據(jù)包獲取單元601、第一字段確定子單元602、第一字段值獲取子單元603及第一字段值保存子單元604。其中:
      [0123]所述數(shù)據(jù)包獲取單元601,用于獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前請求數(shù)據(jù)包。
      [0124]所述第一字段確定子單元602,用于在所述當前請求數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第一用戶標識字段及訪問網(wǎng)頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網(wǎng)頁標識字段中包括訪問網(wǎng)頁標識信息。
      [0125]所述當前數(shù)據(jù)包的類型為當前請求數(shù)據(jù)包,即所述當前請求數(shù)據(jù)包是與所述網(wǎng)絡(luò)中間設(shè)備相連的計算機終端設(shè)備向外網(wǎng)服務(wù)器發(fā)送的請求數(shù)據(jù)包。所述監(jiān)測項目是監(jiān)測用戶訪問的網(wǎng)頁信息。
      [0126]其中,所述請求數(shù)據(jù)包中包含有計算機終端標識字段。所述第一字段確定子單元602解析所述當前請求數(shù)據(jù)包,在所述當前請求數(shù)據(jù)包中查找所述計算機終端標識字段,其中,所述計算機終端標識字段可以是源IP地址字段,所述第一字段確定子單元602將查找到的所述計算機終端標識字段確定為所述第一用戶標識字段。同時,所述第一字段確定子單元602在所述當前請求數(shù)據(jù)包中查找訪問網(wǎng)頁標識字段,其中,所述訪問網(wǎng)頁標識字段可以是URL字段。
      [0127]所述第一字段值獲取子單元603,用于獲取所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
      [0128]所述第一字段值獲取子單元603的獲取過程可以是,提取所述第一字段確定子單元602確定的所述第一用戶標識字段及訪問網(wǎng)頁標識字段的字段值。例如,所述第一字段值獲取子單元603提取源IP地址字段的字段值,提取URL字段的字段值。
      [0129]其中,所述第一用戶標識信息可以表明所述當前請求數(shù)據(jù)包的來源,即所述當前請求數(shù)據(jù)包是與所述網(wǎng)絡(luò)中間設(shè)備相連的哪一臺計算機終端設(shè)備發(fā)送的,例如,所述第一字段值獲取子單元603獲取到的所述源IP地址字段的字段值為192.168.0.27。所述訪問網(wǎng)頁標識信息可以表明所述當前請求數(shù)據(jù)包正在向外網(wǎng)請求何種信息資源,例如,所述第一字段值獲取子單元603獲取到的所述訪問網(wǎng)頁標識字段的字段值為http://sports, sina.com.cn/。
      [0130]需要說明的是,所述第一字段值獲取子單元603獲取到的所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息具有對應(yīng)關(guān)系。即所述第一用戶標識信息對應(yīng)的用戶請求的是所述訪問網(wǎng)頁標識信息對應(yīng)的網(wǎng)頁。
      [0131]所述第一字段值保存子單元604,用于保存所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
      [0132]其中,所述第一字段值保存子單元604的保存的形式可以是結(jié)構(gòu)體,即在所述結(jié)構(gòu)體中建立用戶標識及訪問網(wǎng)頁標識數(shù)據(jù)成員,分別用以保存所述第一用戶標識信息及所述訪問網(wǎng)頁標識信息。同時,所述第一字段值保存子單元604將所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息保存在所述同一結(jié)構(gòu)體中,表明所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息具有對應(yīng)關(guān)系。
      [0133]需要說明的是,所述第一字段值保存子單元604保存的所述內(nèi)容,即第一用戶標識信息、訪問網(wǎng)頁標識信息及所述對應(yīng)關(guān)系,可以作為分析用戶行為的依據(jù)。
      [0134]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,具備數(shù)據(jù)包接收與轉(zhuǎn)發(fā)功能。若上述裝置實施例應(yīng)用的所述網(wǎng)絡(luò)中間設(shè)備接收到的是向所述計算機終端設(shè)備向外網(wǎng)計算機設(shè)備返回的數(shù)據(jù)包,其中,所述外網(wǎng)計算機設(shè)備可以是服務(wù)器。則所述當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包。請參閱圖7,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置又一實施例的結(jié)構(gòu)示意圖,本實施例可以包括:數(shù)據(jù)包獲取單元701、第二字段確定子單元702、第二字段值獲取子單元703、第三字段值獲取子單元704及第二字段值保存子單元705。其中:
      [0135]所述數(shù)據(jù)包獲取單元701,用于獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前響應(yīng)數(shù)據(jù)包。
      [0136]所述第二字段確定子單元702,用于在所述當前響應(yīng)數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第二用戶標識字段、IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息。
      [0137]所述當前數(shù)據(jù)包的類型為當前響應(yīng)數(shù)據(jù)包,即所述當前請求數(shù)據(jù)包是外網(wǎng)計算機設(shè)備,如服務(wù)器向所述網(wǎng)絡(luò)中間設(shè)備相連的計算機終端設(shè)備返回的響應(yīng)數(shù)據(jù)包。所述監(jiān)測項目是外網(wǎng)計算機設(shè)備向用戶返回的數(shù)據(jù)包的數(shù)據(jù)量。
      [0138]其中,所述響應(yīng)數(shù)據(jù)包中包含有計算機終端標識字段。所述第二字段確定子單元702解析所述當前響應(yīng)數(shù)據(jù)包,在所述當前響應(yīng)數(shù)據(jù)包中查找所述計算機終端標識字段,其中,所述計算機終端標識字段可以是目的IP地址字段,所述第二字段確定子單元702將查找到的所述計算機終端標識字段確定為所述第二用戶標識字段。所述第二用戶標識字段中包含有第二用戶標識信息。例如,所述目的IP地址字段中包含的第二用戶標識信息為192.168.0.27。
      [0139]同時,所述第二字段確定子單元702在所述當前響應(yīng)數(shù)據(jù)包中查找IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息,用于確定所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量。
      [0140]所述第二字段值獲取子單元703,用于依據(jù)獲取的所述IP數(shù)據(jù)包總長度信息及所述IP首部長度信息,生成所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量。
      [0141]所述第二字段值獲取子單元703生成當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量的過程,可以是用所述IP數(shù)據(jù)包總長度減去所述IP首部長度。例如,所述IP數(shù)據(jù)包長度信息為10242byte,所述IP首部長度信息為20byte,則所述響應(yīng)數(shù)據(jù)量為10222byte。
      [0142]所述第三字段值獲取子單元704,用于獲取所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
      [0143]其中,所述第二用戶標識信息可以表明所述當前響應(yīng)數(shù)據(jù)包的目的地址,即所述當前響應(yīng)數(shù)據(jù)包是向所述網(wǎng)絡(luò)中間設(shè)備相連的哪一臺計算機終端設(shè)備返回的響應(yīng)數(shù)據(jù)包。所述響應(yīng)數(shù)據(jù)量可以表明所述當前響應(yīng)數(shù)據(jù)包中包含的響應(yīng)資源的數(shù)據(jù)量。所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量具有對應(yīng)關(guān)系。即向所述第二用戶標識信息對應(yīng)的用戶返回的響應(yīng)資源的數(shù)據(jù)量。
      [0144]例如,所述IP地址字段的字段值為192.168.0.27,所述響應(yīng)數(shù)據(jù)量為10222byte,即向地址信息為192.168.0.27的用戶返回10222byte的響應(yīng)資源。
      [0145]所述第二字段值保存子單元705,用于保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量及所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
      [0146]當然,所述第二字段值保存子單元705保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量值之前包含獲取過程,其中,所述第二字段值保存子單元705獲取過程可以是,提取所述步驟302中確定的所述第二用戶標識字段的字段值如目的IP地址字段的字段值,并獲取所述步驟303中生成的所述響應(yīng)數(shù)據(jù)量。
      [0147]其中,所述第二字段值保存子單元705保存的形式可以是結(jié)構(gòu)體,即在所述結(jié)構(gòu)體中建立用戶標識及響應(yīng)數(shù)據(jù)量數(shù)據(jù)成員,分別用以保存所述第二用戶標識信息及所述響應(yīng)數(shù)據(jù)量信息。同時,所述第二字段值保存子單元705將所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量信息保存在所述同一結(jié)構(gòu)體中,表明所述第二用戶標識與所述響應(yīng)數(shù)據(jù)量具有對應(yīng)關(guān)系。
      [0148]需要說明的是,所述第二字段值保存子單元705保存的所述內(nèi)容,即第二用戶標識信息、響應(yīng)數(shù)據(jù)量及所述對應(yīng)關(guān)系,可以作為分析網(wǎng)絡(luò)安全的依據(jù)。
      [0149]請參閱圖8,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置又一實施例的結(jié)構(gòu)示意圖,本實施可以包括:數(shù)據(jù)包獲取單元801、字段確定單元802、字段值記錄單元803、判斷單元804、報警單元805及報警數(shù)據(jù)包處理單元806。其中:
      [0150]所述單元801至單元803與上述裝置實施例中的單元501至單元503相同,在此不做贅述。
      [0151]所述判斷單元804,用于判斷所述當前數(shù)據(jù)包是否符合預(yù)設(shè)報警規(guī)則;若是,觸發(fā)報警單元805。
      [0152]所述預(yù)設(shè)報警規(guī)則,可以是協(xié)議類型、數(shù)據(jù)量、源IP地址、目的IP網(wǎng)段、目的端口號等一項或多項元素信息的組合。例如,若向目的IP網(wǎng)段為202.12.1.0轉(zhuǎn)發(fā)的TCP協(xié)議數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量大于3000byte,則進行報警。當然,所述報警規(guī)則包括但不限定于上述幾種信息的組合。
      [0153]所述判斷單元804的判斷過程,可以是解析所述當前數(shù)據(jù)包,依據(jù)所述預(yù)設(shè)報警規(guī)則查找與所述報警規(guī)則對應(yīng)的字段,判斷所述查找到的字段的字段值是否符合所述預(yù)設(shè)報警規(guī)則,若是,觸發(fā)報警單元805。
      [0154]所述報警單元805,用于生成報警信息,觸發(fā)報警數(shù)據(jù)包處理單元806。
      [0155]所述報警單元805生成的所述報警信息可以是,聲音報警指令和/或報警文字。其中,所述聲音報警指令,用于觸發(fā)對應(yīng)的報警裝置進行報警。所述報警文字,可以顯示在相應(yīng)的顯示裝置上,以對監(jiān)測所述顯示裝置的人員進行提醒。
      [0156]其中,所述報警單元805還可以對生成的報警信息進行保存。
      [0157]所述報警數(shù)據(jù)包處理單元806,用于依據(jù)所述報警規(guī)則,記錄所述當前數(shù)據(jù)包,并刪除所述當前數(shù)據(jù)包。
      [0158]若所述當前數(shù)據(jù)包符合預(yù)設(shè)報警規(guī)則,所述報警數(shù)據(jù)包處理單元806依據(jù)所述報警規(guī)則,對所述當前數(shù)據(jù)包進行記錄。其中,所述報警數(shù)據(jù)包處理單元806記錄的形式可以是建立結(jié)構(gòu)體,所述結(jié)構(gòu)體中包含有與所述預(yù)設(shè)報警規(guī)則中的元素信息對應(yīng)的數(shù)據(jù)成員,所述報警數(shù)據(jù)包處理單元806將所述當前數(shù)據(jù)包中與所述預(yù)設(shè)報警規(guī)則對應(yīng)的字段的字段值分別保存于所述數(shù)據(jù)成員中。
      [0159]所述報警數(shù)據(jù)包處理單元806刪除所述當前數(shù)據(jù)包,以防止所述當前數(shù)據(jù)包被發(fā)送至目的IP地址,從而防止對所述目的IP地址表示的計算機終端設(shè)備造成攻擊。
      [0160]請參閱圖9,其示出了本申請實施例的一種網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。其中,所述計算機設(shè)備901、902及903是被監(jiān)測的計算機設(shè)備,所述網(wǎng)絡(luò)中間設(shè)備904分別與所述901、902及903相連,所述顯示設(shè)備905與所述網(wǎng)絡(luò)中間設(shè)備904相連。其中,所述網(wǎng)絡(luò)中間設(shè)備904至少包含有上述裝置實施例中的數(shù)據(jù)包獲取單元、字段確定單元、字段值記錄單元、判斷單元,報警單元及報警數(shù)據(jù)包處理單元,實現(xiàn)直接從所述網(wǎng)絡(luò)中間設(shè)備904中獲取該設(shè)備接收到的當前數(shù)據(jù)包并進行監(jiān)測。所述網(wǎng)絡(luò)中間設(shè)備可以是交換機、路由器等。
      [0161]請參閱圖10,其示出了本申請實施例的另一種網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。其中,在圖9的基礎(chǔ)上還可以包括監(jiān)測設(shè)備906,分別與所述網(wǎng)絡(luò)中間設(shè)備904及所述顯示設(shè)備905相連。所述監(jiān)測設(shè)備906至少包含數(shù)據(jù)包獲取單元、字段確定單元、字段值記錄單元、判斷單元,報警單元及報警數(shù)據(jù)包處理單元。所述監(jiān)測設(shè)備906需要從所述網(wǎng)絡(luò)中間設(shè)備904處獲取該設(shè)備接收到的當前數(shù)據(jù)包并進行流量監(jiān)測。該種實現(xiàn)方式,可以減輕所述網(wǎng)絡(luò)中間設(shè)備904的工作負擔,提高監(jiān)測效率。
      [0162]需要說明的是,本說明書中的各個實施例均采用遞進的方式描述,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似的部分互相參見即可。
      [0163]以上對本發(fā)明所提供的一種數(shù)據(jù)包監(jiān)測方法及裝置進行了詳細介紹,對所公開的實施例的上述說明,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實施例中實現(xiàn)。因此,本發(fā)明將不會被限制于本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。
      【權(quán)利要求】
      1.一種數(shù)據(jù)包監(jiān)測方法,其特征在于,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,所述方法包括: 獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包; 依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段; 記錄所述字段的字段值。
      2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述當前數(shù)據(jù)包為當前請求數(shù)據(jù)包; 其中,所述依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,包括: 在所述當前請求數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第一用戶標識字段及訪問網(wǎng)頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網(wǎng)頁標識字段中包括訪問網(wǎng)頁標識信息; 其中,所述記錄所述字段的字段值,包括: 獲取所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系; 保存所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
      3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包; 其中,所述依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對`應(yīng)的字段,包括: 在所述當前響應(yīng)數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第二用戶標識字段、IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息; 其中,所述記錄所述字段的字段值,包括: 依據(jù)獲取的所述IP數(shù)據(jù)包總長度信息及所述IP首部長度信息,生成所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量; 獲取所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系; 保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量及所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
      4.根據(jù)權(quán)利要求1所述的方法,其特征在于,在獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包之后,還包括: 判斷所述當前數(shù)據(jù)包是否符合預(yù)設(shè)報警規(guī)則; 若是,生成報警信息。
      5.根據(jù)權(quán)利要求4所述的方法,其特征在于,依據(jù)生成報警信息之后,還包括: 依據(jù)所述報警規(guī)則,記錄所述當前數(shù)據(jù)包,并刪除所述當前數(shù)據(jù)包。
      6.一種數(shù)據(jù)包監(jiān)測裝置,其特征在于,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,所述裝置包括: 數(shù)據(jù)包獲取單元,用于獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包; 字段確定單元,用于依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段; 字段值記錄單元,用于記錄所述字段的字段值。
      7.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述數(shù)據(jù)包獲取單元獲取到的當前數(shù)據(jù)包為當前請求數(shù)據(jù)包; 其中,所述字段確定單元,包括: 第一字段確定子單元,用于在所述當前請求數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第一用戶標識字段及訪問網(wǎng)頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網(wǎng)頁標識字段中包括訪問網(wǎng)頁標識信息; 其中,所述字段值記錄單元,包括: 第一字段值獲取子單元,用于獲取所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系; 第一字段值保存子單元,用于保存所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
      8.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述數(shù)據(jù)包獲取單元獲取到的當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包; 其中,所述字段確定單元,包括: 第二字段確定子單元,用于在所述當前響應(yīng)數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第二用戶標識字段、IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息; 其中,所述字段值記錄單元,包括: 第二字段值獲取子單元,用于依`據(jù)獲取的所述IP數(shù)據(jù)包總長度信息及所述IP首部長度信息,生成所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量; 第三字段值獲取子單元,用于獲取所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系; 第二字段值保存子單元,用于保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量及所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
      9.根據(jù)權(quán)利要求6所述的裝置,其特征在于,還包括: 判斷單元,用于判斷所述當前數(shù)據(jù)包是否符合預(yù)設(shè)報警規(guī)則;若是,觸發(fā)報警單元; 報警單元,用于生成報警信息。
      10.根據(jù)權(quán)利要求9所述的裝置,其特征在于,還包括: 報警數(shù)據(jù)包處理單元,用于依據(jù)所述報警規(guī)則,記錄所述當前數(shù)據(jù)包,并刪除所述當前數(shù)據(jù)包。
      【文檔編號】H04L12/26GK103684927SQ201310737892
      【公開日】2014年3月26日 申請日期:2013年12月27日 優(yōu)先權(quán)日:2013年12月27日
      【發(fā)明者】陳新, 董永勝, 季曉旭, 葉鑫, 王興 申請人:昆山中創(chuàng)軟件工程有限責任公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1