一種數(shù)據(jù)包監(jiān)測方法及裝置制造方法
【專利摘要】本申請公開了一種數(shù)據(jù)包監(jiān)測方法及裝置,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,該方法通過獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包,并依據(jù)該數(shù)據(jù)包的類型,在該數(shù)據(jù)包中確定預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,進而對確定的字段的字段值進行記錄,實現(xiàn)了對數(shù)據(jù)包的監(jiān)測,由于所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機設(shè)備相連,該網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包可以是與其相連的任意計算機設(shè)備發(fā)送或接收的數(shù)據(jù)包,與現(xiàn)有技術(shù)中需要在每臺監(jiān)測的計算機設(shè)備上安裝監(jiān)控客戶端相比,本申請實現(xiàn)了對多臺計算機設(shè)備的監(jiān)控,應(yīng)用性較高。
【專利說明】一種數(shù)據(jù)包監(jiān)測方法及裝置
【技術(shù)領(lǐng)域】
[0001]本申請涉及網(wǎng)絡(luò)監(jiān)測【技術(shù)領(lǐng)域】,尤其是一種數(shù)據(jù)包監(jiān)測方法及裝置。
【背景技術(shù)】
[0002]在當今數(shù)字時代,互聯(lián)網(wǎng)已成為無可替代的信息交流方式?;ヂ?lián)網(wǎng)的安全越來越引起人們的關(guān)注,高關(guān)注度促使互聯(lián)網(wǎng)安全技術(shù)日新月異。但互聯(lián)網(wǎng)攻擊技術(shù)也在不斷出現(xiàn)新的攻擊手段,其中之一就是攻擊設(shè)備在數(shù)據(jù)包中封裝入攻擊數(shù)據(jù),并將所述數(shù)據(jù)包發(fā)送到作為攻擊對象的計算機設(shè)備。因此,為了提高計算機設(shè)備在應(yīng)用互聯(lián)網(wǎng)過程中的安全性,需要對設(shè)備接收或發(fā)送的數(shù)據(jù)包進行監(jiān)測。
[0003]目前,實現(xiàn)所述監(jiān)測的方式主要是在各個計算機設(shè)備上分別獨立安裝監(jiān)控客戶端,對所述各個設(shè)備進行獨立的監(jiān)控,應(yīng)用性較低。
【發(fā)明內(nèi)容】
[0004]有鑒于此,本申請?zhí)峁┝艘环N數(shù)據(jù)包監(jiān)測方法及裝置,用以解決現(xiàn)有技術(shù)中的監(jiān)測方式需要在各個計算機設(shè)備上分別獨立安裝監(jiān)控客戶端,對所述各個設(shè)備進行獨立的監(jiān)控,應(yīng)用性較低的問題。本申請?zhí)峁┑募夹g(shù)方案如下:
[0005]一種數(shù)據(jù)包監(jiān)測方法,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,所述方法包括:
[0006]獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包;
[0007]依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段;
[0008]記錄所述字段的字段值。
[0009]上述方法,優(yōu)選的,所述當前數(shù)據(jù)包為當前請求數(shù)據(jù)包;
[0010]其中,所述依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,包括:
[0011]在所述當前請求數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第一用戶標識字段及訪問網(wǎng)頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網(wǎng)頁標識字段中包括訪問網(wǎng)頁標識信息;
[0012]其中,所述記錄所述字段的字段值,包括:
[0013]獲取所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系;
[0014]保存所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
[0015]上述方法,優(yōu)選的,所述當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包;
[0016]其中,所述依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,包括:
[0017]在所述當前響應(yīng)數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第二用戶標識字段、IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息;
[0018]其中,所述記錄所述字段的字段值,包括:
[0019]依據(jù)獲取的所述IP數(shù)據(jù)包總長度信息及所述IP首部長度信息,生成所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量;
[0020]獲取所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系;
[0021]保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量及所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
[0022]上述方法,優(yōu)選的,在獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包之后,還包括:
[0023]判斷所述當前數(shù)據(jù)包是否符合預(yù)設(shè)報警規(guī)則;
[0024]若是,生成報警信息。
[0025]上述方法,優(yōu)選的,依據(jù)生成報警信息之后,還包括:
[0026]依據(jù)所述報警規(guī)則,記錄所述當前數(shù)據(jù)包,并刪除所述當前數(shù)據(jù)包。
[0027]本申請還提供了一種數(shù)據(jù)包監(jiān)測裝置,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,所述裝置包括:
[0028]數(shù)據(jù)包獲取單元,用于獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包;
[0029]字段確定單元,用于依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段;
[0030]字段值記錄單元,用于記錄所述字段的字段值。
[0031]上述裝置,優(yōu)選的,所述數(shù)據(jù)包獲取單元獲取到的當前數(shù)據(jù)包為當前請求數(shù)據(jù)包;
[0032]其中,所述字段確定單元,包括:
[0033]第一字段確定子單元,用于在所述當前請求數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第一用戶標識字段及訪問網(wǎng)頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網(wǎng)頁標識字段中包括訪問網(wǎng)頁標識信息;
[0034]其中,所述字段值記錄單元,包括:
[0035]第一字段值獲取子單元,用于獲取所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系;
[0036]第一字段值保存子單元,用于保存所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
[0037]上述裝置,優(yōu)選的,所述數(shù)據(jù)包獲取單元獲取到的當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包;
[0038]其中,所述字段確定單元,包括:
[0039]第二字段確定子單元,用于在所述當前響應(yīng)數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第二用戶標識字段、IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息;
[0040]其中,所述字段值記錄單元,包括:
[0041]第二字段值獲取子單元,用于依據(jù)獲取的所述IP數(shù)據(jù)包總長度信息及所述IP首部長度信息,生成所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量;
[0042]第三字段值獲取子單元,用于獲取所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系;
[0043]第二字段值保存子單元,用于保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量及所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
[0044]上述裝置,優(yōu)選的,還包括:
[0045]判斷單元,用于判斷所述當前數(shù)據(jù)包是否符合預(yù)設(shè)報警規(guī)則;若是,觸發(fā)報警單元;
[0046]報警單元,用于生成報警信息。
[0047]上述裝置,優(yōu)選的,還包括:
[0048]報警數(shù)據(jù)包處理單元,用于依據(jù)所述報警規(guī)則,記錄所述當前數(shù)據(jù)包,并刪除所述當前數(shù)據(jù)包。
[0049]由以上的技術(shù)方案可知,本申請?zhí)峁┝艘环N數(shù)據(jù)包監(jiān)測方法及裝置,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,該方法通過獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包,并依據(jù)該數(shù)據(jù)包的類型,在該數(shù)據(jù)包中確定預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,進而對確定的字段的字段值進行記錄,實現(xiàn)了對數(shù)據(jù)包的監(jiān)測,由于所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機設(shè)備相連,該網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包可以是與其相連的任意計算機設(shè)備發(fā)送或接收的數(shù)據(jù)包,與現(xiàn)有技術(shù)中需要在每臺監(jiān)測的計算機設(shè)備上安裝監(jiān)控客戶端相比,本申請實現(xiàn)了對多臺計算機設(shè)備的監(jiān)控,應(yīng)用性較高。
【專利附圖】
【附圖說明】
[0050]為了更清楚地說明本申請實施例中的技術(shù)方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0051]圖1為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法一個實施例的流程圖;
[0052]圖2為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法另一實施例的流程圖;
[0053]圖3為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法又一實施例的流程圖;
[0054]圖4為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法又一實施例的流程圖;
[0055]圖5為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置一個實施例的結(jié)構(gòu)示意圖;
[0056]圖6為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置另一實施例的結(jié)構(gòu)示意圖;
[0057]圖7為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置又一實施例的結(jié)構(gòu)示意圖;
[0058]圖8為本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置又一實施例的結(jié)構(gòu)示意圖;
[0059]圖9為本申請實施例的一種網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖;
[0060]圖10為本申請實施例的另一種網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。
【具體實施方式】
[0061]下面將結(jié)合本申請實施例中的附圖,對本申請實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本申請一部分實施例,而不是全部的實施例。基于本申請中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本申請保護的范圍。
[0062]請參閱圖1,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法一個實施例的流程圖,本實施例方法可以包括:
[0063]步驟101:獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包。
[0064]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,可接收與所述計算機終端設(shè)備發(fā)送的數(shù)據(jù)包,或?qū)⑵渌嬎銠C設(shè)備發(fā)送的數(shù)據(jù)包向與所述網(wǎng)絡(luò)中間設(shè)備相連的計算機終端設(shè)備進行轉(zhuǎn)發(fā)。當所述網(wǎng)絡(luò)中間設(shè)備接收到當前數(shù)據(jù)包時,獲取所述當前數(shù)據(jù)包。其中,所述網(wǎng)絡(luò)中間設(shè)備具備數(shù)據(jù)包的接收與轉(zhuǎn)發(fā)功能,例如交換機、路由器。
[0065]步驟102:依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段。
[0066]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,形成內(nèi)網(wǎng)。所述當前數(shù)據(jù)包的類型是依據(jù)所述當前數(shù)據(jù)包與所述計算機終端設(shè)備的關(guān)系確定的,即若所述當前數(shù)據(jù)包是所述計算機終端設(shè)備通過所述網(wǎng)絡(luò)中間設(shè)備向外網(wǎng)發(fā)送的,則所述當前數(shù)據(jù)包為當前請求數(shù)據(jù)包;若所述當前數(shù)據(jù)包是通過所述網(wǎng)絡(luò)中間設(shè)備向所述計算機終端設(shè)備發(fā)送的,則所述當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包。
[0067]需要說明的是,數(shù)據(jù)包中某些特定字段包含的信息會表明用戶利用計算機終端設(shè)備的操作信息或?qū)ζ渌嬎銠C設(shè)備對所述用戶的訪問或響應(yīng)信息,其中,所述其他計算機設(shè)備可以是計算機終端設(shè)備,也可以是服務(wù)器。
[0068]因此,可以預(yù)先設(shè)置監(jiān)測項目,用于在獲取到的所述當前數(shù)據(jù)包中查找與所述監(jiān)測項目對應(yīng)的字段。例如,所述監(jiān)測項目包括用戶發(fā)送的請求數(shù)據(jù)包的數(shù)據(jù)量、用戶接收到的請求數(shù)據(jù)包的數(shù)據(jù)量、用戶發(fā)送的請求數(shù)據(jù)包使用的協(xié)議或用戶發(fā)送的請求數(shù)據(jù)包中包含的訪問網(wǎng)頁信息等。
[0069]具體地,所述確定過程可以是解析所述當前數(shù)據(jù)包,在所述當前數(shù)據(jù)包中查找與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段。例如,所述監(jiān)測項目為用戶發(fā)送的請求數(shù)據(jù)包中包含的訪問網(wǎng)頁信息,則與所述監(jiān)測項目對應(yīng)的字段為請求數(shù)據(jù)包中的用戶標識字段及訪問網(wǎng)頁標識字段;所述監(jiān)測項目為用戶發(fā)送的請求數(shù)據(jù)包使用的協(xié)議,則與所述監(jiān)測項目對應(yīng)的字段為請求數(shù)據(jù)包中用戶標識字段及協(xié)議字段。
[0070]步驟103:記錄所述字段的字段值。
[0071]具體地,所述記錄的過程可以是,獲取步驟102確定的所述字段的字段值,將所述字段值進行保存。保存的形式可以是以結(jié)構(gòu)體,即建立包含所述字段值數(shù)據(jù)成員的結(jié)構(gòu)體,將所述字段的字段值保存在所述結(jié)構(gòu)體中。當然,所述記錄的形式包含但不限定于上述形式。
[0072]本實施例提供了一種數(shù)據(jù)包監(jiān)測方法,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,該方法通過獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包,并依據(jù)該數(shù)據(jù)包的類型,在該數(shù)據(jù)包中確定預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,進而對確定的字段的字段值進行記錄,實現(xiàn)了對數(shù)據(jù)包的監(jiān)測,由于所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機設(shè)備相連,該網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包可以是與其相連的任意計算機設(shè)備發(fā)送或接收的數(shù)據(jù)包,與現(xiàn)有技術(shù)中需要在每臺監(jiān)測的計算機設(shè)備上安裝監(jiān)控客戶端相比,本申請實現(xiàn)了對多臺計算機設(shè)備的監(jiān)控,應(yīng)用性較高。[0073]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,具備數(shù)據(jù)包接收與轉(zhuǎn)發(fā)功能。若上述實施例的步驟101中所述網(wǎng)絡(luò)中間設(shè)備接收到的是所述計算機終端設(shè)備向外網(wǎng)計算機設(shè)備發(fā)送的數(shù)據(jù)包,其中,所述外網(wǎng)計算機設(shè)備可以是服務(wù)器,則所述當前數(shù)據(jù)包為當前請求數(shù)據(jù)包。請參閱圖2,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法另一實施例的流程圖,本實施例可以包括:
[0074]步驟201:獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前請求數(shù)據(jù)包。
[0075]步驟202:在所述當前請求數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第一用戶標識字段及訪問網(wǎng)頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網(wǎng)頁標識字段中包括訪問網(wǎng)頁標識信息。
[0076]所述當前數(shù)據(jù)包的類型為當前請求數(shù)據(jù)包,即所述當前請求數(shù)據(jù)包是與所述網(wǎng)絡(luò)中間設(shè)備相連的計算機終端設(shè)備向外網(wǎng)服務(wù)器發(fā)送的請求數(shù)據(jù)包。所述監(jiān)測項目是監(jiān)測用戶訪問的網(wǎng)頁信息。
[0077]其中,所述請求數(shù)據(jù)包中包含有計算機終端標識字段。解析所述當前請求數(shù)據(jù)包,在所述當前請求數(shù)據(jù)包中查找所述計算機終端標識字段,其中,所述計算機終端標識字段可以是源IP地址字段,將查找到的所述計算機終端標識字段確定為所述第一用戶標識字段。同時,在所述當前請求數(shù)據(jù)包中查找訪問網(wǎng)頁標識字段,其中,所述訪問網(wǎng)頁標識字段可以是URL字段。
[0078]步驟203:獲取所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
[0079]所述獲取過程可以是,提取所述步驟201中確定的所述第一用戶標識字段及訪問網(wǎng)頁標識字段的字段值。例如,提取源IP地址字段的字段值,提取URL字段的字段值。
[0080]其中,所述第一用戶標識信息可以表明所述當前請求數(shù)據(jù)包的來源,即所述當前請求數(shù)據(jù)包是與所述網(wǎng)絡(luò)中間設(shè)備相連的哪一臺計算機終端設(shè)備發(fā)送的,例如,獲取到的所述源IP地址字段的字段值為192.168.0.27。所述訪問網(wǎng)頁標識信息可以表明所述當前請求數(shù)據(jù)包正在向外網(wǎng)請求何種信息資源,例如,獲取到的所述訪問網(wǎng)頁標識字段的字段值為 http://sports, sina.com.cn/。
[0081]需要說明的是,獲取到的所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息具有對應(yīng)關(guān)系。即所述第一用戶標識信息對應(yīng)的用戶請求的是所述訪問網(wǎng)頁標識信息對應(yīng)的網(wǎng)頁。
[0082]步驟204:保存所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
[0083]其中,所述保存的形式可以是結(jié)構(gòu)體,即在所述結(jié)構(gòu)體中建立用戶標識及訪問網(wǎng)頁標識數(shù)據(jù)成員,分別用以保存所述第一用戶標識信息及所述訪問網(wǎng)頁標識信息。同時,所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息保存在所述同一結(jié)構(gòu)體中,表明所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息具有對應(yīng)關(guān)系。
[0084]需要說明的是,保存的所述內(nèi)容,即第一用戶標識信息、訪問網(wǎng)頁標識信息及所述對應(yīng)關(guān)系,可以作為分析用戶行為的依據(jù)。
[0085]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,具備數(shù)據(jù)包接收與轉(zhuǎn)發(fā)功能。若上述實施例的步驟101中所述網(wǎng)絡(luò)中間設(shè)備接收到的是向所述計算機終端設(shè)備向外網(wǎng)計算機設(shè)備返回的數(shù)據(jù)包,其中,所述外網(wǎng)計算機設(shè)備可以是服務(wù)器。則所述當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包。請參閱圖3,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法又一實施例的流程圖,本實施例可以包括:
[0086]步驟301:獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前響應(yīng)數(shù)據(jù)包。
[0087]步驟302:在所述當前響應(yīng)數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第二用戶標識字段、IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息。
[0088]所述當前數(shù)據(jù)包的類型為當前響應(yīng)數(shù)據(jù)包,即所述當前請求數(shù)據(jù)包是外網(wǎng)計算機設(shè)備,如服務(wù)器向所述網(wǎng)絡(luò)中間設(shè)備相連的計算機終端設(shè)備返回的響應(yīng)數(shù)據(jù)包。所述監(jiān)測項目是外網(wǎng)計算機設(shè)備向用戶返回的數(shù)據(jù)包的數(shù)據(jù)量。
[0089]其中,所述響應(yīng)數(shù)據(jù)包中包含有計算機終端標識字段。解析所述當前響應(yīng)數(shù)據(jù)包,在所述當前響應(yīng)數(shù)據(jù)包中查找所述計算機終端標識字段,其中,所述計算機終端標識字段可以是目的IP地址字段,將查找到的所述計算機終端標識字段確定為所述第二用戶標識字段。所述第二用戶標識字段中包含有第二用戶標識信息。例如,所述目的IP地址字段中包含的第二用戶標識信息為192.168.0.27。
[0090]同時,在所述當前響應(yīng)數(shù)據(jù)包中查找IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息,用于確定所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量。
[0091]步驟303:依據(jù)獲取的所述IP數(shù)據(jù)包總長度信息及所述IP首部長度信息,生成所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量。
[0092]所述生成當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量的過程,可以是用所述IP數(shù)據(jù)包總長度減去所述IP首部長度。例如,所述IP數(shù)據(jù)包長度信息為10242byte,所述IP首部長度信息為20byte,則所述響應(yīng)數(shù)據(jù)量為10222byte。
[0093]步驟304:獲取所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
[0094]其中,所述第二用戶標識信息可以表明所述當前響應(yīng)數(shù)據(jù)包的目的地址,即所述當前響應(yīng)數(shù)據(jù)包是向所述網(wǎng)絡(luò)中間設(shè)備相連的哪一臺計算機終端設(shè)備返回的響應(yīng)數(shù)據(jù)包。所述響應(yīng)數(shù)據(jù)量可以表明所述當前響應(yīng)數(shù)據(jù)包中包含的響應(yīng)資源的數(shù)據(jù)量。所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量具有對應(yīng)關(guān)系。即向所述第二用戶標識信息對應(yīng)的用戶返回的響應(yīng)資源的數(shù)據(jù)量。
[0095]例如,所述IP地址字段的字段值為192.168.0.27,所述響應(yīng)數(shù)據(jù)量為10222byte,即向地址信息為192.168.0.27的用戶返回10222byte的響應(yīng)資源。
[0096]步驟305:保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量及所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
[0097]當然,保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量值之前包含獲取過程,其中,所述獲取過程可以是,提取所述步驟302中確定的所述第二用戶標識字段的字段值如目的IP地址字段的字段值,并獲取所述步驟303中生成的所述響應(yīng)數(shù)據(jù)量。
[0098]其中,所述保存的形式可以是結(jié)構(gòu)體,即在所述結(jié)構(gòu)體中建立用戶標識及響應(yīng)數(shù)據(jù)量數(shù)據(jù)成員,分別用以保存所述第二用戶標識信息及所述響應(yīng)數(shù)據(jù)量信息。同時,所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量信息保存在所述同一結(jié)構(gòu)體中,表明所述第二用戶標識與所述響應(yīng)數(shù)據(jù)量具有對應(yīng)關(guān)系。
[0099]需要說明的是,保存的所述內(nèi)容,即第二用戶標識信息、響應(yīng)數(shù)據(jù)量及所述對應(yīng)關(guān)系,可以作為分析網(wǎng)絡(luò)安全的依據(jù)。
[0100]請參閱圖4,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測方法又一實施例的流程圖,本實施可以包括:
[0101]步驟401至步驟403與上述實施例中的步驟101至步驟103相同,在此不做贅述。
[0102]步驟404:判斷所述當前數(shù)據(jù)包是否符合預(yù)設(shè)報警規(guī)則;若是,觸發(fā)執(zhí)行步驟405。
[0103]所述預(yù)設(shè)報警規(guī)則,可以是協(xié)議類型、數(shù)據(jù)量、源IP地址、目的IP網(wǎng)段、目的端口號等一項或多項元素信息的組合。例如,若向目的IP網(wǎng)段為202.12.1.0轉(zhuǎn)發(fā)的TCP協(xié)議數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量大于3000byte,則進行報警。當然,所述報警規(guī)則包括但不限定于上述幾種信息的組合。
[0104]所述判斷過程,可以是解析所述當前數(shù)據(jù)包,依據(jù)所述預(yù)設(shè)報警規(guī)則查找與所述報警規(guī)則對應(yīng)的字段,判斷所述查找到的字段的字段值是否符合所述預(yù)設(shè)報警規(guī)則,若是,觸發(fā)執(zhí)行步驟405。
[0105]步驟405:生成報警信息,觸發(fā)執(zhí)行步驟406。
[0106]生成的所述報警信息可以是,聲音報警指令和/或報警文字。其中,所述聲音報警指令,用于觸發(fā)對應(yīng)的報警裝置進行報警。所述報警文字,可以顯示在相應(yīng)的顯示裝置上,以對監(jiān)測所述顯示裝置的人員進行提醒。
[0107]其中,還可以對生成的報警信息進行保存。
[0108]步驟406:依據(jù)所述報警規(guī)則,記錄所述當前數(shù)據(jù)包,并刪除所述當前數(shù)據(jù)包。
[0109]若所述當前數(shù)據(jù)包符合預(yù)設(shè)報警規(guī)則,依據(jù)所述報警規(guī)則,對所述當前數(shù)據(jù)包進行記錄。其中,所述記錄的形式可以是建立結(jié)構(gòu)體,所述結(jié)構(gòu)體中包含有與所述預(yù)設(shè)報警規(guī)則中的元素信息對應(yīng)的數(shù)據(jù)成員,將所述當前數(shù)據(jù)包中與所述預(yù)設(shè)報警規(guī)則對應(yīng)的字段的字段值分別保存于所述數(shù)據(jù)成員中。
[0110]刪除所述當前數(shù)據(jù)包,以防止所述當前數(shù)據(jù)包被發(fā)送至目的IP地址,從而防止對所述目的IP地址表示的計算機終端設(shè)備造成攻擊。
[0111]請參閱圖5,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置一個實施例的結(jié)構(gòu)示意圖,本實施例可以包括:數(shù)據(jù)包獲取單元501、字段確定單元502及字段值記錄單元503。其中:
[0112]所述數(shù)據(jù)包獲取單元501,用于獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包。
[0113]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,可接收與所述計算機終端設(shè)備發(fā)送的數(shù)據(jù)包,或?qū)⑵渌嬎銠C設(shè)備發(fā)送的數(shù)據(jù)包向與所述網(wǎng)絡(luò)中間設(shè)備相連的計算機終端設(shè)備進行轉(zhuǎn)發(fā)。當所述網(wǎng)絡(luò)中間設(shè)備接收到當前數(shù)據(jù)包時,所述數(shù)據(jù)包獲取單元501獲取所述當前數(shù)據(jù)包。其中,所述網(wǎng)絡(luò)中間設(shè)備具備數(shù)據(jù)包的接收與轉(zhuǎn)發(fā)功能,例如交換機、路由器。
[0114]所述字段確定單元502,用于依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段。
[0115]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,形成內(nèi)網(wǎng)。所述當前數(shù)據(jù)包的類型是依據(jù)所述當前數(shù)據(jù)包與所述計算機終端設(shè)備的關(guān)系確定的,即若所述當前數(shù)據(jù)包是所述計算機終端設(shè)備通過所述網(wǎng)絡(luò)中間設(shè)備向外網(wǎng)發(fā)送的,則所述當前數(shù)據(jù)包為當前請求數(shù)據(jù)包;若所述當前數(shù)據(jù)包是通過所述網(wǎng)絡(luò)中間設(shè)備向所述計算機終端設(shè)備發(fā)送的,則所述當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包。
[0116]需要說明的是,數(shù)據(jù)包中某些特定字段包含的信息會表明用戶利用計算機終端設(shè)備的操作信息或?qū)ζ渌嬎銠C設(shè)備對所述用戶的訪問或響應(yīng)信息,其中,所述其他計算機設(shè)備可以是計算機終端設(shè)備,也可以是服務(wù)器。
[0117]因此,可以預(yù)先設(shè)置監(jiān)測項目,用于在獲取到的所述當前數(shù)據(jù)包中查找與所述監(jiān)測項目對應(yīng)的字段。例如,所述監(jiān)測項目包括用戶發(fā)送的請求數(shù)據(jù)包的數(shù)據(jù)量、用戶接收到的請求數(shù)據(jù)包的數(shù)據(jù)量、用戶發(fā)送的請求數(shù)據(jù)包使用的協(xié)議或用戶發(fā)送的請求數(shù)據(jù)包中包含的訪問網(wǎng)頁信息等。
[0118]具體地,所述字段確定單元502的確定過程可以是解析所述當前數(shù)據(jù)包,在所述當前數(shù)據(jù)包中查找與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段。例如,所述監(jiān)測項目為用戶發(fā)送的請求數(shù)據(jù)包中包含的訪問網(wǎng)頁信息,則與所述監(jiān)測項目對應(yīng)的字段為請求數(shù)據(jù)包中的用戶標識字段及訪問網(wǎng)頁標識字段;所述監(jiān)測項目為用戶發(fā)送的請求數(shù)據(jù)包使用的協(xié)議,則與所述監(jiān)測項目對應(yīng)的字段為請求數(shù)據(jù)包中用戶標識字段及協(xié)議字段。
[0119]所述字段值記錄單元503,用于記錄所述字段的字段值。
[0120]具體地,所述字段值記錄單元503的記錄的過程可以是,獲取步驟102確定的所述字段的字段值,將所述字段值進行保存。所述字段值記錄單元503保存的形式可以是以結(jié)構(gòu)體,即建立包含所述字段值數(shù)據(jù)成員的結(jié)構(gòu)體,將所述字段的字段值保存在所述結(jié)構(gòu)體中。當然,所述字段值記錄單元503記錄的形式包含但不限定于上述形式。
[0121]本實施例提供了一種數(shù)據(jù)包監(jiān)測裝置,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,該裝置通過數(shù)據(jù)包獲取單元501獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包,字段確定單元502依據(jù)該數(shù)據(jù)包的類型,在該數(shù)據(jù)包中確定預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,進而字段值記錄單元503對確定的字段的字段值進行記錄,實現(xiàn)了對數(shù)據(jù)包的監(jiān)測,由于所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機設(shè)備相連,該網(wǎng)絡(luò)中間設(shè)備接收到的數(shù)據(jù)包可以是與其相連的任意計算機設(shè)備發(fā)送或接收的數(shù)據(jù)包,與現(xiàn)有技術(shù)中需要在每臺監(jiān)測的計算機設(shè)備上安裝監(jiān)控客戶端相比,本申請實現(xiàn)了對多臺計算機設(shè)備的監(jiān)控,應(yīng)用性較高。
[0122]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,具備數(shù)據(jù)包接收與轉(zhuǎn)發(fā)功能。若上述裝置實施例應(yīng)用的所述網(wǎng)絡(luò)中間設(shè)備接收到的是所述計算機終端設(shè)備向外網(wǎng)計算機設(shè)備發(fā)送的數(shù)據(jù)包,其中,所述外網(wǎng)計算機設(shè)備可以是服務(wù)器,則所述當前數(shù)據(jù)包為當前請求數(shù)據(jù)包。請參閱圖6,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置另一實施例的結(jié)構(gòu)示意圖,本實施例可以包括:數(shù)據(jù)包獲取單元601、第一字段確定子單元602、第一字段值獲取子單元603及第一字段值保存子單元604。其中:
[0123]所述數(shù)據(jù)包獲取單元601,用于獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前請求數(shù)據(jù)包。
[0124]所述第一字段確定子單元602,用于在所述當前請求數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第一用戶標識字段及訪問網(wǎng)頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網(wǎng)頁標識字段中包括訪問網(wǎng)頁標識信息。
[0125]所述當前數(shù)據(jù)包的類型為當前請求數(shù)據(jù)包,即所述當前請求數(shù)據(jù)包是與所述網(wǎng)絡(luò)中間設(shè)備相連的計算機終端設(shè)備向外網(wǎng)服務(wù)器發(fā)送的請求數(shù)據(jù)包。所述監(jiān)測項目是監(jiān)測用戶訪問的網(wǎng)頁信息。
[0126]其中,所述請求數(shù)據(jù)包中包含有計算機終端標識字段。所述第一字段確定子單元602解析所述當前請求數(shù)據(jù)包,在所述當前請求數(shù)據(jù)包中查找所述計算機終端標識字段,其中,所述計算機終端標識字段可以是源IP地址字段,所述第一字段確定子單元602將查找到的所述計算機終端標識字段確定為所述第一用戶標識字段。同時,所述第一字段確定子單元602在所述當前請求數(shù)據(jù)包中查找訪問網(wǎng)頁標識字段,其中,所述訪問網(wǎng)頁標識字段可以是URL字段。
[0127]所述第一字段值獲取子單元603,用于獲取所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
[0128]所述第一字段值獲取子單元603的獲取過程可以是,提取所述第一字段確定子單元602確定的所述第一用戶標識字段及訪問網(wǎng)頁標識字段的字段值。例如,所述第一字段值獲取子單元603提取源IP地址字段的字段值,提取URL字段的字段值。
[0129]其中,所述第一用戶標識信息可以表明所述當前請求數(shù)據(jù)包的來源,即所述當前請求數(shù)據(jù)包是與所述網(wǎng)絡(luò)中間設(shè)備相連的哪一臺計算機終端設(shè)備發(fā)送的,例如,所述第一字段值獲取子單元603獲取到的所述源IP地址字段的字段值為192.168.0.27。所述訪問網(wǎng)頁標識信息可以表明所述當前請求數(shù)據(jù)包正在向外網(wǎng)請求何種信息資源,例如,所述第一字段值獲取子單元603獲取到的所述訪問網(wǎng)頁標識字段的字段值為http://sports, sina.com.cn/。
[0130]需要說明的是,所述第一字段值獲取子單元603獲取到的所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息具有對應(yīng)關(guān)系。即所述第一用戶標識信息對應(yīng)的用戶請求的是所述訪問網(wǎng)頁標識信息對應(yīng)的網(wǎng)頁。
[0131]所述第一字段值保存子單元604,用于保存所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
[0132]其中,所述第一字段值保存子單元604的保存的形式可以是結(jié)構(gòu)體,即在所述結(jié)構(gòu)體中建立用戶標識及訪問網(wǎng)頁標識數(shù)據(jù)成員,分別用以保存所述第一用戶標識信息及所述訪問網(wǎng)頁標識信息。同時,所述第一字段值保存子單元604將所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息保存在所述同一結(jié)構(gòu)體中,表明所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息具有對應(yīng)關(guān)系。
[0133]需要說明的是,所述第一字段值保存子單元604保存的所述內(nèi)容,即第一用戶標識信息、訪問網(wǎng)頁標識信息及所述對應(yīng)關(guān)系,可以作為分析用戶行為的依據(jù)。
[0134]所述網(wǎng)絡(luò)中間設(shè)備與多臺計算機終端設(shè)備相連,具備數(shù)據(jù)包接收與轉(zhuǎn)發(fā)功能。若上述裝置實施例應(yīng)用的所述網(wǎng)絡(luò)中間設(shè)備接收到的是向所述計算機終端設(shè)備向外網(wǎng)計算機設(shè)備返回的數(shù)據(jù)包,其中,所述外網(wǎng)計算機設(shè)備可以是服務(wù)器。則所述當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包。請參閱圖7,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置又一實施例的結(jié)構(gòu)示意圖,本實施例可以包括:數(shù)據(jù)包獲取單元701、第二字段確定子單元702、第二字段值獲取子單元703、第三字段值獲取子單元704及第二字段值保存子單元705。其中:
[0135]所述數(shù)據(jù)包獲取單元701,用于獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前響應(yīng)數(shù)據(jù)包。
[0136]所述第二字段確定子單元702,用于在所述當前響應(yīng)數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第二用戶標識字段、IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息。
[0137]所述當前數(shù)據(jù)包的類型為當前響應(yīng)數(shù)據(jù)包,即所述當前請求數(shù)據(jù)包是外網(wǎng)計算機設(shè)備,如服務(wù)器向所述網(wǎng)絡(luò)中間設(shè)備相連的計算機終端設(shè)備返回的響應(yīng)數(shù)據(jù)包。所述監(jiān)測項目是外網(wǎng)計算機設(shè)備向用戶返回的數(shù)據(jù)包的數(shù)據(jù)量。
[0138]其中,所述響應(yīng)數(shù)據(jù)包中包含有計算機終端標識字段。所述第二字段確定子單元702解析所述當前響應(yīng)數(shù)據(jù)包,在所述當前響應(yīng)數(shù)據(jù)包中查找所述計算機終端標識字段,其中,所述計算機終端標識字段可以是目的IP地址字段,所述第二字段確定子單元702將查找到的所述計算機終端標識字段確定為所述第二用戶標識字段。所述第二用戶標識字段中包含有第二用戶標識信息。例如,所述目的IP地址字段中包含的第二用戶標識信息為192.168.0.27。
[0139]同時,所述第二字段確定子單元702在所述當前響應(yīng)數(shù)據(jù)包中查找IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息,用于確定所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量。
[0140]所述第二字段值獲取子單元703,用于依據(jù)獲取的所述IP數(shù)據(jù)包總長度信息及所述IP首部長度信息,生成所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量。
[0141]所述第二字段值獲取子單元703生成當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量的過程,可以是用所述IP數(shù)據(jù)包總長度減去所述IP首部長度。例如,所述IP數(shù)據(jù)包長度信息為10242byte,所述IP首部長度信息為20byte,則所述響應(yīng)數(shù)據(jù)量為10222byte。
[0142]所述第三字段值獲取子單元704,用于獲取所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
[0143]其中,所述第二用戶標識信息可以表明所述當前響應(yīng)數(shù)據(jù)包的目的地址,即所述當前響應(yīng)數(shù)據(jù)包是向所述網(wǎng)絡(luò)中間設(shè)備相連的哪一臺計算機終端設(shè)備返回的響應(yīng)數(shù)據(jù)包。所述響應(yīng)數(shù)據(jù)量可以表明所述當前響應(yīng)數(shù)據(jù)包中包含的響應(yīng)資源的數(shù)據(jù)量。所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量具有對應(yīng)關(guān)系。即向所述第二用戶標識信息對應(yīng)的用戶返回的響應(yīng)資源的數(shù)據(jù)量。
[0144]例如,所述IP地址字段的字段值為192.168.0.27,所述響應(yīng)數(shù)據(jù)量為10222byte,即向地址信息為192.168.0.27的用戶返回10222byte的響應(yīng)資源。
[0145]所述第二字段值保存子單元705,用于保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量及所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
[0146]當然,所述第二字段值保存子單元705保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量值之前包含獲取過程,其中,所述第二字段值保存子單元705獲取過程可以是,提取所述步驟302中確定的所述第二用戶標識字段的字段值如目的IP地址字段的字段值,并獲取所述步驟303中生成的所述響應(yīng)數(shù)據(jù)量。
[0147]其中,所述第二字段值保存子單元705保存的形式可以是結(jié)構(gòu)體,即在所述結(jié)構(gòu)體中建立用戶標識及響應(yīng)數(shù)據(jù)量數(shù)據(jù)成員,分別用以保存所述第二用戶標識信息及所述響應(yīng)數(shù)據(jù)量信息。同時,所述第二字段值保存子單元705將所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量信息保存在所述同一結(jié)構(gòu)體中,表明所述第二用戶標識與所述響應(yīng)數(shù)據(jù)量具有對應(yīng)關(guān)系。
[0148]需要說明的是,所述第二字段值保存子單元705保存的所述內(nèi)容,即第二用戶標識信息、響應(yīng)數(shù)據(jù)量及所述對應(yīng)關(guān)系,可以作為分析網(wǎng)絡(luò)安全的依據(jù)。
[0149]請參閱圖8,其示出了本申請?zhí)峁┑囊环N數(shù)據(jù)包監(jiān)測裝置又一實施例的結(jié)構(gòu)示意圖,本實施可以包括:數(shù)據(jù)包獲取單元801、字段確定單元802、字段值記錄單元803、判斷單元804、報警單元805及報警數(shù)據(jù)包處理單元806。其中:
[0150]所述單元801至單元803與上述裝置實施例中的單元501至單元503相同,在此不做贅述。
[0151]所述判斷單元804,用于判斷所述當前數(shù)據(jù)包是否符合預(yù)設(shè)報警規(guī)則;若是,觸發(fā)報警單元805。
[0152]所述預(yù)設(shè)報警規(guī)則,可以是協(xié)議類型、數(shù)據(jù)量、源IP地址、目的IP網(wǎng)段、目的端口號等一項或多項元素信息的組合。例如,若向目的IP網(wǎng)段為202.12.1.0轉(zhuǎn)發(fā)的TCP協(xié)議數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量大于3000byte,則進行報警。當然,所述報警規(guī)則包括但不限定于上述幾種信息的組合。
[0153]所述判斷單元804的判斷過程,可以是解析所述當前數(shù)據(jù)包,依據(jù)所述預(yù)設(shè)報警規(guī)則查找與所述報警規(guī)則對應(yīng)的字段,判斷所述查找到的字段的字段值是否符合所述預(yù)設(shè)報警規(guī)則,若是,觸發(fā)報警單元805。
[0154]所述報警單元805,用于生成報警信息,觸發(fā)報警數(shù)據(jù)包處理單元806。
[0155]所述報警單元805生成的所述報警信息可以是,聲音報警指令和/或報警文字。其中,所述聲音報警指令,用于觸發(fā)對應(yīng)的報警裝置進行報警。所述報警文字,可以顯示在相應(yīng)的顯示裝置上,以對監(jiān)測所述顯示裝置的人員進行提醒。
[0156]其中,所述報警單元805還可以對生成的報警信息進行保存。
[0157]所述報警數(shù)據(jù)包處理單元806,用于依據(jù)所述報警規(guī)則,記錄所述當前數(shù)據(jù)包,并刪除所述當前數(shù)據(jù)包。
[0158]若所述當前數(shù)據(jù)包符合預(yù)設(shè)報警規(guī)則,所述報警數(shù)據(jù)包處理單元806依據(jù)所述報警規(guī)則,對所述當前數(shù)據(jù)包進行記錄。其中,所述報警數(shù)據(jù)包處理單元806記錄的形式可以是建立結(jié)構(gòu)體,所述結(jié)構(gòu)體中包含有與所述預(yù)設(shè)報警規(guī)則中的元素信息對應(yīng)的數(shù)據(jù)成員,所述報警數(shù)據(jù)包處理單元806將所述當前數(shù)據(jù)包中與所述預(yù)設(shè)報警規(guī)則對應(yīng)的字段的字段值分別保存于所述數(shù)據(jù)成員中。
[0159]所述報警數(shù)據(jù)包處理單元806刪除所述當前數(shù)據(jù)包,以防止所述當前數(shù)據(jù)包被發(fā)送至目的IP地址,從而防止對所述目的IP地址表示的計算機終端設(shè)備造成攻擊。
[0160]請參閱圖9,其示出了本申請實施例的一種網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。其中,所述計算機設(shè)備901、902及903是被監(jiān)測的計算機設(shè)備,所述網(wǎng)絡(luò)中間設(shè)備904分別與所述901、902及903相連,所述顯示設(shè)備905與所述網(wǎng)絡(luò)中間設(shè)備904相連。其中,所述網(wǎng)絡(luò)中間設(shè)備904至少包含有上述裝置實施例中的數(shù)據(jù)包獲取單元、字段確定單元、字段值記錄單元、判斷單元,報警單元及報警數(shù)據(jù)包處理單元,實現(xiàn)直接從所述網(wǎng)絡(luò)中間設(shè)備904中獲取該設(shè)備接收到的當前數(shù)據(jù)包并進行監(jiān)測。所述網(wǎng)絡(luò)中間設(shè)備可以是交換機、路由器等。
[0161]請參閱圖10,其示出了本申請實施例的另一種網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。其中,在圖9的基礎(chǔ)上還可以包括監(jiān)測設(shè)備906,分別與所述網(wǎng)絡(luò)中間設(shè)備904及所述顯示設(shè)備905相連。所述監(jiān)測設(shè)備906至少包含數(shù)據(jù)包獲取單元、字段確定單元、字段值記錄單元、判斷單元,報警單元及報警數(shù)據(jù)包處理單元。所述監(jiān)測設(shè)備906需要從所述網(wǎng)絡(luò)中間設(shè)備904處獲取該設(shè)備接收到的當前數(shù)據(jù)包并進行流量監(jiān)測。該種實現(xiàn)方式,可以減輕所述網(wǎng)絡(luò)中間設(shè)備904的工作負擔,提高監(jiān)測效率。
[0162]需要說明的是,本說明書中的各個實施例均采用遞進的方式描述,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似的部分互相參見即可。
[0163]以上對本發(fā)明所提供的一種數(shù)據(jù)包監(jiān)測方法及裝置進行了詳細介紹,對所公開的實施例的上述說明,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實施例中實現(xiàn)。因此,本發(fā)明將不會被限制于本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。
【權(quán)利要求】
1.一種數(shù)據(jù)包監(jiān)測方法,其特征在于,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,所述方法包括: 獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包; 依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段; 記錄所述字段的字段值。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述當前數(shù)據(jù)包為當前請求數(shù)據(jù)包; 其中,所述依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段,包括: 在所述當前請求數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第一用戶標識字段及訪問網(wǎng)頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網(wǎng)頁標識字段中包括訪問網(wǎng)頁標識信息; 其中,所述記錄所述字段的字段值,包括: 獲取所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系; 保存所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包; 其中,所述依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對`應(yīng)的字段,包括: 在所述當前響應(yīng)數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第二用戶標識字段、IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息; 其中,所述記錄所述字段的字段值,包括: 依據(jù)獲取的所述IP數(shù)據(jù)包總長度信息及所述IP首部長度信息,生成所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量; 獲取所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系; 保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量及所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,在獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包之后,還包括: 判斷所述當前數(shù)據(jù)包是否符合預(yù)設(shè)報警規(guī)則; 若是,生成報警信息。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,依據(jù)生成報警信息之后,還包括: 依據(jù)所述報警規(guī)則,記錄所述當前數(shù)據(jù)包,并刪除所述當前數(shù)據(jù)包。
6.一種數(shù)據(jù)包監(jiān)測裝置,其特征在于,應(yīng)用于網(wǎng)絡(luò)中間設(shè)備,所述裝置包括: 數(shù)據(jù)包獲取單元,用于獲取所述網(wǎng)絡(luò)中間設(shè)備接收到的當前數(shù)據(jù)包; 字段確定單元,用于依據(jù)所述當前數(shù)據(jù)包的類型,在所述當前數(shù)據(jù)包中確定與預(yù)設(shè)監(jiān)測項目對應(yīng)的字段; 字段值記錄單元,用于記錄所述字段的字段值。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述數(shù)據(jù)包獲取單元獲取到的當前數(shù)據(jù)包為當前請求數(shù)據(jù)包; 其中,所述字段確定單元,包括: 第一字段確定子單元,用于在所述當前請求數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第一用戶標識字段及訪問網(wǎng)頁標識字段,所述第一用戶標識字段中包括第一用戶標識信息,所述訪問網(wǎng)頁標識字段中包括訪問網(wǎng)頁標識信息; 其中,所述字段值記錄單元,包括: 第一字段值獲取子單元,用于獲取所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系; 第一字段值保存子單元,用于保存所述第一用戶標識信息、所述訪問網(wǎng)頁標識信息及所述第一用戶標識信息與所述訪問網(wǎng)頁標識信息的對應(yīng)關(guān)系。
8.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述數(shù)據(jù)包獲取單元獲取到的當前數(shù)據(jù)包為當前響應(yīng)數(shù)據(jù)包; 其中,所述字段確定單元,包括: 第二字段確定子單元,用于在所述當前響應(yīng)數(shù)據(jù)包中,確定與所述監(jiān)測項目對應(yīng)的第二用戶標識字段、IP數(shù)據(jù)包總長度字段及IP首部長度字段,所述第二用戶標識字段中包括第二用戶標識信息,所述IP數(shù)據(jù)包總長度字段中包括IP數(shù)據(jù)包長度信息,所述IP首部長度字段中包括IP首部長度信息; 其中,所述字段值記錄單元,包括: 第二字段值獲取子單元,用于依`據(jù)獲取的所述IP數(shù)據(jù)包總長度信息及所述IP首部長度信息,生成所述當前響應(yīng)數(shù)據(jù)包的響應(yīng)數(shù)據(jù)量; 第三字段值獲取子單元,用于獲取所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系; 第二字段值保存子單元,用于保存所述第二用戶標識信息、所述響應(yīng)數(shù)據(jù)量及所述第二用戶標識信息與所述響應(yīng)數(shù)據(jù)量的對應(yīng)關(guān)系。
9.根據(jù)權(quán)利要求6所述的裝置,其特征在于,還包括: 判斷單元,用于判斷所述當前數(shù)據(jù)包是否符合預(yù)設(shè)報警規(guī)則;若是,觸發(fā)報警單元; 報警單元,用于生成報警信息。
10.根據(jù)權(quán)利要求9所述的裝置,其特征在于,還包括: 報警數(shù)據(jù)包處理單元,用于依據(jù)所述報警規(guī)則,記錄所述當前數(shù)據(jù)包,并刪除所述當前數(shù)據(jù)包。
【文檔編號】H04L12/26GK103684927SQ201310737892
【公開日】2014年3月26日 申請日期:2013年12月27日 優(yōu)先權(quán)日:2013年12月27日
【發(fā)明者】陳新, 董永勝, 季曉旭, 葉鑫, 王興 申請人:昆山中創(chuàng)軟件工程有限責任公司