基于私有HEAD的数据镜像方法技术

本发明专利技术公开了一种基于私有HEAD的数据镜像方法，包括：用户终端访问互联网；AH模块对访问互联网的上网数据包进行识别，复制满足条件的数据包，在其前部增加私有HEAD进行封装，将封装后得到的数据包发送给审计硬件模块；HOST设备和审计硬件模块均存在自己的固定网络地址；审计硬件模块收到封装后得到的数据包后，AS模块对其进行解封装处理；审计硬件模块对解封装后的数据包进行网络安全审计，丢弃掉无用的数据包，并将有用的数据包转换成符合各地市公安的要求标准的数据，并通过网络上报到指定的审计服务器。本发明专利技术对HOST设备的性能消耗较低、对HOST设备的用户体验无影响、降低部署成本、对于中小场所更容易落地实施。

【技术实现步骤摘要】
基于私有HEAD的数据镜像方法
本专利技术涉及无线数据通信领域，特别涉及一种基于私有HEAD的数据镜像方法。
技术介绍
随着笔记本电脑、智能手机、平板电脑等移动终端的日益普及和国内运营商以及各类提供WiFi服务公共场所的大规模建设，中国互联网产业迎来了移动互联网时代。提供无线上网服务的场所也越来越多，比如火车站、飞机场等大型公共场所，购物商场、咖啡厅、KTV等休闲娱乐场所，甚至连小型宾馆酒店、招待所也都普遍提供无线接入互联网服务。这随之带来的就是WLAN上网场所的安全监管问题日益突出，因为在非经营性上网服务场所如宾馆、休闲会所、中西餐厅等，通过WiFi上网都是不需要出示身份证明的，这部分的监管存在很大的漏洞。很多网民在这些场所随意上网，发布一些有害信息，影响社会治安和公共秩序；更有甚者，通过不记名接入互联网，做些违法犯罪的勾当，给公共安全和公民财产等带来巨大安全隐患。公安机关按照互联网管理条例，将WLAN安全监管纳入管理范畴，并进行严格检查和执行。各非经营上网服务的场所，只要是面向公众提供WiFi服务的，必须安装符合公安部82号令的互联网安全审计系统(下称“审计系统”)。审计系统包含前端(设备端)和后端(服务器端)两部分。传统前端审计的方式有两种，一种是直接运行在HOST(宿主系统)上，通过libpcap(网络数据包捕获函数库)机制捕获用户上网数据，这种方式对HOST设备的内存和CPU处理能力有一定要求，同时对HOST设备的整体性能有较大影响；另一种是通过物理端口镜像的方式获取用户上网数据，这种方式一般开启端口镜像的位置在HOST设备的上行网络中，通常位于网关或交换机设备上，对于小场所简单网络的情景下，部署成本偏高，不容易落地实施。
技术实现思路
本专利技术要解决的技术问题在于，针对现有技术的上述缺陷，提供一种对HOST设备的性能消耗较低、对HOST设备的用户体验无影响、降低部署成本、对于中小场所更容易落地实施的基于私有HEAD的数据镜像方法。本专利技术解决其技术问题所采用的技术方案是：构造一种基于私有HEAD的数据镜像方法，应用于公安系统的网络安全审计系统，所述网络安全审计系统包括用户终端、HOST设备、审计硬件模块和审计服务器，所述用户终端通过无线方式连接所述HOST设备，所述HOST设备与所述审计硬件模块连接，所述审计硬件模块通过网关与所述审计服务器连接，所述HOST设备中设有AH(audithost)模块，所述审计硬件模块中设有AS(auditsalve)模块，所述方法包括如下步骤：A)所述用户终端访问互联网；B)所述AH模块对所述用户终端访问互联网的上网数据包进行识别，复制满足条件的数据包，并在其前部增加私有HEAD进行封装处理，将封装后得到的数据包发送给审计硬件模块；所述HOST设备和审计硬件模块均存在自己的固定网络地址；C)所述审计硬件模块收到所述封装后得到的数据包后，所述AS模块对所述封装后得到的数据包进行解封装处理；D)所述审计硬件模块对解封装后的数据包进行网络安全审计，丢弃掉无用的数据包，并将有用的数据包转换成符合各地市公安的要求标准的数据，并通过网络上报到指定的所述审计服务器。在本专利技术所述的基于私有HEAD的数据镜像方法中，所述私有HEAD采用UDP协议进行封装处理，并把所述上网数据包作为数据内容封装在内，所述私有HEAD采用指定端口号。在本专利技术所述的基于私有HEAD的数据镜像方法中，所述步骤B)进一步包括：B1)所述AH模块初始化时，分别注册HOOK函数PREROUTING和POSTROUTING；B2)当有所述终端的上网数据包时，检测所述上网数据包是否满足丢弃条件，如是，对所述上网数据包进行丢弃；否则，执行步骤B3)；B3)检测所述上网数据包是否满足镜像处理的条件，如是，执行步骤B4)；否则，对所述上网数据包进行放行；B4)对所述上网数据包进行限速处理，执行步骤B5)；B5)复制所述上网数据包；B6)检测是否需要分片处理，如是，将所述上网数据包分为两个片段进行发送，执行步骤B7＇)；否则，执行步骤B7)；B7)在所述上网数据包的前面添加所述私有HEAD得到所述封装后得到的数据包，执行步骤B8)；B7＇)在每个所述片段的前面分别添加对应的私有HEAD，并在各自的私有HEAD的IP层置位分片标记得到所述封装后得到的数据包，执行步骤B8)；B8)将所述封装后得到的数据包通过指定接口发送给所述审计硬件模块，并对所述上网数据包进行放行处理。在本专利技术所述的基于私有HEAD的数据镜像方法中，所述丢弃条件包括：所述上网数据包的接口信息是WAN口，且所述上网数据包为ARP报文，询问的地址段是169.254.100.254/30，或者所述上网数据包的接口信息是WAN口，且所述上网数据包为IP报文，所述IP报文中源IP为地址段169.254.100.254/30。在本专利技术所述的基于私有HEAD的数据镜像方法中，满足所述镜像处理的条件包括：检测所述AH模块的功能是否开启，如果没有开启，则对所述上网数据包进行放行处理；检测所述上网数据包是否为IP报文，如果不是，则对所述上网数据包进行放行处理；检测所述上网数据包是否为LAN口，如不是，则对所述上网数据包进行放行处理；检测所述上网数据包的源MAC或目的MAC是否为所述审计硬件模块的MAC地址，如是，则对所述上网数据包进行放行处理；检测所述上网数据包的接口状态是否是UP，如不是，则对所述上网数据包进行放行处理。在本专利技术所述的基于私有HEAD的数据镜像方法中，所述限速处理采用令牌桶算法，令牌桶中的每一个令牌代表一个字节，所述步骤B4)进一步包括：B41)所述令牌桶中的令牌以固定速率添加；B42)当一个n字节的上网数据包到达时，从所述令牌桶中删除n个所述令牌，若剩余的令牌小于n，则限制所述上网数据包；所述n为大于1的整数。在本专利技术所述的基于私有HEAD的数据镜像方法中，所述AS模块通过注册HOOK函数PREROUTING来捕获封装后得到的数据包，所述步骤C)进一步包括：C1)检测当前收到的是否是封装后得到的数据包，如是，执行步骤C2)；否则，对所述上网数据包进行放行；C2)检测所述封装后得到的数据包是否分片，如是，进行重组操作，执行步骤C3)；否则，执行步骤C4)；C3)判断重组操作是否成功，如是，执行步骤C4)；否则，执行步骤C6)；C4)对所述封装后得到的数据包进行复制，执行步骤C5)；C5)去除所述封装后得到的数据包中的私有HEAD，将所述上网数据包进行还原，并将所述上网数据包发送到指定的接口，执行步骤C6)；C6)将所述封装后得到的数据包进行丢弃。在本专利技术所述的基于私有HEAD的数据镜像方法中，注册到HOOK函数PREROUTING，若所述上网数据包中的接口名称为LAN口名称，则认为是所述终端的上行数据；若所述上网数据包中的接口名称为WAN口名称，则认为是所述终端的下行数据；注册到HOOK函数POSTROUTING，若所述上网数据包中的接口名称为LAN口名称，则认为是所述终端的下行数据；若所述上网数据包中的接口名称为WAN口名称，则认为是所述终端的上行数据。在本专利技术所述的基于私有HEAD的数据镜像方法中，所述指定端口号为5151。在本专利技术所述的基于私有H本文档来自技高网...

【技术保护点】
1.一种基于私有HEAD的数据镜像方法，其特征在于，应用于公安系统的网络安全审计系统，所述网络安全审计系统包括用户终端、HOST设备、审计硬件模块和审计服务器，所述用户终端通过无线方式连接所述HOST设备，所述HOST设备与所述审计硬件模块连接，所述审计硬件模块通过网关与所述审计服务器连接，所述HOST设备中设有AH模块，所述审计硬件模块中设有AS模块，所述方法包括如下步骤：A)所述用户终端访问互联网；B)所述AH模块对所述用户终端访问互联网的上网数据包进行识别，复制满足条件的上网数据包，并在其前部增加私有HEAD进行封装处理，将封装后得到的数据包发送给审计硬件模块；所述HOST设备和审计硬件模块均存在自己的固定网络地址；C)所述审计硬件模块收到所述封装后得到的数据包后，所述AS模块对所述封装后得到的数据包进行解封装处理；D)所述审计硬件模块对解封装后的数据包进行网络安全审计，丢弃掉无用的数据包，并将有用的数据包转换成符合各地市公安的要求标准的数据，并通过网络上报到指定的所述审计服务器。

【技术特征摘要】
1.一种基于私有HEAD的数据镜像方法，其特征在于，应用于公安系统的网络安全审计系统，所述网络安全审计系统包括用户终端、HOST设备、审计硬件模块和审计服务器，所述用户终端通过无线方式连接所述HOST设备，所述HOST设备与所述审计硬件模块连接，所述审计硬件模块通过网关与所述审计服务器连接，所述HOST设备中设有AH模块，所述审计硬件模块中设有AS模块，所述方法包括如下步骤：A)所述用户终端访问互联网；B)所述AH模块对所述用户终端访问互联网的上网数据包进行识别，复制满足条件的上网数据包，并在其前部增加私有HEAD进行封装处理，将封装后得到的数据包发送给审计硬件模块；所述HOST设备和审计硬件模块均存在自己的固定网络地址；C)所述审计硬件模块收到所述封装后得到的数据包后，所述AS模块对所述封装后得到的数据包进行解封装处理；D)所述审计硬件模块对解封装后的数据包进行网络安全审计，丢弃掉无用的数据包，并将有用的数据包转换成符合各地市公安的要求标准的数据，并通过网络上报到指定的所述审计服务器。2.根据权利要求1所述的基于私有HEAD的数据镜像方法，其特征在于，所述私有HEAD采用UDP协议进行封装处理，并把所述上网数据包作为数据内容封装在内，所述私有HEAD采用指定端口号。3.根据权利要求2所述的基于私有HEAD的数据镜像方法，其特征在于，所述步骤B)进一步包括：B1)所述AH模块初始化时，分别注册HOOK函数PREROUTING和POSTROUTING；B2)当有所述终端的上网数据包时，检测所述上网数据包是否满足丢弃条件，如是，对所述上网数据包进行丢弃；否则，执行步骤B3)；B3)检测所述上网数据包是否满足镜像处理的条件，如是，执行步骤B4)；否则，对所述上网数据包进行放行；B4)对所述上网数据包进行限速处理，执行步骤B5)；B5)复制所述上网数据包；B6)检测是否需要分片处理，如是，将所述上网数据包分为两个片段进行发送，执行步骤B7＇)；否则，执行步骤B7)；B7)在所述上网数据包的前面添加所述私有HEAD得到所述封装后得到的数据包，执行步骤B8)；B7＇)在每个所述片段的前面分别添加对应的私有HEAD，并在各自的私有HEAD的IP层置位分片标记得到所述封装后得到的数据包，执行步骤B8)；B8)将所述封装后得到的数据包通过指定接口发送给所述审计硬件模块，并对所述上网数据包进行放行处理。4.根据权利要求3所述的基于私有HEAD的数据镜像方法，其特征在于，所述丢弃条件包括：所述上网数据包的接口信息是WAN口，且所述上网数据包为ARP报文，询问的地址段是169.254.100.254/30，或者所述上网数据包的接口信息是WAN口，且所述上网数据包为IP报文，所述IP报文中源IP为地址段...

【专利技术属性】
技术研发人员：刘耀明，王维嘉，
申请(专利权)人：深圳云盈网络科技有限公司，
类型：发明
国别省市：广东,44