网络访问旁路监控方法及电子设备技术

本申请实施例公开了一种网络访问旁路监控方法及电子设备，其中，该方法包括：通过镜像端口获取访问报文的镜像报文；通过操作系统内核中的接收函数，将镜像报文中的目标报文引导至Netfilter框架；通过Netfilter框架中的第一钩子函数基于目标报文，确定访问报文的源设备是否符合访问条件；在源设备不符合访问条件的情况下，通过Netfilter框架中第二钩子函数向访问报文的源设备和目标设备发送伪造的阻断报文，以请求断开源设备和目标设备之间的网络连接。该方法的整个监控过程均在操作系统内核中完成，无需在内核层和应用层之间进行数据传输，能够提高数据处理效率和响应速度，避免监控失效，而且有益于降低对系统资源和缓存空间的占用率。的占用率。的占用率。

【技术实现步骤摘要】
网络访问旁路监控方法及电子设备


[0001]本申请实施例涉及安全防护
，尤其涉及一种网络访问旁路监控方法及电子设备。

技术介绍

[0002]一般情况下网关实现设备准入管控功能需要将网关设备串接在网络当中，网络数据必须经过网关的转发才能到达相应设备。但是，一些客户并不希望网关设备串接在他们的网络系统当中。因此，只能通过接收网络核心交换机的镜像报文，在确定源设备不符合准入条件的情况下，通过伪装回复阻断包来阻断通信连接。
[0003]现有技术中进行旁路准入控制是通过抓包工具将进入网卡的网络数据包从内核层拷贝到应用层供应用程序去分析，针对需要进行阻断的通信连接，由应用层中的应用程序伪造组包，再拷贝至内核层通过网卡发送。这种方式存在的问题是，抓包与响应存在延时，用户通过工具来抓包并分析检测到发送出去阻断包需要经过内核层到应用层、应用层到内核层两次拷贝，在一定程度上存在延时，很容易因伪造包被丢弃或通信连接已完成而导致阻断操作失败。

技术实现思路

[0004]有鉴于现有技术中存在的上述问题，本申请实施例提供了一种监控效率较高的网络访问旁路监控方法及电子设备。
[0005]为解决上述问题，本申请实施例提供的技术方案是：
[0006]一种网络访问旁路监控方法，应用于电子设备，所述方法包括：
[0007]通过镜像端口获取访问报文的镜像报文；
[0008]通过操作系统内核中的接收函数，将所述镜像报文中的目标报文引导至Netfilter框架；其中，所述目标报文为目的地址不指向所述电子设备的所述镜像报文；
[0009]通过Netfilter框架中的第一钩子函数基于所述目标报文，确定所述访问报文的源设备是否符合访问条件；
[0010]在所述源设备不符合访问条件的情况下，通过Netfilter框架中第二钩子函数向所述访问报文的源设备和目标设备发送伪造的阻断报文，以请求断开所述源设备和所述目标设备之间的网络连接。
[0011]在一些实施例中，所述方法还包括：
[0012]在所述源设备符合访问条件的情况下，丢弃所述目标报文。
[0013]在一些实施例中，所述通过Netfilter框架中的第一钩子函数基于所述目标报文，确定所述访问报文的源设备是否符合访问条件，包括：
[0014]通过Netfilter框架中的第一钩子函数获取所述目标报文的源地址；
[0015]确定所述源地址与预置表单中的地址信息是否匹配；
[0016]在所述源地址与预置表单中的至少一个地址信息相匹配的情况下，确定所述源设
备不符合所述访问条件；或者
[0017]在所述源地址与预置表单中的地址信息不匹配的情况下，确定所述源设备不符合所述访问条件。
[0018]在一些实施例中，所述预置表单包含地址信息和与各所述地址信息相对应的第一哈希值；所述确定所述源地址与预置表单中的地址信息是否匹配，包括：
[0019]基于所述源地址生成第二哈希值；
[0020]确定所述第二哈希值是否与所述预置表单中的第一哈希值相匹配。
[0021]在一些实施例中，所述通过Netfilter框架中第二钩子函数向所述访问报文的源设备和目标设备发送伪造的阻断报文，包括：
[0022]通过Netfilter框架中raw表中PREROUTING链下的第二钩子函数向所述访问报文的源设备和目标设备发送伪造的阻断报文。
[0023]在一些实施例中，所述通过Netfilter框架中第二钩子函数向所述访问报文的源设备和目标设备发送伪造的阻断报文，包括：
[0024]在所述访问报文符合TCP协议的情况下，通过Netfilter框架中nf_send_reset函数向所述访问报文的源设备和目标设备发送伪造的阻断报文；
[0025]在所述访问报文符合UDP协议的情况下，通过Netfilter框架中的nf_send_unreach函数向所述访问报文的源设备和目标设备发送伪造的阻断报文。
[0026]一种电子设备，包括：
[0027]获取模块，用于通过镜像端口获取访问报文的镜像报文；
[0028]引导模块，用于通过操作系统内核中的接收函数，将所述镜像报文中的目标报文引导至Netfilter框架；其中，所述目标报文为目的地址不指向所述电子设备的所述镜像报文；
[0029]确定模块，用于通过Netfilter框架中的第一钩子函数基于所述目标报文，确定所述访问报文的源设备是否符合访问条件；
[0030]发送模块，用于在所述源设备不符合访问条件的情况下，通过Netfilter框架中第二钩子函数向所述访问报文的源设备和目标设备发送伪造的阻断报文，以请求断开所述源设备和所述目标设备之间的网络连接。
[0031]在一些实施例中，还包括：
[0032]丢弃模块，用于在所述源设备符合访问条件的情况下，丢弃所述目标报文。
[0033]在一些实施例中，所述确定模块具体用于：
[0034]通过Netfilter框架中的第一钩子函数获取所述目标报文的源地址；
[0035]确定所述源地址与预置表单中的地址信息是否匹配；
[0036]在所述源地址与预置表单中的至少一个地址信息相匹配的情况下，确定所述源设备不符合所述访问条件；或者
[0037]在所述源地址与预置表单中的地址信息不匹配的情况下，确定所述源设备不符合所述访问条件。
[0038]在一些实施例中，所述发送模块具体用于：
[0039]通过Netfilter框架中raw表中PREROUTING链下的第二钩子函数向所述访问报文的源设备和目标设备发送伪造的阻断报文。
[0040]本申请实施例的网络访问旁路监控方法，通过镜像端口获取访问报文的镜像报文，通过操作系统内核中的接收函数，经镜像报文中的目标报文引导至Netfilter框架，通过Netfilter框架中的第一钩子函数基于所述目标报文，确定所述访问报文的源设备是否符合访问条件，在所述源设备不符合访问条件的情况下，通过Netfilter框架中第二钩子函数向所述访问报文的源设备和目标设备发送伪造的阻断报文，以请求断开所述源设备和所述目标设备之间的网络连接。如此，整个监控过程均在操作系统内核中完成，无需在内核层和应用层之间进行数据传输，能够提高数据处理效率和响应速度，避免监控失效，而且有益于降低对系统资源和缓存空间的占用率。
附图说明
[0041]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：
[0042]图1为本申请实施例的网络访问旁路监控方法的场景图；
[0043]图2为本申请实施例的网络访问旁路监控方法的流程图；
[0044]图3为本申请实施例的网络访问旁路监控方法中步骤S230的流程图；
[0045]图4为本申请实施例的电子设备的结构框图；
[0046]图5为本申请实施例的电本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络访问旁路监控方法，应用于电子设备，其特征在于，所述方法包括：通过镜像端口获取访问报文的镜像报文；通过操作系统内核中的接收函数，将所述镜像报文中的目标报文引导至Netfilter框架；其中，所述目标报文为目的地址不指向所述电子设备的所述镜像报文；通过Netfilter框架中的第一钩子函数基于所述目标报文，确定所述访问报文的源设备是否符合访问条件；在所述源设备不符合访问条件的情况下，通过Netfilter框架中第二钩子函数向所述访问报文的源设备和目标设备发送伪造的阻断报文，以请求断开所述源设备和所述目标设备之间的网络连接。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所述源设备符合访问条件的情况下，丢弃所述目标报文。3.根据权利要求1所述的方法，其特征在于，所述通过Netfilter框架中的第一钩子函数基于所述目标报文，确定所述访问报文的源设备是否符合访问条件，包括：通过Netfilter框架中的第一钩子函数获取所述目标报文的源地址；确定所述源地址与预置表单中的地址信息是否匹配；在所述源地址与预置表单中的至少一个地址信息相匹配的情况下，确定所述源设备不符合所述访问条件；或者在所述源地址与预置表单中的地址信息不匹配的情况下，确定所述源设备不符合所述访问条件。4.根据权利要求3所述的方法，其特征在于，所述预置表单包含地址信息和与各所述地址信息相对应的第一哈希值；所述确定所述源地址与预置表单中的地址信息是否匹配，包括：基于所述源地址生成第二哈希值；确定所述第二哈希值是否与所述预置表单中的第一哈希值相匹配。5.根据权利要求1所述的方法，其特征在于，所述通过Netfilter框架中第二钩子函数向所述访问报文的源设备和目标设备发送伪造的阻断报文，包括：通过Netfilter框架中raw表中PREROUTING链下的第二钩子函数向所述访问报文的源设备和目标设备发送伪造的阻断报文。6.根据权利要求1所述的方法，其特征在于，所述通...

【专利技术属性】
技术研发人员：柳翔翔，国占飞，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：