一种监视网络用户数据流的方法,其特征在于该方法包括以下步骤:a、在网络设备中,将用于监视和分析网络用户数据流的信息作为日志记录保存起来;b、检索并分析步骤a所述的日志记录,获取所监视数据流的源信息与具体用户的对应关系。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
一种监视网络用户数据流的方法
本专利技术涉及网络监视
,特别是指一种监视网络用户数据流的方法。
技术介绍
通常情况下,用户经过网络接入设备才能与Internet网络建立起连接,如果待接入用户为内部网络的主机之一,则需经过网络地址转换(NAT:Network Address Translation)设备,或NAT设备和网络接入设备才能与Internet网络建立起连接。网络接入设备是指网络接入服务器(NAS:Network Access Server)、宽带接入服务器(BAS:Broadband Access Server)等设备,网络接入技术的一个重要功能就是给接入用户分配IP地址并进行管理。大多数情况,网络提供服务商(ISP:Internet Service Provider)为每一个接入用户每次接入时分配的IP地址是随机的,且不是与接入用户固定绑定的,即ISP是将地址池中有限的IP地址,在不同的时间内重复分配给大量的用户。因此,接入用户数据流中所包含的源IP地址信息与某一个接入用户之间没有固定的对应关系。网络地址转换(NAT:Network Address Translation)设备的机制,是指将内部网络主机所发报文的源IP地址和源端口,转换为外部网络的源IP地址和源端口,并将转换前的源IP地址、源端口与地址转换后的源IP地址、源端口的对应关系保存在地址转换哈希(HASH)表中;反之,对于外部网络响应报文的目的IP地址和目的端口,通过查询已建立的地址转换HASH表,使之转换回内部网络主机的IP地址和端口。NAT技术使内部网络实现-->了访问外部网络的功能。当访问结束后,该地址转换HASH表将被删除。由于NAT技术本身具有“屏蔽”内部主机的作用,即对内部网络的源IP地址和源端口进行了转换,为内部主机提供了“隐私”保护。但与此同时,也为在外部网络的信息安全相关部门监视内部网络主机的数据流设置了障碍。在某些情况,为了公共的利益,需长期或实时监视并分析网络用户的数据流,并详细了解数据流的源、目的、应用、时间、流量等信息。例如:安全部门希望追踪某一时间段,哪个用户对Internet上的某一网络站点,进行了什么性质的访问。现在一般采用以下两种监视方案:1)在网络终端服务器上,对访问本服务器的数据流做日志和审计,从而达到监视用户数据流的目的。应用上述方法不能对所有的服务器终端进行监视,同时,该方案也不能解决NAT和接入等技术带来的数据流中的源信息与具体用户不能一一对应的问题。2)利用Cisco公司提供的网络数据流(NetFlow)技术,实现对流经路由设备的数据流的源和目的地址、应用协议、创建和持续时间等信息进行收集、过滤、输出和存储,并根据所收集的信息对网络用户的数据流进分析,从而达到监视用户数据流的目的。应用上述方法,同样不能解决NAT和接入等技术带来的数据流中的源信息与具体接入用户不能一一对应的问题。而且在NAT设备上采用NetFlow机制时,还需要独立于NAT技术所维护HASH表,再创建一张数据流HASH表,并需单独对该数据流HASH表进行维护、查询等工作,这无疑增加了内存的消耗,降低了系统的性能;在NAT设备或接入设备上采用NetFlow机制监视用户数据流时,只能在数据流结束时才进行记录,因此对于在线网络用户的数据流无法进行实时监视。无论是服务器的日志技术,还是NetFlow技术,都无法解决NAT和接入等技术中数据流中的源信息与具体用户一一对应的问题,即无法定位到具-->体的接入用户。在目前NAT和接入等技术普遍应用的情况下,这个问题是不容忽略的。
技术实现思路
有鉴于此,本专利技术提供一种监视网络用户数据流的方法,使网络用户所在数据流的源信息与具体的接入用户之间形成一一对应关系,同时,实现长期或实时对接入用户数据流的监视以及分析。为达到上述目的本专利技术的技术方案是这样实现的:一种监视网络用户数据流的方法,该方法包括以下步骤:a、在网络设备中,将用于监视和分析网络用户数据流的信息作为日志记录保存起来;b、检索并分析步骤a所述的日志记录,获取所监视数据流的源信息与具体用户的对应关系。较佳地,步骤a所述的网络设备为网络地址转换设备和/或网络接入设备。较佳地,对于网络地址转换设备,步骤a所述用于监视和分析网络用户数据流的信息至少包括:经网络地址转换设备转换前的源IP地址和源端口、经网络地址转换设备转换后的源IP地址和源端口、目的IP地址、数据流的创建时间以及数据流的结束时间;对于接入设备,步骤a所述用于监视和分析网络用户数据流的信息至少包括:源IP地址、目的IP地址、接入的用户名、用户被分配的IP地址、数据流的创建时间、数据流的结束时间、上线时间和下线时间。较佳地,对于网络地址转换设备,步骤b所述所监视数据流的源信息为经网络地址转换设备转换后的源IP地址和源端口,所述具体用户为经网络地址转换设备转换前的源IP地址和源端口;对于接入设备,步骤b所述所监视数据流的源信息为源IP地址,所述具体用户为接入的用户名。较佳地,所述步骤b进一步包括:对于网络地址转换设备,根据日志记-->录中的经网络地址转换设备转换后的源IP地址和源端口、目的IP地址,以及该源IP地址和源端口所在数据流的创建时间和结束时间,获取经网络地址转换设备转换后的源IP地址和源端口与转换前的源IP地址和源端口的对应关系;对于接入设备,根据日志记录中的源IP地址所在数据流的创建时间和结束时间,再根据网络用户的上线时间、下线时间以及该用户被分配到的IP地址,获取接入的用户名与所监视数据流的源IP地址对应关系。较佳地,创建所述用于监视和分析网络用户数据流的同时生成日志记录并输出。较佳地,该方法进一步包括,设置一定时器,使用于监视和分析网络用户数据流的日志记录定时输出。较佳地,该方法进一步包括,设置日志存储设备,所述的日志记录保存于日志产生设备中和/或保存于日志存储设备中,并通过日志产生设备和/或日志存储设备进行输出。较佳地,该方法进一步包括,设置过滤条件,只对符合过滤条件的用户数据流进行日志记录。较佳地,对于网络地址转换设备,所述用于监视和分析网络用户数据流的信息还包括但不限于:目的端口、协议号、数据流的结束原因和流量中的一项或复数项;对于接入设备,所述用于监视和分析网络用户数据流的信息还包括但不限于:源端口、目的端口、协议号、数据流的结束原因、流量、接入的接口、永久虚拟电路和虚拟局域网标识中的一项或复数项。应用本专利技术,在用户接入网络所必经的网络设备上,对接入用户的数据流进行日志记录,通过检索、分析日志记录,解决了数据流中源信息与具体用户不对应的问题,使接入用户的数据流迅速准确的被定位到具体的接入用户。应用本专利技术,通过对网络用户数据流进行监视和分析,可追踪网络用户中的不正当的非法活动,或对网络数据的流量与分布进行分析,或对用户进行计帐与收费,或指导网络的规划或者服务器的维护等等,该方法简便易行,-->实用性强。附图说明图1为应用本专利技术的NAT设备对内部网络用户做地址转换后的数据流进行日志记录的示意图;图2为应用本专利技术的接入设备对接入用户的数据流日志记录及上下线日志记录的示意图;图3为应用本专利技术的日志产生设备将所生成的日志报文传输到日志存储设备本文档来自技高网...
【技术保护点】
【技术特征摘要】
1、一种监视网络用户数据流的方法,其特征在于该方法包括以下步骤:a、在网络设备中,将用于监视和分析网络用户数据流的信息作为日志记录保存起来;b、检索并分析步骤a所述的日志记录,获取所监视数据流的源信息与具体用户的对应关系。2、根据权利要求1所述的方法,其特征在于,步骤a所述的网络设备为网络地址转换设备和/或网络接入设备。3、根据权利要求2所述的方法,其特征在于,对于网络地址转换设备,步骤a所述用于监视和分析网络用户数据流的信息至少包括:经网络地址转换设备转换前的源IP地址和源端口、经网络地址转换设备转换后的源IP地址和源端口、目的IP地址、数据流的创建时间以及数据流的结束时间;对于接入设备,步骤a所述用于监视和分析网络用户数据流的信息至少包括:源IP地址、目的IP地址、接入的用户名、用户被分配的IP地址、数据流的创建时间、数据流的结束时间、上线时间和下线时间。4、根据权利要求3所述的方法,其特征在于,对于网络地址转换设备,步骤b所述所监视数据流的源信息为经网络地址转换设备转换后的源IP地址和源端口,所述具体用户为经网络地址转换设备转换前的源IP地址和源端口;对于接入设备,步骤b所述所监视数据流的源信息为源IP地址,所述具体用户为接入的用户名。5、根据权利要求4所述的方法,其特征在于,所述步骤b进一步包括:对于网络地址转换设备,根据日志记录中的经网络地址转换设备转换后的源IP地址和源端口、目的IP地址,以及该...
【专利技术属性】
技术研发人员:闫长江,田力,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。