本发明专利技术涉及一种检测用户多维信息的方法、装置和系统。本发明专利技术首先捕获用户终端所发送的数据报文,然后根据映射表与树形结构特征库,定位用户多维信息,以及用户多维信息的分类链。其中,所述映射表中存储了数据报文中用户多维底层信息与用户多维信息的映射关系;所述树形结构特征库以树形结构方式存储了用户多维信息的人为分组信息。本发明专利技术可以精确地检测出用户的多维信息,能够广泛应用于计算机网络安全领域。
【技术实现步骤摘要】
“一种检测用户多维信息的方法、装置和系统”专利技术涉及计算机网络安全,尤其涉及网络中用户多维信息的检测。
技术介绍
目前网络安全设备级别越来越高,对于用户的精准定位需求也越来越重要。之前的网络安全设备主要是针对人的定位,但是在许多应用环境下,人这个概念比较模糊,网络管理人员往往还需要检测出用户其它维度的信息,如用户终端接入网络的位置和用户上网工具。举例,若检测出用户接入网络的具体物理位置,则在网络中出现ARP或者其它病毒攻击时,网络管理人员可以迅速定位病毒终端的具体物理位置,及时将其隔离。结合DHCP协议的扩展——认证DHCP和DHCP Option 82,即可完整地记录终端、用户、IP地址和接入位置之间的关系。但是该技术是网络管理人员人为地在网络流量中填入用户终端、用户、TP地址和接入位置,是一种主动的方式,并且该方法依赖于DHCP服务器, 局限性非常大。
技术实现思路
本专利技术的目的是针对现有技术的缺陷,提供一种检测用户多维信息的方法、装置及系统,从而实现用户终端接入位置和工具的检测。为了实现上述目的,本专利技术提供了一种检测用户多维信息的方法。为了实现上述目的,本专利技术还提供了一种检测用户多维信息的装置。为了实现上述目的,本专利技术还提供了一种检测用户多维信息的系统。本专利技术在检测出用户终端的接入位置信息和上网工具后,就可以更加迅速地定位用户终端,缩短定位终端用户的时间。本专利技术可以精确地定位用户终端接入位置和上网工具,而且不依赖于任何服务ο附图说明下面将参照附图对本专利技术的具体实施方案进行更详细的说明,在附图中图1为本专利技术的一个检测用户多维信息的系统的实施例的示意图;图2为本专利技术的一个检测用户位置信息的方法的实施例的流程图;图3为本专利技术一个实施例的检测用户多维信息的装置的结构框图;图4为本专利技术检测用户多维信息时所捕获的数据报文的示意图;图5为本专利技术检测用户多维信息时所使用的映射表的一个例子;图6A为本专利技术检测用户多维信息所使用的树形结构特征库中的位置树形结构示意图;图6B为本专利技术检测用户多维信息所使用的树形结构特征库中的工具树形结构示3意图。具体实施例方式本专利技术中,用户是指上网对象,用户多维信息是指上网对象的人、位置、工具方面的描述信息,详细解释如下1.人是指上网对象的个体描述,如登录某个网站的用户名、机器的唯一标识(如 Mac地址等)。2.位置是指上网对象的接入点的位置,如Vlan ID。3.工具是指上网对象使用的机器的唯一标识(如Mac地址、机器名等)、机器类型 (如手机、Wad、PC等)、上网所使用的系统(如Windows 7,Mac等系统)、上网所使用的软件(如 IE 7,Firefox 等)。本专利技术通过一种装置检测用户多维信息。所述装置首先捕获用户终端发送的数据报文;然后提取所述数据报文中的位置底层信息和工具底层信息;再通过映射表和树形结构特征库,将所述位置底层信息和所述工具底层信息对应出用户终端的物理接入位置和上网工具,以及位置分类链和工具分类链。图1为本专利技术一个实施例的检测用户多维信息的系统的示意图,如图1所示该系统包括用户多维信息检测装置120,该装置首先获取用户终端,如终端1,终端2,终端3,...终端η等发送数据的数据报文;然后提取数据报文中的位置底层信息和工具底层信息;接下来,查询映射表,从而获取所述位置底层信息和工具底层信息所对应的用户终端的物理接入位置和上网工具信息;再根据树形结构特征库,定位用户终端的位置分类链和工具分类链。需要说明的是,用户多维信息检测装置120可以是一个独立的设备,也可以以一个模块的形式存在于网关或者其他上网行为管理设备中。图2为本专利技术一个实施例的检测用户多维信息的方法的流程图。下面结合如图4所示的数据报文,详细阐述本专利技术的检测用户多维信息的方法的具体步骤,如图2所示步骤210,捕获用户终端发送数据的报文。捕获用户终端发送数据的数据报文是所有网络安全产品实现中非常重要的一环, 是安全产品其他功能的基础。捕获数据本文的技术为把网卡的状态设置为混杂模式。当网卡工作在这种混杂模式时,该网卡就具备了广播地址,它对所接收到的每一个帧都产生一个硬件中断以提醒操作系统处理流经该网卡上的每一个报文包。操作系统通过直接访问链路层,截获相关数据,由应用程序而非上层协议对数据过滤处理,这样就可以捕获到流经网卡的所有数据。不同的操作系统实现的底层包捕获机制是不一样的,但是从形式上看大同小异。 数据包常规的传输路径依次为网卡、设备驱动层、数据链路层、网络层、传输层,最后到达应用程序。数据包捕获机制是在数据链路层增加一个旁路处理,对发送和接收到的数据包做过滤、缓冲处理,最后直接传递到应用程序,这样就可以捕获到流经网卡的所有数据。常用的包捕获技术包括基于Libpcap的报文捕获技术,零拷贝技术等。步骤220,将捕获的数据报文存放到缓冲中。4步骤230,提取出数据报文中包含的位置底层信息和工具底层信息。数据报文中的位置信息有几种形式,如路由信息、交换机信息、接入端口信息等, 网络协议规定了路由信息、交换机信息和接入端口信息在数据报文中的位置,网络用户多维信息装置根据网络协议提取出固定位置的十六进制数据,根据协议标准即可得出用户终端的位置底层信息,如IP地址、VlanID、接入端口号等。数据报文中的上网工具底层信息包含操作系统的信息、上网软件的信息、软件版本的信息。上网工具不同,数据报文中所携带的上网工具底层信息就不同。在捕获的数据报文中,工具底层信息以明文的字符串形式表示,其字符串头Sher-Agent,中文名为用户代理,User-Agent字符串头后面为用户上网工具的底层信息。步骤M0,确定用户终端接入位置和上网工具。路由器、网关设备放置的位置和交换机设备放置的位置和接入的位置,这些位置是固定的,并且是网络管理员已知的,部署这些设备的人把设备放置的物理位置和这些信息做一个映射,生成一个映射表。获取用户的位置底层信息后,查询该映射表,即可获得接入上网的人的物理位置。如图4所示,数据报文中的位置底层信息是IP地址 192. 168. 1. 101,查询映射表后得到的终端接入位置是楼1的1号房间。不同的上网工具会在数据报文中携带不同的工具底层信息,在数据报文中提取出工具底层信息后,查询映射表,即可获得用户上网所使用的工具。数据报文中^er-Agent特征的特征值即为工具底层信息,如图4所示,工具底层信息是 Mozilla/4. 0 (compatible ;MSIE 8. 0 ;Windows NT 5. 1 ;Trident/4. 0 ;· NET CLR 2. 0. 50727 ;InfoPath. 2),查询映射表可知,用户上网所用的工具为PC中安装的Windows XP操作系统。可以使用哈希算法查询映射表,例如,设定哈希表的长度是216,假设“Vlan 205” 的哈希值是12345,把关键字“Vlan 205”对应的信息,如“2号房间”存在哈希表的12345 项,用关键字“vlan 205”查询映射表中对应的位置信息时,就用哈希值12345查询哈希表, 得到“楼1/2号房间”。步骤250,确定用户终端的位置分类链和工具分类链。查询树形结构特征库,确定用户的位置分类链和工具分类链。可本文档来自技高网...
【技术保护点】
1.一种检测用户多维信息的方法,其特征在于,检测用户多维信息的方法包括:捕获用户终端所发送的数据报文;提取所述数据报文中的用户多维底层信息;查询映射表,获取所述多维用户底层信息所对应的用户多维信息;查询树形结构特征库,定位所述用户多维信息所对应的分类链。
【技术特征摘要】
1.一种检测用户多维信息的方法,其特征在于,检测用户多维信息的方法包括 捕获用户终端所发送的数据报文;提取所述数据报文中的用户多维底层信息;查询映射表,获取所述多维用户底层信息所对应的用户多维信息;查询树形结构特征库,定位所述用户多维信息所对应的分类链。2.如权利要求1所述的检测用户多维信息的方法,其特征在于,所述用户多维信息包括人的信息、位置信息、工具信息中的两个或者三个。3.如权利要求1所述的检测用户多维信息的方法,其特征在于,所述查询映射表使用的算法为哈希算法。4.如权利要求1所述的检测用户多维信息的方法,其特征在于,所述查询树形结构特征库所使用的算法为哈希算法。5.如权利要求1所述的检测用户多维信息的方法,其特征在于,在所述数据报文中提取所述位置底层信息的步骤包括提取所述数据报文中固定位置的数据。6....
【专利技术属性】
技术研发人员:刘卫,胡和杰,李继明,俞小毛,
申请(专利权)人:北京网康科技有限公司,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。