专利名称:对非法报文的监控方法及监控系统的制作方法
技术领域:
本发明涉及一种报文监控技术领域,具体涉及一种数字通信网络中对非法报文的监控方法及监控系统。
背景技术:
由于计算机技术和数字通信网络的普及,网络已经成为了人们生活中不可缺少的一部分,随着需求的不断增加,网络的结构和层次越来越复杂,在网络中传输的报文信息流也是越来越密集,由于技术或者人为的原因,网络中常常会出现非法报文,本发明所指的非法报文一般是指网络设备能够区分出的错误、攻击报文,或者是设备无法识别和转发的报文,此类报文可能由客户端造成,也可能是由于中间设备处理错误所产生。
在某些具有防火墙功能的网络设备中,经常检测到其转发的报文属于外部的某种非法攻击,于是将该报文丢弃。对于这种情况,网络规划和研究人员希望了解网络上当前的非法攻击报文有哪些类型,来源于什么地方,目的又是何处等信息。
在某些报文进入网络设备之后,由于一些原因(如报文本身存在错误、设备无法识别该报文或者由于设备配置上存在的问题等),报文常常被设备丢弃,这种情况下可能体现为网络故障,同时也造成了信息的丢失。对这种情况,网络维护人员希望定位出现故障的网络设备具体所在,并希望进一步定位出现故障的具体原因,从而找到解决问题的办法。
发明内容
本发明解决的技术问题是提供一种适用于计算机网络或数字通信网络中的对非法报文的监控方法及监控系统,以为网络设备的维护、网络上非法报文的研究提供有效的手段。
为解决上述问题,本发明对非法报文的监控方法,该方法主要包括(1)对非法报文进行分类;(2)查询网络设备上预先设置的各类非法报文的监控规则,并对命中监控规则的非法报文根据其命中的监控规则对应的处理动作进行相应操作。
其中,所述步骤(1)中对非法报文分类是根据报文传输过程中出现的错误报文的类型进行分类。
进一步地,所述非法报文分类是按报文头部字段错误的报文分类,或者是按没有转发表项的报文分类。
其中,所述监控规则为非法报文分类类别与处理动作之间的匹配关系。
更进一步地,所述的监控规则是通过网管发送给网络设备的命令行或由网管静态配置,或者是由上一级网络设备根据当前非法报文检测的情况进行规则的动态下发。
其中,步骤(3)中所述的监控规则对应的处理动作包括a1、将报文直接从设备的端口发送出去;或a2、将报文内容保存在本地存储介质上;或a3、在报文头部封装一层新的网络信息,然后进行正常转发,发送到远端服务器。
其中,步骤(3)中所述对命中规则的非法报文的操作包括b1、若处理动作为上述a1,则在该端口上连接一个终端进行报文的接收;或b2、若处理动作为上述a2,则通过直接读取或下载进行原始报文的查看;或b3、若处理动作为上述a3,则对报文进行重组和提取发送到远端服务器上。
相应地,本发明的一种对非法报文的监控系统,该系统主要包括监控规则存储单元,用于存储各类型非法报文对应的监控规则;非法报文分类单元,用于对非法报文进行分类,以确定非法报文的类型;监控规则查询单元,用于根据所述非法报文的类型查询所述监控规则储存单元中是否存在与所述非法报文对应的监控规则;非法报文处理操作单元,当所述监控规则查询单元查询结果为存在与所述非法报文对应的监控规则时,按照该非法报文对应的监控规则对应的处理动作对该非法报文进行相应的处理。
其中,所述非法报文分类单元对非法报文分类是根据报文传输过程中出现的错误报文的类型进行分类。
进一步地,所述非法报文分类单元对非法报文分类可按报文头部字段错误的报文分类,或者是按没有转发表项的报文分类。
其中,所述监控规则存储单元存储的监控规则为非法报文分类类别与处理动作之间的匹配关系。
其中,所述监控规则存储单元存储的监控规则是通过网管发送给网络设备的命令行或由网管静态配置,或者是由上一级网络设备根据当前非法报文检测的情况进行规则的动态下发。
其中,所述监控规则存储单元存储的监控规则对应的处理动作包括A1、将报文直接从设备的端口发送出去;或A2、将报文内容保存在本地存储介质上;或A3、在报文头部封装一层新的网络信息,然后进行正常转发,发送到远端服务器。
其中,所述非法报文处理操作单元对所述非法报文进行相应的处理包括B1、若处理动作为A1,则在该端口上连接一个终端进行报文的接收;或
B2、若处理动作为A2,则通过直接读取或下载进行原始报文的查看;或B3、若处理动作为A3,则对报文进行重组和提取发送到远端服务器上。
与现有技术相比,本发明具有以下有益效果本发明改变了现有技术中直接将非法报文丢弃的作法,采用对非法报文进行分类后作较为合理的处理,优化了网络传输环境,实现了在不影响设备转发性能的前提条件下,将某种类型的报文保存或发送出来,通过对这些报文的分析,可减轻网络设备的维护难度,也可从中了解当前的网络状况,对后续的网络规划提供帮助。
图1为本发明对非法报文的监控方法的一种实施例的流程示意图;图2为本发明对非法报文的监控系统的一种实施例的组成示意图。
具体实施例方式
以下结合附图对本发明做详细说明。
参考图1,该图为本发明对非法报文的监控方法的一种实施例的流程示意图,本实施例具体流程包括步骤100首先预设监控规则,所述的监控规则可为非法报文分类类型与处理动作之间的匹配关系。
步骤101对非法报文进行分类,该分类可以根据报文传输过程中常出现的错误报文类型进行分类,也可以采用其他方式,分类方式可以根据设备所要求的精度设置,一般来说,分类越细致,精度越高。
步骤102根据非法报文的分类类型查询对应的监控规则。
步骤103判断非法报文是否命中监控规则,如果判断结果为是,即命中监控规则,则进入步骤105,如果判断结果为否,即没有命中监控规则,则进入步骤104。
步骤104不做处理,或直接丢弃报文,结束处理过程;具体实现时还可采用其他处理方式,这里不再赘述。
步骤105对命中监控规则的报文进行分析,确定其对应的处理动作,具体实现时,其处理动作可以是执行步骤106a、106b、106c或106d,其中若对应的处理动作为步骤106a即动作为本地转发,则进入步骤107a报文从本地端口发送出去;若对应的处理动作为步骤106b即动作为本地存储,则进入步骤107b报文存储于本地存储介质;若对应的处理动作为步骤106c即动作为远端转发,则进入步骤107c报文增加封装信息转发原端服务器;若对应的处理动作为其它监控规则和处理动作所定义的动作,则进入步骤106d,按照所定义动作对应的方法进行处理,至此,本实施例对非法报文的监控方法处理流程完成。
下面以网络设备中报文转发处理过程中对非法报文的监控进行详细说明。
报文进入网络设备后,设备在处理过程若发现报文本身存在问题,或由于某些限制无法对报文进行正常的转发处理,则定义为非法报文,准备将该报文进行处理。
根据报文处理过程中得到的信息,首先对非法报文进行分类。具体分类方式可以根据实际需要确定。例如,可将头部某个字段错误的报文划为一类;或将没有转发表项的报文划分为另一类。
针对非法报文分类的类型,可以预先配置对应的监控规则和处理动作本发明中监控规则可以是非法报文分类类型与处理动作之间的匹配关系,分类时可以是某一类或某几类非法报文,也可以是非法报文类型与其他规则的组合,其他分类可以是针对报文内容或报文转发路径设置的条件,如报文五元组信息等,此处IP报文的五元组信息是指源IP地址、目的IP地址、源端口号、目的端口号和协议号。比如,一些网络蠕虫病毒有一定的特征(如目的端口号固定),网络设备可以将检测出的病毒报文直接丢弃,这是一种丢弃类型。可以设置一个对应监控规则,将由于这种原因丢弃的报文发送出来,以便观察哪些终端已经感染了此种病毒。更进一步,若只希望了解这个设备下面接入的某个企业中该病毒的感染情况,可以在前一个监控规则的基础上,结合其他条件(如IP地址的网段),构造出对应的新的监控规则。
本发明中监控规则可以通过命令行下发或网管静态配置,也可以是网络设备根据当前非法报文检测的情况进行监控规则的动态下发。
另外,对于匹配各个监控规则非法报文的处理动作包含但不限于如下几种a、将原始报文直接从设备的某个端口发送出去;b、将报文内容保存在本地存储介质上;c、在原始报文头部封装一层新的网络信息(如新的IP头部),然后进行正常转发,发送到远端服务器。
数据转发层根据当前非法报文的类型,查询与其匹配的监控规则和动作,对未命中监控规则的报文直接丢弃;命中监控规则的报文根据配置的动作进行相应的下一步处理;具体来说,对命中监控规则的非法报文根据与其匹配的动作进行相应的处理如果动作为发送到本地的某个端口,则在该端口上连接一个终端进行报文的接收;如果动作为保存到本地存储介质,则可以通过直接读取或下载进行原始报文的查看;如果动作是将报文送到远端服务器上,则需要在服务器上运行相应的接收软件,对原始报文进行重组和提取。
另外,检测监控规则和动作的下发,可以是由网络设备独自完成,也可以由网络设备和其他设备结合完成。如网络设备可以和病毒检测服务器结合,当服务器检测到网络上存在通过发送报文进行传播的病毒时,可以通知网络设备保存此类病毒的相关报文,以便分析病毒来源及其分布。
下面通过一个具体的实例对本发明技术方案作示例说明。
例如通过运营商T的网络设备R接入的企业P目前某种网络蠕虫病毒泛滥,为了防止这种病毒蔓延到整个运营商网络,根据该病毒的特征(TCP报文目的端口号为4444),T的网络维护人员在设备R上设置了ACL(Access-list,访问控制列表),将设备转发的此类报文全部丢弃。
此时企业P为了找到那些当前已经感染了病毒的终端,以便针对这些终端采取一定的处理措施。根据此企业IP地址分布特点(使用网段X.Y.0.0/16),在设备R上设置如下1)规则丢弃类型ACL+IP报文源地址属于网段X.Y.0.0/16+IP报文协议号=TCP+TCP目的端口号=44442)动作从设备R端口N发送出去然后在端口N下接一个PC机,通过PC机上的软件进行报文抓取,可以很容易分析出当前那些终端感染了病毒。
下面说明本发明的非法报文监控系统。
参考图2,本发明的非法监控系统包括有监控规则存储单元10、非法报文分类单元11、监控规则查询单元12及非法报文处理操作单元13,下面详细说明。
监控规则存储单元10,本发明中所述的监控规则存储单元10主要用于存储各类型非发报文对应的监控规则。参考前述说明,这里所述监控规则为非法报文分类类别与处理动作之间的匹配关系,在具体实施例中,所述的监控规则预先配置,并可以通过网管发送给网络设备的命令行下发或由网管静态配置,或者是由上一级网络设备根据当前非法报文检测的情况进行动态下发。
非法报文分类单元11,本发明中所述的非法报文分类单元11主要用于对非法报文进行分类,以确定非法报文的类型。在具体实施时,具体的分类方式可以根据实际需要确定。例如,可以根据报文传输过程中出现的错误报文的类型进行分类,进一步细分时,还可以是按报文头部字段错误的报文分类,或者是按没有转发表项的报文分类。
监控规则查询单元12,本发明中所述的监控规则查询单元12主要用于根据所述非法报文的类型查询所述监控规则储存单元中是否存在与所述非法报文对应的监控规则。
非法报文处理操作单元13,本发明中所述的非法报文处理操作单元13主要用于当所述监控规则查询单元查询结果为存在与所述非法报文对应的监控规则时,按照非法报文对应的监控规则对应的处理动作对该非法报文进行相应的处理,另外,根据实际情况,所述非法报文处理操作单元13在所述监控规则查询查询结果为不存在与所述非法报文对应的监控规则时,也可以将所述非法报文直接丢弃并结束监控处理或采用其他处理方式,这里不再赘述,另外参考前述说明,本发明中所述的监控规则对应的处理动作可包括A1、将报文直接从设备的端口发送出去;或A2、将报文内容保存在本地存储介质上;或A3、在报文头部封装一层新的网络信息,然后进行正常转发,发送到远端服务器。而对所述非法报文进行相应的处理则包括B1、若处理动作为A1,则在该端口上连接一个终端进行报文的接收;或B2、若处理动作为A2,则通过直接读取或下载进行原始报文的查看;或
B3、若处理动作为A3,则对报文进行重组和提取发送到远端服务器上。
综上,本发明在不影响设备转发性能的前提条件下,对非法报文进行分类,并按照该类型的非法报文对应监控规则进行相应处理,例如将报文保存或发送出来,通过对这些报文的分析,可减轻网络设备的维护难度,也可从中了解当前的网络状况,对后续的网络规划提供帮助。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种对非法报文的监控方法,其特征在于,包括(1)对非法报文进行分类;(2)查询网络设备上预先设置的各类非法报文的监控规则,并对命中监控规则的非法报文根据其命中的监控规则对应的处理动作进行相应操作。
2.如权利要求1所述的对非法报文的监控方法,其特征在于,所述对非法报文进行分类是根据报文传输过程中出现的错误报文的类型进行分类。
3.如权利要求2所述的对非法报文的监控方法,其特征在于,所述对非法报文进行分类是按报文头部字段错误的报文分类,或者是按没有转发表项的报文分类。
4.如权利要求1所述的对非法报文的监控方法,其特征在于,所述监控规则为非法报文分类类别与处理动作之间的匹配关系。
5.如权利要求1-4任一项所述的对非法报文的监控方法,其特征在于,所述的监控规则是通过网管发送给网络设备的命令行或由网管静态配置,或者是由上一级网络设备根据当前非法报文检测的情况进行规则的动态下发。
6.如权利要求5述的对非法报文的监控方法,其特征在于,步骤(3)中所述的监控规则对应的处理动作包括a1、将报文直接从设备的端口发送出去;或a2、将报文内容保存在本地存储介质上;或a3、在报文头部封装一层新的网络信息,然后进行正常转发,发送到远端服务器。
7.如权利要求6所述的对非法报文的监控方法,其特征在于,步骤(3)中所述对命中监控规则的非法报文的操作包括b1、若处理动作为a1,则在该端口上连接一个终端进行报文的接收;或b2、若处理动作为a2,则通过直接读取或下载进行原始报文的查看;或b3、若处理动作为a3,则对报文进行重组和提取发送到远端服务器上。
8.一种对非法报文的监控系统,其特征在于,包括监控规则存储单元,用于存储各类型非法报文对应的监控规则;非法报文分类单元,用于对非法报文进行分类,以确定非法报文的类型;监控规则查询单元,用于根据所述非法报文的类型查询所述监控规则存储单元中是否存在与所述非法报文对应的监控规则;非法报文处理操作单元,用于当所述监控规则查询单元查询结果为存在与所述非法报文对应的监控规则时,按照该非法报文对应的监控规则对应的处理动作对该非法报文进行相应的处理。
9.如权利要求8所述的对非法报文的监控系统,其特征在于,所述非法报文分类单元对非法报文分类是根据报文传输过程中出现的错误报文的类型进行分类。
10.如权利要求9所述的对非法报文的监控系统,其特征在于,所述非法报文分类单元对非法报文分类是按报文头部字段错误的报文分类,或者是按没有转发表项的报文分类。
11.如权利要求8所述的对非法报文的监控系统,其特征在于,所述监控规则存储单元存储的监控规则为非法报文分类类别与处理动作之间的匹配关系。
12.如权利要求8或11所述的对非法报文的监控系统,其特征在于,所述监控规则存储单元存储的监控规则是通过网管发送给网络设备的命令行或由网管静态配置,或者是由上一级网络设备根据当前非法报文检测的情况进行规则的动态下发。
13.如权利要求11所述的对非法报文的监控系统,其特征在于,所述监控规则存储单元存储的监控规则对应的处理动作包括A1、将报文直接从设备的端口发送出去;或A2、将报文内容保存在本地存储介质上;或A3、在报文头部封装一层新的网络信息,然后进行正常转发,发送到远端服务器。
14.如权利要求13所述的对非法报文的监控系统,其特征在于,所述非法报文处理操作单元对所述非法报文进行相应的处理包括B1、若处理动作为A1,则在该端口上连接一个终端进行报文的接收;或B2、若处理动作为A2,则通过直接读取或下载进行原始报文的查看;或B3、若处理动作为A3,则对报文进行重组和提取发送到远端服务器上。
全文摘要
本发明公开了一种对非法报文的监控方法及其监控系统,其中所述对非法报文的监控方法是通过对在网络中出现的非法报文进行分类,然后根据分类的类型去查询与其匹配的监控规则和处理动作,并按照所对应的动作在不影响设备转发的前提下,将某种非法报文丢弃或者保存发送出来,使网络设备维护者能通过对这些报文的分析,减轻网络设备的维护难度,并从中了解当前网络状况,对后续网络规划提供帮助。
文档编号G06F11/00GK1983955SQ20061003538
公开日2007年6月20日 申请日期2006年5月9日 优先权日2006年5月9日
发明者宋端智 申请人:华为技术有限公司