一种数据包监测方法及装置制造方法

一种数据包监测方法及装置制造方法
【专利摘要】本申请公开了一种数据包监测方法及装置，应用于网络中间设备，该方法通过获取所述网络中间设备接收到的数据包，并依据该数据包的类型，在该数据包中确定预设监测项目对应的字段，进而对确定的字段的字段值进行记录，实现了对数据包的监测，由于所述网络中间设备与多台计算机设备相连，该网络中间设备接收到的数据包可以是与其相连的任意计算机设备发送或接收的数据包，与现有技术中需要在每台监测的计算机设备上安装监控客户端相比，本申请实现了对多台计算机设备的监控，应用性较高。
【专利说明】一种数据包监测方法及装置
【技术领域】
[0001]本申请涉及网络监测【技术领域】，尤其是一种数据包监测方法及装置。
【背景技术】
[0002]在当今数字时代，互联网已成为无可替代的信息交流方式。互联网的安全越来越引起人们的关注，高关注度促使互联网安全技术日新月异。但互联网攻击技术也在不断出现新的攻击手段，其中之一就是攻击设备在数据包中封装入攻击数据，并将所述数据包发送到作为攻击对象的计算机设备。因此，为了提高计算机设备在应用互联网过程中的安全性，需要对设备接收或发送的数据包进行监测。
[0003]目前，实现所述监测的方式主要是在各个计算机设备上分别独立安装监控客户端，对所述各个设备进行独立的监控，应用性较低。

【发明内容】

[0004]有鉴于此，本申请提供了一种数据包监测方法及装置，用以解决现有技术中的监测方式需要在各个计算机设备上分别独立安装监控客户端，对所述各个设备进行独立的监控，应用性较低的问题。本申请提供的技术方案如下:
[0005]一种数据包监测方法，应用于网络中间设备，所述方法包括:
[0006]获取所述网络中间设备接收到的当前数据包；
[0007]依据所述当前数据包的类型，在所述当前数据包中确定与预设监测项目对应的字段；
[0008]记录所述字段的字段值。
[0009]上述方法，优选的，所述当前数据包为当前请求数据包；
[0010]其中，所述依据所述当前数据包的类型，在所述当前数据包中确定与预设监测项目对应的字段，包括:
[0011]在所述当前请求数据包中，确定与所述监测项目对应的第一用户标识字段及访问网页标识字段，所述第一用户标识字段中包括第一用户标识信息，所述访问网页标识字段中包括访问网页标识信息；
[0012]其中，所述记录所述字段的字段值，包括:
[0013]获取所述第一用户标识信息、所述访问网页标识信息及所述第一用户标识信息与所述访问网页标识信息的对应关系；
[0014]保存所述第一用户标识信息、所述访问网页标识信息及所述第一用户标识信息与所述访问网页标识信息的对应关系。
[0015]上述方法，优选的，所述当前数据包为当前响应数据包；
[0016]其中，所述依据所述当前数据包的类型，在所述当前数据包中确定与预设监测项目对应的字段，包括:
[0017]在所述当前响应数据包中，确定与所述监测项目对应的第二用户标识字段、IP数据包总长度字段及IP首部长度字段，所述第二用户标识字段中包括第二用户标识信息，所述IP数据包总长度字段中包括IP数据包长度信息，所述IP首部长度字段中包括IP首部长度信息；
[0018]其中，所述记录所述字段的字段值，包括:
[0019]依据获取的所述IP数据包总长度信息及所述IP首部长度信息，生成所述当前响应数据包的响应数据量；
[0020]获取所述第二用户标识信息与所述响应数据量的对应关系；
[0021]保存所述第二用户标识信息、所述响应数据量及所述第二用户标识信息与所述响应数据量的对应关系。
[0022]上述方法，优选的，在获取所述网络中间设备接收到的当前数据包之后，还包括:
[0023]判断所述当前数据包是否符合预设报警规则；
[0024]若是，生成报警信息。
[0025]上述方法，优选的，依据生成报警信息之后，还包括:
[0026]依据所述报警规则，记录所述当前数据包，并删除所述当前数据包。
[0027]本申请还提供了一种数据包监测装置，应用于网络中间设备，所述装置包括:
[0028]数据包获取单元，用于获取所述网络中间设备接收到的当前数据包；
[0029]字段确定单元，用于依据所述当前数据包的类型，在所述当前数据包中确定与预设监测项目对应的字段；
[0030]字段值记录单元，用于记录所述字段的字段值。
[0031]上述装置，优选的，所述数据包获取单元获取到的当前数据包为当前请求数据包；
[0032]其中，所述字段确定单元，包括:
[0033]第一字段确定子单元，用于在所述当前请求数据包中，确定与所述监测项目对应的第一用户标识字段及访问网页标识字段，所述第一用户标识字段中包括第一用户标识信息，所述访问网页标识字段中包括访问网页标识信息；
[0034]其中，所述字段值记录单元，包括:
[0035]第一字段值获取子单元，用于获取所述第一用户标识信息、所述访问网页标识信息及所述第一用户标识信息与所述访问网页标识信息的对应关系；
[0036]第一字段值保存子单元，用于保存所述第一用户标识信息、所述访问网页标识信息及所述第一用户标识信息与所述访问网页标识信息的对应关系。
[0037]上述装置，优选的，所述数据包获取单元获取到的当前数据包为当前响应数据包；
[0038]其中，所述字段确定单元，包括:
[0039]第二字段确定子单元，用于在所述当前响应数据包中，确定与所述监测项目对应的第二用户标识字段、IP数据包总长度字段及IP首部长度字段，所述第二用户标识字段中包括第二用户标识信息，所述IP数据包总长度字段中包括IP数据包长度信息，所述IP首部长度字段中包括IP首部长度信息；
[0040]其中，所述字段值记录单元，包括:
[0041]第二字段值获取子单元，用于依据获取的所述IP数据包总长度信息及所述IP首部长度信息，生成所述当前响应数据包的响应数据量；
[0042]第三字段值获取子单元，用于获取所述第二用户标识信息与所述响应数据量的对应关系；
[0043]第二字段值保存子单元，用于保存所述第二用户标识信息、所述响应数据量及所述第二用户标识信息与所述响应数据量的对应关系。
[0044]上述装置，优选的，还包括:
[0045]判断单元，用于判断所述当前数据包是否符合预设报警规则；若是，触发报警单元;
[0046]报警单元，用于生成报警信息。
[0047]上述装置，优选的，还包括:
[0048]报警数据包处理单元，用于依据所述报警规则，记录所述当前数据包，并删除所述当前数据包。
[0049]由以上的技术方案可知，本申请提供了一种数据包监测方法及装置，应用于网络中间设备，该方法通过获取所述网络中间设备接收到的数据包，并依据该数据包的类型，在该数据包中确定预设监测项目对应的字段，进而对确定的字段的字段值进行记录，实现了对数据包的监测，由于所述网络中间设备与多台计算机设备相连，该网络中间设备接收到的数据包可以是与其相连的任意计算机设备发送或接收的数据包，与现有技术中需要在每台监测的计算机设备上安装监控客户端相比，本申请实现了对多台计算机设备的监控，应用性较高。
【专利附图】

【附图说明】
[0050]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0051]图1为本申请提供的一种数据包监测方法一个实施例的流程图；
[0052]图2为本申请提供的一种数据包监测方法另一实施例的流程图；
[0053]图3为本申请提供的一种数据包监测方法又一实施例的流程图；
[0054]图4为本申请提供的一种数据包监测方法又一实施例的流程图；
[0055]图5为本申请提供的一种数据包监测装置一个实施例的结构示意图；
[0056]图6为本申请提供的一种数据包监测装置另一实施例的结构示意图；
[0057]图7为本申请提供的一种数据包监测装置又一实施例的结构示意图；
[0058]图8为本申请提供的一种数据包监测装置又一实施例的结构示意图；
[0059]图9为本申请实施例的一种网络拓扑结构图；
[0060]图10为本申请实施例的另一种网络拓扑结构图。
【具体实施方式】
[0061]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0062]请参阅图1，其示出了本申请提供的一种数据包监测方法一个实施例的流程图，本实施例方法可以包括:
[0063]步骤101:获取所述网络中间设备接收到的当前数据包。
[0064]所述网络中间设备与多台计算机终端设备相连，可接收与所述计算机终端设备发送的数据包，或将其他计算机设备发送的数据包向与所述网络中间设备相连的计算机终端设备进行转发。当所述网络中间设备接收到当前数据包时，获取所述当前数据包。其中，所述网络中间设备具备数据包的接收与转发功能，例如交换机、路由器。
[0065]步骤102:依据所述当前数据包的类型，在所述当前数据包中确定与预设监测项目对应的字段。
[0066]所述网络中间设备与多台计算机终端设备相连，形成内网。所述当前数据包的类型是依据所述当前数据包与所述计算机终端设备的关系确定的，即若所述当前数据包是所述计算机终端设备通过所述网络中间设备向外网发送的，则所述当前数据包为当前请求数据包；若所述当前数据包是通过所述网络中间设备向所述计算机终端设备发送的，则所述当前数据包为当前响应数据包。
[0067]需要说明的是，数据包中某些特定字段包含的信息会表明用户利用计算机终端设备的操作信息或对其他计算机设备对所述用户的访问或响应信息，其中，所述其他计算机设备可以是计算机终端设备，也可以是服务器。
[0068]因此，可以预先设置监测项目，用于在获取到的所述当前数据包中查找与所述监测项目对应的字段。例如，所述监测项目包括用户发送的请求数据包的数据量、用户接收到的请求数据包的数据量、用户发送的请求数据包使用的协议或用户发送的请求数据包中包含的访问网页信息等。
[0069]具体地，所述确定过程可以是解析所述当前数据包，在所述当前数据包中查找与预设监测项目对应的字段。例如，所述监测项目为用户发送的请求数据包中包含的访问网页信息，则与所述监测项目对应的字段为请求数据包中的用户标识字段及访问网页标识字段；所述监测项目为用户发送的请求数据包使用的协议，则与所述监测项目对应的字段为请求数据包中用户标识字段及协议字段。
[0070]步骤103:记录所述字段的字段值。
[0071]具体地，所述记录的过程可以是，获取步骤102确定的所述字段的字段值，将所述字段值进行保存。保存的形式可以是以结构体，即建立包含所述字段值数据成员的结构体，将所述字段的字段值保存在所述结构体中。当然，所述记录的形式包含但不限定于上述形式。
[0072]本实施例提供了一种数据包监测方法，应用于网络中间设备，该方法通过获取所述网络中间设备接收到的数据包，并依据该数据包的类型，在该数据包中确定预设监测项目对应的字段，进而对确定的字段的字段值进行记录，实现了对数据包的监测，由于所述网络中间设备与多台计算机设备相连，该网络中间设备接收到的数据包可以是与其相连的任意计算机设备发送或接收的数据包，与现有技术中需要在每台监测的计算机设备上安装监控客户端相比，本申请实现了对多台计算机设备的监控，应用性较高。[0073]所述网络中间设备与多台计算机终端设备相连，具备数据包接收与转发功能。若上述实施例的步骤101中所述网络中间设备接收到的是所述计算机终端设备向外网计算机设备发送的数据包，其中，所述外网计算机设备可以是服务器，则所述当前数据包为当前请求数据包。请参阅图2，其示出了本申请提供的一种数据包监测方法另一实施例的流程图，本实施例可以包括:
[0074]步骤201:获取所述网络中间设备接收到的当前请求数据包。
[0075]步骤202:在所述当前请求数据包中，确定与所述监测项目对应的第一用户标识字段及访问网页标识字段，所述第一用户标识字段中包括第一用户标识信息，所述访问网页标识字段中包括访问网页标识信息。
[0076]所述当前数据包的类型为当前请求数据包，即所述当前请求数据包是与所述网络中间设备相连的计算机终端设备向外网服务器发送的请求数据包。所述监测项目是监测用户访问的网页信息。
[0077]其中，所述请求数据包中包含有计算机终端标识字段。解析所述当前请求数据包，在所述当前请求数据包中查找所述计算机终端标识字段，其中，所述计算机终端标识字段可以是源IP地址字段，将查找到的所述计算机终端标识字段确定为所述第一用户标识字段。同时，在所述当前请求数据包中查找访问网页标识字段，其中，所述访问网页标识字段可以是URL字段。
[0078]步骤203:获取所述第一用户标识信息、所述访问网页标识信息及所述第一用户标识信息与所述访问网页标识信息的对应关系。
[0079]所述获取过程可以是，提取所述步骤201中确定的所述第一用户标识字段及访问网页标识字段的字段值。例如，提取源IP地址字段的字段值，提取URL字段的字段值。
[0080]其中，所述第一用户标识信息可以表明所述当前请求数据包的来源，即所述当前请求数据包是与所述网络中间设备相连的哪一台计算机终端设备发送的，例如，获取到的所述源IP地址字段的字段值为192.168.0.27。所述访问网页标识信息可以表明所述当前请求数据包正在向外网请求何种信息资源，例如，获取到的所述访问网页标识字段的字段值为 http://sports, sina.com.cn/。
[0081]需要说明的是，获取到的所述第一用户标识信息与所述访问网页标识信息具有对应关系。即所述第一用户标识信息对应的用户请求的是所述访问网页标识信息对应的网页。
[0082]步骤204:保存所述第一用户标识信息、所述访问网页标识信息及所述第一用户标识信息与所述访问网页标识信息的对应关系。
[0083]其中，所述保存的形式可以是结构体，即在所述结构体中建立用户标识及访问网页标识数据成员，分别用以保存所述第一用户标识信息及所述访问网页标识信息。同时，所述第一用户标识信息与所述访问网页标识信息保存在所述同一结构体中，表明所述第一用户标识信息与所述访问网页标识信息具有对应关系。
[0084]需要说明的是，保存的所述内容，即第一用户标识信息、访问网页标识信息及所述对应关系，可以作为分析用户行为的依据。
[0085]所述网络中间设备与多台计算机终端设备相连，具备数据包接收与转发功能。若上述实施例的步骤101中所述网络中间设备接收到的是向所述计算机终端设备向外网计算机设备返回的数据包，其中，所述外网计算机设备可以是服务器。则所述当前数据包为当前响应数据包。请参阅图3，其示出了本申请提供的一种数据包监测方法又一实施例的流程图，本实施例可以包括:
[0086]步骤301:获取所述网络中间设备接收到的当前响应数据包。
[0087]步骤302:在所述当前响应数据包中，确定与所述监测项目对应的第二用户标识字段、IP数据包总长度字段及IP首部长度字段，所述第二用户标识字段中包括第二用户标识信息，所述IP数据包总长度字段中包括IP数据包长度信息，所述IP首部长度字段中包括IP首部长度信息。
[0088]所述当前数据包的类型为当前响应数据包，即所述当前请求数据包是外网计算机设备，如服务器向所述网络中间设备相连的计算机终端设备返回的响应数据包。所述监测项目是外网计算机设备向用户返回的数据包的数据量。
[0089]其中，所述响应数据包中包含有计算机终端标识字段。解析所述当前响应数据包，在所述当前响应数据包中查找所述计算机终端标识字段，其中，所述计算机终端标识字段可以是目的IP地址字段，将查找到的所述计算机终端标识字段确定为所述第二用户标识字段。所述第二用户标识字段中包含有第二用户标识信息。例如，所述目的IP地址字段中包含的第二用户标识信息为192.168.0.27。
[0090]同时，在所述当前响应数据包中查找IP数据包总长度字段及IP首部长度字段，所述IP数据包总长度字段中包括IP数据包长度信息，所述IP首部长度字段中包括IP首部长度信息，用于确定所述当前响应数据包的响应数据量。
[0091]步骤303:依据获取的所述IP数据包总长度信息及所述IP首部长度信息，生成所述当前响应数据包的响应数据量。
[0092]所述生成当前响应数据包的响应数据量的过程，可以是用所述IP数据包总长度减去所述IP首部长度。例如，所述IP数据包长度信息为10242byte，所述IP首部长度信息为20byte，则所述响应数据量为10222byte。
[0093]步骤304:获取所述第二用户标识信息与所述响应数据量的对应关系。
[0094]其中，所述第二用户标识信息可以表明所述当前响应数据包的目的地址，即所述当前响应数据包是向所述网络中间设备相连的哪一台计算机终端设备返回的响应数据包。所述响应数据量可以表明所述当前响应数据包中包含的响应资源的数据量。所述第二用户标识信息与所述响应数据量具有对应关系。即向所述第二用户标识信息对应的用户返回的响应资源的数据量。
[0095]例如，所述IP地址字段的字段值为192.168.0.27，所述响应数据量为10222byte，即向地址信息为192.168.0.27的用户返回10222byte的响应资源。
[0096]步骤305:保存所述第二用户标识信息、所述响应数据量及所述第二用户标识信息与所述响应数据量的对应关系。
[0097]当然，保存所述第二用户标识信息、所述响应数据量值之前包含获取过程，其中，所述获取过程可以是，提取所述步骤302中确定的所述第二用户标识字段的字段值如目的IP地址字段的字段值，并获取所述步骤303中生成的所述响应数据量。
[0098]其中，所述保存的形式可以是结构体，即在所述结构体中建立用户标识及响应数据量数据成员，分别用以保存所述第二用户标识信息及所述响应数据量信息。同时，所述第二用户标识信息与所述响应数据量信息保存在所述同一结构体中，表明所述第二用户标识与所述响应数据量具有对应关系。
[0099]需要说明的是，保存的所述内容，即第二用户标识信息、响应数据量及所述对应关系，可以作为分析网络安全的依据。
[0100]请参阅图4，其示出了本申请提供的一种数据包监测方法又一实施例的流程图，本实施可以包括:
[0101]步骤401至步骤403与上述实施例中的步骤101至步骤103相同,在此不做赘述。
[0102]步骤404:判断所述当前数据包是否符合预设报警规则；若是，触发执行步骤405。
[0103]所述预设报警规则，可以是协议类型、数据量、源IP地址、目的IP网段、目的端口号等一项或多项元素信息的组合。例如，若向目的IP网段为202.12.1.0转发的TCP协议数据包的响应数据量大于3000byte，则进行报警。当然，所述报警规则包括但不限定于上述几种信息的组合。
[0104]所述判断过程，可以是解析所述当前数据包，依据所述预设报警规则查找与所述报警规则对应的字段，判断所述查找到的字段的字段值是否符合所述预设报警规则，若是，触发执行步骤405。
[0105]步骤405:生成报警信息，触发执行步骤406。
[0106]生成的所述报警信息可以是，声音报警指令和/或报警文字。其中，所述声音报警指令，用于触发对应的报警装置进行报警。所述报警文字，可以显示在相应的显示装置上，以对监测所述显示装置的人员进行提醒。
[0107]其中，还可以对生成的报警信息进行保存。
[0108]步骤406:依据所述报警规则，记录所述当前数据包，并删除所述当前数据包。
[0109]若所述当前数据包符合预设报警规则，依据所述报警规则，对所述当前数据包进行记录。其中，所述记录的形式可以是建立结构体，所述结构体中包含有与所述预设报警规则中的元素信息对应的数据成员，将所述当前数据包中与所述预设报警规则对应的字段的字段值分别保存于所述数据成员中。
[0110]删除所述当前数据包，以防止所述当前数据包被发送至目的IP地址，从而防止对所述目的IP地址表示的计算机终端设备造成攻击。
[0111]请参阅图5，其示出了本申请提供的一种数据包监测装置一个实施例的结构示意图，本实施例可以包括:数据包获取单元501、字段确定单元502及字段值记录单元503。其中:
[0112]所述数据包获取单元501，用于获取所述网络中间设备接收到的当前数据包。
[0113]所述网络中间设备与多台计算机终端设备相连，可接收与所述计算机终端设备发送的数据包，或将其他计算机设备发送的数据包向与所述网络中间设备相连的计算机终端设备进行转发。当所述网络中间设备接收到当前数据包时，所述数据包获取单元501获取所述当前数据包。其中，所述网络中间设备具备数据包的接收与转发功能，例如交换机、路由器。
[0114]所述字段确定单元502，用于依据所述当前数据包的类型，在所述当前数据包中确定与预设监测项目对应的字段。
[0115]所述网络中间设备与多台计算机终端设备相连，形成内网。所述当前数据包的类型是依据所述当前数据包与所述计算机终端设备的关系确定的，即若所述当前数据包是所述计算机终端设备通过所述网络中间设备向外网发送的，则所述当前数据包为当前请求数据包；若所述当前数据包是通过所述网络中间设备向所述计算机终端设备发送的，则所述当前数据包为当前响应数据包。
[0116]需要说明的是，数据包中某些特定字段包含的信息会表明用户利用计算机终端设备的操作信息或对其他计算机设备对所述用户的访问或响应信息，其中，所述其他计算机设备可以是计算机终端设备，也可以是服务器。
[0117]因此，可以预先设置监测项目，用于在获取到的所述当前数据包中查找与所述监测项目对应的字段。例如，所述监测项目包括用户发送的请求数据包的数据量、用户接收到的请求数据包的数据量、用户发送的请求数据包使用的协议或用户发送的请求数据包中包含的访问网页信息等。
[0118]具体地，所述字段确定单元502的确定过程可以是解析所述当前数据包，在所述当前数据包中查找与预设监测项目对应的字段。例如，所述监测项目为用户发送的请求数据包中包含的访问网页信息，则与所述监测项目对应的字段为请求数据包中的用户标识字段及访问网页标识字段；所述监测项目为用户发送的请求数据包使用的协议，则与所述监测项目对应的字段为请求数据包中用户标识字段及协议字段。
[0119]所述字段值记录单元503，用于记录所述字段的字段值。
[0120]具体地，所述字段值记录单元503的记录的过程可以是，获取步骤102确定的所述字段的字段值，将所述字段值进行保存。所述字段值记录单元503保存的形式可以是以结构体，即建立包含所述字段值数据成员的结构体，将所述字段的字段值保存在所述结构体中。当然，所述字段值记录单元503记录的形式包含但不限定于上述形式。
[0121]本实施例提供了一种数据包监测装置，应用于网络中间设备，该装置通过数据包获取单元501获取所述网络中间设备接收到的数据包，字段确定单元502依据该数据包的类型，在该数据包中确定预设监测项目对应的字段，进而字段值记录单元503对确定的字段的字段值进行记录，实现了对数据包的监测，由于所述网络中间设备与多台计算机设备相连，该网络中间设备接收到的数据包可以是与其相连的任意计算机设备发送或接收的数据包，与现有技术中需要在每台监测的计算机设备上安装监控客户端相比，本申请实现了对多台计算机设备的监控，应用性较高。
[0122]所述网络中间设备与多台计算机终端设备相连，具备数据包接收与转发功能。若上述装置实施例应用的所述网络中间设备接收到的是所述计算机终端设备向外网计算机设备发送的数据包，其中，所述外网计算机设备可以是服务器，则所述当前数据包为当前请求数据包。请参阅图6，其示出了本申请提供的一种数据包监测装置另一实施例的结构示意图，本实施例可以包括:数据包获取单元601、第一字段确定子单元602、第一字段值获取子单元603及第一字段值保存子单元604。其中:
[0123]所述数据包获取单元601，用于获取所述网络中间设备接收到的当前请求数据包。
[0124]所述第一字段确定子单元602，用于在所述当前请求数据包中，确定与所述监测项目对应的第一用户标识字段及访问网页标识字段，所述第一用户标识字段中包括第一用户标识信息，所述访问网页标识字段中包括访问网页标识信息。
[0125]所述当前数据包的类型为当前请求数据包，即所述当前请求数据包是与所述网络中间设备相连的计算机终端设备向外网服务器发送的请求数据包。所述监测项目是监测用户访问的网页信息。
[0126]其中，所述请求数据包中包含有计算机终端标识字段。所述第一字段确定子单元602解析所述当前请求数据包，在所述当前请求数据包中查找所述计算机终端标识字段，其中，所述计算机终端标识字段可以是源IP地址字段，所述第一字段确定子单元602将查找到的所述计算机终端标识字段确定为所述第一用户标识字段。同时，所述第一字段确定子单元602在所述当前请求数据包中查找访问网页标识字段，其中，所述访问网页标识字段可以是URL字段。
[0127]所述第一字段值获取子单元603，用于获取所述第一用户标识信息、所述访问网页标识信息及所述第一用户标识信息与所述访问网页标识信息的对应关系。
[0128]所述第一字段值获取子单元603的获取过程可以是，提取所述第一字段确定子单元602确定的所述第一用户标识字段及访问网页标识字段的字段值。例如，所述第一字段值获取子单元603提取源IP地址字段的字段值，提取URL字段的字段值。
[0129]其中，所述第一用户标识信息可以表明所述当前请求数据包的来源，即所述当前请求数据包是与所述网络中间设备相连的哪一台计算机终端设备发送的，例如，所述第一字段值获取子单元603获取到的所述源IP地址字段的字段值为192.168.0.27。所述访问网页标识信息可以表明所述当前请求数据包正在向外网请求何种信息资源，例如，所述第一字段值获取子单元603获取到的所述访问网页标识字段的字段值为http://sports, sina.com.cn/。
[0130]需要说明的是，所述第一字段值获取子单元603获取到的所述第一用户标识信息与所述访问网页标识信息具有对应关系。即所述第一用户标识信息对应的用户请求的是所述访问网页标识信息对应的网页。
[0131]所述第一字段值保存子单元604，用于保存所述第一用户标识信息、所述访问网页标识信息及所述第一用户标识信息与所述访问网页标识信息的对应关系。
[0132]其中，所述第一字段值保存子单元604的保存的形式可以是结构体，即在所述结构体中建立用户标识及访问网页标识数据成员，分别用以保存所述第一用户标识信息及所述访问网页标识信息。同时，所述第一字段值保存子单元604将所述第一用户标识信息与所述访问网页标识信息保存在所述同一结构体中，表明所述第一用户标识信息与所述访问网页标识信息具有对应关系。
[0133]需要说明的是，所述第一字段值保存子单元604保存的所述内容，即第一用户标识信息、访问网页标识信息及所述对应关系，可以作为分析用户行为的依据。
[0134]所述网络中间设备与多台计算机终端设备相连，具备数据包接收与转发功能。若上述装置实施例应用的所述网络中间设备接收到的是向所述计算机终端设备向外网计算机设备返回的数据包，其中，所述外网计算机设备可以是服务器。则所述当前数据包为当前响应数据包。请参阅图7，其示出了本申请提供的一种数据包监测装置又一实施例的结构示意图，本实施例可以包括:数据包获取单元701、第二字段确定子单元702、第二字段值获取子单元703、第三字段值获取子单元704及第二字段值保存子单元705。其中:
[0135]所述数据包获取单元701，用于获取所述网络中间设备接收到的当前响应数据包。
[0136]所述第二字段确定子单元702，用于在所述当前响应数据包中，确定与所述监测项目对应的第二用户标识字段、IP数据包总长度字段及IP首部长度字段，所述第二用户标识字段中包括第二用户标识信息，所述IP数据包总长度字段中包括IP数据包长度信息，所述IP首部长度字段中包括IP首部长度信息。
[0137]所述当前数据包的类型为当前响应数据包，即所述当前请求数据包是外网计算机设备，如服务器向所述网络中间设备相连的计算机终端设备返回的响应数据包。所述监测项目是外网计算机设备向用户返回的数据包的数据量。
[0138]其中，所述响应数据包中包含有计算机终端标识字段。所述第二字段确定子单元702解析所述当前响应数据包，在所述当前响应数据包中查找所述计算机终端标识字段，其中，所述计算机终端标识字段可以是目的IP地址字段，所述第二字段确定子单元702将查找到的所述计算机终端标识字段确定为所述第二用户标识字段。所述第二用户标识字段中包含有第二用户标识信息。例如，所述目的IP地址字段中包含的第二用户标识信息为192.168.0.27。
[0139]同时，所述第二字段确定子单元702在所述当前响应数据包中查找IP数据包总长度字段及IP首部长度字段，所述IP数据包总长度字段中包括IP数据包长度信息，所述IP首部长度字段中包括IP首部长度信息，用于确定所述当前响应数据包的响应数据量。
[0140]所述第二字段值获取子单元703，用于依据获取的所述IP数据包总长度信息及所述IP首部长度信息，生成所述当前响应数据包的响应数据量。
[0141]所述第二字段值获取子单元703生成当前响应数据包的响应数据量的过程，可以是用所述IP数据包总长度减去所述IP首部长度。例如，所述IP数据包长度信息为10242byte，所述IP首部长度信息为20byte，则所述响应数据量为10222byte。
[0142]所述第三字段值获取子单元704，用于获取所述第二用户标识信息与所述响应数据量的对应关系。
[0143]其中，所述第二用户标识信息可以表明所述当前响应数据包的目的地址，即所述当前响应数据包是向所述网络中间设备相连的哪一台计算机终端设备返回的响应数据包。所述响应数据量可以表明所述当前响应数据包中包含的响应资源的数据量。所述第二用户标识信息与所述响应数据量具有对应关系。即向所述第二用户标识信息对应的用户返回的响应资源的数据量。
[0144]例如，所述IP地址字段的字段值为192.168.0.27，所述响应数据量为10222byte，即向地址信息为192.168.0.27的用户返回10222byte的响应资源。
[0145]所述第二字段值保存子单元705，用于保存所述第二用户标识信息、所述响应数据量及所述第二用户标识信息与所述响应数据量的对应关系。
[0146]当然，所述第二字段值保存子单元705保存所述第二用户标识信息、所述响应数据量值之前包含获取过程，其中，所述第二字段值保存子单元705获取过程可以是，提取所述步骤302中确定的所述第二用户标识字段的字段值如目的IP地址字段的字段值，并获取所述步骤303中生成的所述响应数据量。
[0147]其中，所述第二字段值保存子单元705保存的形式可以是结构体，即在所述结构体中建立用户标识及响应数据量数据成员，分别用以保存所述第二用户标识信息及所述响应数据量信息。同时，所述第二字段值保存子单元705将所述第二用户标识信息与所述响应数据量信息保存在所述同一结构体中，表明所述第二用户标识与所述响应数据量具有对应关系。
[0148]需要说明的是，所述第二字段值保存子单元705保存的所述内容，即第二用户标识信息、响应数据量及所述对应关系，可以作为分析网络安全的依据。
[0149]请参阅图8，其示出了本申请提供的一种数据包监测装置又一实施例的结构示意图，本实施可以包括:数据包获取单元801、字段确定单元802、字段值记录单元803、判断单元804、报警单元805及报警数据包处理单元806。其中:
[0150]所述单元801至单元803与上述装置实施例中的单元501至单元503相同，在此不做赘述。
[0151]所述判断单元804，用于判断所述当前数据包是否符合预设报警规则；若是，触发报警单元805。
[0152]所述预设报警规则，可以是协议类型、数据量、源IP地址、目的IP网段、目的端口号等一项或多项元素信息的组合。例如，若向目的IP网段为202.12.1.0转发的TCP协议数据包的响应数据量大于3000byte，则进行报警。当然，所述报警规则包括但不限定于上述几种信息的组合。
[0153]所述判断单元804的判断过程，可以是解析所述当前数据包，依据所述预设报警规则查找与所述报警规则对应的字段，判断所述查找到的字段的字段值是否符合所述预设报警规则，若是，触发报警单元805。
[0154]所述报警单元805，用于生成报警信息，触发报警数据包处理单元806。
[0155]所述报警单元805生成的所述报警信息可以是，声音报警指令和/或报警文字。其中，所述声音报警指令，用于触发对应的报警装置进行报警。所述报警文字，可以显示在相应的显示装置上，以对监测所述显示装置的人员进行提醒。
[0156]其中，所述报警单元805还可以对生成的报警信息进行保存。
[0157]所述报警数据包处理单元806，用于依据所述报警规则，记录所述当前数据包，并删除所述当前数据包。
[0158]若所述当前数据包符合预设报警规则，所述报警数据包处理单元806依据所述报警规则，对所述当前数据包进行记录。其中，所述报警数据包处理单元806记录的形式可以是建立结构体，所述结构体中包含有与所述预设报警规则中的元素信息对应的数据成员，所述报警数据包处理单元806将所述当前数据包中与所述预设报警规则对应的字段的字段值分别保存于所述数据成员中。
[0159]所述报警数据包处理单元806删除所述当前数据包，以防止所述当前数据包被发送至目的IP地址，从而防止对所述目的IP地址表示的计算机终端设备造成攻击。
[0160]请参阅图9，其示出了本申请实施例的一种网络拓扑结构图。其中，所述计算机设备901、902及903是被监测的计算机设备，所述网络中间设备904分别与所述901、902及903相连，所述显示设备905与所述网络中间设备904相连。其中，所述网络中间设备904至少包含有上述装置实施例中的数据包获取单元、字段确定单元、字段值记录单元、判断单元，报警单元及报警数据包处理单元，实现直接从所述网络中间设备904中获取该设备接收到的当前数据包并进行监测。所述网络中间设备可以是交换机、路由器等。
[0161]请参阅图10，其示出了本申请实施例的另一种网络拓扑结构图。其中，在图9的基础上还可以包括监测设备906，分别与所述网络中间设备904及所述显示设备905相连。所述监测设备906至少包含数据包获取单元、字段确定单元、字段值记录单元、判断单元，报警单元及报警数据包处理单元。所述监测设备906需要从所述网络中间设备904处获取该设备接收到的当前数据包并进行流量监测。该种实现方式，可以减轻所述网络中间设备904的工作负担，提高监测效率。
[0162]需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。
[0163]以上对本发明所提供的一种数据包监测方法及装置进行了详细介绍，对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【权利要求】
1.一种数据包监测方法，其特征在于，应用于网络中间设备，所述方法包括: 获取所述网络中间设备接收到的当前数据包； 依据所述当前数据包的类型，在所述当前数据包中确定与预设监测项目对应的字段； 记录所述字段的字段值。
2.根据权利要求1所述的方法，其特征在于，所述当前数据包为当前请求数据包； 其中，所述依据所述当前数据包的类型，在所述当前数据包中确定与预设监测项目对应的字段，包括: 在所述当前请求数据包中，确定与所述监测项目对应的第一用户标识字段及访问网页标识字段，所述第一用户标识字段中包括第一用户标识信息，所述访问网页标识字段中包括访问网页标识信息； 其中，所述记录所述字段的字段值，包括: 获取所述第一用户标识信息、所述访问网页标识信息及所述第一用户标识信息与所述访问网页标识信息的对应关系； 保存所述第一用户标识信息、所述访问网页标识信息及所述第一用户标识信息与所述访问网页标识信息的对应关系。
3.根据权利要求1所述的方法，其特征在于，所述当前数据包为当前响应数据包； 其中，所述依据所述当前数据包的类型，在所述当前数据包中确定与预设监测项目对`应的字段，包括: 在所述当前响应数据包中，确定与所述监测项目对应的第二用户标识字段、IP数据包总长度字段及IP首部长度字段，所述第二用户标识字段中包括第二用户标识信息，所述IP数据包总长度字段中包括IP数据包长度信息，所述IP首部长度字段中包括IP首部长度信息； 其中，所述记录所述字段的字段值，包括: 依据获取的所述IP数据包总长度信息及所述IP首部长度信息，生成所述当前响应数据包的响应数据量； 获取所述第二用户标识信息与所述响应数据量的对应关系； 保存所述第二用户标识信息、所述响应数据量及所述第二用户标识信息与所述响应数据量的对应关系。
4.根据权利要求1所述的方法，其特征在于，在获取所述网络中间设备接收到的当前数据包之后，还包括: 判断所述当前数据包是否符合预设报警规则； 若是，生成报警信息。
5.根据权利要求4所述的方法，其特征在于，依据生成报警信息之后，还包括: 依据所述报警规则，记录所述当前数据包，并删除所述当前数据包。
6.一种数据包监测装置，其特征在于，应用于网络中间设备，所述装置包括: 数据包获取单元，用于获取所述网络中间设备接收到的当前数据包； 字段确定单元，用于依据所述当前数据包的类型，在所述当前数据包中确定与预设监测项目对应的字段； 字段值记录单元，用于记录所述字段的字段值。
7.根据权利要求6所述的装置，其特征在于，所述数据包获取单元获取到的当前数据包为当前请求数据包； 其中，所述字段确定单元，包括: 第一字段确定子单元，用于在所述当前请求数据包中，确定与所述监测项目对应的第一用户标识字段及访问网页标识字段，所述第一用户标识字段中包括第一用户标识信息，所述访问网页标识字段中包括访问网页标识信息； 其中，所述字段值记录单元，包括: 第一字段值获取子单元，用于获取所述第一用户标识信息、所述访问网页标识信息及所述第一用户标识信息与所述访问网页标识信息的对应关系； 第一字段值保存子单元，用于保存所述第一用户标识信息、所述访问网页标识信息及所述第一用户标识信息与所述访问网页标识信息的对应关系。
8.根据权利要求6所述的装置，其特征在于，所述数据包获取单元获取到的当前数据包为当前响应数据包； 其中，所述字段确定单元，包括: 第二字段确定子单元，用于在所述当前响应数据包中，确定与所述监测项目对应的第二用户标识字段、IP数据包总长度字段及IP首部长度字段，所述第二用户标识字段中包括第二用户标识信息，所述IP数据包总长度字段中包括IP数据包长度信息，所述IP首部长度字段中包括IP首部长度信息； 其中，所述字段值记录单元，包括: 第二字段值获取子单元，用于依`据获取的所述IP数据包总长度信息及所述IP首部长度信息，生成所述当前响应数据包的响应数据量； 第三字段值获取子单元，用于获取所述第二用户标识信息与所述响应数据量的对应关系; 第二字段值保存子单元，用于保存所述第二用户标识信息、所述响应数据量及所述第二用户标识信息与所述响应数据量的对应关系。
9.根据权利要求6所述的装置，其特征在于，还包括: 判断单元，用于判断所述当前数据包是否符合预设报警规则；若是，触发报警单元； 报警单元，用于生成报警信息。
10.根据权利要求9所述的装置，其特征在于，还包括: 报警数据包处理单元，用于依据所述报警规则，记录所述当前数据包，并删除所述当前数据包。
【文档编号】H04L12/26GK103684927SQ201310737892
【公开日】2014年3月26日 申请日期:2013年12月27日 优先权日:2013年12月27日
【发明者】陈新, 董永胜, 季晓旭, 叶鑫, 王兴 申请人:昆山中创软件工程有限责任公司