专利名称:网络监控设备和网络监控方法
技术领域:
本发明涉及网络安全领域,更具体地,涉及网络监控设备。
背景技术:
随着网络信息化的发展,对信息网络安全的需求日益突出。现在,通过在网络中部署监控设备来监听网络中的流量已成为一种常用的网络安全维护手段。通常,监控设备连接到交换机的镜像口。交换机的镜像口的作用主要是为了给某种网络监控设备提供网络数据流,通常可以指定对一个或多个接口的数据进行镜像,被指定镜像的接口上的数据都会通过镜像口发送出去。监控需求存在多样性,如果将满足各种监控需求的功能集成在同一个系统上,则 该系统的性能可能会很低,从而无法正常的工作。此外,很多监控功能是由不同的公司开发的,因而很难集成在一起。因此,随着监控项目的增加,势必需要添加更多的监控设备。然而,在交换机仅有一个镜像口的情况下,采用新的监控设备必然要求旧的监控设备下线,同时要求新的监控设备支持旧监控设备的功能,这样的需求在很多情况下是无法满足的。另外,在有些网络环境下,用户的设备可能没有镜像接口,从而导致无法使用现有的监控设备对网络数据流进行监控。
发明内容
本发明的监控设备的一个优点是能够在不使旧的监控设备下线的情况下,同时使用其他新的监控设备,并且能够在没有镜像接口的网络环境中用来监控网络数据流。根据本发明的一个方面,提供了一种网络监控设备,包括侦听接口,用于接收数据;镜像接口,用于对所述侦听接口进行镜像,以发送从所述侦听接口复制的数据;以及监控模块,用于对由所述侦听接口接收的数据进行安全性分析。根据本发明的另外一个方面,提供了一种用于监控网络的方法,包括接收数据;判断是否需要转发所接收的数据;在判断需要转发所接收的数据时,转发所接收的数据;判断所接收的数据是否满足过滤条件;在判断所接收的数据满足过滤条件时,对所接收的数据进行安全性分析处理并且进行镜像操作。
通过参考下面结合附图给出的说明,本文描述的各个方面将变得更加显而易见,其中图I是示出根据本发明的一个实施例的监控设备及其应用环境的示意图;图2是示出根据本发明的另一个实施例的监控设备及其应用环境的示意图;图3是示出根据本发明的又一个实施例的监控设备及其应用环境的示意图;图4是描述本发明的一种实现方式的示意图;图5是示出根据本发明的一个实施例的方法流程图。
根据惯例,图中所示各部件可以不按比例绘制。因此,为了清楚起见可以任意放大或缩小某些部件特征。此外,为了清楚起见,还可以简化一些附图。因此,附图可以不描绘给定装置或方法的所有特征。
具体实施例方式下文描述公开的各方面。在随后对本发明的详细说明中,阐述了许多的具体细节以便对本发明有全面的理解。然而,对于本领域技术人员而言,显而易见的是,可以在没有这些具体细节的情况下实施本发明。在本申请中提及“一个实施例”或“实施例”时,是指所描述的特定特征、结构或特性包含在本发明的至少一个实施例中。本申请中多处出现的短语“在一个实施例中”并不一定都是指同一个实施例。在一些实施例中,根据本发明的监控设备不仅具有用于从交换机的镜像接口或主干线路接收数据的侦听接口,而且还具有对侦听接口进行镜像的镜像接口,以便将镜像数 据发送给其他传统的监控设备使用。如图I所示,根据本发明的一个实施例的监控设备101包括监控模块111、侦听接口 122以及镜像接口 123。其中,侦听接口 122用于从外部接收要监控的数据;监控模块111用于对由所述侦听接口接收到的数据进行监控及安全性分析,例如执行入侵检测和病毒分析等操作;镜像接口 123用于对所述侦听接口进行镜像,S卩,从所述侦听接口复制接收的数据,并发送给外部的其他设备。通常,在使用监控设备101时,可以经由数据链路131将监控设备101的侦听接口122连接到交换机102的镜像接口 121。当需要同时使用另一个监控设备103时,可以经由数据链路132将其他监控设备的接口 124连接到监控设备101的镜像接口 123,上述监控设备103可以是任意传统的监控设备。在用户的交换机仅有一个镜像接口的情况下,通过使用如图I所示的监控设备101,如果用户想要再布置一台具有其他监控功能的监控设备,用户只需将新的监控设备连接到监控设备101的镜像接口上即可,而无需使之前使用的监控设备101下线,也无需使新的监控设备支持旧的监控设备的功能。因而,通过使用如图I所示的监控设备101,可以使用户灵活的布置多台监控设备,从而满足监控的多样性需求。图2是示出根据本发明的另一个实施例的监控设备及其应用环境的示意图。如图2所示,根据本发明的一个实施例的监控设备201包括监控模块211、过滤器212、侦听接口222和226、镜像接口 223和225。其中,侦听接口 222和226用于从外部接收要监控的数据。过滤器212用于对从侦听接口接收到的数据进行过滤。例如,当从侦听接口接收的数据在监控范围内时(例如,数据包的IP地址属于某个范围内),过滤器判断应该对该数据进行监控。反之,如果数据不在监控范围内时,则过滤器判断不对该数据进行监控。监控模块211用于对由所述侦听接口接收的并且所述过滤器212判断需监控的数据进行监控以及安全性分析,例如执行入侵检测和病毒分析等操作。镜像接口 223和225用于对经由所述侦听接口接收的、并且所述过滤器212判断需监控的数据进行镜像,即,将需监控的数据发送给外部的其他设备。在使用监控设备201时,与使用如图I所示的监控设备101类似,可以分别经由相应的数据链路将侦听接口 222连接到交换机203的镜像接口,将侦听接口 226连接到交换机202的镜像接口。当需要同时使用另外的监控设备204和205时,可以经由相应的数据链路将监控设备205的接收镜像数据的接口连接到监控设备201的镜像接口 223,并且将监控设备204的接收镜像数据的接口连接到监控设备201的镜像接口 225。上述监控设备204和205可以是任意传统的监控设备。当监控设备201的侦听接口接收到数据时,可以由过滤器212来判断是否需要对所述数据进行监控。如果判断需要监控,那么接下来监控模块211可以对所述数据进行监控和安全性分析,并且镜像接口 223和225可以将所述数据进一步发送给其他监控设备。因此,监控设备201可以对由多个侦听接口接收的数据汇总后进行镜像。此外,在一个实施例中,可以不使用过滤器212。在这种情况下,监控设备201可以直接将由侦听接口 222和226接收的数据全部提供给镜像接口 223和225,并且镜像接口 223和225可以分别将相同的镜像数据发送给对应的外部监控设备。虽然在图2的实施例中仅描述了监控设备201具有两个侦听接口和两个镜像接 口,但是实际上,侦听接口和镜像接口的数量还可以分别为两个以上。图3是示出根据本发明的又一个实施例的监控设备及其应用环境的示意图。如图3所示,根据本发明的一个实施例的监控设备301包括监控模块311、侦听接口 321、转发接口 322以及镜像接口 323。其中,侦听接口 321用于接收要监控的数据。转发接口 322用于将由侦听接口 321接收的数据直接转发出去。监控模块311用于对由所述侦听接口接收到的数据进行监控或安全性分析,例如执行入侵检测和病毒分析等操作。镜像接口 323用于对所述侦听接口进行镜像,即,从所述侦听接口复制接收的数据,并发送给外部的其他设备。本实施例中的监控设备301能够支持旁路模式和在线模式两种工作模式。当监控设备301工作在旁路模式下时,其工作方式类似于在上述实施例中描述的监控设备101和201,监控设备301通过其侦听接口 321接收来自其他设备的镜像数据,对该数据进行监控或安全性分析,并且可以将接收的数据由镜像接口 323发送给其他监控设备。在该模式下,监控设备301无需使用转发接口 322来转发由侦听接口 321接收的数据。当监控设备301工作在在线模式下时,通常其侦听接口 321与网络的主干线路连接以接收要监控的数据。转发接口 322将由侦听接口 321接收的数据转发到网络的主干线路上。监控模块311用于对由所述侦听接口接收到的数据进行监控或安全性分析,例如执行入侵检测和病毒分析等操作。镜像接口 323用于对所述侦听接口进行镜像,S卩,从所述侦听接口复制接收的数据,并发送给外部的其他监控设备。因此,通过使监控设备301的侦听接口 321和转发接口 322分别与主干线路相连接,可以将监控设备301串接在主干线路上。当还需要同时使用另一个监控设备303时,可以经由数据链路将监控设备303的用于接收镜像数据的接口 324连接到监控设备301的镜像接口 323。上述监控设备303可以是任意传统的监控设备。在一个实施例中,在监控设备303的侦听接口与对应的转发接口上还支持旁路(Bypass)功能,即断电或系统无法正常工作时,这一对接口上的数据还是互通的就像一根网线一样。此外,可以将结合图2所描述的实施例中的过滤器应用到监控设备301中,并且监控设备301的侦听接口、转发接口以及镜像接口的数量可以多于一个。
在有些网络环境下,用户所使用的网络设备(例如交互机)可能没有镜像接口,因而无法为监控设备提供镜像数据。在这种情况下,可以使用如图3中所示的监控设备301来对网络进行监控。在使用监控设备301时,只需将其串接在网络的主干线路上就可以实现对网络的监控,而无需网络中的其他设备向其提供镜像数据。此外,当用户想要接入更多的监控设备时,可以通过监控设备301将侦听到的数据通过其镜像接口发送给其他监控设备,以满足用户对网络的更多层次的监控需求。以上描述了根据本发明的构思的各种实施例。下面结合图4描述一种在监控设备中对数据进行侦听、转发、镜像和监控的具体实现方法,以方便对本发明的理解。但是,在监控设备中实现数据接收、转发、镜像和监控的方式并不局限于下述方法。图4是描述根据本发明的监控设备的一种具体实现方式的示意图。如图4所示,监控设备400包括内核层和用户层两大工作模块。内核层负责接收网络数据包,进行侦听、转发或镜像等操作,用户层负责对要进行监控的数据进行安全性分析处理。属于内核层的统一内存管理模块负责为侦听接口提供直通内存,利用统一内存管理模块,侦听接口对应的网卡上收到的数据包直接进入指定的内存,然后根据设备的工作模式来确定如何处理该 数据包。如果设备处于旁路模式,则无需转发该数据包。如果设备处于在线模式,则将该数据包从与侦听接口对应的转发接口发送一份出去。然后,提取该数据包的IP头信息,判断该数据包是否满足过滤条件。例如,当数据包的IP地址在某一范围内时,判断满足过滤条件,也就是说应当对该数据包进行监控或安全性分析。然后可以将该数据包从每个镜像口都发送一份,然后将该数据包挂到处理队列上,等待用户层模块进行安全性分析处理。用户层采用印oil机制提取处理队列上的数据包,从而由本监控设备对数据包执行监控或安全性分析操作,其中所述epoll机制是Linux内核的一种已知技术。当数据包的IP地址不在所述范围内时,则判断不满足过滤条件,这时无需将该数据包从镜像口发送。内核层以模块形式实现,加载模块时,内核根据现有的配置进行初始化。统一内存管理模块初始化时,分配固定数量的内存页;初始化各网卡的工作模式,处于侦听状态的网卡都会从统一内存管理模块中申请一定数额的内存,并通过统一内存管理模块为各自网卡创建两个队列收包队列和回收队列,完成后将队列随着统一内存一起映射到用户层,最后设置在线模式网卡的对应关系、提取镜像网卡列表和注册过滤器。从侦听接口对应的网卡接收到数据包时,直接存放在统一内存管理模块提供的内存地址上,根据模式确定是否转发,然后由过滤器判断,属于侦听范围内的数据则根据镜像列表发送出去,然后将该地址添加到收包队列中。统一内存管理模块通过印oil方式处理回收队列,存在需要回收的地址,则读出分析,确认释放后回归到统一内存中,优先被网卡收包使用,重复使用最近的内存,因其在CPU中有缓存,效率更高。用户层通过epoll机制来读取侦听接口对应的网卡的收包队列,依序读出数据包进行监控设备本身的数据分析。下面,参照图5描述操作的流程图,其可以与本发明的至少一个实施例一起使用。在步骤501,监控设备上的侦听接口接收数据。在步骤502,判断是否需转发所接收的数据。如果需要转发,那么在步骤503,由与侦听接口对应的转发接口转发所接收的数据,然后进行到步骤504。如果在步骤502中判断不需要转发所接收的数据,那么直接进行到步骤504。在步骤504,判断所接收的数据是否满足过滤的条件,例如,判断所接收的数据包的IP头信息是否在某个范围内。如果判断满足过滤条件,那么意味着应当对所接收的数据进行安全性分析处理和镜像,因此,过程进行到步骤505。在步骤505,监控设备对所接收的数据进行安全性分析处理,并且由监控设备的各镜像口复制一份数据出去,然后过程结束。如果在步骤504中判断不满足过滤条件,那过程直接结束。图5所示流程图中的步骤501 505是示意性的。在其他实施例中,步骤501 505中的一个或多个步骤可以省略,也可以按照其他顺序出现,并且一个或多个步骤可以分拆或组合为其他步骤。在一个实施例中,在步骤501接收到数据之后,可以将所接收的数据写入监控设备的统一内存区中,从而由属于监控设备的内核层的统一内存管理模块来负责进行侦听、转发或镜像等操作。统一内存管理模块通过epoll方式处理回收队列,存在需要回收的地址,则读出分析,确认释放后回归到统一内存中,优先被网卡收包使用,重复使用最近的内 存,因其在CPU中有缓存,效率更高。此外,可以由监控设备的用户层通过epoll机制来读取侦听接口对应的网卡的收包队列,依序读出数据以对所接收的数据进行安全性分析处理。以上结合具体实施例描述了本发明。本领域的技术人员还应认识到,可以将结合本文公开的各方面描述的各种例示性逻辑框、模块、处理器、装置、电路和算法步骤实现为电子硬件、各种形式的包含指令的程序或设计代码(文本为了方便起见可以将其称为“软件”或“软件模块”)或两者的组合。为了清楚地说明硬件和软件的这种可互换性,上文一般从它们功能性的角度来描述各种示例性部件、框、模块、电路和步骤。将这些功能实现为硬件还是软件取决于特定的应用和施加在整个系统上的设计约束条件。技术人员可以针对每种特定应用以不同的方式实现所述的功能,但不应将这种实现决定解释为导致脱离本公开的范围。提供对本发明各方面的上述介绍是为了使本领域的任何技术人员能够制造或使用本公开。对这些方面的各种修改对于本领域技术人员是显而易见的,可以将本文定义的一般原理应用于其它方面而不脱离本公开的精神或范围。因此,本公开并非旨在受限于本文所示的各个方面,而是符合与本文所公开的原理和新颖特征相容的最宽范围。
权利要求
1.一种网络监控设备,包括 侦听接口,用于接收数据; 镜像接口,用于对所述侦听接口进行镜像,以发送从所述侦听接口复制的数据; 监控模块,用于对由所述侦听接口接收的数据进行安全性分析。
2.如权利要求I所述的网络监控设备,其中,所述侦听接口接收来自交换机的镜像口的数据。
3.如权利要求I所述的网络监控设备,还包括与所述侦听接口对应的转发接口,用于转发由所述侦听接口接收的数据。
4.如权利要求3所述的网络监控设备,其中,能够经由所述侦听接口和所述转发接口将所述网络监控设备串接到网络的主干线路上。
5.如权利要求3所述的网络监控设备,其具有旁路模式和在线模式两种工作模式,其中, 当在旁路模式下工作时,所述转发接口不转发由所述侦听接口接收的数据, 当在在线模式下工作时,所述转发接口直接转发由所述侦听接口接收的数据。
6.如权利要求3所述的网络监控设备,其中,所述侦听接口和所述对应的转发接口还支持旁路功能。
7.如权利要求I所述的网络监控设备,还包括过滤器,用于对由所述侦听接口接收的数据进行过滤,以使所述镜像接口仅复制并发送过滤后的数据。
8.如权利要求I所述的网络监控设备,其中,所述镜像接口能够与其他监控设备连接。
9.如权利要求I所述的网络监控设备,其中,所述侦听接口的数量多于I个。
10.如权利要求I所述的网络监控设备,其中,所述镜像接口的数量多于I个,并且多个镜像接口能够对相同的侦听接口进行镜像。
11.如权利要求I所述的网络监控设备,其利用属于内核层的统一内存管理模块来接收网络数据包,从而进行侦听、转发或镜像等操作。
12.一种用于监控网络的方法,包括 接收数据; 判断是否需要转发所接收的数据; 在判断需要转发所接收的数据时,转发所接收的数据; 判断所接收的数据是否满足过滤条件; 在判断所接收的数据满足过滤条件时,对所接收的数据进行安全性分析处理并且进行镜像操作。
13.如权利要求12所述的方法,还包括 在接收到数据后,将所接收的数据写入统一内存区,以由统一内存管理模块来进行侦听、转发或镜像等操作。
14.如权利要求13所述的方法,还包括 在进行所述镜像操作之后,统一内存管理模块通过epoll方式处理回收队列,从而将需要回收的地址回归到统一内存中,优先用于接收数据。
全文摘要
本发明提供了一种网络监控设备,包括侦听接口,用于接收数据;镜像接口,用于对所述侦听接口进行镜像,以发送从所述侦听接口复制的数据;以及监控模块,用于对由所述侦听接口接收的数据进行安全性分析。本发明的监控设备的优点是能够在不使旧的监控设备下线的情况下,同时使用其他新的监控设备,并且能够在没有镜像接口的网络环境中用来监控网络数据流。
文档编号H04L12/26GK102761435SQ201110119718
公开日2012年10月31日 申请日期2011年4月29日 优先权日2011年4月29日
发明者钱华钩 申请人:北京瑞星信息技术有限公司