专利名称:一种基于流量统计网卡的网络审计设备和方法
技术领域:
本发明属于网络数据处理领域,具体涉及一种基于流量统计网卡的网络审计设备和方法。
背景技术:
流量审计设备是指IDS等对网络流量和内容进行审计的设备,这类设备需要对网络流量中各种类型的报文特征,和网络传输的内容进行识别、统计和分析。一般高速网络审计设备包括两部分功能,一部分是基本的流量统计,比如某个端口、ip、协议的流量计数, 另一部分是对网络数据内容的分析。其中,前者的处理过程简单固定,但需要处理所有的数据,后者处理过程复杂但需要处理的数据较少。在高速网络的应用环境中,网络审计对设备性能要求很高。专利号“CN200610124(^6.2”发明名称为“一种网络流量统计的方法及系统”,公开
了一种网络流量的统计方法,包括网络流量订阅设备向网络流量统计设备发送SIP订阅消息,请求订阅网络流量;网络流量统计设备根据接收到的所述SIP订阅消息进行网络流量统计;网络流量统计设备通过SIP通知消息将网络流量统计结果返回给网络流量订阅设备。本发明还公开了一种网络流量统计系统。采用本发明,使得软交换和SIP服务器可以方便地获取SIP终端和媒体网关的流量信息,从而使得运营商可以根据统计的数据包和信令流量为用户提供相应的服务措施。专利号“CN201110055849.5”发明名称为“一种网络流量确定方法、装置及网络设备”,公开了一种网路流量确定方法、装置及网络设备,用以解决现有技术无法准确、有效确定网络流量的问题。该方法通过获取统计周期内每个接口在每个采集时刻的数据转发速率,并将获取的该数据转发速率保存到存储空间中,根据存储空间中保存的每个数据转发速率,确定该接口的网络流量。由于在本发明实施例中获取统计周期内每个采集时刻该接口的数据转发速率,根据获取的每个数据转发速率,确定该接口的网络流量,因此可以有效的避免短时突发数据,对确定网络流量准确性的影响,从而提高了确定的网络流量的准确性。但上述系统是由网络审计软件和通用硬件实现的,通用硬件把所有流量采集到软件中,由软件进行基本的流量统计和数据内容的分析。因为基本流量统计的工作是每个报文都需要的,所以在高速网络上,软件实现的流量统计需要消耗大量的计算资源,效率较低。
发明内容
本发明克服现有技术不足,基于专用的流量统计网卡实现网络审计设备,提高网络审计设备的效率。本发明提供了一种基于流量统计网卡的网络审计设备,其包括网络审计软件模块和流量统计网卡模块,该流量统计网卡模块包括报文分类模块和报文统计模块。
本发明提供的基于流量统计网卡的网络审计设备,其网络审计软件模块包括内容分析模块和流量统计模块。本发明提供的基于流量统计网卡的网络审计设备,其流量统计网卡模块的报文分类模块将需要进行内容分析的流量上传给网络审计软件模块中的内容分析模块。本发明提供的基于流量统计网卡的网络审计设备,其网络审计软件模块包括统计寄存器模块,用于存储报文统计模块上传的数据并传给流量统计模块。本发明提供的基于流量统计网卡的网络审计设备,其报文分类模块根据网卡ip、 端口、协议、长度等特征把报文分类处理。本发明提供的基于流量统计网卡的网络审计设备,其报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存器模块。本发明还提供了一种基于流量统计网卡的网络审计方法,在所述流量统计网卡的硬件芯片上实现报文分类和报文统计。本发明提供的基于流量统计网卡的网络审计方法,输入流量到达所述流量统计网卡后,根据网卡ip、端口、协议、长度等特征把报文分类处理,需要进行内容分析的流量上传给软件,需要基本统计信息的数据传给报文统计模块。本发明提供的基于流量统计网卡的网络审计方法,所述根据报文特征,在硬件中进行报文统计,并更新软件可读取的统计寄存器。本发明提供的基于流量统计网卡的网络审计方法,网络审计软件从所述流量统计网卡获得需要进行内容分析的网络流量,同时从硬件寄存器读取流量统计信息,软件把两者结合实现全面的网络审计。本发明基于专用的流量统计网卡实现网络审计设备,流量统计网卡是专门定制的硬件网卡,可以在硬件中对输入流量实现基本的分类和统计,基本流量统计结果通过硬件寄存器供软件读取,需要进行内容分析的数据才上传给软件。与现有技术相比,本发明的有益效果在于本发明可以提升流量审计设备的性能。
图1是本发明的结构示意图。
具体实施例方式图1是本发明的结构示意图,包括网络审计软件模块和流量统计网卡模块,该流量统计网卡模块包括报文分类模块和报文统计模块而其网络审计软件模块包括内容分析模块和流量统计模块以及统计寄存器模块,用于存储报文统计模块上传的数据并传给流量统计模块。其中流量统计网卡模块的报文分类模块根据网卡ip、端口、协议、长度等特征把报文分类处理,将需要进行内容分析的流量上传给网络审计软件模块中的内容分析模块。其中报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存器模块。本发明的实现方法和过程如下(1)流量统计网卡硬件芯片上实现报文分类和报文统计两个模块。
4
(2)输入流量到达流量统计网卡后,报文分类模块根据网卡ip、端口、协议、长度等特征把报文分类处理,需要进行内容分析的流量上传给软件,需要基本统计信息的数据传给报文统计模块。(3)报文统计模块根据报文特征,在硬件中进行统计,并更新软件可读取的统计寄存器。(4)网络审计软件的内容分析模块从网卡获得需要进行内容分析的网络流量,流量统计模块从硬件寄存器读取流量统计信息,软件把两者结合实现全面的网络审计。本发明是在高速网络上,可以提升流量审计设备的性能。以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所述领域的普通技术人员应当理解依然可以对本发明的具体实施方式
进行修改或者同等替换,而未脱离本发明精神和范围的任何修改或者等同替换, 其均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种基于流量统计网卡的网络审计设备,其包括网络审计软件模块和流量统计网卡模块,其特征在于流量统计网卡模块包括报文分类模块和报文统计模块。
2.根据权利要求1所述的审计设备,其特征在于,网络审计软件模块包括内容分析模块和流量统计模块。
3.根据权利要求1-2所述的审计设备,其特征在于,流量统计网卡模块的报文分类模块将需要进行内容分析的流量上传给网络审计软件模块中的内容分析模块。
4.根据权利要求1-3所述的审计设备,其特征在于,网络审计软件模块包括统计寄存器模块,用于存储报文统计模块上传的数据并传给流量统计模块。
5.根据权利要求1-4所述的审计设备,其特征在于,报文分类模块根据网卡ip、端口、 协议、长度等特征把报文分类处理。
6.根据权利要求1-5所述的审计设备,其特征在于,报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存器模块。
7.一种基于流量统计网卡的网络审计方法,其特征在于,在所述流量统计网卡的硬件芯片上实现报文分类和报文统计。
8.根据权利要求7所述的审计方法,其特征在于,输入流量到达所述流量统计网卡后, 根据网卡ip、端口、协议、长度等特征把报文分类处理,需要进行内容分析的流量上传给软件,需要基本统计信息的数据传给报文统计模块。
9.根据权利要求7-8所述的审计方法,其特征在于,所述根据报文特征,在硬件中进行报文统计,并更新软件可读取的统计寄存器。
10.根据权利要求7-9所述的审计方法,其特征在于,网络审计软件从所述流量统计网卡获得需要进行内容分析的网络流量,同时从硬件寄存器读取流量统计信息,软件把两者结合实现全面的网络审计。
全文摘要
本发明提供一种基于流量统计网卡的网络审计设备和方法,所述流量统计设备由网络统计网卡和网络审计软件够成,流量统计网卡硬件芯片上实现报文分类和报文统计两个模块。基本流量统计结果通过硬件寄存器供软件读取,需要进行内容分析的数据才上传给软件。与现有技术相比,本发明的有益效果在于提升流量审计设备的性能。
文档编号H04L29/06GK102497298SQ20111042709
公开日2012年6月13日 申请日期2011年12月19日 优先权日2011年12月19日
发明者刘朝辉, 刘灿, 李锋伟, 窦晓光, 邵宗有 申请人:曙光信息产业(北京)有限公司