专利名称:一种监视网络用户数据流的方法
技术领域:
本发明涉及网络监视技术领域,特别是指一种监视网络用户数据流的方法。
背景技术:
通常情况下,用户经过网络接入设备才能与Internet网络建立起连接,如果待接入用户为内部网络的主机之一,则需经过网络地址转换(NATNetwork Address Translation)设备,或NAT设备和网络接入设备才能与Internet网络建立起连接。
网络接入设备是指网络接入服务器(NASNetwork Access Server)、宽带接入服务器(BASBroadband Access Server)等设备,网络接入技术的一个重要功能就是给接入用户分配IP地址并进行管理。大多数情况,网络提供服务商(ISPInternet Service Provider)为每一个接入用户每次接入时分配的IP地址是随机的,且不是与接入用户固定绑定的,即ISP是将地址池中有限的IP地址,在不同的时间内重复分配给大量的用户。因此,接入用户数据流中所包含的源IP地址信息与某一个接入用户之间没有固定的对应关系。
网络地址转换(NATNetwork Address Translation)设备的机制,是指将内部网络主机所发报文的源IP地址和源端口,转换为外部网络的源IP地址和源端口,并将转换前的源IP地址、源端口与地址转换后的源IP地址、源端口的对应关系保存在地址转换哈希(HASH)表中;反之,对于外部网络响应报文的目的IP地址和目的端口,通过查询已建立的地址转换HASH表,使之转换回内部网络主机的IP地址和端口。NAT技术使内部网络实现了访问外部网络的功能。当访问结束后,该地址转换HASH表将被删除。由于NAT技术本身具有“屏蔽”内部主机的作用,即对内部网络的源IP地址和源端口进行了转换,为内部主机提供了“隐私”保护。但与此同时,也为在外部网络的信息安全相关部门监视内部网络主机的数据流设置了障碍。
在某些情况,为了公共的利益,需长期或实时监视并分析网络用户的数据流,并详细了解数据流的源、目的、应用、时间、流量等信息。例如安全部门希望追踪某一时间段,哪个用户对Internet上的某一网络站点,进行了什么性质的访问。现在一般采用以下两种监视方案1)在网络终端服务器上,对访问本服务器的数据流做日志和审计,从而达到监视用户数据流的目的。
应用上述方法不能对所有的服务器终端进行监视,同时,该方案也不能解决NAT和接入等技术带来的数据流中的源信息与具体用户不能一一对应的问题。
2)利用Cisco公司提供的网络数据流(NetFlow)技术,实现对流经路由设备的数据流的源和目的地址、应用协议、创建和持续时间等信息进行收集、过滤、输出和存储,并根据所收集的信息对网络用户的数据流进分析,从而达到监视用户数据流的目的。
应用上述方法,同样不能解决NAT和接入等技术带来的数据流中的源信息与具体接入用户不能一一对应的问题。而且在NAT设备上采用NetFlow机制时,还需要独立于NAT技术所维护HASH表,再创建一张数据流HASH表,并需单独对该数据流HASH表进行维护、查询等工作,这无疑增加了内存的消耗,降低了系统的性能;在NAT设备或接入设备上采用NetFlow机制监视用户数据流时,只能在数据流结束时才进行记录,因此对于在线网络用户的数据流无法进行实时监视。
无论是服务器的日志技术,还是NetFlow技术,都无法解决NAT和接入等技术中数据流中的源信息与具体用户一一对应的问题,即无法定位到具体的接入用户。在目前NAT和接入等技术普遍应用的情况下,这个问题是不容忽略的。
发明内容
有鉴于此,本发明提供一种监视网络用户数据流的方法,使网络用户所在数据流的源信息与具体的接入用户之间形成一一对应关系,同时,实现长期或实时对接入用户数据流的监视以及分析。
为达到上述目的本发明的技术方案是这样实现的一种监视网络用户数据流的方法,该方法包括以下步骤a、在网络设备中,将用于监视和分析网络用户数据流的信息作为日志记录保存起来;b、检索并分析步骤a所述的日志记录,获取所监视数据流的源信息与具体用户的对应关系。
较佳地,步骤a所述的网络设备为网络地址转换设备和/或网络接入设备。
较佳地,对于网络地址转换设备,步骤a所述用于监视和分析网络用户数据流的信息至少包括经网络地址转换设备转换前的源IP地址和源端口、经网络地址转换设备转换后的源IP地址和源端口、目的IP地址、数据流的创建时间以及数据流的结束时间;对于接入设备,步骤a所述用于监视和分析网络用户数据流的信息至少包括源IP地址、目的IP地址、接入的用户名、用户被分配的IP地址、数据流的创建时间、数据流的结束时间、上线时间和下线时间。
较佳地,对于网络地址转换设备,步骤b所述所监视数据流的源信息为经网络地址转换设备转换后的源IP地址和源端口,所述具体用户为经网络地址转换设备转换前的源IP地址和源端口;对于接入设备,步骤b所述所监视数据流的源信息为源IP地址,所述具体用户为接入的用户名。
较佳地,所述步骤b进一步包括对于网络地址转换设备,根据日志记录中的经网络地址转换设备转换后的源IP地址和源端口、目的IP地址,以及该源IP地址和源端口所在数据流的创建时间和结束时间,获取经网络地址转换设备转换后的源IP地址和源端口与转换前的源IP地址和源端口的对应关系;对于接入设备,根据日志记录中的源IP地址所在数据流的创建时间和结束时间,再根据网络用户的上线时间、下线时间以及该用户被分配到的IP地址,获取接入的用户名与所监视数据流的源IP地址对应关系。
较佳地,创建所述用于监视和分析网络用户数据流的同时生成日志记录并输出。
较佳地,该方法进一步包括,设置一定时器,使用于监视和分析网络用户数据流的日志记录定时输出。
较佳地,该方法进一步包括,设置日志存储设备,所述的日志记录保存于日志产生设备中和/或保存于日志存储设备中,并通过日志产生设备和/或日志存储设备进行输出。
较佳地,该方法进一步包括,设置过滤条件,只对符合过滤条件的用户数据流进行日志记录。
较佳地,对于网络地址转换设备,所述用于监视和分析网络用户数据流的信息还包括但不限于目的端口、协议号、数据流的结束原因和流量中的一项或复数项;对于接入设备,所述用于监视和分析网络用户数据流的信息还包括但不限于源端口、目的端口、协议号、数据流的结束原因、流量、接入的接口、永久虚拟电路和虚拟局域网标识中的一项或复数项。
应用本发明,在用户接入网络所必经的网络设备上,对接入用户的数据流进行日志记录,通过检索、分析日志记录,解决了数据流中源信息与具体用户不对应的问题,使接入用户的数据流迅速准确的被定位到具体的接入用户。应用本发明,通过对网络用户数据流进行监视和分析,可追踪网络用户中的不正当的非法活动,或对网络数据的流量与分布进行分析,或对用户进行计帐与收费,或指导网络的规划或者服务器的维护等等,该方法简便易行,实用性强。
图1为应用本发明的NAT设备对内部网络用户做地址转换后的数据流进行日志记录的示意图;图2为应用本发明的接入设备对接入用户的数据流日志记录及上下线日志记录的示意图;图3为应用本发明的日志产生设备将所生成的日志报文传输到日志存储设备的示意图。
具体实施例方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。
本发明的思路是通过在不同的设备上对网络用户进行日志记录,并综合分析所记录的结果,从而实现对具体接入用户数据流的监视。
对于进行网络地址转换的NAT设备,在原有的NAT技术所维护的地址转换HASH表内,增加HASH表中的表项成员,使该NAT技术所维护的HASH表除了记录NAT技术本身所要求记录的源IP地址、源端口、转换后的源IP地址、转换后的源端口外,再增加记录用于监视和分析数据流的信息,如目的IP地址、目的端口、协议号、创建时间等信息,并且当数据流结束时,再记录一些与监视和分析相关的信息,如数据流结束时间、结束原因、流量等。在数据流结束后,将该HASH表记录的信息保存为日志记录,并将该日志进行存储和/或输出。
图1所示为应用本发明的NAT设备对内部网络用户做地址转换后的数据流进行日志记录的示意图。图中SIP和SPORT分别表示内部网络的源IP地址和源端口;NATIP和NATPORT分别表示经NAT设备转换后的外部网络中的源IP地址和源端口;DIP表示目的IP地址;TIME表示访问时间。
根据NAT设备对接入用户数据流的日志记录,可以准确获取以下信息(1)在2003/02/15,20:12:15到2003/02/15,20:55:07这段时间内,内部网络源IP地址为10.110.27.103的主机经NAT设备转换后的源IP地址为203.196.3.23;(2)上述主机在所记录的时间内访问了Internet上的目的地址为202.18.245.251的服务器;(3)上述主机所应用的内部源端口号为6084,该端口号经NAT设备转换后的源端口号为32816。
这样,即可获得在2003/02/15,20:12:15到2003/02/15,20:55:07这段时间内,经NAT设备转换后的源IP地址为203.196.3.23端口号为32816的源信息,访问了目的IP地址为202.18.245.251的服务器。与该源信息相对应的具体接入用户为内部网络中使用源IP地址为10.110.27.103源端口号为6084的主机。
对于网络接入设备,如BAS或NAS等接入设备,创建用于记录用户数据流的信息表,对接入用户的数据流信息以及该用户的上下线信息进行记录,并在数据流结束时,将所记录的信息保存为日志记录,并进行日志的存储和/或输出。
接入用户的数据流日志记录是指,在网络的NAS或BAS等接入设备上,当用户上线并开始正常的上网通信后,对接入用户的数据流进行记录。该记录包括源IP地址、源端口、目的IP地址、目的端口、协议号、创建时间、结束时间、结束原因和流量等信息。
接入用户的上下线日志记录是指,在网络的BAS或NAS等接入设备上,当接入用户得到认证上线时,对接入用户的用户名、上线时间、分配的IP地址、接入的接口、永久虚拟电路(PVC)、虚拟局域网标识(VLAN ID)等信息进行记录;同样的,当用户下线时,将下线时间等信息记录下来。
根据接入设备上的数据流日志记录,可以检索到在某一段时间内,某个源IP地址访问过哪些目的IP地址,由于ISP是把一个IP地址重复地分配给不同时间上线的不同用户,因此,再根据接入设备上接入用户的上下线日志记录,查找出在某一时间段内,某个源IP地址所对应的用户名等信息,从而迅速准确地将所源信息定位到具体的接入用户。
图2所示为应用本发明的接入设备对接入用户的数据流日志记录及上下线日志记录的示意图。图中USER表示用户名,UPTIME和DOWNTIME分别表示接入用户的上线时间和下线时间,SIP和DIP分别表示源IP地址和目的IP地址,TIME表示对某一目的地的访问时间。根据图中接入用户的数据流日志记录以及上下线的日志记录,可以准确获取以下信息(1)在2003/03/01,21:10:01到2003/03/01,21:45:20时间段内,源IP地址为202.196.3.23的主机访问了Internet上的IP地址为202.18.245.251的服务器;(2)用户名为johnsmith的主机在2003/03/01,20:12:01到2003/03/01,22:45:23这个时间段内被分配的IP地址为202.196.3.23,并且该主机在上述时间段内一直处于在线状态。
根据上述信息可以确定IP地址为202.18.245.251的源信息,在2003/03/01,21:10:01到2003/03/01,21:45:20时间段内,访问了Internet上目的IP地址为202.18.245.251的服务器。由于IP地址为202.18.245.251的源信息在2003/03/01,20:12:01到2003/03/01,22:45:23这个时间段内一直处于在线状态,因此,可以肯定与该源IP地址相对应的接入用户的用户名为johnsmith。至于用户johnsmith的在2003/03/01,20:12:01到2003/03/01,22:45:23的其余时间内,可能接入了Internet上的其它服务器,或没有接入任何服务器,其具体情况,都可在接入用户的数据流日志中获得。当然,如果接入用户是内部网络中的主机之一,再根据NAT设备对内部网络用户做地址转换后的数据流日志记录确定内部网络中的具体接入主机。
对于网络的终端设备或中间设备,如路由器、交换机、服务器等,也可创建用于记录数据流的信息表,在该信息表中,对网络用户的数据流进行日志记录,如流经路由设备的数据流的源IP地址、目的IP地址、应用协议、创建和持续时间以及流量等信息,并在数据流结束时,将该信息表记录的信息保存为日志记录,并进行日志的存储和/或输出。这样,有助于对用户数据流信息的监视和分析。
以上所述的日志记录都可在其产生日志的设备上以某种格式,如文本格式,进行存储或打印,或将所述的日志记录按一定格式封装为传输控制协议(TCP)、用户数据报协议(UDP)或其它传输协议的报文后,输出到网络中的另一设备上,如图3所示,在另一设备上以某种格式进行存储或打印。所存储或打印的日志报文中除包含日志信息外,还包含日志报文格式的版本号、输出日志的设备名和IP地址、输出时间、包含日志记录数和序列号等日志报文本身的信息。利用日志应用程序,在网络用户数据流日志的存储设备上,对网络用户数据流日志进行处理。例如根据关键信息检索相应的日志记录;绘制网络用户数据流量的曲线等等。
如果需要实时监视在线的数据流,就不能只在数据流结束时才进行记录。可以采用下面的方法进行实时监视a、在数据流创建的时候,就生成日志记录,并进行输出;b、在日志生成程序中加入定时器,在数据流的中间状态使日志记录定时输出;c、将方法a与方法b根据需要结合使用。
在做日志记录的NAT、NAS或BAS等设备上,还可以设置一定的过滤条件,对网络用户数据流进行过滤,只对符合条件的数据流进行日志记录。过滤的条件可以包括源IP地址、源端口、目的IP地址、目的端口、协议号等信息的全部或部分组合。这样,只对希望监视和分析的网络用户数据流进行日志,而不对其他数据流进行日志处理,从而提高了系统性能;另一方面避免了冗余日志的产生,以及对网络带宽和存储设备内存资源的浪费,同时还可提高检索日志记录的效率。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种监视网络用户数据流的方法,其特征在于该方法包括以下步骤a、在网络设备中,将用于监视和分析网络用户数据流的信息作为日志记录保存起来;b、检索并分析步骤a所述的日志记录,获取所监视数据流的源信息与具体用户的对应关系。
2.根据权利要求1所述的方法,其特征在于,步骤a所述的网络设备为网络地址转换设备和/或网络接入设备。
3.根据权利要求2所述的方法,其特征在于,对于网络地址转换设备,步骤a所述用于监视和分析网络用户数据流的信息至少包括经网络地址转换设备转换前的源IP地址和源端口、经网络地址转换设备转换后的源IP地址和源端口、目的IP地址、数据流的创建时间以及数据流的结束时间;对于接入设备,步骤a所述用于监视和分析网络用户数据流的信息至少包括源IP地址、目的IP地址、接入的用户名、用户被分配的IP地址、数据流的创建时间、数据流的结束时间、上线时间和下线时间。
4.根据权利要求3所述的方法,其特征在于,对于网络地址转换设备,步骤b所述所监视数据流的源信息为经网络地址转换设备转换后的源IP地址和源端口,所述具体用户为经网络地址转换设备转换前的源IP地址和源端口;对于接入设备,步骤b所述所监视数据流的源信息为源IP地址,所述具体用户为接入的用户名。
5.根据权利要求4所述的方法,其特征在于,所述步骤b进一步包括对于网络地址转换设备,根据日志记录中的经网络地址转换设备转换后的源IP地址和源端口、目的IP地址,以及该源IP地址和源端口所在数据流的创建时间和结束时间,获取经网络地址转换设备转换后的源IP地址和源端口与转换前的源IP地址和源端口的对应关系;对于接入设备,根据日志记录中的源IP地址所在数据流的创建时间和结束时间,再根据网络用户的上线时间、下线时间以及该用户被分配到的IP地址,获取接入的用户名与所监视数据流的源IP地址对应关系。
6.根据权利要求1所述的方法,其特征在于该方法进一步包括,创建所述用于监视和分析网络用户数据流的同时生成日志记录并输出。
7.根据权利要求1或6所述的方法,其特征在于该方法进一步包括,设置一定时器,使用于监视和分析网络用户数据流的日志记录定时输出。
8.根据权利要求7所述的方法,其特征在于该方法进一步包括,设置日志存储设备,所述的日志记录保存于日志产生设备中和/或保存于日志存储设备中,并通过日志产生设备和/或日志存储设备进行输出。
9.根据权利要求7所述的方法,其特征在于该方法进一步包括,设置过滤条件,只对符合过滤条件的用户数据流进行日志记录。
10.根据权利要求3所述的方法,其特征在于,对于网络地址转换设备,所述用于监视和分析网络用户数据流的信息还包括但不限于目的端口、协议号、数据流的结束原因和流量中的一项或复数项;对于接入设备,所述用于监视和分析网络用户数据流的信息还包括但不限于源端口、目的端口、协议号、数据流的结束原因、流量、接入的接口、永久虚拟电路和虚拟局域网标识中的一项或复数项。
全文摘要
一种监视网络用户数据流的方法,该方法包括以下步骤a.在网络设备中,将用于监视和分析网络用户数据流的信息作为日志记录保存起来;b.检索并分析步骤a所述的日志记录,获取所监视数据流的源信息与具体用户的对应关系。应用本发明,解决了数据流源信息与具体用户不对应的问题,使接入用户的数据流迅速准确的被定位到具体的接入用户,同时,还可对在线的数据流进行实时监视。该方法简便易行,实用性强。
文档编号H04L12/26GK1567855SQ03137098
公开日2005年1月19日 申请日期2003年6月18日 优先权日2003年6月18日
发明者阎长江, 田力 申请人:华为技术有限公司