CN101272292A - 一种在流量监控中识别用户身份的方法及设备 - Google Patents
一种在流量监控中识别用户身份的方法及设备 Download PDFInfo
- Publication number
- CN101272292A CN101272292A CNA2008101066570A CN200810106657A CN101272292A CN 101272292 A CN101272292 A CN 101272292A CN A2008101066570 A CNA2008101066570 A CN A2008101066570A CN 200810106657 A CN200810106657 A CN 200810106657A CN 101272292 A CN101272292 A CN 101272292A
- Authority
- CN
- China
- Prior art keywords
- address
- mac address
- traffic monitoring
- user
- access switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种在流量监控中识别用户身份的方法及设备。所述方法包括:流量监控服务器建立并维护用户信息,所述用户信息是用户IP地址、MAC地址、接入位置之间的对应关系,所述接入位置是用户所接入的接入交换机的端口;流量监控服务器监控网络流量,从所述网络流量中提取源IP地址,根据所述提取的IP地址从所述用户信息中查找对应的MAC地址及接入位置。依照本发明,在网络流量异常时,能够准确地找到引发异常流量的用户。
Description
技术领域
本发明涉及计算机网络领域,尤其涉及一种在流量监控中识别用户身份的方法及设备。
背景技术
网络应用越来越广泛、网络规模日渐增大,网络中承载的业务也越来越丰富。随之而来的,就是企业网内容用户的越来越多的异常行为。上班时间聊天、玩网络游戏、下载电影或其他与工作无关的事情,甚至是威胁到企业正常办公业务的行为。为了保护企业利益,提高办公效率,企业需要及时了解网络中承载的业务,实时监控员工的网络行为,一旦发现网络上出现异常流量,必须能准确地找到引发异常流量的员工(网络用户),及时制止员工的异常行为。
图1为现有技术的网络流量监控组网示意图。如图1所示,用户通过接入交换机接入网络,用户在访问网络时,网关将网络流量镜像到流量监控服务器,如此,企业就可以通过流量监控服务器来监控企业网络上的流量。在网络流量异常时,流量监控服务器从引起异常的流量中提取源IP地址,根据所述提取的IP地址来识别用户终端,从而识别用户身份。
这种基于IP地址识别用户身份的方案优点在于实现简单,但是存在定位不准确的缺点。因为,在绝大多数局域网中,为了简化管理,节省IP地址,都会采用DHCP服务器动态分配IP地址的管理方式。这样一来,IP地址就是不固定的,无法通过IP地址准确的识别用户身份。而且,IP地址也是可以通过配置仿冒的,通过IP地址找到的用户很可能是无辜的,这就很容易被别有用心的用户钻空子。
发明内容
本发明所要解决的技术问题是提供一种在流量监控中识别用户身份的方法及设备,在网络流量异常时,能够准确地找到引发异常流量的用户。
为解决上述技术问题,本发明提供技术方案如下:
一种在流量监控中识别用户身份的方法,包括:
流量监控服务器建立并维护用户信息,所述用户信息是用户IP地址、MAC地址、接入位置之间的对应关系,所述接入位置是用户所接入的接入交换机的端口;
流量监控服务器监控网络流量,从所述网络流量中提取源IP地址,根据所述提取的IP地址从所述用户信息中查找对应的MAC地址及接入位置。
上述的方法,其中,流量监控服务器根据接入交换机上报的用户IP地址、MAC地址、接入端口号来建立并维护所述用户信息。
上述的方法,其中,所述上报的用户IP地址、MAC地址、接入端口号是接入交换机通过窃听DHCP报文所得到。
上述的方法,其中,所述用户的接入端口号是接入交换机通过记录接收DHCP请求报文的端口号而获得。
上述的方法,其中,流量监控服务器维护用户信息进一步包括:在用户掉线时,流量监控服务器根据接入交换机上报的用户IP地址、MAC地址、接入端口号删除相应的用户信息。
一种流量监控服务器,包括:
用户信息维护模块,用于建立并维护用户信息,所述用户信息是用户IP地址、MAC地址、接入位置之间的对应关系,所述接入位置是用户所接入的接入交换机的端口;
流量监控模块,用于监控网络流量;
用户身份识别模块,用于从所述网络流量中提取源IP地址,根据所述提取的IP地址从所述用户信息中查找对应的MAC地址及接入位置。
上述的流量监控服务器,其中,所述用户信息维护模块,进一步用于根据接入交换机上报的用户IP地址、MAC地址、接入端口号来建立并维护所述用户信息。
上述的流量监控服务器,其中,所述上报的用户IP地址、MAC地址、接入端口号是接入交换机通过窃听DHCP报文所得到。
上述的流量监控服务器,其中,所述用户信息维护模块,进一步用于在用户掉线时,根据接入交换机上报的用户IP地址、MAC地址、接入端口号删除相应的用户信息。
一种接入交换机,包括:
DHCP报文窃听模块,用于窃听DHCP报文,记录接收DHCP请求报文的用户接入端口号,以及所述DHCP请求报文对应的DHCP响应报文中包含的用户IP地址、MAC地址;
用户信息发送模块,用于将所述记录的用户IP地址、MAC地址、接入端口号上报给流量监控服务器。
上述的接入交换机,其中,还包括:端口检测模块,用于检测用户是否掉线,当检测到用户掉线时,删除相应的用户IP地址、MAC地址、接入端口号;并且,所述用户信息发送模块,还用于将删除所述用户IP地址、MAC地址、接入端口号的信息上报给流量监控服务器。
与现有技术相比,本发明的有益效果是:
通过接入交换机与流量监控服务器的联动,能够在发现网络流量异常时,准确的定位到用户终端,从而识别用户身份。
附图说明
图1为现有技术的网络流量监控组网示意图;
图2为本发明实施例的网络流量监控组网示意图;
图3为本发明实施例的在流量监控中识别用户身份的方法流程图;
图4为本发明实施例的接入交换机的结构示意图;
图5为本发明实施例的流量监控服务器的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明进行详细描述。
参照图2,用户通过接入交换机接入网络,并通过DHCP服务器动态获取IP地址。用户在访问网络时,网关将网络流量镜像到流量监控服务器,如此,企业就可以通过流量监控服务器来监控企业网络上的流量。
参照图2、3,本发明实施例的在流量监控中识别用户身份的方法,主要包括如下步骤:
步骤301:接入交换机动态维护一张本机接入范围内的用户IP地址、MAC地址、接入端口的第一对应关系表,并将该第一对应关系表中的数据上报到流量监控服务器。
接入交换机可以通过窃听DHCP报文(DHCP Snooping)的方式来获取所述用户IP地址、MAC地址、接入端口的对应关系,包括:(1)用户上线获取IP地址时,接入交换机在所述第一对应关系表中增加相应的用户IP地址、MAC地址、接入端口;(2)用户下线释放IP地址时,接入交换机在所述第一对应关系表中删除相应的用户IP地址、MAC地址、接入端口。
另外,接入交换机还可以对端口进行检测,以确定用户是否掉线,在用户掉线时,接入交换机在所述第一对应关系表中删除相应的用户IP地址、MAC地址、接入端口。
以下对上述三种情况进行具体描述。
情况一、用户上线,获取IP地址,流程如下:
(1)用户终端启动,发出DHCP请求,以获取IP地址;
(2)接入交换机启动DHCP Snooping,监听DHCP请求,并记录接收DHCP请求报文的接入端口号;
(3)DHCP服务器收到请求并返回响应报文;接入交换机通过DHCPSnooping监听响应报文,从响应报文中提取IP地址、MAC地址并根据对应的请求报文获取用户接入端口号;
(4)接入交换机保存所述IP地址、MAC地址、接入端口号到所述第一对应关系表中。
情况二、用户下线,释放IP地址,流程如下:
(1)用户上网过程中,发出DHCP请求,以释放IP地址;
(2)接入交换机监听DHCP请求,并记录接收DHCP请求报文的接入端口号;
(3)接入交换机根据端口号查询本地IP地址、MAC地址和端口对应表;
(4)接入交换机删除所述第一对应关系表中相应的数据。
情况三、接入交换机检测端口,以确定用户是否掉线,具体为:
(1)用户终端关机或拔网线时,接入交换机的接入端口报Down(关闭);
(2)接入交换机根据报Down的端口号查询本地IP地址、MAC地址和端口对应表;
(3)接入交换机删除所述第一对应关系表中相应的数据。
在所述第一对应关系表中的数据更新时,接入交换机实时地将增加或删除的IP地址、MAC地址、端口号数据上报给流量监控服务器。
步骤302:流量监控服务器维护一张全网范围内的用户IP地址、MAC地址、接入交换机ID和端口号的第二对应关系表,根据接入交换机上报的数据实时更新所述第二对应关系表。其中,接入交换机ID和端口号即为用户的接入位置。
接入交换机实时地将增加或删除的IP地址、MAC地址、端口号数据上报给流量监控服务器后,流量监控服务器根据这些数据以及上报这些数据的接入交换机的ID来更新所述第二对应关系表。
步骤303:流量监控服务器监控网络流量,从所述网络流量中提取源IP地址,根据所述提取的IP地址从所述对应关系表中查找对应的MAC地址及接入位置。
在查找到所述MAC地址及接入位置后,就可据此来确定用户的身份。
参照图4,本发明实施例的接入交换机主要包括:DHCP报文窃听模块、用户信息发送模块和端口检测模块。
DHCP报文窃听模块,用于窃听DHCP报文,记录接收DHCP请求报文的用户接入端口号,以及所述DHCP请求报文对应的DHCP响应报文中包含的用户IP地址、MAC地址;用户信息发送模块,用于将所述记录的用户IP地址、MAC地址、接入端口号上报给流量监控服务器。
端口检测模块,用于检测用户是否掉线,当检测到用户掉线时,删除相应的用户IP地址、MAC地址、接入端口号;此时,所述用户信息发送模块,还用于将删除所述用户IP地址、MAC地址、接入端口号的信息上报给流量监控服务器。
参照图5,本发明实施例的流量监控服务器主要包括:用户信息维护模块、流量监控模块和用户身份识别模块。
用户信息维护模块,用于建立并维护用户信息,所述用户信息是用户IP地址、MAC地址、接入位置之间的对应关系,所述接入位置是用户所接入的接入交换机的端口;流量监控模块,用于监控网络流量;用户身份识别模块,用于从所述网络流量中提取源IP地址,根据所述提取的IP地址从所述用户信息中查找对应的MAC地址及接入位置。
其中,所述用户信息维护模块根据接入交换机上报的用户IP地址、MAC地址、接入端口号来建立并维护所述用户信息。所述上报的用户IP地址、MAC地址、接入端口号是接入交换机通过窃听DHCP报文所得到。
进一步,在用户掉线时,所述用户信息维护模块根据接入交换机上报的用户IP地址、MAC地址、接入端口号删除相应的用户信息。
综上所述,本发明针对现有的流量监控方案基于IP识别用户技术存在的不足,主要是IP地址动态变化以及IP地址仿冒的问题,提出了一种基于用户主机MAC地址以及接入交换机端口的身份识别技术。在用户接入网络的动态获取IP地址的过程中,由接入交换机通过DHCP Snooping监听DHCP请求及响应报文,获取用户的IP地址、MAC地址和接入端口的对应关系(IP地址、MAC地址和接入端口是一一对应的),然后将这一对应关系统一上送到流量监控服务器。流量监控服务器维护一张IP地址、MAC地址和接入交换机端口的对应关系表。这样,就可以根据IP地址准确的定位到用户主机的MAC地址和接入的具体位置,精确的识别用户的身份。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案而非限制,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神范围,其均应涵盖在本发明的权利要求范围当中。
Claims (11)
1.一种在流量监控中识别用户身份的方法,其特征在于,包括:
流量监控服务器建立并维护用户信息,所述用户信息是用户IP地址、MAC地址、接入位置之间的对应关系,所述接入位置是用户所接入的接入交换机的端口;
流量监控服务器监控网络流量,从所述网络流量中提取源IP地址,根据所述提取的IP地址从所述用户信息中查找对应的MAC地址及接入位置。
2.如权利要求1所述的方法,其特征在于:
流量监控服务器根据接入交换机上报的用户IP地址、MAC地址、接入端口号来建立并维护所述用户信息。
3.如权利要求2所述的方法,其特征在于:
所述上报的用户IP地址、MAC地址是接入交换机通过窃听DHCP报文所得到。
4.如权利要求3所述的方法,其特征在于:
所述用户的接入端口号是接入交换机通过记录接收DHCP请求报文的端口号而获得。
5.如权利要求2所述的方法,其特征在于:
流量监控服务器维护用户信息进一步包括:在用户掉线时,流量监控服务器根据接入交换机上报的用户IP地址、MAC地址、接入端口号删除相应的用户信息。
6.一种流量监控服务器,其特征在于,包括:
用户信息维护模块,用于建立并维护用户信息,所述用户信息是用户IP地址、MAC地址、接入位置之间的对应关系,所述接入位置是用户所接入的接入交换机的端口;
流量监控模块,用于监控网络流量;
用户身份识别模块,用于从所述网络流量中提取源IP地址,根据所述提取的IP地址从所述用户信息中查找对应的MAC地址及接入位置。
7.如权利要求6所述的流量监控服务器,其特征在于:
所述用户信息维护模块,进一步用于根据接入交换机上报的用户IP地址、MAC地址、接入端口号来建立并维护所述用户信息。
8.如权利要求7所述的流量监控服务器,其特征在于:
所述上报的用户IP地址、MAC地址、接入端口号是接入交换机通过窃听DHCP报文所得到。
9.如权利要求7所述的流量监控服务器,其特征在于:
所述用户信息维护模块,进一步用于在用户掉线时,根据接入交换机上报的用户IP地址、MAC地址、接入端口号删除相应的用户信息。
10.一种接入交换机,其特征在于,包括:
DHCP报文窃听模块,用于窃听DHCP报文,记录接收DHCP请求报文的用户接入端口号,以及所述DHCP请求报文对应的DHCP响应报文中包含的用户IP地址、MAC地址;
用户信息发送模块,用于将所述记录的用户IP地址、MAC地址、接入端口号上报给流量监控服务器。
11.如权利要求10所述的接入交换机,其特征在于:
还包括:端口检测模块,用于检测用户是否掉线,当检测到用户掉线时,删除相应的用户IP地址、MAC地址、接入端口号;并且
所述用户信息发送模块,还用于将删除所述用户IP地址、MAC地址、接入端口号的信息上报给流量监控服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101066570A CN101272292A (zh) | 2008-05-14 | 2008-05-14 | 一种在流量监控中识别用户身份的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101066570A CN101272292A (zh) | 2008-05-14 | 2008-05-14 | 一种在流量监控中识别用户身份的方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101272292A true CN101272292A (zh) | 2008-09-24 |
Family
ID=40006000
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008101066570A Pending CN101272292A (zh) | 2008-05-14 | 2008-05-14 | 一种在流量监控中识别用户身份的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101272292A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271069A (zh) * | 2011-09-08 | 2011-12-07 | 北京网康科技有限公司 | 一种检测用户多维信息的方法、装置和系统 |
| CN102710810A (zh) * | 2012-06-11 | 2012-10-03 | 浙江宇视科技有限公司 | 一种自动分配ip地址的方法及一种中继设备 |
| CN103037415A (zh) * | 2012-12-12 | 2013-04-10 | 深信服网络科技(深圳)有限公司 | 网络分析方法及系统 |
| CN103856417A (zh) * | 2012-11-30 | 2014-06-11 | 中兴通讯股份有限公司 | 软件定义网络报文转发方法和系统 |
| CN103945015A (zh) * | 2014-04-09 | 2014-07-23 | 上海华为技术有限公司 | 一种节点逻辑id的分配装置、方法及通信系统 |
| CN105323188A (zh) * | 2015-10-30 | 2016-02-10 | 北京星网锐捷网络技术有限公司 | 网络流量控制方法、装置及交换机 |
| CN105429946A (zh) * | 2015-10-28 | 2016-03-23 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的防伪造ip的系统及方法 |
| CN105791176A (zh) * | 2014-12-23 | 2016-07-20 | 中兴通讯股份有限公司 | 信息技术it设备端口的确定方法及装置 |
| CN109391586A (zh) * | 2017-08-04 | 2019-02-26 | 深圳市中兴微电子技术有限公司 | 一种防止静态ip非法上网的装置及方法、onu设备和pon系统 |
| CN112672140A (zh) * | 2020-11-30 | 2021-04-16 | 新华三技术有限公司 | 一种摄像头的识别方法及装置 |
-
2008
- 2008-05-14 CN CNA2008101066570A patent/CN101272292A/zh active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271069B (zh) * | 2011-09-08 | 2014-01-22 | 北京网康科技有限公司 | 一种检测用户多维信息的方法、装置和系统 |
| CN102271069A (zh) * | 2011-09-08 | 2011-12-07 | 北京网康科技有限公司 | 一种检测用户多维信息的方法、装置和系统 |
| CN102710810A (zh) * | 2012-06-11 | 2012-10-03 | 浙江宇视科技有限公司 | 一种自动分配ip地址的方法及一种中继设备 |
| CN103856417A (zh) * | 2012-11-30 | 2014-06-11 | 中兴通讯股份有限公司 | 软件定义网络报文转发方法和系统 |
| CN103037415B (zh) * | 2012-12-12 | 2016-07-06 | 深信服网络科技(深圳)有限公司 | 网络分析方法及系统 |
| CN103037415A (zh) * | 2012-12-12 | 2013-04-10 | 深信服网络科技(深圳)有限公司 | 网络分析方法及系统 |
| CN103945015A (zh) * | 2014-04-09 | 2014-07-23 | 上海华为技术有限公司 | 一种节点逻辑id的分配装置、方法及通信系统 |
| CN105791176A (zh) * | 2014-12-23 | 2016-07-20 | 中兴通讯股份有限公司 | 信息技术it设备端口的确定方法及装置 |
| CN105429946A (zh) * | 2015-10-28 | 2016-03-23 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的防伪造ip的系统及方法 |
| CN105323188A (zh) * | 2015-10-30 | 2016-02-10 | 北京星网锐捷网络技术有限公司 | 网络流量控制方法、装置及交换机 |
| CN105323188B (zh) * | 2015-10-30 | 2018-10-12 | 北京星网锐捷网络技术有限公司 | 网络流量控制方法、装置及交换机 |
| CN109391586A (zh) * | 2017-08-04 | 2019-02-26 | 深圳市中兴微电子技术有限公司 | 一种防止静态ip非法上网的装置及方法、onu设备和pon系统 |
| CN112672140A (zh) * | 2020-11-30 | 2021-04-16 | 新华三技术有限公司 | 一种摄像头的识别方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101272292A (zh) | 一种在流量监控中识别用户身份的方法及设备 | |
| US8627477B2 (en) | Method, apparatus, and system for detecting a zombie host | |
| CN101247217B (zh) | 防止地址解析协议流量攻击的方法、单元和系统 | |
| EP2291949B1 (en) | Method and system for network fault management | |
| CN101803305B (zh) | 网络监视装置、网络监视方法 | |
| CN100586106C (zh) | 报文处理方法、系统和设备 | |
| CN101873259B (zh) | Sctp报文识别方法和装置 | |
| CN101471966B (zh) | 一种防止ip地址泄露的系统和设备 | |
| CN104883360B (zh) | 一种arp欺骗的细粒度检测方法及系统 | |
| CN100349421C (zh) | 一种垃圾邮件服务器的检测与定位方法 | |
| CN104219091A (zh) | 一种网络运行故障检测系统及其方法 | |
| CN101136801B (zh) | 网络故障检测方法 | |
| US20170187618A1 (en) | System and method for analyzing devices accessing a network | |
| CN101626323A (zh) | 一种网络数据流量监测方法和装置 | |
| CN101453447A (zh) | 动态主机配置协议dhcp用户老化的方法及接入设备 | |
| CN103269278A (zh) | 一种基于sdn的终端设备实时接入、离开感知方法 | |
| CN101179603A (zh) | IPv6网络中用于控制用户网络接入的方法和装置 | |
| CN101953139A (zh) | 响应于网络层连通性的dhcp初始化 | |
| CN103051597A (zh) | 一种在交换机上实现arp欺骗检测的方法 | |
| CN100561954C (zh) | 控制连通性检测的方法、系统和设备 | |
| CN102638374B (zh) | 基于远程登录协议维护光传输网络的方法 | |
| CN102025574A (zh) | 电缆调制解调器联机系统及方法 | |
| CN103634166A (zh) | 一种设备存活检测方法及装置 | |
| JP2011151514A (ja) | トラフィック量監視システム | |
| CN115766471B (zh) | 一种基于组播流量的网络业务质量分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20080924 |