CN108900383B - 基于私有head的数据镜像方法 - Google Patents
基于私有head的数据镜像方法 Download PDFInfo
- Publication number
- CN108900383B CN108900383B CN201810797480.7A CN201810797480A CN108900383B CN 108900383 B CN108900383 B CN 108900383B CN 201810797480 A CN201810797480 A CN 201810797480A CN 108900383 B CN108900383 B CN 108900383B
- Authority
- CN
- China
- Prior art keywords
- data packet
- internet
- auditing
- internet data
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/215—Flow control; Congestion control using token-bucket
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于私有HEAD的数据镜像方法,包括:用户终端访问互联网;AH模块对访问互联网的上网数据包进行识别,复制满足条件的数据包,在其前部增加私有HEAD进行封装,将封装后得到的数据包发送给审计硬件模块;HOST设备和审计硬件模块均存在自己的固定网络地址;审计硬件模块收到封装后得到的数据包后,AS模块对其进行解封装处理;审计硬件模块对解封装后的数据包进行网络安全审计,丢弃掉无用的数据包,并将有用的数据包转换成符合各地市公安的要求标准的数据,并通过网络上报到指定的审计服务器。本发明对HOST设备的性能消耗较低、对HOST设备的用户体验无影响、降低部署成本、对于中小场所更容易落地实施。
Description
技术领域
本发明涉及无线数据通信领域,特别涉及一种基于私有HEAD的数据镜像方法。
背景技术
随着笔记本电脑、智能手机、平板电脑等移动终端的日益普及和国内运营商以及各类提供WiFi服务公共场所的大规模建设,中国互联网产业迎来了移动互联网时代。提供无线上网服务的场所也越来越多,比如火车站、飞机场等大型公共场所,购物商场、咖啡厅、KTV等休闲娱乐场所,甚至连小型宾馆酒店、招待所也都普遍提供无线接入互联网服务。
这随之带来的就是WLAN上网场所的安全监管问题日益突出,因为在非经营性上网服务场所如宾馆、休闲会所、中西餐厅等,通过WiFi上网都是不需要出示身份证明的,这部分的监管存在很大的漏洞。很多网民在这些场所随意上网,发布一些有害信息,影响社会治安和公共秩序;更有甚者,通过不记名接入互联网,做些违法犯罪的勾当,给公共安全和公民财产等带来巨大安全隐患。
公安机关按照互联网管理条例,将WLAN安全监管纳入管理范畴,并进行严格检查和执行。各非经营上网服务的场所,只要是面向公众提供WiFi服务的,必须安装符合公安部82号令的互联网安全审计系统(下称“审计系统”)。审计系统包含前端(设备端)和后端(服务器端)两部分。
传统前端审计的方式有两种,一种是直接运行在HOST(宿主系统)上,通过libpcap(网络数据包捕获函数库)机制捕获用户上网数据,这种方式对HOST设备的内存和CPU处理能力有一定要求,同时对HOST设备的整体性能有较大影响;另一种是通过物理端口镜像的方式获取用户上网数据,这种方式一般开启端口镜像的位置在HOST设备的上行网络中,通常位于网关或交换机设备上,对于小场所简单网络的情景下,部署成本偏高,不容易落地实施。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种对HOST设备的性能消耗较低、对HOST设备的用户体验无影响、降低部署成本、对于中小场所更容易落地实施的基于私有HEAD的数据镜像方法。
本发明解决其技术问题所采用的技术方案是:构造一种基于私有HEAD的数据镜像方法,应用于公安系统的网络安全审计系统,所述网络安全审计系统包括用户终端、HOST设备、审计硬件模块和审计服务器,所述用户终端通过无线方式连接所述HOST设备,所述HOST设备与所述审计硬件模块连接,所述审计硬件模块通过网关与所述审计服务器连接,所述HOST设备中设有AH(audit host)模块,所述审计硬件模块中设有AS(audit salve)模块,所述方法包括如下步骤:
A)所述用户终端访问互联网;
B)所述AH模块对所述用户终端访问互联网的上网数据包进行识别,复制满足条件的数据包,并在其前部增加私有HEAD进行封装处理,将封装后得到的数据包发送给审计硬件模块;所述HOST设备和审计硬件模块均存在自己的固定网络地址;
C)所述审计硬件模块收到所述封装后得到的数据包后,所述AS模块对所述封装后得到的数据包进行解封装处理;
D)所述审计硬件模块对解封装后的数据包进行网络安全审计,丢弃掉无用的数据包,并将有用的数据包转换成符合各地市公安的要求标准的数据,并通过网络上报到指定的所述审计服务器。
在本发明所述的基于私有HEAD的数据镜像方法中,所述私有HEAD采用UDP协议进行封装处理,并把所述上网数据包作为数据内容封装在内,所述私有HEAD采用指定端口号。
在本发明所述的基于私有HEAD的数据镜像方法中,所述步骤B)进一步包括:
B1)所述AH模块初始化时,分别注册HOOK函数PRE ROUTING和POST ROUTING;
B2)当有所述终端的上网数据包时,检测所述上网数据包是否满足丢弃条件,如是,对所述上网数据包进行丢弃;否则,执行步骤B3);
B3)检测所述上网数据包是否满足镜像处理的条件,如是,执行步骤B4);否则,对所述上网数据包进行放行;
B4)对所述上网数据包进行限速处理,执行步骤B5);
B5)复制所述上网数据包;
B6)检测是否需要分片处理,如是,将所述上网数据包分为两个片段进行发送,执行步骤B7');否则,执行步骤B7);
B7)在所述上网数据包的前面添加所述私有HEAD得到所述封装后得到的数据包,执行步骤B8);
B7')在每个所述片段的前面分别添加对应的私有HEAD,并在各自的私有HEAD的IP层置位分片标记得到所述封装后得到的数据包,执行步骤B8);
B8)将所述封装后得到的数据包通过指定接口发送给所述审计硬件模块,并对所述上网数据包进行放行处理。
在本发明所述的基于私有HEAD的数据镜像方法中,所述丢弃条件包括:所述上网数据包的接口信息是WAN口,且所述上网数据包为ARP报文,询问的地址段是169.254.100.254/30,或者所述上网数据包的接口信息是WAN口,且所述上网数据包为IP报文,所述IP报文中源IP为地址段169.254.100.254/30。
在本发明所述的基于私有HEAD的数据镜像方法中,满足所述镜像处理的条件包括:检测所述AH模块的功能是否开启,如果没有开启,则对所述上网数据包进行放行处理;检测所述上网数据包是否为IP报文,如果不是,则对所述上网数据包进行放行处理;检测所述上网数据包是否为LAN口,如不是,则对所述上网数据包进行放行处理;检测所述上网数据包的源MAC或目的MAC是否为所述审计硬件模块的MAC地址,如是,则对所述上网数据包进行放行处理;检测所述上网数据包的接口状态是否是UP,如不是,则对所述上网数据包进行放行处理。
在本发明所述的基于私有HEAD的数据镜像方法中,所述限速处理采用令牌桶算法,令牌桶中的每一个令牌代表一个字节,所述步骤B4)进一步包括:
B41)所述令牌桶中的令牌以固定速率添加;
B42)当一个n字节的上网数据包到达时,从所述令牌桶中删除n个所述令牌,若剩余的令牌小于n,则限制所述上网数据包;所述n为大于1的整数。
在本发明所述的基于私有HEAD的数据镜像方法中,所述AS模块通过注册HOOK函数PRE ROUTING来捕获封装后得到的数据包,所述步骤C)进一步包括:
C1)检测当前收到的是否是封装后得到的数据包,如是,执行步骤C2);否则,对所述上网数据包进行放行;
C2)检测所述封装后得到的数据包是否分片,如是,进行重组操作,执行步骤C3);否则,执行步骤C4);
C3)判断重组操作是否成功,如是,执行步骤C4);否则,执行步骤C6);
C4)对所述封装后得到的数据包进行复制,执行步骤C5);
C5)去除所述封装后得到的数据包中的私有HEAD,将所述上网数据包进行还原,并将所述上网数据包发送到指定的接口,执行步骤C6);
C6)将所述封装后得到的数据包进行丢弃。
在本发明所述的基于私有HEAD的数据镜像方法中,注册到HOOK函数PRE ROUTING,若所述上网数据包中的接口名称为LAN口名称,则认为是所述终端的上行数据;若所述上网数据包中的接口名称为WAN口名称,则认为是所述终端的下行数据;注册到HOOK函数POSTROUTING,若所述上网数据包中的接口名称为LAN口名称,则认为是所述终端的下行数据;若所述上网数据包中的接口名称为WAN口名称,则认为是所述终端的上行数据。
在本发明所述的基于私有HEAD的数据镜像方法中,所述指定端口号为5151。
在本发明所述的基于私有HEAD的数据镜像方法中,所述HOST设备的固定网络地址为169.254.100.250/30,所述审计硬件模块的固定网络地址为169.254.100.249/30。
实施本发明的基于私有HEAD的数据镜像方法,具有以下有益效果:由于利用两个软件模块,即AH模块和AS模块,AH模块工作在HOST设备上,负责对用户的上网数据包进行封装处理,AS模块工作在审计硬件模块上,负责对封装后得到的数据包进行解封处理,本发明是通过软件实现用户的上网数据包的镜像功能,最大限度保证原数据包的正确性,配合完成对用户上网数据的审计工作,其对HOST设备的性能消耗较低、对HOST设备的用户体验无影响、降低部署成本、对于中小场所更容易落地实施。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于私有HEAD的数据镜像方法一个实施例中网络安全审计系统的结构示意图;
图2为所述实施例中基于私有HEAD的数据镜像方法的流程图;
图3为所述实施例中对上网数据包进行封装的示意图;
图4为所述实施例中封装格式示意图;
图5为所述实施例中LINUX内核数据转发示意图;
图6为所述实施例中AH模块对用户终端访问互联网的上网数据包进行识别,复制满足条件的数据包,并在其前部增加私有HEAD进行封装处理,将封装后得到的数据包发送给审计硬件模块的具体流程图;
图7为所述实施例中对上网数据包进行限速处理的具体流程图;
图8为所述实施例中对上网数据包进行限速处理的示意图;
图9为所述实施例中审计硬件模块收到封装后得到的数据包后,AS模块对封装后得到的数据包进行解封装处理的具体流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明基于私有HEAD的数据镜像方法实施例中,该基于私有HEAD的数据镜像方法应用于公安系统的网络安全审计系统,该网络安全审计系统的结构示意图如图1所示。图1中,该审计系统包括用户终端、HOST设备、审计硬件模块和审计服务器,用户终端通过无线方式连接HOST设备,HOST设备通过网线、PCIE接口或者USB接口与审计硬件模块连接,审计硬件模块通过网关与审计服务器连接。
本发明通过软件实现用户上网数据包的镜像功能,配合完成对用户上网数据的审计工作。本发明软件LINUX内核开发,涉及到两个软件模块,AH模块和AS模块。其中,AH模块设置在HOST设备中,AS模块设置在审计硬件模块中。具体而言,AH模块工作在HOST设备上,负责对用户的上网数据包进行封装处理。AS模块工作在审计硬件模块上,负责对封装后得到的数据包进行解封处理。HOST设备和审计硬件模块需保证网络互通,可通过连接。为方便HOST和审计硬件模块互通,HOST设备必须存在固定网络地址169.254.100.250/30,硬件审计模块必须存在固定网络地址169.254.100.249/30。
图2为本实施例中基于私有HEAD的数据镜像方法的流程图,图2中,该基于私有HEAD的数据镜像方法包括如下步骤:
步骤S01用户终端访问互联网:本步骤中,用户终端无线连接HOST设备,访问互联网,如浏览网页、观看视频等。
步骤S02AH模块对用户终端访问互联网的上网数据包进行识别,复制满足条件的上网数据包,并在其前部增加私有HEAD后进行封装处理,将封装后得到的数据包发送给审计硬件模块:本步骤中,HOST设备通过网线、PCIE接口或者USB接口与审计硬件模块连接,同时,AH模块对用户终端访问互联网的上网数据包进行识别,复制满足条件的上网数据包,并在其前部增加私有HEAD后进行封装处理,将封装后得到的数据包发送给审计硬件模块。也就是本发明通过HEAD方式实现数据镜像功能。
步骤S03审计硬件模块收到封装后得到的数据包后,AS模块对封装后得到的数据包进行解封装处理:本步骤中,审计硬件模块收到封装后得到的数据包后,AS模块对封装后得到的数据包进行解封装处理。
图3为本实施例中对上网数据包进行封装的示意图,图3中,AH模块复制用户的满足条件的上网数据包,并在其前部增加私有HEAD,然后发送给审计硬件模块。AS模块将上网数据包的前部的私有HEAD去除掉,完成对上网数据包的还原。
本实施例中,私有HEAD采用UDP协议进行封装处理(即封装报文),并把上网数据包(即用户完整的真实数据包)作为数据内容封装在内,私有HEAD采用指定端口号,该指定端口号为5151,指定端口包含源端口和目的端口。图4为本实施例中封装格式示意图,图4中,完整数据报文就是用户的上网数据包。在LINUX系统中,当终端访问外网的数据进入,首先经过第一个HOOK函数(钩子函数,可注册进去实现用户自定义的处理逻辑)PRE ROUTING进行处理;然后就进入路由代码,其决定该上网数据包是需要转发还是发给本机的;若需要转发,则它被FORWARD处理;经过转发的上网数据包经过最后一个HOOK函数POST ROUTING处理以后,再传输到网络上。
图5为本实施例中LINUX内核数据转发示意图,图5中,终端的上行数据从LAN口进入,首先经过PRE ROUTING,此时上行数据中的接口信息DEV是LAN口的名称,然后进入FORWARD,再进入POST ROUTING,上行数据中的接口信息更换为WAN口的名称,并最终从WAN口出去。终端的下行数据则从WAN口进入,首先经过PRE ROUTING,此时下行数据中的接口信息DEV是WAN口的名称,然后进入FORWARD,再进入POST ROUTING,下行数据中的接口信息更换为LAN口的名称,并最终从LAN口出去。
由此可见,注册到HOOK函数PRE ROUTING,若上网数据包中的接口名称为LAN口名称,则认为是终端的上行数据;若上网数据包中的接口名称为WAN口名称,则认为是终端的下行数据。相反,注册到HOOK函数POST ROUTING,若上网数据包中的接口名称为LAN口名称,则认为是终端的下行数据;若上网数据包中的接口名称为WAN口名称,则认为是终端的上行数据。AH模块通过这种机制识别用户的上网数据包,并实现封装转发。
步骤S04审计硬件模对解封装后的数据包进行网络安全审计,丢弃掉无用的数据包,并将有用的数据包转换成符合各地市公安的要求标准的数据,并通过网络上报到指定的审计服务器:本步骤中,审计硬件模对解封装处理后的上网数据包进行网络安全审计,将无用的数据包丢弃掉,并将有用的数据包转换成符合各地市公安的要求标准的数据,通过网络上报到指定的审计服务器。本发明是通过软件实现用户的上网数据包的镜像功能,配合完成对用户上网数据的网络安全审计工作,其对HOST设备的性能消耗较低、对HOST设备的用户体验无影响,并在不添加设备和增加成本的情况下可以完整的镜像终端的数据内容,包含HOST设备的无线端和有线端,保证审计系统的正常运转,其能降低部署成本。特别是对于中小场所,更容易落地实施。
对于本实施例而言,上述步骤S02还可进一步细化,其细化后的流程图如图6所示。图6中,上述步骤S02进一步包括如下步骤:
步骤S20AH模块初始化时,分别注册HOOK函数PRE ROUTING和POST ROUTING:本步骤中,AH模块初始化时,分别注册HOOK函数PRE ROUTING和POST ROUTING,当有终端的上网数据包时,便触发后续流程。
步骤S21当有终端的上网数据包时,检测上网数据包是否满足丢弃条件:本步骤中,当有终端的上网数据包时,检测上网数据包是否满足丢弃条件,丢弃条件包括:上网数据包的接口信息是WAN口,且上网数据包为ARP报文,询问的地址段是169.254.100.254/30,或者上网数据包的接口信息是WAN口,且上网数据包为IP报文,IP报文中源IP为地址段169.254.100.254/30。目的是保证这个地址段的数据报文(上网数据包)无法从设备WAN口出去或进来,以保障HOST和审计硬件模块之间的通信。本步骤中,如果检测的结果为是,则执行步骤S22;否则,执行步骤S23。
步骤S22对上网数据包进行丢弃:如果上述步骤S21的检测结果为是,即满足丢弃条件,则执行本步骤。本步骤中,对上网数据包进行丢弃处理。
步骤S23检测上网数据包是否满足镜像处理的条件:如果上述步骤S21的判断结果为否,即不满足丢弃条件,则执行本步骤。本步骤中,检测上网数据包是否满足镜像处理的条件,满足镜像处理的条件包括:检测AH模块的功能是否开启,如果没有开启,则对上网数据包进行放行处理;检测上网数据包是否为IP报文,如果不是,则对上网数据包进行放行处理,审计功能只关心IP报文;检测上网数据包是否为LAN口,如不是,则对上网数据包进行放行处理,只获取LAN口的上行数据即可;检测上网数据包的源MAC或目的MAC是否为审计硬件模块的MAC地址,如是,则对上网数据包进行放行处理,目的是忽略审计硬件模块的自身流量;检测上网数据包的接口状态是否是UP,如不是,则对上网数据包进行放行处理,因上网数据包最终通过接口发送到审计硬件模块,发送前需要确认该接口处于正常工作状态。
步骤S24对上网数据包进行放行:如果上述步骤S23的判断结果为否,即不满足镜像处理的条件,则执行本步骤。本步骤中,对上网数据包进行放行处理。
步骤S25对上网数据包进行限速处理:如果上述步骤S23的判断结果为是,即满足镜像处理的条件,则执行本步骤。本步骤中,对满足镜像处理的条件的上网数据包进行限速处理。目的是防止封装后得到的数据包过大,从而导致审计硬件模块的下行数据拥堵,影响审计硬件模块的正常业务。执行完本步骤,执行步骤S26。通过限速处理,可以保证原有业务正常运转。
步骤S26复制上网数据包:本步骤中,复制上网数据包,拷贝一份新的,避免对原始的上网数据包造成影响。执行完本步骤,执行步骤S27。
步骤S27检测是否需要分片处理:本步骤中,检测是否需要分片处理,判断的条件是,上网数据包的大小加上私有HEAD的大小是否超过发送接口的MTU阈值,如果判断的结果为是,则执行步骤S28;否则,执行步骤S29。
步骤S28将上网数据包分为两个片段进行发送:如果上述步骤S27的判断结果为是,即上网数据包的大小加上私有HEAD的大小超过发送接口的MTU阈值,则执行本步骤。本步骤中,将上网数据包分为两个片段进行发送。执行完本步骤,执行步骤S29'。通过分片机制处理可以保证数据正常被转发。
步骤S29'在每个片段的前面分别添加对应的私有HEAD,并在各自的私有HEAD的IP层置位分片标记得到封装后得到的数据包:本步骤中,对于分片,在每个片段的前面分别添加对应的私有HEAD,并在各自的私有HEAD的IP层置位分片标记,这样就会得到封装后得到的数据包,方便后续进行重组操作。执行完本步骤,执行步骤S30。
步骤S29在上网数据包的前面添加私有HEAD得到封装后得到的数据包:如果上述步骤S27的判断结果为否,则执行本步骤。本步骤中,将上网数据包当作完整数据,在上网数据包的前面添加私有HEAD,这样就会得到封装后得到的数据包。执行完本步骤,执行步骤S30。
步骤S30将封装后得到的数据包通过指定接口发送给审计硬件模块,并对上网数据包进行放行处理:本步骤中,当封装后得到的数据包组装完毕后,将封装后得到的数据包通过指定接口发送给审计硬件模块,并对上网数据包进行放行处理,保证终端原有业务的正常进行。
本实施例中,限速处理采用令牌桶算法,令牌桶中的每一个令牌代表一个字节。上述步骤S25还可进一步细化,其细化后的流程图如图7所示。图7中,上述步骤S25进一步包括如下步骤:
步骤S251令牌桶中的令牌以固定速率添加:如果令牌桶中存在令牌,则允许继续处理;而如果牌桶中不存在令牌,则放弃处理。本步骤中,令牌桶中的令牌以固定速率添加,假如平均发送速率为r,则每隔1秒r个令牌被加入到令牌桶中,r大于0。
步骤S252当一个n字节的上网数据包到达时,从令牌桶中删除n个令牌,若剩余的令牌小于n,则限制上网数据包:本步骤中,当一个n字节的上网数据包到达时,就从令牌桶中删除n个令牌,若剩余的令牌小于n,则限制上网数据包,n为大于1的整数。对上网数据包进行限速处理的示意图如图8所示。
本实施例中,AS模块通过注册HOOK函数PRE ROUTING来捕获封装后得到的数据包。对于本实施例而言,上述步骤S03还可进一步细化,其细化后流程图如图9所示。图9中,上述步骤S03进一步包括如下步骤:
步骤S31检测当前收到的是否是封装后得到的数据包:本步骤中,检测当前收到的是否是封装后得到的数据包,检测的依据条件为:数据包为UDP报文,且报文中的源IP地址为169.254.100.250,端口号为5151。本步骤中,如果检测的结果为是,则执行步骤S33;否则,执行步骤S32。
步骤S32对上网数据包进行放行:如果上述步骤S31的检测结果为否,即当前收到的不是封装后得到的数据包,则执行本步骤。本步骤中,对上网数据包进行放行处理。
步骤S33检测封装后得到的数据包是否分片:如果上述步骤S31的检测结果为是,即当前收到的是封装后得到的数据包,则执行本步骤。本步骤中,检测封装后得到的数据包是否分片,检测可以通过私有HEAD的IP层分片标志位来判别,如果检测的结果为是,则执行步骤S34;否则,执行步骤S36。
步骤S34进行重组操作:如果上述步骤S33的判断结果为是,即不是分片,则执行本步骤。本步骤中,进行重组操作。重组时,需保证所有分片数据均已经到达,因此需要缓存分片数据。分片数据的缓存采用HASH结构,方便快速查找。同时通过定时器对长久未完成重置的分片数据进行清理操作,以避免过量消耗内存。执行完本步骤,执行步骤S35。
步骤S35判断重组操作是否成功:本步骤中,判断重组操作是否成功,如果判断的结果为是,则执行步骤S36;否则,执行步骤S38。
步骤S36对封装后得到的数据包进行复制:如果上述步骤S35的判断结果为是,则执行本步骤。本步骤中,对封装后得到的数据包进行复制,避免对原始的封装后得到的数据包造成影响。执行完本步骤,执行步骤S37。
步骤S37去除封装后得到的数据包中的私有HEAD,将上网数据包进行还原,并将上网数据包发送到指定的接口:本步骤中,去除封装后得到的数据包中的私有HEAD,完成对用户终端的上网数据包的还原操作,还原后,将还原后的上网数据包发送到指定的接口,以保证审计程序可以获取到此数据内容。执行完本步骤,执行步骤S38。
步骤S38将封装后得到的数据包进行丢弃:本步骤中,将原始的封装后得到的数据包进行丢弃处理。
总之,本发明是通过软件实现用户的上网数据包的镜像功能,配合完成对用户上网数据的网络安全审计工作,其对HOST设备的性能消耗较低、对HOST设备的用户体验无影响、降低部署成本、对于小场所更容易落地实施。在实际应用中,在要求不高的情况下,也可以通过如下方式来实现:通过修改原始数据的源MAC和目的MAC地址,达到镜像终端数据的功能。具体方法是,注册HOOK函数PRE ROUTING和POST ROUTING。当有用户终端的上网数据包时,复制一份,同时将用户终端的上网数据包中的源MAC修改为HOST的MAC地址,目的MAC修改为硬件审计模块的MAC地址,并将该报文(终端的上网数据包)从指定接口发出。硬件审计模块接收到该报文,无需做任何处理。该方案需要修改报文的以太头,破坏了原始上网数据包的完整性,导致审计程序无法通过原始上网数据包直接获取用户终端的MAC信息,需要通过其他手段辅助获取,相对来说比较麻烦。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于私有HEAD的数据镜像方法,其特征在于,应用于公安系统的网络安全审计系统,所述网络安全审计系统包括用户终端、HOST设备、审计硬件模块和审计服务器,所述用户终端通过无线方式连接所述HOST设备,所述HOST设备与所述审计硬件模块连接,所述审计硬件模块通过网关与所述审计服务器连接,所述HOST设备中设有AH模块,所述审计硬件模块中设有AS模块,所述方法包括如下步骤:
A)所述用户终端访问互联网;
B)所述AH模块对所述用户终端访问互联网的上网数据包进行识别,复制满足条件的上网数据包,并在其前部增加私有HEAD进行封装处理,将封装后得到的数据包发送给审计硬件模块;所述HOST设备和审计硬件模块均存在自己的固定网络地址;
C)所述审计硬件模块收到所述封装后得到的数据包后,所述AS模块对所述封装后得到的数据包进行解封装处理;
D)所述审计硬件模块对解封装后的数据包进行网络安全审计,丢弃掉无用的数据包,并将有用的数据包转换成符合各地市公安的要求标准的数据,并通过网络上报到指定的所述审计服务器;
所述私有HEAD采用UDP协议进行封装处理,并把所述上网数据包作为数据内容封装在内,所述私有HEAD采用指定端口号;
所述步骤B)进一步包括:
B1)所述AH模块初始化时,分别注册HOOK函数PRE ROUTING和POST ROUTING;
B2)当有所述终端的上网数据包时,检测所述上网数据包是否满足丢弃条件,如是,对所述上网数据包进行丢弃;否则,执行步骤B3);
B3)检测所述上网数据包是否满足镜像处理的条件,如是,执行步骤B4);否则,对所述上网数据包进行放行;
B4)对所述上网数据包进行限速处理,执行步骤B5);
B5)复制所述上网数据包;
B6)检测是否需要分片处理,如是,将所述上网数据包分为两个片段进行发送,执行步
骤B7');否则,执行步骤B7);
B7)在所述上网数据包的前面添加所述私有HEAD得到所述封装后得到的数据包,执行步骤B8);
B7')在每个所述片段的前面分别添加对应的私有HEAD,并在各自的私有HEAD的IP层置位分片标记得到所述封装后得到的数据包,执行步骤B8);
B8)将所述封装后得到的数据包通过指定接口发送给所述审计硬件模块,并对所述上网数据包进行放行处理。
2.根据权利要求1所述的基于私有HEAD的数据镜像方法,其特征在于,所述丢弃条件包括:所述上网数据包的接口信息是WAN口,且所述上网数据包为ARP报文,询问的地址段是169.254.100.254/30,或者所述上网数据包的接口信息是WAN口,且所述上网数据包为IP报文,所述IP报文中源IP为地址段169.254.100.254/30。
3.根据权利要求1所述的基于私有HEAD的数据镜像方法,其特征在于,满足所述镜像处理的条件包括:检测所述AH模块的功能是否开启,如果没有开启,则对所述上网数据包进行放行处理;检测所述上网数据包是否为IP报文,如果不是,则对所述上网数据包进行放行处理;检测所述上网数据包是否为LAN口,如不是,则对所述上网数据包进行放行处理;检测所述上网数据包的源MAC或目的MAC是否为所述审计硬件模块的MAC地址,如是,则对所述上网数据包进行放行处理;检测所述上网数据包的接口状态是否是UP,如不是,则对所述上网数据包进行放行处理。
4.根据权利要求1所述的基于私有HEAD的数据镜像方法,其特征在于,所述限速处理采用令牌桶算法,令牌桶中的每一个令牌代表一个字节,所述步骤B4)进一步包括:
B41)所述令牌桶中的令牌以固定速率添加;
B42)当一个n字节的上网数据包到达时,从所述令牌桶中删除n个所述令牌,若剩余的令牌小于n,则限制所述上网数据包;所述n为大于1的整数。
5.根据权利要求1至4任意一项所述的基于私有HEAD的数据镜像方法,其特征在于,所述AS模块通过注册HOOK函数PRE ROUTING来捕获封装后得到的数据包,所述步骤C)进一步包括:
C1)检测当前收到的是否是封装后得到的数据包,如是,执行步骤C2);否则,对所述上网数据包进行放行;
C2)检测所述封装后得到的数据包是否分片,如是,进行重组操作,执行步骤C3);否则,执行步骤C4);
C3)判断重组操作是否成功,如是,执行步骤C4);否则,执行步骤C6);
C4)对所述封装后得到的数据包进行复制,执行步骤C5);
C5)去除所述封装后得到的数据包中的私有HEAD,将所述上网数据包进行还原,并将所述上网数据包发送到指定的接口,执行步骤C6);
C6)将所述封装后得到的数据包进行丢弃。
6.根据权利要求1至4任意一项所述的基于私有HEAD的数据镜像方法,其特征在于,注册到HOOK函数PRE ROUTING,若所述上网数据包中的接口名称为LAN口名称,则认为是所述终端的上行数据;若所述上网数据包中的接口名称为WAN口名称,则认为是所述终端的下行数据;注册到HOOK函数POST ROUTING,若所述上网数据包中的接口名称为LAN口名称,则认为是所述终端的下行数据;若所述上网数据包中的接口名称为WAN口名称,则认为是所述终端的上行数据。
7.根据权利要求1所述的基于私有HEAD的数据镜像方法,其特征在于,所述指定端口号为5151。
8.根据权利要求1所述的基于私有HEAD的数据镜像方法,其特征在于,所述HOST的固定网络地址为1 6 9.2 5 4.1 0 0.2 5 0/3 0,所述审计硬件模块的固定网络地址为169.254.100.249/30。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810797480.7A CN108900383B (zh) | 2018-07-19 | 2018-07-19 | 基于私有head的数据镜像方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810797480.7A CN108900383B (zh) | 2018-07-19 | 2018-07-19 | 基于私有head的数据镜像方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108900383A CN108900383A (zh) | 2018-11-27 |
| CN108900383B true CN108900383B (zh) | 2021-04-06 |
Family
ID=64351302
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810797480.7A Active CN108900383B (zh) | 2018-07-19 | 2018-07-19 | 基于私有head的数据镜像方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108900383B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110784513B (zh) * | 2019-09-18 | 2022-08-19 | 深圳云盈网络科技有限公司 | 基于链路层数据帧的数据镜像方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582880A (zh) * | 2008-05-14 | 2009-11-18 | 北京启明星辰信息技术股份有限公司 | 一种基于被审计对象的报文过滤方法及系统 |
| CN105634835A (zh) * | 2014-10-27 | 2016-06-01 | 任子行网络技术股份有限公司 | 一种上网数据的云审计方法、系统以及审计路由器 |
| CN106211217A (zh) * | 2015-04-30 | 2016-12-07 | 深圳市商机无限网络科技有限公司 | 一种wifi网络安全审计方法、平台 |
| CN107566218A (zh) * | 2017-09-20 | 2018-01-09 | 杭州安恒信息技术有限公司 | 一种适用于云环境的流量审计方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7814534B2 (en) * | 2006-09-08 | 2010-10-12 | Microsoft Corporation | Auditing authorization decisions |
-
2018
- 2018-07-19 CN CN201810797480.7A patent/CN108900383B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582880A (zh) * | 2008-05-14 | 2009-11-18 | 北京启明星辰信息技术股份有限公司 | 一种基于被审计对象的报文过滤方法及系统 |
| CN105634835A (zh) * | 2014-10-27 | 2016-06-01 | 任子行网络技术股份有限公司 | 一种上网数据的云审计方法、系统以及审计路由器 |
| CN106211217A (zh) * | 2015-04-30 | 2016-12-07 | 深圳市商机无限网络科技有限公司 | 一种wifi网络安全审计方法、平台 |
| CN107566218A (zh) * | 2017-09-20 | 2018-01-09 | 杭州安恒信息技术有限公司 | 一种适用于云环境的流量审计方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108900383A (zh) | 2018-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7970878B1 (en) | Method and apparatus for limiting domain name server transaction bandwidth | |
| US20200322313A1 (en) | Data Transfer Method and Virtual Switch | |
| US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
| CN111800401B (zh) | 业务报文的防护方法、装置、系统和计算机设备 | |
| US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
| US20100162382A1 (en) | Packet processing method and toe hardware | |
| CN104270393B (zh) | 一种网络隔离系统 | |
| CN108712289B (zh) | 采用硬件实现的tte端系统网络管理装置 | |
| CN107528923B (zh) | 一种网络适配器的数据传输方法及网络适配器 | |
| CN108900383B (zh) | 基于私有head的数据镜像方法 | |
| WO2013013567A1 (zh) | 发送报文的方法和装置 | |
| WO2014127517A1 (zh) | 报文处理方法、转发器、报文处理设备、报文处理系统 | |
| US20180248910A1 (en) | Anti-Attack Data Transmission Method and Device | |
| US10298606B2 (en) | Apparatus, system, and method for accelerating security inspections using inline pattern matching | |
| US7870285B2 (en) | Mitigating subscriber side attacks in a cable network | |
| JP2015216450A (ja) | 情報処理装置、情報処理システム及び中継プログラム | |
| KR101446280B1 (ko) | 인터미디어트 드라이버를 이용한 변종 악성코드 탐지 및 차단 시스템 및 그 방법 | |
| CN110035041B (zh) | 一种识别应用攻击源的方法和设备 | |
| WO2020103420A1 (zh) | 一种数据传输方法、接收方法、装置及系统 | |
| JP2022007690A (ja) | ネットワークサービスシステム、ネットワーク管理方法およびコンピュータプログラム | |
| US20240106845A1 (en) | Mobile edge computing system and method of constructing traffic data feature set using the same | |
| WO2024104016A1 (zh) | 一种数据传输的方法、装置、电子设备及存储介质 | |
| CN110784513B (zh) | 基于链路层数据帧的数据镜像方法 | |
| US20230141028A1 (en) | Traffic control server and method | |
| WO2017071350A1 (zh) | 一种端口数据分离方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |