一種在流量監控中識別用戶身份的方法及設備的製作方法
2023-05-13 14:12:11 1
專利名稱:一種在流量監控中識別用戶身份的方法及設備的製作方法
技術領域:
本發明涉及計算機網絡領域,尤其涉及一種在流量監控中識別用戶身份的 方法及設備。
技術背景網絡應用越來越廣泛、網絡規模日漸增大,網絡中承載的業務也越來越豐 富。隨之而來的,就是企業網內容用戶的越來越多的異常行為。上班時間聊天、 玩網路遊戲、下載電影或其他與工作無關的事情,甚至是威脅到企業正常辦公 業務的行為。為了保護企業利益,提高辦公效率,企業需要及時了解網絡中承 載的業務,實時監控員工的網絡行為, 一旦發現網絡上出現異常流量,必須能 準確地找到引發異常流量的員工(網絡用戶),及時制止員工的異常行為。圖1為現有技術的網絡流量監控組網示意圖。如圖1所示,用戶通過接入 交換機接入網絡,用戶在訪問網絡時,網關將網絡流量鏡像到流量監控伺服器, 如此,企業就可以通過流量監控伺服器來監控企業網絡上的流量。在網絡流量 異常時,流量監控伺服器從引起異常的流量中提取源IP位址,根據所述提取 的IP位址來識別用戶終端,從而識別用戶身份。這種基於IP位址識別用戶身份的方案優點在於實現簡單,但是存在定位 不準確的缺點。因為,在絕大多數區域網中,為了簡化管理,節省IP位址,都會採用DHCP伺服器動態分配IP位址的管理方式。這樣一來,IP位址就是 不固定的,無法通過IP位址準確的識別用戶身份。而且,IP位址也是可以通 過配置仿冒的,通過IP位址找到的用戶很可能是無辜的,這就很容易被別有 用心的用戶鑽空子。 發明內容本發明所要解決的技術問題是提供一種在流量監控中識別用戶身份的方 法及設備,在網絡流量異常時,能夠準確地找到引發異常流量的用戶。 為解決上述技術問題,本發明提供技術方案如下一種在流量監控中識別用戶身份的方法,包括流量監控伺服器建立並維護用戶信息,所述用戶信息是用戶IP位址、MAC 地址、接入位置之間的對應關係,所述接入位置是用戶所接入的接入交換機的 埠;流量監控伺服器監控網絡流量,從所述網絡流量中提取源IP位址,根據 所述提取的IP位址從所述用戶信息中查找對應的MAC地址及接入位置。上述的方法,其中,流量監控伺服器根據接入交換機上報的用戶IP位址、 MAC地址、接入埠號來建立並維護所述用戶信息。上述的方法,其中,所述上報的用戶IP位址、MAC地址、接入埠號是 接入交換機通過竊聽DHCP報文所得到。上述的方法,其中,所述用戶的接入埠號是接入交換機通過記錄接收 DHCP請求報文的埠號而獲得。上述的方法,其中,流量監控伺服器維護用戶信息進一步包括在用戶掉 線時,流量監控伺服器根據接入交換機上報的用戶IP位址、MAC地址、接入 埠號刪除相應的用戶信息。一種流量監控伺服器,包括用戶信息維護模塊,用於建立並維護用戶信息,所述用戶信息是用戶IP 地址、MAC地址、接入位置之間的對應關係,所述接入位置是用戶所接入的 接入交換機的埠;流量監控模塊,用於監控網絡流量;用戶身份識別模塊,用於從所述網絡流量中提取源IP位址,根據所述提 取的IP位址從所述用戶信息中查找對應的MAC地址及接入位置。上述的流量監控伺服器,其中,所述用戶信息維護模塊,進一步用於根據 接入交換機上報的用戶IP位址、MAC地址、接入埠號來建立並維護所述用 戶信息。上述的流量監控伺服器,其中,所述上報的用戶IP位址、MAC地址、接 入埠號是接入交換機通過竊聽DHCP報文所得到。上述的流量監控伺服器,其中,所述用戶信息維護^t塊,進一步用於在用 戶掉線時,根據接入交換機上報的用戶IP位址、MAC地址、接入埠號刪除相應的用戶信息。一種接入交換機,包括DHCP報文竊聽模塊,用於竊聽DHCP報文,.記錄接收DHCP請求報文 的用戶接入埠號,以及所述DHCP請求報文對應的DHCP響應報文中包含 的用戶IP位址、MAC地址;用戶信息發送模塊,用於將所述記錄的用戶IP位址、MAC地址、接入端 口號上報給流量監控伺服器。上述的接入交換機,其中,還包括埠檢測模塊,用於檢測用戶是否掉 線,當檢測到用戶掉線時,刪除相應的用戶IP位址、MAC地址、接入埠號; 並且,所述用戶信息發送模塊,還用於將刪除所述用戶IP位址、MAC地址、 接入埠號的信息上報給流量監控伺服器。與現有技術相比,本發明的有益效果是通過接入交換機與流量監控伺服器的聯動,能夠在發現網絡流量異常時, 準確的定位到用戶終端,從而識別用戶身4分。
圖1為現有技術的網絡流量監控組網示意圖; 圖2為本發明實施例的網絡流量監控組網示意圖; 圖3為本發明實施例的在流量監控中識別用戶身份的方法流程圖; 圖4為本發明實施例的接入交換機的結構示意圖; 圖5為本發明實施例的流量監控伺服器的結構示意圖。
具體實施方式
為使本發明的目的、技術方案和優點更加清楚,下面將結合附圖及具體實 施例對本發明進行詳細描述。參照圖2,用戶通過接入交換機接入網絡,並通過DHCP伺服器動態獲取 IP位址。用戶在訪問網絡時,網關將網絡流量鏡像到流量監控伺服器,如此, 企業就可以通過流量監控伺服器來監控企業網絡上的流量。參照圖2、 3,本發明實施例的在流量監控中識別用戶身份的方法,主要 包括如下步驟步驟301:接入交換機動態維護一張本機接入範圍內的用戶IP位址、MAC地址、接入埠的第一對應關係表,並將該第一對應關係表中的數據上報到流 量監控伺服器。接入交換機可以通過竊聽DHCP報文(DHCP Snooping)的方式來獲取所 述用戶IP位址、MAC地址、接入埠的對應關係,包括(l)用戶上線獲取 IP位址時,接入交換才幾在所述第一對應關係表中增加相應的用戶IP位址、MAC 地址、接入埠; (2)用戶下線釋放IP位址時,接入交換機在所述第一對應 關係表中刪除相應的用戶IP位址、MAC地址、接入埠 。另夕卜,接入交換機還可以對埠進行檢測,以確定用戶是否掉線,在用戶 掉線時,接入交換機在所述第一對應關係表中刪除相應的用戶IP位址、MAC 地址、接入埠。以下對上述三種情況進行具體描述。情況一、用戶上線,獲取IP位址,流程如下 (l)用戶終端啟動,發出DHCP請求,以獲:f又IP位址; (2 )接入交換機啟動DHCP Snooping,監聽DHCP請求,並記錄接收DHCP 請求報文的接入埠號;(3) DHCP伺服器收到請求並返迴響應報文;接入交換機通過DHCP Snooping監聽響應報文,從響應報文中提取IP位址、MAC地址並根據對應的 請求報文獲取用戶接入埠號;(4) 接入交換機保存所述IP位址、MAC地址、接入埠號到所述第一 對應關係表中。情況二、用戶下線,釋放IP位址,流程如下(l)用戶上網過程中,發出DHCP請求,以釋放IP位址;(2 )接入交換機監聽DHCP請求,並記錄接收DHCP請求報文的接入埠號;(3 )接入交換坤幾#>據埠號查詢本地IP位址、MAC地址和埠對應表; (4)接入交換機刪除所述第一對應關係表中相應的數據。 情況三、接入交換機^r測埠,以確定用戶是否掉線,具體為 (1)用戶終端關機或拔網線時,接入交換機的接入埠報Down (關閉); (2 )接入交換機根據報Down的埠號查詢本地IP位址、MAC地址和埠7十應表;(3 )接入交換機刪除所述第一對應關係表中相應的數據。 在所述第一對應關係表中的數據更新時,接入交換機實時地將增加或刪除的IP位址、MAC地址、埠號數據上報給流量監控伺服器。步驟302:流量監控伺服器維護一張全網範圍內的用戶IP位址、MAC地址、接入交換機ID和埠號的第二對應關係表,根據接入交換機上報的數據實時更新所述第二對應關係表。其中,接入交換機ID和埠號即為用戶的接入位置。接入交換機實時地將增加或刪除的IP位址、MAC地址、埠號數據上報 給流量監控伺服器後,流量監控伺服器根據這些數據以及上報這些數據的接入 交換機的ID來更新所述第二對應關係表。步驟303:流量監控伺服器監控網絡流量,從所述網絡流量中提取源IP 地址,根據所述提取的IP位址從所述對應關係表中查找對應的MAC地址及 接入位置。在查找到所述MAC地址及接入位置後,就可據此來確定用戶的身份。參照圖4,本發明實施例的接入交換機主要包括DHCP報文竊聽模塊、 用戶信息發送模塊和埠檢測模塊。DHCP報文竊聽模塊,用於竊聽DHCP報文,記錄接收DHCP請求報文 的用戶接入埠號,以及所述DHCP請求報文對應的DHCP響應報文中包含 的用戶IP位址、MAC地址;用戶信息發送模塊,用於將所述記錄的用戶IP 地址、MAC地址、接入埠號上報給流量監控伺服器。埠檢測模塊,用於檢測用戶是否掉線,當檢測到用戶掉線時,刪除相應 的用戶IP位址、MAC地址、接入埠號;此時,所述用戶信息發送模塊,還 用於將刪除所述用戶IP位址、MAC地址、接入埠號的信息上報給流量監控 伺服器。參照圖5,本發明實施例的流量監控伺服器主要包括用戶信息維護模塊、 流量監控模塊和用戶身份識別模塊。用戶信息維護^^莫塊,用於建立並維護用戶信息,所述用戶信息是用戶IP 地址、MAC地址、接入位置之間的對應關係,所述接入位置是用戶所接入的接入交換機的埠;流量監控模塊,用於監控網絡流量;用戶身份識別模塊, 用於從所述網絡流量中提取源IP位址,根據所述提取的IP位址從所述用戶信 息中查找對應的MAC地址及接入位置。其中,所述用戶信息維護模塊根據接入交換機上報的用戶IP位址、MAC 地址、接入埠號來建立並維護所述用戶信息。所述上報的用戶IP位址、MAC 地址、接入埠號是接入交換機通過竊聽DHCP報文所得到。進一步,在用戶掉線時,所述用戶信息維護模塊根據接入交換機上報的用 戶IP位址、MAC地址、接入埠號刪除相應的用戶信息。綜上所述,本發明針對現有的流量監控方案基於IP識別用戶技術存在的 不足,主要是IP位址動態變化以及IP位址仿冒的問題,提出了一種基於用戶 主機MAC地址以及接入交換機埠的身份識別技術。在用戶接入網絡的動態 獲取IP位址的過程中,由接入交換機通過DHCP Sno叩ing監聽DHCP請求及 響應報文,獲取用戶的IP位址、MAC地址和接入埠的對應關係(IP位址、 MAC地址和接入埠是——對應的),然後將這一對應關系統一上送到流量監 控伺服器。流量監控伺服器維護一張IP位址、MAC地址和接入交換機埠的 對應關係表。這樣,就可以根據IP位址準確的定位到用戶主機的MAC地址 和接入的具體位置,精確的識別用戶的身份。最後應當說明的是,以上實施例僅用以說明本發明的技術方案而非限制, 本領域的普通技術人員應當理解,可以對本發明的技術方案進行修改或者等同 替換,而不脫離本發明技術方案的精神範圍,其均應涵蓋在本發明的權利要求 範圍當中。
權利要求
1.一種在流量監控中識別用戶身份的方法,其特徵在於,包括流量監控伺服器建立並維護用戶信息,所述用戶信息是用戶IP位址、MAC地址、接入位置之間的對應關係,所述接入位置是用戶所接入的接入交換機的埠;流量監控伺服器監控網絡流量,從所述網絡流量中提取源IP位址,根據所述提取的IP位址從所述用戶信息中查找對應的MAC地址及接入位置。
2. 如權利要求1所述的方法,其特徵在於流量監控伺服器根據接入交換機上報的用戶IP位址、MAC地址、接入端 口號來建立並維護所述用戶信息。
3. 如權利要求2所述的方法,其特徵在於所述上報的用戶IP位址、MAC地址是接入交換機通過竊聽DHCP報文所 得到。
4. 如權利要求3所述的方法,其特徵在於所述用戶的接入埠號是接入交換機通過記錄接收DHCP請求報文的端 口號而獲得。
5. 如權利要求2所述的方法,其特徵在於流量監控伺服器維護用戶信息進一步包括在用戶掉線時,流量監控服務 器根據接入交換機上報的用戶IP位址、MAC地址、接入埠號刪除相應的用 戶信息。
6. —種流量監控伺服器,其特徵在於,包括用戶信息維護^f莫塊,用於建立並維護用戶信息,所述用戶信息是用戶IP 地址、MAC地址、接入位置之間的對應關係,所述接入位置是用戶所接入的 接入交換機的埠;流量監控模塊,用於監控網絡流量;用戶身份識別模塊,用於從所述網絡流量中提取源IP位址,根據所述提 取的IP位址從所述用戶信息中查找對應的MAC地址及接入位置。
7. 如權利要求6所述的流量監控伺服器,其特徵在於2所述用戶信息維護模塊,進一步用於根據接入交換機上報的用戶IP位址、MAC地址、接入埠號來建立並維護所述用戶信息。
8. 如權利要求7所述的流量監控伺服器,其特徵在於 所述上^=艮的用戶IP位址、MAC地址、接入埠號是4妄入交換機通過竊聽DHCP才艮文所得到。
9. 如權利要求7所述的流量監控伺服器,其特徵在於 所述用戶信息維護模塊,進一步用於在用戶掉線時,根據接入交換機上報的用戶IP位址、MAC地址、接入埠號刪除相應的用戶信息。
10. —種接入交換機,其特徵在於,包括DHCP報文竊聽模塊,用於竊聽DHCP報文,記錄接收DHCP請求報文 的用戶接入埠號,以及所述DHCP請求報文對應的DHCP響應報文中包含 的用戶IP位址、MAC地址;用戶信息發送^t塊,用於將所述記錄的用戶IP位址、MAC地址、接入端 口號上報給流量監控伺服器。
11. 如權利要求10所述的接入交換機,其特徵在於還包括埠檢測模塊,用於檢測用戶是否掉線,當檢測到用戶掉線時, 刪除相應的用戶IP位址、MAC地址、接入埠號;並且所述用戶信息發送模塊,還用於將刪除所述用戶IP位址、MAC地址、接 入埠號的信息上報給流量監控伺服器。
全文摘要
本發明公開了一種在流量監控中識別用戶身份的方法及設備。所述方法包括流量監控伺服器建立並維護用戶信息,所述用戶信息是用戶IP位址、MAC地址、接入位置之間的對應關係,所述接入位置是用戶所接入的接入交換機的埠;流量監控伺服器監控網絡流量,從所述網絡流量中提取源IP位址,根據所述提取的IP位址從所述用戶信息中查找對應的MAC地址及接入位置。依照本發明,在網絡流量異常時,能夠準確地找到引發異常流量的用戶。
文檔編號H04L12/56GK101272292SQ20081010665
公開日2008年9月24日 申請日期2008年5月14日 優先權日2008年5月14日
發明者蔚 李 申請人:杭州華三通信技術有限公司