[发明专利]一种网络流量审计方法及审计系统

说明书

技术领域

本发明涉及网络技术领域，尤其涉及一种网络流量审计方法及一种网络流量审计系统。

背景技术

随着网络上各种新应用的不断出现，在促进网络发展的同时也给网络监管带来越来越多的挑战。现有技术中，为了维护安全、保障网民的根本利益，涌现出了一大批针对不同类型防御对象的类IDS(Intrusion detection system，入侵检测系统)，这些网络流量审计系统大多部署在Linux系列下基于Linux libpcap接口，通过libpcap接口捕获数据包，然后针对数据包做不同的处理。网络流量审计系统这种部署在Linux系统上基于libpcap接口捕获数据包的方式有明显的缺点。因为Linux系统的网络协议栈的实现的是TCP/IP协议族，数据包到达网卡后，要经过接口层-＞数据链路层-＞IP层-＞TCP层-＞应用层最后到达应用程序；然而用于以太网的设计中主要关注的是传输可靠性，因此数据包在这一过程中要经过大量的检查和内存的拷贝，最后由于Linux系统内存管理的要求，再从网络协议栈所处的内核空间，拷贝到应用程序所处的用户空间。在此过程中数据包的大量检查及由内核空间向用户空间的拷贝开销是巨大的。

由于上述技术的缺陷，为提高效率，减少不必要的资源占用，于是在网络流量审计系统中提出了一种零拷贝驱动技术，其通过在用户空间开辟一个共享内存区，利用内存映射这一机制，将网卡得到的数据直接放入用户空间里去，这样即避免了层层协议检测同时又避免了数据包从内核空间向用户空间的拷贝。由于零拷贝驱动需要绕过内核中的协议栈而直接将数据包交与应用程序的机制，所以设计了单独的接入模块，独立实现对接入流量的解析与分流工作。零拷贝驱动将接入流量在同源同宿的前提下尽量平均分为N份以支持上层业务软件多线程(例如N个线程)处理的需要，同源同宿是指保证同一个连接的所有数据包被同一个线程处理，目的是保持处理状态的连续性。现有这种零拷贝驱动技术将设计好的分流策略直接写入到驱动程序中，用户不能修改，但实际情况是网络环境不同，流量分布也不相同，不存在一个分流策略适合所有的网络环境。实际上，当网络环境变化时可能会导致分流不均衡，从而降低整体处理效率。

零拷贝驱动程序设计之初网络上主要是IPv4数据包流量，具有VLAN(Virtual Local Area Network，虚拟局域网)标记的数据包流量和IPv6数据包流量总量很小，故当时的流量审计系统只对IPv4数据包流量进行检测，所以当初的零拷贝驱动只设计了对IPv4数据包流量的接入支持。然而，随着网络技术的迅猛发展，在线网络流量的协议类型和应用种类日益增多，近年来尤其是VLAN标记的数据包流量、IPv6数据包流量在主干网上迅速增多，如果不加入对这部分流量的接入支持将不能使得网络流量审计系统充分发挥作用，并且流量审计系统也会因为处理流量的不完全而达不到预期的效果。

针对相关技术中的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中的问题，本发明提出一种网络流量审计方法及审计系统，能够对不同类型的数据包流量进行分流，完善对网络流量的处理能力以及提高对网络流量的整体处理效率。

本发明的技术方案是这样实现的：

根据本发明一实施例的一种网络流量审计方法包括：

对接收到的数据包进行判断；

当判断出所述接收到的数据包为IPv6数据包时，根据设定的IPv6数据包分流策略将所述数据包分配到相应的缓冲区以便网络流量审计系统处理。

在进一步的实施方式中，所述方法还包括：当判断出所述接收到的数据包为IPv4数据包时，根据设定的IPv4数据包分流策略将所述IPv4数据包分配到相应的缓冲区以便所述网络流量审计系统处理。

在可选实施方式中，所述方法还包括：通过分流策略接口设定IPv4数据包分流策略和/或IPv6数据包分流策略。

在可选实施方式中，所述方法中的对接收到的数据包进行判断包括：

判断接收到的数据包是否是VLAN数据包；当判断为是时进一步判断作为所述接收到的VLAN数据包的载荷部分的数据包是否为IPv6数据包或者IPv4数据包；当判断为否时直接判断所述接收到的数据包是否为IPv6数据包或者IPv4数据包。

根据本发明另一实施例的一种网络流量审计方法包括：

通过分流策略接口设定IPv4数据包分流策略；

对接收到的数据包进行判断；