[发明专利]基于数据包标记的溯源方法及数据包标记装置

说明书

本发明涉及网络安全技术领域，具体涉及一种基于数据包标记的溯源方法及数据包标记装置。该数据包标记装置包括处理器连接的存储器，处理器包括数据报文输入模块及数据报文输出模块，数据报文输入模块及数据报文输出模块均连接数据报文溯源标记模块、数据报文地址转换模块及数据报文溯源标记去除模块，数据报文溯源标记模块连接有数据报文镜像模块，数据报文镜像模块通信连接审计系统，提供一种能够实现对上网流量日志实名审计的基于数据包标记的溯源方法及数据包标记装置。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于数据包标记的溯源方法及数据包标记装置。

背景技术

目前,常用的上网行为管理审计系统部署在企业或单位的上网出口，采用旁路、串接、路由网关的方式，通过把上网流量数据与提前登记的IP、MAC绑定的人员、终端关系进行关联，或与portal WEB认证帐号进行关联，从而实现对网络流量进行实名上网日志审计。

然而，实际网络比较复杂，不是扁平化网络，都会存在子网及多级子网的情况，上网流量经过网关NAT地址转换后，通过IP、MAC进行关联人员信息的方式就存在问题，无法落实到具体的上网人员及终端。

发明内容

本发明要解决的技术问题是：克服现有技术的不足，提供一种能够实现对上网流量日志实名审计的基于数据包标记的溯源方法及数据包标记装置。

本发明为解决其技术问题所采用的技术方案为：数据包标记装置，包括处理器连接的存储器，所述处理器包括数据报文输入模块及数据报文输出模块，数据报文输入模块及数据报文输出模块均连接数据报文溯源标记模块、数据报文地址转换模块及数据报文溯源标记去除模块，数据报文溯源标记模块连接有数据报文镜像模块，数据报文镜像模块通信连接审计系统；

数据报文输入模块：用于对数据报文进行接入处理；

数据报文溯源标记模块：用于对数据报文进行溯源标记处理，把溯源标记信息标记到数据报文尾部；

数据报文地址转换模块：用于对数据报文进行网络地址转换；

数据报文溯源标记去除模块：用于对带有溯源标记信息的数据报文进行去除溯源标记信息处理；

数据报文输出模块：用于对数据报文进行路由转发到相应接口；

数据报文镜像模块：用于对带有溯源标记的数据报文进行镜像复制后转出至审计系统。

基于数据包标记的溯源方法，包括以下步骤：

步骤一、判断数据报文为上行数据报文还是下行数据报文，若为上行数据报文，则进入步骤二，若为下行数据报文，则进入步骤三；

步骤二、对上行数据报文的处理：接收上行的数据报文提取溯源信息并标记，在数据出口时记录溯源标记信息，镜像带有溯源标记信息的数据报文至审计系统，转发去除溯源标记信息的数据报文至上层网络；

步骤三、对下行数据报文的处理：接收下行数据报文在出口时查询溯源标记信息记录，把获取到的溯源标记信息记录标记到镜像复制的数据报文尾部然后输出至审计系统，并转发数据报文至下层网络。

所述步骤二包括以下子步骤：

S21：接收数据报文，判断是否出口，若是，则进入步骤S211，否则进入步骤S212；

所述步骤S211包括以下子步骤：

S2111:由数据报文溯源标记模块负责解析数据报文，提取数据报文尾部各级溯源标记信息，并记录溯源标记信息、源数据报文端口信息到存储器中，为下行数据的溯源使用；

S2112：数据报文镜像模块镜像输出带有溯源标记信息的数据报文给审计系统；