法律状态公告日
法律状态信息
法律状态
2018-02-16
未缴年费专利权终止 IPC(主分类):H04L12/24 授权公告日:20080423 终止日期:20161226 申请日:20051226
专利权的终止
2008-04-23
授权
授权
2006-08-23
实质审查的生效
实质审查的生效
2006-06-28
公开
公开
所属技术领域
本发明涉及一种基于IPv6的网络性能分析报告系统及实现方法,属于IPv6网络安全监测管理技术领域。
背景技术
随着互联网的迅猛发展,传统的IPv4暴露出越来越多的缺点,为此IETF提出了IPv6。经过几年的发展,IPv6技术已经日渐成熟,较为成功的解决了IPv4所存在的问题,成为下一代互联网的标准。
当前,世界各国对IPv6技术的研究都十分重视。日本政府把IPv6确立为使日本重新成为信息化强国的国策之一;欧洲一些国家在第3代移动网中率先引入IPv6,以实现互联网领域与美国并驾齐驱的目标;近年来,美国担心恐怖分子对其网络进行致命性的攻击,也加快了对IPv6技术的发展。中国也是全球最关心IPv6发展的国家之一,原因就是IPv6将给中国信息网络的建设带来新的契机。
另一方面,由于IP网络环境的开放性以及IPv4在设计时缺乏对安全问题的周详考虑,目前IP网络安全形势严峻。病毒的泛滥,恶意代码的攻击,黑客的攻击使得整个网络越来越不安全。2004年我国计算机病毒的感染率高达87.93%。蠕虫、病毒的传播造成了大规模的网络中断,带来大量资源浪费和数以亿计的经济损失。同时,黑客入侵事件也层出不穷。据统计,全球平均每20秒钟就发生一起Internet计算机侵入事件。黑客的入侵造成了大量政府、企业和个人重要敏感信息的泄漏。安全问题不仅给广大网民带来了不便,也威胁到了国家的信息安全和经济发展。
这种形势下,对网络安全技术和设备的研究成为当前的一个热点。目前,国内外有许多网络安全产品,如防火墙、网络嗅探器、NetDetector等。防火墙可以限制外界用户对内部网络的访问,管理内部用户访问外界网络的权限。这可以被看成是网络安全的第一级防护。但是防火墙只能防范外部的攻击,对于网络内部的攻击无能为力。随着攻击技术日趋成熟,单纯的防火墙策略已经无法满足网络安全的需要,网络的防卫必须采用一种纵深、多样的手段。
网络嗅探器是利用计算机的网络接口,截获目的地是其它计算机的数据报文的一种技术。它工作的时候就像一部被动声纳,默默地接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。一般情况下,大多数嗅探器能够分析如下协议:标准以太网、TCP/IP、IPX、DECNet等。
网络嗅探器的主要功能是捕包和协议解析,但都是基于数据帧(包)一级的,只能查看单个数据帧(包)的内容,不能对整个网络流量进行分析。随着网络的发展,人们希望能够对网络进行协议、流量的综合分析,从而有效的发现网络流量异常,故障时判断网络或设备发生问题的可能原因,为网络性能优化和预防未知攻击提供依据。嗅探器显然无法满足这个要求。
NetDetector是美国Niksun公司开发的网络安全产品,主要功能是为IP网络提供实时、连续的流量记录和分析,及时发现网络流量中的一些异常状况,比如说黑客攻击,并进行告警。同时,还可以在应用层上重组网络中的各个进程(Email,FTP,Telnet,HTTP等)。在发生网络被入侵的情况时,利用NetDetector的这个功能,网络管理者就能够掌握网络犯罪分子的犯罪证据,并了解其攻击方法,从而修补安全漏洞,以免以后遭到类似的攻击。
虽然NetDetector具备很好的流量监测和分析功能,但都是针对传统的IPv4网络的,并不支持IPv6技术。而IPv6作为下一代互联网协议标准,必然会得到越来越广泛的推广和应用。因此,NetDetector具有一定的局限性,不能适应互联网发展的需要。
可见,尽管国内外存在很多种网络安全技术和设备,但它们几乎都是针对传统IPv4网络的,很少有支持IPv6的。而作为下一代的网络层协议标准,IPv6势必在今后得到广泛的推广和应用。这种情况下,如何实现面向IPv6的安全技术成为当前的一个大问题,也是科研人员需要解决的一个重点难题。所以研究具有自主知识产权的IPv6网络安全设备和技术很有现实意义,能够填补国内外空缺。
发明内容
为了克服现有技术的不足,本发明提供一种基于IPv6的网络性能分析报告系统及实现方法,为IPv6网络提供安全监测和管理。基于IPv6的网络性能分析报告系统能够高速捕获IPv6网络中的数据流量并进行流量监测和分析。同时还具备强大完整的数据统计、分析能力;能够实时检测黑客、病毒的入侵攻击并制定相应防护策略;并且支持IPv4/v6双栈,能够满足IPv4到IPv6过渡时期的需要。
本发明解决其技术问题所采用的技术方案是:
一种基于IPv6的网络性能分析报告系统包括:
IPv6数据捕获模块:主要完成IPv6/v4数据包高速捕获功能和协议分析功能。能够高速捕捉并记录所监测的IPv4/v6网络中的数据流量,同时进行源/目的地址、源/目的端口、协议类型等快速分解,并将解析结果载入数据库。
数据库模块:存储IPv6/v4数据捕获模块解析的数据信息,为其他几个模块提供数据基础。根据对其他几个模块的需求分析,数据库模块共分为两个库,即用户信息库和数据包信息库。
IPv6流量分析模块:分析IPv6/v4网络服务请求、数据流量的变化,发现潜在的攻击和入侵行为;了解目前该网域流量分布情形,故障时判断网络或设备发生问题的可能原因,并制定相应的策略进行流量告警。
IPv6统计报表模块:提供IPv6/v4数据统计和报表工具,网络管理者通过web访问设定各种可选参数,制定单一或者复合查询条件,对所需的IPv6/v4数据信息进行统计分析,并且可以将分析结果以电子邮件形式远程发送到用户手中。
配置管理模块:对这四大功能模块进行配置和管理。具有管理员权限的用户可以通过配置界面实现数据库管理的配置;IPv6捕包进程、流量告警模块的开启和关闭;服务器IP地址、子网掩码、网关等参数的修改;服务器的定时重启和关闭;用户的创建及密码修改等。
一种基于IPv6的网络性能分析报告系统实现方法包括:
根据对其他模块的需求分析,优化设计数据库。
采用多线程技术实现IPv6/v4网络的高速数据流量捕捉和记录,同时进行快速协议分解,并将解析结果存入数据。
采用创建临时表和二次统计的方法从数据库中读取所需的IPv6/v4流量信息,进行逐层流量分析,以精确的流量图和列表显示分析结果。同时,能够在流量图中将分析结果同正常流量值和上次分析结果进行对比,以发现流量异常情况并进行告警。
采用逐层分析和联合统计分析方法,通过合理使用数据表的结构,对IPv6/v4各种数据信息进行审计分析,以多样化的图表直观显示分析结果,并可将分析结果以电子邮件形式远程发给用户。
设计实现了配置管理模块对整个系统进行管理,提高系统性能和实用性。
设计实现了友好的操作界面,方便用户使用。本发明的有益效果:
IPv6作为下一代互联网协议标准得到了越来越广泛的应用,对IPv6网络的安全防护技术和设备的研究也成为了一个热点。特别是随着电子商务技术的迅猛发展,对网络信息安全要求越来越高,人们希望在网络世界畅游的同时能够得到很好的安全保障。
本发明主要实现了针对IPv6网络的流量监测、流量分析和数据统计理功能。系统成本较低;支持多用户同时远程访问,不同级别的用户操作权限不同,保证了系统的安全性;具有友好的使用界面,方便用户操作。本发明具有强大的数据抓取和分析能力,能从所监控的IPv6网络上高速、实时地抓取流量信息,然后从中寻找黑客攻击的线索。一旦出现异常状况,马上向系统管理员发出报警信息。使用户在系统受到危害之前截取并防范非法入侵和内部网络误用,最大程度降低安全风险,保护网络安全。而且具备事后分析能力,可以查找并修复安全漏洞。此外,本发明所保存的数据,还可以为追踪、调查、控告网络犯罪分子提供详细的原始数据和证据。
本发明通过复制链路上的网络流量,丝毫不会增加被监测链路的流量,也不会影响网络上的其它设备。而且,监听口对通信双方是透明的,网络入侵者无法检测到,确保了设备自身的安全性。
本发明除了全面支持IPv6外,还同时支持目前的IPv4网络。适用于民用和商用的IPv4/v6网络,并且有望在未来的移动IPv6网络中得到广泛的应用。随着IPv6网络的普及,本发明必将有着良好的推广前景和商用价值。
附图说明
下面结合附图和实施例对本发明进一步说明。
图1基于IPv6的网络性能分析报告系统体系结构;
图2 IPv6数据捕获模块工作原理;
图3流量分析工作流程;
图4IPv6统计报表模块整体结构;
图5获取IPv6统计报表查询信息;
图6基于IPv6的网络性能分析报告系统主界面;
图7网络流量分析操作界面;
图8统计报表操作界面;
图9系统配置操作界面。
具体实施方式
下面给出本发明的实施例。
实施例1:一种基于IPv6的网络性能分析报告系统采用模块化方法将整个系统分为五大功能模块,如图1所示,IPv6数据捕获模块和数据库模块是其它几个功能模块的基础,通过IPv6数据捕获和协议分析将获得的详细数据信息写入数据库表结构中;IPv6流量分析、IPv6统计报表模块从数据库表中提取所需字段,获得用户需要的分析统计结果,同时监测IPv6/v4网络中的流量、检测已知和未知的入侵攻击,异常时进行告警;另外,为了提高实用性和自由度,具有管理员权限的使用者可以对这五大功能模块进行配置和管理。下面分别介绍这几个模块的设计和实现。
IPv6数据捕获模块主要完成IPv6/v4数据包高速捕获功能和协议分析功能。采用多线程技术提高捕包速度和效率。首先初始化捕包设备和包链,主要完成的工作有:将监听口设置为混杂模式、初始化数据库并清空缓存器、定义双向链表等。然后进入IPv6数据包捕获主线程。被捕获的IPv6/v4数据包存放在内存队列中(见图2),由IPv6数据包协议解析子线程进行解析,最后存储到数据库中。值得注意的是,如果IPv6数据包协议解析的速度过慢,内存队列中的数据包会不断增加。然而内存的容量是有限的,存放的数据过多,会导致内存溢出,无法再写入新的数据,最终会中断捕包线程。为此,采用了(初始化包链时定义的)双向链表,在捕包的同时启动IPv6数据包协议解析子线程解析数据包并写入数据库。
数据库模块存储IPv6/v4数据捕获模块解析的数据信息,为其他几个模块提供数据基础。根据对其他几个模块的需求分析进行了优化设计,共分为两个库,即用户信息库和数据包信息库。
用户信息库包含一个用户信息表(见表1),主要用来存储用户名、密码和用户权限,供系统登入和配置管理模块中的用户管理使用。初始化的时候系统中只有一个admin(管理员)用户,其权限值为1;普通用户在配置页面中增加,可以有多个,权限均为0。admin用户可以通过系统配置部分增加、删除和修改普通用户。没有权限的普通用户没有此功能。
表1 用户信息表结构
数据包信息库存储的数据信息是IPv6流量分析、IPv6统计报表和配置管理模块的主要信息来源,共包含7个表(见表2)。其中traffic表记录的数据包各协议类型、源/目的IP地址、包长度等重要信息,是IPv6流量分析和统计报表模块的操作基础。
表2 数据包信息库结构
IPv6流量分析模块分析IPv6/v4网络服务请求、数据流量的变化,发现潜在的攻击和入侵行为;了解目前该网域流量分布情形,故障时判断网络或设备发生问题的可能原因,并制定相应的策略进行流量告警。采用逐层分析方法,在数据链路层、网络层、传输层、应用层上针对每层信息的特点,分别进行不同的分析。其工作流程如图3所示。
用户可以在IPv6流量分析控制界面选择进入对数据链路层、网络层、传输层、应用层的流量分析,每次的分析结果都包含了进入对下一层分析的链接。用户可以根据自己需要分层进行流量分析。分析结果包含流量统计列表和流量图两部分:流量统列计表详细列出了统计的具体结果;流量图更直观地展现了流量随时间的变化情况,弥补了流量统计表和时间联系不紧密这一缺点,并且能够将分析结果同正常流量值和上次分析结果进行对比,以发现流量异常情况并进行告警。二者的结合能令使用者更好地掌握流量情况。
IPv6统计报表模块提供非常简便的IPv6/v4数据统计和报表工具。网络管理者可以通过设定各种可选参数,例如:IPv6/v4数据包协议类型、最频繁的报警、报警级别分布、时间段等,制定单一或者复合查询条件,对所需的IPv6/v4数据信息进行统计分析,并可以将分析结果以电子邮件形式远程发送到用户手中。数量大、信息来源广泛的时候,网络管理员可以很轻松的对IPv6/v4数据信息进行过滤、分类,从而突出显示需要的信息。整体结构如图4所示。此外,它还可以为其它安全系统(如各种入侵检测系统、防火墙等)提供详细的原始分析数据,从而帮助安全管理人员检查网络中是否有违反安全策略的行为和遭到袭击的迹象、修复安全漏洞,构成全面的网络安全解决方案。
配置管理模块实现对这四大功能模块的配置和管理。具有管理员权限的用户可以通过配置界面实现数据库管理的配置;IPv6数据捕包、流量告警模块的开启和关闭;服务器IP地址、子网掩码、网关等参数的修改;服务器的定时重启和关闭;用户的创建及密码修改等。
实施例2:一种基于IPv6的网络性能分析报告系统实现方法包括:
首先对其他几个模块的进行需求分析,然后对数据库进行优化设计,以提高系统的整体性能。根据其他几个模块的需求,数据库共分为两个库,即用户信息库和数据包信息库。
用户信息库包含一个用户信息表(见表1),主要用来存储用户名、密码和用户权限,供系统登入和配置管理模块中的用户管理使用。初始化的时候系统中只有一个admin(管理员)用户,其权限值为1;普通用户在配置页面中增加,可以有多个,权限均为0。admin用户可以通过系统配置部分增加、删除和修改普通用户。没有权限的普通用户没有此功能。
数据包信息库存储的数据信息是IPv6流量分析、IPv6统计报表和配置管理模块的主要信息来源,共包含7个表(见表2)。其中traffic表记录的数据包各协议类型、源/目的IP地址、包长度等重要信息,是IPv6流量分析和统计报表模块的操作基础。
采用多线程技术从所监控的IPv6/v4网络中高速捕捉和记录数据流量,同时进行协议解析(如图2),具体流程如下:
首先初始化捕包设备和包链,主要完成的工作有:将监听口设置为混杂模式、初始化数据库并清空缓存器、定义双向链表等。然后进入IPv6数据包捕获主线程,捕捉IPv6/v4数据包。接着对捕获的IPv6/v4数据包进入异常检测,如果异常则丢弃该数据包,如果正常则存放在内存队列中,由IPv6数据包协议解析子线程进行解析,最后存储到数据库中。值得注意的是,如果IPv6数据包协议解析的速度过慢,内存队列中的数据包会不断增加。然而内存的容量是有限的,存放的数据过多,会导致内存溢出,无法再写入新的数据,最终会中断捕包线程。为此,采用了(初始化包链时定义的)双向链表,在捕包的同时启动IPv6数据包协议解析子线程解析数据包并写入数据库。
采用逐层分析方法,在数据链路层、网络层、传输层、应用层上针对每层信息的特点,分别进行不同的IPv6/v4流量进行分析。其工作流程如图3所示。
用户可以在IPv6流量分析控制界面选择进入对数据链路层、网络层、传输层、应用层的流量分析,每次的分析结果都包含了进入对下一层分析的链接。用户可以根据自己需要分层进行流量分析。分析结果包含流量统计列表和流量图两部分:流量统列计表详细列出了统计的具体结果;流量图更直观地展现了流量随时间的变化情况,弥补了流量统计表和时间联系不紧密这一缺点,并且能够将分析结果同正常流量值和上次分析结果进行对比,以发现流量异常情况并进行告警。二者的结合能令使用者更好地掌握流量情况。
为了提高流量分析的速度,保护原始数据,采用了创建临时表和二次统计的方法。在用户进入流量分析模块时,会随机分配一个字符串,用于建立临时数据表。进行流量分析时,就从数据存储表中读出所关心的记录,插入到以随机分配的字符串为表名的临时数据表中。而后进行的流量分析操作都是在这个表中进行的,避免了操作不当而破坏原始数据的情况。临时表建立时会设置一个特定的字段index,并赋予初始值1。进入上一层链接时,这个值自动加1。这样对上一层进行流量分析时只需要对临时表中index值最大的记录进行统计,达到了“在上一次结果中再次统计”即二次统计的效果,提高了分析效率。当流量分析结束时,系统会自动清除这些过期的临时表。
采用逐层分析和联合统计分析方法,通过合理使用数据表的结构,对IPv6/v4各种数据信息进行审计分析。整体结构如图4所示。
首先通过Web设定各种可选参数,例如:IPv6/v4数据包协议类型、最频繁的报警、报警级别分布、时间段等,制定单一或者复合查询条件,然后对所需的IPv6/v4数据信息进行计算分析、统计排列,最后以多样化的图表直观地显示分析结果,并可以将分析结果以电子邮件形式远程发送到用户手中。
IPv6统计分析最重要的是合理设计和使用数据表的结构并利用不同的字段获得查询所需的各类信息。为了更快速、有效地获取各种查询信息,采用图5所示的方法。首先按照TCP/IP四层结构对数据包逐层分析,获取相应的各种信息,然后再对各层信息进行联合统计分析。
配置管理模块通过Web访问方式实现对这四大功能模块的配置和管理。具有管理员权限的用户可以通过配置界面实现数据库管理的配置;IPv6数据捕包、流量告警模块的开启和关闭;服务器IP地址、子网掩码、网关等参数的修改;服务器的定时重启和关闭;用户的创建及密码修改等。
为了方便用户使用,该系统设计实现了友好的操作界面。首先设计了用户身份认证界面,并且设定了不同的用户级别,只有最高权限的用户才能对对系统进行管理和配置。输入正确的用户名和密码后即可进入系统主界面。用户可以通过主界面实现对整个系统的操作。系统主界面,为“流量分析”,“统计报表”,“系统配置”,“用户帮助”四部分提供接口(如图6),点击即可进入到相应的部分。每一部分根据各自的特征,设计实现了相应的操作界面(如图7,8,9)。
机译: 一种实现IPv6网络中多个地址用户授权计费的方法
机译: 一种实现IPv6网络中多个地址用户授权计费的方法
机译: 一种实现IPv6网络中多个地址用户授权计费的方法
