[发明专利]多级路由模式下计算机上网身份识别的方法

说明书

技术领域

本发明涉及一种网络信息安全方法。具体地说，涉及一种多级路由模式下计算机上网身份识别的方法。

背景技术

随着互联网的发展，人们在互联网上从事的行为越来越多，其中一些人使用互联网进行犯罪活动，网络监管形势严峻。而互联网技术本身的一些特点又使网络监管的难度加大。举例来说，在局域网中，经常存在多级路由(在本申请文件中，两级以上路由就被称为多级路由)，而多级路由的NAT(网络地址转换)功能可以对外隐藏内部管理的IP地址。这样一来，在对局域网网络安全审计过程中，审计数据包来源时，只能定位到数据包是由哪台路由器发送出来的，却无法得知是多级路由下的具体哪一台计算机发送出去的。

现在判断多台计算机共享上网的方法有三种。第一种是检查同一IP地址的数据包中是否有不同MAC地址(物理地址)，如果有则判定为存在共享上网。该方法存在的问题是，由于硬件路由器具有NAT功能将转换MAC地址，导致无法进行判断。第二种是通过SNMP(简单网络管理协议)功能来发现，通过向路由器发送相应的命令请求，路由器会返回其下面的计算机的MAC地址。该方法存在的问题是，绝大多数的低端路由器不支持SNMP协议，因此对于低端路由器无法用此方法判断。第三种是通过监测并发的端口数，如果并发的端口数多于设定数就判定为共享。该方法存在的问题是，判断方法不是很准确，存在误判的情形，例如连续按几次计算机键盘上的F5刷新键就会被认为是共享。

本文中，IP是英文Internet Protocol的缩写，意为国际互联网络通讯协定。ID是英文IDentity的缩写，意为身份标识号码，在本申请文件中为区分不同终端计算机的标识号码。NDIS是英文Network DriverInterface Specification的缩写，意为网络驱动接口规范。NDIS的主要目的就是为网络接口卡制定出标准的应用程序编程接口(API)。

发明内容

为此，本发明要解决现有技术不能监控多级路由器下的计算机上网行为、不能识别多级路由器下的计算机上网身份的技术问题，提出一种多级路由模式下计算机上网身份识别的方法。

为解决上述技术问题，本发明的一种多级路由模式下计算机上网身份识别的方法，包括以下步骤：

①对多级路由模式下的计算机安装监测模块，所述监测模块用于截获所在计算机向外发出的所有上行数据包，并对所述上行数据包的IP协议头进行修改，所述修改是将一个独一无二的ID附加到IP协议头的附加字段中，形成附带所述ID的上行数据包；

②所述监测模块将所在计算机的MAC信息和所述ID发送给与一级路由器相连的监控主机；

③所述监控主机以旁路监听或网关模式拦截所述一级路由器向外发送的所有所述附带所述ID的上行数据包，并对所述附带所述ID的上行数据包进行解析，获得所述ID；

④所述监控主机根据所述ID与所述计算机的MAC信息的对应关系，记录所述附带所述ID的上行数据包的来源。

所述ID由所述监测模块产生。

在步骤③中所述旁路监听是通过在所述一级路由器上做镜像端口，所述镜像端口用于复制所有的经过所述一级路由器的数据包。

在步骤③中所述网关模式是通过所述监控主机开启网关功能替代所述一级路由器的网关功能。

所述监测模块中包含有NDIS驱动。

在步骤①之前还包括判断计算机是否安装有安装监测模块，如果没有安装则进行提示并阻断该计算机的网络连接。

本发明的上述技术方案相比现有技术具有以下优点：第一，本发明能够对存在多级路由的计算机网络进行网络安全审计，能够精确定位数据包来源于哪一台计算机，从而实现审计结果与终端计算机关联。第二，本发明的识别精度高，不会存在误判断或者漏判断。

附图说明

为了使本发明的内容更容易被清楚的理解，下面根据本发明的具体实施例并结合附图，对本发明作进一步详细的说明，其中

图1是本发明的网络结构示意图；

图2是本发明的流程图。

图中附图标记表示为：1-一级路由器，2-二级路由器，3-监控主机，4-第一网络交换机，5-终端计算机、6-第二网络交换机。

具体实施方式