本發明涉及網絡安全技術領域，具體涉及一種基于數據包標記的溯源方法及數據包標記裝置。該數據包標記裝置包括處理器連接的存儲器，處理器包括數據報文輸入模塊及數據報文輸出模塊，數據報文輸入模塊及數據報文輸出模塊均連接數據報文溯源標記模塊、數據報文地址轉換模塊及數據報文溯源標記去除模塊，數據報文溯源標記模塊連接有數據報文鏡像模塊，數據報文鏡像模塊通信連接審計系統，提供一種能夠實現對上網流量日志實名審計的基于數據包標記的溯源方法及數據包標記裝置。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種基于數據包標記的溯源方法及數據包標記裝置。

背景技術

目前,常用的上網行為管理審計系統部署在企業或單位的上網出口，采用旁路、串接、路由網關的方式，通過把上網流量數據與提前登記的IP、MAC綁定的人員、終端關系進行關聯，或與portal WEB認證帳號進行關聯，從而實現對網絡流量進行實名上網日志審計。

然而，實際網絡比較復雜，不是扁平化網絡，都會存在子網及多級子網的情況，上網流量經過網關NAT地址轉換后，通過IP、MAC進行關聯人員信息的方式就存在問題，無法落實到具體的上網人員及終端。

發明內容

本發明要解決的技術問題是：克服現有技術的不足，提供一種能夠實現對上網流量日志實名審計的基于數據包標記的溯源方法及數據包標記裝置。

本發明為解決其技術問題所采用的技術方案為：數據包標記裝置，包括處理器連接的存儲器，所述處理器包括數據報文輸入模塊及數據報文輸出模塊，數據報文輸入模塊及數據報文輸出模塊均連接數據報文溯源標記模塊、數據報文地址轉換模塊及數據報文溯源標記去除模塊，數據報文溯源標記模塊連接有數據報文鏡像模塊，數據報文鏡像模塊通信連接審計系統；

數據報文輸入模塊：用于對數據報文進行接入處理；

數據報文溯源標記模塊：用于對數據報文進行溯源標記處理，把溯源標記信息標記到數據報文尾部；

數據報文地址轉換模塊：用于對數據報文進行網絡地址轉換；

數據報文溯源標記去除模塊：用于對帶有溯源標記信息的數據報文進行去除溯源標記信息處理；

數據報文輸出模塊：用于對數據報文進行路由轉發到相應接口；

數據報文鏡像模塊：用于對帶有溯源標記的數據報文進行鏡像復制后轉出至審計系統。

基于數據包標記的溯源方法，包括以下步驟：

步驟一、判斷數據報文為上行數據報文還是下行數據報文，若為上行數據報文，則進入步驟二，若為下行數據報文，則進入步驟三；

步驟二、對上行數據報文的處理：接收上行的數據報文提取溯源信息并標記，在數據出口時記錄溯源標記信息，鏡像帶有溯源標記信息的數據報文至審計系統，轉發去除溯源標記信息的數據報文至上層網絡；

步驟三、對下行數據報文的處理：接收下行數據報文在出口時查詢溯源標記信息記錄，把獲取到的溯源標記信息記錄標記到鏡像復制的數據報文尾部然后輸出至審計系統，并轉發數據報文至下層網絡。

所述步驟二包括以下子步驟：

S21：接收數據報文，判斷是否出口，若是，則進入步驟S211，否則進入步驟S212；

所述步驟S211包括以下子步驟：

S2111:由數據報文溯源標記模塊負責解析數據報文，提取數據報文尾部各級溯源標記信息，并記錄溯源標記信息、源數據報文端口信息到存儲器中，為下行數據的溯源使用；

S2112：數據報文鏡像模塊鏡像輸出帶有溯源標記信息的數據報文給審計系統；