[发明专利]一种网络监控方法及装置

说明书

技术领域

本发明涉及通信技术领域，具体而言，涉及一种网络监控方法及装置。

背景技术

网络环境中，通常通过流量的监控来预防可能出现的网络攻击，在现有技术中，往往只有监控外部进入该局域网的数据包情况，通过监控外部进入该局域网的数据包的大小，可以预先采取相应措施，防止来自局域网外部的网络攻击。

但是，目前局域网内部也常常出现各样的网络攻击，比如，局域网内部的一个主机频繁发布大量的广播包，耗费局域网内部的流量，现有技术只有监控局域网网关的总流量，并无法确定是什么原因造成的流量突然增加，当然也就没有办法很快进行解决。

发明内容

有鉴于此，本发明的目的在于提供一种网络监控方法和装置，能够监控局域网内的网络流量，便于使得网络管理员查找当局域网内流量突然增加时，找到问题所在。

第一方面，本发明实施例提供了一种网络监控方法，包括:

局域网内主机根据预设的至少一种监控主题，从在单位时间内接收到的数据包中，提取对应每种监控主题的数据包；所述至少一种监控主题包括：数据包发送方式、协议类型和端口信息中的一种或多种；

根据提取的每种监控主题的数据包，确定每种监控主题对应的统计信息；所述统计信息包括数据包个数和/或流量大小。

输出所述统计信息，以实现监控所述局域网内的网络流量。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，所述至少一种监控主题为数据包发送方式，所述根据提取的每种监控主题的数据包，确定每种监控主题的数据包对应的统计信息，包括：

提取每个数据包携带的源IP地址和目的IP地址；

根据所述目的IP地址，确定该数据包对应的数据包发送方式，所述数据包发送方式包括广播发送方式、多播发送方式或单播发送方式；

针对每个源IP地址，从携带有该源IP地址的数据包中，确定对应相同的数据包发送方式的数据包的总个数和/或总流量大小。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，所述至少一种监控主题为协议类型，所述根据提取的每种监控主题的数据包，确定每种监控主题的数据包对应的统计信息，包括：

提取每个数据包中携带的协议类型；

确定对应相同的协议类型的数据包的总个数和/或总流量大小。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，所述至少一种监控主题为端口信息，所述根据提取的每种监控主题的数据包，确定每种监控主题的数据包对应的统计信息，包括：

提取每个数据包中携带的端口信息；

确定对应相同的端口信息的数据包的总个数和/或总流量大小。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第四种可能的实施方式，所述方法还包括：

当确定对应相同的数据包发送方式的数据包的总个数大于个数设定值时，和/或,当确定对应相同的数据包发送方式的数据包的总流量大于流量设定值时，通知网络管理员。

第二方面，本发明实施例提供了一种网络监控装置，该网络监控装置驻留在局域网内主机上，包括：

提取模块，用于根据预设的至少一种监控主题，从在单位时间内接收到的数据包中，提取对应每种监控主题的数据包；所述至少一种监控主题包括：数据包发送方式、协议类型和端口信息中的一种或多种；

确定模块，用于根据提取的每种监控主题的数据包，确定每种监控主题对应的统计信息；所述统计信息包括数据包个数和/或流量大小；

输出模块，用于输出所述统计信息，以实现监控所述局域网内的网络流量。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，所述至少一种监控主题为数据包发送方式，所述确定模块包括：

提取单元，用于提取每个数据包中携带的源IP地址和目的IP地址；

确定单元，用于根据所述目的IP地址，确定该数据包对应的数据包发送方式，所述数据包发送方式包括广播发送方式、多播发送方式或单播发送方式；以及针对每个源IP地址，从携带有该源IP地址的数据包中，确定对应相同的数据包发送方式的数据包的总个数和/或总流量大小。

结合第二方面，本发明实施例提供了第二方面的第二种可能的实施方式，所述至少一种监控主题为协议类型，所述确定模块包括：

提取单元，用于提取每个数据包中携带的协议类型；

确定单元，用于确定对应相同的协议类型的数据包的总个数和/或总流量大小。