[发明专利]一种开放式多源数据包捕获器构造方法

说明书

技术领域

本发明是一种针对不同网络环境下的数据包捕获及应用处理的解决方案，主要用于解决网络数据包的捕获，不同外部数据包格式与分析处理需求的适配问题，属于计算机网络技术领域。

背景技术

互联网在为人们工作带来便利的同时，产生了日趋严重的安全问题。如何保护网络的信息安全，防范来自外部网络的黑客和非法入侵者的攻击，建立起强健的网络信息安全防范系统，是亟需解决的一个重要难题。防火墙、入侵检测系统是解决这类网络安全问题最重要手段，数据包捕获技术是这些网络安全产品的基础。因此，研究如何实现数据包捕获具有重要的意义。

不论是网络防火墙还是入侵检测系统，都依赖于底层的网络数据包捕获。现代的操作系统都提供底层的网络数据包捕获的机制，在捕获机制之上可以建立网络监控应用软件。不同的操作系统和不同的环境都有不同的实现方式，在Linux操作系统中，我们可以使用系统的底层调用来实现，也可以使用相应的高层调用来实现。

在网络数据包捕获实现方式中，需要考虑到，(1)如何尽可能完整的捕获网络上的数据包，因为以太网上每时每刻都可能有信息传递，而且根据以太网的规模不同网络上的信息量也变化不大，所以，捕获的数据包不仅要保证包的完整，而且还要考虑到如何才能减少漏取数据包；(2)对捕获的数据包的过滤分析。

捕获网络数据包是进行处理的直接数据来源，在作分析研究时，分析他人提供的离线数据也是很有意义的。因此数据包捕获从广义上来说，不仅包括网络数据包的捕获，还包括各种格式的离线数据的回放。获取的数据包需要进行各种需求的分析处理，如在线数据的存储，数据包的协议分析，按照各种需求对数据包进行分类与过滤。

发明内容

技术问题：本发明的目的是提供一种开放式多源数据包捕获器设计方法，用于不同网络环境下的数据包捕获，各种常用离线数据的读取与格式转化，获取数据的进一步处理。数据获取与数据处理分开，各部分有相应优化措施，形成简洁、高效、可扩展性好、开放式、层次化的体系结构。如何高效的在各种网络环境下读取不同格式的数据，根据不同需求处理数据是本发明解决的主要问题。

技术方案：本发明的提供一种针对不同网络环境，不同数据文件格式下的数据网络数据获取，针对不同应用需求，进行不同数据处理并加以优化的体系结构方案。

一、体系结构

开放式的多源数据包捕获器体系结构可以分为三部分：数据包捕获层、中间数据传输层、数据处理应用层。

下面给出几个具体部分的说明：

数据包捕获层：数据包捕获部分又包括包括数据格式解析器，数据包回放器，数据包提取器三个部分。

数据格式解析器：数据格式解析器是针对不同数据格式的文件数据源而设计的。目前网络数据包捕获工具名目繁多，各种工具都有自己的数据存储格式，如Snort与Tcpdump用的tcpdump格式，Sniffer用的.cap格式等等。通过格式解析器，将不同格式的数据文件解析成统一的格式，简化后续各种数据处理操作，使得数据处理只基于一种内部格式，不需要考虑各种不同格式的数据转换。

数据包回放器：实时的网络数据是数据包捕获器的主要数据来源，各种离线的数据文件保存的也是某一时刻的网络的信息状态，将各种离线数据经过格式解析后，再送入数据包回放器，即可再现当时网络状态。重现网络环境是很有必要的，特别是针对同一问题的不同研究方法的比较时，需要网络环境相同，而实际上的网络环境不可再现的，通过将网络数据保存为离线数据文件再经过回放，即可模拟再现网络环境，误差很少，便于各种研究方法的对比。

数据包提取器：负责从网络中或数据包回放器中取出数据包。数据包回放器将离线数据通过软件方式进行回放，实际效果与直接从网络中获取数据相似，数据包提取器通过判断当前数据源类型，自动从网络环境或数据包回放器中提取数据包。提交到中间数据传输层。

中间数据传输层：用于数据包捕获层与数据包处理应用层之间的数据传输。中间数据传输层从数据包捕获层的数据包提取器得到数据包数据，打包并按照数据包处理应用层的应用程序注册顺序向各个应用发送数据，中间数据传输层主要负责数据的传输与分发。

数据包处理应用层：从网络获取的数据包可以有不同的处理，如协议分析，数据包存储等等。每一种类型的处理可以抽象成位于数据包捕获层之上的应用层，这也就是，不同的处理过程相互独立，统一从中间数据传输层获取数据，并根据自己处理需求做进一步处理。通过向中间数据传输层注册数据处理请求，注册成功后，每当中间数据传输层有数据传输任务时，都会向该数据包处理应用发送数据包到达消息，由该数据处理应用对数据包做进一步处理。

二、方法流程