[发明专利]网络封包采集与解析系统及其实现方法

说明书

技术领域

本发明涉及计算机软件工程领域，尤其涉及一种网络封包采集与解析系统及其实现方法。

背景技术

TCP/IP网络封包一般由以太网首部、IP首部、TCP/UDP首部、应用数据和以太网尾部五个部分构成，其中太网首部、IP首部、TCP/UDP首部和以太网尾部四个部分具有明确而固定的格式定义，通常的网络数据采集与解析工具，如EtherPeek、Sniffr等网络封包协议分析软件，通过对这四个部分的分析，可获得封包的协议类型、源/目的IP地址等信息，可为网络流量分析与统计、网络性能分析、网络安全与管理等提供支持。应用数据部分内容由用户定义和组织，是反映应用系统性能的主要数据源，是网络封包解析的主要内容。一个应用系统往往包含许多网络封包，这些封包的应用数据部分的格式定义不尽相同，不同应用系统网络封包中的应用数据部分的格式更是大不相同。通常为应用系统服务的网络封包解析工具仅仅是为了满足应用系统需求，将结果数据格式固化在解析工具中，难以适应数据格式变化的需求，无法实现通用意义上的网络封包解析，也缺乏集网络封包数据采集、解析于一体的通用性平台。

发明内容

针对上述问题，本发明的目的在于提供一种良好通用性集分布式的网络封包采集与集中式网络封包解析于一体的系统及其实现方法，解决了缺乏通用性网络封包采集与解析平台的问题。

为达到上述目的，本发明所述一种网络封包采集与解析系统，包括一个采集控制中心装置及至少一个数据采集探头装置，其中，

采集控制中心装置，通过网络连接数据采集探头装置，向该数据采集探头装置发送网络封包数据采集过滤方案信息、预设采集内容、及采集控制指令；

数据采集探头装置，接收采集控制中心装置发送来的控制信息，采集网络封包数据并向采集控制中心装置发送其工作状态信息。

优选地，所述数据采集探头装置由探头网络通信模块、数据采集模块及数据存储模块构成，其中，

探头网络通信模块，实现数据采集探头装置与采集控制中心装置之间的信息交换；

数据采集模块，根据过滤方案信息采集合格的网络封包数据，并将采集到的网络封包数据进行内存队列缓存；

数据存储模块，将内存队列缓存的网络封包数据存储在节点磁盘文件中。

所述采集控制中心装置由中心网络通信模块、采集控制模块、数据下载模块、数据解析模块及结果形式编辑模块构成，其中，

中心网络通信模块，实现采集控制中心装置与数据采集探头装置之间的信息交换；

采集控制模块，监控数据采集探头装置的采集过程；

数据下载模块，将上述的节点磁盘文件下载到采集控制中心装置上的节点磁盘上；

结果形式编辑模块，预设网络封包数据解析所呈现的格式，并将结果格式保存；

数据解析模块，按照预设解析形式解析网络封包数据。

为达到上述目的，本发明所述一种网络封包采集与解析实现方法，包括以下步骤：

1)在计算机网络的采集节点上部署数据采集探头装置，启动探头后台服务进程；

2)在计算机网络的控制节点上部署采集控制中心装置；

3)启动采集控制中心装置，实现与各数据采集探头装置的连接；

4)配置各数据采集探头装置的数据采集过滤方案信息，并传送给数据采集探头装置；

5)在采集控制中心装置上启动数据采集探头装置，开始采集、存储网络封包数据；

6)在采集控制中心装置上停止数据采集探头装置，结束网络封包数据的采集；

7)在采集控制中心装置将各数据采集探头装置所采集、保存的数据文件下载到采集控制中心装置；

8)在采集控制中心装置上打开要解析的网络封包数据文件，将其解析为用户指定的结果格式。

本发明的有益效果为：

1、各数据采集探头装置的采集行为与过程由采集控制中心装置集中控制，同时，数据采集探头装置实现靠探头后台服务进程和数据采集进程，探头后台服务进程根据采集控制中心装置的命令直接控制数据采集进程，这种方式避免了逐个操作数据采集探头装置(如启动、停止)的繁琐操作，使运行控制更为简洁；

2、数据采集线程和数据存储线程将网络封包数据的采集与存储过程分离开来，解决了高速数据采集与低速磁盘I/O之间的矛盾，保证了数据采集的高速性，降低了因采集、存储速度不匹配而造成的数据丢失率；

3、用户可随时根据应用系统需求，变更解析结果的格式定义，使网络封包采集与解析平台满足不同应用系统解析要求，具有很好的通用性；