[发明专利]一种基于HTTP协议的数据还原方法及系统

权利要求书

1.一种基于HTTP协议的数据还原方法，其特征在于，所述方法包括：

S1、捕获网络中的数据包；

S2、从捕获的数据包中过滤出TCP协议数据包；

S3、计算所述TCP协议数据包的TCP会话哈希值、并将得出的TCP会话哈希值存至哈希表中；将TCP会话哈希值相同的数据包存储至二叉排序树中；对所述二叉排序树进行中序遍历得到重组后的TCP数据包；

S4、从重组后的TCP数据包中过滤出HTTP协议数据包；

S5、对所述HTTP协议数据包进行内容还原。

2.如权利要求1所述的方法，其特征在于，步骤S1包括：

网卡初始化；

数据包捕获程序初始化；

网卡通过DMA方式将接收的数据包写入网卡驱动中的内存空间，数据包捕获程序将所述内存空间中的数据包映射至用户空间。

3.如权利要求1所述的方法，其特征在于，在步骤S3中，计算所述TCP协议数据包的TCP会话哈希值，包括：

从TCP协议数据包中提取TCP会话连接四元组；

对所述TCP会话连接四元组进行异或位移哈希运算，并将运算获取的TCP会话哈希值存至哈希表中。

4.如权利要求3所述的方法，其特征在于，所述TCP会话连接四元组包括：源IP地址、目的IP地址、源端口号、目的端口号。

5.如权利要求1所述的方法，其特征在于，步骤S5包括：

解析所述HTTP协议数据包的头部，获取模板匹配所需的头部信息；

将所述头部信息与模板库中各模板的对应信息进行匹配，找到与所述HTTP协议数据包相对应的模板结构体；

根据模板结构体中的特征值对HTTP协议数据包进行内容提取。

6.一种基于HTTP协议的数据还原系统，其特征在于，所述系统包括：

数据包捕获模块，用于捕获网络中的数据包；

第一过滤模块，用于从捕获的数据包中过滤出TCP协议数据包；

数据包重组模块，用于计算所述TCP协议数据包的TCP会话哈希值、并将得出的TCP会话哈希值存至哈希表中；将TCP会话哈希值相同的数据包存储至二叉排序树中；对所述二叉排序树进行中序遍历得到重组后的TCP数据包；

第二过滤模块，用于从重组后的TCP数据包中过滤出HTTP协议数据包；

数据还原模块，用于对所述HTTP协议数据包进行内容还原。

7.如权利要求6所述的系统，其特征在于，数据包捕获模块包括：

初始化单元，用于对网卡、数据包捕获单元进行初始化；

数据包捕获单元，用于将网卡驱动的内存空间中的数据包映射至用户空间；

其中，所述网卡驱动的内存空间中的数据包是网卡通过DMA方式写入的。

8.如权利要求6所述的系统，其特征在于，数据包重组模块在计算所述TCP协议数据包的TCP会话哈希值时，包括：

从TCP协议数据包中提取TCP会话连接四元组；

对所述TCP会话连接四元组进行异或位移哈希运算，并将运算获取的TCP会话哈希值存至哈希表中。

9.如权利要求8所述的系统，其特征在于，所述TCP会话连接四元组包括：源IP地址、目的IP地址、源端口号、目的端口号。

10.如权利要求6所述的系统，其特征在于，所述数据还原模块包括：

解析单元，用于解析所述HTTP协议数据包的头部，获取模板匹配所需的头部信息；

模板匹配单元，用于将所述头部信息与模板库中各模板的对应信息进行匹配，找到与所述HTTP协议数据包相对应的模板结构体；

内容提取单元，用于根据模板结构体中的特征值对HTTP协议数据包进行内容提取。