[发明专利]一种快速发现网络探针的方法和系统

说明书

技术领域

本发明涉及网络数据处理领域，尤其是涉及一种快速发现网络探针的方法和系统。

背景技术

网络探针是一种获取网络流量的硬件设备，使用时将它串接在需要捕捉流量的链路中，通过分流链路上的数字信号来获取流量信息。探针设备通过分光或者镜像端口部署，不会对网络性能带来影响，因此支持对高速链路的流量进行采集。

探针设备具有以下几个特点：

1、在部署方面，探针本身集成SFP收发器，其外观和功能完全兼容普通的光纤通讯模块，可以直接插在交换机上，采集、过滤该模块的流量。

2、在操控方面，探针可以从系统外部远程操控，无需获取网络环境权限，介入系统内部。这些特性使其可以被隐蔽使用。

3、在数据搜集方面，探针设备可以隐蔽地将捕获到的数据从内网发到外网而无需引入其他硬件设备。

尽管探针设备可以给网络服务提供商和其他各类机构带来价值，但是它对网络数据安全带来的隐患也是不可忽视的。它可以较为隐蔽地被使用作为一种间谍设备，对一些敏感信息进行窃取，从而对使用互联网的各类机构和用户带来损失，甚至威胁国家安全。

由于它在接入网络时的非侵入性(不影响网络性能)和设备本身的兼容性(外观和功能完全兼容普通的光纤通讯模块)，仅从外观等常规属性来发现探针是几乎不可能的。

发明内容

本发明的目的在于：针对现有技术存在的问题，提供一种快速发现网络探针的方法和系统，能够通过分析网络环境中产生的数据流量来帮助解决探针设备不易发现的问题。

本发明的发明目的通过以下技术方案来实现：

一种快速发现网络探针的方法，其特征在于，该方法包括：

(1)收集网络环境中的数据包，形成网络数据流；

(2)分析网络数据流中的数据包，过滤出与探针设备有关的数据包；

(3)根据对探针设备数据包的分析，定位探针设备的位置。

作为进一步的技术方案，收集网络环境中的数据包的方法为从网卡上获取网络链路中的数据包或通过读文件的方式从已经收集到的数据包文件中读取数据包或前述两种同时进行。

作为进一步的技术方案，形成网络数据流的方法包括：抓包线程首先从抓包缓存队列获取一个数据包缓存，然后将捕获的数据包依次存放到该缓存中，一旦存满，会将缓存添加到识别缓存队列；识别线程从识别缓存队列获取一个缓存，对里面的每一个数据包进行识别，并将将缓存归还给抓包缓存队列。

作为进一步的技术方案，如果要求还原，则识别线程将识别处理后的缓存放到还原缓存队列。

作为进一步的技术方案，抓包线程还有一根对应的计时线程，它定时将抓包线程正在使用的缓存强行添加到识别缓存队列。

作为进一步的技术方案，分析网络数据流中的数据包的方法包括：通过端口分析和协议特征分析的方法。

作为进一步的技术方案，与探针设备有关的数据包包括网络探针添加标记以后的转发数据包，以及网络探针与其配套分析设备通信时产生的控制数据包。

作为进一步的技术方案，该方法包括：对探针设备有关的数据包进行还原。

一种快速发现网络探针的系统，该系统包括：

适配器管理模块，用于遍历系统拥有的网卡，获取网卡的静态信息，初始化和释放网卡；

文件管理模块，用于打开和关闭数据包文件，获取数据包文件的基本信息；

抓包模块，用于从网卡抓取数据包或者从数据包文件读取数据包；

识别模块，用于对抓包模块得到的数据包进行识别，确定数据包是不是与探针设备相关的；

数据包缓存管理模块，用于上述提到各个模块中所使用的缓存队列的分配、初始化和销毁。

作为进一步的技术方案，该系统包括还原模块，用于将识别为与探针设备有关的数据包进行还原，得到原始数据包。

与现有技术相比，本发明具有以下优点：

1、发现精准。

采用了流量特征识别和端口识别的方法结合，能够准确地识别与探针设备相关的网络数据流量。内置数据包分析引擎技术，可以从网络层、传输层、应用层不同层次，从单个数据包、整条数据流等不同角度对网络流量数据进行分析。

2、快速高效。

系统同时接收来自4张网卡的网络数据，还可以同时对数据包文件进行分析，性能较高，能够在短时间之内对大量网络数据流量进行分析，不容易发生漏报的情况。系统所指定的网卡数量和线程数量是针对当前主流网络工作站进行过反复实验和论证的数据，能够最大化地发挥硬件设备和软件架构的性能，达到一个比较好的效果。

3、数据还原。