[发明专利]一种网络数据包的快速回溯分析方法

权利要求书

1.一种网络数据包的快速回溯分析方法，所述方法包括：

步骤1)创建包含文件说明扩展选项的标题块SHB、接口描述块IDB和若干个增强型数据包块EPB，在每个EPB中填充网络原始数据包，并为每个数据包添加数据包信息以及会话信息扩展选项；创建增加文件内数据包索引选项的自定义时间戳索引块TIB；按照SHB–IDB–EPB–EPB-…-EPB–EPB–TIB格式将网络数据包生成pcapng文件；

步骤2)通过回溯时间窗口选取pcapng文件，然后通过TIB快速定位到EPB上，再利用该EPB的会话信息扩展选项提取数据包元数据信息；

所述步骤2)包括：

步骤2-1)根据选定回溯分析时间窗口，依据文件名中的时间戳信息定位到相应pcapng文件，同时对文件标题块SHB中的魔数选项进行验证；

步骤2-2)利用pcapng文件中TIB记录的时间戳和偏移信息跳转到搜索开始位置；

步骤2-3)依次提取各个EPB中的元数据信息直到搜索时间结束位置，其中元数据信息包括网络原始数据包以及用于快速分析的会话信息扩展选项。

2.根据权利要求1所述的网络数据包的快速回溯分析方法，其特征在于，所述步骤1)包括：

步骤1-1)创建标题块SHB，并为SHB增加文件说明扩展选项；

步骤1-2)创建接口描述块IDB；

步骤1-3)创建增强型数据包块EPB，在该EPB中填充网络原始数据包，并且为每个数据包添加数据包信息以及会话信息扩展选项；

步骤1-4)判断EPB数量是否达到设定阈值，如果判断结果是否定的，转入步骤1-3)，否则，进入步骤1-5)；

步骤1-5)创建自定义时间戳索引块TIB，并为其增加文件内数据包索引选项；

步骤1-6)判断写入数据大小是否达到pcap文件生成阈值，如果判断结果是否定的，转到步骤1-3)，否则，按照SHB–IDB–EPB–EPB-…-EPB–EPB–TIB格式生成pcapng文件，并使用文件中记录的首尾数据包的时间戳生成文件名。

3.根据权利要求2所述的网络数据包的快速回溯分析方法，其特征在于，在所述SHB的文件说明扩展选项中，需要记录的信息包括但不限于：魔数、文件生成时间、软件版本以及采集器标识；

所述魔数，用来对留存网络数据包文件增加标识；

所述文件生成时间，用来记录留存网络数据包文件生成时间；

所述软件版本，用来标识生成该文件的软件版本；

所述采集器标识，用来标识生成该文件的采集器名称。

4.根据权利要求3所述的网络数据包的快速回溯分析方法，其特征在于，在所述EPB会话信息扩展选项中，需要记录的信息包括但不限于：数据包类型、应用层协议类型、L3偏移、L4偏移、L4负载长度、会话ID以及时间戳；

所述数据包类型，使用32位掩码表示，低28位标识2-4层协议栈类型，28位标识数据包方向，0为客户端发的包，1为服务端发的包，29～31位标识TAG的计算方式；

所述应用层协议类型，用来标识网络数据包所携带应用层协议类型；

所述L3偏移，用来标识网络数据包的3层偏移，没有则填0；

所述L4偏移，用来标识网络数据包的4层偏移，没有则填0；

所述L4负载长度，用来标识网络数据包的4层负载长度，没有则填0；

所述TAG值，用于标识数据包，由数据包的五元组信息计算得到；

所述会话ID选项，用来标识数据包所对应的数据流；

所述时间戳选项，用来标识相对流开始的时间间隔，取值为毫秒，向上取整。

5.根据权利要求4所述的网络数据包的快速回溯分析方法，其特征在于，在所述协议自定义时间戳索引块TIB中，需要记录的信息包括：时间戳信息以和偏移信息；

所述时间戳信息，用于记录相对于文件起始时间的相对时间；

所述偏移信息，用来记录相对于文件起始位置的字节数。