[发明专利]一种网络数据包的快速回溯分析方法

说明书

本发明公开了一种网络数据包的快速回溯分析方法，所述方法包括：步骤1)创建包含文件说明扩展选项的标题块SHB、接口描述块IDB和若干个增强型数据包块EPB，在每个EPB中填充网络原始数据包，并为每个数据包添加数据包信息以及会话信息扩展选项；创建增加文件内数据包索引选项的自定义时间戳索引块TIB；按照SHB–IDB–EPB–EPB‑…‑EPB–EPB–TIB格式将网络数据包生成pcapng文件；步骤2)通过回溯时间窗口选取pcapng文件，然后通过TIB快速定位到EPB上，再利用该EPB的会话信息扩展选项提取数据包元数据信息。本发明的方法能够提高网络流量回溯分析系统中回溯分析效率。

技术领域

本发明涉及网络安全技术领域，特别涉及一种网络数据包的快速回溯分析方法。

背景技术

网络的持续、高效和安全运行是用户业务正常运行的基础。这就要求网络管理者能够随时掌握业务应用运行的关键指标，及时发现异常并预警，实现主动运维、主动管理；当故障发生时，能够快速有效地定位问题点、分清责任并分析原因，从而减少故障时间；一旦网络收到攻击或发生安全事件，需要有手段有依据，实现有效地定位、分析和取证。网络回溯分析系统具备长时间、大容量的数据存储能力，能长期实时保存捕获的原始数据包、数据流、网络会话、应用日志等各种统计数据，同时具备快速的数据检索能力，能够方便的对已发生的网络行为、应用数据和主机数据进行回溯分析。

目前的网络数据包的存储格式以及方法都不能实现对大量数据包快速高效地回溯分析。

发明内容

本发明的目的在于克服上述技术缺陷，提供一种网络数据包的快速回溯分析方法，能够提高网络流量回溯分析系统中回溯分析效率。

为了实现上述目的，本发明提出了一种网络数据包的快速回溯分析方法，所述方法包括：

步骤1)创建包含文件说明扩展选项的标题块SHB、接口描述块IDB和若干个增强型数据包块EPB，在每个EPB中填充网络原始数据包，并为每个数据包添加数据包信息以及会话信息扩展选项；创建增加文件内数据包索引选项的自定义时间戳索引块TIB；按照SHB–IDB–EPB–EPB-…-EPB–EPB–TIB格式将网络数据包生成pcapng文件；

步骤2)通过回溯时间窗口选取pcapng文件，然后通过TIB快速定位到EPB上，再利用该EPB的会话信息扩展选项提取数据包元数据信息。

作为上述方法的一种改进，所述步骤1)包括：

步骤1-1)创建标题块SHB，并为其增加文件说明扩展选项；

步骤1-2)创建接口描述块IDB；

步骤1-3)创建增强型数据包块EPB，每个EPB填充网络原始数据包，并且为每个数据包添加数据包信息以及会话信息扩展选项；

步骤1-4)判断EPB数量是否达到设定阈值，如果判断结果是否定的，转入步骤1-3)，否则，进入步骤1-5)；

步骤1-5)创建自定义时间戳索引块TIB，并为其增加文件内数据包索引选项；

步骤1-6)判断写入数据大小是否达到pcap文件生成阈值，如果判断结果是否定的，转到步骤1-3)，否则，按照SHB–IDB–EPB–EPB-…-EPB–EPB–TIB格式生成pcapng文件，并使用文件中记录的首尾数据包的时间戳生成文件名。

作为上述方法的一种改进，在所述SHB的文件说明扩展选项中，需要记录的信息包括但不限于：魔数、文件生成时间、软件版本以及采集器标识；

所述魔数，用来对留存网络数据包文件增加标识；

所述文件生成时间，用来记录留存网络数据包文件生成时间；

所述软件版本，用来标识生成该文件的软件版本；