[发明专利]数据包捕获设备及方法、还原设备及方法、系统和介质

说明书

本发明的数据包捕获设备及方法、还原设备及方法、系统和介质，所述数据包捕获设备，包括：第一网络接口，通信连接第一网络；第二网络接口，通信连接第二网络，并用于通过所述第二网络通信连接数据包还原设备通信；数据处理电路，通信连接所述第一网络接口及第二网络接口，用于对从所述第一网络接口和/或第二网络接口捕获的原始网络数据包复制，且按预定格式封装所复制的原始网络数据包为封装数据包，并通过所述第二网络接口传送所述封装数据包至所述数据包还原设备，以供其还原为原始网络数据包；本发明实现利用轻量级数据包捕获设备将数据包发送远端集中分析处理，解决现有技术的问题。

技术领域

本发明涉及网络技术领域，尤其涉及数据包捕获设备及方法、还原设备及方法、系统和介质。

背景技术

随着互联网的普及，上网的信息量越大越大，因此各种网络安全，网络流量分析，网络审计等平台(以下统称为网络分析平台)被大规模部署应用。这些平台实现的必不可少的一个手段就是对网络数据包捕获，捕获网络数据包的通用方法就是对网络数据镜像。

传统镜像数据包设备都是在网络本地部署，网络析平台与网络镜像设备连接也是在部署在本地。如果网络比较分散，网络分析平台部署数量也会随之增加，另外每个网络分析平台的数据都是比较独立的,很难做到关联分析，以致于网络分析的数据准确度不高。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供数据包捕获设备及方法、还原设备及方法、系统和介质，解决现有技术中网络分析平台部署数量大、分散的问题。

为实现上述目标及其他相关目标，本发明提供一种数据包捕获设备，包括：第一网络接口，通信连接第一网络；第二网络接口，通信连接第二网络，并用于通过所述第二网络通信连接数据包还原设备通信；数据处理电路，通信连接所述第一网络接口及第二网络接口，用于对从所述第一网络接口和/或第二网络接口捕获的原始网络数据包复制，且按预定格式封装所复制的原始网络数据包为封装数据包，并通过所述第二网络接口传送所述封装数据包至所述数据包还原设备，以供其还原为原始网络数据包。

于本发明的一实施例中，所述的数据包捕获设备还包括：线路切换单元，通信连接所述第一网络接口、第二网络接口及数据处理电路，用于切换第一网络接口与第二网络接口连通、或第一网络接口及第二网络接口同数据处理电路连通。

于本发明的一实施例中，所述线路切换单元包括控制端，用于在接收到表示所述数据包捕获设备处于正常工作状态的第一类型信号时，控制第一网络接口及第二网络接口同数据处理电路连通；或者，在接收到表示所述数据包捕获设备处于故障状态的第二类型信号时，控制第一网络接口与第二网络接口连通。

于本发明的一实施例中，所述第一网络及第二网络为互联网络；所述从所述第一网络接口和/或第二网络接口得到的原始网络数据包复制，且按预定格式封装所复制的原始网络数据包为封装数据包，包括：若所述原始数据包接收自第一网络接口，则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及源IP地址；将所提取源MAC地址作为封装数据包的源MAC地址，将所提取目的MAC地址作为封装数据包的目的MAC地址，将所提取源IP地址作为封装数据包的源IP地址，将封装数据包的目的IP地址设为所述数据包还原设备的IP地址，将封装数据包的UDP目的端口设为指定的所述网络还源设备监听使用的端口，并将原始数据包装载于所述封装数据包的净荷中，而构造形成所述封装数据包。