[发明专利]网络数据包按序存储方法、计算机设备和存储介质

说明书

一种实时协议识别背景下的网络数据包按序存储方法及系统，所述方法包括：为接收的网络数据包增加一个顺序标签；判断数据包是否达到协议识别条件，对未达到协议识别条件的数据包地址信息按照流进行分类，然后存入索引列表；对达到协议识别条件的数据包进行协议识别，并将所属流的数据包标上协议号；对索引列表中该数据包所属数据流中的所有数据包上标记相应的协议标签，并将该流上数据包的地址信息转存在环形队列中；将环形队列中的一段按照标签顺序排列的数据包按序输出并存储。本发明的方法在保证协议识别效率的同时，确保数据包按照时间的顺序进行存储，并将每个数据包打上协议号，便于回溯系统能够对某一特定时段的数据进行快速定位分析。

技术领域

本发明涉及网络安全技术领域，特别涉及实时协议识别背景下的网络数据包按序存储方法及系统。

背景技术

网络回溯分析系统具备长时间、大容量的数据存储能力，能长期实时保存捕获的原始数据包、数据流、网络会话、应用日志等各种统计数据，同时具备快速的数据检索能力，能够方便的对已发生的网络行为、应用数据和主机数据迚行回溯分析。

协议识别在网络回溯系统中的重要性不言而喻，当前在协议识别模块中普遍用五元组来定义一条数据流，并且在该模块中，协议识别需要积累一条流的多个数据包后才会触发。在回溯分析系统中，存储数据包时需要数据包标明协议号并按照其到达网口的顺序进行存储。在实际场景中，镜像流量到达某一个网口时往往包含多条数据流，后到达的数据流可能会先积累一定量的数据包并进行协议识别。这可能会造成存储时后到达的数据流先被存储下来，与回溯分析系统的需求产生了矛盾。

当前在网络数据包实时采集领域，普遍需要收到一条数据流的多个数据包，才能积累足够的应用层协议载荷来有效识别协议类型，造成相对于收包的滞后效应(即多条数据流完成协议识别的顺序，不一定与数据流首包到达网口的顺序相同)。若按协议识别顺序进行存储，将打乱数据包到达网口顺序，从而与主流数据包存储格式的要求矛盾。

发明内容

本发明的目的在于解决上述技术问题，为了实现对大量数据包实现协议快速准确地识别，并且按照时间顺序进行存储，提出一种实时协议识别背景下的网络数据包按序存储方法；该方法能够使得网络流量在协议自动识别的背景下，能够识别各条数据流上的所有数据包，提高回溯分析系统中回溯分析效率。

为了实现上述目的，本发明提出了一种实时协议识别背景下的网络数据包按序存储方法，所述方法包括：

为接收的网络数据包增加一个顺序标签；

判断数据包是否达到协议识别条件，对未达到协议识别条件的数据包地址信息按照流进行分类，然后存入索引列表；对达到协议识别条件的数据包进行协议识别，并将所属流的数据包标上协议号；对索引列表中该数据包所属数据流中的所有数据包上标记相应的协议标签，并将该流上数据包的地址信息转存在环形队列中；

将环形队列中的一段按照标签顺序排列的数据包按序输出并存储。

作为上述方法的一种改进，所述方法具体包括：

步骤1)接收网络数据包，按照数据包接收的时间顺序在数据包存储格式中增加一个顺序标签；

步骤2)判断该数据包是否达到协议识别条件；如果未达到协议识别条件，转步骤3)；如果到达协议识别条件，转步骤5)；

步骤3)判断该数据包所属数据流的索引定时器是否超过索引定时器的阈值，如果未超过，进入步骤4)，否则进行超时处理：重置时间周期并判断索引列表中该数据流是否有地址信息，如果有地址信息，则转入步骤6)，否则，进入步骤4)；

步骤4)将该数据包的地址信息按照流进行分类，存入索引列表，转入步骤1)；

步骤5)对该数据包进行协议识别，并将所属数据流的所有数据包均标上协议号；