[发明专利]全流量存储回溯分析系统中父子连接的处理方法

权利要求书

1.全流量存储回溯分析系统中父子连接的处理方法，其特征在于，包括如下步骤：

1）确定每个worker线程的端口范围，建立每个worker线程与端口的映射关系；

2）基于步骤1）设置的映射关系，配置流量的两个方向，一个方向选择来源端口配置，另一个方向选择目的端口配置；

3）构建每个worker线程局部的数据连接哈希映射表；

4）控制连接按照如下流程处理：

401）当worker线程A识别出控制连接存在被动连接、需要建立数据连接时，worker线程A获取服务器发来的目的端口，根据步骤1）建立的映射关系，计算出与该端口对应的worker线程的id，假设为worker线程B，然后worker线程A将数据连接的信息发送给worker线程B，worker线程B在自己的哈希映射表上添加该数据连接的哈希表项；

402）当worker线程A识别出控制连接结束，即控制连接会话删除阶段时，无锁查询数据连接所对应的worker线程B的哈希映射表，查看表中数据连接所对应的哈希表项是否被清除，以判断这个数据连接是否被真正识别：

4021）如果数据连接所对应的哈希表项被清除，表示已经识别出数据连接的应用类型，给该数据连接打标签flag=1，发送给存储线程正常处理；

4022）如果数据连接所对应的哈希表项未被清除，打上标签flag=0，有以下两种情况：

该数据连接报文未被处理，此时等待数据连接被处理即可；

该数据连接报文已处理完毕，此时发送给存储线程后，存储线程查询索引表，对所有数据连接报文的应用类型重新标记为数据连接，并重新索引处理；

5）数据连接按照如下流程处理：

501）当worker线程B收到数据连接新建或删除消息时，在worker线程B中无锁处理该数据连接所对应的哈希表项，添加或删除对应哈希表项；

502）当worker线程B需要识别数据连接时，按照如下流程处理：

502-1）如果会话的类型为tcp报文且来源端口和目的端口的范围均为1024-65535之间，则报文可能为被动连接，否则不可能为被动连接；

502-2）当可能为被动连接时，提取数据连接的key（sip，dip，dport），无锁查找worker线程B的哈希映射表，如果找到此项则获取value值，即获取到相应的应用类型；

502-3）识别出应用类型后则基于应用类型进行处理；

502-4）处理结束后，删除哈希映射表中数据连接对应的该哈希表项；

503）当数据连接结束时，如果识别出数据连接的应用类型，则给报文打上flag=1的标签正常处理；

504）当未识别出数据连接的应用类型，而数据连接的报文却需要送往存储线程处理时，将报文打上flag=2的标签；

6）存储线程按照如下流程处理：

601）根据控制连接和数据连接的sip、dip，计算出存储线程的id；

602）当为步骤4022）中的情况，即为控制连接且flag=0时，按照数据连接的信息查找索引表，如果能够找到，则设置该连接为数据连接，按照其应用类型进行处理，并重置该数据连接的索引，如果没有找到，结束对该控制连接的额外处理，对控制连接的报文进行正常存储；

603）当为步骤504）中的情况，即为数据连接且flag=2时，根据数据连接端口的信息确定与该端口对应的worker线程的id，然后查找该worker线程的哈希映射表，如果能够找到，则设置该连接为数据连接，按照其应用类型进行处理，并在该worker线程的哈希映射表中删除该数据连接对应的哈希表项，重置该数据连接的索引并存储报文，如果没有找到，结束对该数据连接的额外处理，对数据连接的报文进行正常存储；

604）当为步骤4021）和步骤503）中的情况，即为控制连接或数据连接且flag=1时，设置该连接的索引并存储报文。

2.根据权利要求1所述的全流量存储回溯分析系统中父子连接的处理方法，其特征在于，步骤2）中，使用软件配置方式或硬件网卡配置方式来对流量的两个方向进行配置。