[发明专利]一种TCP/IP流量还原方法

权利要求书

1.一种TCP/IP流量还原方法，其特征在于，包括以下过程：

S1：加载目录下所有的流量还原插件，映射成系统可调用的还原方法，将还原方法注册至注册表中；

S2：获取网络流量原始数据包，还原数据包的内容，获取上层协议特征号；

S3：调用已注册还原方法的查询接口与获取得到的上层协议号进行匹配；若匹配成功则执行步骤S4；如果未成功匹配，则网络流量原始数据包进行自定义处理；

S4：调用还原方法的获取接口获取还原方法，判断当前数据包的长度是否大于等于还原方法中设置的协议所占最小长度，如果满足条件，则进行还原提取处理获得上层协议特征号；如果不满足条件，则执行S6；

S5：根据步骤S4还原提取获得的上层协议特征号，调用已注册还原方法的查询接口进行匹配；如果匹配成功则执行S4；如果未成功匹配则执行S6；

S6：将还原得出的结果输出给后续处理模块。

2.根据权利要求1所述的一种TCP/IP流量还原方法，其特征在于，所述的步骤S1具体过程为：

读取目录下所有的流量还原插件，使用MD5加密算法获取文件的MD5值，将插件内容映射成系统可调用的还原方法；

将插件名称、MD5值和还原方法的索引作为关联信息注册至注册表中；

对外提供已注册还原方法的查询接口和对应还原方法的获取接口。

3.根据权利要求1或2所述的一种TCP/IP流量还原方法，其特征在于，定时检测各流量还原插件的状态，具体过程为：

启动定时器，定时计算目录下流量还原插件的MD5值，与注册表中的信息进行匹配；

当检测到新增流量还原插件文件名时，执行步骤S1；

当检测到已注册的插件名称不存在时，删除注册表中的对应的流量还原插件信息，再延时释放对应的还原方法；

当检测到已注册的插件名称的MD5值不匹配时，将获取流量还原插件内容映射成系统可调用的还原方法更新至指定内存中，修改对应还原方法的获取接口的索引方向至指定内存。

4.根据权利要求3所述的一种TCP/IP流量还原方法，其特征在于，指定内存包括第一内存和第二内存；第一内存和第二内存轮训更新使用。

5.根据权利要求1或2所述的一种TCP/IP流量还原方法，其特征在于，流量还原插件按照规则将协议字段解析成相对应的结构表达式，利用JSON的数据格式将各字段进行组装。

6.根据权利要求5所述的一种TCP/IP流量还原方法，其特征在于，所述的流量还原插件的表达式依次包括协议名称、协议特征号、协议所占最小长度、协议字段的结构信息集合和上层协议特征号。

7.根据权利要求6所述的一种TCP/IP流量还原方法，其特征在于，协议字段的结构包括静态结构和动态结构。

8.根据权利要求7所述的一种TCP/IP流量还原方法，其特征在于，所述的静态结构的表达式依次包括：字段占用协议的字节长度、字段在协议中的命名、字段需要还原的数据类型和字段是否需要还原标记。

9.根据权利要求7所述的一种TCP/IP流量还原方法，其特征在于，所述的动态结构的表达式依次包括：逻辑算子、条件语句、条件为真时的操作方法、条件为假时的操作方法和引用数据。