[发明专利]一种TCP/IP流量还原方法

说明书

本发明公开了一种TCP/IP流量还原方法。为了克服现有技术无法适应互联网中各种网络协议不断变化的问题；本发明采用插件化的架构设计，各种协议的还原规则以独立的插件文件形式存在，支持流量还原插件动态加载和卸载，以及采用无锁化更新方法对新增协议可进行快速适配，并用于流量还原，具备很强的扩展能力。满足网络流量还原系统对各种网络协议频繁变化及新增的快速适配能力，以提高网络流量还原系统对网络数据能够准确、完整的还原。

技术领域

本发明涉及一种网络协议分析还原领域，尤其涉及一种TCP/IP流量还原方法。

背景技术

随着数据时代的到来，数据已成为数字经济发展的核心生产要素，是国家重要资产和基础战略资源。海量网络数据在促进技术创新与应用、成为数字经济发展的关键生产要素的同时，也催生了数据过度采集滥用、非法交易及用户数据泄露等数据安全问题。而网络流量还原为数据安全分析提供了重要的数据源，是数据安全分析的重要基础。

网络流量还原是一个将捕获到的流量包根据协议标准逐层分析，最终得到网络中各主机收发的数据类型和内容。TCP/IP协议簇具有完全开放化、独立与网络硬件系统、能实现网络地址统一分配和高层协议标准化的特点，适应了世界范围内数据通信的需要，可以提供多种多样可靠的网络服务。因此，对于TCP/IP流量的还原是网络流量还原的重要组成部分。然而目前的流量还原系统对于TCP/IP流量采用硬编码方式，无法适应互联网中的各种网络协议的不断变化，例如为解决网络地址资源日益紧张的问题提出的IPV6协议，以及流量还原协议的变更需要关闭系统来完成更新，在数据安全监控业务中，业务中断将导致敏感数据漏控、误控的现象出现。

发明内容

本发明主要解决现有技术对于TCP/IP流量采用硬编码方式，无法适应互联网中各种网络协议不断变化的问题；提供一种TCP/IP流量还原方法，采用插件化的架构设计，满足网络流量还原系统对各种网络协议频繁变化及新增的快速适配能力，以提高网络流量还原系统对网络数据能够准确、完整的还原。

本发明的上述技术问题主要是通过下述技术方案得以解决的：

一种TCP/IP流量还原方法，包括以下过程：

S1：加载目录下所有的流量还原插件，映射成系统可调用的还原方法，将还原方法注册至注册表中；

S2：获取网络流量原始数据包，还原数据包的内容，获取上层协议号；

S3：调用已注册还原方法的查询接口与获取得到的上层协议号进行匹配；若匹配成功则执行步骤S4；如果未成功匹配，则网络流量原始数据包进行自定义处理；

S4：调用还原方法的获取接口获取还原方法，判断当前数据包的长度是否大于等于还原方法中设置的协议所占最小长度，如果满足条件，则进行还原提取处理获得上层协议特征号；如果不满足条件，则执行S6；

S5：根据步骤S4还原提取获得的上层协议特征号，调用已注册还原方法的查询接口进行匹配；如果匹配成功则执行S4；如果未成功匹配则执行S6；

S6：将还原得出的结果输出给后续处理模块。

本方案采用插件化的架构设计，各种协议的还原规则以独立的插件文件形式存在，支持流量还原插件动态加载和卸载，以及采用无锁化更新方法对新增协议可进行快速适配，并用于流量还原，具备很强的扩展能力。

作为优选，所述的步骤S1具体过程为：

读取目录下所有的流量还原插件，使用MD5加密算法获取文件的MD5值，将插件内容映射成系统可调用的还原方法；

将插件名称、MD5值和还原方法的索引作为关联信息注册至注册表中；

对外提供已注册还原方法的查询接口和对应还原方法的获取接口。