技術領域

本發明是一種針對不同網絡環境下的數據包捕獲及應用處理的解決方案，主要用于解決網絡數據包的捕獲，不同外部數據包格式與分析處理需求的適配問題，屬于計算機網絡技術領域。

背景技術

互聯網在為人們工作帶來便利的同時，產生了日趨嚴重的安全問題。如何保護網絡的信息安全，防范來自外部網絡的黑客和非法入侵者的攻擊，建立起強健的網絡信息安全防范系統，是亟需解決的一個重要難題。防火墻、入侵檢測系統是解決這類網絡安全問題最重要手段，數據包捕獲技術是這些網絡安全產品的基礎。因此，研究如何實現數據包捕獲具有重要的意義。

不論是網絡防火墻還是入侵檢測系統，都依賴于底層的網絡數據包捕獲?，F代的操作系統都提供底層的網絡數據包捕獲的機制，在捕獲機制之上可以建立網絡監控應用軟件。不同的操作系統和不同的環境都有不同的實現方式，在Linux操作系統中，我們可以使用系統的底層調用來實現，也可以使用相應的高層調用來實現。

在網絡數據包捕獲實現方式中，需要考慮到，(1)如何盡可能完整的捕獲網絡上的數據包，因為以太網上每時每刻都可能有信息傳遞，而且根據以太網的規模不同網絡上的信息量也變化不大，所以，捕獲的數據包不僅要保證包的完整，而且還要考慮到如何才能減少漏取數據包；(2)對捕獲的數據包的過濾分析。

捕獲網絡數據包是進行處理的直接數據來源，在作分析研究時，分析他人提供的離線數據也是很有意義的。因此數據包捕獲從廣義上來說，不僅包括網絡數據包的捕獲，還包括各種格式的離線數據的回放。獲取的數據包需要進行各種需求的分析處理，如在線數據的存儲，數據包的協議分析，按照各種需求對數據包進行分類與過濾。

發明內容

技術問題：本發明的目的是提供一種開放式多源數據包捕獲器設計方法，用于不同網絡環境下的數據包捕獲，各種常用離線數據的讀取與格式轉化，獲取數據的進一步處理。數據獲取與數據處理分開，各部分有相應優化措施，形成簡潔、高效、可擴展性好、開放式、層次化的體系結構。如何高效的在各種網絡環境下讀取不同格式的數據，根據不同需求處理數據是本發明解決的主要問題。

技術方案：本發明的提供一種針對不同網絡環境，不同數據文件格式下的數據網絡數據獲取，針對不同應用需求，進行不同數據處理并加以優化的體系結構方案。

一、體系結構

開放式的多源數據包捕獲器體系結構可以分為三部分：數據包捕獲層、中間數據傳輸層、數據處理應用層。

下面給出幾個具體部分的說明：

數據包捕獲層：數據包捕獲部分又包括包括數據格式解析器，數據包回放器，數據包提取器三個部分。

數據格式解析器：數據格式解析器是針對不同數據格式的文件數據源而設計的。目前網絡數據包捕獲工具名目繁多，各種工具都有自己的數據存儲格式，如Snort與Tcpdump用的tcpdump格式，Sniffer用的.cap格式等等。通過格式解析器，將不同格式的數據文件解析成統一的格式，簡化后續各種數據處理操作，使得數據處理只基于一種內部格式，不需要考慮各種不同格式的數據轉換。

數據包回放器：實時的網絡數據是數據包捕獲器的主要數據來源，各種離線的數據文件保存的也是某一時刻的網絡的信息狀態，將各種離線數據經過格式解析后，再送入數據包回放器，即可再現當時網絡狀態。重現網絡環境是很有必要的，特別是針對同一問題的不同研究方法的比較時，需要網絡環境相同，而實際上的網絡環境不可再現的，通過將網絡數據保存為離線數據文件再經過回放，即可模擬再現網絡環境，誤差很少，便于各種研究方法的對比。

數據包提取器：負責從網絡中或數據包回放器中取出數據包。數據包回放器將離線數據通過軟件方式進行回放，實際效果與直接從網絡中獲取數據相似，數據包提取器通過判斷當前數據源類型，自動從網絡環境或數據包回放器中提取數據包。提交到中間數據傳輸層。

中間數據傳輸層：用于數據包捕獲層與數據包處理應用層之間的數據傳輸。中間數據傳輸層從數據包捕獲層的數據包提取器得到數據包數據，打包并按照數據包處理應用層的應用程序注冊順序向各個應用發送數據，中間數據傳輸層主要負責數據的傳輸與分發。

數據包處理應用層：從網絡獲取的數據包可以有不同的處理，如協議分析，數據包存儲等等。每一種類型的處理可以抽象成位于數據包捕獲層之上的應用層，這也就是，不同的處理過程相互獨立，統一從中間數據傳輸層獲取數據，并根據自己處理需求做進一步處理。通過向中間數據傳輸層注冊數據處理請求，注冊成功后，每當中間數據傳輸層有數據傳輸任務時，都會向該數據包處理應用發送數據包到達消息，由該數據處理應用對數據包做進一步處理。

二、方法流程