技術(shù)領(lǐng)域

本發(fā)明涉及一種網(wǎng)絡(luò)技術(shù)，特別是涉及一種基于連接的實(shí)時網(wǎng)絡(luò)數(shù)據(jù)捕獲方法。?

背景技術(shù)

獲取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并進(jìn)行處理與分析，已成為一種網(wǎng)絡(luò)分析的基本技術(shù)，目前數(shù)據(jù)包捕獲技術(shù)基本都是依賴于國外的開源軟件而且基本都基于數(shù)據(jù)包。在Linux系統(tǒng)下一般用Libpcap函數(shù)包(一種Linux下的網(wǎng)絡(luò)訪問系統(tǒng)，基于定時獲得數(shù)據(jù)包)，在Windows系統(tǒng)下一般用Winpcap系統(tǒng)(一種Windows網(wǎng)絡(luò)訪問系統(tǒng)，基于定時獲得數(shù)據(jù)包)，或者用基于共享內(nèi)存的數(shù)據(jù)包捕獲方法。在TCP/IP協(xié)議中，一個完整的數(shù)據(jù)包具有以太頭、IP頭、TCP/UDP/ICMP頭以及應(yīng)用層數(shù)據(jù)。在同一個數(shù)據(jù)連接中的數(shù)據(jù)包中，以太頭是完全一樣的，IP頭除了剩余時間、序號、校驗(yàn)和、數(shù)據(jù)包長度之外，其他字段都是一樣，TCP/UDP/ICMP頭除了校驗(yàn)和、數(shù)據(jù)包長度、序號之外，其他字段都是一樣，只有應(yīng)用層數(shù)據(jù)是不一樣的，如果在連接創(chuàng)建的時候把一個連接共同特征保存起來，那么以后的數(shù)據(jù)包過來時，只需要提交一個連接中不相同的數(shù)據(jù)包和應(yīng)用層數(shù)據(jù)到應(yīng)用層分析，可以有效減少需要提交到應(yīng)用層分析的數(shù)據(jù)。?

有關(guān)數(shù)據(jù)包捕獲的相關(guān)技術(shù)在中國專利200810097512.9、200610113329.4、200810019282.4、01139038.7、200710076153.4、200810192946.7、200610065273.X中已披露，但是在這些專利并未解決下列問題：一、通過通訊事件實(shí)時獲得TCP/IP協(xié)議的應(yīng)用層數(shù)據(jù)；二、合并數(shù)據(jù)包之間重復(fù)的內(nèi)容，減少提交到應(yīng)用層分析的內(nèi)容，從而降低系統(tǒng)內(nèi)存的占用和I/O次數(shù)；三、應(yīng)?用層程序獲得是基于連接的數(shù)據(jù)。?

目前的網(wǎng)絡(luò)數(shù)據(jù)捕獲方法如中國專利200610113329.4，只能基于數(shù)據(jù)包捕獲，不能基于連接處理數(shù)據(jù)，只能按照傳統(tǒng)的方法輪詢處理數(shù)據(jù)，不能實(shí)時通知應(yīng)用層處理，所有的數(shù)據(jù)包需要完整提交，浪費(fèi)內(nèi)存。而且，市面上已經(jīng)公開的現(xiàn)有技術(shù)只是通過某個技術(shù)手段把所有數(shù)據(jù)包放到共享內(nèi)存或者放到隊(duì)列中等待應(yīng)用層通過輪詢方法或者定時讀寫方法獲得數(shù)據(jù)。?

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是提供一種基于連接的實(shí)時網(wǎng)絡(luò)數(shù)據(jù)捕獲方法，其實(shí)現(xiàn)構(gòu)建基于連接的緩沖區(qū)，將連接的數(shù)據(jù)匯總提交，避免提交在一個連接里面重復(fù)的數(shù)據(jù)，并利用通訊事件實(shí)現(xiàn)實(shí)時數(shù)據(jù)提交。?

本發(fā)明是通過下述技術(shù)方案來解決上述技術(shù)問題的：一種基于連接的實(shí)時網(wǎng)絡(luò)數(shù)據(jù)捕獲方法，其特征在于，其包括以下步驟：?

步驟一：當(dāng)應(yīng)用層程序啟動時，初始化應(yīng)用層程序，并登記網(wǎng)絡(luò)數(shù)據(jù)處理函數(shù)，將一個通訊事件名傳遞給虛擬網(wǎng)卡驅(qū)動模塊；?

步驟二：初始化虛擬網(wǎng)卡驅(qū)動模塊，綁定虛擬網(wǎng)卡驅(qū)動模塊到網(wǎng)卡驅(qū)動程序上，設(shè)置網(wǎng)卡為混雜模式，根據(jù)步驟一傳入的通訊事件名對網(wǎng)卡創(chuàng)建一個虛擬網(wǎng)卡驅(qū)動模塊和應(yīng)用層之間通訊的內(nèi)核通訊事件，設(shè)置內(nèi)核通訊事件為非信號態(tài)；?

步驟三：應(yīng)用層程序打開內(nèi)核通訊事件，并監(jiān)控內(nèi)核通訊事件是否為信號態(tài)；?

步驟四：虛擬網(wǎng)卡驅(qū)動模塊接收網(wǎng)卡驅(qū)動模塊提交的數(shù)據(jù)包；?

步驟五：分析數(shù)據(jù)包信息，根據(jù)數(shù)據(jù)包的IP地址、物理地址、端口號判斷此數(shù)據(jù)包是否已經(jīng)存在對應(yīng)的連接在連接哈希表中，如果為是則執(zhí)行步驟六，如果為否則執(zhí)行步驟七；?

步驟六：根據(jù)數(shù)據(jù)包IP地址、物理地址、端口號連接共同數(shù)據(jù)來計(jì)算?連接號，申請一塊內(nèi)存，并初始化連接頭，將連接共同數(shù)據(jù)復(fù)制到連接頭，將連接號與連接頭加入到連接哈希表；?

步驟七：提取數(shù)據(jù)包中與連接頭不重復(fù)的數(shù)據(jù)，并生成包描述；?

步驟八：將包描述合并到連接緩沖數(shù)據(jù)中；?

步驟九：判斷連接中的連接緩沖數(shù)據(jù)是否需要實(shí)時提交，如果為是則執(zhí)行步驟十，如果為否則執(zhí)行步驟四，繼續(xù)接收數(shù)據(jù)包；?

步驟十：虛擬網(wǎng)卡驅(qū)動模塊設(shè)置內(nèi)核通訊事件為信號態(tài)，應(yīng)用層程序監(jiān)控到信號態(tài)后實(shí)時提取連接緩沖數(shù)據(jù)并進(jìn)行分析，然后進(jìn)入步驟四，繼續(xù)接收數(shù)據(jù)包。?

優(yōu)選地，所述步驟一還具體包括下列步驟：通過操作系統(tǒng)注冊表判斷虛擬網(wǎng)卡驅(qū)動模塊是否存在，如果不存在，操作系統(tǒng)將安裝虛擬網(wǎng)卡驅(qū)動模塊。?