技術領域

本發(fā)明涉及計算機軟件工程領域，尤其涉及一種網絡封包采集與解析系統(tǒng)及其實現方法。

背景技術

TCP/IP網絡封包一般由以太網首部、IP首部、TCP/UDP首部、應用數據和以太網尾部五個部分構成，其中太網首部、IP首部、TCP/UDP首部和以太網尾部四個部分具有明確而固定的格式定義，通常的網絡數據采集與解析工具，如EtherPeek、Sniffr等網絡封包協(xié)議分析軟件，通過對這四個部分的分析，可獲得封包的協(xié)議類型、源/目的IP地址等信息，可為網絡流量分析與統(tǒng)計、網絡性能分析、網絡安全與管理等提供支持。應用數據部分內容由用戶定義和組織，是反映應用系統(tǒng)性能的主要數據源，是網絡封包解析的主要內容。一個應用系統(tǒng)往往包含許多網絡封包，這些封包的應用數據部分的格式定義不盡相同，不同應用系統(tǒng)網絡封包中的應用數據部分的格式更是大不相同。通常為應用系統(tǒng)服務的網絡封包解析工具僅僅是為了滿足應用系統(tǒng)需求，將結果數據格式固化在解析工具中，難以適應數據格式變化的需求，無法實現通用意義上的網絡封包解析，也缺乏集網絡封包數據采集、解析于一體的通用性平臺。

發(fā)明內容

針對上述問題，本發(fā)明的目的在于提供一種良好通用性集分布式的網絡封包采集與集中式網絡封包解析于一體的系統(tǒng)及其實現方法，解決了缺乏通用性網絡封包采集與解析平臺的問題。

為達到上述目的，本發(fā)明所述一種網絡封包采集與解析系統(tǒng)，包括一個采集控制中心裝置及至少一個數據采集探頭裝置，其中，

采集控制中心裝置，通過網絡連接數據采集探頭裝置，向該數據采集探頭裝置發(fā)送網絡封包數據采集過濾方案信息、預設采集內容、及采集控制指令；

數據采集探頭裝置，接收采集控制中心裝置發(fā)送來的控制信息，采集網絡封包數據并向采集控制中心裝置發(fā)送其工作狀態(tài)信息。

優(yōu)選地，所述數據采集探頭裝置由探頭網絡通信模塊、數據采集模塊及數據存儲模塊構成，其中，

探頭網絡通信模塊，實現數據采集探頭裝置與采集控制中心裝置之間的信息交換；

數據采集模塊，根據過濾方案信息采集合格的網絡封包數據，并將采集到的網絡封包數據進行內存隊列緩存；

數據存儲模塊，將內存隊列緩存的網絡封包數據存儲在節(jié)點磁盤文件中。

所述采集控制中心裝置由中心網絡通信模塊、采集控制模塊、數據下載模塊、數據解析模塊及結果形式編輯模塊構成，其中，

中心網絡通信模塊，實現采集控制中心裝置與數據采集探頭裝置之間的信息交換；

采集控制模塊，監(jiān)控數據采集探頭裝置的采集過程；

數據下載模塊，將上述的節(jié)點磁盤文件下載到采集控制中心裝置上的節(jié)點磁盤上；

結果形式編輯模塊，預設網絡封包數據解析所呈現的格式，并將結果格式保存；

數據解析模塊，按照預設解析形式解析網絡封包數據。

為達到上述目的，本發(fā)明所述一種網絡封包采集與解析實現方法，包括以下步驟：

1)在計算機網絡的采集節(jié)點上部署數據采集探頭裝置，啟動探頭后臺服務進程；

2)在計算機網絡的控制節(jié)點上部署采集控制中心裝置；

3)啟動采集控制中心裝置，實現與各數據采集探頭裝置的連接；

4)配置各數據采集探頭裝置的數據采集過濾方案信息，并傳送給數據采集探頭裝置；

5)在采集控制中心裝置上啟動數據采集探頭裝置，開始采集、存儲網絡封包數據；

6)在采集控制中心裝置上停止數據采集探頭裝置，結束網絡封包數據的采集；

7)在采集控制中心裝置將各數據采集探頭裝置所采集、保存的數據文件下載到采集控制中心裝置；

8)在采集控制中心裝置上打開要解析的網絡封包數據文件，將其解析為用戶指定的結果格式。

本發(fā)明的有益效果為：

1、各數據采集探頭裝置的采集行為與過程由采集控制中心裝置集中控制，同時，數據采集探頭裝置實現靠探頭后臺服務進程和數據采集進程，探頭后臺服務進程根據采集控制中心裝置的命令直接控制數據采集進程，這種方式避免了逐個操作數據采集探頭裝置(如啟動、停止)的繁瑣操作，使運行控制更為簡潔；

2、數據采集線程和數據存儲線程將網絡封包數據的采集與存儲過程分離開來，解決了高速數據采集與低速磁盤I/O之間的矛盾，保證了數據采集的高速性，降低了因采集、存儲速度不匹配而造成的數據丟失率；

3、用戶可隨時根據應用系統(tǒng)需求，變更解析結果的格式定義，使網絡封包采集與解析平臺滿足不同應用系統(tǒng)解析要求，具有很好的通用性；