技術領域

本發明涉及報文分析技術，尤其涉及一種基于會話的報文分析方法及裝置。

背景技術

在現網中，基于網絡安全的考慮，可以在不影響正常業務的報文轉發行為的基礎上，對網絡設備所接收的報文進行分析。網絡設備接收到報文之后，復制一份相同的報文，并利用路由封裝協議，對報文進行路由封裝，以生成分析報文，然后發送給下一跳網絡設備，由下一跳網絡設備將所述分析報文，發送給分析設備。

然而，由于分析設備的處理能力有限，在一些情況下，例如，交換設備的端口帶寬的不斷增長，等，使得單一分析設備的處理能力可能會無法滿足網絡設備的分析報文的分析需求。這樣，從而導致了報文分析的可靠性的降低。

發明內容

本發明的多個方面提供一種基于會話的報文分析方法及裝置，用以提高報文分析的可靠性。

本發明的一方面，提供一種基于會話的報文分析方法，包括：

接收待分析的目標報文；

根據所述目標報文所屬的會話，獲得與所述目標報文對應的封裝參數；

利用所述封裝參數，對所述目標報文進行路由封裝，以生成分析報文，以供所述封裝參數所對應的分析設備接收所述分析報文。

如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述封裝參數包括外層目的地址。

如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述根據所述目標報文所屬的會話，獲得與所述目標報文對應的封裝參數，包括：

根據所述目標報文的會話特征信息，獲得與所述目標報文對應的封裝參數，所述會話特征信息包括協議號，以及，源地址與目的地址、和源端口號與目的端口號中的至少一組。

如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述根據所述目標報文的會話特征信息，獲得與所述目標報文對應的封裝參數，包括：

將所述源地址和所述目的地址，進行異或運算，以獲得第一參數值；

將所述源地址和所述目的地址，進行同或運算，以獲得第二參數值；

將所述源端口號和所述目的端口號，進行異或運算，以獲得第三參數值；

將所述源端口號和所述目的端口號，進行同或運算，以獲得第四參數值；

對所述第一參數值、所述第二參數值、所述第三參數值、所述第四參數值和所述協議號，進行哈希計算，以獲得哈希值；

根據哈希值，獲得與所述哈希值對應的所述封裝參數。

如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述利用所述封裝參數，對所述目標報文進行路由封裝，以生成分析報文之后，還包括：

向下一跳網絡設備發送所述分析報文，以使得所述下一跳網絡設備根據所述封裝參數，查詢下一跳網絡設備的轉發表，以獲得所述分析報文的轉發表項，以及根據所述轉發表項，向所述封裝參數所對應的分析設備發送所述分析報文；或者

根據所述封裝參數，查詢本地的轉發表，以獲得所述分析報文的轉發表項，以及根據所述轉發表項，向所述封裝參數所對應的分析設備發送所述分析報文。

本發明的另一方面，提供一種基于會話的報文分析裝置，包括：

接收單元，用于接收待分析的目標報文；

獲得單元，用于根據所述目標報文所屬的會話，獲得與所述目標報文對應的封裝參數；

封裝單元，用于利用所述封裝參數，對所述目標報文進行路由封裝，以生成分析報文，以供所述封裝參數所對應的分析設備接收所述分析報文。

如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述封裝參數包括外層目的地址。

如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述獲得單元，具體用于

根據所述目標報文的會話特征信息，獲得與所述目標報文對應的封裝參數，所述會話特征信息包括協議號，以及，源地址與目的地址、和源端口號與目的端口號中的至少一組。

如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述獲得單元，具體用于

將所述源地址和所述目的地址，進行異或運算，以獲得第一參數值；

將所述源地址和所述目的地址，進行同或運算，以獲得第二參數值；

將所述源端口號和所述目的端口號，進行異或運算，以獲得第三參數值；

將所述源端口號和所述目的端口號，進行同或運算，以獲得第四參數值；

對所述第一參數值、所述第二參數值、所述第三參數值、所述第四參數值和所述協議號，進行哈希計算，以獲得哈希值；