技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)數(shù)據(jù)處理領(lǐng)域，尤其是涉及一種快速發(fā)現(xiàn)網(wǎng)絡(luò)探針的方法和系統(tǒng)。

背景技術(shù)

網(wǎng)絡(luò)探針是一種獲取網(wǎng)絡(luò)流量的硬件設(shè)備，使用時(shí)將它串接在需要捕捉流量的鏈路中，通過分流鏈路上的數(shù)字信號(hào)來獲取流量信息。探針設(shè)備通過分光或者鏡像端口部署，不會(huì)對(duì)網(wǎng)絡(luò)性能帶來影響，因此支持對(duì)高速鏈路的流量進(jìn)行采集。

探針設(shè)備具有以下幾個(gè)特點(diǎn)：

1、在部署方面，探針本身集成SFP收發(fā)器，其外觀和功能完全兼容普通的光纖通訊模塊，可以直接插在交換機(jī)上，采集、過濾該模塊的流量。

2、在操控方面，探針可以從系統(tǒng)外部遠(yuǎn)程操控，無需獲取網(wǎng)絡(luò)環(huán)境權(quán)限，介入系統(tǒng)內(nèi)部。這些特性使其可以被隱蔽使用。

3、在數(shù)據(jù)搜集方面，探針設(shè)備可以隱蔽地將捕獲到的數(shù)據(jù)從內(nèi)網(wǎng)發(fā)到外網(wǎng)而無需引入其他硬件設(shè)備。

盡管探針設(shè)備可以給網(wǎng)絡(luò)服務(wù)提供商和其他各類機(jī)構(gòu)帶來價(jià)值，但是它對(duì)網(wǎng)絡(luò)數(shù)據(jù)安全帶來的隱患也是不可忽視的。它可以較為隱蔽地被使用作為一種間諜設(shè)備，對(duì)一些敏感信息進(jìn)行竊取，從而對(duì)使用互聯(lián)網(wǎng)的各類機(jī)構(gòu)和用戶帶來損失，甚至威脅國(guó)家安全。

由于它在接入網(wǎng)絡(luò)時(shí)的非侵入性(不影響網(wǎng)絡(luò)性能)和設(shè)備本身的兼容性(外觀和功能完全兼容普通的光纖通訊模塊)，僅從外觀等常規(guī)屬性來發(fā)現(xiàn)探針是幾乎不可能的。

發(fā)明內(nèi)容

本發(fā)明的目的在于：針對(duì)現(xiàn)有技術(shù)存在的問題，提供一種快速發(fā)現(xiàn)網(wǎng)絡(luò)探針的方法和系統(tǒng)，能夠通過分析網(wǎng)絡(luò)環(huán)境中產(chǎn)生的數(shù)據(jù)流量來幫助解決探針設(shè)備不易發(fā)現(xiàn)的問題。

本發(fā)明的發(fā)明目的通過以下技術(shù)方案來實(shí)現(xiàn)：

一種快速發(fā)現(xiàn)網(wǎng)絡(luò)探針的方法，其特征在于，該方法包括：

(1)收集網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)包，形成網(wǎng)絡(luò)數(shù)據(jù)流；

(2)分析網(wǎng)絡(luò)數(shù)據(jù)流中的數(shù)據(jù)包，過濾出與探針設(shè)備有關(guān)的數(shù)據(jù)包；

(3)根據(jù)對(duì)探針設(shè)備數(shù)據(jù)包的分析，定位探針設(shè)備的位置。

作為進(jìn)一步的技術(shù)方案，收集網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)包的方法為從網(wǎng)卡上獲取網(wǎng)絡(luò)鏈路中的數(shù)據(jù)包或通過讀文件的方式從已經(jīng)收集到的數(shù)據(jù)包文件中讀取數(shù)據(jù)包或前述兩種同時(shí)進(jìn)行。

作為進(jìn)一步的技術(shù)方案，形成網(wǎng)絡(luò)數(shù)據(jù)流的方法包括：抓包線程首先從抓包緩存隊(duì)列獲取一個(gè)數(shù)據(jù)包緩存，然后將捕獲的數(shù)據(jù)包依次存放到該緩存中，一旦存滿，會(huì)將緩存添加到識(shí)別緩存隊(duì)列；識(shí)別線程從識(shí)別緩存隊(duì)列獲取一個(gè)緩存，對(duì)里面的每一個(gè)數(shù)據(jù)包進(jìn)行識(shí)別，并將將緩存歸還給抓包緩存隊(duì)列。

作為進(jìn)一步的技術(shù)方案，如果要求還原，則識(shí)別線程將識(shí)別處理后的緩存放到還原緩存隊(duì)列。

作為進(jìn)一步的技術(shù)方案，抓包線程還有一根對(duì)應(yīng)的計(jì)時(shí)線程，它定時(shí)將抓包線程正在使用的緩存強(qiáng)行添加到識(shí)別緩存隊(duì)列。

作為進(jìn)一步的技術(shù)方案，分析網(wǎng)絡(luò)數(shù)據(jù)流中的數(shù)據(jù)包的方法包括：通過端口分析和協(xié)議特征分析的方法。

作為進(jìn)一步的技術(shù)方案，與探針設(shè)備有關(guān)的數(shù)據(jù)包包括網(wǎng)絡(luò)探針添加標(biāo)記以后的轉(zhuǎn)發(fā)數(shù)據(jù)包，以及網(wǎng)絡(luò)探針與其配套分析設(shè)備通信時(shí)產(chǎn)生的控制數(shù)據(jù)包。

作為進(jìn)一步的技術(shù)方案，該方法包括：對(duì)探針設(shè)備有關(guān)的數(shù)據(jù)包進(jìn)行還原。

一種快速發(fā)現(xiàn)網(wǎng)絡(luò)探針的系統(tǒng)，該系統(tǒng)包括：

適配器管理模塊，用于遍歷系統(tǒng)擁有的網(wǎng)卡，獲取網(wǎng)卡的靜態(tài)信息，初始化和釋放網(wǎng)卡；

文件管理模塊，用于打開和關(guān)閉數(shù)據(jù)包文件，獲取數(shù)據(jù)包文件的基本信息；

抓包模塊，用于從網(wǎng)卡抓取數(shù)據(jù)包或者從數(shù)據(jù)包文件讀取數(shù)據(jù)包；

識(shí)別模塊，用于對(duì)抓包模塊得到的數(shù)據(jù)包進(jìn)行識(shí)別，確定數(shù)據(jù)包是不是與探針設(shè)備相關(guān)的；

數(shù)據(jù)包緩存管理模塊，用于上述提到各個(gè)模塊中所使用的緩存隊(duì)列的分配、初始化和銷毀。

作為進(jìn)一步的技術(shù)方案，該系統(tǒng)包括還原模塊，用于將識(shí)別為與探針設(shè)備有關(guān)的數(shù)據(jù)包進(jìn)行還原，得到原始數(shù)據(jù)包。

與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點(diǎn)：

1、發(fā)現(xiàn)精準(zhǔn)。

采用了流量特征識(shí)別和端口識(shí)別的方法結(jié)合，能夠準(zhǔn)確地識(shí)別與探針設(shè)備相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)流量。內(nèi)置數(shù)據(jù)包分析引擎技術(shù)，可以從網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同層次，從單個(gè)數(shù)據(jù)包、整條數(shù)據(jù)流等不同角度對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分析。

2、快速高效。

系統(tǒng)同時(shí)接收來自4張網(wǎng)卡的網(wǎng)絡(luò)數(shù)據(jù)，還可以同時(shí)對(duì)數(shù)據(jù)包文件進(jìn)行分析，性能較高，能夠在短時(shí)間之內(nèi)對(duì)大量網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行分析，不容易發(fā)生漏報(bào)的情況。系統(tǒng)所指定的網(wǎng)卡數(shù)量和線程數(shù)量是針對(duì)當(dāng)前主流網(wǎng)絡(luò)工作站進(jìn)行過反復(fù)實(shí)驗(yàn)和論證的數(shù)據(jù)，能夠最大化地發(fā)揮硬件設(shè)備和軟件架構(gòu)的性能，達(dá)到一個(gè)比較好的效果。

3、數(shù)據(jù)還原。