本發(fā)明提供一種用于工控安全數(shù)據(jù)庫審計系統(tǒng)的大數(shù)據(jù)分發(fā)方法，包括設(shè)置需要抓取數(shù)據(jù)的網(wǎng)卡，并獲取通過鏡像方式送入網(wǎng)卡的數(shù)據(jù)包；解析數(shù)據(jù)包IP層數(shù)據(jù)，獲取目的端和源端IP，并丟棄非IP協(xié)議數(shù)據(jù)包；解析數(shù)據(jù)包TCP層和UDP層，獲取目的端和源端端口號，并丟棄非TCP和UDP協(xié)議數(shù)據(jù)包；網(wǎng)絡(luò)數(shù)據(jù)包中的目的端IP、源端IP、目的端端口號和源端端口號四個數(shù)據(jù)信息提供了判斷數(shù)據(jù)包屬于同一個會話的依據(jù)，利用數(shù)據(jù)分發(fā)算法，計算數(shù)據(jù)包將被分配到哪一個進程或者線程中去處理，保證將客戶端的請求數(shù)據(jù)和服務(wù)器端的應(yīng)答數(shù)據(jù)分配到同一個數(shù)據(jù)處理進程中進行處理，避免出現(xiàn)請求和應(yīng)答數(shù)據(jù)在不同的CPU進程中處理造成的數(shù)據(jù)混亂。

技術(shù)領(lǐng)域

本發(fā)明涉及信息處理技術(shù)領(lǐng)域，特別是涉及一種用于工控安全數(shù)據(jù)庫審計系統(tǒng)的大數(shù)據(jù)分發(fā)方法。

背景技術(shù)

在數(shù)據(jù)鏡像的網(wǎng)絡(luò)環(huán)境下，我們經(jīng)常要保證屬于同一次會話的網(wǎng)絡(luò)請求數(shù)據(jù)幀和應(yīng)答數(shù)據(jù)幀能被分發(fā)到相同的進程或者線程中去處理，以保證數(shù)據(jù)請求和應(yīng)答的統(tǒng)一性和完整性，在這種要求下，現(xiàn)有的數(shù)據(jù)分發(fā)算法無法滿足這種要求。我們提出了該分發(fā)算法，利用TCP/IP網(wǎng)絡(luò)數(shù)據(jù)幀的四元組(目的IP，目的端口號，源IP，源端口號)經(jīng)過一系列運算，來保證請求數(shù)據(jù)和應(yīng)答數(shù)據(jù)可以被分發(fā)到同一個進程和線程中去處理。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是：為了克服現(xiàn)有技術(shù)中的不足，本發(fā)明提供一種用于工控安全數(shù)據(jù)庫審計系統(tǒng)的大數(shù)據(jù)分發(fā)方法。

本發(fā)明解決其技術(shù)問題所要采用的技術(shù)方案是：一種用于工控安全數(shù)據(jù)庫審計系統(tǒng)的大數(shù)據(jù)分發(fā)方法，包括至少一臺WEB服務(wù)器、至少一臺數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)審計服務(wù)器和內(nèi)部網(wǎng)絡(luò)交換機，所述WEB服務(wù)器通過內(nèi)部網(wǎng)絡(luò)交換機與數(shù)據(jù)庫服務(wù)器連接，主要實現(xiàn)外部對數(shù)據(jù)的查詢等請求，所述數(shù)據(jù)分發(fā)算法服務(wù)器與內(nèi)部網(wǎng)絡(luò)交換機連接，用于數(shù)據(jù)鏡像，將Web服務(wù)器和DB服務(wù)器之間交互的數(shù)據(jù)拷貝一份發(fā)往數(shù)據(jù)分發(fā)算法服務(wù)器；所述WEB服務(wù)器與數(shù)據(jù)庫服務(wù)器之間網(wǎng)絡(luò)層協(xié)議為IP協(xié)議，傳輸層協(xié)議為TCP或UDP協(xié)議；

還包括以下步驟：

S1：設(shè)置要抓取數(shù)據(jù)的網(wǎng)卡；

當用戶在數(shù)據(jù)分發(fā)算法服務(wù)器上運行數(shù)據(jù)分發(fā)算法前，需要配置要抓取數(shù)據(jù)網(wǎng)卡的參數(shù)，因此，需要用戶在數(shù)據(jù)分發(fā)算法服務(wù)器上輸入要抓取數(shù)據(jù)的網(wǎng)卡的名稱，在用戶輸入完成后，數(shù)據(jù)分發(fā)算法服務(wù)器上的數(shù)據(jù)分發(fā)程序?qū)⒃谠摼W(wǎng)卡上創(chuàng)建原始套接字(intsocketfd＝socket(PF_PACKET,SOCK_RAW,htons(ETH_P_ALL))),然后將該網(wǎng)卡上接收到的所有數(shù)據(jù)都接收到該套接字文件中(recvfrom(socketfd,buf,sizeof(buf),0,NULL,NULL)，該方法將接收套接字上所有通過鏡像方式送入該網(wǎng)卡的數(shù)據(jù)。本發(fā)明中數(shù)據(jù)的接入方式是鏡像方式接入的，鏡像方式接入的數(shù)據(jù)即保證了將客戶端的請求數(shù)據(jù)和服務(wù)器端的應(yīng)答數(shù)據(jù)均送入到了該分發(fā)系統(tǒng)中。

S2：解析IP層數(shù)據(jù)，獲取目的端IP和源端IP，并丟棄非IP協(xié)議數(shù)據(jù)包；

數(shù)據(jù)分發(fā)算法服務(wù)器中的數(shù)據(jù)分發(fā)算法解析數(shù)據(jù)包的IP層數(shù)據(jù)，判斷網(wǎng)絡(luò)層協(xié)議是否是IP協(xié)議，如果不是，則不處理該數(shù)據(jù)包并丟棄，因為數(shù)據(jù)庫與WEB服務(wù)器間所使用的協(xié)議為IP協(xié)議，這里只處理數(shù)據(jù)庫服務(wù)器與WEB服務(wù)器之間傳輸?shù)臄?shù)據(jù)，故非IP協(xié)議數(shù)據(jù)包不處理。判斷為IP協(xié)議后，獲取數(shù)據(jù)包中指向IP協(xié)議頭部的指針(struct iphdr*pIpHeader＝(struct iphdr*)buf)，該結(jié)構(gòu)體中包含了IP協(xié)議的相關(guān)字段，也即目的端IP(dstip)和源端IP(srcip)。

S3：解析TCP層和UDP層，獲取目的端的端口號和源端口號，并丟棄非TCP和UDP協(xié)議數(shù)據(jù)包；

根據(jù)IP協(xié)議的protocol字段的值來判斷傳輸層協(xié)議是否是TCP或者UDP協(xié)議，因數(shù)據(jù)庫服務(wù)器與WEB服務(wù)器間的數(shù)據(jù)傳輸是基于這兩種協(xié)議的，對于這兩種協(xié)議之外的數(shù)據(jù)包，將被丟棄，不予處理。