1.全流量存儲回溯分析系統中父子連接的處理方法，其特征在于，包括如下步驟：

1）確定每個worker線程的端口范圍，建立每個worker線程與端口的映射關系；

2）基于步驟1）設置的映射關系，配置流量的兩個方向，一個方向選擇來源端口配置，另一個方向選擇目的端口配置；

3）構建每個worker線程局部的數據連接哈希映射表；

4）控制連接按照如下流程處理：

401）當worker線程A識別出控制連接存在被動連接、需要建立數據連接時，worker線程A獲取服務器發來的目的端口，根據步驟1）建立的映射關系，計算出與該端口對應的worker線程的id，假設為worker線程B，然后worker線程A將數據連接的信息發送給worker線程B，worker線程B在自己的哈希映射表上添加該數據連接的哈希表項；

402）當worker線程A識別出控制連接結束，即控制連接會話刪除階段時，無鎖查詢數據連接所對應的worker線程B的哈希映射表，查看表中數據連接所對應的哈希表項是否被清除，以判斷這個數據連接是否被真正識別：

4021）如果數據連接所對應的哈希表項被清除，表示已經識別出數據連接的應用類型，給該數據連接打標簽flag=1，發送給存儲線程正常處理；

4022）如果數據連接所對應的哈希表項未被清除，打上標簽flag=0，有以下兩種情況：

該數據連接報文未被處理，此時等待數據連接被處理即可；

該數據連接報文已處理完畢，此時發送給存儲線程后，存儲線程查詢索引表，對所有數據連接報文的應用類型重新標記為數據連接，并重新索引處理；

5）數據連接按照如下流程處理：

501）當worker線程B收到數據連接新建或刪除消息時，在worker線程B中無鎖處理該數據連接所對應的哈希表項，添加或刪除對應哈希表項；

502）當worker線程B需要識別數據連接時，按照如下流程處理：

502-1）如果會話的類型為tcp報文且來源端口和目的端口的范圍均為1024-65535之間，則報文可能為被動連接，否則不可能為被動連接；

502-2）當可能為被動連接時，提取數據連接的key（sip，dip，dport），無鎖查找worker線程B的哈希映射表，如果找到此項則獲取value值，即獲取到相應的應用類型；

502-3）識別出應用類型后則基于應用類型進行處理；

502-4）處理結束后，刪除哈希映射表中數據連接對應的該哈希表項；

503）當數據連接結束時，如果識別出數據連接的應用類型，則給報文打上flag=1的標簽正常處理；

504）當未識別出數據連接的應用類型，而數據連接的報文卻需要送往存儲線程處理時，將報文打上flag=2的標簽；

6）存儲線程按照如下流程處理：

601）根據控制連接和數據連接的sip、dip，計算出存儲線程的id；

602）當為步驟4022）中的情況，即為控制連接且flag=0時，按照數據連接的信息查找索引表，如果能夠找到，則設置該連接為數據連接，按照其應用類型進行處理，并重置該數據連接的索引，如果沒有找到，結束對該控制連接的額外處理，對控制連接的報文進行正常存儲；

603）當為步驟504）中的情況，即為數據連接且flag=2時，根據數據連接端口的信息確定與該端口對應的worker線程的id，然后查找該worker線程的哈希映射表，如果能夠找到，則設置該連接為數據連接，按照其應用類型進行處理，并在該worker線程的哈希映射表中刪除該數據連接對應的哈希表項，重置該數據連接的索引并存儲報文，如果沒有找到，結束對該數據連接的額外處理，對數據連接的報文進行正常存儲；

604）當為步驟4021）和步驟503）中的情況，即為控制連接或數據連接且flag=1時，設置該連接的索引并存儲報文。