[发明专利]一种通用网络数据包实时处理系统及方法

权利要求书

1.一种通用网络数据包实时处理系统，它包括数据包采集模块和网络分析模块，其特征在于在数据包采集模块与网络分析模块之间，嵌入有数据包格式转化模块和采集引擎，其中数据包格式转化模块，由若干分别与采集设备对应的适配器设备模块构成，各适配器设备模块将来自对应的采集设备所采集的数据包的数据包头，转化为统一格式的数据包头；采集引擎，由处理线程、分配线程和过滤器构成，其中，处理线程控制采集设备所采到的数据包的数据包头流向对应的适配器设备模块，分配线程控制由处理线程提取数据包头后剩下的数据信息和经适配器设备模块转化的统一格式的数据包头流向过滤器，过滤器根据所需的过滤条件，过滤由分配线程输送的数据，并将过滤所得的符合条件的数据包实时传输给网络分析模块；数据包的处理进程为：采集引擎根据不同的采集设备，使用对应的数据包采集模块从网络中采集数据包。采集引擎得到数据包后，使用数据包格式转化模块转化其格式，将不同的数据包格式转化为统一的格式，最后，采集引擎将统一格式的数据包按设定条件过滤，将符合条件的数据包包头和数据通过回调接口输送给网络分析模块。

2.根据权利要求1所述系统，其特征在于数据包采集模块，该数据包采集模块由若干采集设备构成，在采集引擎的可选择启动下，所启动的采集设备各自采集目标网络中的数据包。

3.根据权利要求2所述系统，其特征在于数据包采集模块包含有原始数据报缓存器，各采集设备采集到的数据包可暂存于原始数据包缓存器中。

4.根据权利要求1所述系统，其特征在于数据包格式转化模块包含有数据包头缓存器，各适配器设备模块转化的统一格式的数据包头可以暂存于数据包头缓存器中。

5.根据权利要求1所述系统，其特征在于采集设备包括10M/100M/1000M 以太网卡，无线网卡，各种专用采集卡。

6.根据权利要求1所述系统，其特征在于统一格式的数据包头是指各种数据包头按照其数据包时间戳、数据包长度、数据包采集长度、采集设备介质和采集设备编号处理后所形成的统一格式。

7.根据权利要求1所述系统，其特征在于数据包格式转化模块包括太网卡适配器设备模块，专用网络采集网卡适配器设备模块，无线网卡适配器设备模块。

8.根据权利要求1所述系统，其特征在于过滤器所需的过滤条件是指用户根据自己的网络分析软件所能分析的数据包的特性自定义的过滤条件，包括数据包长度、数据包的时间戳、采集设备编号、采集介质、数据包中的物理地址、数据包中的IP地址、数据包中的网络协议、数据包中的TCP端口、数据包中的UDP端口、数据包指定位置的数值。

9.一种实现权利要求1所述系统的通用网络数据包实时处理方法，其特征在于它包括以下步骤：

(a)启动采集引擎，载入适配器设备模块，并将网络分析模块中的分配模块在与采集需要数据包的采集设备对应的适配器设备模块中进行注册；

(b)已注册适配器设备模块对应的采集设备经采集引擎启动后，各自采集目标网络中的数据包，并将采集到的数据包保存在原始数据包缓存器中，设置事件属性ON；

(c)采集引擎启动处理线程，提取该数据包的数据包头，输送给该数据包的采集设备对应的适配器设备模块，该数据包的原始数据仍然保存在原始数据包缓存器中，等待分配线程的调取；

(d)各个适配器设备模块将对应采集设备的采集数据包的数据包头转化成统一格式的数据包头，将统一格式的数据包头保存在数据包头部缓存器，并设置 事件属性OFF；

(e)停止处理线程，暂定运行，等待调取下一个数据包；

(f)启动分配线程，调取原始数据包缓存器中的该数据包的原始数据和数据包头部缓存器中的对应的数据包头；

(g)将分配线程调取的该数据包的原始数据和数据包头传输给过滤器，过滤后，利用回调接口输送给网络分析模块，并将事件属性设定为ON；

(h)检测是否还有设为OFF属性的事件，如果有，分配线程返回第(g)步骤；如果没有，分配线程暂定停，返回(c)步骤；

(i)网络分析软件接到有新的数据需要分析时，就调取数据，进行分析，并通知采集设备再次采集数据包。

10.根据权利要求9所述方法，其第(g)步骤，具体包括以下步骤：

首先，调取原始数据包缓存器中的剩下的数据和对应保存在数据包头缓存器的数据包头；

接着，输送给过滤器；

最后，筛选数据包，并利用回调接口给网络分析模块输出符合条件的数据。