[发明专利]网络审计数据采集方法及相应装置、设备和存储介质

权利要求书

1.一种网络审计数据采集装置，其特征在于，所述装置包括：

数据抓取单元，用于启动数据转发进程，通过所述数据转发进程创建多个虚拟网络接口、从物理网卡抓取原始数据报文以及将所述原始数据报文发送给各个虚拟网络接口；

数据采集单元，用于启动多个网络审计进程，通过每个网络审计进程从对应的虚拟网络接口获取相应的原始数据报文。

2.如权利要求1所述的装置，其特征在于，所述数据抓取单元包括：

启动模块，用于启动数据转发进程，通过所述数据转发进程运行虚拟接口创建模块和数据转发模块；

所述虚拟接口创建模块，用于创建多个虚拟网络接口；

所述数据转发模块，用于从所述物理网卡抓取所述原始数据报文以及将所述原始数据报文发送给各个虚拟网络接口。

3.如权利要求2所述的装置，其特征在于，所述数据转发模块，具体用于根据所述原始数据报文的源目的IP地址计算散列值；根据所述散列值和所述多个虚拟网络接口的数量，确定网络接口序号；根据所述网络接口序号，将从所述物理网卡的发送队列中读取的原始数据报文发送给相应的虚拟网络接口。

4.如权利要求1所述的装置，其特征在于，所述多个虚拟网络接口的数量为中央处理器逻辑核的数量减2。

5.如权利要求1-4中任意一项所述的装置，其特征在于，所述数据抓取单元，还用于将所述数据转发进程绑定到一个中央处理器逻辑核；

所述数据采集单元，还用于将每个网络审计进程绑定到一个中央处理器逻辑核。

6.一种网络审计数据采集方法，其特征在于，包括：

启动数据转发进程；通过所述数据转发进程创建多个虚拟网络接口、从物理网卡抓取原始数据报文以及将所述原始数据报文发送给各个虚拟网络接口；

启动多个网络审计进程；通过每个网络审计进程从对应的虚拟网络接口获取相应的原始数据报文。

7.如权利要求6所述的方法，其特征在于，所述通过所述数据转发进程创建多个虚拟网络接口、从物理网卡抓取的原始数据报文以及将所述原始数据报文发送给各个虚拟网络接口，包括：

通过所述数据转发进程运行虚拟接口创建模块和数据转发模块；

通过所述虚拟接口创建模块创建多个虚拟网络接口；

通过所述数据转发模块从所述物理网卡抓取所述原始数据报文以及将所述原始数据报文发送给各个虚拟网络接口。

8.如权利要求7所述的方法，其特征在于，所述通过所述数据转发模块从所述物理网卡抓取所述原始数据报文以及将所述原始数据报文发送给各个虚拟网络接口，包括：

根据源目的IP地址计算散列值；

根据所述散列值和所述多个虚拟网络接口的数量，确定网络接口序号；

根据所述网络接口序号，所述数据转发模块将从所述物理网卡的发送队列中读取的原始数据报文发送给相应的虚拟网络接口。

9.如权利要求6所述的方法，其特征在于，创建的多个虚拟网络接口的数量为中央处理器逻辑核的数量减2。

10.如权利要求6所述的方法，其特征在于，所述通过所述数据转发进程创建多个虚拟网络接口、从物理网卡抓取原始数据报文以及将所述原始数据报文发送给各个虚拟网络接口之前，包括：

将所述数据转发进程绑定到一个中央处理器逻辑核；

所述启动多个网络审计进程，包括：

将每个网络审计进程绑定到一个中央处理器逻辑核。

11.一种计算机设备，其特征在于，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序，以实现如权利要求6-10中任意一项所述方法的步骤。

12.一种计算机可读存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序被至少一个处理器执行时，以实现如权利要求6-10中任意一项所述方法的步骤。