[发明专利]基于X86卡进行网络数据包重要素材的还原平台及方法

说明书

本发明涉及一种基于X86卡进行网络数据包重要素材的还原平台及方法，它是包括一张主控板、两张线路卡、一张交换卡、一张x86卡组成的机箱式结构，通过X86板卡对ftp、telnet协议中的用户名密码、SSL协议中CA证书以及SIP协议的短信内容等的还原方法，在应用中接入PTN网络信号作为专门网络数据源，还原出的数据结果存入数据库或者直接还原为文件。提供了TCP/IP数据流IP五元组相同流的分离功能，省去自己考虑数据IP五元组包的麻烦，对于种类繁多的协议大大提高了还原效率，解决了ftp、telnet这些协议还原出的用户名和密码对应错位不匹配的问题，对于CA证书的拼包也大大减轻了工作量，还实现了对sip协议中短信内容的提取。

技术领域

本发明涉及一种网络数据包重要素材的还原方法，特别涉及一种基于X86卡进行网络数据包重要素材的还原平台及方法。

背景技术

随着日益增加的网络应用数量，在网络上的流量种类越来越多，像CA等安全性方面的挑战，传统的方法已经开始吃力，过去单单基于IP、端口的工具很难识别这类应用的流量，因此有必要对网络数据的数据包报文进行深度解析，对于协议内容的重要素材进行还原，目前对于网络数据包进行协议解析素材还原的技术上，有DPI深度包检测技术，包括Libnids、Snort、OpenDPI等开源的协议解析项目。Libnids是一个用于网络入侵检测开发的专业编程接口；Snort能够对网络上的数据包进行抓包分析，它能根据所定义的规则进行响应及处理；OpenDPI作为一个开源的深度报文检测系统，实现了很多协议的识别，它源自PCIE，运行第三方开发者在不同的解决方案上编写DPI应用程序。但是已有的这些技术仅仅是对TCP/IP等数据包进行了解析，它在传统IP数据包检测技术之上增加了对应用层数据的应用协议识别，但对于重要的素材并不能进行还原。

发明内容

鉴于新技术的发展和现有技术存在的问题，本发明提供一种基于X86卡进行网络数据包重要素材的还原平台及方法，在x86板卡计算刀片上将nDPI深度包检测的开发库进行了代码级别的二次开发和融合，实现对多种主流协议的识别，同时对于主流协议ftp、telnet中的用户名密码这些素材进行还原，对SSL协议中CA证书进行还原，对SIP协议中短信内容进行还原。具体技术方案是，一种基于X86卡进行网络数据包重要素材的还原平台，它是包括一张主控板、两张线路卡、一张交换卡、一张x86卡组成的机箱式结构，其中线路卡在运用中只插入一块，其特征在于：所述的线路卡的一个10GE光口与x86卡的一个10GE光口通过光纤单向连接，交换卡四个10GE网口与x86卡的四个10GE网口、主控板、线路卡、交换卡、x86卡的千兆网口在背板通过PCB走线接连在一起。

还原方法包括以下步骤，

一、在x86板卡上安装DPDK的开发框架，绑定x86板卡的intel网卡实现数据抓取，将nDPI的工程部署到x86板卡上，安装ndpi所需的库，包括flex、bison、m4、lipcap、bcg729-decoder、zlib、Openssl、sofia-sip，安装数据库；

二、基于x86板卡进行初始化配置，启动硬件资源并调用收包接口进行收包，

1、依托于DPDK框架下的核线程机制，指定分析核线程id，启用分析核线程来对分析处理数据目录进行扫描，

2、调用收包接口，起线程进行接收网路数据，循环收包；

三、将收到的数据包调用nDPI进行协议解析,

1、获取当前扫描目录下未分析的pcap包文件，调用包读取接口进行每个以太网包的内容读取操作，

2、进入包处理回调函数，然后调用shell脚本启动nDPI深度分析，

3、调用pcap_process_packet对包进行解析，针对ptn信号的结构特征，分析外层mac头和type类型，然后识别Vlan结构及mpls标签，根据type类型值再判断携带的以太网数据是ARP包还是CDP包还是IP包，对IP包内的协议进行识别，打上对应协议的标签，