專(zhuān)利名稱(chēng):一種多鏈路抓包系統(tǒng)、方法及網(wǎng)絡(luò)審計(jì)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,尤其是涉及一種多鏈路抓包系統(tǒng)����、方法及網(wǎng)絡(luò)審計(jì)系統(tǒng)���。
背景技術(shù):
在網(wǎng)絡(luò)不斷普及并且應(yīng)用的行業(yè)不斷擴(kuò)大的背景下�����,一家企業(yè)有2個(gè)或多個(gè)Internet出口已不是個(gè)別現(xiàn)象����。面對(duì)著這樣的用戶�����,則需要網(wǎng)絡(luò)安全審計(jì)產(chǎn)品能同時(shí)支持2個(gè)或多個(gè)抓包口來(lái)滿足這樣的應(yīng)用需求�。在同一臺(tái)審計(jì)系統(tǒng)中實(shí)現(xiàn)多個(gè)鏈路抓包的功能,可以減輕用戶的經(jīng)濟(jì)負(fù)擔(dān)���,無(wú)需購(gòu)買(mǎi)多臺(tái)產(chǎn)品���。但同時(shí)對(duì)于能支持多個(gè)鏈接抓包的審計(jì)系統(tǒng)來(lái)說(shuō)����,其個(gè)體的性能則被提上一個(gè)更高的臺(tái)階��,以滿足多鏈路的負(fù)荷�。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種多鏈路抓包系統(tǒng),其可實(shí)現(xiàn)在工控機(jī)或服務(wù)器上通過(guò)2個(gè)或2個(gè)以上的網(wǎng)卡進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)捕獲技術(shù)�����。
本發(fā)明另一個(gè)所要解決的技術(shù)問(wèn)題是提供一種多鏈路抓包方法�����,其可實(shí)現(xiàn)在工控機(jī)或服務(wù)器上通過(guò)2個(gè)或2個(gè)以上的網(wǎng)卡進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)捕獲技術(shù)���。
本發(fā)明再一個(gè)所要解決的技術(shù)問(wèn)題是提供一種網(wǎng)絡(luò)審計(jì)系統(tǒng)��,其可實(shí)現(xiàn)在工控機(jī)或服務(wù)器上通過(guò)2個(gè)或2個(gè)以上的網(wǎng)卡進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)捕獲技術(shù)��。
為解決本發(fā)明的技術(shù)問(wèn)題�,本發(fā)明公開(kāi)一種多鏈路抓包系統(tǒng),包括多個(gè)抓包模塊����、共享內(nèi)存映射模塊和多個(gè)數(shù)據(jù)包處理模塊;所述抓包模塊用于抓取與其對(duì)應(yīng)的網(wǎng)卡的數(shù)據(jù)包�,并將所述數(shù)據(jù)包存取于其分配的物理內(nèi)存地址空間內(nèi)��;所述共享內(nèi)存映射模塊用于將上述存儲(chǔ)了數(shù)據(jù)包的物理內(nèi)存地址空間映射到數(shù)據(jù)包處理模塊可進(jìn)行數(shù)據(jù)讀取的用戶內(nèi)存地址空間��,并將所述用戶內(nèi)存地址空間與所述網(wǎng)卡相對(duì)應(yīng)�;所述數(shù)據(jù)包處理模塊用于讀取上述用戶內(nèi)存地址空間,獲取數(shù)據(jù)包進(jìn)行處理�。
其中,所述系統(tǒng)還包括配置模塊��,用于生成描述所述抓包模塊的標(biāo)識(shí)及其與網(wǎng)卡對(duì)應(yīng)關(guān)系和所述用戶內(nèi)存地址空間與網(wǎng)卡的對(duì)應(yīng)關(guān)系的配置文件��。
其中�����,所述數(shù)據(jù)包處理模塊讀取所述配置文件��,根據(jù)用戶內(nèi)存地址空間與網(wǎng)卡的對(duì)應(yīng)關(guān)系���,找到指定的用戶內(nèi)存地址空間���,再獲取數(shù)據(jù)包。
其中���,所述抓包模塊通過(guò)DMA技術(shù)將數(shù)據(jù)包寫(xiě)入到物理內(nèi)存地址空間��。
一種多鏈路抓包方法�����,包括以下步驟A1����、分配用于存儲(chǔ)數(shù)據(jù)包的物理內(nèi)存地址空間���;A2����、從網(wǎng)卡抓取數(shù)據(jù)包��;A3、將上述數(shù)據(jù)包寫(xiě)入所述物理內(nèi)存地址空間����;A4、將物理內(nèi)存地址空間映射到用戶內(nèi)存地址空間��;A5����、將上述用戶內(nèi)存地址空間與上述網(wǎng)卡相對(duì)應(yīng);A6����、讀取用戶內(nèi)存地址空間�����,獲取上述數(shù)據(jù)包進(jìn)行處理����。
其中,所述步驟A1還包括步驟B1���、生成配置文件��;B2�����、在上述配置文件中記錄所述從網(wǎng)卡抓取數(shù)據(jù)包的抓包模塊的編號(hào)����;所述步驟A5還包括步驟B3、將所述用戶內(nèi)存地址空間和網(wǎng)卡的對(duì)應(yīng)關(guān)系記錄在上述配置文件中���;所述步驟A6還包括步驟B4��、讀取配置文件中的用戶內(nèi)存地址空間和網(wǎng)卡的對(duì)應(yīng)關(guān)系���,找到指定的用戶內(nèi)存地址空間。
其中�����,所述步驟A3進(jìn)一步包括通過(guò)DMA技術(shù)將數(shù)據(jù)包寫(xiě)入到物理內(nèi)存地址空間��。
一種網(wǎng)絡(luò)審計(jì)系統(tǒng)��,包括多鏈路抓包系統(tǒng)����,其包括多個(gè)抓包模塊、共享內(nèi)存映射模塊和多個(gè)數(shù)據(jù)包處理模塊��;所述抓包模塊用于抓取與其對(duì)應(yīng)的網(wǎng)卡的數(shù)據(jù)包�,并將所述數(shù)據(jù)包存取于其分配的物理內(nèi)存地址空間內(nèi)�;所述共享內(nèi)存映射模塊用于將上述存儲(chǔ)了數(shù)據(jù)包的物理內(nèi)存地址空間映射到數(shù)據(jù)包處理模塊可進(jìn)行數(shù)據(jù)讀取的用戶內(nèi)存地址空間,并將所述用戶內(nèi)存地址空間與所述網(wǎng)卡相對(duì)應(yīng)����;所述數(shù)據(jù)包處理模塊用于讀取上述用戶內(nèi)存地址空間���,獲取數(shù)據(jù)包進(jìn)行處理��。
其中,所述多鏈路抓包系統(tǒng)還包括配置模塊�,用于生成描述所述抓包模塊的標(biāo)識(shí)及其與網(wǎng)卡對(duì)應(yīng)關(guān)系和所述用戶內(nèi)存地址空間與網(wǎng)卡的對(duì)應(yīng)關(guān)系的配置文件。
其中�,所述數(shù)據(jù)包處理模塊讀取所述配置文件���,根據(jù)用戶內(nèi)存地址空間與網(wǎng)卡的對(duì)應(yīng)關(guān)系�����,找到指定的用戶內(nèi)存地址空間��,再獲取數(shù)據(jù)包�����。
與現(xiàn)有技術(shù)相比����,本發(fā)明具有如下有益效果本發(fā)明通過(guò)多個(gè)抓包模塊����、共享內(nèi)存映射模塊和多個(gè)數(shù)據(jù)包處理模塊�,可對(duì)多個(gè)網(wǎng)卡進(jìn)行抓包及數(shù)據(jù)處理,實(shí)現(xiàn)同一臺(tái)審計(jì)系統(tǒng)中進(jìn)行多個(gè)鏈路抓包的功能����,可以減輕用戶的經(jīng)濟(jì)負(fù)擔(dān),并滿足多鏈路的負(fù)荷�。
圖1是本發(fā)明的系統(tǒng)結(jié)構(gòu)圖;圖2是本發(fā)明的方法步驟圖���。
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例���,對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明。
如圖1所示����,本發(fā)明提供一種多鏈路抓包系統(tǒng),包括多個(gè)抓包模塊��、共享內(nèi)存映射模塊和多個(gè)數(shù)據(jù)包處理模塊�����;其中�,抓包模塊用于抓取與其對(duì)應(yīng)的網(wǎng)卡的數(shù)據(jù)包����,并將所述數(shù)據(jù)包存取于其分配的物理內(nèi)存地址空間內(nèi);共享內(nèi)存映射模塊用于將上述存儲(chǔ)了數(shù)據(jù)包的物理內(nèi)存地址空間映射到數(shù)據(jù)包處理模塊可進(jìn)行數(shù)據(jù)讀取的用戶內(nèi)存地址空間���,并將所述用戶內(nèi)存地址空間與所述網(wǎng)卡相對(duì)應(yīng);數(shù)據(jù)包處理模塊用于讀取上述用戶內(nèi)存地址空間�,獲取數(shù)據(jù)包進(jìn)行處理���。
另外,本系統(tǒng)還包括一配置模塊����,主要用于上述多個(gè)抓包模塊���、共享內(nèi)存映射模塊和多個(gè)數(shù)據(jù)包處理模塊之間的調(diào)度管理��,描述抓包模塊的標(biāo)識(shí)及其與網(wǎng)卡對(duì)應(yīng)關(guān)系和所述用戶內(nèi)存地址空間與網(wǎng)卡的對(duì)應(yīng)關(guān)系的配置文件��。
本系統(tǒng)的工作原理描述如下每個(gè)網(wǎng)卡對(duì)應(yīng)一個(gè)抓包模塊��,當(dāng)需要從網(wǎng)卡N捕獲數(shù)據(jù)包時(shí)��,相對(duì)應(yīng)的抓包模塊N被裝載����,并把其編號(hào)寫(xiě)入配置模塊所生成的配置文件中�。當(dāng)配置文件裝載完畢后,抓包模塊先分配一塊物理內(nèi)存地址空間����,作為存儲(chǔ)數(shù)據(jù)包的空間����。然后共享內(nèi)存映射模塊將抓包模塊分配的物理內(nèi)存地址空間映射到用戶內(nèi)存地址空間���,然后把指定的用戶內(nèi)存地址空間和網(wǎng)卡N進(jìn)行對(duì)應(yīng),并把對(duì)應(yīng)的數(shù)據(jù)寫(xiě)入配置文件�����。然后����,抓包模塊開(kāi)始從網(wǎng)卡N捕獲數(shù)據(jù)包����,并把數(shù)據(jù)包寫(xiě)入分配的物理內(nèi)存地址空間中。
同樣每個(gè)網(wǎng)卡對(duì)應(yīng)一個(gè)數(shù)據(jù)包處理模塊�,數(shù)據(jù)包處理模塊N啟動(dòng)后首先讀取配置文件,根據(jù)配置文件中的用戶內(nèi)存地址空間和網(wǎng)卡N的對(duì)應(yīng)關(guān)系���,找到指定的用戶內(nèi)存地址空間�,然后數(shù)據(jù)包處理模塊從該用戶內(nèi)存地址空間讀取映射的物理內(nèi)存地址空間上的網(wǎng)絡(luò)數(shù)據(jù)包����,然后進(jìn)行處理。
當(dāng)需要從N個(gè)網(wǎng)卡上捕獲數(shù)據(jù)包時(shí)����,只需要啟動(dòng)N個(gè)零驅(qū)動(dòng)抓包模塊,一個(gè)共享內(nèi)存映射模塊���,N個(gè)數(shù)據(jù)包處理模塊,通過(guò)它們與網(wǎng)卡一一對(duì)應(yīng)�����,就可以實(shí)現(xiàn)同時(shí)對(duì)多個(gè)網(wǎng)卡進(jìn)行數(shù)據(jù)捕獲����。
作為一實(shí)施例����,本發(fā)明的抓包模塊通過(guò)DMA技術(shù)將數(shù)據(jù)包寫(xiě)入到物理內(nèi)存地址空間。
如圖2所示���,本發(fā)明還提供一種多鏈路抓包方法����,包括以下步驟A1、分配用于存儲(chǔ)數(shù)據(jù)包的物理內(nèi)存地址空間����;A2、從網(wǎng)卡抓取數(shù)據(jù)包�;A3、將上述數(shù)據(jù)包寫(xiě)入所述物理內(nèi)存地址空間��;A4�、將物理內(nèi)存地址空間映射到用戶內(nèi)存地址空間;A5�����、將上述用戶內(nèi)存地址空間與上述網(wǎng)卡相對(duì)應(yīng)����;A6、讀取用戶內(nèi)存地址空間�����,獲取上述數(shù)據(jù)包進(jìn)行處理。
其中�����,步驟A1還包括步驟B1、生成配置文件�;B2、在上述配置文件中記錄所述從網(wǎng)卡抓取數(shù)據(jù)包的抓包模塊的編號(hào)���;所述步驟A5還包括步驟B3�、將所述用戶內(nèi)存地址空間和網(wǎng)卡的對(duì)應(yīng)關(guān)系記錄在上述配置文件中�����;
所述步驟A6還包括步驟B4�����、讀取配置文件中的用戶內(nèi)存地址空間和網(wǎng)卡的對(duì)應(yīng)關(guān)系�,找到指定的用戶內(nèi)存地址空間。
本發(fā)明還提供一種包含多鏈路抓包系統(tǒng)的網(wǎng)絡(luò)審計(jì)系統(tǒng)��,其可進(jìn)行多個(gè)鏈路抓包的功能��,可以減輕用戶的經(jīng)濟(jì)負(fù)擔(dān),并滿足多鏈路的負(fù)荷�。
權(quán)利要求
1.一種多鏈路抓包系統(tǒng),其特征在于所述系統(tǒng)包括多個(gè)抓包模塊�、共享內(nèi)存映射模塊和多個(gè)數(shù)據(jù)包處理模塊;所述抓包模塊用于抓取與其對(duì)應(yīng)的網(wǎng)卡的數(shù)據(jù)包����,并將所述數(shù)據(jù)包存取于其分配的物理內(nèi)存地址空間內(nèi);所述共享內(nèi)存映射模塊用于將上述存儲(chǔ)了數(shù)據(jù)包的物理內(nèi)存地址空間映射到數(shù)據(jù)包處理模塊可進(jìn)行數(shù)據(jù)讀取的用戶內(nèi)存地址空間�,并將所述用戶內(nèi)存地址空間與所述網(wǎng)卡相對(duì)應(yīng);所述數(shù)據(jù)包處理模塊用于讀取上述用戶內(nèi)存地址空間�����,獲取數(shù)據(jù)包進(jìn)行處理��。
2.如權(quán)利要求1所述的多鏈路抓包系統(tǒng)�,其特征在于所述系統(tǒng)還包括配置模塊,用于生成描述所述抓包模塊的標(biāo)識(shí)及其與網(wǎng)卡對(duì)應(yīng)關(guān)系和所述用戶內(nèi)存地址空間與網(wǎng)卡的對(duì)應(yīng)關(guān)系的配置文件�����。
3.如權(quán)利要求2所述的多鏈路抓包系統(tǒng)�����,其特征在于所述數(shù)據(jù)包處理模塊讀取所述配置文件,根據(jù)用戶內(nèi)存地址空間與網(wǎng)卡的對(duì)應(yīng)關(guān)系��,找到指定的用戶內(nèi)存地址空間�,再獲取數(shù)據(jù)包。
4.如權(quán)利要求1或2所述的多鏈路抓包系統(tǒng)���,其特征在于所述抓包模塊通過(guò)DMA技術(shù)將數(shù)據(jù)包寫(xiě)入到物理內(nèi)存地址空間��。
5.一種多鏈路抓包方法,其特征在于所述方法包括以下步驟A1�、分配用于存儲(chǔ)數(shù)據(jù)包的物理內(nèi)存地址空間;A2�����、從網(wǎng)卡抓取數(shù)據(jù)包��;A3�、將上述數(shù)據(jù)包寫(xiě)入所述物理內(nèi)存地址空間;A4���、將物理內(nèi)存地址空間映射到用戶內(nèi)存地址空間�����;A5����、將上述用戶內(nèi)存地址空間與上述網(wǎng)卡相對(duì)應(yīng);A6�����、讀取用戶內(nèi)存地址空間�,獲取上述數(shù)據(jù)包進(jìn)行處理。
6.如權(quán)利要求5所述的多鏈路抓包���,其特征在于所述步驟A1還包括步驟B1���、生成配置文件;B2�����、在上述配置文件中記錄所述從網(wǎng)卡抓取數(shù)據(jù)包的抓包模塊的編號(hào)��;所述步驟A5還包括步驟B3��、將所述用戶內(nèi)存地址空間和網(wǎng)卡的對(duì)應(yīng)關(guān)系記錄在上述配置文件中���;所述步驟A6還包括步驟B4����、讀取配置文件中的用戶內(nèi)存地址空間和網(wǎng)卡的對(duì)應(yīng)關(guān)系,找到指定的用戶內(nèi)存地址空間����。
7.如權(quán)利要求5所述的多鏈路抓包,其特征在于所述步驟A3進(jìn)一步包括通過(guò)DMA技術(shù)將數(shù)據(jù)包寫(xiě)入到物理內(nèi)存地址空間���。
8.一種網(wǎng)絡(luò)審計(jì)系統(tǒng)���,其特征在于所述網(wǎng)絡(luò)審計(jì)系統(tǒng)包括多鏈路抓包系統(tǒng)���,其包括多個(gè)抓包模塊�、共享內(nèi)存映射模塊和多個(gè)數(shù)據(jù)包處理模塊�;所述抓包模塊用于抓取與其對(duì)應(yīng)的網(wǎng)卡的數(shù)據(jù)包,并將所述數(shù)據(jù)包存取于其分配的物理內(nèi)存地址空間內(nèi)���;所述共享內(nèi)存映射模塊用于將上述存儲(chǔ)了數(shù)據(jù)包的物理內(nèi)存地址空間映射到數(shù)據(jù)包處理模塊可進(jìn)行數(shù)據(jù)讀取的用戶內(nèi)存地址空間�����,并將所述用戶內(nèi)存地址空間與所述網(wǎng)卡相對(duì)應(yīng)��;所述數(shù)據(jù)包處理模塊用于讀取上述用戶內(nèi)存地址空間�����,獲取數(shù)據(jù)包進(jìn)行處理����。
9.如權(quán)利要求8所述的網(wǎng)絡(luò)審計(jì)系統(tǒng),其特征在于所述多鏈路抓包系統(tǒng)還包括配置模塊�����,用于生成描述所述抓包模塊的標(biāo)識(shí)及其與網(wǎng)卡對(duì)應(yīng)關(guān)系和所述用戶內(nèi)存地址空間與網(wǎng)卡的對(duì)應(yīng)關(guān)系的配置文件����。
10.如權(quán)利要求9所述的網(wǎng)絡(luò)審計(jì)系統(tǒng),其特征在于所述數(shù)據(jù)包處理模塊讀取所述配置文件����,根據(jù)用戶內(nèi)存地址空間與網(wǎng)卡的對(duì)應(yīng)關(guān)系,找到指定的用戶內(nèi)存地址空間���,再獲取數(shù)據(jù)包��。
全文摘要
本發(fā)明提供一種多鏈路抓包系統(tǒng)�����,包括多個(gè)抓包模塊�����、共享內(nèi)存映射模塊和多個(gè)數(shù)據(jù)包處理模塊����;所述抓包模塊用于抓取與其對(duì)應(yīng)的網(wǎng)卡的數(shù)據(jù)包,并將所述數(shù)據(jù)包存取于其分配的物理內(nèi)存地址空間內(nèi)��;所述共享內(nèi)存映射模塊用于將上述存儲(chǔ)了數(shù)據(jù)包的物理內(nèi)存地址空間映射到數(shù)據(jù)包處理模塊可進(jìn)行數(shù)據(jù)讀取的用戶內(nèi)存地址空間�,并將所述用戶內(nèi)存地址空間與所述網(wǎng)卡相對(duì)應(yīng);所述數(shù)據(jù)包處理模塊用于讀取上述用戶內(nèi)存地址空間��,獲取數(shù)據(jù)包進(jìn)行處理���。本發(fā)明通過(guò)多個(gè)抓包模塊、共享內(nèi)存映射模塊和多個(gè)數(shù)據(jù)包處理模塊�,可對(duì)多個(gè)網(wǎng)卡進(jìn)行抓包及數(shù)據(jù)處理,實(shí)現(xiàn)同一臺(tái)審計(jì)系統(tǒng)中進(jìn)行多個(gè)鏈路抓包的功能��,可以減輕用戶的經(jīng)濟(jì)負(fù)擔(dān),并滿足多鏈路的負(fù)荷���。
文檔編號(hào)H04L12/26GK101079753SQ20071007615
公開(kāi)日2007年11月28日 申請(qǐng)日期2007年6月28日 優(yōu)先權(quán)日2007年6月28日
發(fā)明者陳煉茂, 阮偉軍, 林飛 申請(qǐng)人:深圳市中科新業(yè)信息科技發(fā)展有限公司