用于標識分離映射網絡的數據分析裝置及其方法

專利名稱：用于標識分離映射網絡的數據分析裝置及其方法
技術領域：
本發明涉及網絡應用技術領域，尤其涉及網絡數據分析裝置及方法。具體地說，本 發明涉及對標識分離映射網絡中傳送的數據進行數據還原的網絡數據分析裝置及其方法。
背景技術：
隨著互聯網海量信息的廣泛傳播，基于網絡信息內容的安全問題日益嚴重地威脅 著互聯網的健康發展，例如，利用網頁和電子公告欄等傳播有害信息或泄露國家機密、利用 電子郵件發送有害信息或垃圾郵件以及利用即時通訊工具交互違法信息等。并且，由于數 據在網絡上以比特這種特殊形式傳送，使得網絡攻擊行為不但簡單易行，而且難以追溯，從 而造成了互聯網的安全問題。因此，需要采取數據分析和還原技術將網絡上傳送的信息內 容完整地還原及再現出來，并對還原結果進行分析，以判斷所傳送的信息是否旨在傳送有 害信息或進行違法行為。通過對網絡通信內容的分析和還原，能夠建立網絡行為與用戶身 份的對應關系，實現網絡行為追蹤和計算機犯罪取證。因此，對網絡通信數據的分析和還原 顯得至關重要。然而，為了解決現有網絡中IP地址二義性的問題，出現了標識分離映射網絡。標 識分離映射網絡采用了標識(例如，接入標識和交換路由標識)分離映射的網絡架構。具體地說，標識分離映射網絡通過引入接入標識AID (Access Identifier)與交換 路由標識RID (Switch Routing Identifier)，創建了接入標識和交換路由標識的分離聚合 映射理論，將用戶終端的位置信息與身份信息進行分離，解決了 IP地址二義性問題。更具體地，標識分離映射網絡采用多路徑并行傳送方式(簡稱多路徑傳輸方式)， 即可分配多個接入路徑來完成同一訪問服務。注意，本發明中所述的訪問服務是一個網絡 設備向另一網絡設備發起的一次訪問請求至該訪問結束的整個過程。在多路徑傳輸方式 中，用戶終端可以通過標識分離映射網絡來建立多條路徑，以由多條路徑共同完成同一訪 問服務。換而言之，在多路徑傳輸方式中，同一訪問服務中的數據流可以在多條路徑上并行 傳送，多條路徑可以同時服務于同一訪問。以下假定用戶終端有兩個接口(即擁有兩個不 同的接入標識)來進行說明。當用戶終端發起某一訪問服務時，首先，通過其中一個接入標 識向服務器發起訪問服務請求，并告知服務器此次訪問服務將通過兩條路徑完成。服務器 收到請求后，與用戶終端建立連接，通過用戶終端的兩個接入標識建立的兩條傳送路徑。然 后服務器利用這兩條路徑來向用戶終端發送屬于本次服務的數據信息，從而完成該訪問服 務。這種多路徑傳輸方式的采用使得標識分離映射網絡在網絡吞吐量等方面得到了 改善。但是，目前的數據還原技術仍然基于傳統互聯網體系結構，采用模擬TCP/IP協議棧 方式，從底層依次向上，逐層進行協議解析，根據TCP傳送序號進行排序整理，對單一網段 路徑上的數據進行分析，如圖2所示。同時，傳統的還原技術僅支持TCP/IP協議，不支持 SCTP協議，也不支持多路徑機制。例如，當前應用較廣泛的一些網絡數據分析軟件雖然能夠 對流控制傳送協議(SCTP, stream control transmission protocol，以下簡稱 SCTP)進行分析，從其界面上進行每個數據包的詳細協議樹顯示，但它們不能對采用了多路徑傳輸方 式的SCTP應用數據流進行還原及重放。綜上所述，應用于傳統的互聯網體系架構的傳統網絡數據分析和還原技術已經不 能適用于標識分離映射網絡，無法分析并還原由多路徑來傳送的訪問服務的網絡數據。因 此，針對近來推廣應用的可能采用了多路徑傳輸方式的標識分離映射網絡，當前的網絡數 據分析及還原技術已經無法有效地實現網絡行為追蹤和計算機犯罪取證等功能，從而無法 確保網絡安全。
當前的對網絡中傳送的數據進行還原的網絡數據分析技術僅適應于傳統的通過 單一路徑來傳送一個訪問服務的網絡，不能適用于采用了多路徑傳輸方式的標識分離映射 網絡，不能對通過多路徑傳輸的訪問服務的網絡數據進行分析及還原。

發明內容
針對現有的數據處理裝置的上述問題，本發明的目的是提供用于標識分離映射的 網絡數據分析裝置及其方法。根據本發明的第一方面，提供了一種用于標識分離映射網絡的數據分析裝置，所 述數據分析裝置包括數據匯聚模塊，其將從標識分離映射網絡中所捕獲的數據包存儲至 匯總數據；服務分類與重組模塊，其將所述匯總數據中屬于一個訪問服務的數據包保存在 與所述訪問服務相對應的訪問服務數據中；服務還原模塊，其分析所述訪問服務數據中的 各個數據包，以完成對所述訪問服務的數據的還原與重放。其中，所述服務分類與重組模 塊被配置為進行如下處理根據所述匯總數據中的控制信息數據包來獲得與各個訪問服務 一一對應的各個路徑判斷基準組，其中，路徑判斷基準組包括與一個訪問服務的各條路徑 相對應的各個路徑判斷基準，路徑判斷基準是與路徑的源及目的地有關的信息；從所述匯 總數據中的數據包的報頭中解析出與源及目的地有關的信息，作為與所述匯總數據中的數 據包對應的路徑判斷基準；將所述與所述匯總數據中的數據包對應的路徑判斷基準與所述 路徑判斷基準組中的路徑判斷基準進行比較，以確定所述匯總數據中的數據包屬于哪個訪 問服務。根據本發明的第二方面，提供了一種用于標識分離映射網絡的數據分析方法，所 述數據分析方法包括如下步驟數據匯聚步驟，其將從標識分離映射網絡中所捕獲的數據 包存儲至匯總數據；服務分類與重組步驟，其將所述匯總數據中屬于一個訪問服務的數據 包保存在與所述訪問服務相對應的訪問服務數據中；服務還原步驟，其分析所述訪問服務 數據中的各個數據包，以完成對所述訪問服務的數據的還原與重放。其中，在所述服務分類 與重組步驟中進行如下處理根據所述匯總數據中的控制信息數據包來獲得與各個訪問服 務一一對應的各個路徑判斷基準組，其中，路徑判斷基準組包括與一個訪問服務的各條路 徑相對應的各個路徑判斷基準，路徑判斷基準是與路徑的源及目的地有關的信息；從所述 匯總數據中的數據包的報頭中解析出與源及目的地有關的信息，作為與所述匯總數據中的 數據包對應的路徑判斷基準；將所述與所述匯總數據中的數據包對應的路徑判斷基準與所 述路徑判斷基準組中的路徑判斷基準進行比較，以確定所述匯總數據中的數據包屬于哪個 訪問服務。本發明的一個實施例的用于標識分離映射網絡的數據分析裝置或方法能夠將多個路徑上屬于同一訪問服務的數據包整理分類至同一訪問服務數據，更具體地，可以根據 各路徑的源和目的地的端口號以及源和目的地的接入標識來判斷在不同路徑中傳送的數 據包是否屬于同一訪問服務，從而能夠對通過多路徑傳輸的訪問服務的網絡數據進行分析 及還原。根據本發明的一個實施例的用于標識分離映射網絡的數據分析裝置或方法能夠 為標識分離映射網絡中的網絡行提供可靠的監測技術。此外，本發明的一個實施例的標識分離映射網絡的數據分析裝置或方法通過根據 訪問服務所采用的應用層協議(例如，HTTP、FTP、SMTP以及P0P3等)來分配相應的數據分 析裝置裝置的資源，能夠有效地利用數據處理分析裝置的CPU、內存或硬盤等裝置資源，從 而能夠高效地將通過多路徑傳輸的訪問服務的網絡數據進行快速的還原與重放。此外，本發明的一個實施例的網絡數據分析裝置的模塊分為三層，這種針對分層 的模塊化結構能夠實現將訪問服務的數據還原為原始的應用層數據的功能。


通過以下(參考附圖)對典型實施例的說明，本發明的其它特征將變得清楚。圖1是示出標識分離映射網絡的基本網絡架構的示意圖；圖2是示出根據本發明典型實施例的用于標識分離映射網絡的數據分析裝置的 構架的示意圖；圖3示出以數據鏈表形式存儲的匯總數據；圖4示出服務分類與重組模塊202所進行的主要處理步驟；圖5是示出根據本發明典型實施例的用于標識分離映射網絡的數據分析裝置的 服務還原模塊對一個訪問服務數據所進行的處理的流程圖；圖6是示出由服務還原模塊203所創建的數據還原子例程所進行的數據還原處理 的流程圖；圖7是根據本發明的用于標識分離映射網絡的數據分析設備100中的數據流的一 個例子的示意圖；圖8是根據本發明的用于標識分離映射網絡的數據分析設備100的運行情景的一 個例子；圖9示出利用應用計算機程序的子線程來實現服務還原模塊203中的子例程的流 程圖。
具體實施例方式為使本發明的技術方案和有益效果更加清楚，下面結合附圖及實施例對本發明作 進一步詳細描述，以使本發明的實現過程能被充分理解并據以實施。圖1是示出標識分離映射網絡的基本網絡架構的示意圖。在圖1中，依據網絡拓 撲位置將標識分離映射網絡劃分為接入網(101a和101b)和核心網102這兩個主要部分。 接入網101a和101b用于接入諸如電腦終端、手持終端、固定網、移動網或傳感網等接入終 端。在圖1中，電腦終端103a是接入終端的例子，電腦終端103a接入到接入網101a。在接 入網中，利用接入標識來表示接入終端的身份信息。核心網用于路由管理、報文轉發和路由等，在核心網102中，利用交換路由標識來表示接入終端的位置信息。交換路由標識采用統 一的格式，以完成核心102的路由聚合與尋路。如圖1所示，在標識分離映射網絡中，接入交換路由器104a和104b (ASR，Access Switch Router)進行標識替換處理。在標識替換處理中，數據包中的接入終端的接入標識 替換為交換路由標識，并將經過標識替換處理后的數據包傳送至核心網102中。核心網中 的廣義交換路由器105 (GSR, General SwitchRouter)利用數據包中的交換路由標識來進行 選路，并轉發數據包。映射服務器106 (Identifier server)用于存儲和維護接入標識與交 換路由標識之間的映射關系，并向接入交換路由器104提供與映射關系有關的注冊和查詢 服務。下面說明標識分離映射網絡中的一個數據包的通信過程的例子。首先，接入終端103a與接入交換路由器104a連接，由接入交換路由器104a為接 入終端103a分配交換路由標識RIDa，建立接入標識AIDa與交換路由標識RIDa的映射關 系，同時將映射關系注冊到映射服務器106中。 然后，接入終端103a向接入終端103b發送數據包P，在數據包P中，源地址為接入 標識AIDa，目的地址為接入標識AIDb。接入交換路由器104a接收到數據包P后，首先查詢映射服務器106，以獲得與接入 標識AIDa對應的交換路由標識RIDa，以及與接入標識AIDb對應的交換路由標識RIDb ；然 后分別將數據包中的源地址和目的地址(即接入標識AIDa和接入標識AIDb)替換為交換 路由標識RIDa和交換路由標識RIDb，并將經過替換后的數據包P傳送至核心網。為了便于 說明，下文中，將替換后的數據包P稱為數據包P’。在核心網中，廣義交換路由器105依據交換路由標識RIDb的聚合關系進行選路和 轉發數據包P，，將數據包P，輸送至接入交換路由器104b。接入交換路由器104b接收到數據包P，后，向映射服務器106查詢接入標識AIDa 與交換路由標識RIDa的映射關系。依據所查詢的映射關系將數據包P’的源地址和目的地 址重新替換成接入標識AIDa和接入標識AIDb，以獲得數據包P。然后，在接入網101b中，將數據包P傳送至接入終端103b。這樣，完成了數據包的
一次通信過程。依據圖1所示的網絡架構，可以采用多路徑并行傳送方式，即可分配一條或一條 以上的接入路徑來完成同一訪問服務。圖2是示出本發明典型實施例的用于標識分離映射網絡的數據分析裝置的結構 的示意圖。下面參考圖2說明根據本發明典型實施例的用于標識分離映射網絡的數據分析 裝置的結構。為了還原采用一條(尤其是一條以上)的接入路徑共同傳輸的訪問服務的網絡數 據，使得本發明的數據分析裝置能夠為標識分離映射網絡中的網絡提供可靠的監測技術， 本發明的用于標識分離映射網絡的數據分析裝置主要包括數據匯聚模塊、服務分類與重組 模塊和服務還原模塊。這三個模塊分別位于從下至上的不同的層，亦即，對于一個數據包的 內容，依次由數據匯聚模塊201、服務分類與重組模塊202和服務還原模塊203進行處理。數據匯聚模塊201匯聚從標識分離映射網絡中所捕獲的數據包，以將各個數據包 存儲為匯總數據。匯總數據中的數據包可以按照一定的順序(例如按照捕獲時間先后的順序)存儲。并且可以將匯總數據中的各個數據包存儲為數據包鏈表、雙向鏈表、數組、數據庫或數據表等形式。優選地，將匯總數據存儲為如圖3所示的雙向數據鏈表形式。從標識 分離映射網絡中所捕獲的數據可以是存儲數據包的一個或多個數據文件，也可以是從網絡 中直接捕獲的數據包系列。然后，將匯總數據傳送至服務分類與重組模塊202。下面參考圖4說明服務分類與重組模塊202所進行的主要處理步驟。服務分類與 重組模塊202接收來自數據匯聚模塊201的匯總數據(步驟S401)，然后進入步驟S402。本發明的發明人注意到當終端發起一次訪問服務時，終端利用控制信息數據包來 協商采用幾條路徑完成這一次訪問服務，因此，在步驟S402中，服務分類與重組模塊202對 匯總數據中的控制信息數據包進行分析，以從控制信息數據包中提取與各條路徑的源及目 的地有關的信息，作為各條路徑的路徑判斷基準。屬于同一訪問服務的各條路徑的路徑判 斷基準組成路徑判斷基準組。本發明利用控制信息數據包來獲取一次訪問服務所采用的各條路徑的信息。更具 體地，本發明從控制信息數據包中提取與一次訪問服務所需要建立的各條路徑的源及目的 地有關的信息，以獲得與一次訪問服務相對應的路徑判斷基準組。可見，每一個訪問服務對 應于一個路徑判斷基準組，一個路徑判斷基準組中包括一個或多個路徑判斷基準，路徑判 斷基準組中的各個路徑判斷基準與一次訪問服務所采用的各個路徑一一對應。其中，路徑 判斷基準是與一條路徑的源及目標地有關的信息。換而言之，從每個控制信息數據包分析 并提取出的一個或多個不同的路徑判斷基準，同一個訪問服務的不同路徑擁有不同的路徑 判斷基準，由屬于同一訪問服務的各個路徑判斷基準共同組成一個路徑判斷基準組。例如， 可以從每個控制信息數據包中提取與一個訪問服務所采用的一條路徑的源端口號、目的端 口號以及源接入標識和目的接入標識等，并將所提取的該條路徑的源端口號、目的端口號 以及源接入標識、目的接入標識等共同作為與該條路徑的路徑判斷基準。服務于同一訪問 服務的多個路徑的路徑判斷基準共同組成該訪問服務的路判斷基準組。在一優選實施例 中，服務分類與重組模塊202分別根據屬于同一訪問服務的各個路徑的源端口號、目的端 口號以及源接入標識、目的接入標識等算得hash值，從而獲得一組hash值，這組hash值組 成了與該訪問服務相對應的路徑判斷基準組。本發明的發明人注意到針對屬于同一訪問服 務的不同路徑所算得的hash值有可能會產生沖突，對于可能產生的hash沖突，可以利用鏈 地址法處理和避免。在通過分析匯總數據中的所有控制信息數據包獲得了所有路徑判斷基 準組之后，進入步驟S403。本發明的發明人還注意到不僅可以從控制信息數據包中提取與各條路徑的源及 目的地有關的信息，在各條路徑上傳輸的所有數據包中均包含了與該路徑的源及目的地 有關的信息，可以類似地從在各條路徑上傳輸的所有數據包中提取各條路徑的路徑判斷基 準。因此，在步驟S403中，服務分類與重組模塊202接收匯總數據中的一個數據包，并且解 析所讀取的數據包，根據數據包的報頭中各字段的內容，解析出與源和目的地有關的信息， 例如源端口號和目的端口號以及源接入標識和目的接入標識等信息，并依據所解析出的信 息按照與在步驟S402同樣的方法獲得該數據包所使用的路徑的路徑判斷基準，作為與數 據包對應的路徑判斷基準。然后，服務分類與重組模塊202將在步驟S403中所獲得的與數 據包對應的路徑判斷基準與在步驟S402中所獲得的路徑判斷基準組中的路徑判斷基準進 行比較，以確定該數據包屬于哪個訪問服務(步驟S404)。具體地，如果在步驟S403中所獲得的與數據包對應的路徑判斷基準與在步驟S402中所獲得的特定的路徑判斷基準組中的 路徑判斷基準之一相同，則判斷為該數據包屬于與所述特定的路徑判斷判斷基準組相對應 的訪問服務，在此，特定的路徑判斷基準組指在步驟S402中所獲得的特定的路徑判斷基準 組之一。應注意，服務分類與重組模塊202所讀取的各個數據包可能來自各個訪問服務的 各個不同的傳輸路徑。優選地，在步驟S404中，當在步驟S403中所獲得的路徑判斷基準與在步驟S402 中所獲得的多個路徑判斷基準組中的路徑判斷基準之一相同時，可以通過進一步根據源接 入標識和目的接入標識來確定該數據包屬于哪個訪問服務。在步驟S405中，將在步驟S403中接收的數據包保存在根據在與步驟S404中所確 定的訪問服務相對應的訪問服務數據中。也就是說，訪問服務數據是與一個訪問服務相對 應的保存了屬于同一個訪問服務的數據包的數據，亦即，各個訪問服務數據與各個訪問服
務--對應。在步驟S406中，判斷是否已經分析了匯總數據中的所有數據包。如果判斷結果為 是，則處理結束，反之，則返回步驟S403。由上可知，通過本發明的上述處理，即使數據包是從多個不同的傳輸路徑捕獲的， 本發明的網絡數據分析裝置的服務分類與重組模塊202也能夠判斷各個數據包是否屬于 同一訪問服務，從而能夠將屬于同一個訪問服務的數據包放在一起，以使得能夠還原各個 訪問服務的應用層數據。然后，服務分類與重組模塊202將各個訪問服務數據傳輸至服務 還原模塊203。然后，由服務還原模塊203對各個訪問服務數據分別進行處理。下面根據圖 5來說明服務還原模塊203對一個訪問服務數據所進行的處理。如圖5所示，服務還原模塊203從服務分類與重組模塊202接收一個訪問服務數 據(步驟S501)。然后，服務還原模塊203根據所接收的訪問服務數據中的數據包的端口號等包含 在數據包報頭中的信息，確定所接收的數據包的應用層協議類型(步驟S502)。例如，可以 根據數據包的報頭中保存的端口號來確定數據包的應用層的應用協議類型是否為HTTP協 議、FTP協議、SMTP協議或P0P3協議之一。然后，在步驟S503中，服務還原模塊203創建用于對訪問服務數據進行數據還原 的子處理，并根據所確定的應用層協議類型來為所創建的子處理分配適合于特定應用層協 議類型的諸如CPU、內存等裝置資源。也就是說，針對不同的應用層協議類型，服務還原模 塊203可以為所創建的進行數據還原的子處理分配不同數量的諸如CPU、內存等裝置資源。 例如，在以C++等語言描述的程序設計中，子處理對應于程序中的線程，可針對HTTP協議、 FTP協議、SMTP協議或P0P3協議等各種協議創建相對的線程。然后，在步驟S504中，執行 子處理，以使所創建的數據還原子處理進行如圖6所示的數據還原處理。應注意，針對不同的訪問服務數據所創建的數據還原子處理可以相互獨立且并行 地運行。由于為針對不同的訪問服務數據所創建的數據還原子處理分配了相應的適合于各 自應用層網絡協議類型的諸如CPU、內存等裝置資源，可以更有效地利用裝置的CPU、內存 等硬件資源，提高裝置的運行效率。例如，在程序的線程為例，可通過為與不同的應用層網 絡協議類型相對應的線程分配不同權重值，不同的權重值可以擁有不同的占用CPU的優先 權值、占用CPU時隙的比例、占內存的大小等資源，從而能夠更加合理地分配裝置的資源，例如，在LINUX系統中，可將優先權值設置為0 99。應注意，通過創建子處理來進行數據還原是本發明的優選實施例之一，本領域技 術人員根據前述記載能夠明白本發明的服務還原模塊203也可以不采用創建子處理的方 式來進行數據還原處理。圖6示出了由服務還原模塊203所創建的數據還原子處理所進行的數據還原處理。在數據還原子處理接收一個訪問服務數據。如前面所述，一個訪問服務數據中保 存了屬于同一個訪問服務的數據包。逐一分析訪問服務數據中的每一個數據包，提取每個 數據包中的數據捕獲時間、源AID、目的AID、源端口、目的端口、協議類型以及應用層數據 交互信息，將數據捕獲時間、源AID、目的AID、源端口、目的端口、協議類型等信息存儲至數 據庫。同時，創建結果文件，將應用層數據交互信息按照應用協議的規定格式寫入結果文件 中，從而完成對訪問服務的數據的還原與重放，即對應用服務內容的還原與重放。綜上所述，本發明的用于分離映射網絡的數據分析裝置基及其方法采用了分層次 的模塊化結構，主要包括數據匯聚模塊201、服務分類與重組模塊202和服務還原模塊203。 其中，如圖2所示，數據匯聚模塊201是其它兩個模塊的基礎，為服務分類與重組模塊202 提供了匯總數據的接口 ；服務分類與重組模塊202通過分析匯總數據中的數據包，完成對 屬于不同訪問服務的數據包的分類與整理，為服務還原模塊203提供訪問服務數據的接 口 ；服務還原模塊203通過分析各個訪問服務數據，完成對應用服務內容的還原與重放。為了便于理解，圖7示出了本發明的網絡數據分析設備100中的數據流的一個例 子的示意圖。此外，如圖8所示，本發明的網絡數據分析設備100可以以第三方的監聽的模式運 行。在這一運行模式中，本發明的網絡數據分析設備不會增加所監聽的網絡的負載，也不會 影響所監聽的網絡上的其它設備的正常通信。而且，該運行模式對網絡通信雙方是透明的， 網絡入侵者無法檢測到正在進行監聽的網絡數據分析設備，從而可以確保網絡數據分析設 備自身的安全性。在圖8所示的情景中，數據還原設備通100在多個接入交換路由器104中捕獲正 在傳送的數據包，將所捕獲的數據包保存為多個數據文件(對應于多個匯總數據)，然后通 過本發明所述的方法完成對應用服務內容的還原與重放。此外，在圖9示出了應用計算機程序的子線程實現服務還原模塊203中的子例程 的流程圖。在圖9中，創建了與HTTP協議、FTP協議、SMTP協議和P0P3協議相對應的四個 獨立且并行地運行的子線程，用于對分別采用HTTP協議、FTP協議、SMTP協議和P0P3協議 傳輸的四個訪問服務數據分別進行數據重組。盡管參考典型實施例說明了本發明，但是應該理解，本發明不局限于所公開的典 型實施例。所附權利要求書的范圍符合最寬的解釋，以包含所有這類修改、等同結構和功 能。本發明的可以通過各種方式實現，例如，可以以應用程序、嵌入式設備或計算機等各種 方式實現。
10
權利要求
一種用于標識分離映射網絡的數據分析裝置，其包括數據匯聚模塊，其將從標識分離映射網絡中所捕獲的數據包存儲至匯總數據；服務分類與重組模塊，其將所述匯總數據中屬于一個訪問服務的數據包保存在與所述訪問服務相對應的訪問服務數據中；服務還原模塊，其分析所述訪問服務數據中的各個數據包，以完成對所述訪問服務的數據的還原與重放，其中，所述服務分類與重組模塊被配置為進行如下處理根據所述匯總數據中的控制信息數據包來獲得與各個訪問服務一一對應的各個路徑判斷基準組，其中，路徑判斷基準組包括與一個訪問服務的各條路徑相對應的各個路徑判斷基準，路徑判斷基準是與路徑的源及目的地有關的信息；從所述匯總數據中的數據包的報頭中解析出與源及目的地有關的信息，作為與所述匯總數據中的數據包對應的路徑判斷基準；將所述與所述匯總數據中的數據包對應的路徑判斷基準與所述路徑判斷基準組中的路徑判斷基準進行比較，以確定所述匯總數據中的數據包屬于哪個訪問服務。
2.根據權利要求1所述的數據分析裝置，其特征在于，所述路徑判斷基準是根據源端 口號和目的端口號以及源接入標識和目的接入標識算得的hash值。
3.根據權利要求1所述的數據分析裝置，其特征在于，所述訪問服務判斷基準由源端 口號和目的端口號以及源接入標識和目的接入標識共同組成。
4.根據權利要求1所述的數據分析裝置，其特征在于，所述服務還原模塊針對不同的 應用層網絡協議，分別創建不同的獨立且并行運行的子處理。
5.根據權利要求4所述的數據分析裝置，其特征在于，為所述一個或多個子處理分別 賦予不同的優先權值或分配不同數量的裝置資源。
6.根據權利要求2所述的數據分析裝置，其特征在于，當當所述與所述匯總數據中的數據包對應的路徑判斷基準與多個所述路徑判斷基準組 中的路徑判斷基準之一相同時，通過進一步根據所述匯總數據中的數據包的報頭中的源接 入標識和目的接入標識來確定所述匯總數據中的數據包屬于哪個訪問服務。
7.根據權利要求1所述的數據分析裝置，其特征在于，所述匯總數據是一個雙向鏈表。
8.根據權利要求1所述的數據分析裝置，其特征在于，所述數據匯聚模塊按照捕獲的 時間順序將所有數據包存儲至所述匯總數據。
9.根據權利要求2所述的數據分析裝置，其特征在于，當針對屬于同一訪問服務的不 同路徑所算得的hash值相沖突時，利用鏈地址法來避免沖突。
10.一種用于標識分離映射網絡的數據分析方法，其特征在于，包括如下步驟 數據匯聚步驟，其將從標識分離映射網絡中所捕獲的數據包存儲至匯總數據；服務分類與重組步驟，其將所述匯總數據中屬于一個訪問服務的數據包保存在與所述 訪問服務相對應的訪問服務數據中；服務還原步驟，其分析所述訪問服務數據中的各個數據包，以完成對所述訪問服務的 數據的還原與重放，其中，在所述服務分類與重組步驟中進行如下處理根據所述匯總數據中的控制信息數據包來獲得與各個訪問服務一一對應的各個路徑判斷基準組，其中，路徑判斷基準組包括與一個訪問服務的各條路徑相對應的各個路徑判 斷基準，路徑判斷基準是與路徑的源及目的地有關的信息；從所述匯總數據中的數據包的報頭中解析出與源及目的地有關的信息，作為與所述匯總數據中的數據包對應的路徑判斷基準；將所述與所述匯總數據中的數據包對應的路徑判斷基準與所述路徑判斷基準組中的 路徑判斷基準進行比較，以確定所述匯總數據中的數據包屬于哪個訪問服務。
全文摘要
本發明公開了基于用于標識分離映射網絡的數據分析裝置及其方法。所述數據分析裝置包括數據匯聚模塊，其將從標識分離映射網絡中所捕獲的數據包存儲至匯總數據；服務分類與重組模塊，其將所述匯總數據中屬于一個訪問服務的數據包保存在與所述訪問服務相對應的訪問服務數據中；服務還原模塊，其分析所述訪問服務數據中的各個數據包，以對完成所述訪問服務的數據的還原與重放。根據本發明的一個實施例的用于標識分離映射網絡的數據分析裝置或方法能夠為標識分離映射網絡中的網絡行提供可靠的監測技術。
文檔編號H04L12/26GK101873265SQ20101020139
公開日2010年10月27日 申請日期2010年6月9日 優先權日2010年6月9日
發明者萬明, 劉牧寅, 劉穎, 唐建強, 張宏科, 張棟純 申請人:北京交通大學