本申请实施例公开了一种捕包方法及装置、电子设备和存储介质,涉及计算机技术领域,能够增大业务处理时的带宽,使得系统的业务识别能力更加广泛,同时保证捕包的准确性。具体方案包括:获取网络数据流中的所有数据包,根据特征信息与筛选规则从多个捕包规则中确定至少一项目标捕包规则,以得到有至少一项目标捕包规则组成的捕包策略,根据捕包策略从所有数据包中获取目标数据包。据包中获取目标数据包。据包中获取目标数据包。
【技术实现步骤摘要】
一种捕包方法及装置、电子设备和存储介质
[0001]本申请涉及计算机领域,尤其涉及一种捕包方法及装置、电子设备和存储介质。
技术介绍
[0002]随着网络流量复杂程度越来越大,网络流量在高峰期时段会大幅度增加,企业级网络流量的监控、分析将会变得越来越困难。企业或者运维人员在进行流量分析时,由于对各个接口的网络流量的实际情况以及mac(Media Access Control,)、地址ip(internet protocol,网际互联协议)分布等流量分析数据没有明显的认知,使得流量分析变得非常困难。而流量分析数据的需要通过捕包获取。
[0003]相关技术中,流量分析数据的获取通常是对所有流量数据对应的数据包进行捕包后确定符合用户需求的流量分析数据。然而,由于网络中的流量越来越大,导致捕包设备在获取用户需求的流量分析数据时需要捕捉更多的数据包,获取流量分析数据的效率也就越来越低。
技术实现思路
[0004]本申请实施例提供一种捕包方法,能够增大业务处理时的带宽,使得系统的业务识别能力更加广泛,同时保证捕包时的准确性。
[0005]为达到上述目的,本申请的实施例采用如下技术方案:
[0006]第一方面,提供一种捕包方法,该方法包括:获取网络数据流中的所有数据包;其中,数据包中包括报文,报文含有特征信息,特征信息包括:源地址参数、目的地址参数、传输层协议、应用层协议、应用名称;根据特征信息与筛选规则从多个捕包规则中确定至少一项目标捕包规则组成的捕包策略;其中,多个捕包规则包括以下任一项或多项:根据源地址参数捕包、根据目的地址参数捕包、根据传输层协议捕包、根据应用层协议捕包、根据应用名称捕包;源地址参数包括源mac、源ip、源端口,目的地址参数包括目的mac、目的ip、目的端口;根据捕包策略从所有数据包中获取目标数据包。
[0007]结合第一方面,在另一种可能的实现方式中,根据特征信息与筛选规则从多个捕包规则中确定目标捕包规则,包括:将多个捕包规则转化为第一特征向量;将多个数据包中的特征信息转化为第二特征向量;根据第二特征向量与第一特征向量,在多个捕包规则中确定至少一项目标捕包规则。
[0008]结合第一方面,在另一种可能的实现方式中,根据捕包策略从所有数据包中获取目标数据包,包括:在捕包模式为第一模式的情况下,将符合目标捕包规则的数据包确定为目标数据包,并丢弃除目标数据包外的其他数据包;在捕包模式为第二模式的情况下,将不符合目标捕包规则的数据包确定为目标数据包,并丢弃除目标数据包外的其他数据包。
[0009]结合第一方面,在另一种可能的实现方式中,在捕包策略包括至少两个目标捕包规则的情况下,根据捕包策略从所有数据包中获取目标数据包,包括:在数据包不符合任一目标捕包规则的情况下,丢弃数据包;在数据包符合所有目标捕包规则的情况下,根据捕包
策略和第一方向在所有数据包中获取目标数据包;其中,第一方向为数据包由源地址参数指示的数据源设备发送至目的地址参数指示的目的设备。
[0010]结合第一方面,在另一种可能的实现方式中,在数据包不符合任一目标捕包规则的情况下,丢弃数据包,包括:在数据包不符合任一目标捕包规则的情况下,若未接收到双向指令,则丢弃数据包;其中,双向指令用于指示捕包策略的捕包方向包括第一方向和第二方向,第二方向为第一方向的反方向;
[0011]结合第一方面,在另一种可能的实现方式中,数据包不符合任一目标捕包规则的情况下,方法还包括:在数据包不符合任一目标捕包规则的情况下,若接收到双向指令,则根据捕包策略和第二方向在数据包中获取目标数据包。
[0012]结合第一方面,在另一种可能的实现方式中,方法还包括:将五元组信息相同的数据包合并为流;根据捕包策略中与五元组信息相关的目标捕包规则从所有流中获取目标流;根据捕包策略中与五元组信息不相关的目标捕包规则从目标流中获取目标数据包。
[0013]结合第一方面,在另一种可能的实现方式中,在根据特征信息与筛选规则从多个捕包规则中确定至少一项目标捕包规则,以得到由至少一项目标捕包规则组成的捕包策略,包括:根据特征信息与筛选规则从多个捕包规则中刚确定至少一项目标捕包规则;接收规则调节指令,并响应于规则调节指令调整目标捕包规则;根据目标捕包规则得到捕包策略。
[0014]第二方面,提供一种捕包设备,该捕包设备具有实现上述第一方面的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
[0015]第三方面,提供一种捕包装置,该捕包装置包括收包模块,用于获取网络数据流中的所有数据包;其中,数据包中包括报文,报文含有特征信息,特征信息包括:源地址参数、目的地址参数、传输层协议、应用层协议、应用名称;策略匹配模块,用于根据收包模块获取的数据包中的报文中含有的特征信息与筛选规则从多个捕包规则中确定至少一项目标捕包规则,以得到由至少一项目标捕包规则组成的捕包策略;其中,多个捕包规则包括以下任一项或多项:根据源地址参数捕包、根据目的地址参数捕包、根据传输层协议捕包、根据应用层协议捕包、根据应用名称捕包;源地址参数包括源mac、源ip、源端口,目的地址参数包括目的mac、目的ip、目的端口;捕包模块,用于根据策略匹配模块得到的捕包策略从收包模块获取的数据包中获取目标数据包。
[0016]第四方面,提供了一种捕包设备,包括:处理器和存储器;该存储器用于存储计算机执行指令,当该第一设备运行时,该处理器执行该存储器存储的该计算机执行指令,以使该第一设备执行如上述第一方面中任一项提供的捕包方法。
[0017]第五方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机可以执行上述第一方面中任一项提供的捕包方法。
[0018]第六方面,提供了一种包含指令的计算机程序产品,当其在捕包设备上运行时,使得捕包设备可以执行上述第一方面中任一项提供的捕包方法。
[0019]第七方面,提供了一种装置(例如,该装置可以是芯片系统),该装置包括处理器,用于支持捕包设备实现上述第一方面中所涉及的功能。在一种可能的设计中,该装置还包括存储器,该存储器,用于保存捕包设备必要的程序指令和数据。该装置是芯片系统时,可
以由芯片构成,也可以包含芯片和其他分立器件。
[0020]基于本申请实施例提供的技术方案,首先,捕包设备获取网络数据流中的所有数据包,使得所有数据包都可以参与到后续的捕包过程,即所有的数据包都可能在后续的捕包过程作为被捕包对象,保证了捕包对象的完整性与准确性;其次,根据特征信息与筛选规则从多个捕包规则中确定至少一项目标捕包规则,以得到有至少一项捕包规则组成的捕包策略,能够根据存在差异性的特征信息在多项捕包规则中确定至少一项最合适的目标捕包规则,由于每一项捕包规则都对应一项捕包过程,因此根据特征信息与筛选规则从多个捕包规则中确定至少一项目标捕包规则能够减少捕包过程,提高了捕包效率;最后本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种捕包方法,其特征在于,所述方法包括:获取网络数据流中的所有数据包;其中,所述数据包中包括报文,所述报文含有特征信息,所述特征信息包括:源地址参数、目的地址参数、传输层协议、应用层协议、应用名称;根据所述特征信息与筛选规则从所述多个捕包规则中确定至少一项目标捕包规则,以得到由所述至少一项目标捕包规则组成的捕包策略;其中,所述多个捕包规则包括以下任一项或多项:根据源地址参数捕包、根据目的地址参数捕包、根据传输层协议捕包、根据应用层协议捕包、根据应用名称捕包;所述源地址参数包括源物理层地址mac、源网络层地址ip、源端口,所述目的地址参数包括目的mac、目的ip、目的端口;根据所述捕包策略从所有所述数据包中获取目标数据包。2.根据权利要求1所述的捕包方法,其特征在于,所述根据所述特征信息与筛选规则从所述多个捕包规则中确定至少一项目标捕包规则,包括:将所述多个捕包规则转化为第一特征向量;将所述多个数据包中的所述特征信息转化为第二特征向量;根据所述第二特征向量与所述第一特征向量,在所述多个捕包规则中确定所述至少一项目标捕包规则。3.根据权利要求1所述的捕包方法,其特征在于,所述根据所述捕包策略从所有所述数据包中获取目标数据包,包括:在捕包模式为第一模式的情况下,将符合所述目标捕包规则的所述数据包确定为所述目标数据包,并丢弃除所述目标数据包外的其他所述数据包;在捕包模式为第二模式的情况下,将不符合所述目标捕包规则的所述数据包确定为所述目标数据包,并丢弃除所述目标数据包外的其他所述数据包。4.根据权利要求1所述的捕包方法,其特征在于,在所述捕包策略包括至少两个目标捕包规则的情况下,所述根据所述捕包策略从所有所述数据包中获取目标数据包,包括:在所述数据包不符合任一所述目标捕包规则的情况下,丢弃所述数据包;在所述数据包符合所有所述目标捕包规则的情况下,根据所述捕包策略和第一方向在所有所述数据包中获取所述目标数据包;其中,所述第一方向为所述数据包由所述源地址参数指示的数据源设备发送至所述目的地址参数指示的目的设备。5.根据权利要求4所述的捕包方法,其特征在于,所述在所述数据包不符合任一所述目标捕包规则的情况下,丢弃所述数据包,包括:在所述数据包不符合任一所述目标捕包规则的情况下,若未接收到双向指令,则丢弃所述数据包;其中,所述双向指令用于指示所述捕包策略的捕包方向包括所述第一方向和第二方向,所述第二方向为...
【专利技术属性】
技术研发人员:张中秋,
申请(专利权)人:北京安博通科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。