此发明专利技术与在数据网络中采用数据包传输模式监测数据流的数据采集器相关,包括用于提取数据的提取器,这些被提取的数据包含在由一个发送器、接收器和协议定义的数据流中的数据包里。此采集器同时包含从提取器中实时接收数据并且根据协议语法规则分拆数据至单元的语法分析器,上述语法规则使单元用树状结构表征。语法分析器将单独的树状分析器与至少一些单元结合,在此中,与一个单元相结合的树状状态分析器把上述单元放入树状结构当中。一个接口将与单元相结合的树状状态指示器发送至采集器外部的一个数据流分析器。
【技术实现步骤摘要】
【国外来华专利技术】适用于监测数据网络数据流的数据采集装置本专利技术涉及用于监测数据网络中的通信数据流的技术。在监测诸如互联网之类的数据网络中的数据流的情况下,设备面临着使用大量协议和数据传送量以及发送机/接收机多样性的问题。目前,有两类实施这种数据流监测的装置。第一类装置收集在指定时间周期内的数据包组,然后在下一步骤中,分析和处理所收集到的数据包。这类装置的实例是Wireshark品牌(前身为Ethereal品牌)所发布的软件。第二类装置运用硬件机制获取数据,然后传送至分析装置。通常,在获取和分析装置之间所传送信息是基于在参考RFC3917的IETF(InternetEngineeringTaskForce、互联网任务组)提出的标准化IPFIX协议。在“应用层协议语法结合异常监测”(详见InformationSystemsSecurity,Springer,pp.188-202,December2008,P.Düsseletal.)一文讨论了应用层协议语法结合监测远程通信网络中的异常现象的过程。一个称之为“Bro”的入侵检测系统获取在网络中的数据包并且重新组装TCP分段,以便将输入的数据包传送至一种称之为“binpac”的语法分析器语言(yacc)的协议分析器。申请者已经开发了适用于互联网类型的网络监测技术。尤其是,在专利申请书EP17222509A1和EP1722508A1中描述了多层次构架,它能实时检查复杂协议栈以便从中提取数据流的,即在发送机和接收机之间传送的结构性数据组。鉴于在数据采集器层面需要处理的信息量,后者必须限制于只执行对传送相关信息绝对必要的处理过程,并且也仅仅只传送那些信息到分析器。有一些解决方案只将需要处理操作的数据下载至采集器,允许传送结构性的相关信息。然而,考虑到数据采集器实时监测的信息量,这些方案都需要开发高性能的硬件架构。其它类型的解决方案限制了数据采集器实施的处理,使之只能传送非结构性的数据,包括冗余和/或不必要的数据,这会导致对分析器层面及其与数据采集器接口的其它限制。有些其它解决方案可能包含在分析器层面执行延期处理。尽管如此,这会导致执行监测数据流应用的反映能力下降。因此,提出了一种数据采集技术,有利的是,它有可能在限制处理所采集和编辑这些数据所需硬件资源的同时,只将结构性的相关数据传送至分析器。根据本专利技术,提出了一种数据采集装置,其适用于监测使用数据包传输模式的数据网络的数据流。该装置包含:●数据提取器,用于提取在属于发送机、接收机和协议所定义数据流的数据包中所包含的数据;●语法分析器,用于:-实时接收来自提取器的数据;-将所接收到的数据根据所述协议的语法规则分拆成单元,该语法规则有可能使得所述元素可由树状结构来表征;以及,-将各个树状状态指示器与至少一些所述单元相关联,其中这些与单元相关联的树状状态指示器标记在树状结构中的所述单元;以及,●接口,用于将树状状态指示器以及与其相关联的单元一起传送至数据流分析器。在装置的实施例中,与单元相关联的树状状态指示器包含树状结构母节点的标识符,其附加接收在树状结构表征中的所述单元的位置。语法分析器用于:-如确定根据语法规则接收到当前元素,该元素在树状接收表征中的树状结构节点的合适位置上,则将节点标识符分配给当前元素;以及,-包括分配给与所述当前元素相关的树状状态指示器中的当前元素的节点标识符。在优选的实施例中,语法分析器用于,对于在元素及其相关的树状状态指示器传送之后的给定数据流而言包含于存储器中,仅仅只在树状结构从树状结构表征中接收所述元素的位置向上移动时才会遇到各个节点标识符。本专利技术的另一个方面涉及用于监测使用数据包传输模式的数据网络中的数据流的系统。该系统包含上述定义的数据采集装置和用于接收已传送与树状状态指示器相关的元素的数据流分析器。本专利技术的另外一方面还涉及监测使用数据包传送模式的数据网络中的数据流的方法。该方法包含:●提取属于发送器、接收器和协议所定义数据流的数据包所包含的数据;●实时将所接收到的数据根据所述协议的语法规则分拆成单元,使之有可能根据树状结构来表征所述元素;●将各个树状状态指示器与至少一些所述单元相关联,其中与单元相关联的树状状态指示器标记在树状结构中的所述单元;以及,●将树状状态指示器及与其相关联的单元一起传送至数据流分析器。该方法还可包含,由所发送的与树状状态指示器相关联的元素,在数据流分析器层面,构成树状结构的至少部分结构。本专利技术的其它特征和优点将从参考附图的下述非限制性实例的描述中变得更加明晰。附图包括:-图1是根据本专利技术实施例在数据网络中的监测系统的示意图;-图2是图1所示监测系统的数据采集装置的功能示意图;-图3是图2所示的采集装置的操作流程图;-图4是根据专利技术实施例将HTTP(超文本传输协议)请求分拆成动态树状的实例说明;以及;-图5示出了在邮件协议下的树状结构的实例。参考图1,监测系统包含直接与数据网络3(例如互联网)相连接的数据采集器1,使用IP(“互联网协议”)数据包类型协议来获取流经该网络的数据包。数据采集器1使用例如专利申请EP1722509A1或专利申请EP1722508A1所详细阐述的架构。它通过数据连接5将从流过数据网络3的数据包中提取的结构数据发送至分析器7。数据网络3的数据传输通常使用传输协议栈。比如说,在网站搜索时,IP数据包包含TCP(传输控制协议)协议数据结构,该数据结构自身包含HTTP(超文本传输协议)数据结构。在电子邮件传送时,TCP数据结构包含SMTP(简单邮件传输协议)数据结构,等等。根据所考虑到的数据流类型,使用许多其它应用层和传输层的协议,这些都是在IP网络通信领域中众所周知的。在单个IP数据包中几乎不包含在给定数据流中的信息。相反地,该信息是分片的,以便通过几个连续的数据包来传送。这些IP数据包在网络中流动,数据包的包头包含路由信息,尤其是数据包来源和目的的IP地址。属于其它数据流的数据包可插入其中。这些数据包可以在数据网络中以不同的路由方式流动并且/或者可以它们发送的不同顺序来接收。为了监测给定数据流,方便的方法是鉴别属于所讨论数据流的数据包、从中提取相关信息并且根据所讨论的监测应用要求来进行分析。在图1所示的架构中,鉴别和提取由数据采集器1来提供,监测应用本身由分析器7来执行。参考图2,数据采集器1包括连接着网络3的节点或链路的数据提取器11,以便观察流量。数据提取器11有用于在提取器连接节点或链路层级上,由网络3所使用的低协议层的网络接口。它提取在属于发送器、接收器和协议(例如传输电子邮件时的SMTP,网络浏览时的HTTP等)所定义的指定数据流中的数据包所包含的数据。数据采集器1还包括语法分析器13,用于实时接收由提取器11从给定数据流中提取到的数据。语法分析器13拥有组合与讨论数据流的相关协议的语法规则的软件资源。它将从数据流中提取出来的数据分拆成单元,以数据协议语法来表示,也称之为项目。于是,将所获得的单元提供给接口15,由接口负责把它们及其树状状态指示器一起传送至外部分析器7。根据适用于协议的语法规则,语法分析器13将数据流数据分拆成单元,使之有可能根据树状结构来表征这些单元。实际上,在数据采集器1层面,并非以完整的形式来存储树状结构。而是本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.06.23 FR 10550161.适用于监测使用数据包传输模式的数据网络(3)中的数据流的系统,所述系统包括数据流分析器(7)和数据采集装置(1),所述数据采集装置包括:·数据提取器(11),用于提取属于发送机、接收机和协议所定义数据流的数据包中的数据;·语法分析器(13),用于:-实时接收来自提取器的数据;-根据所述协议语法规则将所接收到的数据分拆成树状结构的单元;以及,-将各个树状状态指示器与至少一些所述单元相关联,这些与单元相关联的树状状态指示器在树状结构中标记所述单元;以及,·接口(15),用于将树状状态指示器连同与其相关联的单元一起发送至所述数据流分析器(7),其特征在于,所述数据流分析器用于接收已经发送的与树状状态指示器关联的数据,以及构架与树状状态指示器相关联的至少一部分树状结构。2.根据权利要求1所述的系统,其特征在于,所述与单元相关联的树状状态指示器包含树状结构母节点的标识符,其附加在树状结构表征的接收所述单元的位置。3.根据权利要求2所述的系统,其特征在于,所述语法分析器(13)还用于:-如若确定根据语法规则已经接收到在树状结构表征中处于树状结构的节点合适位置上的当前单元,则将节点标识符分配给当前单元;以及,-将分配给当前单元的节点标识符包含在与当前单元相关联的树状状态指示器中。4.根据权利要求3所述的系统,其特征在于,针对发送单元及...
【专利技术属性】
技术研发人员:杰罗米·托莱特,杰罗米·阿贝拉,
申请(专利权)人:QOSMOS公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。