專利名稱：多鏈路報文捕獲方法、多鏈路報文處理方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及通信領(lǐng)域，尤其涉及一種多鏈路報文捕獲方法、多鏈路報文處理方法
及其對應(yīng)的系統(tǒng)。
背景技術(shù)：
隨著互聯(lián)網(wǎng)和網(wǎng)絡(luò)交換硬件的高速發(fā)展，局域網(wǎng)網(wǎng)絡(luò)出口的數(shù)據(jù)吞吐量日益增 大。例如，目前很多大型企業(yè)、學(xué)校等機構(gòu)，其采用的核心交換機的數(shù)據(jù)吞吐量都是大于 千兆的。由于這樣的數(shù)據(jù)吞吐量已經(jīng)超過了傳統(tǒng)的千兆網(wǎng)卡捕包的極限，采用千兆網(wǎng)卡捕 包的網(wǎng)絡(luò)審計產(chǎn)品應(yīng)用出現(xiàn)了困難。為解決上述問題，互聯(lián)網(wǎng)審計行業(yè)普遍采用零拷貝來 捕獲網(wǎng)絡(luò)報文，以達到提高抓包率的效果，或者，采用處理速度更快的硬件，如性能較佳的 英特爾(Intel) el000e網(wǎng)卡來抓取網(wǎng)絡(luò)報文，或者，加大接收報文緩存來緩解高速網(wǎng)絡(luò)報 文頻繁中斷帶來的性能損耗。 但是，面對日益增大的網(wǎng)絡(luò)數(shù)據(jù)吞吐量，即使同時使用零拷貝技術(shù)以及 Intelel000e網(wǎng)卡，也難免丟失數(shù)據(jù)包，另外，加大接收報文緩存也只能解決抓包速度與報 文分析速度之間的速度差所帶來的問題，卻不能解決抓包速度跟不上實際鏡像數(shù)據(jù)速度的 瓶頸問題。

發(fā)明內(nèi)容
本發(fā)明實施例所要解決的技術(shù)問題在于，提供一種多鏈路報文捕獲方法、多鏈路 報文處理方法、多鏈路報文捕獲系統(tǒng)及多鏈路報文處理系統(tǒng)，可實現(xiàn)網(wǎng)絡(luò)報文捕獲過程中 中央處理器的零參與，在大于千兆的網(wǎng)絡(luò)環(huán)境中捕獲報文而不丟失，減輕了多鏈路報文捕 獲系統(tǒng)的負荷，提高了捕獲報文的性能，另外在應(yīng)用層進行多鏈路報文分析時，應(yīng)用層處理 程序的負荷大大減輕。 為解決上述技術(shù)問題，本發(fā)明實施例采用如下技術(shù)方案
一種多鏈路報文捕獲方法，每條鏈路分別對應(yīng)系統(tǒng)內(nèi)核層中的一個環(huán)形緩沖，多條鏈 路對應(yīng)系統(tǒng)內(nèi)核層中的一個排序環(huán)形隊列，該方法包括
將從每條鏈路上獲得的報文寫入每條鏈路對應(yīng)的環(huán)形緩沖，
按照排序環(huán)形隊列采用的同步機制，將報文在其環(huán)形緩沖的內(nèi)存地址寫入排序環(huán)形隊列。 —種多鏈路報文處理方法，每條鏈路分別對應(yīng)系統(tǒng)內(nèi)核層中的一個環(huán)形緩沖，多條鏈路對應(yīng)系統(tǒng)內(nèi)核層中的一個排序環(huán)形隊列，該方法包括
將從每條鏈路上獲得的待分析報文寫入每條鏈路對應(yīng)的環(huán)形緩沖，并建立用于將各待 分析報文映射到應(yīng)用程序空間形成第一緩沖文件的第一映射文件；
按照排序環(huán)形隊列采用的同步機制，將待分析報文在其環(huán)形緩沖的內(nèi)存地址寫入排序 環(huán)形隊列，并建立用于將各內(nèi)存地址映射到應(yīng)用程序空間形成第二緩沖文件的第二映射文 件；
根據(jù)第一映射文件及第二映射文件，將各待分析報文及其內(nèi)存地址映射到應(yīng)用程序空
間，得到第一緩沖文件及第二緩沖文件；
啟動分析線程從第二緩沖文件中依次讀取各待分析報文的內(nèi)存地址， 根據(jù)各待分析報文的內(nèi)存地址，從第一緩沖文件中依次讀取并分析各待分析報文，得
到分析結(jié)果信息。 —種多鏈路報文捕獲系統(tǒng)，包括多個網(wǎng)卡驅(qū)動捕包模塊、多個在系統(tǒng)內(nèi)核層中設(shè) 置有環(huán)形緩沖的捕包環(huán)形緩沖管理模塊以及一個在系統(tǒng)內(nèi)核層中設(shè)置有排序環(huán)形隊列的 排序環(huán)形緩沖管理模塊，每條鏈路分別對應(yīng)一個網(wǎng)卡驅(qū)動捕包模塊、一個捕包環(huán)形緩沖管 理模塊，多條鏈路對應(yīng)一個排序環(huán)形緩沖管理模塊，其中 網(wǎng)卡驅(qū)動捕包模塊，用于從其對應(yīng)鏈路上獲得報文；
捕包環(huán)形緩沖管理模塊，用于將其對應(yīng)網(wǎng)卡驅(qū)動捕包模塊送達的報文寫入對應(yīng)的環(huán)形 緩沖；
排序環(huán)形緩沖管理模塊，用于按照排序環(huán)形隊列采用的同步機制，將各網(wǎng)卡驅(qū)動捕包 模塊記錄的報文在其環(huán)形緩沖的內(nèi)存地址寫入排序環(huán)形隊列。 —種多鏈路報文處理系統(tǒng)，包括多個網(wǎng)卡驅(qū)動捕包模塊、多個在系統(tǒng)內(nèi)核層中設(shè) 置有環(huán)形緩沖的捕包環(huán)形緩沖管理模塊、一個在系統(tǒng)內(nèi)核層中設(shè)置有排序環(huán)形隊列的排序 環(huán)形緩沖管理模塊以及一個應(yīng)用層讀包分析模塊，每條鏈路分別對應(yīng)一個網(wǎng)卡驅(qū)動捕包模 塊、一個捕包環(huán)形緩沖管理模塊，多條鏈路對應(yīng)一個排序環(huán)形緩沖管理模塊，其中 網(wǎng)卡驅(qū)動捕包模塊，用于從其對應(yīng)鏈路上獲得待分析報文；
捕包環(huán)形緩沖管理模塊，用于將其對應(yīng)網(wǎng)卡驅(qū)動捕包模塊送達的待分析報文寫入對應(yīng) 的環(huán)形緩沖，并建立用于將待分析報文映射到應(yīng)用程序空間形成第一緩沖文件的第一映射 文件；
排序環(huán)形緩沖管理模塊，用于按照排序環(huán)形隊列采用的同步機制，將各網(wǎng)卡驅(qū)動捕包 模塊記錄的待分析報文在其環(huán)形緩沖的內(nèi)存地址寫入排序環(huán)形隊列，并建立用于將內(nèi)存地 址映射到應(yīng)用程序空間形成第二緩沖文件的第二映射文件；
應(yīng)用層讀包分析模塊，用于對分別根據(jù)第一映射文件、第二映射文件映射到應(yīng)用程序 空間的各待分析報文及其內(nèi)存地址，啟動分析線程從第二緩沖文件中依次讀取各待分析報 文的內(nèi)存地址，并根據(jù)各待分析報文的內(nèi)存地址，從第一緩沖文件中依次讀取并分析各待 分析報文，得到分析結(jié)果信息。
本發(fā)明實施例的有益效果是
通過提供一種多鏈路報文捕獲方法及對應(yīng)的系統(tǒng)，每條鏈路分別對應(yīng)系統(tǒng)內(nèi)核層中的 一個環(huán)形緩沖，多條鏈路對應(yīng)系統(tǒng)內(nèi)核層中的一個排序環(huán)形隊列，該方法將從每條鏈路上 獲得的報文寫入每條鏈路對應(yīng)的環(huán)形緩沖，并按照排序環(huán)形隊列采用的同步機制，將報文
5在其環(huán)形緩沖的內(nèi)存地址寫入排序環(huán)形隊列。這樣，可實現(xiàn)網(wǎng)絡(luò)報文捕獲過程中中央處理 器的零參與，在大于千兆的網(wǎng)絡(luò)環(huán)境中捕獲報文而不丟失，減輕了多鏈路報文捕獲系統(tǒng)的 負荷，提高了捕獲報文的性能；另外，在采用本發(fā)明實施例的多鏈路報文處理方法及對應(yīng)的 系統(tǒng)，在應(yīng)用層進行多鏈路報文分析時，應(yīng)用層處理程序的負荷大大減輕。
下面結(jié)合附圖對本發(fā)明實施例作進一步的詳細描述。


圖1是本發(fā)明實施例的多鏈路報文處理方法的主要流程圖2是本發(fā)明實施例的多鏈路報文處理系統(tǒng)的主要結(jié)構(gòu)圖。
具體實施例方式
本發(fā)明實施例提供了一種多鏈路報文捕獲方法及多鏈路報文捕獲系統(tǒng)，其涉及的 每條鏈路分別對應(yīng)系統(tǒng)內(nèi)核層中的一個環(huán)形緩沖，多條鏈路對應(yīng)系統(tǒng)內(nèi)核層中的一個排序 環(huán)形隊列，主要是將從每條鏈路上獲得的報文寫入每條鏈路對應(yīng)的環(huán)形緩沖，并按照排序 環(huán)形隊列之間采用的同步機制，將報文在其環(huán)形緩沖的內(nèi)存地址寫入排序環(huán)形隊列，這樣， 可實現(xiàn)網(wǎng)絡(luò)報文捕獲過程中中央處理器的零參與，在大于千兆的網(wǎng)絡(luò)環(huán)境中捕獲報文而不 丟失，減輕了多鏈路報文捕獲系統(tǒng)的負荷，提高了捕獲報文的性能；另外，本發(fā)明實施例還 提供了一種多鏈路報文處理方法及多鏈路報文處理系統(tǒng)，其主要在上述多鏈路報文捕獲方 法基礎(chǔ)上，由應(yīng)用程序?qū)?yīng)用程序空間中映射過來的待分析報文內(nèi)存地址及待分析報文依 次進行讀取，最后對讀取得到的待分析報文進行分析，得到分析結(jié)果信息，這樣，在應(yīng)用層 進行多鏈路報文分析時，應(yīng)用層處理程序的負荷大大減輕，更有效地適應(yīng)各種實際網(wǎng)絡(luò)環(huán) 境，大大提高了多鏈路報文的分析效率。 下面通過一個具體實施例對本發(fā)明實施例的多鏈路報文處理方法及系統(tǒng)進行說 明，同時對本發(fā)明實施例的多鏈路報文捕獲方法及系統(tǒng)進行說明。 圖1是本發(fā)明實施例的多鏈路報文處理方法的主要流程圖，該方法基于多條用于 報文傳輸?shù)逆溌方M成的審計網(wǎng)絡(luò)，以及如圖2所示的多鏈路報文處理系統(tǒng)，該系統(tǒng)包括由 多個網(wǎng)卡驅(qū)動捕包模塊201、多個在系統(tǒng)內(nèi)核層中設(shè)置有環(huán)形緩沖的捕包環(huán)形緩沖管理模 塊202、一個在系統(tǒng)內(nèi)核層中設(shè)置有排序環(huán)形隊列的排序環(huán)形緩沖管理模塊203組成的多 鏈路報文捕獲系統(tǒng)，以及一個應(yīng)用層讀包分析模塊204，其中，每條鏈路分別對應(yīng)一個網(wǎng)卡 驅(qū)動捕包模塊201、一個捕包環(huán)形緩沖管理模塊202，多條鏈路對應(yīng)一個排序環(huán)形緩沖管理 模塊203，應(yīng)用層讀包分析模塊204分別對應(yīng)每個捕包環(huán)形緩沖管理模塊202及一個排序環(huán) 形緩沖管理模塊203，參照圖l，該方法主要包括
101，每個網(wǎng)卡驅(qū)動捕包模塊201從被審計網(wǎng)絡(luò)鏡像所得的對應(yīng)鏈路上獲得待分 析報文，具體地，每個網(wǎng)卡驅(qū)動捕包模塊201可根據(jù)網(wǎng)卡型號和對應(yīng)驅(qū)動版本，對當(dāng) 前流通性能較好的千兆網(wǎng)卡驅(qū)動進行修改，把網(wǎng)卡捕獲報文中斷的直接存儲器訪問
6(DirectMemoryAccess， DMA)地址修改為其對應(yīng)捕包環(huán)形緩沖管理模塊202的環(huán)形緩沖中 某一存儲節(jié)點的地址，并取消其向上層協(xié)議棧提交待分析報文的操作，通過該項修改，網(wǎng)卡 驅(qū)動捕包模塊201每次中斷時，就會向其對應(yīng)捕包環(huán)形緩沖管理模塊202申請環(huán)形緩沖中 的存儲節(jié)點，作為下一待分析報文的DMA地址，從而為下一待分析報文預(yù)留存儲節(jié)點，同時 將當(dāng)前獲得的待分析報文采用DMA方式傳送到其對應(yīng)捕包環(huán)形緩沖管理模塊202的環(huán)形緩 沖中已預(yù)留的存儲節(jié)點進行存儲，應(yīng)用層讀包分析模塊204運行應(yīng)用程序時即可訪問各個 網(wǎng)卡驅(qū)動捕包模塊201對應(yīng)環(huán)形緩沖中的存儲節(jié)點，就可以得到待分析報文；
每個網(wǎng)卡驅(qū)動捕包模塊202在報文中斷處理后，把待分析報文在對應(yīng)環(huán)形緩沖中的內(nèi) 存地址信息、鏈路對應(yīng)網(wǎng)卡序號信息提交到對應(yīng)的排序環(huán)形緩沖管理模塊203，排序環(huán)形緩 沖管理模塊203把各待分析報文的內(nèi)存地址依次寫入排序環(huán)形隊列末尾，這樣，應(yīng)用層讀 包分析模塊204運行應(yīng)用程序時即可通過訪問排序環(huán)形緩沖管理模塊203的排序環(huán)形隊 列，得到網(wǎng)絡(luò)鏡像的待分析報文在捕包環(huán)形緩沖管理模塊202的環(huán)形緩沖中的位置，從而 訪問待分析報文；
根據(jù)上文所述，各網(wǎng)卡驅(qū)動捕包模塊201可包括如圖2所示的結(jié)構(gòu)
接收模塊2011，用于從其對應(yīng)鏈路上獲得報文；
第一傳送模塊2012，用于將接收模塊2011獲得的報文采用DMA方式傳送到其對應(yīng)捕包 環(huán)形緩沖管理模塊202的環(huán)形緩沖中預(yù)留的存儲節(jié)點進行存儲；
第二傳送模塊2013，用于將記錄的報文在其環(huán)形緩沖的內(nèi)存地址傳送到排序環(huán)形緩沖 隊列管理模塊203的排序環(huán)形隊列；
102，每個捕包環(huán)形緩沖管理模塊202將其對應(yīng)網(wǎng)卡驅(qū)動捕包模塊201送達的待分析 報文寫入對應(yīng)的環(huán)形緩沖，并建立用于將待分析報文映射到應(yīng)用程序空間形成第一緩沖文 件的第一映射文件，具體地，每個捕包環(huán)形緩沖管理模塊202根據(jù)傳入的參數(shù)，為從網(wǎng)卡驅(qū) 動捕包模塊201傳送來的報文分配環(huán)形緩沖中的存儲節(jié)點，并建立第一映射文件，該第一 映射文件可以是proc內(nèi)存映射文件，捕包環(huán)形緩沖管理模塊202在初始化的時候，在系統(tǒng) 內(nèi)核層中申請固定大小的環(huán)形緩沖，每次網(wǎng)卡驅(qū)動捕包模塊201捕獲待分析報文產(chǎn)生中斷 時，就會向其對應(yīng)捕包環(huán)形緩沖管理模塊202申請一個空間，即存儲節(jié)點，作為下一待分析 報文的DMA地址，捕包環(huán)形緩沖管理模塊202在環(huán)形緩沖中遍歷尋找空余的存儲節(jié)點以提 供給對應(yīng)的網(wǎng)卡驅(qū)動捕包模塊201 ;
另一方面，每個捕包環(huán)形緩沖管理模塊202通過proc文件系統(tǒng)的映射功能，根據(jù)上述 第一映射文件，將各待分析報文映射到應(yīng)用程序空間，以第一緩沖文件方式提供給應(yīng)用程 序訪問，該第一緩沖文件包含各待分析報文的內(nèi)容；
103，排序環(huán)形緩沖管理模塊203按照排序環(huán)形隊列采用的同步機制，將各待分析報文 在其環(huán)形緩沖的內(nèi)存地址寫入排序環(huán)形隊列，并建立用于將內(nèi)存地址映射到應(yīng)用程序空間 形成第二緩沖文件的第二映射文件，具體地，為了能夠給多條鏈路上的報文按照時間進行 排序，從而提供給應(yīng)用層讀包分析模塊204進行處理，本方法采用了一個排序環(huán)形緩沖管 理模塊，當(dāng)各網(wǎng)卡驅(qū)動捕包模塊201捕獲待分析報文產(chǎn)生中斷時，中斷處理函數(shù)把存儲當(dāng) 前待分析報文的內(nèi)存地址傳遞到排序環(huán)形緩沖管理模塊203，排序環(huán)形緩沖管理模塊203 的排序環(huán)形隊列的寫入操作可采用自旋鎖同步機制或其他同步機制進行同步，每個捕包環(huán) 形緩沖管理模塊202根據(jù)待分析報文寫入的先后順序，把待分析報文放置到前次已申請的環(huán)形緩沖的存儲節(jié)點；
另一方面，排序環(huán)形緩沖管理模塊203通過proc文件系統(tǒng)的映射功能，根據(jù)上述第二 映射文件，將各待分析報文的內(nèi)存地址映射到應(yīng)用程序空間，以第二緩沖文件方式提供給 應(yīng)用程序訪問，第二緩沖文件中包含各待分析報文的內(nèi)存地址，這樣，應(yīng)用層讀包分析模塊 204通過訪問該第二緩沖文件中記錄的內(nèi)存地址，按照待分析報文到達的先后順序，得到每 個鏈路的待分析報文的位置，從而得到待分析報文的內(nèi)容；
每個網(wǎng)卡驅(qū)動捕包模塊201、每個捕包環(huán)形緩沖管理模塊202、排序環(huán)形緩沖管理模塊 203根據(jù)上述101 、 102、 103步驟處理后，應(yīng)用層讀包分析模塊204即可對多鏈路對應(yīng)的待分 析報文進行集中分析處理；
104，應(yīng)用層讀包分析模塊204對分別根據(jù)第一映射文件、第二映射文件映射到應(yīng)用程 序空間的各待分析報文及其內(nèi)存地址，啟動分析線程從第二緩沖文件中依次讀取各待分析 報文的內(nèi)存地址，并根據(jù)各待分析報文的內(nèi)存地址，從第一緩沖文件中依次讀取并分析各 待分析報文，得到分析結(jié)果信息，具體地，應(yīng)用層讀包分析模塊204根據(jù)配置文件進行初始 化后，讀取多個鏈路上的第一緩沖文件及第二緩沖文件，并將它們映射到應(yīng)用程序空間使 應(yīng)用程序能夠訪問；
應(yīng)用層讀包分析模塊204啟動多個分析線程，從第二緩沖文件中依次讀取待分析報文 的內(nèi)存地址，再根據(jù)內(nèi)存地址讀取第一緩沖文件中的待分析報文的存儲節(jié)點，并對各存儲 節(jié)點進行分析，置標志位，完成分析過程。 需要說明的是，本發(fā)明實施例的多鏈路報文捕獲方法及多鏈路報文處理方法可基 于按照虛擬局域網(wǎng)劃分的多條鏈路，或者，基于采用單向鏡像劃分單鏈路所得的兩條鏈路。
另外，本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流 程，是可以通過程序來指令相關(guān)的硬件來完成，所述的程序可存儲于一計算機可讀存 儲介質(zhì)中，該程序在執(zhí)行時，可包括如上述各方法的實施例的流程。其中，所述的存 儲介質(zhì)可為磁碟、光盤、只讀存儲記憶體(Read-OnlyMemory， ROM)或隨機存儲記憶體 (RandomAccessMemory，廳)等。 以上所述是本發(fā)明的具體實施方式
，應(yīng)當(dāng)指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員
來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也視為
本發(fā)明的保護范圍。
8
權(quán)利要求
一種多鏈路報文捕獲方法，其特征在于，每條鏈路分別對應(yīng)系統(tǒng)內(nèi)核層中的一個環(huán)形緩沖，多條鏈路對應(yīng)系統(tǒng)內(nèi)核層中的一個排序環(huán)形隊列，該方法包括將從每條鏈路上獲得的報文寫入每條鏈路對應(yīng)的環(huán)形緩沖，按照排序環(huán)形隊列采用的同步機制，將報文在其環(huán)形緩沖的內(nèi)存地址寫入排序環(huán)形隊列。
2. 如權(quán)利要求1所述的方法，其特征在于，將從每條鏈路上獲得的報文寫入每條鏈路對應(yīng)的環(huán)形緩沖具體為采用直接存儲器訪問方式將從每條鏈路上獲得的報文寫入每條鏈路對應(yīng)環(huán)形緩沖中預(yù)留的存儲節(jié)點。
3. 如權(quán)利要求1所述的方法，其特征在于，排序環(huán)形隊列采用自旋鎖同步機制。
4. 如權(quán)利要求1至3中任一項所述的方法，其特征在于，該方法基于按照虛擬局域網(wǎng)劃分的多條鏈路，或者，該方法基于采用單向鏡像劃分單鏈路所得的兩條鏈路。
5. —種多鏈路報文處理方法，其特征在于，每條鏈路分別對應(yīng)系統(tǒng)內(nèi)核層中的一個環(huán)形緩沖，多條鏈路對應(yīng)系統(tǒng)內(nèi)核層中的一個排序環(huán)形隊列，該方法包括將從每條鏈路上獲得的待分析報文寫入每條鏈路對應(yīng)的環(huán)形緩沖，并建立用于將各待分析報文映射到應(yīng)用程序空間形成第一緩沖文件的第一映射文件；按照排序環(huán)形隊列采用的同步機制，將待分析報文在其環(huán)形緩沖的內(nèi)存地址寫入排序環(huán)形隊列，并建立用于將各內(nèi)存地址映射到應(yīng)用程序空間形成第二緩沖文件的第二映射文件；根據(jù)第一映射文件及第二映射文件，將各待分析報文及其內(nèi)存地址映射到應(yīng)用程序空間，得到第一緩沖文件及第二緩沖文件；啟動分析線程從第二緩沖文件中依次讀取各待分析報文的內(nèi)存地址，根據(jù)各待分析報文的內(nèi)存地址，從第一緩沖文件中依次讀取并分析各待分析報文，得到分析結(jié)果信息。
6. 如權(quán)利要求5所述的方法，其特征在于，該方法基于按照虛擬局域網(wǎng)劃分的多條鏈路，或者，該方法基于采用單向鏡像劃分單鏈路所得的兩條鏈路。
7. —種多鏈路報文捕獲系統(tǒng)，其特征在于，包括多個網(wǎng)卡驅(qū)動捕包模塊、多個在系統(tǒng)內(nèi)核層中設(shè)置有環(huán)形緩沖的捕包環(huán)形緩沖管理模塊以及一個在系統(tǒng)內(nèi)核層中設(shè)置有排序環(huán)形隊列的排序環(huán)形緩沖管理模塊，每條鏈路分別對應(yīng)一個網(wǎng)卡驅(qū)動捕包模塊、一個捕包環(huán)形緩沖管理模塊，多條鏈路對應(yīng)一個排序環(huán)形緩沖管理模塊，其中網(wǎng)卡驅(qū)動捕包模塊，用于從其對應(yīng)鏈路上獲得報文；捕包環(huán)形緩沖管理模塊，用于將其對應(yīng)網(wǎng)卡驅(qū)動捕包模塊送達的報文寫入對應(yīng)的環(huán)形緩沖；排序環(huán)形緩沖管理模塊，用于按照排序環(huán)形隊列采用的同步機制，將各網(wǎng)卡驅(qū)動捕包 模塊記錄的報文在其環(huán)形緩沖的內(nèi)存地址寫入排序環(huán)形隊列。
8. 如權(quán)利要求7所述的系統(tǒng)，其特征在于，網(wǎng)卡驅(qū)動捕包模塊包括 接收模塊，用于從其對應(yīng)鏈路上獲得報文；第一傳送模塊，用于將接收模塊獲得的報文采用直接存儲器訪問方式傳送到其對應(yīng)捕 包環(huán)形緩沖管理模塊的環(huán)形緩沖中預(yù)留的存儲節(jié)點進行存儲；第二傳送模塊，用于將記錄的報文在其環(huán)形緩沖的內(nèi)存地址傳送到排序環(huán)形緩沖隊列 管理模塊的排序環(huán)形隊列。
9. 如權(quán)利要求7所述的系統(tǒng)，其特征在于，所述同步機制為自旋鎖同步機制。
10. —種多鏈路報文處理系統(tǒng)，其特征在于，包括多個網(wǎng)卡驅(qū)動捕包模塊、多個在系統(tǒng) 內(nèi)核層中設(shè)置有環(huán)形緩沖的捕包環(huán)形緩沖管理模塊、一個在系統(tǒng)內(nèi)核層中設(shè)置有排序環(huán)形 隊列的排序環(huán)形緩沖管理模塊以及一個應(yīng)用層讀包分析模塊，每條鏈路分別對應(yīng)一個網(wǎng)卡 驅(qū)動捕包模塊、一個捕包環(huán)形緩沖管理模塊，多條鏈路對應(yīng)一個排序環(huán)形緩沖管理模塊，其 中網(wǎng)卡驅(qū)動捕包模塊，用于從其對應(yīng)鏈路上獲得待分析報文；捕包環(huán)形緩沖管理模塊，用于將其對應(yīng)網(wǎng)卡驅(qū)動捕包模塊送達的待分析報文寫入對應(yīng) 的環(huán)形緩沖，并建立用于將待分析報文映射到應(yīng)用程序空間形成第一緩沖文件的第一映射 文件；排序環(huán)形緩沖管理模塊，用于按照排序環(huán)形隊列采用的同步機制，將各網(wǎng)卡驅(qū)動捕包 模塊記錄的待分析報文在其環(huán)形緩沖的內(nèi)存地址寫入排序環(huán)形隊列，并建立用于將內(nèi)存地 址映射到應(yīng)用程序空間形成第二緩沖文件的第二映射文件；應(yīng)用層讀包分析模塊，用于對分別根據(jù)第一映射文件、第二映射文件映射到應(yīng)用程序 空間的各待分析報文及其內(nèi)存地址，啟動分析線程從第二緩沖文件中依次讀取各待分析報 文的內(nèi)存地址，并根據(jù)各待分析報文的內(nèi)存地址，從第一緩沖文件中依次讀取并分析各待 分析報文，得到分析結(jié)果信息。
全文摘要
本發(fā)明實施例涉及一種多鏈路報文捕獲方法，每條鏈路分別對應(yīng)系統(tǒng)內(nèi)核層中的一個環(huán)形緩沖，多條鏈路對應(yīng)系統(tǒng)內(nèi)核層中的一個排序環(huán)形隊列，該方法將從每條鏈路上獲得的報文寫入每條鏈路對應(yīng)的環(huán)形緩沖，并按照排序環(huán)形隊列采用的同步機制，將報文在其環(huán)形緩沖的內(nèi)存地址寫入排序環(huán)形隊列。本發(fā)明實施例還提供了一種多鏈路報文處理方法以及對應(yīng)的系統(tǒng)。采用本發(fā)明實施例的方法及系統(tǒng)，可實現(xiàn)網(wǎng)絡(luò)報文捕獲過程中中央處理器的零參與，在大于千兆的網(wǎng)絡(luò)環(huán)境中捕獲報文而不丟失，減輕了多鏈路報文捕獲系統(tǒng)的負荷，提高了捕獲報文的性能。
文檔編號H04L12/56GK101764760SQ20101013138
公開日2010年6月30日 申請日期2010年3月24日 優(yōu)先權(quán)日2010年3月24日
發(fā)明者林飛, 申屠青春, 黃劍峰 申請人:深圳市中科新業(yè)信息科技發(fā)展有限公司