CN111737222A - 基于一对多请求响应模型消息队列数据包存储检索的方法 - Google Patents
基于一对多请求响应模型消息队列数据包存储检索的方法 Download PDFInfo
- Publication number
- CN111737222A CN111737222A CN202010587188.XA CN202010587188A CN111737222A CN 111737222 A CN111737222 A CN 111737222A CN 202010587188 A CN202010587188 A CN 202010587188A CN 111737222 A CN111737222 A CN 111737222A
- Authority
- CN
- China
- Prior art keywords
- network
- data packet
- mirror image
- network session
- message queue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/182—Distributed file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
- G06F16/134—Distributed indices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/148—File search processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/172—Caching, prefetching or hoarding of files
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Library & Information Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于一对多请求响应模型消息队列数据包存储检索的方法,存储工作包括以下步骤:网络镜像端抓取网络流量中的数据包,保存在所述网络镜像端的本地磁盘上;将数据包解析,并以解析的数据包信息建立一个网络会话索引;将网络会话的索引信息发送到服务端的搜索服务器。检索的工作API服务端接收请求者需要检索的数据包条件;NATS服务接收的网络会话索引信息,并发送给网络镜像端;网络流量镜像端对网络会话索引信息进行检索和处理;API服务端接收步骤网络镜像端的处理结果,下载数据包,反馈给用户。本发明解决了因网络数据包的传输大且过于频繁集中,造成网络传输效率低以及网络拥塞,影响正常业务的正常运作的技术问题。
Description
技术领域
本发明涉及网络数据包的存储及检索技术领域,具体的说,是基于一对多请求响应模型消息队列数据包存储检索的方法。
背景技术
在复杂的网络环境中,技术人员会面临各种问题或故障需研究并解决,比如可能有系统或应用参数配置不当,也可能恶意软件感染等,都可能对正常应用造成影响。对数据包进行协议分析,能够详细的了解网络上正在或过去到底发生什么,是遇到疑难杂症时候最常用和最有效的方法。当需要对于历史网络事件进行追溯时,就要有可以在网络上捕获、存储原始数据包,后期能快速检索到所需历史数据包的工具。
传统的网络数据包的存储,检索的方法一般通过直接抓包或交换机旁路镜像的方式采集,然后通过网络或者消息队列的方式将数据包数据和数据包的索引传输到分析检索的服务端,然后在一个或者多个服务端集中处理存储,检索这样一个流程来实现的。这种方法确实有利于数据包的检索速度,处理效率,但当由于网络环境、业务需要等一些原因,导致流量非常的大,需要镜像的点非常多的时候,这种方式会极大的降低镜像端的网络传输效率甚至造成网络堵塞,存储检索服务端的存储和处理压力也会很大,虽然采用分布式的存储检索服务端能有效减少服务端处理压力,但是镜像端到服务端的网络传输的压力依然存在,造成这种问题的根本原因是因为采集的网络数据包的传输过于频繁集中,造成网络传输效率低以及网络拥塞。
发明内容
本发明的目的在于提供基于一对多请求响应模型消息队列数据包存储检索的方法,用于解决因网络数据包的传输大且过于频繁集中,造成网络传输效率低以及网络拥塞,影响正常业务的正常运作的技术问题。
本发明通过下述技术方案解决上述问题:
基于一对多请求响应模型消息队列数据包存储检索的方法,包括存储工作流程和检索工作流程,所述存储工作流程包括以下步骤:
步骤A1)网络镜像端抓取网络流量中的数据包,保存在所述网络镜像端的本地磁盘上;
步骤A2)将数据包解析,并以解析的数据包信息建立一个网络会话索引;
步骤A3)将网络会话的索引信息发送到服务端的搜索服务器;
基于存储工作的完成,所述检索工作流程包括以下步骤:
步骤B1)API服务端接收请求者需要检索的数据包条件;
步骤B2)API服务端将步骤B1)所述的数据包条件在搜索服务器的网络会话库中进行检索并匹配出对应的网络会话索引信息;
步骤B3)网络镜像端通过NATS服务与服务检索的API服务端建立主题消息通道,NATS服务接收步骤B2)的网络会话索引信息,并发送给网络镜像端;
步骤B4)网络流量镜像端对步骤B3)分发的网络会话索引信息进行检索和处理;
步骤B5)API服务端接收步骤B4)网络镜像端的处理结果,下载数据包,反馈给用户。
优选地,步骤A2)中所述网络会话包括数据包的源IP地址、目的IP地址、源端口、目的端口、协议、应用层协议的基本字段、所述数据包所在的文件名,以及文件内所有数据包在文件中的初始偏移量、数据包的长度的信息。
优选地,步骤A2)中所述数据包的网络会话索引有且只有一个。
本发明与现有技术相比,具有以下优点及有益效果:
本发明由于网络镜像端抓取到的数据包没有直接发送到服务端,而是直接存储在了各个网络镜像端本地磁盘上,只把数据包解析封装成网络会话形式的数据传送到了服务端,有效的减少数据的传输量和传输大小,极大的减缓了网络镜像端的网络压力;而数据包的分散式的存储方式给数据包的检索造成了困难,本方案通过具有一对多请求响应模型的消息队列来请求多镜像端的会话数据包并得到响应结果,通过分布式文件存储系统上传和下载检索到的数据包文件的方式有效的解决了分散式的存储方式给数据包的检索造成的问题,提高了适用性的同时提高了用户体验感。
附图说明
图1为一对多请求响应模型特性及效果图;
图2为本发明的流程示意图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
实施例1:
结合图1和图2所示,基于一对多请求响应模型消息队列数据包存储检索的方法,步骤A1)网络镜像端抓取到原始数据包后,直接以PCAP文件格式存储在网络镜像端本地磁盘中;步骤A2)网络镜像端对数据包进行解析,并将解析到的源IP地址、目的IP地址、源端口、目的端口、协议、应用层协议的基本字段、数据包所在的pcap文件名,以及数据包在pcap文件中的初始偏移量、数据包的长度信息封装成一个网络会话索引,每个数据包的网络会话索引有且只有一个;步骤A3)网络镜像端将网络会话索引发送到搜索服务器中保存,提供后续数据包的检索,数据包的存储工作完成,减少大量原始数据包的传输。基于存储工作的完成,当需要进行检索工作时,步骤B1)API检索端接收请求者需要检索的数据包条件;步骤B2)API服务端根据步骤B1)需要检索的数据包条件在搜索服务器的网络会话索引库中检索并匹配出对应的网络会话索引信息;步骤B3)通过一对多请求响应模型消息队列的NATS服务使一个API服务端与多个网络镜像端建立起一个共用的主题消息通道,NATS服务接收步骤B2) 检索查询到的网络会话索引信息;并且NATS服务将该网络会话索引消息发送给本主题消息队列下的每个网络镜像端;步骤B4)每个网络镜像端接收到NATS 服务分发下来的需要检索的网络会话索引信息以后,在网络镜像端本地磁盘中的PCAP文件中查找是否存在该网络会话索引信息中的pcap文件,若不存在则不作响应,若存在则根据网络会话索引信息中数据包的pcap文件的初始偏移量、数据包长度查找提取出相应的数据包数据,并将该数据包重新封装成一个新的 pcap文件,并将pcap文件上传到分布式的文件管理系统fastds上,最后将上传成功的pcap文件上传ID通过消息队列响应给API服务端。步骤B5)API服务端有且仅会收到零个或者一个响应信息,API服务端收到步骤B4)上传文件的 ID,再去分布式的文件管理系统FASTDS上下载相应得数据包文件,并反馈给用户,从而达到检索提取数据包的目的。本发明由于网络镜像端抓取到的数据包没有直接发送到服务端,而是直接存储在了各个网络镜像端本地磁盘上,只把数据包解析封装成网络会话形式的数据传送到了服务端,有效的减少数据的传输量和传输大小,极大的减缓了网络镜像端的网络压力;而数据包的分散式的存储方式给数据包的检索造成了困难,本方案通过具有一对多请求响应模型的消息队列来请求多镜像端的会话数据包并得到响应结果,通过分布式文件存储系统上传和下载检索到的数据包文件的方式有效的解决了分散式的存储方式给数据包的检索造成的问题,提高了适用性的同时提高了用户体验感。
尽管这里参照本发明的解释性实施例对本发明进行了描述,上述实施例仅为本发明较佳的实施方式,本发明的实施方式并不受上述实施例的限制,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。
Claims (3)
1.基于一对多请求响应模型消息队列数据包存储检索的方法,其特征在于:包括存储工作流程和检索工作流程,所述存储工作流程包括以下步骤:
步骤A1)网络镜像端抓取网络流量中的数据包,保存在所述网络镜像端的本地磁盘上;
步骤A2)将数据包解析,并以解析的数据包信息建立一个网络会话索引;
步骤A3)将网络会话的索引信息发送到服务端的搜索服务器;
基于存储工作的完成,所述检索工作流程包括以下步骤:
步骤B1)API服务端接收请求者需要检索的数据包条件;
步骤B2)API服务端将步骤B1)所述的数据包条件在搜索服务器的网络会话库中进行检索并匹配出对应的网络会话索引信息;
步骤B3)网络镜像端通过NATS服务与服务检索的API服务端建立主题消息通道,NATS服务接收步骤B2)的网络会话索引信息,并发送给网络镜像端;
步骤B4)网络流量镜像端对步骤B3)分发的网络会话索引信息进行检索和处理;
步骤B5)API服务端接收步骤B4)网络镜像端的处理结果,下载数据包,反馈给用户。
2.根据权利要求1所述的基于一对多请求响应模型消息队列数据包存储检索的方法,其特征在于:步骤A2)中所述网络会话包括数据包的源IP地址、目的IP地址、源端口、目的端口、协议、应用层协议的基本字段、所述数据包所在的文件名,以及文件内所有数据包在文件中的初始偏移量、数据包的长度的信息。
3.根据权利要求1所述的基于一对多请求响应模型消息队列数据包存储检索的方法,其特征在于:步骤A2)中所述数据包的网络会话索引有且只有一个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010587188.XA CN111737222A (zh) | 2020-06-24 | 2020-06-24 | 基于一对多请求响应模型消息队列数据包存储检索的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010587188.XA CN111737222A (zh) | 2020-06-24 | 2020-06-24 | 基于一对多请求响应模型消息队列数据包存储检索的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111737222A true CN111737222A (zh) | 2020-10-02 |
Family
ID=72651410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010587188.XA Pending CN111737222A (zh) | 2020-06-24 | 2020-06-24 | 基于一对多请求响应模型消息队列数据包存储检索的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111737222A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112486914A (zh) * | 2020-11-27 | 2021-03-12 | 神州灵云(北京)科技有限公司 | 一种数据包存储与快查方法与系统 |
| CN112905852A (zh) * | 2021-03-04 | 2021-06-04 | 睿石网云(杭州)科技有限公司 | 一种基于会话索引的应用性能报文存储装置 |
| CN114928638A (zh) * | 2022-06-16 | 2022-08-19 | 上海斗象信息科技有限公司 | 一种网络行为的解析方法、装置及监控设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105072196A (zh) * | 2015-08-27 | 2015-11-18 | 携程计算机技术(上海)有限公司 | 分布式数据包存储、回溯方法及系统 |
| CN108446304A (zh) * | 2018-01-30 | 2018-08-24 | 上海天旦网络科技发展有限公司 | 数据包检索系统和方法 |
| CN108989301A (zh) * | 2018-07-03 | 2018-12-11 | 成都深思科技有限公司 | 一种多索引的网络流量数据索引方法、设备及存储介质 |
| CN110401642A (zh) * | 2019-07-10 | 2019-11-01 | 浙江中烟工业有限责任公司 | 一种工控流量的采集与协议解析方法 |
-
2020
- 2020-06-24 CN CN202010587188.XA patent/CN111737222A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105072196A (zh) * | 2015-08-27 | 2015-11-18 | 携程计算机技术(上海)有限公司 | 分布式数据包存储、回溯方法及系统 |
| CN108446304A (zh) * | 2018-01-30 | 2018-08-24 | 上海天旦网络科技发展有限公司 | 数据包检索系统和方法 |
| CN108989301A (zh) * | 2018-07-03 | 2018-12-11 | 成都深思科技有限公司 | 一种多索引的网络流量数据索引方法、设备及存储介质 |
| CN110401642A (zh) * | 2019-07-10 | 2019-11-01 | 浙江中烟工业有限责任公司 | 一种工控流量的采集与协议解析方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112486914A (zh) * | 2020-11-27 | 2021-03-12 | 神州灵云(北京)科技有限公司 | 一种数据包存储与快查方法与系统 |
| CN112486914B (zh) * | 2020-11-27 | 2024-04-12 | 神州灵云(北京)科技有限公司 | 一种数据包存储与快查方法与系统 |
| CN112905852A (zh) * | 2021-03-04 | 2021-06-04 | 睿石网云(杭州)科技有限公司 | 一种基于会话索引的应用性能报文存储装置 |
| CN114928638A (zh) * | 2022-06-16 | 2022-08-19 | 上海斗象信息科技有限公司 | 一种网络行为的解析方法、装置及监控设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7647418B2 (en) | Real-time streaming media measurement system and method | |
| CN111737222A (zh) | 基于一对多请求响应模型消息队列数据包存储检索的方法 | |
| US9455873B2 (en) | End-to-end analysis of transactions in networks with traffic-altering devices | |
| EP2091202A1 (en) | Data distributing method, data distributing system and correlative devices in edge network | |
| US20180287920A1 (en) | Intercepting application traffic monitor and analyzer | |
| JP2006011683A (ja) | システム分析プログラム、システム分析方法及びシステム分析装置 | |
| CN110661891B (zh) | 一种基于单向网络的跨网文件即时传输方法及系统 | |
| CN110691007A (zh) | 一种精确测量quic连接丢包率的方法 | |
| CN110995566A (zh) | 一种消息数据推送方法、系统及装置 | |
| WO2009038384A1 (en) | Query processing system and methods for a database with packet information by dividing a table and query | |
| EP3811572B1 (en) | Processing local area network diagnostic data | |
| CN113472858B (zh) | 埋点数据处理方法、装置及电子设备 | |
| CN112039936B (zh) | 数据传输方法、第一数据处理设备及监控系统 | |
| CN112822289A (zh) | 数据上传读取方法、系统、设备及存储介质 | |
| CN112019604A (zh) | 边缘数据传输方法和系统 | |
| GB2575246A (en) | Processing local area network diagnostic data | |
| CN111669431B (zh) | 消息传输方法、装置、计算机设备和存储介质 | |
| CN114143385A (zh) | 一种网络流量数据的识别方法、装置、设备和介质 | |
| CN113438503A (zh) | 视频文件还原方法、装置、计算机设备和存储介质 | |
| JP5734416B2 (ja) | ネットワークトラフィック分析方法、ネットワークトラフィック分析装置、コンピュータプログラム | |
| JP7358997B2 (ja) | 情報通信装置、情報通信方法及び情報通信プログラム | |
| CN112235363A (zh) | 数据处理方法、装置、电子设备、存储介质及系统 | |
| CN114189565B (zh) | 一种头域还原系统、方法及相关设备 | |
| CN115484202B (zh) | 一种基于int的轻量化路径探测方法 | |
| CN116319468B (zh) | 网络遥测方法、装置、交换机、网络、电子设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201002 |
|
| RJ01 | Rejection of invention patent application after publication |