CN114499921A

CN114499921A - 数据包文件重放方法、数据包文件获取方法和装置

Info

Publication number: CN114499921A
Application number: CN202111424580.3A
Authority: CN
Inventors: 苏扬; 陶文伟; 李金�; 吴金宇; 易思瑶; 王彬筌; 张文瀚; 明哲; 余芸; 冯国聪; 胡朝辉; 陈海光; 彭伯庄; 陈善锋; 罗强
Original assignee: China Southern Power Grid Co Ltd; Southern Power Grid Digital Grid Research Institute Co Ltd
Current assignee: China Southern Power Grid Co Ltd; Southern Power Grid Digital Grid Research Institute Co Ltd
Priority date: 2021-11-26
Filing date: 2021-11-26
Publication date: 2022-05-13
Anticipated expiration: 2041-11-26
Also published as: CN114499921B

Abstract

本申请涉及一种数据包文件重放方法、数据包文件获取方法和装置。所述方法包括：获取重放数据包文件的初始互联网协议地址以及所述重放数据包文件对应的变电站标识；根据目标互联网协议的地址特征和所述变电站标识，将所述初始互联网协议地址，转换为与所述目标互联网协议对应的目标互联网协议地址，得到协议地址为所述目标互联网协议地址的目标重放数据包文件；将所述目标重放数据包文件发送至第三方报文分析系统；所述第三方报文分析系统用于对所述目标重放数据包文件进行异常识别。采用本方法能够基于重放数据包文件的目标互联网协议地址，准确识别重放数据包文件的来源，从而精准快速地定位出现问题的变电站。

Description

数据包文件重放方法、数据包文件获取方法和装置

技术领域

本申请涉及数据包重放技术领域，特别是涉及一种数据包文件重放方法、数据包文件获取方法、装置、计算机设备和存储介质。

背景技术

态势感知系统的播包重放功能是将所有变电站的数据包抓取出来，然后利用相应的播包技术将流量重放给目标网络，由此，通过重放数据包实现复现问题情景以定位漏洞。

现有的播包重放技术是将抓取的数据包直接重放给目标网络，但是，这种方法存在一个问题：由于所抓取的数据包可能处于不同的局域网，因此，所抓取的数据包的IP地址(Internet Protocol Address，互联网协议地址)可能会出现重复，导致无法识别数据包的来源的问题。

发明内容

基于此，有必要针对上述数据包的IP地址可能会出现重复，导致无法识别数据包的来源的技术问题，提供一种数据包文件重放方法、数据包文件获取方法、装置、计算机设备和存储介质。

一种数据包文件重放方法，所述方法包括：

获取重放数据包文件的初始互联网协议地址以及所述重放数据包文件对应的变电站标识；

根据目标互联网协议的地址特征和所述变电站标识，将所述初始互联网协议地址，转换为与所述目标互联网协议对应的目标互联网协议地址，得到协议地址为所述目标互联网协议地址的目标重放数据包文件；所述目标互联网协议地址的地址空间大于所述初始互联网协议地址的地址空间；

将所述目标重放数据包文件发送至第三方报文分析系统；所述第三方报文分析系统用于对所述目标重放数据包文件进行异常识别。

在其中一个实施例中，在获取重放数据包文件的初始互联网协议地址之前，还包括：

获取重放数据包文件的文件标识；

从分布式文件系统中获取与所述文件标识关联的所述重放数据包文件，所述分布式文件系统存储有多个从变电站获取的待重放数据包文件。

在其中一个实施例中，所述根据目标互联网协议的地址特征和所述变电站标识，将所述初始互联网协议地址，转换为与所述目标互联网协议对应的目标互联网协议地址，包括：

基于目标互联网协议的地址特征，将所述初始互联网协议地址转换为与所述目标互联网协议相匹配的协议地址，得到转换后互联网协议地址；

将所述重放数据包文件对应的变电站标识插入所述转换后互联网协议地址的前面，得到所述目标互联网协议地址。

在其中一个实施例中，在得到协议地址为所述目标互联网协议地址的目标重放数据包文件之后，还包括：

修改所述目标重放数据包文件的播放状态，并更新所述目标重放数据包文件的重放进度。

在其中一个实施例中，所述方法还包括：

当所述目标重放数据包文件重放成功时，删除本地的目标重放数据包文件；

当所述目标重放数据包文件重放失败时，若不需要尝试重新播放，则将所述目标重放数据包文件的播放状态修改为重放失败，并删除本地的所述目标重放数据包文件；

若需要尝试重新播放，则将所述目标重放数据包文件的播放状态修改为等待重试，并删除本地的所述目标重放数据包文件，返回获取重放数据包文件的文件标识的步骤。

一种数据包文件重放装置，所述装置包括：

信息获取模块，用于获取待重放数据包文件的初始互联网协议地址以及所述待重放数据包文件对应的变电站标识；

地址改写模块，用于根据目标互联网协议的地址特征和所述变电站标识，将所述初始互联网协议地址，转换为与所述目标互联网协议对应的目标互联网协议地址，得到协议地址为所述目标互联网协议地址的目标待重放数据包文件；所述目标互联网协议地址的地址空间大于所述初始互联网协议地址的地址空间；

文件重放模块，用于将所述目标待重放数据包文件发送至第三方报文分析系统；所述第三方报文分析系统用于对所述目标待重放数据包文件进行异常识别。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

上述数据包文件重放方法、装置、计算机设备和存储介质，通过将重放数据包文件的初始互联网协议地址转换为地址空间更大的目标互联网协议地址，实现了对重放数据包文件地址的扩充，便于在目标互联网协议地址中插入重放数据包文件对应的变电站标识，以实现对重放数据包文件进行唯一标识，从而，可在重放数据包文件对应的变电站出现问题时，可基于重放数据包文件的目标互联网协议地址，准确识别重放数据包文件的来源，从而精准快速地定位出现问题的变电站，克服了不同的局域网的重放数据包文件的IP地址可能重复，导致无法识别重放数据包文件来源的缺陷。

一种数据包文件获取方法，所述方法包括：

发送报文捕获指令至报文捕获装置，以使所述报文捕获装置根据所述报文捕获指令从变电站获取报文，生成待重放数据包文件；

发送调阅指令至所述报文捕获装置，以使所述报文捕获装置根据所述调阅指令，将所述待重放数据包文件上传至主站；

接收所述报文捕获装置上传的所述待重放数据包文件，将所述待重放数据包文件的文件标识存储至数据库，将所述待重放数据包文件存储至分布式文件系统，并建立所述文件标识与所述待重放数据包文件之间的关联关系。

一种数据包文件获取装置，所述装置包括：

捕获指令发送模块，用于发送报文捕获指令至报文捕获装置，以使所述报文捕获装置根据所述报文捕获指令从变电站获取报文，生成待重放数据包文件；

调阅指令发送模块，用于发送调阅指令至所述报文捕获装置，以使所述报文捕获装置根据所述调阅指令，将所述待重放数据包文件上传至主站；

文件存储模块，用于接收所述报文捕获装置上传的所述待重放数据包文件，将所述待重放数据包文件的文件标识存储至数据库，将所述待重放数据包文件存储至分布式文件系统，并建立所述文件标识与所述待重放数据包文件之间的关联关系。

上述数据包文件获取方法和装置，采用分布式文件系统存储待重放数据包文件，提高了文件的存储和读写能力，从而解决了所捕获的待重放数据包文件数量庞大，给传统的存储器带来的存储和读取的性能问题，通过采用分布式技术，结合任务调度中心，分发重放任务到多个任务执行器，并进行报文重放，有效提高了重放速度，从而，克服了传统待重放数据包文件在大量进行重放时，由于播放的速度和频率导致大量重放任务阻塞的缺陷。

附图说明

图1为一个实施例中从数据包文件获取到数据包文件重放的整体过程的结构框图；

图2为一个实施例中数据包文件重放方法的流程示意图；

图3a为一个实施例中将初始互联网协议地址转换为目标互联网协议地址的转换规则示意图；

图3b为另一个实施例中数据包文件重放方法的流程示意图；

图4为一个实施例中数据包文件获取方法的流程示意图；

图5为一个实施例中报文捕获方式中手动捕获模式的示意图；

图6为一个实施例中报文捕获方式中自动捕获模式的示意图；

图7为另一个实施例中数据包文件获取方法的流程示意图；

图8为一个实施例中数据包文件重放装置的结构框图；

图9为一个实施例中数据包文件获取装置的结构框图；

图10为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

参考图1，为本申请从数据包文件获取到数据包文件重放的整体过程的结构框图。其中，报文捕获装置108从变电站获取报文，存储为pcap文件(一种网络流量数据的本地存储格式)，作为待重放数据包文件，主站106从报文捕获装置108调阅待重放数据包文件，并将待重放数据包文件存储于分布式文件系统 104中，调度中心102通过调用主站的应用程序接口(Application Programming Interface，API)与分布式文件系统104通过网络进行通信，以获取待重放数据包文件，并将待重放数据包文件发送至第三方报文分析系统。其中，分布式文件系统可以为基于Hadoop技术框架的分布式文件系统(Hadoop DistributedFile System，HDFS)。

在一个实施例中，如图2所示，提供了一种数据包文件重放方法，本实施例以该方法应用于图1中的调度中心102进行举例说明。本实施例中，该方法包括以下步骤：

步骤S202，获取重放数据包文件的初始互联网协议地址以及重放数据包文件对应的变电站标识。

其中，重放数据包文件为主站通过报文捕获装置从变电站捕获得到的报文生成的文件，重放数据包文件携带有初始互联网协议地址，重放数据包文件可以为pcap文件。

其中，初始互联网协议地址的类型可以为IPV4(Internet Protocol version 4)地址。

其中，变电站标识为表征变电站唯一性的标识，可以为变电站站点ID，例如，变电站标识可以为102411。

具体实现中，主站106在从报文捕获装置108获取待重放数据包文件后，将需要重放的文件生成待重放文件队列，有序推送给调度中心102，调度中心 102可依次获取待重放文件队列中的队列头文件，作为重放数据包文件，然后获取重放数据包文件携带的IPV4地址以及重放数据包文件对应的变电站ID。

步骤S204，根据目标互联网协议的地址特征和变电站标识，将初始互联网协议地址，转换为与目标互联网协议对应的目标互联网协议地址，得到协议地址为目标互联网协议地址的目标重放数据包文件；目标互联网协议地址的地址空间大于初始互联网协议地址的地址空间。

其中，目标互联网协议地址的类型可以为IPV6(Internet Protocol version 6)地址，IPV6地址为128位地址，通常写为8组，每组为四个十六进制数的形式，例如，地址CDCD:910A:2222:5498:8475:1111:3900:2020可表示为一个IPV6地址。

具体实现中，在获取重放数据包文件的IPV4地址和对应的变电站ID后，调度中心102可先基于目标互联网协议(IPV6协议)的地址特征，将初始互联网协议地址(IPV4地址)转换为与目标互联网协议(IPV6协议)相匹配的协议地址，得到转换后互联网协议地址。例如，若重放数据包文件的初始互联网协议地址(IPV4地址)为：10.92.75.82，将该地址转换为与IPV6协议相匹配的协议地址，即将该地址转换为十六进制，则转换得到的转换后互联网协议地址为： 0a5c:4b52。

由于IPV6地址有八组，为了对重放数据包文件进行唯一标识，因此，在得到转换后互联网协议地址后，可将转换后互联网协议地址置于最后两组，将重放数据包文件对应的变电站ID插入转换后互联网协议地址的前面，由此得到的目标互联网协议地址中则包含有重放数据包文件对应的变电站ID，基于该目标互联网协议地址便可识别重放数据包文件对应的变电站，由此实现即使不同局域网的两个重放数据包文件的IP地址相同，也可基于目标互联网协议地址中的变电站标识识别重放数据包文件。其中，通过将初始互联网协议地址转换为地址空间更大的目标互联网协议地址，便于在目标互联网协议地址中插入变电站标识，以表征重放数据包文件的唯一性。

步骤S206，将目标重放数据包文件发送至第三方报文分析系统；第三方报文分析系统用于对目标重放数据包文件进行异常识别。

具体实现中，调度中心102可将重放数据包文件的重放任务分发给执行器，由执行器进行处理，若有多个重放任务，则将可重放任务分发给多个执行器，并行处理，以提高处理效率。在将目标重放数据包文件发送至第三方报文分析系统前，先根据执行器所在服务器的IP地址，调用主站的应用程序接口 (Application Programming Interface，API)以获取要推送的端口，并拼装完整的tcpreplay(一种pcap包的重放工具，用于重放保存在pcap文件中的网络流量) 命令，以通过调用本地的tcpreplay工具执行命令，将目标重放数据包文件通过所获取的要推送的端口发送至第三方报文分析系统，使第三方报文分析系统对目标重放数据包文件进行异常识别，复现问题情景以定位目标重放数据包文件对应的变电站存在的问题，反馈给态势感知系统。

上述数据包文件重放方法中，在获取重放数据包文件的初始互联网协议地址以及重放数据包文件对应的变电站标识后，基于目标互联网协议的地址特征和变电站标识，将初始互联网协议地址，转换为与目标互联网协议对应的目标互联网协议地址，得到协议地址为目标互联网协议地址的目标重放数据包文件，将该目标重放数据包文件发送至第三方报文分析系统，进行重新播放，以复现问题情景，定位目标重放数据包文件对应的变电站存在的问题。该方法通过将重放数据包文件的初始互联网协议地址转换为地址空间更大的目标互联网协议地址，实现了对重放数据包文件地址的扩充，便于在目标互联网协议地址中插入重放数据包文件对应的变电站标识，以实现对重放数据包文件进行唯一标识，从而，可在重放数据包文件对应的变电站出现问题时，可基于重放数据包文件的目标互联网协议地址，准确识别重放数据包文件的来源，从而精准快速地定位出现问题的变电站，克服了不同的局域网的重放数据包文件的IP地址可能重复，导致无法识别重放数据包文件来源的缺陷。

在一个实施例中，在上述步骤S102之前，还包括：获取重放数据包文件的文件标识；从分布式文件系统中获取与文件标识关联的重放数据包文件，其中，分布式文件系统存储有多个从变电站获取的待重放数据包文件。

其中，文件标识为表征重放数据包文件唯一性的标识。

具体实现中，主站106在从报文捕获装置108获取待重放数据包文件后，在生成待重放文件队列前，还需将获取的文件存储在分布式文件系统104中，将文件标识存储在数据库中，并建立各个待重放数据包文件与对应的文件标识的关联关系。因此，调度中心102在获取待重放文件队列中的队列头文件，作为重放数据包文件，并获取重放数据包文件的文件标识后，可根据该关联关系，调用主站106的应用程序接口(API)从分布式文件系统104中获取对应的重放数据包文件到本地，同时将重放数据包文件的状态修改为正在重放，并更新重放进度。

其中，待重放文件队列中的重放数据包文件的添加方式可分为两种：一种是由主站从“会话捕获”页面中的“任务列表”内的“pcap文件”中对已上传的pcap文件点击“添加到待重放文件队列按钮”，生成任务到待重放文件队列中。另一种是由主站从pcap文件列表中勾选要重放的文件，点击“添加到待重放文件队列按钮”，生成任务到待重放文件队列中。

本实施例中，通过获取重放数据包文件的文件标识，以便于调度中心根据该文件标识从分布式文件系统中获取关联的重放数据包文件，从而可从重放数据包文件中获取初始互联网协议地址，进行地址扩充和修改。

在一个实施例中，上述步骤S104具体包括：基于目标互联网协议的地址特征，将初始互联网协议地址转换为与目标互联网协议相匹配的协议地址，得到转换后互联网协议地址；将重放数据包文件对应的变电站标识插入转换后互联网协议地址的前面，得到目标互联网协议地址。

具体实现中，基于IPV6地址为128位地址，通常写为8组，每组为四个十六进制数的形式，参考图3a，为将初始互联网协议地址转换为目标互联网协议地址的转换规则的示意图，其中，第一组为固定网段前缀，第二组至第四组置零，第五组和第六组为变电站标识，第七组和第八组为原IP(即初始互联网协议地址)的十六进制数。

其中，CorpID表示变电站标识，例如，若变电站标识为920234，则第五组和第六组记为0092:0234。

在将初始互联网协议地址转换为与目标互联网协议相匹配的协议地址，得到转换后互联网协议地址后，将转换后互联网协议地址置于目标互联网协议地址的第七组和第八组数据的位置处，将变电站标识插入转换后互联网协议地址的前面，即将变电站标识置于第五组和第六组的位置处，若变电站标识小于八位数，则在前面补零，进一步补充目标互联网协议地址第一组位置处的固定网段前缀，以及第二组至第四组的预留位置至零，按照第一组至第八组的顺序组合得到目标互联网协议地址。

本实施例中，通过将变电站标识插入转换后互联网协议地址的前面，得到目标互联网协议地址，实现了对重放数据包文件进行唯一标识，从而，可在重放数据包文件对应的变电站出现问题时，可基于重放数据包文件的目标互联网协议地址，精准快速地定位出现问题的变电站，避免了不同局域网的重放数据包文件的地址重复，导致无法准确识别重放数据包文件的来源的问题。

在一个实施例中，在得到协议地址为目标互联网协议地址的目标重放数据包文件之后，还包括：修改目标重放数据包文件的播放状态，并更新目标重放数据包文件的重放进度。

本实施例中，在对初始重放数据包文件的初始互联网协议地址转换完成，得到目标重放数据包文件后，对应修改目标重放数据包文件的播放状态，更新目标重放数据包文件的重放进度，由此实现对重放数据包文件状态和进度的实时更新。

在一个实施例中，上述方法还包括：当目标重放数据包文件重放成功时，删除本地的目标重放数据包文件；当目标重放数据包文件重放失败时，若不需要尝试重新播放，则将目标重放数据包文件的播放状态修改为重放失败，并删除本地的目标重放数据包文件；若需要尝试重新播放，则将目标重放数据包文件的播放状态修改为等待重试，并删除本地的目标重放数据包文件，返回获取重放数据包文件的文件标识的步骤。

具体实现中，当目标重放数据包文件重放成功时，则可调用主站106的应用程序接口修改重放队列中对应重放数据包文件的信息，将播放状态改为重放成功同时更新重放进度，并删除本地的目标重放数据包文件，以减少对本地存储空间的占用。

当目标重放数据包文件重放失败时，判断是否需要重试，如果需要重试，修改目标重放数据包文件的播放状态为等待重试，将本地的目标重放数据包文件删除，重新执行任务；如果不需要重试，将目标重放数据包文件的播放状态改为重放失败同时更新重放进度，将本地的目标重放数据包文件删除。

本实施例中，通过实时修改重放数据包文件的播放状态，以便于用户可快速直观地了解当前重放数据包文件的播放情况和播放进度，在重放成功或重放失败不需要重试时，及时删除目标重放数据包文件，以减少对本地存储空间的占用。

在另一个实施例中，如图3b所示，示出了一种数据包文件重放方法的流程示意图，本实施例中，该方法的具体流程如下：

(1)主站通过从“会话捕获”页面中的“任务列表”内的“pcap文件”中对已上传的pcap文件点击“添加到待重放文件队列按钮”，生成任务到待重放文件队列中，或者，通过从pcap文件列表中勾选要重放的文件，点击“添加到待重放文件队列按钮”，生成任务到待重放文件队列中。

(2)在生成待重放文件队列后，主站将待重放文件队列中的待重放数据包文件有序推送给调度中心，调度中心将重放任务分发给执行器。

(3)调度中心调用主站的应用程序接口(API)获取待重放文件队列中的队列头文件，作为重放数据包文件，并修改该重放数据包文件的播放状态为正在重放，同时更新重放进度。

(4)调度中心根据获取的重放数据包文件(pcap文件)标识，调用主站应用程序接口从分布式文件系统获取对应的重放数据包文件到本地，并更新重放进度，以及，根据IPV6协议的地址特征和所述变电站标识，将重放数据包文件的IPV4地址转换为包含变电站标识的IPV6地址，同时更新重放进度。

(5)根据执行器所在服务器的IP地址，调用主站的应用程序接口获取要推送的端口，并拼装完整的tcpreplay命令。

(6)调用tcpreplay工具执行重放任务，若重放成功，则调用主站的应用程序接口修改重放数据包文件的信息，将状态改为重放成功同时更新重放进度，将本地的pcap文件删除。

(7)若重放失败，判断是否需要重试，如果需要重试，修改状态为等待重试，将本地的pcap文件删除，重新执行任务；如果不需要重试，修改状态为重放失败同时更新重放进度，将本地的pcap文件删除。

本实施例提供的数据包文件重放方法中，以分布式文件系统存储采集的海量态势感知数据流，基于IPv6协议的报文特征，对数据流进行报文重写，加入如变电站标识的特征值标识重放数据包文件的来源，采用分布式播包技术，将重写后的报文重放至第三方至特定的网络环境中，第三方报文分析系统识别出流量中的异常数据，反馈给态势感知系统，实现全网海量态势感知流量数据的集中存储、分析、处理。

在一个实施例中，如图4所示，提供了一种数据包文件获取方法，以该方法应用于图1中的主站106为例进行说明，包括以下步骤：

步骤S402，发送报文捕获指令至报文捕获装置，以使报文捕获装置根据报文捕获指令从变电站获取报文，生成待重放数据包文件。

其中，报文捕获指令携带有报文捕获条件，其中，报文捕获条件可根据捕获的过滤规则等要求用tcpdump语法组装得到，例如主站要求过滤源IP为 1.1.1.1，目的端口为443的报文捕获任务，则报文捕获装置可将该过滤规则组装成：tcpdump src host 1.1.1.1anddst port 443。

具体地，主站发送报文捕获指令至报文捕获装置，报文捕获装置根据该报文捕获指令调用数据包捕获函数库(Packet Capture Libray，libpcap库)从一个或多个变电站捕获与报文捕获指令携带的报文捕获条件对应的报文，将捕获的报文以pcap文件存储，作为待重放数据包文件，每个文件最大20M，文件名命名规则为捕获任务id.pcap，其中捕获任务id由主站生成和下发。当已超过捕获大小、捕获时长或规则老化时长，则报文捕获装置将自动停止捕获，并将捕获的报文生成待重放数据包文件后，上送待重放数据包文件的文件名等属性信息到Kafka队列。

步骤S404，发送调阅指令至报文捕获装置，以使报文捕获装置根据调阅指令，将待重放数据包文件上传至主站。

具体实现中，在报文捕获装置将生成的待重放数据包文件的文件名等属性信息上传到kafka队列后，主站消费Kafka的消息，下放调阅指令至报文捕获装置，报文捕获装置接收到调阅命令，将主站调阅的待重放数据包文件上传到主站。

步骤S406，接收报文捕获装置上传的待重放数据包文件，将待重放数据包文件的文件标识存储至数据库，将待重放数据包文件存储至分布式文件系统，并建立文件标识与待重放数据包文件之间的关联关系。

具体实现中，主站接收到待重放数据包文件后，通过将接收到的待重放数据包文件的MD5值(MD5信息摘要算法产生的散列值，用于确保信息传输完整一致)与所需调阅的待重放数据包文件的MD5值进行比较，确认是否调阅成功，成功调阅后，可发送成功调阅的消息给报文捕获装置，使报文捕获装置删除调阅成功的待重放数据包文件。主站可将待重放数据包文件的文件标识存储至数据库MongoDB，将待重放数据包文件存储至分布式文件系统，并建立文件标识(即文件名等信息)与待重放数据包文件之间的关联关系。其中，为了保持分布式文件系统空间的利用率，可定期清理超过6个月的数据，和/或在存储空间超过70％时按照存储时间滚动删除。

上述数据包文件获取方法中，通过发送报文捕获指令至报文捕获装置，以使报文捕获装置根据报文捕获指令从变电站获取报文，生成待重放数据包文件；通过发送调阅指令至报文捕获装置，以使报文捕获装置根据调阅指令，将待重放数据包文件上传至主站，在接收到报文捕获装置上传的待重放数据包文件后，将待重放数据包文件的文件标识存储至数据库，将待重放数据包文件存储至分布式文件系统，并建立文件标识与待重放数据包文件之间的关联关系。该方法采用分布式文件系统存储待重放数据包文件，提高了文件的存储和读写能力，从而解决了所捕获的待重放数据包文件数量庞大，给传统的存储器带来的存储和读取的性能问题，通过采用分布式技术，结合任务调度中心，分发重放任务到多个任务执行器，并进行报文重放，有效提高了重放速度，从而，克服了传统待重放数据包文件在大量进行重放时，由于播放的速度和频率导致大量重放任务阻塞的缺陷。

在一个实施例中，主站通过报文捕获装置捕获报文的模式分为手动捕获和自动捕获两种模式。

参见图5，为手动捕获模式的示意图，手动捕获模式支持通过选择和设置的方式，配置过滤规则。其中，所支持的条件包括源IP地址、目的IP地址、源端口、目的端口、传输层协议(如TCP、UDP、ICMP、ANY)、网口号；并且支持设置捕获大小、捕获时长和规则老化时间。如果不设置过滤规则，则表示捕获所有报文。主站根据设置的条件，按照通信规约将报文捕获任务启动下发给报文捕获装置。

参见图6，为自动捕获模式的示意图，自动捕获需提前创建模板，模板创建成功后默认启动，关联对象触发自动捕获规则模版，主站根据规则模板的捕获配置，提取关联对象的特征值，生成对应的过滤规则，按照通信规约将报文捕获任务启动下发给报文捕获装置。

其中，关联对象触发自动捕获规则模版的示例如下：

1)配置了关联对象为常用协议，如http协议，勾选了目的IP地址和目的端口的报文捕获规则，其他为默认配置的会话数据捕获模版；

2)当出现HTTP通信时，从HTTP通信流中提取目的IP地址和目的端口，生成过滤目的IP和目的端口的规则，下发给报文捕获装置，由报文捕获装置执行报文捕获。

其中，如果告警重复出现，且报文捕获装置仍在捕获报文(规则老化时间未到或未下发结束捕获报文等)，则不重复下发报文捕获报文。告警重复判断依据同告警归并原则。

其中，自动报文捕获模式还支持添加白名单，可以将漏扫主机、端口扫描设备等合法主机添加到白名单中，其中，装置IP默认在白名单中，由于目前告警白名单配置界面是针对告警设置的，尚不支持针对源IP设置告警白名单，因此，如果告警的源IP在白名单中，将不会触发自动报文捕获。

在另一个实施例中，如图7所示，为本申请数据包文件获取方法的流程示意图，本实施例中，该方法的具体流程如下：

(1)主站通过手动报文捕获模式或自动报文模式将报文捕获指令下发给报文捕获装置，使报文捕获装置从变电站捕获报文，生成pcap文件，并上传文件名等属性信息到kafka队列。

(2)主站消费kafka队列上的文件名信息，下发调阅指令到报文捕获装置，报文捕获装置接收到调阅指令，将pcap文件上传到主站。

(3)主站将所接收的pcap文件的MD5值与所调阅的pcap文件的MD5值进行匹配，若匹配成功，即调阅成功，则发送成功调阅的消息给报文捕获装置，使报文捕获装置删除被调阅成功的pcap文件。

(4)主站将pcap文件的文件名等属性信息保存到MongoDB数据库，将pcap 文件保存到分布式文件系统。

本实施例中，该方法采用分布式文件系统存储待重放数据包文件，提高了文件的存储和读写能力，从而解决了所捕获的待重放数据包文件数量庞大，给传统的存储器带来的存储和读取的性能问题，通过采用分布式技术，结合任务调度中心，分发重放任务到多个任务执行器，并进行报文重放，有效提高了重放速度，从而，克服了传统待重放数据包文件在大量进行重放时，由于播放的速度和频率导致大量重放任务阻塞的缺陷。

应该理解的是，虽然上述流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，上述流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图8所示，提供了一种数据包文件重放装置，包括：信息获取模块802、地址改写模块804和文件重放模块806，其中：

信息获取模块802，用于获取重放数据包文件的初始互联网协议地址以及重放数据包文件对应的变电站标识；

地址改写模块804，用于根据目标互联网协议的地址特征和变电站标识，将初始互联网协议地址，转换为与目标互联网协议对应的目标互联网协议地址，得到协议地址为目标互联网协议地址的目标重放数据包文件；目标互联网协议地址的地址空间大于初始互联网协议地址的地址空间；

文件重放模块806，用于将目标重放数据包文件发送至第三方报文分析系统；第三方报文分析系统用于对目标重放数据包文件进行异常识别。

在一个实施例中，上述装置还包括重放数据包文件获取模块，用于获取重放数据包文件的文件标识；从分布式文件系统中获取与文件标识关联的重放数据包文件，分布式文件系统存储有多个从变电站获取的待重放数据包文件。

在一个实施例中，上述地址改写模块804，具体用于基于目标互联网协议的地址特征，将初始互联网协议地址转换为与目标互联网协议相匹配的协议地址，得到转换后互联网协议地址；将重放数据包文件对应的变电站标识插入转换后互联网协议地址的前面，得到目标互联网协议地址。

在一个实施例中，上述装置还包括状态修改模块，用于修改目标重放数据包文件的播放状态，并更新目标重放数据包文件的重放进度。

在一个实施例中，上述装置还包括重放结果处理模块，用于当目标重放数据包文件重放成功时，删除本地的目标重放数据包文件；当目标重放数据包文件重放失败时，若不需要尝试重新播放，则将目标重放数据包文件的播放状态修改为重放失败，并删除本地的目标重放数据包文件；若需要尝试重新播放，则将目标重放数据包文件的播放状态修改为等待重试，并删除本地的目标重放数据包文件，返回获取重放数据包文件的文件标识的步骤。

需要说明的是，本申请的数据包文件重放装置与本申请的数据包文件重放方法一一对应，在上述数据包文件重放方法的实施例阐述的技术特征及其有益效果均适用于数据包文件重放装置的实施例中，具体内容可参见本申请方法实施例中的叙述，此处不再赘述，特此声明。此外，上述数据包文件重放装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，如图9所示，提供了一种数据包文件获取装置，包括：捕获指令发送模块902、调阅指令发送模块904和文件存储模块906，其中：

捕获指令发送模块902，用于发送报文捕获指令至报文捕获装置，以使报文捕获装置根据报文捕获指令从变电站获取报文，生成待重放数据包文件；

调阅指令发送模块904，用于发送调阅指令至报文捕获装置，以使报文捕获装置根据调阅指令，将待重放数据包文件上传至主站；

文件存储模块906，用于接收报文捕获装置上传的待重放数据包文件，将待重放数据包文件的文件标识存储至数据库，将待重放数据包文件存储至分布式文件系统，并建立文件标识与待重放数据包文件之间的关联关系。

需要说明的是，本申请的数据包文件获取装置与本申请的数据包文件获取方法一一对应，在上述数据包文件获取方法的实施例阐述的技术特征及其有益效果均适用于数据包文件获取装置的实施例中，具体内容可参见本申请方法实施例中的叙述，此处不再赘述，特此声明。此外，上述数据包文件获取装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种数据包文件重放方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图10中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory，ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory， SRAM)或动态随机存取存储器(Dynamic Random Access Memory，DRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

1.一种数据包文件重放方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，在获取重放数据包文件的初始互联网协议地址之前，还包括：

获取重放数据包文件的文件标识；

3.根据权利要求1所述的方法，其特征在于，所述根据目标互联网协议的地址特征和所述变电站标识，将所述初始互联网协议地址，转换为与所述目标互联网协议对应的目标互联网协议地址，包括：

4.根据权利要求1所述的方法，其特征在于，在得到协议地址为所述目标互联网协议地址的目标重放数据包文件之后，还包括：

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

6.一种数据包文件获取方法，其特征在于，所述方法包括：

7.一种数据包文件重放装置，其特征在于，所述装置包括：

8.一种数据包文件获取装置，其特征在于，所述装置包括：

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。