[发明专利]一种网络应用层信息监控的方法

权利要求书

1、一种网络应用层监控的方法。是根植于Linux这个开源系统平台，采用模块化设计理念，可以方便地进行功能扩展。而不依赖具体硬件的特点，使其在各式32/64位主机上都能运行良好，现已顺利移植到国产龙芯64位平台，经测试可以充分发掘其执行潜力，完全可以满足功能完善、低能耗高效率的使用要求。其特征在于，包括以下主要部分：

(a)效率极高的内核收包模块

(b)用户态的分类解析模块

(c)存储统计模块

2、根据权利要求1所述的网络层监控的方法，其特征在于，内容(a)还包括以下步骤：

这个模块是本发明的核心，与其它监控技术所采用的用户态程序收包方式相比，内核收包经测试可以获得10倍以上的效率提升。其主要过程是：

(a1)与用户态程序建立连接，创建高速缓冲区，这一步骤只在程序启动时执行，资源开销是一次性的。

(a2)操作系统内核通过网络协议栈接受数据包，将其存入缓冲区。由于收包的主要操作在内核中实现，不需要用户态程序频繁切换到内核态获取数据，因此可以获得很大程度的性能提升。

(a3)通过与用户态程序建立的连接将数据包传递到用户空间，完成后继续第二步。由于采用底层的内核态与用户态通信机制，并且采用了批量传递机制，这一步的系统开销极少。

3、根据权利要求1所述的网络层监控的方法，其特征在于，内容(b)还包括以下步骤：

用户态程序得到内核的提示后，可以通过与内核态程序建立的连接方便地得到网络数据包。但此时的数据包是含IP头的原始包，要得到对用户所需要的结果，还需要做以下处理：

(b1)重组数据包，得到完整的数据流。这一步完全依照TCP/IP标准实现，最大限度地保证兼容性和扩展性。此外也引入缓冲区机制，将不完整的数据保存到启动时开辟的缓冲区，等数据获取完整后再统一处理。

(b2)对数据流进行分析，截取需要的数据。这一步也是效率提升的关键之一，本模块利用高级的数据结构，关键性的代码由汇编实现，很好地达到了设计要求。

(b3)对于个别的网络应用无需重组数据包，只要分析各数据包中的关键字即可获得需要的数据，这也有助于本模块乃至整套监控系统可以进一步提升效率。

目前，用户态模块可以分析的网络应用主要有电子邮件、网页浏览、聊天通讯，除却个别加密或涉及版权的网络应用以外，整体的监控识别率在95％以上。用户态模块还可以很方便的进行定制，根据用户的需求单独开启某一项、几项监控功能，更支持由用户指定受监控的主机、时段等条件，最大限度地为用户提供使用上的灵活性。

4、根据权利要求1所述的网络层监控的方法，其特征在于，内容(c)还包括以下步骤：

得到所需要的数据后，需要将数据存入数据库。这部分的设计重点是解决由于数据量过大带来的数据库过于庞大，存储查询极耗费资源的问题。解决方案是：

(c1)对要保存的数据进行压缩，在存储空间和处理时间之间取得最佳平衡点

(c2)优化存储结构，合理设计数据表的格式，对于尺寸庞大的数据比如几十MB的邮件作单独的保存，数据库中只保存其查询路径。

(c3)采用“查询时解析”的原则，部分数据的分析相对耗时，不如直接保存完整内容，待到用户提交查询请求时再检索并解析。而用户往往只会查询所有记录中的一小部分。这样，尽管占用了较多的硬盘空间且单笔查询的开销有所增加，但从整体来看，系统资源可以有很大的节约。