[发明专利]一种原始网络数据包的快速精准定位方法

权利要求书

1.一种原始网络数据包的快速精准定位方法,其特征在于，包括如下步骤：

步骤一：服务器采集网络流量数据包，记录每个原始网络数据包的时间戳，并对同一时间戳的原始网络数据包进行编号；然后以时间戳为索引，将原始网络数据包顺序存储到服务器；

步骤二：当在分析数据包的过程中产生事务日志或警报日志时，服务器存储该日志，并在日志中记录产生事务日志或警报日志的各个原始网络数据包的时间戳和编号；

步骤三：客户端查询产生的各个事务日志或警报日志；

步骤四：客户端根据时间戳和编号对各个事务日志或者警报日志对应的原始网络数据包进行定位；

步骤一中，原始网络数据包的存储方式为：先写入固定长度的头部信息，用来保存该原始网络数据包的相关信息；再写入该原始网络数据包的原始内容；

所述头部信息中包含的信息包括：原始网络数据包所在时间戳、原始网络数据包的编号、该原始网络数据包的原始内容长度。

2.如权利要求1所述的原始网络数据包的快速精准定位方法,其特征在于，步骤四具体为：

步骤4.1：读取欲定位的事务日志或者警报日志中记录的时间戳和编号；

步骤4.2：以时间戳为索引，读取保存在服务器中与该时间戳相同的所有原始网络数据包；

步骤4.3：通过编号对步骤4.2读取的原始网络数据包进行过滤，找出编号相同的原始网络数据包；

步骤4.4：重复执行步骤4.1—步骤4.3，直到完成所有事务日志或者警报日志对应的原始网络数据包的定位。

3.如权利要求2所述的原始网络数据包的快速精准定位方法,其特征在于，步骤4.3具体为：从步骤4.2所获取的原始网络数据包存储起始位置开始，查看第一个原始网络数据包写入的头部信息，判断其中保存的编号是否与要定位的原始网络数据包编号相匹配；如果匹配，则该原始网络数据包为需要定位的原始网络数据包，其内的原始内容为要定位的数据包内容，如果不匹配则对下一个原始网络数据包进行匹配，如此逐个匹配，直到找到匹配的原始网络数据包或者被读取的原始网络数据包编号比要定位的数据包编号大。

4.如权利要求3所述的原始网络数据包的快速精准定位方法,其特征在于，具有相同时间戳的各个原始网络数据包具有不同的偏移量，偏移量等于其前面各个原始网络数据包的长度之和，步骤4.3中，通过偏移量的变化对原始网络数据包进行逐个匹配。

5.如权利要求4所述的原始网络数据包的快速精准定位方法,其特征在于，起始位置的原始网络数据包的偏移量为0。

6.如权利要求3所述的原始网络数据包的快速精准定位方法,其特征在于，原始网络数据包的长度为头部长度与原始内容长度之和。

7.如权利要求1所述的原始网络数据包的快速精准定位方法,其特征在于，步骤二中，当事务日志或警报日志由连续多个数据包产生的话，用区间范围的方式记录这些数据包的编号。