[发明专利]一种基于报文协议特征的网络数据流恢复方法及系统

权利要求书

1.一种基于报文协议特征的网络数据流恢复方法，其特征在于，包括：

S1，获取网络中的数据报文，对所述数据报文进行解析，获得所述数据报文的数据报文标识符；

S2，根据所述数据报文标识符判断所述数据报文是否为已存在数据流的后继报文；

S3，若获知所述数据报文非已存在数据流的后继报文，则对所述数据报文进行应用层解析，并根据应用层解析所获得的数据流标识符判断所述数据报文是否为非法报文或被传输数据流的首个报文，若获知所述数据报文为被传输数据流的首个报文，则创建一个新的数据流；

S4，对属于同一数据流的数据报文进行重组，对数据流进行恢复。

2.根据权利要求1所述的方法，其特征在于，所述步骤S3还包括：

若获知所述数据报文为已存在数据流的后继报文，则将所述数据报文插入所述已存在数据流的报文队列中。

3.根据权利要求1所述的方法，其特征在于，在步骤S3中所述根据应用层解析所获得的数据流标识符判断所述数据报文是否为非法报文或被传输数据流的首个报文的步骤之后，还包括：

若获知所述数据报文为非法报文，则丢弃所述数据报文。

4.根据权利要求1或2或3所述的方法，其特征在于，步骤S1中对所数据报文进行解析的步骤进一步包括：

对所述数据报文依次进行以太网数据帧解析、IP报文解析和TCP/UDP报文解析。

5.根据权利要求4所述的方法，其特征在于，所述数据报文标识符为一个四元组DataPacketID＝<SrcIP,SrcPort,DstIP,DstPort>，其中，SrcIP、SrcPort、DstIP及DstPort分别表示数据报文的源IP地址，源端口，目的IP地址和目的端口。

6.根据权利要求1或3所述的方法，其特征在于，步骤S3中对所述数据报文进行应用层解析的步骤进一步包括：

根据应用层协议的特征字段，判断所述数据报文所使用的应用层协议，并提取所需要的特征信息，为所述数据报文生成数据流标识符。

7.根据权利要求6所述的方法，其特征在于，所述数据流标识符为一个四元组DataFlowID＝<Protocol,FlowName,Timestamp，DataPacketID>，其中，Protocol、FlowName、Timestamp及DataPacketID分别表示传输数据流的应用层协议，被传输数据流的名称，数据报文的发送时间戳，传输数据流的数据报文标识符。

8.一种基于报文协议特征的网络数据流恢复系统，其特征在于，包括：

数据报文采集与解析模块，用于获取网络中的数据报文，对所述数据报文进行解析，获得所述数据报文的数据报文标识符；

数据流分类模块，用于根据所述数据报文标识符判断所述数据报文是否为已存在数据流的后继报文；

应用层解析模块，若获知所述数据报文非已存在数据流的后继报文，则对所述数据报文进行应用层解析，并根据应用层解析所获得的数据流标识符判断所述数据报文是否为非法报文或被传输数据流的首个报文，若获知所述数据报文为被传输数据流的首个报文，则创建一个新的数据流；

数据报文重组模块，用于对属于同一数据流的数据报文进行重组，对数据流进行恢复。

9.根据权利要求8所述的系统，其特征在于，所述数据流分类模块还用于：

若获知所述数据报文为已存在数据流的后继报文，则将所述数据报文插入所述已存在数据流的报文队列中。

10.根据权利要求8所述的系统，其特征在于，所述应用层解析模块还用于：

若获知所述数据报文为非法报文，则丢弃所述数据报文。