[发明专利]基于缓冲池的分布式工业控制蜜网流量采集系统及方法

权利要求书

1.一种基于缓冲池的分布式工业控制蜜网流量采集系统，其特征在于，在所述的系统中包含三个数据缓冲池和四个组件：输入缓冲池、转换缓冲池、输出缓冲池、输入组件、解析组件、转换组件和输出组件；

三个数据缓冲池中使用三种数据类型，即包、Packet Meeting和JSON；

包是根据协议规范用于存储与捕获的原始二进制数据相对应的协议信息，其有两种状态，“完整”和“不完整”；“完整”意味着数据已经被完全解析；“不完整”是指部分数据没有被解析；

Packet Meeting是一组数据包，由一个超时阈值T_meeting分隔，当超过这个阈值，没有接收到数据时，Packet Meeting被认为是不活跃的并被切断；

JSON是一种轻量级的数据交换格式；

所述输入缓冲池用于临时保存TCP/IP解析器解析的完整和不完整的数据包；

所述输入组件提供了加载和捕获两种输入模式；加载模式以PCAP文件作为输入；PCAP文件是使用Libpcap或基于winpcap程序创建的数据文件；捕获模式负责根据筛选条件实时捕获目标主机接收到的网络流量；

所述解析组件分为TCP/IP解析器和应用解析器；TCP/IP解析器基于Pcap4J实现，用于解析传输层及以下的协议；应用解析器用于解析基于Tshark的工业控制蜜罐支持的应用层协议；解析组件解析n个数据包的时间表示为：

其中表示Pcap4J解析n个原始二进制数据包所花费的时间；表示Tshark解析n个未完成数据包中的m个数据包所花费的时间，由系统调用时间T_E和解析时间组成，表示为：

所述转换组件包括四种转换模式：原始数据、包、流和会话，其中流和会话模式，转换组件先根据对应模式的规范将数据包提取为目标类型；原始数据模式保留二进制类型的原始输入数据，与PCAP文件中的数据一致；对于原始模式和包模式，转换组件只需要将数据转换为JSON格式，并将其转移到输出缓存池；

所述输出组件提供存储和传输两种输出方式；存储模式是在本地存储转换后的数据；通过这种方式，该框架用作网络流量分析器；传输模式是将转换后的数据传输到工业控制蜜网的数据中心，在该组件中引入了一个异步事件驱动的网络应用框架Netty进行数据传输，该网络应用框架Netty用于快速开发可维护的高性能协议服务器和客户端；

输出组件的两种输出模式可以并行运行；框架通过本地备份进一步防止数据丢失；输出组件传输n个数据包的时间可以表示为：

其中，表示输出组件传输第i个数据包的时间。

2.根据权利要求1所述的基于缓冲池的分布式工业控制蜜网流量采集系统，其特征在于，输入组件中捕获模式的筛选条件包括源主机、目标主机、源端口、目标端口、特定协议。

3.根据权利要求1所述的基于缓冲池的分布式工业控制蜜网流量采集系统，其特征在于，输出组件中，Netty使用TCP协议传输数据，并使用加密套接字协议层技术，保证数据的机密性。

4.一种采用如权利要求1-3任一所述的基于缓冲池的分布式工业控制蜜网流量采集系统的方法，其特征在于，首先，当数据进入到输入组件时，输入缓冲池中的数据包就组成了一个Packet Meeting，系统判断Packet Meeting是否满足时间阈值，如果不满足将返回到输入组件并交给TCP/IP解析器进行解析；满足则继续判断数据包是否完整，若不完整，应用解析器会将所有不完整数据包解析为完整的数据包；

然后，将Packet Meeting存储在转换缓冲池中，并清理输入缓冲池；同时，转换组件将实时监控转换缓冲池的状态；一旦转换缓冲池中出现了Packet Meeting，转换组件将根据特定的转换模式将其转换为JSON格式；转换后的数据存储在输出缓冲池中，由输出组件进行监控并实时输出数据。