[发明专利]一种高效的基于通用服务器的报文自动镜像的方法

摘要

一种高效的基于通用服务器的报文自动镜像的方法涉及信息技术领域，本发明由报文预处理模块，镜像引擎模块，镜像引擎的规则转译模块配合实现；由报文预处理模块和镜像引擎模块及镜像引擎的规则转译模块实现镜像步骤；镜像步骤包括：镜像引擎的工作步骤和镜像引擎的规则转译步骤；本发明实现镜像规则引擎，通过把规则转换成设备无关的状态机，然后由匹配引擎对通过引擎的数据报文进行匹配，将匹配成功的报文通过端口进行发送，这样做使得众多的X86通用服务器设备可以很容易的支持复杂镜像功能，且在保障设备性能的基础上支持使用正则语法描述镜像相关规则以提升镜像的功能处理速度和准确性，复杂性，并且镜像装置可使用各种不同场景。

主权项

一种高效的基于通用服务器的报文自动镜像的方法，其特征在于由报文预处理模块，镜像引擎模块，镜像引擎的规则转译模块配合实现；由报文预处理模块和镜像引擎模块及镜像引擎的规则转译模块实现镜像步骤；镜像步骤包括：镜像引擎的工作步骤和镜像引擎的规则转译步骤；（1）镜像步骤：步骤一，由报文预处理模块对接收到的报文进行预处理，预处理的过程包括：a）. 提取源IP地址，目的IP地址，源端口，目的端口，报文负载，域名作为报文属性信息；b）.关联数据以提取报文归属信息，包括：报文的源IP地址归属行政区，目的IP地址归属行政区，源IP地址归属的用户，目的IP归属的机房；步骤二，镜像引擎模块对步骤一提取到的报文属性信息和报文归属信息进行匹配，匹配成功则设置报文镜像标记；步骤三，检查报文通过步骤二是否已经设置了报文镜像标记，当已设置报文镜像标记则复制报文得到镜像报文，当未设置报文镜像标记直接终止未设置报文镜像标记的报文的镜像流程；步骤四，将步骤三得到的镜像报文，发送到镜像端口并完成转发操作以输出镜像报文；（2）镜像引擎的工作步骤，由镜像引擎模块完成：步骤一，对IP类元属性规则进行匹配，获取到本报文源/目的IP地址命中的所有规则，将对应的元属性序列号，记录在匹配结果集合中；IP类元属性匹配基于区间树算法进行匹配；IP地址，端口，报文负载等单一且不可分割的属性视为元属性，规则表达式中仅含一个元属性的表达式称为元属性表达式，对镜像规则逻辑表达式中每一个由元属性表述的规则进行统一编号，称为元属性序列号；步骤二，对端口类元属性规则进行匹配，获取到本报文源/目的端口命中的所有规则，将对应的元属性序列号，记录在匹配结果集合中；端口类元属性匹配基于区间树算法进行匹配；步骤三，对报文负载类元属性规则进行匹配，获取到本报文负载部分命中的所有规则，将对应的元属性序列号，记录在匹配结果集合中；负载类元属性匹配基于AC多模匹配算法进行匹配；负载部分指tcp协议的负载部分和udp协议的负载部分；步骤四，对步骤一，步骤二，步骤三获得的匹配结果集合进行序列化操作，具体操作为：a）. 对匹配结果集中记录的所有元属性序列号进行升序排序，获得有序的元属性结果序列号集合；b）. 将有序的元属性结果序列号集合格式化，生成已格式化的有序的元属性结果序列号集合，格式化的具体方案为将序列号用特殊符号进行分隔，以便于后续进行正则匹配；步骤五，对已格式化的有序的元属性结果序列号集合进行正则匹配，匹配的具体步骤为：a）. 根据序列号查找所有包含元属性序列号正则表达式；b）. 使用元序列号表达式对步骤四格式化之后的序列号格式化字符串进行匹配；步骤六，检查步骤五是否匹配成功，若匹配成功则检查当前时间是否在镜像的时间段内，当前时间处于镜像时间段内则设置镜像标记；（3）镜像引擎的规则转译步骤，由镜像引擎的规则转译模块完成：步骤一，解析规则，将组合规则拆分成若干个元属性表达式，对元属性表达式进行编号；步骤二，a） .将规则表达式中的逻辑与符号‘&&’用正则表达式‘.*’替换，将元属性表达式替换为‘<序列号>’格式，得到 ‘<x>.*<y>’格式的元属性序列号，正则表达式与原规则表达式等价；b）.将元属性序列号与元属性序列号正则表达式的映射关系记录备用。