一種報文切割指示方法、系統及報文分析方法和系統的製作方法

2023-10-16 18:32:59

專利名稱：一種報文切割指示方法、系統及報文分析方法和系統的製作方法
技術領域：
本發明涉及抓包技術領域，更具體地說，涉及一種報文切割指示方法、系統及報文分析方法和系統。
背景技術：
抓包是指使用網絡底層報文捕獲工具，將網絡設備某個埠出或者入方向的數據流量複製一份，供網絡分析使用的一種手段。抓包廣泛的應用在IP網絡故障定位場景中，對網絡設備埠的數據流進行抓包，進而對抓包的數據流中的報文進行分析可以做到準確的故障定位，具體的，可在網絡中某個點(如網絡設備的埠、接口)進行抓包，對抓包到的報文進行分析，從而確認設備是否發出或者接收到指定的報文、報文內容是否正確等，達到幫助確定網絡故障範圍和故障原因的目的。目前主要通過報文分析系統分析指定的協議，如ARP、I CMP, OSPF, BFD、RTP等協議，對抓包到的報文進行分析；在進行報文分析過程中，通常需要將抓包到的報文按照時間區間和IP位址進行分析，這就涉及到抓包報文的切割，抓包報文的切割是指將抓包到的報文按照選定的時間區間進行切割，將抓包到的報文分割成多段，從而可對切割後的所選定的時間區間對應的報文進行分析，進而實現對抓包報文的分析目的。現有技術是採用手動方式選定所要切割的報文對應的時間區間，即手動輸入時間區間的起止時刻，這種方式無法對所選定的時間區間對應的報文大小和時間區間的時長進行準確的估計，當所選定的時間區間對應的報文過大或者時間區間的時長超長時，將超過報文分析系統所能分析的範圍，報文分析系統將無法準確的對切割報文進行分析，存在無效的報文分析過程；為實現準確的報文分析，現有技術需要重新手動選定所要切割的報文對應的時間區間，現有技術的時間區間的選定過程較為繁瑣
發明內容
有鑑於此，本發明提供一種報文切割指示方法、系統及報文分析方法和系統，以避免無效的報文分析過程，同時簡化時間區間的選定過程。第一方面，提供了一種報文切割指示方法，包括解析抓包到的待分析報文，獲取待分析報文的基本信息，所述基本信息包括所述待分析報文的抓包起始時間，所述待分析報文的抓包終止時間，和所述待分析報文的報文大小；依據所述抓包起始時間和抓包終止時間計算抓包時長，以所述抓包時長為軸長建立第一時間軸；在所述第一時間軸上選定第一時間點和第二時間點；判斷所述第一時間點和第二時間點的時間區間的時長和所述時間區間對應的報文大小是否分別不超過預設時長閾值和報文大小閾值；若是，指示允許切割所述時間區間對應的報文，若否，指示不允許切割所述時間區間對應的報文。在一種可能的實現方式中，在指示不允許切割所述時間區間對應的報文之後，還包括在所述第一時間軸上重新選定第一時間點和第二時間點，直至重新選定的第一時間點和第二時間點的時間區間時長，和該時間區間對應的報文大小分別不超過預設時長閾值和報文大小閾值。在一種可能的實現方式中，所述指示允許切割所述時間區間對應的報文包括在預設的顯示界面的時間區間時長狀態欄上顯示第一預設顏色，及在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第二預設顏色；所述指示不允許切割所述時間區間對應的報文包括在預設的顯示界面的時間區間時長狀態欄上顯示第一預設顏色，及在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第三預設顏色；或，在預設的顯示界面的時間區間時長狀態欄上顯示第四預設顏色，在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第二預設顏色；或，在預設的顯示界面的時間區間時長狀態欄上顯示第四預設顏色，在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第三預設顏色。在一種可能的實現方式中，該方法還包括在建立所述第一時間軸之後，在所述第一時間軸上疊加待分析報文的流量圖，所疊加的待分析報文的流量圖所表示的報文流量，與所述第一時間軸上報文對應的時間一一對應。結合第一方面的一種可能的實現方式中，在指示允許切割所述時間區間對應的報文之後，還包括以所述第一時間點和第二時間點的時間區間的長度為固定時長，在所述第一時間軸上滑動所述固定時長的時間區間長度，進行時間區間的重新選定，所重新選定的時間區間對應的報文為指示允許切割報文的時間區間對應的報文。另一方面，一種報文切割指示系統，包括報文解析模塊，用於解析抓包到的待分析報文，獲取待分析報文的基本信息，所述基本信息包括所述待分析報文的抓包起始時間，所述待分析報文的抓包終止時間，和所述待分析報文的報文大小；時長計算模塊，用於依據所述抓包起始時間和抓包終止時間計算抓包時長；第一時間軸建立模塊，用於以所述抓包時長為軸長建立第一時間軸；第一時間區間選定模塊，用於在所述第一時間軸上選定第一時間點和第二時間點；報文大小計算模塊，用於依據所述報文大小計算所述第一時間點和第二時間點的時間區間內的報文大小；判斷模塊，用於判斷所述時間區間的時長和所述時間區間對應的報文大小是否 分別不超過預設時長閾值和報文大小閾值；指示模塊，用於在所述判斷模塊的判斷結果為是時，指示允許切割所述時間區間對應的報文，在所述判斷模塊的判斷結果為否時，指示不允許切割所述時間區間對應的報文。在另一方面的一種可能的實現方式中，該系統還包括時間區間重新選定觸發模塊，用於在所述指示模塊指示不允許切割所述時間區間對應的報文時，觸發所述第一時間區間選定模塊在所述第一時間軸上重新選定第一時間點和第二時間點。在另一方面的一種可能的實現方式中，所述指示模塊包括第一顯示單元，用於在預設的顯示界面的時間區間時長狀態欄上顯示第一預設顏色，及在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第二預設顏色；第二顯示單元，用於在預設的顯示界面的時間區間時長狀態欄上顯示第一預設顏色，及在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第三預設顏色；或，在預設的顯示界面的時間區間時長狀態欄上顯示第四預設顏色，在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第二預設顏色；或，在預設的顯示界面的時間區間時長狀態欄上顯示第四預設顏色，在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第三預設顏色。在另一方面的一種可能的實現方式中，該系統還包括第一疊加模塊，用於在所述第一時間軸建立模塊建立所述第一時間軸之後，在所述第一時間軸上疊加待分析報文的流量圖，所疊加的待分析報文的流量圖所表示的報文流量，與所述第一時間軸上報文對應的時間--對應。在另一方面的一種可能的實現方式中，該系統還包括時間區間滑動選定模塊，用於在所述指示模塊指示允許切割所述時間區間對應的報文之後，以所述第一時間點和第二時間點的時間區間的長度為固定時長，在所述第一時間軸上滑動固定時長的時間區間長度，進行時間區間的重新選定，所重新選定的時間區間對應的報文為指示允許切割報文的時間區間對應的報文。另一方面，一種報文分析方法，基於上述的報文切割指示方法，包括對指示允許切割報文的時間區間對應的報文進行切割；解析切割後的時間區間對應的報文。在一種可能的實現方式中，解析切割後的時間區間對應的報文包括依據指定的報文協議類型和IP位址對所述切割後的時間區間對應的報文進行分析；獲取時間區間對應的起始時間點和終止時間點之間的協議流量統計，和/或，時間區間對應的起始時間點和終止時間點之間的主機流量統計。在一種可能的實現方式中，該方法還包括按照設定的縮放比例，以切割報文的時間區間對應的起始時間點，和終止時間點的時間跨度為軸長建立第二時間軸；在所述第二時間軸上疊加允許切割報文的時間區間對應的報文流量圖，所疊加的流量圖表示的報文流量，與所述第二時間軸上報文對應的時間一一對應。另一方面，一種報文分析系統，基於上述的報文切割指示系統，包括切割模塊，用於對指示允許切割報文的時間區間對應的報文進行切割；解析模塊，用於解析切割後的時間區間對應的報文。在一種可能的實現方式中，所述解析模塊包括第一分析單元，用於依據指定的報文協議類型對所述切割 後的時間區間對應的報文進行分析；第二分析單元，用於依據指定的IP位址對所述切割後的時間區間對應的報文進行分析；獲取單元，用於獲取解析所述切割後的時間區間對應的報文後，所得到的時間區間對應的起始時間點和終止時間點之間的協議流量統計，和/或，時間區間對應的起始時間點和終止時間點之間的主機流量統計。在一種可能的實現方式中，該系統還包括第二時間軸建立模塊，用於按照設定的縮放比例，以切割報文的時間區間對應的起始時間點，和終止時間點的時間跨度為軸長建立第二時間軸；第二疊加模塊，用於在所述第二時間軸上疊加允許切割報文的時間區間對應的報文流量圖，所疊加的流量圖表示的報文流量，與所述第二時間軸上報文對應的時間--對應。基於上述技術方案，本發明實施例提供的報文切割指示方法，以解析到的待分析報文的基本信息中的抓包起始時間和抓包終止時間計算抓包時長，以所述抓包時長為軸長建立第一時間軸，在所述第一時間軸上選定第一時間點和第二時間點，通過判斷第一時間點和第二時間點的時間區間的時長和所述時間區間對應的報文大小是否分別不超過預設時長閾值和報文大小閾值，從而在判斷結果為是時，指示允許切割所述時間區間對應的報文，在判斷結果為否時，指示不允許切割所述時間區間對應的報文。本發明實施例提供的報文切割指示方法將越限時長、報文大小與時間區間關聯，通過相應的指示，即可在選定時間區間的過程中就能控制所選定的需要進行切割的報文的大小和對應時長不超過規定大小和時長，通過本發明實施例提供的報文切割指示方法，可避免在時間區間時長和對應的報文大小超過各自對應的閾值時的報文切割，進而避免了後續的無效的報文分析過程；同時本發明實施例通過建立第一時間軸，可通過可視化方式，在第一時間軸上進行時間區間的選定，不再需要進行手動的時間區間的起止時刻的輸入，簡化了時間區間的選定過程。


為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖1為本發明實施例提供的報文切割指示方法的流程圖；圖2為本發明實施例提供的報文切割指示方法的另一流程圖；圖3為本發明實施例提供的報文切割指示方法的又一流程圖；圖4為本發明實施例提供的顯示界面的示意圖；圖5為本發明實施例提供的硬體架構示意圖；圖6為本發明實施例提供的報文切割指示系統的結構框圖；圖7為本發明實施例提供的指示模塊的結構框圖；圖8為本發明實施例提供的報文切割指示系統的另一結構框
圖9為本發明實施例提供的報文切割指示系統的又一結構框圖；圖10為本發明實施例提供的報文切割指示系統的再一結構框圖；圖11為本發明實施例提供的報文分析方法的流程圖；圖12為本發明實施例提供的報文分析方法的另一流程圖；圖13為本發明實施例提供的顯示界面的另一示意圖；圖14為本發明實施例提供的報文分析系統的結構框圖；圖15為本發明實施例提供的解析模塊的結構框圖；圖16為本發明實施例提供的報文分析系統的另一結構框圖。
具體實施例方式下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。圖1為本發明實施例提供的報文切割指示方法的流程圖，參照圖1，該方法可以包括步驟S100、解析抓包到的待分析報文，獲取待分析報文的基本信息；在對網絡中的某個點出或者入方向的報文進行抓包後，可確定其中的待分析的報文，對該待分析報文進行解析處理後，可獲得待分析報文的基本信息，基本信息可以包括報文數據包的數量、字節數、平均包大小、開始抓包時間、終止抓包時間、持續時長、抓包速率等信息；對於本發明實施例而言，可獲取解析的待分析報文的基本信息中的待分析報文的抓包起始時間，待分析報文的抓包終止時間，和待分析報文的報文大小。步驟S110、依據所述抓包起始時間和抓包終止時間計算抓包時長，以所述抓包時長為軸長建立第一時間軸；其中，抓包時長是指抓包起始時間和抓包終止時間之間的時間間隔，以所述抓包時長為軸長建立第一時間軸是指建立具有上述時間間隔的時間長度的時間軸，如抓包起始時間為12點I分，抓包終止時間為12點4分，那麼抓包起始時間與終止時間的時間間隔為3分，以3分的時間長度建立第一時間軸；可選的，所建立的第一時間軸的起始時刻可以為O分，終止時刻可以為3分；也可建立起始時刻為12點I分，終止時刻為12點4分的第一時間軸，只需第一時間軸的終止時亥_起始時刻的跨度為上述時間間隔即可。所建立的第一時間軸可顯示在顯示界面上。步驟S120、在所述第一時間軸上選定第一時間點和第二時間點；可選的，第一時間點可以為所要切割的報文的起始時間點，對應的，第二時間點為所要切割的報文的終止時間點，第一時間點的選定順序可以優先於第二時間點，只要所選定的第一時間點值小於第二時間點值即可；顯然，第一時間點也可以為所要切割的報文的終止時間點，對應的，第二時間點為所要切割的報文的起始時間點，第一時間點的選定順序可以優先於第二時間點，只要所選定的第二時間點值小於第一時間點值即可。值得注意的是，本發明實施例可以不對第一時間點和第二時間點的選定順序進行限制，只要在選定第一時間點和第二時間點後，通過第一時間點和第二時間點，第一時間軸上存在一段時間長度的時間區間即可，對此，時間點值較小的時間點為所要切割的報文的起始時間點，時間點值較大的時間點為所要切割的報文的終止時間點。可選的，所要切割的報文的起始時間點和終止時間點可以為，相對待分析報文的抓包起始時間的相對時間，如抓包起始時間為12點I分，抓包終止時間為12點4分，第一時間軸的起始時刻為O分，終止時刻為3分，所要切割的報文的起始時間點和終止時間點分別為I分和2分，則該I分和2分為相對抓包起始時間12點I分的相對時間。可選的，可通過光標、鍵盤等控制裝置，對於觸控螢幕而言，還可通過觸控方式，在第一時間軸上進行第一時間點和第二時間點的選定點擊，在選定點擊後，通過設備內部的處理裝置進行第一時間點和第二時間點的選定確定，實現在所述第一時間軸上選定第一時間點和第二時間點。步驟S130、判斷所述第一時間點和第二時間點的時間區間的時長和所述時間區間對應的報文大小是否分別不超過預設時長閾值和報文大小閾值，若是，執行步驟S140，若否，執行步驟S150 ；預設的時長閾值和報文大小閾值可以依照具體的系統環境設定，只要時長閾值和報文大小閾值不超過系統所能分析的時長範圍和報文大小範圍即可。可選的，所述時間區間對應的報文大小可通過待分析報文的報文大小，及抓包時長與時間區間的比值計算。本發明實施例中，只有所述 第一時間點和第二時間點的時間區間的時長不超過預設時長閾值，且所述第一時間點和第二時間點的時間區間對應的報文大小不超過預設報文大小閾值時，判斷結果才為是，後續流程進入步驟S140，否則，即時間區間的時長超過預設時長閾值，和/或，時間區間對應的報文大小超過預設報文大學閾值時，判斷結果為否，後續流程進入步驟S150。步驟S140、指示允許切割所述時間區間對應的報文；步驟S150、指示不允許切割所述時間區間對應的報文。本發 明實施例中，指示方式可以為聲音指示，色彩顯示指示，嗅覺指示等，只要允許切割所述時間區間對應的報文和不允許切割所述時間區間對應的報文的指示方式能夠區分即可，對於具體的指示方式，本發明實施例並不設限。本發明實施例提供的報文切割指示方法，以解析到的待分析報文的基本信息中的抓包起始時間和抓包終止時間計算抓包時長，以所述抓包時長為軸長建立第一時間軸，在所述第一時間軸上選定第一時間點和第二時間點，通過判斷第一時間點和第二時間點的時間區間的時長和所述時間區間對應的報文大小是否分別不超過預設時長閾值和報文大小閾值，從而在判斷結果為是時，指示允許切割所述時間區間對應的報文，在判斷結果為否時，指示不允許切割所述時間區間對應的報文。本發明實施例提供的報文切割指示方法將越限時長、報文大小與時間區間關聯，通過相應的指示，即可在選定時間區間的過程中就能控制所選定的需要進行切割的報文的大小和對應時長不超過規定大小和時長，通過本發明實施例提供的報文切割指示方法，可避免在時間區間時長和對應的報文大小超過各自對應的閾值時的報文切割，進而避免了後續的無效的報文分析過程；同時本發明實施例通過建立第一時間軸，可通過可視化方式，在第一時間軸上進行時間區間的選定，不再需要進行手動的時間區間的起止時刻的輸入，簡化了時間區間的選定過程。圖2為本發明實施例提供的報文切割指示方法的另一流程圖，結合圖1和圖2所示，在步驟S150執行之後，圖2所示流程將轉入步驟S120在第一時間軸上重新選定第一時間點和第二時間點，該循環在所重新選定的第一時間點和第二時間點的時間區間時長，和該時間區間對應的報文大小分別不超過預設時長閾值和報文大小閾值時結束，即當重新選定的第一時間點和第二時間點的時間區間時長，和該時間區間對應的報文大小分別不超過預設時長閾值和報文大小閾值時，圖2所示流程將轉入步驟S140，指示允許切割重新選定的時間區間對應的報文。可選的，本發明實施例的具體指示方式可以為色彩顯示指示，色彩顯示指示需在顯示界面上預設時間區間時長狀態欄，和時間區間對應的報文大小狀態欄，對於圖1所示步驟S140指示允許切割所述時間區間對應的報文的具體實現方式可以如下在預設的顯示界面的時間區間時長狀態欄上顯示第一預設顏色，及在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第二預設顏色；其中，第一預設顏色與第二預設顏色可以為相同的顏色，可選為綠色，顯然，第一預設顏色和第二預設顏色也可為不同的顏色，只要能夠標識對應的指示即可。由於存在三種不同的情況時，本發明實施例均會指示不允許切割所述時間區間對應的報文，因此對於圖1所示步驟S150中指示不允許切割所述時間區間對應的報文的具體實現方式可以如下當第一時間點和第二時間點的時間區間的時長不超過預設時長閾值，而時間區間對應的報文大小超過預設報文大小閾值時，可在預設的顯示界面的時間區間時長狀態欄上顯示第一預設顏色，及在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第三預設顏色；其中，第三預設顏色為與第二預設顏色不同的顏色；
當第一時間點和第二時間點的時間區間的時長超過預設時長閾值，而時間區間對應的報文大小不超過預設報文大小閾值時，可在預設的顯示界面的時間區間時長狀態欄上顯示第四預設顏色，在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第二預設顏色；其中，第四預設顏色為與第一預設顏色不同的顏色；當第一時間點和第二時間點的時間區間的時長超過預設時長閾值，且時間區間對應的報文大小超過預設報文大小閾值時，可在預設的顯示界面的時間區間時長狀態欄上顯示第四預設顏色，在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第三預設顏色。圖3為本發明實施例提供的報文切割指示方法的又一流程圖，結合圖2和圖3所示，圖3所示方法還包括步驟S160、在所述第一時間軸上疊加待分析報文的流量圖；其中，所疊加的待分析報文的流量圖所表示的報文流量，與所述第一時間軸上報文對應的時間——對應；可選的，步驟S160可在步驟SllO之後 執行，顯然步驟S160對於圖2所示流程並不存在影響，因此步驟S160還可在步驟SllO建立第一時間軸之後的任一時刻執行。步驟S170、以第一時間點和第二時間點的時間區間的長度為固定時長，在所述第一時間軸上滑動所述固定時長的時間區間長度，進行時間區間的重新選定；所重新選定的時間區間對應的報文為指示允許切割報文的時間區間對應的報文。步驟S170可在步驟S140指示允許切割所述時間區間對應的報文之後執行。由於步驟S140已指示第一時間點和第二時間點間的時間區間為允許進行報文切割的時間區間，因此以該時間區間的長度為固定時長，在第一時間軸上選定具有該固定時長的其他的時間區間均為允許進行報文切割的時間區間。本發明實施例通過可視化方式，採用上述滑動方式選定連續的時間區間，可提高用戶時間區間的選定效率和體驗。可選的，對於本發明實施例而言，可在第一時間軸上進行連續的多個時間區間選定，即在第一時間軸上連續選定多個時間點，以連續前後(此處前後表示選定的順序)選定的兩個時間點所對應的時間區間作為一個選定的時間區間，這樣即可在第一時間軸上實現連續的多個時間區間的選定。本發明實施例提供的報文切割指示方法可以基於界面顯示技術，因此下面提供一種可以實現本發明實施例所提供的報文切割指示方法的顯示界面。如圖4所示，該顯示界面可以包括第一顯示區域1，用於顯示待分析的報文包；第二顯示區域2，用於顯示待分析報文解析後，所獲得的基本信息；第三顯示區域3，用於顯示所建立的第一時間軸和/或第一時間軸上疊加的待分析報文的流量圖；第四顯示區域4，用於顯示預設的時間區間時長狀態欄，和預設的時間區間對應的報文大小狀態欄，並且進行對應的色彩指示的顯示。本發明實施例所提供的報文切割指示方法可基於下述硬體架構，如圖5所示，該硬體架構包括外圍設備01，計算機02，連接外圍設備01和計算機02的輸入/輸出埠03，其中，外圍設備01可以包括鍵盤011，光標控制器012，顯示器013，計算機02可以包括中央處理器021，隨機訪問存儲器022，只讀存儲器023，磁碟或光碟024，和內部總線025。其中，磁碟024存儲有待分析報文解析程序，抓包時長計算程序，閾值判斷程序和指不程序等；中央處理器021可調用磁碟024中存儲的待分析報文解析程序，解析抓包到的待分析報文，獲取待分析報文的基本信息；調取抓包時長計算程序，依據待分析報文的抓包起始時間和抓包終止時間計算抓包時長，在顯示器013在顯示以所述抓包時長為軸長建立的第一時間軸。在鍵盤011或光標控制器012在顯不器013所顯不的第一時間軸上執行第一時間點和第二時間點的選定操作後，中央處理器021可確定所選定的第一時間點值和第二時間點值，調取閾值判斷程序，判斷所述第一時間點和第二時間點的時間區間的時長和所述時間區間對應的報文大小是否分別不超過預設時長閾值和報文大小閾值，並根據判斷結果調取對應的指示程序，在判斷結果為是時，在顯示器013上指示允許切割所述時間區間對應的報文，在判斷結果為否時，在顯示器013上指示不允許切割所述時間區間對應的報文。顯然，磁碟024還可存儲圖形疊加程序，以便中央處理器021可調取該程序，實現待分析報文的流量圖在第一時間軸上的疊加。可選的，上述中央處理器的021的處理結果還可對應的顯示在圖4所示顯示界面上。下面對本發明實施例提供的報文切割指示系統進行描述，下文所描述的報文切割指示系統與上文所描述的報文切割指示方法對應，兩者可相互參照。圖6為本發明實施例提供的報文切割指示系統的結構框圖，參照圖6，該系統可以包括報文解析模塊100，用於解析抓包到的待分析報文，獲取待分析報文的基本信息；所述基本信息可以包括所述待分析報文的抓包起始時間，所述待分析報文的抓包終止時間，和所述待分析報文的報文大小；時長計算模塊11 0，用於依據所述抓包起始時間和抓包終止時間計算抓包時長；第一時間軸建立模塊120，用於以所述抓包時長為軸長建立第一時間軸；第一時間區間選定模塊130，用於在所述第一時間軸上選定第一時間點和第二時間點；報文大小計算模塊140，用於依據所述報文大小計算所述第一時間點和第二時間點的時間區間內的報文大小；判斷模塊150，用於判斷所述時間區間的時長和所述時間區間對應的報文大小是否分別不超過預設時長閾值和報文大小閾值；指示模塊160，用於在判斷模塊150的判斷結果為是時，指示允許切割所述時間區間對應的報文，在判斷模塊150的判斷結果為否時，指示不允許切割所述時間區間對應的報文。本發明實施例所提供的報文切割指示系統，將越限時長、報文大小與時間區間關聯，通過相應的指示，即可在選定時間區間的過程中就能控制所選定的需要進行切割的報文的大小和對應時長不超過規定大小和時長，通過本發明實施例提供的報文切割指示系統，可避免在時間區間時長和對應的報文大小超過各自對應的閾值時的報文切割，進而避免了後續的無效的報文分析過程；同時本發明實施例通過建立第一時間軸，可通過可視化方式，在第一時間軸上進行時間區間的選定，不再需要進行手動的時間區間的起止時刻的輸入，簡化了時間區間的選定過程。
可選的，指示模塊160的結構可如圖7所示，包括第一顯示單元161，用於在預設的顯示界面的時間區間時長狀態欄上顯示第一預設顏色，及在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第二預設顏色；第二顯示單元162，用於在預設的顯示界面的時間區間時長狀態欄上顯示第一預設顏色，及在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第三預設顏色；或，在預設的顯示界面的時間區間時長狀態欄上顯示第四預設顏色，在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第二預設顏色；或，在預設的顯示界面的時間區間時長狀態欄上顯示第四預設顏色，在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第三預設顏色。圖8為本發明實施例提供的報文切割指示系統的另一結構框圖，結合圖6和圖8所示，該系統還可以包括時間區間重新選定觸發模塊170，用於在指示模塊160指示不允許切割所述時間區間對應的報文時，觸發第一時間區間選定模塊130在所述第一時間軸上重新選定第一時間點和第二時間點。圖9為本發明實施例提供的報文切割指示系統的又一結構框圖，結合圖6和圖9所示，該系統還可以包括第一疊加模塊180,用於在第一時間軸建立模塊120建立所述第一時間軸之後,在所述第一時間軸上疊加待分析報文的流量圖；所疊加的待分析報文的流量`圖所表示的報文流量，與所述第一時間軸上報文對應的時間——對應。圖10為本發明實施例提供的報文切割指示系統的再一結構框圖，結合圖6和圖10所示，該系統還可以包括時間區間滑動選定模塊190，用於在所述指示模塊指示允許切割所述時間區間對應的報文之後，以所述第一時間點和第二時間點的時間區間的長度為固定時長，在所述第一時間軸上滑動固定時長的時間區間長度，進行時間區間的重新選定；所重新選定的時間區間對應的報文為指示允許切割報文的時間區間對應的報文。通過時間區間滑動選定模塊190可實現時間區間的滑動選定，提高了用戶時間區間的選定效率和體驗。下面對本發明實施例提供的報文分析方法進行說明，下文所提供的報文分析方法基於上文所提供的報文切割指示方法，對於下文所涉及到的報文切割指示的內容可參照上文的描述。圖11為本發明實施例提供的報文分析方法的流程圖，該方法可以包括步驟S200、對指示允許切割報文的時間區間對應的報文進行切割；步驟S210、解析切割後的時間區間對應的報文。其中，可依據指定的報文協議類型和IP位址對所述切割後的時間區間對應的報文進行分析，通過解析可獲取時間區間對應的起始時間點和終止時間點之間的協議流量統計，和/或，該起始時間點和終止時間點之間的主機流量統計。指示允許切割報文的時間區間對應的報文可參照上文報文切割指示方法中的描述，此處不再贅述。
通過圖11所示方法，可在指示允許切割報文的時間區間對應的報文之後，對指示允許切割報文的時間區間對應的報文進行切割，實現對抓包報文的分析目的。圖12為本發明實施例提供的報文分析方法的另一流程圖，結合圖11和圖12所示，該方法還可以包括步驟S220、按照設定的縮放比例，以切割報文的時間區間對應的起始時間點，和終止時間點的時間跨度為軸長建立第二時間軸；步驟S230、在所述第二時間軸上疊加允許切割報文的時間區間對應的報文流量圖；所疊加的流量圖表示的報文流量，與所述第二時間軸上報文對應的時間一一對應。可選的，在界面上顯示時，第一時間軸和第二時間軸的所顯示的長度可以相等，但第二時間軸的時間跨度必然為第一時間軸上所選定的時間區間的時間跨度。圖13為本發明實施例提供的顯示界面的另一示意圖,相比圖4所示顯示界面，圖13所示顯示界面還包括第五顯示區域5，用於顯示待分析報文的查詢條件，該查詢條件可通過外圍設備輸入獲得，也可進行預置，查詢條件可以包括指定的報文協議類型和IP位址；第六顯示區域6，用於顯示所建立的第二時間軸和/或時間軸上疊加的切割報文對應的流量圖；第七顯示區域7，用於顯示解析切割報文後，所獲得的協議流量統計；第八顯示區域8，用於顯示解析切割報文後，所獲得的主機流量統計。本發明實施例提供的報文分析方法也可基於圖5所示的硬體架構，相應的，磁碟024還需存儲報文切割程序，和報文解析程序，以便中央處理器021調取對應的程序對指示允許切割報文的時間區間對應的報文進行切割，解析切割後的時間區間對應的報文。顯示，磁碟024還可存儲圖形疊 加程序，以便中央處理器021可調取該程序，實現切割報文的流量圖在第二時間軸上的疊加。可選的，上述中央處理器的021的處理結果還可對應的顯示在圖13所示顯示界面上。下面對本發明實施例提供的報文分析系統進行描述，下文所描述的報文分析系統基於上文所描述的報文切割指示系統，下文涉及到的報文切割指示可參照上文描述的報文切割指示系統；同時下文描述的報文分析系統還與上文提供的報文分析方法對應，兩者可相互參照。圖14為本發明實施例提供的報文分析系統的結構框圖，參照圖14，該系統可以包括切割模塊200，用於對指示允許切割報文的時間區間對應的報文進行切割；解析模塊210，用於解析切割後的時間區間對應的報文。可選的，解析模塊210的結構可如圖15所示，包括第一分析單元211，用於依據指定的報文協議類型對所述切割後的時間區間對應的報文進行分析；第二分析單元212，用於依據指定的IP位址對所述切割後的時間區間對應的報文進行分析；獲取單元213，用於獲取解析所述切割後的時間區間對應的報文後，所得到的時間區間對應的起始時間點和終止時間點之間的協議流量統計，和/或，時間區間對應的起始時間點和終止時間點之間的主機流量統計。圖16為本發明實施例提供的報文分析系統的另一結構框圖，結合圖14和圖16所示，圖16所述系統還包括第二時間軸建立模塊220，用於按照設定的縮放比例，以切割報文的時間區間對應的起始時間點，和終止時間點的時間跨度為軸長建立第二時間軸；第二疊加模塊230，用於在所述第二時間軸上疊加允許切割報文的時間區間對應的報文流量圖；所疊加的流量圖表示的報文流量，與所述第二時間軸上報文對應的時間一一對應。本說明書中各個實施例採用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似部分互相參見即可。對於實施例公開的裝置而言，由於其與實施例公開的方法相對應，所以描述的比較簡單，相關之處參見方法部分說明即可。專業人員還可以進一步應能意識到，結合本文中所公開的實施例描述的各示例的單元及算法步驟，能夠以電子硬體、計算機軟體或者二者的結合來實現，為了清楚地說明硬體和軟體的可互換性，在上述說明中已經按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬體還是軟體方式來執行，取決於技術方案的特定應用和設計約束條件。專業技術人員可以對每個特定的應用來使用不同方法來實現所描述的功能，但是這種實現不應認為超出本發明實施例的範圍。結合本文中所公開的實施例描述的方法或算法的步驟可以直接用硬體、處理器執行的軟體模塊，或者二者的 結合來實施。對所公開的實施例的上述說明，使本領域專業技術人員能夠實現或使用本發明實施例。對這些實施例的多種修改對本領域的專業技術人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發明實施例的精神或範圍的情況下，在其它實施例中實現。因此，本發明實施例將不會被限制於本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的範圍。以上所述僅為本發明實施例的較佳實施例而已，並不用以限制本發明實施例，凡在本發明實施例的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明實施例的保護範圍之內。
權利要求
1.一種報文切割指示方法，其特徵在於，包括 解析抓包到的待分析報文，獲取待分析報文的基本信息，所述基本信息包括所述待分析報文的抓包起始時間，所述待分析報文的抓包終止時間，和所述待分析報文的報文大小; 依據所述抓包起始時間和抓包終止時間計算抓包時長，以所述抓包時長為軸長建立第一時間軸； 在所述第一時間軸上選定第一時間點和第二時間點； 判斷所述第一時間點和第二時間點的時間區間的時長和所述時間區間對應的報文大小是否分別不超過預設時長閾值和報文大小閾值； 若是，指示允許切割所述時間區間對應的報文，若否，指示不允許切割所述時間區間對應的報文。
2.根據權利要求1所述的方法，其特徵在於，在指示不允許切割所述時間區間對應的報文之後,還包括 在所述第一時間軸上重新選定第一時間點和第二時間點，直至重新選定的第一時間點和第二時間點的時間區間時長，和該時間區間對應的報文大小分別不超過預設時長閾值和報文大小閾值。
3.根據權利要求1所述的方法，其特徵在於，所述指示允許切割所述時間區間對應的報文包括 在預設的顯示界面的時間區間時長狀態欄上顯示第一預設顏色，及在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第二預設顏色； 所述指示不允許切割所述時間區間對應的報文包括 在預設的顯示界面的時間區間時長狀態欄上顯示第一預設顏色，及在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第三預設顏色； 或，在預設的顯示界面的時間區間時長狀態欄上顯示第四預設顏色，在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第二預設顏色； 或，在預設的顯示界面的時間區間時長狀態欄上顯示第四預設顏色，在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第三預設顏色。
4.根據權利要求1所述的方法，其特徵在於，還包括 在建立所述第一時間軸之後，在所述第一時間軸上疊加待分析報文的流量圖，所疊加的待分析報文的流量圖所表示的報文流量，與所述第一時間軸上報文對應的時間一一對應。
5.根據權利要求1至4任一項所述的方法，其特徵在於，在指示允許切割所述時間區間對應的報文之後，還包括 以所述第一時間點和第二時間點的時間區間的長度為固定時長，在所述第一時間軸上滑動所述固定時長的時間區間長度，進行時間區間的重新選定，所重新選定的時間區間對應的報文為指示允許切割報文的時間區間對應的報文。
6.一種報文切割指示系統，其特徵在於，包括 報文解析模塊，用於解析抓包到的待分析報文，獲取待分析報文的基本信息，所述基本信息包括所述待分析報文的抓包起始時間，所述待分析報文的抓包終止時間，和所述待分析報文的報文大小； 時長計算模塊，用於依據所述抓包起始時間和抓包終止時間計算抓包時長； 第一時間軸建立模塊，用於以所述抓包時長為軸長建立第一時間軸； 第一時間區間選定模塊，用於在所述第一時間軸上選定第一時間點和第二時間點；報文大小計算模塊，用於依據所述報文大小計算所述第一時間點和第二時間點的時間區間內的報文大小； 判斷模塊，用於判斷所述時間區間的時長和所述時間區間對應的報文大小是否分別不超過預設時長閾值和報文大小閾值； 指示模塊，用於在所述判斷模塊的判斷結果為是時，指示允許切割所述時間區間對應的報文，在所述判斷模塊的判斷結果為否時，指示不允許切割所述時間區間對應的報文。
7.根據權利要求6所述的系統，其特徵在於，還包括 時間區間重新選定觸發模塊，用於在所述指示模塊指示不允許切割所述時間區間對應的報文時，觸發所述第一時間區間選定模塊在所述第一時間軸上重新選定第一時間點和第二時間點。
8.根據權利要求6所述的系統，其特徵在於，所述指示模塊包括 第一顯示單元，用於在預設的顯示界面的時間區間時長狀態欄上顯示第一預設顏色，及在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第二預設顏色； 第二顯示單元，用於在預設的顯示界面的時間區間時長狀態欄上顯示第一預設顏色，及在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第三預設顏色； 或，在預設的顯示界面的時間區間時長狀態欄上顯示第四預設顏色，在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第二預設顏色； 或，在預設的顯示界面的時間區間時長狀態欄上顯示第四預設顏色，在預設的顯示界面的時間區間對應的報文大小狀態欄上顯示第三預設顏色。
9.根據權利要求6所述的系統，其特徵在於，還包括 第一疊加模塊，用於在所述第一時間軸建立模塊建立所述第一時間軸之後，在所述第一時間軸上疊加待分析報文的流量圖，所疊加的待分析報文的流量圖所表示的報文流量，與所述第一時間軸上報文對應的時間一一對應。
10.根據權利要求6至9任一項所述的系統，其特徵在於，還包括 時間區間滑動選定模塊，用於在所述指示模塊指示允許切割所述時間區間對應的報文之後，以所述第一時間點和第二時間點的時間區間的長度為固定時長，在所述第一時間軸上滑動固定時長的時間區間長度，進行時間區間的重新選定，所重新選定的時間區間對應的報文為指示允許切割報文的時間區間對應的報文。
11.一種報文分析方法，其特徵在於，基於權利要求1至5任一項所述的報文切割指不方法，包括 對指示允許切割報文的時間區間對應的報文進行切割； 解析切割後的時間區間對應的報文。
12.根據權利要求11所述的方法，其特徵在於，解析切割後的時間區間對應的報文包括 依據指定的報文協議類型和IP位址對所述切割後的時間區間對應的報文進行分析；獲取時間區間對應的起始時間點和終止時間點之間的協議流量統計，和/或，時間區間對應的起始時間點和終止時間點之間的主機流量統計。
13.根據權利要求11或12所述的方法，其特徵在於，還包括 按照設定的縮放比例，以切割報文的時間區間對應的起始時間點，和終止時間點的時間跨度為軸長建立第二時間軸； 在所述第二時間軸上疊加允許切割報文的時間區間對應的報文流量圖，所疊加的流量圖表示的報文流量，與所述第二時間軸上報文對應的時間一一對應。
14.一種報文分析系統，其特徵在於，基於權利要求6至10任一項所述的報文切割指示系統，包括 切割模塊，用於對指示允許切割報文的時間區間對應的報文進行切割； 解析模塊，用於解析切割後的時間區間對應的報文。
15.根據權利要求14所述的系統，其特徵在於，所述解析模塊包括 第一分析單元，用於依據指定的報文協議類型對所述切割後的時間區間對應的報文進行分析； 第二分析單元，用於依據指定的IP位址對所述切割後的時間區間對應的報文進行分析； 獲取單元，用於獲取解析所述切割後的時間區間對應的報文後，所得到的時間區間對應的起始時間點和終止時間點之間的協議流量統計，和/或，時間區間對應的起始時間點和終止時間點之間的主機流量統計。
16.根據權利要求14或15所述的系統，其特徵在於，還包括 第二時間軸建立模塊，用於按照設定的縮放比例，以切割報文的時間區間對應的起始時間點，和終止時間點的時間跨度為軸長建立第二時間軸； 第二疊加模塊，用於在所述第二時間軸上疊加允許切割報文的時間區間對應的報文流量圖，所疊加的流量圖表示的報文流量，與所述第二時間軸上報文對應的時間一一對應。
全文摘要
本發明實施例提供一種報文切割指示方法、系統及報文分析方法和系統，其中報文切割指示方法包括解析抓包到的待分析報文，獲取待分析報文的基本信息，所述基本信息包括所述待分析報文的抓包起始時間，抓包終止時間，和報文大小；依據所述抓包起始時間和抓包終止時間計算抓包時長，以所述抓包時長為軸長建立第一時間軸；在所述第一時間軸上選定第一時間點和第二時間點；判斷所述第一時間點和第二時間點的時間區間的時長和對應的報文大小是否分別不超過預設時長閾值和報文大小閾值；若是，指示允許切割所述時間區間對應的報文，若否，指示不允許切割所述時間區間對應的報文。本發明實施例可避免無效的報文分析過程，及簡化時間區間的選定過程。
文檔編號H04L29/06GK103067369SQ201210566139
公開日2013年4月24日 申請日期2012年12月24日 優先權日2012年12月24日
發明者李興 申請人:華為技術有限公司