(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111539067.9 (22)申请日 2021.12.15 (71)申请人 北京天地和兴科技有限公司 地址 100000 北京市海淀区东北旺西路8号 中关村软件园8号楼三层316室 (72)发明人 王小东　肖俊杰　 (74)专利代理 机构 北京劲创知识产权代理事务 所(普通合伙) 11589 专利代理师 田亚飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) (54)发明名称 一种适用于加密环境的高速抓包系统 (57)摘要 本发明提供一种适用于加密环境的高速抓 包系统， 涉及网络安全技术领域。 该适用于加密 环境的高速抓包系统， 包括抓包单元、 解析单元、 发包单元和分析平台， 所述抓包 单元包括多个抓 包网卡， 所述解析单元包括多个CPU内核， 所述发 包单元包括发包队列和发包网卡， 所述分析平台 用于对原始的数据包进行解析， 所述抓包网卡由 抓包网卡1、 抓包网卡2、 抓包网卡3和抓包网卡4 组成。 本发 明提供一种适用于加密 环境的高速抓 包系统， 充分利用设备的硬件能力， 对抓取的数 据包进行加密传输， 避免出现系统泄漏， 使用更 加安全可靠， 并且充分利用多核CPU进行抓包， 提 升抓包的效率， 并且在抓包设备内进行初步分 析， 减少网络数据传输量， 降低平台的分析压力。 权利要求书1页 说明书3页 附图1页 CN 115021947 A 2022.09.06 CN 115021947 A 1.一种适用于加密环境的高速抓包系统， 包括抓包单元、 解析单元、 发包单元和分析平 台， 其特征在于： 所述抓包 单元包括多个抓包网卡， 所述解析单元包括多个CPU内核， 所述 发 包单元包括发包队列和发包网卡， 所述分析平台用于对原 始的数据包进行解析。 2.根据权利要求1所述的一种适用于加密环境的高速抓包系统， 其特征在于： 多个所述 抓包网卡由抓包网卡1、 抓包网卡2、 抓包网卡3和抓包网卡4组成， 并且其能够同时进 行接收 数据包。 3.根据权利要求1所述的一种适用于加密环境的高速抓包系统， 其特征在于： 多个所述 CPU内核由CPU1、 CPU2、 CPU3和CPU4组成， 并且其能够同时对 数据包进行初步解析， 获取所需 要的信息 。 4.根据权利要求1所述的一种适用于加密环境的高速抓包系统， 其特征在于： 所述发包 队列对分片报文进行重组， 再将报文与解析 的信息加入， 所述发包网卡通过加密通道对数 据包进行加密和传输， 将解析的信息发送给分析平台。 5.根据权利要求1所述的一种适用于加密环境的高速抓包系统， 其特征在于： 所述分析 平台对接收的数据包进行集中的分析， 以获得需要的数据包并进行处 理。 6.一种适用于加密环境的高速抓包系统， 其特征在于， 该系统的处理过程包括以下步 骤： S1.多个抓包网卡进行接收数据包， 然后将接收的数据包传输给多 核CPU； S2.多核CPU对数据包进行初步 解析， 获取 所需要的信息； S3.发包队列对分片报文 进行重组， 再将 报文与解析的信息加入发包队列； S4.发包网卡 通过加密通道将 报文与解析的信息进行加密后再发送给分析平台； S5.分析平台对接收的数据包进行集中分析。 7.根据权利要求6所述的一种适用于加密环境的高速抓包系统， 其特征在于： 所述步骤 S1中的抓包网卡 通过探针设备对数据包进行抓取。 8.根据权利要求6所述的一种适用于加密环境的高速抓包系统， 其特征在于： 所述步骤 S2中的多 核CPU能够提供部分解析能力， 降低分析平台的解析压力。权　利　要　求　书 1/1 页 2 CN 115021947 A 2一种适用于加密环境的高 速抓包系统 技术领域 [0001]本发明涉及网络安全技 术领域， 具体为 一种适用于加密环境的高速抓包系统。 背景技术 [0002]随着对网络安全的重视以及网络流量的流加， 基于大数据的网络流量分析系统逐 渐发展起来,在这种大数据流量分析的情况下， 会通过探针设备抓取所有的流量包， 然后集 中在平台进 行分析， 但是， 传统的设备一般只进 行数据包的抓取， 在需要进行加密的环境中 容易造成流 量数据的泄 露。 [0003]目前， 常见的交换机自速镜像功能， 可以把流经交换机的流量镜像出去， 并且对网 络影响较小， 然而， 该镜像功能一般是通过明文的形式发送数据包， 不能起到保密功能， 其 仅发送原始的数据包， 增 加了平台的解析难度。 [0004]基于上述问题， 技术方案提出了一种适用于在加密环境下的高速抓包系统， 以解 决相应的安全问题。 发明内容 [0005](一)解决的技 术问题 [0006]针对现有技术的不足， 本发明提供了一种适用于加密环境的高速抓包系统， 解决 了传统的设备在通过探针抓取流量包时容易造成流量数据的泄露， 不能起到保密功 能， 增 加了平台解析难度的问题。 [0007](二)技术方案 [0008]为实现以上目的， 本发明通过以下技术方案予以实现： 一种适用于加密环境的高 速抓包系统， 包括抓包单元、 解析单元、 发包单元和分析平台， 所述抓包单元包括多个抓包 网卡， 所述解析单元包括多个CPU内核， 所述发包单元包括发包队列和发包网卡， 所述分析 平台用于对原 始的数据包进行解析。 [0009]优选的， 多个所述抓包网卡由抓包网卡1、 抓包网卡2、 抓包网卡3和抓包网卡4组 成， 并且其能够同时进行接收数据包。 [0010]优选的， 多个所述CPU内核由CPU1、 CPU2、 CPU3和CPU4 组成， 并且其能够同时对数据 包进行初步 解析， 获取 所需要的信息 。 [0011]优选的， 所述发包队列 对分片报文进行重组， 再将报文与解析的信息加入， 所述发 包网卡通过加密通道对数据包进行加密和传输， 将解析的信息发送给分析平台。 [0012]优选的， 所述分析平台对接收的数据包进行集中的分析， 以获得需要的数据包并 进行处理。 [0013]优选的， 一种适用于加密环境的高速抓包系统， 该系统的处 理过程包括以下步骤： [0014]S1.多个抓包网卡进行接收数据包， 然后将接收的数据包传输给多 核CPU； [0015]S2.多核CPU对数据包进行初步 解析， 获取 所需要的信息； [0016]S3.发包队列对分片报文 进行重组， 再将 报文与解析的信息加入发包队列；说　明　书 1/3 页 3 CN 115021947 A 3