(19)中华人民共和国国家知识产权局(12)发明专利(10)授权公告号(10)授权公告号CNCN102761449102761449B(45)授权公告日2014.08.13(21)申请号201210279710.3佘华君，姜开达，黄保青.基于TCP会话劫持的校园网安全告警系统.《厦门大学学报（自然科(22)申请日2012.08.07学版）》.2007,第46卷(73)专利权人北京鼎震科技有限责任公司地址102208北京市昌平区回龙观龙禧二区审查员牛莎18号楼1单元102室(72)发明人张争艳(74)专利代理机构北京市盛峰律师事务所11337代理人赵建刚(51)Int.Cl.H04L12/24(2006.01)H04L29/08(2006.01)(56)对比文件CN102082836A,2011.06.01,CN101635703A,2010.01.27,EP2104041A3,2011.10.19,CN102299821A,2011.12.28,权权利要求书2页利要求书2页说明书5页说明书5页附图3页附图3页(54)发明名称一种web服务性能分析方法和装置(57)摘要本发明提供一种基于旁路组网的web服务性能分析系统及方法和装置，包括防火墙、网络交换机和web服务器，所述网络交换机为具备镜像端口的网络交换机，所述镜像端口上连接有性能分析服务器。所述镜像端口用于通过流量镜像方式获取连接有所述web服务器的通讯端口的通讯数据。通过镜像端口分析网站真实的访问数据，不会给网站增加处理负担，不会受探测端网络的影响使分析数据失真。不但对访问性能可以分析，也可以对访问流量、访问数据类型、访问异常情况、访问数据峰值情况等进行分析。CN102761449BCN1027649BCN102761449B权利要求书1/2页1.一种应用web服务性能分析系统进行web服务性能分析的方法，所述web服务性能分析系统，包括防火墙、网络交换机和web服务器，其特征在于，所述网络交换机为具备镜像端口的网络交换机，所述镜像端口上连接有性能分析服务器；所述方法包括如下步骤：S1，通过所述镜像端口获取访问所述web服务器的全部数据包；S2，从所述全部数据包中过滤得到所需要进一步处理的预处理数据包；S3，解析所述预处理数据包，按不同协议对其分类并记录，得到不同协议报文的报文数据；S4，从所述报文数据中提取得到http协议的报文数据，记录所述http协议的报文数据中tcp三次握手的状态及三次握手的建立时间；S5，解析所述三次握手中的request报文和response报文，得到报文详细信息数据；S6，分别组合所述报文详细信息数据中的每一次访问的相对应的request报文和response报文，记录每一次请求响应的数据类型，对无响应请求和响应异常的请求进行记录，得到实时分析数据；S7，用所述实时分析数据与预设告警条件对比，如果符合所述预设告警条件则发出告警。2.根据权利要求1所述的方法，其特征在于，S7后还包括以下步骤：S8，将所述实时分析数据存入指定数据库和/或文件中，并判断是否达到预设的执行时间，如果达到所述执行时间则结束，如果没有达到所述执行时间则继续执行S2。3.根据权利要求1所述的方法，其特征在于，S5具体为所述三次握手完成后，解析所述三次握手中的request报文，得到以下信息：request报文时间、报文的大小、访问源ip、访问请求的页面url；解析所述三次握手中的response报文，得到以下信息：response报文时间、报文的大小、响应状态；最终得到报文详细信息数据。4.根据权利要求1所述的方法，其特征在于，S2具体为,根据指定域名和/或ip在所述全部数据包中过滤得到需要进一步处理的预处理数据包。5.根据权利要求1所述的方法，其特征在于，所述镜像端口用于通过流量镜像方式获取连接有所述web服务器的通讯端口的通讯数据。6.根据权利要求1所述的方法，其特征在于，所述性能分析服务器包括，报文预处理模块、报文解析引擎、报文分析模块和告警模块；所述报文预处理模块、所述报文解析引擎、所述报文分析模块和所述告警模块顺序连接。7.根据权利要求6所述的方法，其特征在于，所述性能分析服务器还包括数据输出模块。8.一种应用web服务性能分析系统进行web服务性能分析的装置，所述web服务性能分析系统，包括防火墙、网络交换机和web服务器，其特征在于，所述网络交换机为具备镜像端口的网络交换机，所述镜像端口上连接有性能分析服务器；所述装置包括：报文预处理模块，从所述镜像端口获取到的全部数据包中根据指定IP或域名过滤得到所需要进一步处理的预处理数据包；报文解析引擎，用于解析所述预处理数据包，按不同协议对其分类并记录，得到不同协2CN102761449B权利要求书2/2页议报文的报