Ở phần trên, module phân tích nội dung gói tin thực hiện xử lý các gói tin trong tầng TCP để thu được các phiên giao dịch. Khi thu được dữ liệu các phiên giao dịch, nhiệm vụ tiếp theo của module tổng hợp sẽ là phân tích nội dung giao dịch để biết đó là giao dịch theo dạng nào. Dạng của phiên giao dịch ở đây có ý nghĩa là: một trang web vốn có nhiều thành phần, gồm ảnh, phim, flash file, javascript, text file… Do đó cần phân loại các đối tượng này, để có thể phân tích nội dung tương ứng. Dưới đây là quy trình tổng hợp dữ liệu dạng text.
Dưới đây là ví dụ về nội dung gói tin được phân tích.
Trong hình trên ta có thể thấy một cấu trúc header, với nội dung cho biết đây là một gói tin chứa nội dung ảnh gif, với kích thước 12755 bytes.
Hình 3.2. Header file text/html
Trên đây là tiêu đề của phiên giao dịch nội dung gói tin text/html, với một trang text có nội dung 46071 bytes.
Tiếp theo, các gói tin được tổng hợp để ra một trang web hoàn chỉnh. Như trên nội dung gói tin trên cho biết phiên giao dịch này có kích thước text file là 46071 bytes, với kích thước tương đối của một gói tin khoảng 1500 bytes, như vậy phiên giao dịch này sẽ có khoảng 30 gói tin.
Trọn vẹn gói tin HTTP đầu tiên của phiên giao dịch có nội dung như sau:
Hình 3.3. Gói tin đầu tiên của một phiên giao dịch
Công việc tiếp theo đó là tập hợp các gói tin kế tiếp của phiên giao dịch. Thành phần này sẽ thực hiện tổng hợp, sắp xếp các gói tin lại thành phiên giao dịch đầy đủ dựa vào các tham số: địa chỉ ip, số cổng, số ACK, SEQUENT.
Thực hiện kiểm tra các gói tin có các tham số như trên và Seq theo qui luật, để ghép nội dung gói tiếp theo vào phiên. Cụ thể trong ví dụ này, gói tiếp theo như sau, tham số Ack là của gói tin trước nó, tham số Seq bằng tổng của Seq của gói tin trước và kích thước gói tin trước nó (1+1460=1461):
Hình 3.5. Tham số Seq và Ack gói tin kế tiếp
Thực hiện tương tự đối với các gói tin tiếp theo cho tới khi nhận đủ gói tin cần thiết: tổng số Len bằng kích thước phiên giao dịch (46071 bytes) hoặc khi gói tin đến tại cổng này và ACK đã bị thay đổi.
Hình dưới đây mô tả thứ tự các gói tin của phiên giao dịch.
Hình 3.6. Tổng hợp các gói tin đơn lẻ thành phiên giao dịch
Sau khi đã tổng hợp được hoàn chỉnh một phiên giao dịch Text, bước tiếp theo sẽ là phân tích nội dung phiên giao dịch đó, cụ thể là phân tích nội dung một text file.