论文部分内容阅读
随着科学技术的发展,各种各样的网络应用快速普及,协议还原技术变得非常重要。协议还原技术是网络安全每个领域都需要的一种基础技术。协议还原技术广泛的被各种应用程序和工具的使用。通过网络协议还原技术,我们可以迅速的了解两个网络的数据传输和网络通信的交互过程,了解该网络中每个用户和每台主机收发的数据类型,数据流量,数据内容。同时协议还原技术还可以为其它系统和工具服务。协议还原技术可以为入侵检测系统提供上层接口,提供原始数据包等供入侵检测系统使用。协议还原技术可以为防火墙和杀毒软件提供上层接口,这样防火墙和杀毒软件就可以更好的阻止针对该网络和主机的恶意攻击,网络管理员甚至还可以利用协议还原技术监控该网络的拥塞情况,合理的管理和保护该网络。协议还原系统就是捕获网络中的所有报文,根据标准的协议规定对报文进行重组和还原。传统的协议还原技术有很多的的不足之处,很多工具和开发包提供IP分片重组、TCP流重组以及应用层协议重组。在高速网络环境下,这些工具和开发包的数据捕获和协议重组都存在效率问题。本文以实现在通用平台下的数据捕获和协议还原为目标,从传统数据捕获原理和协议分析的不足之处出发,在IP分片重组、TCP流重组以及应用层HTTP协议重组等几个方面进行相关分析、展开理论及其应用的研究工作。首先,本文针对协议还原系统的不足之处,尤其是协议还原系统在IP分片重组、TCP流重组中的不足之处,将通用平台的协议还原引入到重组过程中来,提出了基于通用平台的协议还原系统设计思想。其次,本文针对网络层IP协议和传输层TCP协议,对标准的IP协议和TCP协议各个字段的意义进行解释,分析了对IP协议和TCP协议进行重组的理论依据,设计了IP协议和TCP协议重组数据结构和算法,以及IP协议和TCP协议重组的具体流程和步骤。在IP层分析了如何判定分片和如何重组数据包,在TCP层分析了如何根据SEQ序列号来重组TCP段。并指出了如何利用下层重组好的TCP流数据进行应用层HTTP协议上下文内容特征匹配的重组。提出了基于不同IP会话和TCP会话链的动态并行任务分配策略,充分利用了各个结点的还原能力,有效实现了协议还原处理的并行化,并给出了今后研究的发展方向。最后,本文对基于通用平台的协议还原系统和传统模式的协议栈进行了对比,对基于通用平台的协议还原系统做出了全面的测试和性能评价,通过理论分析和试验结果证明了基于通用平台的协议还原系统的优越性和可行性。