高性能网络协议还原平台的研究

发布时间：2019-08-03 14:08

【摘要】：在计算机网络日益发展的今天,网络上的信息传播正在逐步取代传统媒体,因而计算机网络上的安全问题也越来越受到人们的重视。针对当前大流量网络的普及和多核处理器的广泛应用,提出并实现一种高效的网络数据包重组还原平台。该平台完全工作在用户空间,主要对以旁路监听方式下在网络链路捕获到的网络数据包进行重组及协议还原。扼要地介绍协议还原所涉及到的数据包捕获、数据包重组以及应用层协议还原等关键技术。实验证明,该平台能够高效地将网络数据流还原到TCP层,并可根据需要加入多种应用层协议还原模块,具有很好的可扩展性。
【图文】：

?然后是TCP流重组中的内存池设计，其结构如图1所示，该内存池是由N个内存池链表组成的，当一个内存池满了以后，就会从下一个内存池中提取空间来使用。其中last表示当前数据区域的已经使用的数据的结尾;end表示当前内存池的结尾;next表示下一个内存池;failed表示申请空间时在本内存池中失败的次数;max表示本内存池中最大可用空间;current表示当前正在使用的内存池;cleanup_pt是一个函数指针，其中保存着需要清理的数据指针以及相应的清理函数，让内存池销毁或其它需要清理内存池的时候，可以调用此结构体中的handler。图1TCP流重组内存池2．4系统并行化在单核处理器时代，虽然程序是可以在处理器上并发执行的，但对于同一个程序而言，只能串行地运行在处理器上。随着多核处理器的普及和多线程编程技术的出现，使得同一个应用程序能够以多任务的方式并行运行在不同的处理器内核上，防止出现处理器核心有闲有忙的情况，充分发挥了多核处理器的强大处理能力。本系统采用多线程程序设计［6］，一个线程负责数据包的捕获，其他线程(称为任务线程)负责数据包的处理。其中任务线程数可以通过配置文件设定。(1)任务分配在本系统的实现中，由数据包捕获线程将捕获到的数据包放入内存缓冲区，然后由任务分发器交给各个任务线程处理。由于捕获到的IP数据包有可能是分片的，如果同属于一个IP报文的不同IP分片被分发给了不同的线程处理，就会导致IP分片重组失败;同样的，如果属于同一个连接的不同TCP报文被分发给了不同的线程，也会导致TCP流重组的失败。因此必须保证属于同一个连接的数据包必须交由同一个线程进行处理。在本实现中采用hash算法，根据数据包所属二元组信息(源IP和目的IP)将属于同一连接的数据包分发给同一线程处理，既防?

第1期贾荣来等:高性能网络协议还原平台的研究255图3任务线程流程3系统实现及性能评估3．1系统实现系统框架如图4所示，本系统采用模块化编程思想，由数据包捕获模块、IP分片重组模块、TCP流重组模块及应用层协议还原模块组成。应用层协议模块以压栈的形式加入到系统中，，因而可以根据需要编写不同应用层协议的还原模块并加入到系统中。图4系统框架系统工作流程是:系统首先通过循环调用libpcap函数库的捕包函数pcap_next函数进行捕包，该函数返回指向捕获到的网络数据包的内存地址，每当捕获一个数据包，我们将此数据包拷贝到内存缓冲区中保存下来，然后通过任务分发器根据数据包的二元组信息将数据包交由不同的线程进行并行处理，IP分片重组模块负责进行分片重组，最后将重组后的IP数据包交由TCP流重组模块进行TCP会话重组，最后，由应用层协议还原模块进行应用层协议还原并根据需要进行存储。系统工作流程如图5所示。图5系统流程图3．2实验环境及实验方法实验所用测试服务器带有25GB内存和两个Quad-CoreAMDOpteron(tm)Processor2382处理器，每个处理器有4个运行在2．61GHz的核心，采用64位RedhatEnterpriseLinuxServerrelease5．4(Tikanga)系统，网卡型号为nVidiaCorporationMCP55Ethernet(reva3)。测试数据为局域网网关真实网络数据。我们通过BPF规则限定只捕获TCP数据包，并在数据包处理过程中加入适当延迟，然后统计成功还原到应用层的数据包占Libpcap捕获的原始数据包的百分比，来验证该协议还原平台的性能。作为参照，我们将在同一个网络中同时运行基于Libnids的协议还原测试程序。3．3实验步骤及实验结果分析实验中分别将协议还原平台任务线程数设定为1、2、4、7、10，测试并统计实验结果。结果如图6所示，其中横?
【作者单位】： 哈尔滨工业大学计算机学院网络与信息内容安全中心;
【分类号】：TP393.04

【共引文献】

相关期刊论文 前10条

1 蔚承英;陈勇刚;杨利平;王国交;;基于GPRS和嵌入式计算机的远程监控系统研究[J];安防科技;2008年02期

2 熊宗武;钱朝阳;;基于Windows的网络嗅探器的实现[J];安徽建筑工业学院学报(自然科学版);2008年06期

3 张昊;杨静;;基于ARP欺骗的网络监听检测技术研究[J];安徽科技学院学报;2011年03期

4 曾凡锋;基于Linux的带宽分配软件的开发[J];北方工业大学学报;2002年03期

5 郭明,侯彦华;嵌入式Linux系统的现状与未来[J];北京广播电视大学学报;2003年03期

6 李国和;刘光胜;吴卫江;孙红军;唐先明;韩宝东;;基于最大匹配和歧义检测的中文分词粗分方法[J];北京信息科技大学学报(自然科学版);2010年S2期

7 徐亚妮,韩力群,赵霞;64位LINUX文件系统的分析及优化设计方案[J];北京工商大学学报(自然科学版);2002年01期

8 谭跃生,王静宇,邢东旭,张国峰;一种新型网络计费系统的研究[J];包头钢铁学院学报;2003年03期

9 邢东旭;王静宇;谭跃生;;基于LINUX的802.1Q协议分析与应用[J];包头钢铁学院学报;2005年04期

10 毛影;黄明和;徐斌;;对启发式算法实现图着色的优化[J];江西师范大学学报(自然科学版);2009年06期

相关会议论文 前9条

1 孙柏成;尚治国;马春光;;一种活动主机的并行探测方法[A];2006北京地区高校研究生学术交流会——通信与信息技术会议论文集（下）[C];2006年

2 胡晨鹏;郑康锋;罗群;;基于网络处理器的IP网络仿真系统[A];中国电子学会第十五届信息论学术年会暨第一届全国网络编码学术年会论文集（上册）[C];2008年

3 王春慧;曲战胜;魏哲浩;;可视化人机界面仿真系统[A];全国第二届嵌入式技术联合学术会议论文集[C];2007年

4 罗佳宇;李陶深;;基于Linux的小型网络入侵检测系统的设计与实现[A];广西计算机学会2007年年会论文集[C];2007年

5 毛建兵;毛玉明;;一种无线自组织网络协议开发辅助平台设计[A];2006中国西部青年通信学术会议论文集[C];2006年

6 王冬;张丽果;杜慧敏;韩俊刚;;基于R-Torus结构和最短路径算法的NoC建模[A];全国第19届计算机技术与应用（CACIS）学术会议论文集（上册）[C];2008年

7 王春慧;周前祥;周诗华;赵岩;;可视化人体工程数据库[A];全国第二届信号处理与应用学术会议专刊[C];2008年

8 王洁;宋柔;;HSK动态作文语料库偏误标注方法研究[A];第四届全国学生计算语言学研讨会会议论文集[C];2008年

9 张奠;熊达鹏;李爱平;;基于WinPcap的多邮件并行还原技术设计与实现[A];第27次全国计算机安全学术交流会论文集[C];2012年

相关博士学位论文 前10条

1 陈宇;电容层析成像反问题求解及图像重建算法研究[D];哈尔滨理工大学;2010年

2 刘新;多级机站通风方式下的网络算法理论研究[D];辽宁工程技术大学;2010年

3 刘海峰;安全操作系统若干关键技术的研究[D];中国科学院研究生院（软件研究所）;2002年

4 毛佳;嵌入式实时系统中关键技术的研究[D];吉林大学;2004年

5 李斌;基于构架/构件复用的开放式数控系统研究[D];华中科技大学;2004年

6 徐晓飞;基于软硬件协同的机群互连系统通信协议的研究[D];西北工业大学;2004年

7 陈连平;集群服务器相关技术研究[D];中国科学院研究生院（计算技术研究所）;2002年

8 曹剑东;模糊条件下市区集送货的计算机辅助调度[D];清华大学;2008年

9 李建波;无线传感网络拓扑控制若干问题研究[D];中国科学技术大学;2009年

10 廖胜利;面向省级电网的跨流域水电群优化建模与应用研究[D];大连理工大学;2009年

相关硕士学位论文 前10条

1 李秀芳;基于多核的多线程算法并行优化[D];郑州大学;2010年

2 司贺华;网络内容审计系统关键技术研究与实现[D];哈尔滨工程大学;2010年

3 王殿义;航空自主导航后端子系统[D];哈尔滨工程大学;2010年

4 于帅;基于图切的图像纹理合成与尺寸缩减[D];大连理工大学;2010年

5 毛影;树型结构的应用与平衡查找树的研究[D];江西师范大学;2010年

6 任政伟;IPv6下的IPSec与防火墙的协同研究[D];河南理工大学;2010年

7 张宝华;支持向量机在入侵检测系统中的研究和应用[D];天津理工大学;2010年

8 闫璞;亚运气象信息交换平台数据处理模块的设计与实现[D];华南理工大学;2010年

9 曾显峰;基于人工神经网络的入侵检测技术研究[D];华南理工大学;2010年

10 陈晓峰;广播电视自动化工程的研究与构建[D];华南理工大学;2010年

【相似文献】

相关期刊论文 前10条

1 刘全利;浅议网络安全[J];重庆商学院学报;1999年01期

2 易骥;网络安全与防火墙[J];人民公安;1999年11期

3 胡娟;冲浪——小心触礁[J];家庭电子;2001年06期

4 阿星;;网络安全不容忽视[J];电脑采购周刊;2002年32期

5 ;证券网络,说不完的安全话题 首创网络安全服务中心[J];电子测试;2002年02期

6 张平安;计算机网络系统安全构筑[J];深圳信息职业技术学院学报;2003年01期

7 王琨月;;病毒续写惊怵——2003年网络安全不容忽视[J];每周电脑报;2003年07期

8 ;为城域网保驾——思科为福建联通实施宽带IP网络安全二期改造[J];每周电脑报;2003年35期

9 彤欣;;网络安全导航图[J];中国计算机用户;2003年42期

10 张杰;企业信息化中网络安全的管理[J];煤炭企业管理;2004年04期

相关会议论文 前10条

1 张建宇;廖唯h

本文编号：2522609