基于NDIS的高速数据包深度检测的研究

发布时间：2019-11-28 07:19

【摘要】：传统的千兆位的以太网络数据监听模型已经不能适应当前形势下的网络监管的技术需要和业务发展,因此本文重点研究了一种通过基于Windows微端口驱动的(NDIS)高速数据报文处理方法,从而实现了一种分布式的数据监听和识别网络数据行为内容的超高速万兆以太网的数据监听模型。该模型通过当前最快的万兆位级别的以太网络设备,将捕获到的网络数据用监控服务器上的若干块指定的特定速率的网络适配器进行网络数据的平衡发送至下一层次的网络数据内容分析处理设备上,分析数据报文的任务分配给了若干下层处理分析设备,从而减轻了主数据获取设备的压力和负担,保证了相对稳定高速的处理能力。这样的配置和模型相对传统的网络监控来讲,大大的降低网络数据获取时的设备掉包率,而且网络数据报文分析能力也得到了很大的提升。在采用多个网络适配器进行指定发送时,在这种超过高速的网络情况下网络数据流量极速增长时,其网络数据报文的指定发送效率就会产生下降,从而直接影响了低层次的网络数据处理分析设备的分析和处理能力。针对这种网络数据报文指定发送效率无法满足的情况下足,本文提出了一种解决方案,即当网络数据报文到达时,采用分区分块模式先将一部分指定网络数据报文采用零存归一的原则分块缓冲到指定的内存空间中(将内存空间看做为一个网络数据缓冲私有池),再通过多核多线程分布式处理将数据整取的原则,分别对缓冲私有池中每块缓存中的网络数据报文进行提取然后通过指定的端口转发出去,在这种情况下采用私有缓冲池可以加快网络数据报文的指定发送效率高速缓冲零存整取,从而达到处理高速数据报的目的。在对指定的网络适配器进行发送数据优化后,建立的若干数据发送的线程管理工作是交给操作系统微处理核心的,系统核心会根据内在的特点算法来分配若干条数据发送线程运行在某一个处理核心上,或者让某一个指定转发线程在几个核心上轮询的进行数据切换运算,从而保证系统的稳定性,然而往往这些操作大多都会对系统的线程效率有一定的影响。根据Windows内核管理原理的方式方法,本文研究了实现了指定多核多线程数据处理发送技术,通过设置线程的CPU核心亲缘属性,可以让特定线程一直在某一个指定的核心上运行,从而可以消除线程在多个核心上轮询切换造成的效率损耗,提高了线程的运行效率。在最后本文针对网络中常见的工具和软件,并对所产生的网络数据报文进行了一些深度的分析和挖掘。
【图文】：

线程,进程

与线程之间的调度和管理将会异常繁琐，面对这些情况，线程池的概念油然而生，通过集中式的池化管理因此降低了线程的新建和删除之间频繁切换带来的资源消耗。2.1.2 线程和进程的关系在不支持线程的操作系统中，进程不但提供了一个完全的执行环境，同时其预定的所有功能也被一个控制过程所取代，如图 2-1（a）所示，操作系统是按照进程来分配处理器的资源，然而进程既是资源的拥有者也是处理器时钟周期调度的最基本的单元[11]。在此类系统中用户模式下可以完成对线程的支持，即用户级线程模型，其模型如图 2-1（b）所示，在系统内核中，由于操作系统仅支持进程，因此可以采用虚拟化线程来实现，因此可以在用户模式下实现对线程的支持。在支持内核级别线程的系统中，操作系统的最基本单位是线程，因为进程只是提供了一个执行空间，所以每个进程中包含了一个或者多个线程，每个线程都是一个独立的指令数据集。图 2-1（c）形象的描述了它们之间的关系。

句柄,位置,线程

图 2-2 执行体在 Windows 中的位置名称来创建或打开一个对象时，将获得一个句柄，该句柄指向所创建或打开的对象。以后，该进程无须使用名称来引用该对象，使用此句柄即可访问。这样做可以显著地提高引用对象的效率。在 Windows 中，句柄是线程范围内的对象引用，换句话说，句柄仅在一个线程范围内才有效。一个线程中的句柄传递给另一个线程后，句柄值将不再有效。实际上，Windows 支持的句柄是一个索引，指向该句柄所在线程的句柄表（handletable）中的一个表项。句柄表是一个多层结构，每个句柄项的结构为HANDLE_TABLE_ENTRY,执行体在创建线程时，首先为新线程分配一个单层句柄表，句柄表的创建工作是通过调用 ExCreateHandleTable 函数来完成的，该函数调用ExpAllocateHandleTable 来构造初始的句柄表。随着线程中句柄数量的增加，，单层句柄表被扩展为二层句柄表，再进一步被扩展为三层句柄表，句柄表的扩展是由函数 ExpAllocateHandleTableEntrySlow 来实现的。执行体通过句柄表来实现线程的管理。
【学位授予单位】：天津大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.11

【参考文献】