基于数据流特征的TCP重组技术研究.pdfVIP

134 信息安全与通信保密 ·2014．11 基于数据流特征的TCP重组技术研究 夏天一 ， 刘嘉勇 (四川大学 电子信息学院信息安全研究所 ．四川 成都 610065) [摘 要]为了满足大流量网络数据流的TCP重组需求 ，文中提出了一种基于数据流特征的TCP重组技术 ，可以选择性的重 组数据流 ，并且给出了连接终止的判断处理方法和数据缓冲策略的优化方法 ，从而减少了内存 占用，提高了处理速度。最后 通过实验结果验证了此TCP重组算法的可用性和高效性。 [关键词]TCP数据流重组；协议分析 ；数据流特征 [中图分类号]TP39 [文献标志码]A [文章编号]1009—8054(2014)l1-0134-03 TCPReassemblingTechnologybasedonDataFlow CharacteristicsS XIATian-yi．LIUJia-yong (CollegeofElectronicsandInformationEngineering，SichuanUniversity，ChengduSichuan610065，China) [Abstract]InordertomeetthedemandoflargeflowdataofTCPreassembling，thispaperproposesaTCPreassemblingtechnology basedondataflowcharacteristics，anditcanreassemblethedataflowselectively．Inaddition，itprovidesamethodofjudgingandhan— dlingconnectionterminationandamodifiedmethodofdatabufferstrategy，thusreducesthememo~ occupationandimprovesthepro— cessingspeed．AvailabilityandefficiencyofTCP reassemblingalgorithm areverifiedbytheexperimentalresults． [Keywords]TCP—streamreassembling；protocolanalysis；dataflowcharacteristics 0 引言 1 TCP会话重组的基本流程 随着网络技术的广泛应用，信息安全问题 日益严峻 ，关于网 TCP协议是一种面向连接的．可靠的传输协议 ．而在 TCP之 络安全分析的系统也应运而生，如网络审计系统，网络入侵检测 下的IP协议是面向报文不可靠协议，不能保证将报文按顺序的， 系统和网络信息还原系统等。此类系统大多是由网络中间链路 可靠的交付。因此．大量的数据可能同时到来且杂乱无章，甚至 抓取的数据包通过分析其特征来区分网络行为的，捕获的数据包 出现丢失的情况。为了将这些乱序的数据包重新整合成有序 的 并不交由操作系统的TCP／IP协议栈进行处理。而且 ，同一数据 数据流 ．TCP首部 的序列号和标识 比特成为关键。 流中的数据包可能经过不同的网络路径到达 目的地 ，造成数据包 TCP会话重组的基本流程如下： 的不同时延 ，丢失，乱序等现象出现。因此 ，将从网络中间链路捕 1)对每一个网络数据包进行拆封，判断其传输层协议，若为 获来的数据包整合成有序的，不重合 ，不丢失 的有序数据流的技 TCP协议 ，则提取其四元组信息并记录其序列号 、确认号和标识 术成为了很多安全系统研究的关键技术 。可见，为适应当前大流 位。对于任何一个 TCP连接，都存在唯一的四元组 ：源 IP地 量网络安全需求 ，对于高效率的．可靠 的网络数据流重组方法 的 址 ，目的IP地址，源端 口．目的端 口 通过 四元组信息，可以判 研究显得尤