(一)技術(shù)領(lǐng)域

本發(fā)明涉及的是一種利用網(wǎng)絡(luò)接口和計(jì)算機(jī)技術(shù)輔助網(wǎng)絡(luò)協(xié)議分析與信息 還原的的裝置及方法。特別是一種利用并行處理技術(shù)來完成TCP協(xié)議及其中數(shù) 據(jù)還原的系統(tǒng)和方法。

(二)背景技術(shù)

隨著Internet技術(shù)在全世界范圍內(nèi)的普及，它的應(yīng)用范圍深入到政府、軍隊(duì) 乃至關(guān)系國計(jì)民生的各個(gè)領(lǐng)域。互聯(lián)網(wǎng)給人們的生活、工作帶來了巨大的方便。 網(wǎng)絡(luò)協(xié)議是支持Internet的核心技術(shù)，其中最為廣泛應(yīng)用的是TCP/IP協(xié)議族。

Internet最初為信息共享提出，并設(shè)計(jì)實(shí)現(xiàn)的，動(dòng)機(jī)較為單純。隨著應(yīng)用領(lǐng) 域的不斷擴(kuò)大，特別是推廣到商業(yè)、政府甚至軍事部門，原始Internet設(shè)計(jì)與實(shí) 現(xiàn)中的一些問題被暴露出來，其中首要問題是安全問題，而內(nèi)容安全問題則是重 中之重，主要體現(xiàn)為信息泄密、不良信息傳播、網(wǎng)絡(luò)欺詐等。這些現(xiàn)象的存在嚴(yán) 重阻礙了Internet的健康發(fā)展，影響Internet對(duì)社會(huì)的服務(wù)和推動(dòng)作用。

Internet中傳輸?shù)男畔?nèi)容都表現(xiàn)為網(wǎng)絡(luò)協(xié)議報(bào)文，其無論從格式上還是內(nèi) 容上都有其特殊的表達(dá)方式，因此要分析Internet上的信息內(nèi)容是否安全，首要 的問題就是將由網(wǎng)絡(luò)協(xié)議表示的數(shù)據(jù)還原成日常的信息描述，該過程稱為網(wǎng)絡(luò)協(xié) 議還原。由于TCP/IP協(xié)議族是被廣為采用的，因此針對(duì)TCP/IP進(jìn)行還原的協(xié)議 分析技術(shù)是主要的研究方向。

TCP/IP協(xié)議還原的主要采用協(xié)議棧模擬技術(shù)，即通過RFC文檔了解協(xié)議的工作 過程，采用軟件方式將其實(shí)現(xiàn)。在捕獲網(wǎng)絡(luò)數(shù)據(jù)包之后，按照實(shí)現(xiàn)的協(xié)議棧對(duì)齊 進(jìn)行分析，如果過程吻合，即可實(shí)現(xiàn)數(shù)據(jù)還原，Libnids是較為成功的早期協(xié)議棧 實(shí)現(xiàn)(An?implementation?of?an?E-component?of?network?intrusion?detection?system. http://www.packetfactory.net/Projects/Libnids/)。網(wǎng)絡(luò)硬件設(shè)備的發(fā)展極大地提高 了網(wǎng)絡(luò)性能，網(wǎng)絡(luò)帶寬的數(shù)量級(jí)與日俱增，傳統(tǒng)的、基于純軟件的協(xié)議分析技術(shù) 收到了極大的挑戰(zhàn)，因此VLSI(UNPXRev/ew，1987，5(9)：70)、共享存儲(chǔ)多 處理器平臺(tái)(處理器數(shù)量大于2)(多線程TCP/IP協(xié)議還原技術(shù)的研究.高技術(shù) 通訊，2003(11)：15～19)等方案分別被提出，但是這些方案都需要很高的硬件 代價(jià)。在網(wǎng)絡(luò)廣為普及的今天，安全問題隨處可見，并不是所有的應(yīng)用環(huán)境都可 以支付得起高配置的硬件平臺(tái)，如果能在單處理器平臺(tái)上開發(fā)先進(jìn)的報(bào)文分析與 重組技術(shù)，則其應(yīng)用價(jià)值必將很高，而且具有廣闊的應(yīng)用前景。

并行化是解決網(wǎng)絡(luò)報(bào)文重組的有效途徑，可以在不同的網(wǎng)絡(luò)層次是進(jìn)行實(shí) 施。

(三)發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種工作在高速、大流量的網(wǎng)絡(luò)環(huán)境下，能夠在對(duì)其 中傳輸?shù)木W(wǎng)絡(luò)報(bào)文完全捕獲的基礎(chǔ)上，對(duì)其中TCP協(xié)議及其攜帶的數(shù)據(jù)內(nèi)容進(jìn) 行完整的分析與還原的基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原裝置及方法。

本發(fā)明的目的是這樣實(shí)現(xiàn)的：

本發(fā)明的基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原裝置，包括網(wǎng)絡(luò)報(bào)文捕獲 裝置、TCP協(xié)議分析與重組裝置、重組數(shù)據(jù)存取裝置和應(yīng)用層數(shù)據(jù)通知裝置；其 特征包括：

網(wǎng)絡(luò)報(bào)文捕獲裝置：用于捕獲網(wǎng)絡(luò)物理鏈路上傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包，將捕獲到 的數(shù)據(jù)包存儲(chǔ)到約定的特定存儲(chǔ)區(qū)域中；

TCP協(xié)議分析與重組裝置：對(duì)網(wǎng)絡(luò)報(bào)文捕獲裝置得到的網(wǎng)絡(luò)數(shù)據(jù)包，按照 TCP協(xié)議約定的規(guī)則進(jìn)行解析，按照正確的次序進(jìn)行組織，并保存到特定的存儲(chǔ) 區(qū)域中；

重組數(shù)據(jù)存取裝置：對(duì)TCP協(xié)議分析與重組裝置得到的正確TCP數(shù)據(jù)報(bào)文 進(jìn)行重新組織，達(dá)到數(shù)據(jù)存取的高效性；

應(yīng)用層數(shù)據(jù)通知裝置：當(dāng)重組數(shù)據(jù)存取裝置組織數(shù)據(jù)完畢后，及當(dāng)前數(shù)據(jù)可 用，采用適當(dāng)?shù)男问酵ㄖ獞?yīng)用層提取數(shù)據(jù)，進(jìn)行后續(xù)處理。

所述的TCP協(xié)議分析與重組裝置進(jìn)一步包括：網(wǎng)絡(luò)報(bào)文分配單元和網(wǎng)絡(luò)報(bào) 文處理單元；網(wǎng)絡(luò)報(bào)文分配單元用于將捕獲的原始網(wǎng)絡(luò)數(shù)據(jù)包按照特定的策略指 定給某一網(wǎng)絡(luò)報(bào)文處理單元；網(wǎng)絡(luò)報(bào)文處理單元對(duì)網(wǎng)絡(luò)報(bào)文分配單元發(fā)送過來的 原始網(wǎng)絡(luò)數(shù)據(jù)包，執(zhí)行TCP協(xié)議特征分析，并根據(jù)特征將其放置到重組數(shù)據(jù)存 取裝置中。

本發(fā)明的基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原的方法，包括如下步驟：