專利名稱：：基于并行處理的tcp協(xié)議及其數(shù)據(jù)還原裝置及方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及的是一種利用網(wǎng)絡(luò)接口和計(jì)算機(jī)技術(shù)輔助網(wǎng)絡(luò)協(xié)議分析與信息還原的的裝置及方法。特別是一種利用并行處理技術(shù)來完成TCP協(xié)議及其中數(shù)據(jù)還原的系統(tǒng)和方法。(二)
背景技術(shù)：
：隨著Internet技術(shù)在全世界范圍內(nèi)的普及，它的應(yīng)用范圍深入到政府、軍隊(duì)乃至關(guān)系國計(jì)民生的各個(gè)領(lǐng)域?；ヂ?lián)網(wǎng)給人們的生活、工作帶來了巨大的方便。網(wǎng)絡(luò)協(xié)議是支持Internet的核心技術(shù)，其中最為廣泛應(yīng)用的是TCP/IP協(xié)議族。Internet最初為信息共享提出，并設(shè)計(jì)實(shí)現(xiàn)的，動(dòng)機(jī)較為單純。隨著應(yīng)用領(lǐng)域的不斷擴(kuò)大，特別是推廣到商業(yè)、政府甚至軍事部門，原始Internet設(shè)計(jì)與實(shí)現(xiàn)中的一些問題被暴露出來，其中首要問題是安全問題，而內(nèi)容安全問題則是重中之重，主要體現(xiàn)為信息泄密、不良信息傳播、網(wǎng)絡(luò)欺詐等。這些現(xiàn)象的存在嚴(yán)重阻礙了Internet的健康發(fā)展，影響Internet對(duì)社會(huì)的服務(wù)和推動(dòng)作用。Internet中傳輸?shù)男畔?nèi)容都表現(xiàn)為網(wǎng)絡(luò)協(xié)議報(bào)文，其無論從格式上還是內(nèi)容上都有其特殊的表達(dá)方式，因此要分析Internet上的信息內(nèi)容是否安全，首要的問題就是將由網(wǎng)絡(luò)協(xié)議表示的數(shù)據(jù)還原成日常的信息描述，該過程稱為網(wǎng)絡(luò)協(xié)議還原。由于TCP/IP協(xié)議族是被廣為采用的，因此針對(duì)TCP/IP進(jìn)行還原的協(xié)議分析技術(shù)是主要的研究方向。TCP/IP協(xié)議還原的主要采用協(xié)議棧模擬技術(shù)，即通過RFC文檔了解協(xié)議的工作過程，采用軟件方式將其實(shí)現(xiàn)。在捕獲網(wǎng)絡(luò)數(shù)據(jù)包之后，按照實(shí)現(xiàn)的協(xié)議棧對(duì)齊進(jìn)行分析，如果過程吻合，即可實(shí)現(xiàn)數(shù)據(jù)還原，Libnids是較為成功的早期協(xié)議棧實(shí)現(xiàn)(AnimplementationofanE-componentofnetworkintrusiondetectionsystem,http:〃www.packetfactory.net/Projects/Libnids/)。網(wǎng)絡(luò)硬件設(shè)備的發(fā)展極大地提高了網(wǎng)絡(luò)性能，網(wǎng)絡(luò)帶寬的數(shù)量級(jí)與日俱增，傳統(tǒng)的、基于純軟件的協(xié)議分析技術(shù)收到了極大的挑戰(zhàn)，因此VLSI(UNPXRev/ew，1987，5(9):70)、共享存儲(chǔ)多處理器平臺(tái)(處理器數(shù)量大于2)(多線程TCP/IP協(xié)議還原技術(shù)的研究.高技術(shù)3通訊，2003(11):15~19)等方案分別被提出，但是這些方案都需要很高的硬件代價(jià)。在網(wǎng)絡(luò)廣為普及的今天，安全問題隨處可見，并不是所有的應(yīng)用環(huán)境都可以支付得起高配置的硬件平臺(tái)，如果能在單處理器平臺(tái)上開發(fā)先進(jìn)的報(bào)文分析與重組技術(shù)，則其應(yīng)用價(jià)值必將很高，而且具有廣闊的應(yīng)用前景。并行化是解決網(wǎng)絡(luò)報(bào)文重組的有效途徑，可以在不同的網(wǎng)絡(luò)層次是進(jìn)行實(shí)施。
發(fā)明內(nèi)容本發(fā)明的目的在于提供一種工作在高速、大流量的網(wǎng)絡(luò)環(huán)境下，能夠在對(duì)其中傳輸?shù)木W(wǎng)絡(luò)報(bào)文完全捕獲的基礎(chǔ)上，對(duì)其中TCP協(xié)議及其攜帶的數(shù)據(jù)內(nèi)容進(jìn)行完整的分析與還原的基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原裝置及方法。本發(fā)明的目的是這樣實(shí)現(xiàn)的本發(fā)明的基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原裝置，包括網(wǎng)絡(luò)報(bào)文捕獲裝置、TCP協(xié)議分析與重組裝置、重組數(shù)據(jù)存取裝置和應(yīng)用層數(shù)據(jù)通知裝置；其特征包括網(wǎng)絡(luò)報(bào)文捕獲裝置用于捕獲網(wǎng)絡(luò)物理鏈路上傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包，將捕獲到的數(shù)據(jù)包存儲(chǔ)到約定的特定存儲(chǔ)區(qū)域中；TCP協(xié)議分析與重組裝置對(duì)網(wǎng)絡(luò)報(bào)文捕獲裝置得到的網(wǎng)絡(luò)數(shù)據(jù)包，按照TCP協(xié)議約定的規(guī)則進(jìn)行解析，按照正確的次序進(jìn)行組織，并保存到特定的存儲(chǔ)區(qū)域中；重組數(shù)據(jù)存取裝置對(duì)TCP協(xié)議分析與重組裝置得到的正確TCP數(shù)據(jù)報(bào)文進(jìn)行重新組織，達(dá)到數(shù)據(jù)存取的高效性；應(yīng)用層數(shù)據(jù)通知裝置當(dāng)重組數(shù)據(jù)存取裝置組織數(shù)據(jù)完畢后，及當(dāng)前數(shù)據(jù)可用，采用適當(dāng)?shù)男问酵ㄖ獞?yīng)用層提取數(shù)據(jù)，進(jìn)行后續(xù)處理。所述的TCP協(xié)議分析與重組裝置進(jìn)一步包括網(wǎng)絡(luò)報(bào)文分配單元和網(wǎng)絡(luò)報(bào)文處理單元；網(wǎng)絡(luò)報(bào)文分配單元用于將捕獲的原始網(wǎng)絡(luò)數(shù)據(jù)包按照特定的策略指定給某一網(wǎng)絡(luò)報(bào)文處理單元；網(wǎng)絡(luò)報(bào)文處理單元對(duì)網(wǎng)絡(luò)報(bào)文分配單元發(fā)送過來的原始網(wǎng)絡(luò)數(shù)據(jù)包，執(zhí)行TCP協(xié)議特征分析，并根據(jù)特征將其放置到重組數(shù)據(jù)存取裝置中。本發(fā)明的基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原的方法，包括如下步驟網(wǎng)絡(luò)報(bào)文捕獲步驟，完全捕獲在受管理網(wǎng)絡(luò)中傳輸?shù)木W(wǎng)絡(luò)報(bào)文。在網(wǎng)絡(luò)配置方面采用分光器等設(shè)備將受管理網(wǎng)絡(luò)的流量鏡像到網(wǎng)絡(luò)報(bào)文捕獲設(shè)備上；網(wǎng)絡(luò)報(bào)文捕獲設(shè)備上運(yùn)行專門的軟件程序提取鏡像流量中的網(wǎng)絡(luò)報(bào)文數(shù)據(jù)。TCP協(xié)議分析步驟，從捕獲的原始報(bào)文中提取與TCP協(xié)議相關(guān)的描述特征，分析其中的TCP報(bào)文；利用網(wǎng)絡(luò)協(xié)議中TCP協(xié)議規(guī)定的特征對(duì)網(wǎng)絡(luò)報(bào)文數(shù)據(jù)進(jìn)行匹配，過濾出其中的TCP報(bào)文。TCP數(shù)據(jù)重組步驟，對(duì)TCP協(xié)議分析步驟得到的TCP報(bào)文按照其規(guī)范進(jìn)行重新拼裝，并保存到特定的內(nèi)存結(jié)構(gòu)中。這里涉及到的具體問題是將TCP報(bào)文流中屬于不同TCP鏈接的數(shù)據(jù)提取出來，并組織到一起，這里可利用TCP協(xié)議相關(guān)特征，如序列號(hào)、端口號(hào)等。應(yīng)用層通知步驟，通知應(yīng)用層分析程序，當(dāng)前TCP協(xié)議數(shù)據(jù)的重組狀態(tài)，以便應(yīng)用層程序根據(jù)不同的狀態(tài)采取相應(yīng)的措施。在該步驟中，可采用注冊(cè)回調(diào)函數(shù)或設(shè)置消息隊(duì)列的方式建立TCP數(shù)據(jù)重組與應(yīng)用層程序之間的通信關(guān)系。本發(fā)明的有益效果在于通過本發(fā)明可以利用單點(diǎn)計(jì)算平臺(tái)即可滿足大流量網(wǎng)絡(luò)環(huán)境下的TCP協(xié)議數(shù)據(jù)分析需求，無需額外增加軟硬件環(huán)境，具有很高的性能價(jià)格比；TCP數(shù)據(jù)重組策略可以根據(jù)實(shí)際環(huán)境進(jìn)行定制，更為有效地利用系統(tǒng)資源，使其利用率達(dá)到最大化；最終實(shí)現(xiàn)的報(bào)文分析技術(shù)具有很強(qiáng)的移植性，可以滿足目前絕大多數(shù)的運(yùn)行環(huán)境配置。(四)圖1是本發(fā)明的結(jié)構(gòu)框圖2是一個(gè)基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原方法流程圖；圖3是并行TCP協(xié)議分析與重組流程圖；圖4是實(shí)施發(fā)明的典型應(yīng)用環(huán)境；圖5是TCP重組后的輸出實(shí)例。具體實(shí)施方式下面結(jié)合附圖舉例對(duì)本發(fā)明做更詳細(xì)地描述圖1所示為一種基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原系統(tǒng)，包括網(wǎng)絡(luò)報(bào)文捕獲裝置，用于獲取傳輸在網(wǎng)絡(luò)中的全部網(wǎng)絡(luò)報(bào)文數(shù)據(jù)；網(wǎng)絡(luò)報(bào)文存取裝置，用于將捕獲的網(wǎng)絡(luò)報(bào)文按照特定規(guī)律存儲(chǔ)到特定的數(shù)據(jù)5結(jié)構(gòu)中，在實(shí)施協(xié)議分析和重組時(shí)能夠?qū)?bào)文進(jìn)行快速的存取；TCP協(xié)議分析與重組裝置，用于分析捕獲后的原始網(wǎng)絡(luò)報(bào)文，分析其中的TCP協(xié)議特征，并根據(jù)其特征將報(bào)文分配到網(wǎng)絡(luò)報(bào)文存取裝置中；應(yīng)用層數(shù)據(jù)通知裝置，用于當(dāng)TCP協(xié)議數(shù)據(jù)重組完畢后，通知應(yīng)用層程序?qū)ζ渲械臄?shù)據(jù)進(jìn)行分析和處理，支持網(wǎng)絡(luò)管理與信息安全應(yīng)用。實(shí)施例圖2給出了基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原方法流程圖。1.原始網(wǎng)絡(luò)報(bào)文捕獲平臺(tái)為實(shí)現(xiàn)在高速、大流量網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)網(wǎng)絡(luò)報(bào)文的完整捕獲，本發(fā)明在實(shí)施中采用了基于零拷貝的報(bào)文捕獲技術(shù)，零拷貝的實(shí)現(xiàn)技術(shù)如下零拷貝實(shí)現(xiàn)了數(shù)據(jù)報(bào)從網(wǎng)絡(luò)設(shè)備到用戶程序空間傳遞的過程中，減少數(shù)據(jù)拷貝次數(shù)，減少系統(tǒng)調(diào)用，實(shí)現(xiàn)CPU的零參與，徹底消除CPU在這方面的負(fù)載。實(shí)現(xiàn)零拷貝用到的最主要技術(shù)是DMA數(shù)據(jù)傳輸技術(shù)和內(nèi)存區(qū)域映射技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)處理，需要經(jīng)過網(wǎng)絡(luò)設(shè)備到操作系統(tǒng)內(nèi)存空間，系統(tǒng)內(nèi)存空間到用戶應(yīng)用程序空間兩次拷貝過程，同時(shí)還需要經(jīng)歷用戶向系統(tǒng)發(fā)出的系統(tǒng)調(diào)用。零拷貝技術(shù)首先利用DMA技術(shù)將網(wǎng)絡(luò)數(shù)據(jù)報(bào)直接傳遞到系統(tǒng)內(nèi)核預(yù)先分配的地址空間中，避免CPU的參與；同時(shí)，將系統(tǒng)內(nèi)核中存儲(chǔ)數(shù)據(jù)報(bào)的內(nèi)存區(qū)域映射到檢測(cè)程序的應(yīng)用程序空間，還有一種方式是在用戶空間建立緩沖區(qū)，并將其映射到內(nèi)核空間，類似于linux系統(tǒng)下的kiobuf技術(shù)，檢測(cè)程序直接對(duì)這塊內(nèi)存進(jìn)行訪問，從而減少了系統(tǒng)內(nèi)核向用戶空間的內(nèi)存拷貝，同時(shí)減少了系統(tǒng)調(diào)用的開銷。2.網(wǎng)絡(luò)數(shù)據(jù)報(bào)文快速存取本發(fā)明采用基于Hash鏈表的二維緩沖區(qū)結(jié)構(gòu)。Hash表具有計(jì)算簡單、定位速度快的優(yōu)點(diǎn)。Hash值利用TCP報(bào)文中的四元組數(shù)據(jù)，通過設(shè)計(jì)適當(dāng)?shù)腍ash函數(shù)來生成。緩沖區(qū)的內(nèi)存管理策略采用動(dòng)態(tài)與靜態(tài)相結(jié)合的思想，既能保證較高的存取速度，同時(shí)也具有較高的系統(tǒng)資源利用率。緩沖區(qū)采用二維邏輯結(jié)構(gòu)，即不需要為從報(bào)文捕獲系統(tǒng)采集到的數(shù)據(jù)另外分配內(nèi)存空間用以組織緩沖區(qū)，而是直接采用內(nèi)存指針的關(guān)系建立鏈表，這種策略極大地減小了系統(tǒng)的存儲(chǔ)開銷，加快了存6取速度。3.TCP協(xié)議數(shù)據(jù)并行重組(1)多線程組織策略大流量網(wǎng)絡(luò)環(huán)境下單位時(shí)間內(nèi)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)會(huì)很大，同時(shí)網(wǎng)絡(luò)數(shù)據(jù)之間或多或少存在著關(guān)系；此外單系統(tǒng)的線程資源也是有限的。因此采用特定策略的多線程并行重組方案才能滿足需求。本發(fā)明采用線程池技術(shù)組織協(xié)議重組線程。在應(yīng)用程序啟動(dòng)之后，立即創(chuàng)建一定數(shù)量的線程(N》，放入空閑隊(duì)列中。這些線程都是處于阻塞狀態(tài)，不消耗CPU資源，但占用較小的內(nèi)存空間。當(dāng)任務(wù)到來后，緩沖池選擇一個(gè)空閑線程，把任務(wù)傳入此線程中運(yùn)行。當(dāng)N,個(gè)線程都在處理任務(wù)后，緩沖池自動(dòng)創(chuàng)建一定數(shù)量的新線程，用于處理更多的任務(wù)。在任務(wù)執(zhí)行完畢后線程也不退出，而是繼續(xù)保持在池中等待下一次的任務(wù)。當(dāng)系統(tǒng)比較空閑時(shí)，大部分線程都一直處于暫停狀態(tài)，線程池自動(dòng)銷毀一部分線程，回收系統(tǒng)資源。這種策略縮減了頻繁創(chuàng)建線程帶來的系統(tǒng)開銷，同時(shí)也避免了大流量數(shù)據(jù)所致的線程數(shù)量過多而導(dǎo)致系統(tǒng)崩潰的缺陷。(2)線程同步方案當(dāng)系統(tǒng)將某鏈接數(shù)據(jù)報(bào)交給一個(gè)線程去處理時(shí)，由于同一個(gè)鏈接的所有數(shù)據(jù)報(bào)都會(huì)由同一個(gè)線程處理，所以在處理線程還沒有處理完成上一個(gè)數(shù)據(jù)報(bào)時(shí)主數(shù)據(jù)報(bào)分配線程要陷入等待。同理如果處理線程上沒有數(shù)據(jù)時(shí)同樣也要進(jìn)行等待主數(shù)據(jù)報(bào)分配線程通知。為了避免線程進(jìn)入忙等占用CPU資源，本發(fā)明使用兩組互斥量來完成主數(shù)據(jù)報(bào)分配線程和數(shù)據(jù)報(bào)處理線程的同步。在主數(shù)據(jù)報(bào)分配線程中首先鎖定相應(yīng)的參數(shù)互斥量，如果此時(shí)該數(shù)據(jù)報(bào)處理線程正在處理數(shù)據(jù)報(bào)則主數(shù)據(jù)報(bào)分配線程會(huì)等待解鎖，當(dāng)處理線程處理完成后會(huì)解鎖該互斥量使主數(shù)據(jù)報(bào)分配線程繼續(xù)執(zhí)行，當(dāng)鎖定了參數(shù)互斥量后就對(duì)參數(shù)進(jìn)行賦值這時(shí)再解鎖處理線程，處理線程便會(huì)進(jìn)行數(shù)據(jù)的處理。4.TCP并行重組狀態(tài)通知選擇適當(dāng)?shù)臅r(shí)機(jī)與方式通知應(yīng)用層程序是一個(gè)重要的問題，在本發(fā)明中使用交換的概念進(jìn)行通知作為數(shù)據(jù)處理單元。一次交換就是客戶端和服務(wù)端的一次通信，即客戶端發(fā)送數(shù)據(jù)和服務(wù)端對(duì)本次數(shù)據(jù)的回復(fù)共同構(gòu)成一次交換。7每一次交換會(huì)進(jìn)行三次通知，第一次是這次交換剛建立時(shí)，也就是服務(wù)器端剛收到客戶端第一個(gè)有效數(shù)據(jù)報(bào)時(shí)，此時(shí)通知狀態(tài)為TCP一SWAP—CLIENT;第二次是客戶端收到服務(wù)器端第一個(gè)數(shù)據(jù)報(bào)時(shí)，此時(shí)通知狀態(tài)為TCP_SWAP_SERVER;第三次通知狀態(tài)為TCP—SWAP—FINISH會(huì)在以下幾種情況時(shí)發(fā)生(1)服務(wù)器端的ACK發(fā)生變化時(shí)。(2)收到RST數(shù)據(jù)報(bào)。(3)收到FIN數(shù)據(jù)報(bào)。(4)鏈接超時(shí)。5.實(shí)施例場景與結(jié)果描述為了驗(yàn)證本發(fā)明的有效性，我們搭建了典型應(yīng)用環(huán)境，圖4為實(shí)施例的典型應(yīng)用環(huán)境。TCP協(xié)議分析與重組服務(wù)器的硬件環(huán)境為兩個(gè)Intel(R)Xeon(R)CPU,主頻為2G;內(nèi)存容量為2G;軟件環(huán)境為操作系統(tǒng)為RedHat4丄l-52，內(nèi)核版本為2.6.21。具體實(shí)施方式為采用tcpdump應(yīng)用程序錄制流經(jīng)網(wǎng)絡(luò)出入口的數(shù)據(jù)，形成數(shù)據(jù)文件。另選一臺(tái)機(jī)器，運(yùn)行tcpreplay應(yīng)用程序，通過不同的速度向運(yùn)行協(xié)議分析與重組程序的機(jī)器進(jìn)行回放，觀察協(xié)議棧的行為，表1和表2分別為協(xié)議棧處理純HTTP流量數(shù)據(jù)以及混合流量數(shù)據(jù)在不同回放速度下表現(xiàn)出的性能。圖5為實(shí)際網(wǎng)絡(luò)協(xié)議分析程序調(diào)用本發(fā)明接口實(shí)現(xiàn)的還原輸出。本實(shí)施例可以說明無論是在性能還是正確性方面，本發(fā)明都適用于利用單節(jié)點(diǎn)計(jì)算資源平臺(tái)上(處理器數(shù)量不大于2)針對(duì)大流量網(wǎng)絡(luò)環(huán)境下實(shí)施協(xié)議還原。表I純HTTP流量下的并行重組性能(數(shù)據(jù)總量2G)<table>tableseeoriginaldocumentpage8</column></row><table>表2混合流量下的并行重組性能(數(shù)據(jù)總量2G)<table>tableseeoriginaldocumentpage9</column></row><table>權(quán)利要求1、一種基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原裝置，其特征是包括網(wǎng)絡(luò)報(bào)文捕獲裝置、TCP協(xié)議分析與重組裝置、重組數(shù)據(jù)存取裝置和應(yīng)用層數(shù)據(jù)通知裝置；其特征包括網(wǎng)絡(luò)報(bào)文捕獲裝置用于捕獲網(wǎng)絡(luò)物理鏈路上傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包，將捕獲到的數(shù)據(jù)包存儲(chǔ)到約定的特定存儲(chǔ)區(qū)域中；TCP協(xié)議分析與重組裝置對(duì)網(wǎng)絡(luò)報(bào)文捕獲裝置得到的網(wǎng)絡(luò)數(shù)據(jù)包，按照TCP協(xié)議約定的規(guī)則進(jìn)行解析，按照正確的次序進(jìn)行組織，并保存到特定的存儲(chǔ)區(qū)域中；重組數(shù)據(jù)存取裝置對(duì)TCP協(xié)議分析與重組裝置得到的正確TCP數(shù)據(jù)報(bào)文進(jìn)行重新組織，達(dá)到數(shù)據(jù)存取的高效性；應(yīng)用層數(shù)據(jù)通知裝置當(dāng)重組數(shù)據(jù)存取裝置組織數(shù)據(jù)完畢，即當(dāng)前數(shù)據(jù)可用，采用適當(dāng)?shù)男问酵ㄖ獞?yīng)用層提取數(shù)據(jù)，進(jìn)行后續(xù)處理。2、根據(jù)權(quán)利要求1所述的基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原裝置，其特征是所述的TCP協(xié)議分析與重組裝置進(jìn)一步包括網(wǎng)絡(luò)報(bào)文分配單元和網(wǎng)絡(luò)報(bào)文處理單元；網(wǎng)絡(luò)報(bào)文分配單元用于將捕獲的原始網(wǎng)絡(luò)數(shù)據(jù)包按照特定的策略指定給某一網(wǎng)絡(luò)報(bào)文處理單元；網(wǎng)絡(luò)報(bào)文處理單元對(duì)網(wǎng)絡(luò)報(bào)文分配單元發(fā)送過來的原始網(wǎng)絡(luò)數(shù)據(jù)包，執(zhí)行TCP協(xié)議特征分析，并根據(jù)特征將其放置到重組數(shù)據(jù)存取裝置中。3、一種基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原裝置的處理方法，包括如下步驟網(wǎng)絡(luò)報(bào)文捕獲步驟，完全捕獲在受管理網(wǎng)絡(luò)中傳輸?shù)木W(wǎng)絡(luò)報(bào)文；TCP協(xié)議分析歩驟，從捕獲的原始報(bào)文中提取與TCP協(xié)議相關(guān)的描述特征，分析其中的TCP報(bào)文；TCP數(shù)據(jù)重組歩驟，對(duì)TCP協(xié)議分析步驟得到的TCP報(bào)文按照其規(guī)范進(jìn)行重新拼裝，并保存到特定的內(nèi)存結(jié)構(gòu)中；應(yīng)用層通知?dú)i驟，通知應(yīng)用層分析程序，當(dāng)前TCP協(xié)議數(shù)據(jù)的重組狀態(tài)，以便應(yīng)用層程序根據(jù)不同的狀態(tài)采取相應(yīng)的措施。全文摘要本發(fā)明提供的是一種基于并行處理的TCP協(xié)議及其數(shù)據(jù)還原裝置及方法。其裝置包括網(wǎng)絡(luò)報(bào)文捕獲裝置、TCP協(xié)議分析與重組裝置、重組數(shù)據(jù)存取裝置和應(yīng)用層數(shù)據(jù)通知裝置。其方法包括網(wǎng)絡(luò)報(bào)文捕獲步驟、TCP協(xié)議分析步驟、TCP數(shù)據(jù)重組步驟和應(yīng)用層通知步驟。通過本發(fā)明可以利用單點(diǎn)計(jì)算平臺(tái)即可滿足大流量網(wǎng)絡(luò)環(huán)境下的TCP協(xié)議數(shù)據(jù)分析需求，無需額外增加軟硬件環(huán)境，具有很高的性能價(jià)格比；TCP數(shù)據(jù)重組策略可以根據(jù)實(shí)際環(huán)境進(jìn)行定制，更為有效地利用系統(tǒng)資源，使其利用率達(dá)到最大化；最終實(shí)現(xiàn)的報(bào)文分析技術(shù)具有很強(qiáng)的移植性，可以滿足目前絕大多數(shù)的運(yùn)行環(huán)境配置。文檔編號(hào)H04L29/06GK101488960SQ20091007148公開日2009年7月22日申請(qǐng)日期2009年3月4日優(yōu)先權(quán)日2009年3月4日發(fā)明者武楊,巍王,苘大鵬申請(qǐng)人:哈爾濱工程大學(xué)