[发明专利]一种基于IPV6的TCP流汇聚方法及系统

说明书

技术领域

本发明涉及计算机网络数据处理，尤其涉及一种基于IPV6的TCP流汇聚方法及系统。

背景技术

随着互联网的普及和快速发展，现有的网络带宽往往达到千兆，甚至万兆，网络带宽的扩大，改善了用户使用网络的体验，同时也减少了网络连接的时间长度。实际应用中，传输的数据量并不大，所以有着大量的传输时间长度很短的连接。在IPv6中，地址域空间的扩大，带来流的四元组地址范围的急剧增大。

由于网络威胁和网络攻击的成熟，仅靠单个数据包所承载的数据，网络安全设备往往无法判别是否存在威胁或者是否属于攻击。现行的网络安全设备往往采用流汇聚作为其检测的前置环节，实现基于流的检测技术，这种方式对比单数据包的检测方式有着更高的检出率和准确率。网络中的并发TCP连接数量与网络流量成正比，大流量的网络环境同时也存在高并发的TCP连接数，尤其是万兆网络环境中。如果现有的安全设备使用单一流汇聚机制应对当前的网络情况显得有些力不从心，所以，如何能够高效解决网络攻击与网络威胁等事件成为当前急需要解决的问题。

发明内容

针对上述所需要解决的问题，本发明提出一种基于IPV6的TCP流汇聚方法及系统，具体发明如下：

一种基于IPV6的TCP流汇聚方法，包括：

捕获网络数据包；

对捕获的网络数据包进行协议解码并分离出TCP协议数据包；

根据TCP标志位将TCP协议数据包进行TCP连接分类，其中，

所述的TCP连接分类包括：TCP连接建立的三次握手数据包、TCP连接关闭的三次握手数据包、承载应用协议数据的TCP数据包；

根据TCP连接建立的三次握手数据包判断是否能够建立合法TCP连接；

如果接收的TCP连接顺序与TCP连接建立的三次握手数据包顺序不相同，则不能够建立合法TCP连接终止TCP协议数据包处理，并调用外部的DOS/DDOS分析模块判断是否属于DOS/DDOS攻击；

如果接收的TCP连接顺序与TCP连接建立的三次握手数据包顺序相同，则能够建立合法TCP连接；

根据合法TCP连接建立合法TCP连接列表，并将TCP连接四元组作插入到合法TCP连接列表中建立TCP流信息，其中：  

所述的TCP连接四元组包括：源IP、目的IP、源端口、目的端口；

所述的TCP流信息包括：TCP连接四元组、传输字节数、第一个承载数据包指针、数据包指针、连接建立时间、完整流信息结构指针；

所述的合法TCP连接列表包括：TCP连接四元组名单、TCP流信息；

根据承载应用协议数据的TCP数据包中的TCP连接四元组查找对应TCP流信息；

如果查找到对应的TCP流信息，则对承载应用协议数据的TCP数据包进行处理；

如果没有查找到对应的TCP流信息，则直接抛弃TCP协议数据包；

根据TCP连接关闭的三次握手数据包中的TCP连接四元组查找对应TCP流信息；

如果查找到对应的TCP流信息，则对TCP连接关闭的三次握手数据包进行处理；

如果没有查找到对应的TCP流信息，则直接抛弃TCP协议数据包。

所述的对捕获的网络数据包进行协议解码分离出TCP协议数据包，是根据IPV4和IPV6的IP协议头信息进行分离。

所述的对承载应用协议数据的TCP数据包进行处理包括：

根据TCP流信息中的数据包指针建立顺序指针链表；

更改已存储的TCP流信息中的数据包指针为正在处理数据包指针并将正在处理数据包长度累加到TCP流信息中的传输字节数中；

判断TCP流信息中的第一个承载数据包指针是否为空；

如果为空，则将当前承载应用协议数据的TCP数据包指针设置为TCP流信息中的第一个承载数据包的指针；

如果不为空，则计算捕获网络数据包时间与建立合法TCP连接的时间的时间差并判断时间差是否大于预定阀值；

如果大于预定阀值，则申请新的TCP流信息结构，并赋值完整流信息结构指针，将承载应用协议数据的TCP数据包存储到待处理缓存进行待处理缓存数据包处理；

如果小于或等于预定阀值，则将承载应用协议数据的TCP数据包存储到待处理缓存进行待处理缓存数据包处理。

所述的承载应用协议数据的TCP数据包存储到待处理缓存进行待处理缓存数据包处理包括：

读取待处理缓存的待处理缓存数据包；