基于Layer7的網(wǎng)絡(luò)流量整形.pdf

1、隨著計算機網(wǎng)絡(luò)應(yīng)用越來越廣泛，越來越高端，計算機網(wǎng)絡(luò)安全的問題日益凸顯，如何維護網(wǎng)絡(luò)的安全，并且在攻擊或者異常發(fā)生時如何進行有效的抑制，具有重要意義。流量整形技術(shù)就是在攻擊或者異常發(fā)生時對網(wǎng)絡(luò)進行有效抑制的重要手段之一。
　　 本課題依托于國家863項目(基于應(yīng)用行為規(guī)范的網(wǎng)絡(luò)主動實時防護系統(tǒng))，作為整個系統(tǒng)的前端部分，負責對傳入系統(tǒng)的數(shù)據(jù)包進行整形控制，以緩沖突發(fā)的數(shù)據(jù)，使整個網(wǎng)絡(luò)的流量處于一種較為平穩(wěn)的狀態(tài)，滿足一定的QoS

2、。本文充分分析了Linux Netfilter/Iptables/Layer7平臺，并在此平臺上，利用流入網(wǎng)絡(luò)邊界的分組頭部信息，獲得代表每個連接的key值，對網(wǎng)絡(luò)數(shù)據(jù)流進行統(tǒng)計，得到數(shù)據(jù)流的特征情況，以此使用令牌桶整形器對數(shù)據(jù)流進行整形控制，使得大峰值或者大均值的流被局限到正常范圍內(nèi)，當數(shù)據(jù)包無法通過令牌桶時，將該數(shù)據(jù)包相應(yīng)的優(yōu)先級降低，因此使得其無法優(yōu)先占用網(wǎng)絡(luò)資源進行傳送。本文設(shè)計的令牌桶整形器具有兩級，每個流都會先經(jīng)過針對自己的