Linux內(nèi)核網(wǎng)絡流量監(jiān)測系統(tǒng).pdf

1、本文首先對各種網(wǎng)絡安全威脅的現(xiàn)狀和發(fā)展趨勢進行討論，之后，綜述了目前主要的應對網(wǎng)絡安全威脅的防范措施。然后，重點討論網(wǎng)絡安全防范措施中的網(wǎng)絡流量主動監(jiān)控技術。在對幾個著名的網(wǎng)絡流量監(jiān)控系統(tǒng)、入侵檢測系統(tǒng)的設計做觀察分析后，提出一個設計良好的網(wǎng)絡流量監(jiān)測系統(tǒng)需要具備的幾個特征：對高速流量的監(jiān)測的高效性，功能模塊的清晰劃分，良好的擴展能力。利用對網(wǎng)絡流量監(jiān)測技術現(xiàn)狀的研究和分析結果，展現(xiàn)了一個運行于Linux內(nèi)核的網(wǎng)絡流量監(jiān)測系統(tǒng)，它完成流

2、量監(jiān)測的基本任務，向上層應用模塊提供二次開發(fā)接口。在介紹了系統(tǒng)的整體結構后，描述了系統(tǒng)向上層應用開發(fā)提供的功能，之后分別討論系統(tǒng)的核心模塊KMonitor的各個功能模塊的功能和實現(xiàn)思想，它們分別是截包模塊、超時管理模塊、分片處理模塊、連接管理模塊、事件管理模塊、統(tǒng)計模塊、過濾模塊和通訊模塊。 重點討論KMonitor的兩個功能模塊：連接管理模塊和過濾模塊。在連接管理模塊部分，討論了傳輸層連接的管理操作如查找、插入、超時處理實現(xiàn)的

3、細節(jié)，在介紹了連接相關的數(shù)據(jù)結構后闡述了實現(xiàn)各種操作的思想和算法。在過濾模塊部分，介紹了過濾機制實現(xiàn)的基礎：libpcap的包過濾機制的實現(xiàn)，之后，提出了在本系統(tǒng)中實現(xiàn)包過濾和連接過濾的方法。討論了在Linux內(nèi)核環(huán)境中編程所遇到的技術問題和解決方法。 最后，對內(nèi)核流量監(jiān)測系統(tǒng)和實現(xiàn)同樣功能的用戶模式的流量監(jiān)測系統(tǒng)進行了對比測試，論證了系統(tǒng)設計的合理性和可行性。并對下一步研究工作進行了展望，提出了未來的工作可能的研究方向：對應用