基于NDIS中间层的Windows平台下包分类算法的研究

摘要

在Internet环境下广泛应用的网络安全技术，例如防火墙、入侵检测、网络监控、安全审计、虚拟专用网等，这些核心技术都是以包拦截包分类为基础的。数据包分类的正确性、准确性、快速性将直接影响安全产品的性能与效率。
　　目前，现有包分类算法中，一维、二维分类算法比较成熟应用广泛，而对于多维包分类算法的研究还很不成熟，存在许多急需解决的问题。比如，包分类的速度无法满足高速网络的应用需求，丢包的现象普遍存在；数据包分类的准确性有待提高，由于协议的复杂性往往导致数据包不能正常识别；随着规则库的扩大，内存空间过大无法满足低成本的要求；规则库难于更新等。
　　本人基于Hash函数快速查找、快速定位的思想，提出了一种基于Hash函数的五元一维包分类算法，该算法是基于包头的五元组分类的，但是由于进行了一次比较运算和一次 Hash运算，从五元组降到了一维，最终存在规则库中的只有外地 IP地址。因此，不但提高了查找速度，而且减小了存储空间，提高了网络数据包的分类效率。并给出该算法准确性、快速性的理论分析。
　　本文深入分析了Windows平台下各种数据包拦截技术，并且给出了各自的优缺点。采用NDIS中间层驱动程序实现数据包的拦截，因为NDIS中间层驱动程序工作在数据链路层与网络层之间，可以彻底的拦截所有进出主机的数据包。最后实现一个数据包分类系统，采用本人提出的基于Hash函数的五元一维包分类算法对拦截的数据包进行分类处理，实验结果与理论分析基本一致。

目录

封面

目录

中文摘要

英文摘要

第一章 前言

1．1 论文研究背景与意义

1．2 国内外研究现状

1．3 本文所做的主要工作

1．4 本文结构

第二章 Windows 网络体系结构及其常见数据包格式

2．1 Windows 操作系统的总体结构

2．2 Windows 网络体系结构

2．3 Windows 平台下常见数据包格式和 NDIS 包格式

2．4 本章小结

第三章 Windows 平台下网络数据包拦截技术

3．1 用户态(user－mode)下网络数据包拦截技术

3．2 内核态（kernel－mode）下网络数据包拦截技术

3．3 本文所选择的网络数据包拦截技术

3．4 本章小结

第四章 包分类算法概述

4．1 包分类问题研究

4．2 常见的包分类算法

4．3 各种包分类算法的性能比较

4．4 本章小结

第五章 基于 Hash 函数的五元一维包分类算法

5．1 Hash 算法的特点

5．2 算法设计

5．3 算法性能

5．4 本章小结

第六章 数据包分类系统的设计与实现

6．1 系统的总体设计

6．2 数据包拦截模块的设计与实现

6．3 规则库建立模块的设计与实现

6．4 数据包分类模块的设计与实现

6．5 系统测试

6．6 本章小结

第七章 总结语

致谢

参考文献

附录

声明