[发明专利]一种基于IPV6的TCP流汇聚方法及系统

权利要求书

1.一种基于IPV6的TCP流汇聚方法，包括：

捕获网络数据包；

对捕获的网络数据包进行协议解码并分离出TCP协议数据包；

根据TCP标志位将TCP协议数据包进行TCP连接分类，其中，

所述的TCP连接分类包括：TCP连接建立的三次握手数据包、TCP连接关闭的三次握手数据包、承载应用协议数据的TCP数据包；

根据TCP连接建立的三次握手数据包判断是否能够建立合法TCP连接；

如果接收的TCP连接顺序与TCP连接建立的三次握手数据包顺序不相同，则不能够建立合法TCP连接终止TCP协议数据包处理，并调用外部的DOS/DDOS分析模块判断是否属于DOS/DDOS攻击；

如果接收的TCP连接顺序与TCP连接建立的三次握手数据包顺序相同，则能够建立合法TCP连接；

根据合法TCP连接建立合法TCP连接列表，并将TCP连接四元组作插入到合法TCP连接列表中建立TCP流信息，其中：  

所述的TCP连接四元组包括：源IP、目的IP、源端口、目的端口；

所述的TCP流信息包括：TCP连接四元组、传输字节数、第一个承载数据包指针、数据包指针、连接建立时间、完整流信息结构指针；

所述的合法TCP连接列表包括：TCP连接四元组名单、TCP流信息；

根据承载应用协议数据的TCP数据包中的TCP连接四元组查找对应TCP流信息；

如果查找到对应的TCP流信息，则对承载应用协议数据的TCP数据包进行处理；

如果没有查找到对应的TCP流信息，则直接抛弃TCP协议数据包；

根据TCP连接关闭的三次握手数据包中的TCP连接四元组查找对应TCP流信息；

如果查找到对应的TCP流信息，则对TCP连接关闭的三次握手数据包进行处理；

如果没有查找到对应的TCP流信息，则直接抛弃TCP协议数据包。

2.如权利要求1所述的方法，其特征在于，所述的对捕获的网络数据包进行协议解码分离出TCP协议数据包，是根据IPV4和IPV6的IP协议头信息进行分离。

3.如权利要求1所述的方法，其特征在于，所述的对承载应用协议数据的TCP数据包进行处理包括：

根据TCP流信息中的数据包指针建立顺序指针链表；

更改已存储的TCP流信息中的数据包指针为正在处理数据包指针并将正在处理数据包长度累加到TCP流信息中的传输字节数中；

判断TCP流信息中的第一个承载数据包指针是否为空；

如果为空，则将当前承载应用协议数据的TCP数据包指针设置为TCP流信息中的第一个承载数据包的指针；

如果不为空，则计算捕获网络数据包时间与合法TCP连接的时间的时间差是否大于预定阀值；

如果大于预定阀值，则申请新的TCP流信息结构，并赋值完整流信息结构指针，将承载应用协议数据的TCP数据包存储到待处理缓存进行待处理缓存数据包处理；

如果小于或等于预定阀值，则将承载应用协议数据的TCP数据包存储到待处理缓存进行待处理缓存数据包处理。

4.如权利要求3所述的方法，其特征在于，所述的承载应用协议数据的TCP数据包存储到待处理缓存进行待处理缓存数据包处理包括：

读取待处理缓存的待处理缓存数据包；

计算捕获网络数据包时间与TCP流信息中的连接建立时间的时间差，并判断时间差是否超出预设时间值；

如果未超出预设时间值，则停止处理待处理缓存数据包直到超出预设时间值；

如果超出预设时间值，则将申请新的TCP流信息结构中当前的数据包指针改为当前正在处理的数据包指针，并将当前正在处理的数据包的长度累加到申请新的TCP流信息结构的传输字节数中。