[发明专利]一种TCP流重组方法和装置

说明书

本申请实施例提供了一种TCP流重组方法和装置，涉及计算机技术领域。所述方法包括：针对一TCP连接，创建属于客户端的第一数组，和/或属于服务器的第二数组；针对所述TCP连接下的含有TCP载荷的有效数据包，计算所述有效数据包的偏移量和数据长度；当所述有效数据包属于客户端时，根据所述有效数据包的偏移量和数据长度，将所述有效数据包中的有效数据向属于客户端的第一数组存储；当所述有效数据包属于服务器时，根据所述有效数据包的偏移量和数据长度，将所述有效数据包中的有效数据向属于服务器的第二数组存储。简化了流重组的判断逻辑以及运算过程，从而有效降低了现有TCP流重组方法的复杂度，提高了流重组的效率，更容易满足系统性能方面的需求。

技术领域

本申请涉及计算机技术领域，特别是涉及一种TCP流重组方法和一种TCP流重组装置。

背景技术

随着网络犯罪手段不断趋于复杂化和多样化，传统方法无法检测出某些特殊的新型入侵行为，例如利用TCP(Transmission Control Protocol，传输控制协议)协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽的SYN flood(拒绝服务)攻击。若敏感信息分片到几个不同的数据包中，数据包特征就会消失从而无法检测出恶意行为，无法满足网络安全防护和打击网络犯罪的实际需要。为了提高恶意数据流检测的准确性，不能只是运用数据包级的处理，必须将每条TCP流的所有数据包重组为完整的会话流，以进行应用级分析。由于TCP流在IP层被切分成多个IP(Internet Protocol，网络协议)分片来传输，使得整个数据传输过程中可能存在TCP报文段失序、重复，甚至还会有丢包的情况。

针对上述情况，在获取TCP数据包之后，如何通过有效的TCP流重组方法实现对TCP连接上传输信息的恢复是一种核心的网络技术。TCP流重组技术是一种将网络包恢复成原始数据流的技术。当前最通用、最常见的TCP流重组方法是采用链表实现的队列缓存TCP包的方式实现的，具体步骤如下：

1、系统创建一个按序到达包队列和一个乱序包队列，用于存储按序到达和提前到达的数据包。其中，按序到达的数据包是指当前到达的数据包是与已经到达的数据包相连的后续报文，提前到达的数据包是指当前到达的数据包不是与已经到达的数据包相连的后续报文，而是提前到来的报文，此时应该将这个数据包放置到乱序包队列存储起来，以备后续重组使用。

2、在一个新数据包到达之后，先判断该数据包是否为提前到达的数据包，若是提前到达的数据包则存入乱序包队列，若不是提前到达的数据包则存入按序到达包队列。

3、在TCP流结束时则进行合并、组装等一系列较为复杂的运算，完成TCP流重组。

另外，对于每个到达的数据包，都需要对数据包的边界进行多次判断，决定对该数据包做何种处理，例如是拆解还是丢弃。而且对于拆解后保留的部分还需要插入到按序到达队列或者提前到达队列指定的位置。以按序到达的数据包为例。首先需要判断新到达的数据包与已经存入按序到达包队列中的数据包，对应在按序到达包队列中的存储空间是否有重叠的部分，若没有重叠的部分，则直接将新到达的数据包存入按序到达包队列中，而若有重叠的部分，则进一步判断重叠的部分是否对应整个新到达的数据包，若是则可以直接将该新到达的数据包丢弃，若不是则对新到达的数据包进行拆解，丢弃其中重叠的部分，并将保留的部分存入按序到达包队列。

因此可见，现有的流重组方法操作比较复杂，导致效率较低，往往很难满足系统性能方面的需求。

发明内容

鉴于上述问题，提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种TCP流重组方法和相应的一种TCP流重组装置。

为了解决上述问题，本申请公开了一种TCP流重组方法，包括：

针对一TCP连接，创建属于客户端的第一数组，和/或属于服务器的第二数组；