（计算机应用技术专业论文）基于multiagent+windows内核级网络数据流的研究与应用.pdf

摘要 随着计算机网络的普及和信息化的推广，计算机网络应用越来越重要。企业、 公司、政府部门相当数量的数据信息要通过网络传输，如何保证数据信息在网络 上安全传输成为目前国内外热门研究课题。目前，网络安全产品大多数是硬件网 关级产品，这些产品主要抵御来自外部网络的安全隐患，对来自于内部网络的安 全威胁防御作用有待加强。 由于大多数公司、企业、政府等内部网络的客户端大多数是w i n d o w s 操作 系统，因此，开发w i n d o w s 操作系统下的信息安全产品尤为迫切。比如说开发 w i n d o w s 操作系统下分布式防火墙、v l m 客户端软件产品、i d s 系统、v l a n 软 件产品、以及开发特殊网络数据流加密等产品。对于这些w m d o w s 操作系统下 的网络信息安全软件产品的研发涉及到网络数据流拦截和分类处理，目前， w i n d o w s 操作系统下成熟的网络数据流拦截技术大多局限于u s 凹o m o d e ， u s e r - m o d e 层次拦截网络数据不彻底，不能实现底层网络数据包的重新封装，有 的病毒能绕过该层次进行传播；k e r n e l m o d e 层次拦截网络数据更彻底，能实现 底层网络数据包的重新封装，但是该技术开发难度大、国内外开发w i n d o w s 操 作系统内核网络数据拦截应用非常少，而且该类成熟产品稀少，k e r n e l m o d e 层 次网络数据流拦截技术正处于研究阶段；另外，流分类算法有待改进，本文研究 w i n d o w s 操作系统内核级网络数据流的拦截技术与流分类算法改进。 本文采用m u l t i - a g e n t 技术建立基于m u l t i - a g e n tw i n d o w s 网络数据流的研究 与应用系统模型，将面向对象编程的消息机制、事件机制应用于m u l t i - a g e n t 之 间的通信与协作。在二分查找和h a s h 查找的基础上提出了二分三点m h a s h 查 找算法，并应用于拦截分类驱动程序中进行流的分类处理，通过对特定网络软件 进程的网络数据流，根据其分布规律采取对应的控制策略，而不是逐包分类处理， 网络数据流拦截采用k e r n e l - m o d e 的i m d ( q 】间驱动) 技术。 关键词：k e r n e l m o d e 、二分三点h a s h 查找算法、网络数据流分类、m u l t i - a g e n t m 贵州大学硕士学位论文 a b s t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e rn e t w o r ka n de x p a n s i o no fi n f o r m a t i o n a p p u c a t i o n , c o m p u t e rn e t w o r ka p p l i c a t i o nb e c o m i n gi m p o r t a n ti n c r e a s i n g l y m a s s i v e d a t ei n f o r m a t i o nm u s tb ew a n s p o r t e dt h r o u 曲t h en e t w o r ki no r g a n i z a t i o n ss u c ha s e n t e r p r i s e ，c o m p a n ya n dg o v e r n m e n t , s 0 ，h o wt oe n s u r et r a n s p o r td a t ei n f o r m a t i o n s a f e l yb e c o m i n gt h em a i nr e s e a r c hs u b j e c ti ni n f o r m a t i o ns e c u r i t yf i e l da th o m ea n d b r o a dn o w m o s to fi n t e r a c ts e c u r i t yp r o d u c t sa l eh a r d w a r eg a t e w a yp r o d u e t s ，b u t t h e s eh a r d w a r ep r o d u c t s no n l yk e e pt h el a t e n tn e t w o r ki n t r u s i o no u to fe x t e r n a l n e t w o r ki ns o m ee x t e n lh o w e v e r , a c c o r d i n gt oa u t h o r i t a t i v es t a t i s t i c s ，m o s to fl a t e n t n e t w o r ki n t r u s i o nc o m ef r o me n t e r p r i s e ，c o m p a n ya n dg o v e r n m e n ti n t e r n a ln e t w o r ka t p r e s e n t , i ti si m p o s s f b l ef o rt h e s eh a r d w a r es e c u r i t yp r o d u c t st od e f e n dn e t w o r k i n t r u s i o na n dk e e pt h et h i e ff i - o ms e c r e td a t e a se n t e r p r i s e ，c o m p a n ya n dg o v e r n m e n ti n t e r n a ln e t w o r kc l i e n t sa p p f i c a t i o na r e w i n d o w so p e r a t i o ns y s t e m , s o t or e s e a r c ha n dd e s i g ni n f o r m a t i o ns o f t w a r ep r o d u c t s i nw i n d o w so p e r a t i o ns y s t e mi ss ou r g e n t , s u c ha sd i s t r i b u t em e w a u , v i r t u a lp f i v a m n e t w o r kc l i e n ts o f t w a r e ，i n t r u s i o nd e t e c ts y s t e m ，v i r t u a ll o c a la r e as o f t w a r ea n d s p e c i f i cn e t w o r kd a t ef l o we n c r y p t i o na n dd e c r y p t i o ns o f t w a r ep r o d u c t s t ot 酷, c a r c h a n dd e s i g nt h e s es e c ：i l r i t ys o f t w a r ep r o d u c t si nw i n d o w so p e r a t i o ns y s t e mi n v o l v e h a n d l i n gn e t w o r kp a c k e t sa n dp a c k e t sc l a s s i f i c a t i o no p e r a t i o n , b u tm o s to fc a p t u r i n g n e t w o r kp a c k e t st e c h n o l o g i e si nw i n d o w so p e r a t i o ns y s t e ma 弛l i m i t e dt ou s e r - m o d e a tp r e s e n t , w h i l ea tk e r n e l - m o d eo p e r a t i o nt e c h n o l o g yi st h em a i nr e s e a r c hs u b j e c ti n n e t w o r kp a c k e t sh a n d l i n gr e s e a r c hf i e l di nw i n d o w so p e r a t i o ns y s t e m ，m o r e o v e r , t h e r e s e a r c ho fn e t w o r kf l o ww a sc o n f i n e dt ob a c k b o n em u t e ra p p l i c a t i o n , w h i l et h e r e s e a r c ho fn e t w o r kf l o wc l a s s i f i c a t i o ni nw i n d o w so p e r a t i o ns y s t e mi ss od e f i c i e n t , a n di nt h el a t t e rr e s e a r c hw ec a nd e s i g ns p e c i a ln e t w o r kf l o wd a t ee o c r y p t i o na n d d e c r y p t i o np r o d u c t s t h er e s e a r c ha n da p p l i c a t i o no fw o r kf l o wc l a s s i f i c a t i o nm o d e li nw i d o w s a p p f i c a t i o ns y s t e mi s b a s e do nm u l t i - a g e n tt e c h n o l o g yi n t h i sp a p e r , o t h e ro b j e c t i v a b s t r a d b a s e dp r o g r a m m i n gt e c h n o l o g y , s u c h 鹤m e s s a g em e c h a n i s ma n de v e n tm e c h a n i s m a l e a p p l i e d i nm u l t i - a g e n tc o m m u n i c a t i o na n dc o o p e r a t i o n w ei n t r o d u c e dt h r e e n o d e sb i n a r yh a s hs e a r c hb yr e f e r r i n gb i n a r ys e a r c ha n dh a s hs e a r c ht h e o r y , a p p l i c a t i o ni t i nb o t hp a c k e t sc a p t u r i n ga n dc l a s s i f y i n gd r i v e rp r o g r a mt oc l a s s i f y s i n g l ep a c k e tp r e c i s e l y a sf o rm u l t ip a c k e t sc l a s s i f i c a t i o no fs p e c i f i cn e t w o r kf l o w , b a s e do ns p e c i f i cs o f t w a r ep 1 o c c s sa c t i o nr a n d o md i s m b u t i o ns t a t i s t i c sc o n t r o lp o l i c y i st ob ca p p l i e d ，n o ts i n g l ep a c k e tp r o c e s s i n g t oc a p t u r i n gn e t w o r kf l o wt h o r o u g h l y , i n t e r m e d i a t en d i sd r i v e r st e c h n o l o g yi st ob ea p p l i e di nt h i sp a p e r k e yw o l d s ：k e m d - m o d e ， i h l e cn o d e sb i n a r yh a s hs e a r c ha l g o r i t h m ，n e t w o r k h o wc l a s s i f i c a t i o n , m u l t i - a g c u l t v 附：学位论文原创性声明和关于学位论文使用授权的声明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究在做出重要贡献的个人和集体，均已在文中以明确方式标明。本人 完全意识到本声明的法律责任由本人承担。 论文作者签名：壶；：盟煎整 日期： 2q q2 型旦 关于学位论文使用授权的声明 本人完全了解贵州大学有关保留、使用学位论文的规定，同 意学校保留或向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅；本人授权贵州大学可以将本学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：蒸蛰盥磐师签名：数日 第一章前言 第1 章前言 1 1 论文研究背景及目的意义 随着i n t e m e t 的快速发展，因特网正呈现出新变化：口网络必须能够为用户 提供更多的服务类型和更好的服务质量。首先，网络用户的要求越来越呈现多样 化，无论是以浏览和下载资料为主的普通用户，还是从事电子商务的企业用户， 这些用户从性能、安全性、可靠性方面对网络的期望值都是不同的，因此网络必 须能提供新的、有差别的网络服务，以满足不同用户的需要。其次，各种新型网 络应用程序的发展越来越要求因特网能够提供更丰富的服务类型。这些服务包括 区分服务( d i f f c r c n t i a t c dq u a l i f i e so f s e r v i c e ) 、防火墙( f k e w a l l s ) 、基于策略的 路由( p o l i c y - h a s c dr o u t i n g ) 、虚拟专用网络( v i r t u a lp r i v a t en e t w o r k ) 、q o s 、 流量计费( t r a f f i cb i l l i n g ) 等等。所有这些服务都需要将到达的口数据包归类 为不同的数据流，都以口分类( 口c l a s s i f i c a t i o n ) 技术为基础。目前，复杂的协议 需要精确的流分类，为了提供这些增强的服务，简单的包分类不能满足实时的语 音、视频通信流“”。目前，网络数据流分类的研究应用对象主要是大型网络骨干 路由器的流分类，目的是提高路由选择性能和实现o o s ，本文研究对象是 w i n d o w s 操作系统里的网络数据流分类问题，为我们设计w i n d o w s 操作系统下 的分布式防火墙、分布式v p n 、特定应用数据流的监视以及i d s 等网络安全产 品打下重要的基础。 据有关的权威调查资料显示，越来越多的网络安全隐患来自于内部网络，内 部网络的终端用户大多数是w i n d o w s 操作系统，面且电子商务和远程办公日趋 普及，对于这些数据在网络上传输的保密性和可靠性研究都涉及到网络数据流的 分类问题。因此，研究w i n d o w s 操作系统下的网络数据流分类很有实际意义， 本文的研究内容是贵州青鹏天目科技有限公司2 0 0 5 年国家中小企业创新基金项 目嵌入式网络信息保密系统( 编号：2 0 0 5 e b 0 1 1 4 5 3 ) 的一个子课题网 络访问控制，采用i m d 技术将w i n d o w s 操作系统内核级网络数据流进行拦截和 分类，实现对局域网内计算机用户的网络访问控制。 本文的研究目的是研究w i n d o w s 操作系统下内核层次的网络数据拦截技术， 贵州大学硕士学位论文 采用m u l t i - a g e n t 模型建立网络数据流分类器，提高网络数据的拦截和分类效率， 改迸线性流分类算法，提出y - - 分三点h a s h 查找流分类算法，为我们设计 w i n d o w s 操作系统下的v l a n 、v p n 等分布式软件做好最重要的准备工作。 1 2 w i n d o w s 操作系统下网络数据流研究存在的问题 目前，对于w i n d o w s 操作系统下的网络数据流研究存在的问题如下： 1 、网络数据拦截不彻底，大多数拦截技术还处于u s e r - m o d e 层次，网 络数据的内核层次拦截技术还处于研究阶段； 2 、网络数据流分类算法有待改进，以提高分类处理速度和效率； 3 1 对于i p v 6 、加密网络数据等格式的分类问题有待解决； 在此之前网络数据流分类的研究环境主要是网络骨干路由器，对于 w i n d o w s 操作系统下网络数据流分类的研究还不多见，这两者之间存在着差别， 原因是w i n d o w s 操作系统下网络数据流格式具有多样性。 1 3 研究内容及创新点 本文在研究w i n d o w s 操作系统下网络数据拦截技术的基础上，重点研究网 络数据流的分类算法，以提高分类处理效率，采用基于网络软件进程行为的网络 数据流随机分布统计控制策略，以加强对网络数据流的控制效率，系统模型是按 照m u l t i a g e n t 通信协作模型建立的，研究内容具体如下： 1 ) 网络数据的拦截技术主要是研究微软的中间驱动( i m d ) 拦截技术； 2 1 对于网络数据流分类算法的研究，是在改进二分查找算法并结合h a s h 查找算法的基础上，将其应用到网络数据流分类算法中； 3 ) 对网络中的数据流进行随机分布统计分析，根据其分布规律采取相应 的控制策略： 我们将具有一定功能和完成特定任务的源代码当作a g e n t ，将w m d o w s 操作系统下的网络数据流拦截及分类任务分解为具有独立功能和完成特定任务 的多a g e n t ，按照m u l t i a g e n t 通信协作的模型建立整个系统模型。 本文的创新点如下： 研究中间驱动网络数据拦截技术，实现底层网络数据拦截； 2 第一章前言 提出并实现二分三点b a s h 查找流分类算法，改进了线性流分类算 法； 基于m u l t i - a g e n t 流分类器的设计及实现； 提出基于网络软件进程行为的网络数据流随机分布统计控制策略： 设计安装一个网络服务，在该服务中进行网络数据的拦截和分类处理， 而不是调用系统服务接口。 3 贵州大学硕士学位论文 第2 章网络数据流分类概述 本章研究w m d o w s 操作系统下网络数据流分类问题，分析并定义常见的包 结构、帧结构，并且研究了w i n d o w s 操作系统下的n d i s 包结构。 2 1 流分类问题研究 1 ) 网络数据流定义 网络数据流可以定义在不同的粒度层次上，如主机+ 端口：一对( 源地址， 源端口) ，( 目的地址，目的端口) ：主机：一对( 源地址) ，( 目的地址) ； 文献o ”中网络数据流定义为：把“具有相同的源，目的t p 地址的所有分组”定义 为“流”。本文将流扩展定义为“具有相同的源目的口地址、相同的源目的端 口( 应用层端口) 、相同的协议d 和相同的数据流向”，这样很容易将u d p 报文 和i c m p 等非t i 四包区分出来，并且能将特定的网络数据流分类出来，一个数 据流就是一个端到端的应用进程连续传输的网络数据，数据流由一系列包构成。 2 1 数据流分类问题 网络数据流分类问题是近年来网络领域研究的热点，特别是在大型骨干网络 路由器中的应用研究。路由器上传统的路由查找问题，是通过查找p 数据包包 头中的目的地址来决定下一跳地址，它只是一维的数据包分类中最典型的例子， 也是多维数据包分类的基础。而通常的口数据包分类路由器根据数据包头信息 和给定的规则数据库将数据包分为若干数据流( 丑o w ) ，并对不同的数据流施以不 同的服务操作级别。它主要应用于硬件路由器中的路由选择算法的预处理过程， 文献0 1 对网络数据流分类问题的定义如下： 通常的流分类问题可以视为一种多维空间中的“点定位”问题，这是计算几 何中的经典问题。点定位问题可以定义为：给定d 维空闻中的一个点p 和n 个d 维区域，找到p 所属的那一个区域。在将点定位问题应用到流分类中时，最好的 算法要么具有d ( 1 0 矿1 n ) 时间复杂度，d ( ) 空间复杂度；要么具有d ( 1 0 9n ) 的时 间复杂度，d ( n d ) 的空间复杂度。在进行数据包和过滤规则的匹配时，根据字段 类型的不同，允许三种匹配方式：精确匹配，前缀匹配，范围匹配。每条过滤规 则都有一个相应的动作与之对应，如果匹配就对数据包进行相应的处理。对于数 4 第2 章网络数据流分类概述 据流分类问题，不仅仅进行前缀匹配，还要进行范围匹配。精确匹配：现有的包 过滤技术仍要求数据包完全匹配规则的每一个分量，才能称二者是匹配的，而不 能像其他的分类问题一样作预测判断。 3 ) 研究数据流分类的实际应用意义 最近几年对于网络数据流的分类问题的研究是非常热门的，研究的应用背景 是大型网络路由器的路由选择应用，以提高路由选择算法，主要应用于硬件路由 器，然而对于w i n d o w s 操作系统环境下的网络数据流分类问题的研究却不多， 其主要原因是相关技术资料比较缺乏，其中涉及在w i n d o w s 操作系统下底层网 络数据流的拦截技术和网络数据流分类问题，比起i p 包分类问题来说，该分类 问题的空间( 维数) 增加了。最重要的是，流分类协议状态跟踪，可靠地跟踪协 议栈中的高层协议的应用，比如状态检测防火墙、w e b 或内容交换、病毒扫描等。 在许多控制包建立数据连接以后这些应用中协议状态信息必须被跟踪。 在w i n d o w s 操作系统里，按照各种协议封装的网络数据流是多种多样的， 相应的组成包一般来说主要有s p x 、n c t b e u i 、t ( 卫佃等协议族的网络数据 包，而且即使是t c p p 网络数据包，在某些相同的层也有不同的帧、包格式， 例如传输层就有t c p 包和u d p 包的区别，数据链路层有不同类型的帧，本文重 点研究t c p i p 协议族网络数据流。在国际电信联盟还没有制定t c p b p 标准以前， 网络协议主要是n o v c l l 公司制定的i p x s p x 协议。而且，在数据链路层，封装 的帧根据链路传输媒质和协议的不同也有很多种，常见的有t o k e nr i n g 、以太网、 f d d i 、a t m 、i s d n 等帧，在w i n d o w s 操作系统里除了以太网帧以外，其它格 式的帧都不常见。由于t 1 0 p p 网络o s i 参考结构的开放性和兼容性使得在不同 类型的链路层数据帧里可以封装不同的协议数据包，例如对于点到点协议p p p 协议类型的数据包可以封装在以太网帧、a t m 帧里，也就是现在应用很广泛的 p p p o e 、p p p o a 等。对于v p n 等应用也是对原数据帧、数据包按照对应t c p i p 不同层的协议采用了加密和认证处理技术后再进行封装的，而且对于不同协议类 型的数据包可以封装在另外不同协议族的数据包里，如i f x 数据据包可以封装在 u d p 或t c p 包里，文献”1 具体描述了如何在p 网络上打通i p x 传输通道，也就 将i p x 包承载在u d p 包里的数据部分，这样i p x 包就可以在口网络里进行传输 了。i p x 包封装在u d p 包见图1 ： 贵州大学硕士学位论文 l i i ph e a d e ru d ph e a d e ri p xh e a d e r i p xp a c k e td a t a i ( 2 0o rm o r eo c t e t s ) l ( 8o c t e t s ) i ( 3 0o c t e t s ) i j + - - 一+ - + - - - - - - 斗 f i g u r e1 ：a ni p xp a c k e tc a r r i e da sd a t ai nau d pp a c k e t 由此我们可以根据t ( 强仰结构的开放性和兼容性，将自己定义的特殊格式的数 据包封装在t ( 卫或u 1 ) p 包里，在接收端我们就需要将这种类型的网络数据包分 类出来，在不改变原网络结构的情况下达到特殊的网络应用。所以，w i n d o w s 操作系统下的网络数据流分类研究是有实际应用价值的。 2 2 包分类与流分类的比较 包分类是将每一个数据包与我们设计的规则孤立地进行简单的匹配操作，然 后根据相应规则对包采取对应的操作，如过滤、丢弃等操作。对于流分类，举一 个简单的例子，在人们的谈话中，如果你仅仅听到他们所谈话的一词或一个单句， 那么你就不能不知道他们谈论什么，只有你从他们的成千上万的谈话中才能分析 得出结论。流分类就是将一组彼此联系的单个数据包联系起来，比如将具有相同 的源，目的i p 地址、源目的端口的包联系起来综合分析才能将其正确分类。 流分类是经得起检验的、唯一的、重要的技术，使得o e m 厂商足以生产出 设备，i s p 和公司使用这些设备在所有的应用上承载自己有价值的服务、保护这 些服务并管理这些服务。流分类与包分类相比，流分类更能在一组包中执行正式 的分析，当连接建立的时候，流分类器跟踪每一个流，这使得在公共端口上建立 的连接被跟踪，在公共端口上建立我们自己的临时端口数据连接。这是非常重要 的，由于许多的协议是在公共传输控制端口上建立连接和协商服务的，然后建立 另外其他的临时端口为该网络会话传输数据。 由于l 临时端口不是属于单包的部分，所以包分类器的局限是很难识别临时的 端口“町，相当的临时端口是在流的其它包中进行协商的，并且被包分类器将其与 对应的流所记忆。更糟的是，有的时候其它协议使用公共端口作为l 临时端口使用， 这样就会导致包分类器将这些协议误分类。 第2 章网络数据流分类概述 2 3 目前国内外网络数据流分类的研究现状 目前网络数据流分类算法主要应用了三种数据结构：线性表，树和h a s h 表。 这三种方法都是在预处理时建立相应的数据结构，流分类时通过一次或多次查找 建立的数据结构和一些简单的处理获得最终的分类结果。使用线性表数据结构的 算法包括：l i n e a rs e a r c h 、t e r n a r yc a m 、c r o s s p r o d u c t i n g 、r e c u r s i v ef l o w c l a s s i f i c a t i o n 等。使用树型数据结构的算法包括：h i e r a r c h i c a lt r i e s 、s e t - p r u n i n g t r i e s 、g r i do f t r i e s 、碰c r a z c h i c a li n t e u j g c n tc u t t i n g s 、a g g r e g a t eb i tv e c t o r 等。使 用h a s h 表数据结构的算法包括：t u p l es p a c es e a r c h 等。下面对每一种算法进行 简要的分析，指出各自的优缺点。 基于树形结构的各种算法虽然实现较为简单，但随着规则数的增多和分类域 数目的增多，时间性能和空间性能急剧变坏，因而只能适合低速分类和少域分类 的场合。在线速大于2 5g b i t s 的应用场合，后三种方法可以选择。b i t m a p 法 较为通用简单，但随着规则数增大存储空间急剧增大，速度也会降低。r f c 分类 特别快，但其数据结构的存储空间大小强烈依赖于给定的规则集，缺乏通用性。区 域分割法相比而言介于前两者之间：速度较快，且基本不受规则数变化的影响，对 规则集的分布也不太敏感，能够适应一般应用的要求。 l i n e a rs e a r d l 这种算法采用的数据结构最简单，规则以链表的方式降序存储。分类时数据 包从表头开始依次和链表中的各个规则进行比较，直到找到一条匹配的规则或者 达到链尾。尽管该算法存储效率高，简单，但是查找时间长，并且查找时间随规 则数的增加而线性增加。 t e r n a r yc a m t e r n a r yc a m 算法具有最快的分类时间，只需要一个内存访问周期。但该算 法只能由硬件实现，需要的c a m 存储器的容量为d n w ( d ：分类器的维数，n ：分 类器中规则的个数，w ：每一维的宽度，下同) 。c a m 存储器价格高，耗电量大， 不能直接支持范围匹配，因而对d ，n ，w 的扩展性均较差，只能用于较小的流分 类问题。 c r v s s p r o d u c t i n g “】 c r o s s p r o d u c t i n g 算法将多维的流分类问题建立在多个一维流分类基础上，利 贵州大学硕士学位论文 用多个一维流分类的结果查找c r o s s p r o d u c t i n g 表获得最终的流分类结果。该方 法便于实现，时间复杂度是d w ，空间复杂度为n d ，对规则维数和数量的可扩 展性较差。 r e c u r s i v ef l o wc l a s s i f i c a t i o n c 纠 r f c 是由p a n k a jo u p t a 和n i c km c k e o w n 提出的一种适合多域流分类问题的 算法，具有流分类速度快，直接支持范围和前缀匹配等优点。但当d ，n ，w 增加 时，所需存储空间太大。如果该算法所基于的特征在所用的分类器中不具有或不 明显，每一维长度的压缩量将很小，这将严重影响流分类的性能。该算法的另一 个缺点是动态性差，添加一条新规则在最坏的情况下需要重建整个数据结构，因 而不适合规则频繁变化的流分类器。 h i e r a r c h i c a lt r i e s h i e r a r c h i c a lt r i e s 是对一维查找树的一种简单扩展，它从d 维中任选一维生 成第一级查找二叉树，对该二叉树中的每一个与分类器中第一维匹配的结点，按 分类器中规则的第二维建立另一个二叉树，反复上述过程直到完成每一维的处 理，就构成了多维分层查找树。该方法简单、直接，也便于硬件实现，但查找时 间较长，对d 的扩展性差，也不直接支持范围匹配。 s e t p r u n i n gt r i e s 【2 l 】 s e t - p r u n i n gt r i e s 通过对多维分层查找树中某些结点进行多次复制，减少多 维分层查找树的层次，提高查找效率。但所需存储空间增加较多，对规则维数的 扩展性差。 g r i do f t r i e s 1 ” g r i do f t r i e s 的主要思路是将s e t p r u n i n g t r i e s 中重复的子树删去，只保留一 颗子树，这样存储空间的需求量由n d d w 降为n d w ，时润复杂度仍为d w ，但 该方法动态性差，减少规则需要对整个树进行重建，并且只适用于d = 2 的情况。 h i e r a r c h i c a li n t e l l i g e n tc u t t i n g s 嘲 h i e r a r c h i c a li n t e m g e n tc u t t i n g s 的基本思想是以规则的每一字段为一层次将 分类器中所有规则按范围空间进行循环分组，直到每组中都只有少于n u m 条 的规则，查找时在少于n u m 条规则中通过线性匹配来找到匹配规则。在h i c u t s 中，整个分类器只建立一棵树：根节点表示整个d 维空间，树中每个节点代表了 b 第2 章网络数据流分类概述 查找空间的一部分，叶结点存储了位于这个查找空间的b 条规则，b i c m p , 2 - i g m p , 6 - t c p , 1 7 - u d p ) u n s i g n e ds h o r tc h e c k s u m ； mh e a d e rc h e c k s u m , 1 6 位坤首部校验和 u n s i g n e di n ts o u r c d p a d d r e s s ；s o u r c ea d d r e s s u n s i g n e di n t d e s t l p a d d r e s s ； d e s t i n a t i o na d d r e s s i p h e a d ，。p l p h d ； 贵州大学硕士学位论文 2 6 3 t c p 包头结构 1 t c p 包头结构 t c p 处于t ( ：p 口模型的第三层，即传输层，它位于p 网络层的上面，它提 供类似于虚电路连接，建立端到端的可靠连接。t c p 包头结构由1 6 位的源端口、 1 6 位的目的端口、3 2 位的序列号、3 2 位的确认号、8 位的数据偏移、8 位的f l a g 标识、1 6 位的窗口、1 6 位的检验和、1 6 位的紧急指针等域构成，其中，源端口 和目的端口分别表示发送方和接收方应用层的进程端口号，如t c l n c t 的2 3 端口 等。t c p 包头结构图如下： 帆位似幛嘶胛竹1 0l 】nl ，坫1 7l 1 9 n 芷廿m 符斯打嚣抑m 嚣嗣口 目的螭口 序号 确认号 雠 f l a g 膏口 信移保留 检验和 譬急指针 f i g u r c4 ：t h ef o r mo f t c pp a c k e ts t r u c t t t r e 2 t c p 包头结构定义： t y p e 耐s l m c t _ t c p h e a d u n s l 。n e ds h o i t u s s r c p o r t ； s o u r c ep o r t u n s i g n e ds h o r tu s d e s t p o f t ； d e s t i n 撕o np o r t u n s i g n e dl o n gu i s e r a i n o ； n u m b e ro fs e q u r e i g n e dl o n gu i a c k n o ； n u m b e ro f a k n o w l e d g n 1 i i i s l g n e dc h a r d a t a o f f s e t ； p o i n t e rt od a t a u m i g n e dc h a r f l a g s ； f l a g s u n s n g n e ds h o i r 【 w i n d o w s ； s i z eo f w i n d o w u n s l g n e ds h o r tc h e c k s u m ； t o mc h e c k s u m u n s l g n e ds h o r tu r g e n t p o i n t e r ；u r g e n tp o i n t e r t c p h e a d ，p t 印h e a d ； 2 6 4 u d p 报头结构 与t c p 一样，同处于传输层，所不同t c p 的是，u d p 是不可靠的连接，其 结构简单，u d p 头部只有8 个字节。见下图： 1 4 第2 章网络数据流分共概述 f i g u r e5 ：t h ef o r mo f u d pp a c k e ts t r u c t u r e 仉忙“僻嘶叮幛l o1 1n ”l 1 6 ”伸锄2 1 芷“笛笛2 7 蕾嚣 潭增口目的墙口 长度 检验和 u d p 包头结构的定义： t y p e d e fs t m c t - u d p h e a d u n s i g n e ds h o r ts o u r c e p o r t ； s o u r c ep o r t u n s i g n e ds h o r td e s t n a f i o n p o r t ；d e s t i n a t i o np o r t u n s i g n e ds h o r tl e n g t h ； t o t a ll e n g t h u n s i g n e ds h o r t c h e c k s u m ；t o t a lc h e c k s u m u d p h e a d ，p u d p h e a d ； 2 6 5 网际消息控制协议i c m p 包头结构 i c m i 消息是口所用的控制及错误消息协议。它用于主机与路由器之间交换 不可达目的地址、网络拥塞、重定向到更好的路径，报文生命期超时等信息。i c m p 是一个独立的消息，封装在口报文内传输。i c m p 消息格式只有三个固定的域： 类型、代码及校验和。剩余的内容依赖于消息类型。如下图： 帆“* 们 1 ，1 2 1 u 1 7 坤1 9 丑丑墨私墨蕾打蕊霉鄞瓠 f i g u r e6 ：t h ef o r mo fu d pp a c k e ts l l u c t u r e t y p e d e fs l a u c t _ _ i c m p h d r f l 定义i c m p 首都 u n s i g n e dc h a r i _ t y p e ；8 位类型 u n s i g n e dc h a ri _ c o d e ；8 位代码 u n s i g n e ds h o r ti _ c k s u m ； 1 6 位校验和 u n s i g n e ds h o r ti _ i d ；脓别号( 一般用进程号作为识别号) u n s i g n e ds h o r ti _ s e q ；于证文序列号 u n s i g n e dl o n gt i m e s t a m p ；，肘间戳 ) i c m p 肛a d e 心 贵州大学硕士学位论文 2 7 本章小结 本章对常见的网络数据包及帧格式进行了研究分析，并定义了其组成结构， 在此基础上进一步分析了目前国内外对网络数据流的研究现状，针对网络数据流 的分类算法、网络数据流的研究应用背景进行深入研究并得出结论：网络数据流 分类算法有待改进，i p v 6 和加密网络数据流的分类问题有待解决，w i n d o w s 操 作系统下的网络数据流分类应用问题不完全同于以往的骨干路由器网络数据流 分类问题。本章为下面的研究问题改进流分类算法、w i n d o w s 操作系统网络 数据流拦截技术研究、基于m u l t i a g c n tw i n d o w s 网络数据流分类器设计等研究 问题做好准备。 第3 章a g e n t 与m u l t i a g e n ts y s t e m 的基本理论 第3 章a g e n t 与m u l t i a g e n ts y s t e m 的基本理论 本章从计算机系统( c s ) 的角度来研究w i n d o w s 网络数据流的分类处理， 我们把具有一个独立功能或能完成特定任务的一个程序模块、一个函数 ( f u n c t i o n ) 、或者一个子函数定义为一个a g e n t ，这样，w i n d o w s 网络数据流分类 器就可以分解为多个能完成特定任务或实现特定功能的a g e n t ( 源程序) 。本文的 网络数据流分类器的设计分解为m u l t i - a g e n t 的协作处理问题，涉及到 m u l t i a g e n t 的通信、协作处理问题以及网络数据流分类问题的m u l t i ? a g e n l 模型 化。 3 1w i n d o w s 操作系统下的m u l t i - a g e n t 系统 3 1 1 a g e n t 的概念和特征 随着人类社会进入信息化社会，各种新的信息资源以极高的速度大量涌现， 其中多数为不同形式的异质信息，这些信息采用不同的标准，提供不同的信息服 务。人们开发出了大量的软件产品，服务于各个不同领域。但要使多种孤立的软 件协作完成一项复杂任务，却常常需要花费大量的人力和物力。 随着人工智能技术和分布式系统的发展，从7 0 年代开始，分布式人工智能 ( 】m j ) 的研究受到人们的广泛关注，大量的理论和系统层出不穷。分布式人工智 能涉及协调的智能行为，该行为使智能实体能协