胡先智 梁艷

摘 要：為了實時監(jiān)測網(wǎng)絡(luò)流量，本文實現(xiàn)了一個網(wǎng)絡(luò)數(shù)據(jù)流量圖形化分析系統(tǒng)。該系統(tǒng)采用數(shù)據(jù)庫存儲流量數(shù)據(jù)，用Visual C++.NET設(shè)計實現(xiàn)界面，利用winpcap軟件對網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行分析，能較好地滿足網(wǎng)絡(luò)數(shù)據(jù)流量實時監(jiān)測的需求。

關(guān)鍵詞：流量監(jiān)測；winpcap；網(wǎng)絡(luò)數(shù)據(jù)流量分析

1 引言

隨著互聯(lián)網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)流量特征的研究近年來引起了人們廣泛關(guān)注。網(wǎng)絡(luò)數(shù)據(jù)流量分析系統(tǒng)的定位重點(diǎn)在對網(wǎng)絡(luò)流量的流量、流向、協(xié)議的細(xì)節(jié)監(jiān)視和分析，網(wǎng)絡(luò)安全監(jiān)視。在容量規(guī)劃、入侵檢測和路由優(yōu)化時，網(wǎng)絡(luò)管理員需要知道網(wǎng)絡(luò)的數(shù)據(jù)流量情況和盡量多的測量信息。

2 關(guān)鍵技術(shù)

⑴數(shù)據(jù)流。數(shù)據(jù)流是指輸入數(shù)據(jù)a1，a2，..按順序到達(dá)。這些數(shù)據(jù)描述了一個信號A。A是一個一維函數(shù)A：[1...N]→R2。模型取決于ai如何描述A。本文把數(shù)據(jù)流技術(shù)和傳統(tǒng)的網(wǎng)絡(luò)管理技術(shù)相結(jié)合， 取得了較好的應(yīng)用效果。

⑵流量監(jiān)測原理。網(wǎng)絡(luò)流量監(jiān)測有主動監(jiān)測和被動監(jiān)測兩種不同的實現(xiàn)方法。主動測量方法是向被測網(wǎng)絡(luò)中注入附加的“探測流量”并進(jìn)行返回數(shù)據(jù)的采集來實現(xiàn)監(jiān)測的方法，該如果處理不當(dāng)，也會給網(wǎng)絡(luò)增加額外的負(fù)荷，影響測量結(jié)果的客觀性，甚至使測量結(jié)果不準(zhǔn)確，產(chǎn)生Heisenburg效應(yīng)。而被動測量方法是在網(wǎng)絡(luò)的某點(diǎn)采集、記錄并且分析網(wǎng)絡(luò)的流量信息來實現(xiàn)測量的方法。被動測量可以完全消除附加的“探測流量”和Heisenbutg 效應(yīng)，這是被動測量的優(yōu)點(diǎn)，但存在可能會涉及隱私和安全問題的不足。由于Internet上大多數(shù)數(shù)據(jù)傳輸是不加密的，鑒于被動監(jiān)測的優(yōu)點(diǎn)，本系統(tǒng)采用基于數(shù)據(jù)包捕獲的被動監(jiān)測技術(shù)。

⑶winpcap。在網(wǎng)絡(luò)管理與安全防護(hù)中，對網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行分析，是非常重要的一個任務(wù)，從防火墻到攻擊檢測系統(tǒng)，都會用到類似功能。開發(fā)此類軟件過程相當(dāng)復(fù)雜。而winpcap （indows packet capture）是windows平臺下一個免費(fèi)公共的網(wǎng)絡(luò)訪問系統(tǒng)。它提供了以下的各項功能：

1>捕獲原始數(shù)據(jù)報；2>按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉；3>在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報；4>收集網(wǎng)絡(luò)通信過程中的統(tǒng)計信息。

3 系統(tǒng)架構(gòu)

無論是基于網(wǎng)絡(luò)安全，還是基于網(wǎng)絡(luò)計費(fèi)系統(tǒng)的改進(jìn)，網(wǎng)絡(luò)數(shù)據(jù)流量分析無疑是必要的，人們對網(wǎng)絡(luò)依賴很強(qiáng)。網(wǎng)絡(luò)數(shù)據(jù)流量系統(tǒng)的架構(gòu)包括三層：數(shù)據(jù)層（瀏覽統(tǒng)計、數(shù)據(jù)庫管理）、訪問應(yīng)用層、展現(xiàn)層（在線統(tǒng)計器、流量統(tǒng)計器、網(wǎng)絡(luò)速度監(jiān)視器）。

4 系統(tǒng)設(shè)計

⑴網(wǎng)絡(luò)監(jiān)視器。網(wǎng)絡(luò)監(jiān)視器是監(jiān)視網(wǎng)絡(luò)通信的，其主要工作有三項：winpcap捕捉包、包分析、記錄。

1）winpcap捕捉包。在網(wǎng)絡(luò)包捕獲系統(tǒng)的實現(xiàn)中，采用的是WINPCAP包捕獲應(yīng)用系統(tǒng)框架。網(wǎng)絡(luò)監(jiān)聽模塊將網(wǎng)絡(luò)接口設(shè)置為混亂模式，將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包截取下來，供協(xié)議分析模塊使用。由于效率的需要，有時要根據(jù)設(shè)置過濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，如特定IP，特定MAC地址、特定協(xié)議的數(shù)據(jù)包等。網(wǎng)絡(luò)監(jiān)聽模塊的過濾功能的效率是該網(wǎng)絡(luò)監(jiān)聽的關(guān)鍵，因為對于網(wǎng)絡(luò)上的每一數(shù)據(jù)包都會使用該模塊過濾，判斷是否符合過濾條件。

為提高效率，數(shù)據(jù)包過濾應(yīng)該在系統(tǒng)內(nèi)核里來實現(xiàn)。獲得數(shù)據(jù)包之后，如果在捕獲過程結(jié)束后創(chuàng)建了兩個線程實現(xiàn)對捕獲數(shù)據(jù)的實時性處理。

2）包分析。包分析指將捕捉來的數(shù)據(jù)報進(jìn)行分析。由于要進(jìn)行流量統(tǒng)計需要很多必要的信息，作為統(tǒng)計依據(jù)，如IP地址、協(xié)議類型等。其中，數(shù)據(jù)長度可由函數(shù)調(diào)用返回的內(nèi)容得到而且此時得到的是實際在網(wǎng)上的包長度。

3）記錄。通過包的分析后，將有用的信息記錄到文件中去。其中包括目的IP、源IP，數(shù)據(jù)長度、協(xié)議類型、以及為了統(tǒng)計方便需要的時間信息。

⑵流量統(tǒng)計器。流量統(tǒng)計器，是對流量監(jiān)視器的記錄結(jié)果進(jìn)行統(tǒng)計，將網(wǎng)絡(luò)監(jiān)視器的記錄文件內(nèi)容讀出，并根據(jù)網(wǎng)址分割標(biāo)準(zhǔn)及源和目的地分別統(tǒng)計出流向網(wǎng)外的國內(nèi)和國外流量，并將結(jié)果按照日期分別存儲在數(shù)據(jù)中。

5 系統(tǒng)實現(xiàn)

⑴捕捉包的實現(xiàn)。包捕捉作為一個獨(dú)立的應(yīng)用程序運(yùn)行，它從網(wǎng)上截獲包，并以文件形式將有用信息記錄下來，為流量統(tǒng)計準(zhǔn)備統(tǒng)計的原始依據(jù)。

⑵在線統(tǒng)計的實現(xiàn)。ping利用了原始套接口技術(shù)發(fā)送ICMP回射請求，并接收工CMP回射應(yīng)答。Socket是CP/IP編程的底層API（網(wǎng)絡(luò)編程接口）。在實現(xiàn)ping后可以將其作為一個函數(shù)調(diào)用，就很容易實現(xiàn)在線統(tǒng)計。

⑶圖形界面的實現(xiàn)。采用Visual C++.NET實現(xiàn)流量圖形化界面，主要是使用GDI函數(shù)畫圖，首先要得到一個設(shè)備描述句柄或一個可用的CDC設(shè)備描述表對象，WIN32API提供了BeginPaint（）和GetDC兩個函數(shù)，用于獲得指定窗口的設(shè)備描述句柄。MFC的窗口類CWnd類也提供了兩個當(dāng)前窗口的CDC對象的函數(shù)BeginPin（）和GETDC（）；也可以在窗口處理函數(shù)中直接用CDC的派生類，最終實現(xiàn)流量圖形化。

6 總結(jié)

為了能夠滿足網(wǎng)絡(luò)管理員對于網(wǎng)絡(luò)實時監(jiān)控的需求，本文建立一個實時的網(wǎng)絡(luò)流量分析工具，并且給出了一種基于數(shù)據(jù)包捕獲的被動監(jiān)測技術(shù)，為實時監(jiān)控網(wǎng)絡(luò)流量提供了一條新的思路。