網絡智能數據采集分析器

張恩萌　代紅

摘要：網絡環境下發送的數據在到達指定目標之前，通常會經過不同的網絡設備。網絡數據采集分析器可以達到防止數據被竊取的目的。采集分析器是利用網絡上傳輸數據的捕獲、數據包的過濾來實現后續入侵檢測的分析和預警。這有助于系統處理網絡攻擊，擴展系統管理員的安全管理能力。

關鍵詞：數據采集 局域網 數據交換 協議分析

1引言

數據采集在網絡安全上一直是一個比較熱點的話題，信息來源有基于網絡和基于日志兩種?；谥鳈C的信息源一般是通過主機系統曰志、應用程序和監控系統調用的信息收集途徑，對收集到的數據進行檢測和分析?；诰W絡的信息來源，即網絡通信過程中產生的數據包信息更加豐富，信息量更大。收集信息時一般將網卡設置為混合模式，這樣收集的信息更加全面，通過監聽網絡段中所有的數據包進行判斷。為此研究一種能夠服務于人類的數據采集分析器具有一定的理論和實用價值。

2系統需求分析

監聽技術是網絡管理和應用的基礎，隨此系統設計就是實時觀測數據流動情況，并智能的統計數據、分析數據、采集數據，以獲得有用的信息，用于后期的網絡監測，時刻監視網絡的狀態。系統需要實現的功能結構圖如圖1所示。

3網絡數據采集分析器的設計與實現

3.1系統類的設計

系統使用套接字進行編程，為了實現系統功能，設計了協議分析類、數據包統計類、程序界面類和繪制圖形類。程序開始需要使用JDCaptor類開啟線程，用來截獲數據包處理。具體利用Jpcap.processPacket（）函數截獲數據包。再使用Jpcap類的包處理接口，每截獲一個數據包都放人數據包向量中。為了保證數據的實時性，使用Timer.start（）和Timer.setRepeats（）來進行動態綁定更新。使用向量來存儲協議所有的數據包，協議向量在每分析完一個數據包后加一。

協議分析類是根據不同協議層的數據包結構格式而設計的相應數據包解析類，具體包括IPV4協議分析類、ICMP協議分析類、TCP協議分析類和UDP協議分析類等各個協議分析類的編寫。數據包統計類是對所截獲的數據包按照所屬協議所在的不同層次分別進行統計，并動態更新統計數據。設計的類包含NetworkStat、TransportStat和ApplicationStat統計類。

3.2采集分析器的流程設計

首先主線程開始時先將網卡設置成混雜模式。為了提供更好的人機界面，調用JDFrame類顯示分析器的主界面，同時對不同組件的不同狀態進行設置，使其進行動態更新操作。同時利用JD CaptureDialog .getDeviceList（）和JDCaptureDialog.getDeviceDescription（）獲取局域網上所有的監聽設備，即可以監聽本局域網上所有設備的數據包。如果需要對指定的IP地址進行監聽，可以利用JSourceDialog類的功能。利用上文介紹的Jpcap.processPacket（）函數可以循環截獲數據包。然后再對各層上捕獲到的數據包進行協議首部分析。采集分析器的具體流程如圖2所示。

3.3捕獲數據包分析

在數據包捕獲后使用數據包分析裝載類將各個層上的協議分析類存儲到向量中，再利用此向量對數據包進行解析。TCP/IP每一層上都有其重要協議，通過數據包采集和分析，可以獲取數據鏈路層以太網的源MAC地址、目的MAC地址;網絡層上的ARP數據報首部、IP數據報首部，從而得出IP首部的重要信息字段，如源IP地址、目的IP地址;傳輸層上的TCP協議首部和UDP協議首部等相關重要信息，包括源端口號和目的端口號等。這些信息為網絡入侵檢測系統判斷攻擊類型提供依據。例如滿足“（same_srv_rate<=0.22）and（diffsrv_rate<=0.09）”條件的為Neptune攻擊，即滿足連接到相同主機的相同servlce端口上的連接記錄百分比小于等于0.22，并且連接到相同主機的不同servlce端口上的連接記錄百分比小于等于0.09，則為Neptune攻擊。再如滿足“（samesrv_rate>0.22） and （wrong_fragment>O）and（protocol_type=icmp）”條件的，為pod攻擊。其含義為滿足連接到相同主機的相同servlce端口上的連接記錄百分比大于0.22，錯誤分片數目大于O，并且協議類型為icmp，則為pod攻擊。

3.4數據采集分析器的實現

網絡數據采集分析器可以運行在Windows XP操作系統，在Eclipse平臺下采用Java語言進行編程開發。在系統環境配置上需要安裝Java虛擬機，安裝配置Jpcap包和WinPcap包。完成了JDCaptor、JDPacketAnalvzerLoader、JDStatisticsTakerLoader、JSniffer及各個層協議分析類的編寫。

分析器編程實現后，對其按照軟件工程開發思想進行了單元測試集成測試確認測試和系統測試以確保系統可以實現其預定功能，達到為網絡管理人員和網絡分析師的工作提供幫助的作用。

4結束語

數據采集分析器可以實現同一個局域網上數據的捕獲、各層協議首部的分析、局域網數據包的統計分析，并能將結果可視化進行顯示，通過餅狀圖等方式查看每個協議的數據量，也可以通過輸入指定的IP地址進行指定對象監聽等操作。

參考文獻

[1]李世忠，一種智能網頁數據采集系統設計[J].電子技術與軟件工程，2018.（6）：169.

[2]牛祥.淺析網絡數據采集的常規方法[J].信息系統工程，2018，（1）：20-24.

[3]陳錦平，通信層數據交換中間件設計實現[J].2013，（3）： 955-959.

[4]喬加強.計算機網絡的安全威脅及防御技術[J].電子技術與軟件工程，2018，12：203.

[5]劉海燕，張鈺，畢建權等，基于分布式及協同式網絡入侵檢測技術綜述[J].計算機工程與應用，2018，54（8）：1-7.