基于流量分析的网络监控系统开题报告.doc

厦门大学软件学院《毕业设计（论文）》开题报告 学生姓名 班级学号 指导教师姓 名 职称 所在单位 毕业设计题目 毕业设计Winpcap是一个免费公开的软件系统。它用于windows系统下的直接的网络编程。大多数网络应用程序访问网络是通过广泛使用的套接字这种方法很容易实现网络数据传输，因为操作系统负责底层的细节（比如协议栈，数据流组装等）以及提供了类似于文件读写的函数接口。但是有时，简单的方法是不够的因为一些应用程序需要一个底层环境去直接操纵网络通信因此需要一个不需要协议栈支持的原始的访问网络的方法。winpcap适用于下面的开发者：捕获原始数据包 不管这个包是发往本地机，还是其他机器之间的交换包。在数据包被发送到应用程序之前，通过用户定义的规则过滤。向网络发送原始数据包。对网络通信量做出统计。这些功能依赖于Win32系统内核中的设备驱动以及一些动态链接库。Winpcap提供了一个强大的编程接口，它很容易地在各个操作系统之间进行移植，也很方便程序员进行开发 什么样的程序需要使用Winpcap很多不同的工具软件使用Winpcap于网络分析，故障排除，网络安全监控等方面。Winpcap特别适用于下面这几个经典领域：1.网络及协议分析2.网络监控3.通信日志记录4.traffic generators 5.用户级别的桥路和路由6.网络入侵检测系统（NIDS）7.网络扫描8.安全工具WinPcap?包括三个部分：第一个模块NPF(Netgroup?Packet?Filter)，是一个虚拟设备驱动程序文件。它的功能是过滤数据包，并把这些数据包原封不动地传给用户态模块，这个过程中包括了一些操作系统特有的代码。第二个模块packet.dll为win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的Windows平台上，而无需重新编译。?第三个模块?Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数。 图1 winpcap的内部结构 捕获系统要让用户程序使用内核提供的功能必须要有一个编程接口inpcap提供了两个不同的库：packet.dll 和wpcap.dll。packet.dll提供一个底层的API，通过这个API可直接访问网络设备驱动，而独立于Microsoft OS. wpcap.dll是一个高层的强大捕获程序库，与Unix下的libpcap兼容它独立于下层的网络硬件和操作系统。WinPcap的优势提供了一套标准的抓包接口，与libpcap兼容，可使得原来许多UNIX平台下的网络分析工具快速移植过来便于开发各种网络分析工具，充分考虑了各种性能和效率的优化，包括对于NPF内核层次上的过滤器支持，支持内核态的统计模式，提供了发送数据包的能力。网络数据包捕获的原理　　以太网（Ethernet）具有共享介质的特征，信息是以明文的形式在网络上传输，当网络适配器设置为监听模式（混杂模式，Promiscuous）时，由于采用以太网广播信道争用的方式，使得监听系统与正常通信的网络能够并联连接，并可以捕获任何一个在同一冲突域上传输的数据包。IEEE802.3 标准的以太网采用的是持续 CSMA 的方式，正是由于以太网采用这种广播信道争用的方式，使得各个站点可以获得其他站点发送的数据。运用这一原理使信息捕获系统能够拦截的我们所要的信息，这是捕获数据包的物理基础。以太网是一种总线型的网络，从逻辑上来看是由一条总线和多个连接在总线上的站点所组成各个站点采用上面提到的 CSMA/CD 协议进行信道的争用和共享。每个站点（这里特指计算机通过的接口卡）网卡来实现这种功能。网卡主要的工作是完成对于总线当前状态的探测，确定是否进行数据的传送，判断每个物理数据帧目的地是否为本站地址，如果不匹配，则说明不是发送到本站的而将它丢弃。如果是的话，接收该数据帧，进行物理数据帧的 CRC 校验，然后将数据帧提交给LLC 子层。 图2捕获数据包的结构图 其中NDIS 是Network Driver Interface Specification的简称Microsoft Windows 和MS-DOS的系统中，网卡通信时的性能指标。由3Com最先提案并且标准化。在网络通信中，像网卡之类的物理媒体不同，各自的标准也不同。NDIS是将这些机能模拟，并与上层网络协议统一，可以将所有的网络设备制作出一个统一的规格，便于使用。根据用 Windows 分组捕获库 WinPcap 提供功能首先要初始化两个结构体，一个是适配器的结构体 LpAdapter， 一个是存放接收到的数据包的结构体 RecvPacke