孟庆娟，曹青媚，马占飞

（1.包头轻工职业技术学院 电子商务学院，内蒙古 包头　014035；2.内蒙古农业大学职业技术学院 计算机技术与信息管理系，内蒙古 包头　014100；3.内蒙古科技大学包头师范学院 信息科学与技术学院，内蒙古 包头　014030）

海量冗余数据干扰下的网络数据捕获和分析系统研究

孟庆娟1，曹青媚2，马占飞3

（1.包头轻工职业技术学院 电子商务学院，内蒙古 包头014035；2.内蒙古农业大学职业技术学院 计算机技术与信息管理系，内蒙古 包头014100；3.内蒙古科技大学包头师范学院 信息科学与技术学院，内蒙古 包头014030）

摘要：传统的网络信号捕获方法通过滑动相关法分析本地样本信号与接收网络信号的关联性，实现信号捕获，但当网络中存在海量冗余数据干扰时，占空较小，容易在无信号时间区间形成大量的噪声，导致网络信号误捕获的问题。因此，提出基于Winpcap网络和kd⁃treed模型的数据捕获方法，设计网络数据捕获和分析系统，捕获系统包括用于捕获和过滤数据的内核模块、用于数据变换和协议分析的用户分析模块并分析系统实现数据捕获的功能模块。通过Winpcap底层网络分析体系结构，实现网络数据包的捕获，采用kd⁃treed模型过滤海量数据干扰，提高数据捕获的精度。实验结果表明，所设计系统稳定性高，数据捕获精度高。

关键词：冗余数据干扰；网络数据捕获；数据捕获系统；数据分析系统

0　引　言

随着网络技术的快速发展，网络逐渐成为人们生产和生活中的重要工具。网络安全性受到人们的普遍关注［1⁃2］。安全性是指网络信息不被泄露和破坏。网络数据包捕获和分析技术是一种基本的网络安全维护手段。建立有关网络数据捕获和分析方法对网络安全具有重要作用［3⁃5］。目前，有关网络数据捕获和分析方法取得了如下进展：李小华将TDT同步算法与滑动相关法融合完成网络数据捕获，但存在效率低、一级数据损失高的缺陷［6］；崔文明对参考信号和接收信号进行卷积，并通过关联峰值捕获方法获取网络信号，此方法为串行检索，效率较低［7］；翁佳雷通过训练序列完成信号的捕获，但此方法受到关联峰的影响，信号捕获误差较高［8］；孙大为通过滑动相关法捕获网络数据，接收机运算本地样本同接收信号的关联度完成网络信号的捕获，但该方法抗噪性能较低［9］。针对上述方法的缺陷，提出一种基于Winpcap网络和kd⁃treed模型的数据捕获方法，设计网络数据捕获和分析系统。

1　基于Winpcap网络数据捕获和分析系统

1.1网络数据捕获和分析系统

Winpcap由核心包过滤驱动程序（Netgroup Paeket Filter，NPF）、高层动态链接库Wpcap.dll以及基础动态链接库 Packet.dll构成。Winpcap的 NPF模块的功能是过滤和捕获数据包、存储和发送数据包以及对网络参数进行统计分析。Wpcap.dll动态链接库模块的功能是利用其缓冲区、过滤器产生部件以及数据汇总和塑造数据等高层功能的函数；动态链接库Packet.dll模块的功能是提供较低层的编程接口，能够直接调用 Winpcap库函数。基于 Winpcap的网络数据包捕获与分析系统包括用于捕获和过滤数据的内核模块及用于数据变换和协议分析的用户分析模块。基于 Winpcap的网络数据包捕获与分析系统与 Winpcap之间的结构关系如图1所示。

图1　基于Winpcap的网络数据包捕获与分析系统

1.2系统功能结构

设计的网络数据包捕获与分析系统运行过程中，主要的功能模块和软件结构如图2所示。

网络数据捕获分析各功能模块的具体描述如下：

（1）网卡搜索可进行全部本机的网络端口的搜索，同时锁定可完成数据包捕获的网络端口。当进行网卡搜索时，能够通过字符串char*捕获数据端口装置。

（2）绑定网卡为捕获程序的初始化和获取数据包提供了有利条件，实现网卡绑定首先要在众多网络装置的数据中，确立需要捕获的网络数据。当许多装置一并被捕获时，将文件句柄 handle充当辨别装置，将不同的用户数据捕获的装置进行逐一划分。其次必须建立所使用的、捕获数据的网卡，同时根据命令的参数方法，利用变量载入被捕获的数据包长度和等待时间等。

（3）建立过滤器是完成过滤条例创建和转换的过程。可将创设的过滤条例集进行转换后呈递给Win⁃pcap引擎，就能对特殊的反馈数据包进行捕获。在这一系列的处理过程中，应先确立一个字符串，对过滤条例集合进行存储，然后把这些字符串改变为其他格式，前提是这种格式必须被Winpcap引擎辨认，最后能够实现转换。转换完成后，为了能够把转换和创建的过程看成该程序内捕获和筛选数据包的条例，就需要把所有转换的条例反馈到Winpcap引擎。

图2　网络数据捕获与分析功能模块和软件结构

（4）数据包捕获是在建立的捕获单个数据包的作用模块的基础上，重新建立循环捕获数据包的主体循环。它主要通过以下两种方法实现：每当有一个符合标准的数据包出现时，立刻对其进行捕获，并且把所捕获的数据包全部反馈到数据包分析模块上，实行相应的操作和分析；建立一套完整且不断运行的步骤，与此同时，在这个步骤中，结束对数据包的捕获和分析。

（5）数据包分析是根据以上步骤，对捕获到的数据包顶端存有相关的协议信息和地址信息进行分析。在该模块运行过程中，依据已捕获到的协议和地址资料，系统分析捕获数据包中的协议成分。按照用户的要求，分析和整理数据包中的剩余资料，并保留分析成果。

1.3CAN控制器硬件设计

CAN控制器对网络数据捕获与分析系统中的数据链路层以及物理层进行调控，增强网络数据捕获的质量。CAN总线驱动模块功能控制器采用驱动芯片与其他控制器相结合完成通信，详细的电路模块如图3所示。CAN总线收发器选用PCA82C250作为总线收发器，PCA82C250是协议控制器和物理总线之间的接口，能够提高对总线的差动发送能力和对CAN控制器的差动采集性能。

PCA82C250可处理海量冗余数据环境下的瞬间干扰。在缓冲器驱动时，设置高速光隔，提高网络数据通信的抗干扰性能和稳定性。

图3　CAN驱动模块

2　网络数据包捕获

2.1基于kd⁃treed模型的海量数据干扰去除

为了提高网络数据捕获的精度，应清除网络中的海量冗余数据干扰，通过构建kd⁃tree数据模型，可将海量数据划分成不同的层次，获取一个树状结构，针对该结构塑造干扰辨识模块，按照相关的方案分析并过滤干扰数据。若树状结构中的节点n中覆盖某范围的所有数据，需要将节点当成单元集n.cell。海量数据中的点数量不确定，仅可明确一个数据点，其在树状结构中用叶子描述。kd⁃tree的根节点同所有数据节点相关，通过kd⁃tree中的某节点n，求出包含的数据有效数量n.count以及存在关联性的数据n.total。节点n单元的中心为n.center=n.tota/n.count 。

2.2基于Winpcap的网络数据包的捕获过程

完成网络中干扰数据的过滤后，可为网络数据的捕获创造良好环境，采用基于Winpcap的网络数据包捕获方法，实现数据的高精度捕获。Winpcap为Win32环境中的高质量底层网络分析体系结构，基于Winpcap的网络数据包捕获和分析程序，由程序捕获模块以及用户分析模块构成。程序捕获模块可从网络中捕获数据，过滤数据包；用户分析模块可对数据进行格式化操作，并完成协议分析等工作。基于Winpcap的网络数据包的捕获过程如下：选择一个端口进行捕获；初始化捕获程序；设置过滤器；捕获数据；解析数据包；完成数据捕获后，终止进程。

Winpcap实现数据捕获的工作原理如图4所示。

图4　Winpcap工作原理示意图

2.3网络数据捕获过程的代码设计

网络数据捕获过程的代码源于开放源代码形式颁布的PGrab程序，代码依照GNU/GPL协议运行。在此将以太网（Ethernet）环境作为网络数据捕获环境。

3　实验分析

检测本文设计的网络数据捕获系统的性能时，使用了标准的 C/S结构，通过Load Runner 8.1检测本文设计的数据捕获系统的性能。

3.1三种检测实例下系统稳定性比对

实验采用表1描述的三种检测实例测试本文系统的性能，并进行比对，结果如表2所示。

表1　测试用例

表2　系统稳定性测试结果

由表2可知，采用本文系统对3种用例进行检测，吞吐量分别为97%，93%，95%，表明系统具有较高的稳定性。

3.2系统数据捕获结果的分析

实验测试本文系统的捕获性能，结果如表3、图5所示。

表3　系统数据捕获测试结果统计表

图5　捕获数据包时间图

由表3可知，本文系统的数据捕获精度均高于96%，证明了本文方法的准确性。

将本文系统与滑动相关法在捕获数据包的时间进行比对，由图5可知，本文系统平均每个数据包的捕获时间为6.25 s，远低于滑动相关法的平均捕获时间11.34 s，说明本文系统具有较高的捕获效率。

4　结　论

本文提出基于Winpcap网络和kd⁃treed模型的数据捕获方法，设计网络数据捕获和分析系统，实现了网络数据包的捕获。实验结果表明，所设计系统稳定性高，具备较高的数据捕获精度。

参考文献

［1］许应康，张阿莉.基于PCAP格式网络数据包分析软件设计［J］.现代电子技术，2013，36（10）：49⁃51.

［2］邱志宏，潘大庆，黄力.可扩展网络协议分析平台设计与实现［J］.煤炭技术，2013，32（7）：177⁃179.

［3］吴欢欢，周建平，许燕，等.RFID发展及其应用综述［J］.计算机应用与软件，2013，30（12）：203⁃206.

［4］高旭东.物联网（智能家居）中无线异构网络融合网关的设计与应用［D］.南京：南京邮电大学，2013.

［5］付印金.面向云环境的重复数据删除关键技术研究［D］.长沙：国防科学技术大学，2013.

［6］周亚峰.我国计算机应用的发展现状与趋势预测［J］.电脑知识与技术，2013（5）：1228⁃1229.

［7］崔文明，余正州，任伟.Android平台下应用程序流量控制技术及其系统实现［J］.信息网络安全，2013（8）：33⁃37.

［8］翁佳雷.网络实时分析系统的分析平台设计与实现［D］.北京：北京邮电大学，2014.

［9］孙大为，张广艳，郑纬民.大数据流式计算：关键技术及系统实例［J］.软件学报，2014，25（4）：839⁃862.

中图分类号：TN926⁃34；TP311

文献标识码：A

文章编号：1004⁃373X（2016）16⁃0027⁃04

doi：10.16652/j.issn.1004⁃373x.2016.16.007

作者简介：孟庆娟（1979—），女，蒙古族，内蒙古赤峰人，讲师，硕士。主要研究领域为电子商务、大数据以及激光、自动化等科技发展策略研究及计算机应用。曹青媚（1978—），女，满族，内蒙古乌海人，讲师，硕士。主要研究领域为图形图像。马占飞（1973—），男，内蒙古包头人，研究生导师，教授，博士。主要研究领域为计算机网络与信息安全、人工智能、物联网安全与应用。

收稿日期：2015⁃12⁃28

基金项目：国家自然科学基金项目：面向物联网安全的Multi⁃ISM协同建模及关键技术研究（61163025）

Research on network data capture system and analysis system under interference of massive redundant data

MENG Qingjuan1，CAO Qingmei2，MA Zhanfei3
（1.Electronic Commerce Institute，Baotou Light Industry Vocational Technical College，Baotou 014035，China；2.Department of Computer Technology and Information Management，Vocational and Technical College OF IMAU，Baotou 014100，China；3.School of Information Science and Technology，Normal College of Inner Mongolia University of Science and Technology，Baotou 014030，China）

Abstract：Since the traditional method of network signal capture may form a lot of noise in the time interval without signal and cause false capture of network signal when the massive redundant data interference exists in the network，a data capture method based on Winpcap network and kd⁃treed model is proposed to design the network data capture system and analysis sys⁃tem.The capture system includes the kernel module for data capture and filtering，and user analysis model for data transforma⁃tion and protocol analysis.The kd⁃treed model is used to filter the interference of massive data，improve the accuracy of data capture，and realize the network packet capture through Winpcap underlying network analysis system structure.The experimen⁃tal results indicate that the designed system has high stability，and can realize high⁃precision data capture.

Keywords：redundant data interference；network data capture；data capture system；data analysis system