数据包分析检测系统的设计与实现答辩稿

题目：数据包分析检测系统的

设计与实现答辩人：校内导师：基地导师实习基地：同信科技本科毕业论文答辩提纲：本系统与整个项目工程的关系系统模块划分系统模块的设计与实现完成本系统的关键技术测试程序程序安装部署结论提纲：本系统与整个项目工程的关系系统模块划分系统模块的设计与实现完成本系统的关键技术测试程序程序安装部署结论本系统与整个项目工程的关系INTERNET项目工程部署INTRANET本系统与整个项目工程的关系INTERNET项目工程部署INTRANET本系统与整个项目工程的关系INTERNET项目工程部署INTRANET项目工程处理本系统与整个项目工程的关系INTERNET项目工程部署INTRANET本系统与整个项目工程的关系INTERNET项目工程部署INTRANET本系统与整个项目工程的关系INTERNET项目工程部署INTRANET本系统与整个项目工程的关系数据包分析检测系统过滤数据包系统INTERNET存储转发过程（Store-and-Forward）提纲：本系统与整个项目工程的关系系统模块划分系统模块的设计与实现完成本系统的关键技术测试程序程序安装部署结论系统模块划分系统模块划分系统流程图提纲：本系统与整个项目工程的关系系统模块划分系统模块设计与实现完成本系统的关键技术主要模块的关键技术测试程序程序安装部署结论系统模块设计与实现数据包捕捉模块协议族模块数据包匹配模块协议分类模块用户模块系统模块设计与实现数据包捕捉模块

协议族模块数据包匹配模块协议分类模块用户模块数据包捕捉模块流程图数据包捕捉模块在将网卡改为混杂模式的基础上进行网络的数据包捕获，将数据包传递给程序的上层。将网卡设为混杂模式；混杂模式设置完成；实现混杂模式并进行捕包的方法；系统模块设计与实现数据包捕捉模块协议族模块数据包匹配模块协议分类模块用户模块协议族模块本模块要将网络中各种层次中的协议进行对比分析，对已知数据字段进行分析（这个字段就是协议的标志字段），这种分析是逐层进行的，也就是它镶嵌在每一个协议类型固定的字段中。协议族模块在本项目中，采用的是对网络中的OSI标准，即网络的七层结构协议族模块协议族模块工作过程：Step1得到捕捉的数据包;Step2分析数据包个字段的类型提供给协议分析模块；协议族模块这是重点模块，这个程序的核心在同一命名空间（namespace）下MyClasses,生成MyClasses.dll其中有43个类（Class）分二大类：1、DeviceIOCtl.cs与WinService.cs；2、PacketDNS.cs

PacketHTTP.cs

PacketICMP.cs

PacketIP.cs

PacketIPX.cs

PacketTCP.cs

PacketUDP.cs

等各种数据包协议类。协议族模块1、DeviceIOCtl.cs与WinService.cs：DeviceIOCtl.cs:设备输入输出控制，主要是在进行捕包的时候首先将操作系统中的设备（文件）进行初始化，主要是对网卡的初始化（函数控制编码）;

注：这些函数控制编码的标号是固定的（MicrosoftCorporation）协议族模块WinService.cs：系统服务初始化；主要是对操作系统中各种服务进行初始化，这里的作用是在出现系统错误时，程序对系统错误所做的反应，在WinService类里面包含了各种服务的错误返回编码等一些其他的服务编码；协议族模块2、PacketDNS.cs

PacketHTTP.cs

PacketICMP.cs

PacketIP.cs

PacketIPX.cs

PacketTCP.cs

PacketUDP.cs

等各种数据包协议类：判断数据包各个字段的协议类型，并提供给协议分类模块使用；系统模块设计与实现数据包捕捉模块协议族模块数据包匹配模块协议分类模块用户模块协议分类模块主要是对协议族模块的应用：分析数据包各个字段的协议类型；MyFunctions.cs与Ndis.cs是这个程序中硬件与软件的中间桥梁。MyFunctions.cs逐行分析了数据包的各个字段的标记内容，并将各个字段特征内容添加到树形结构当中去，注：NDIS（网络驱动器接口规范）是Windows的通信协议程序（比如TCP/IP）和网络设备驱动器之间通信的规范。系统模块设计与实现数据包捕捉模块协议族模块数据包匹配模块

协议分类模块用户模块数据包匹配模块协议分析完毕之后将此类实例化并在调用类中进行引用。值得一提的是在数据包匹配模块中我们不得不再次回到协议选择模块中，因为我们在协议选模块中的时候建立了层次结点的树形结构Function.cs.与协议分析的不同的是在这里我们返回了所有捕获数据包的统计信息。这个模块返回的是包含有更多信息的一个类，这个类可以被用户界面层更方便的应用。系统模块设计与实现数据包捕捉模块协议族模块数据包匹配模块

协议分类模块用户模块

用户界面用户界面——类用户界面在这个模块中程序提供了各个事件响应模块，数据包信息的显示，其中包括捕包开始和结束，数据包分析显示，网络通断控制，流量控制等，这些功能都是在引用了上述各个模块提供的具体功能。用户界面网络通断控制：这个模块式独立于后台的，众所周知网络的通断控制是每个入侵检测软件必不可少的一部分实现：PowerNet.cs

和ControlAdapter.cs实现的主要方式：usingShell32;usingSystem.Data;Shell32.dll是调用的系统内类来实现控制网络通断提纲：本系统与整个项目工程的关系系统模块划分系统模块的设计与实现完成本系统的关键技术测试程序程序安装部署结论完成本系统的关键技术Windows网络编程的基本技术，主要包括Winsock编程、TCP/IP协议（尤其是IP头的格式）、Windows管理规范（WMI）的基础知识。当然还要用到.NETFramework中与socket编程、Windows界面编程相关的一些命名空间和其中包含的类的相关知识。完成本系统的关键技术捕包方法：Rawsocket方法Winpcap方法完成本系统的关键技术Rawsocket方法对于数据包的接收还是和普通的socket一样，通过recv()函数来完成，因为这里涉及到不同的socket模型，接收方法差别很大。开始需要开启winsock.dll，创建创建rawsocket。最大的问题是rawsocket捕获的数据包没有以太头

完成本系统的关键技术Winpcap方法：Winpcap驱动包，是我们操作数据包不可或缺的，Winpcap的主要功能在于独立于主机协议，而发送和接收原始数据包。完成本系统的关键技术Winpcap的来源：意大利人FulvioRisso和LorisDegioanni提出并实现了Winpcap函数库，作者称之为NPF。由于NPF的主要思想就是来源于BPF，它的设计目标就是为Windows系统提供一个功能强大的开发式数据包捕获平台，希望在Unix系统中的网络分析工具经过简单编译以后也可以移植到Windows中，因此这种捕包架构是非常现实的。就实现来说提供的函数调用接口也是一致的。完成本系统的关键技术Winpcap的功能：(1)捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据包；(2)在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉；(3)收集网络通信过程中的统计信息；完成本系统的关键技术Winpcap的唯一缺点:在运行用Winpcap开发的程序以前，都要在主机上先安装Winpcap的驱动完成本系统的关键技术Winpcap开发的主要对象是WindowsNT/2000/XP，这主要是因为在使用Winpcap的用户中只有小部分是仅使用Windows95/98/Me，并且Microsoft也已经放弃了对Win9x的开发。其实Winpcap中的面向9x系统的概念和NT系统的非常相似，只是在某些实现上有点差异，比如说9x只支持ANSI编码，而NT系统则提倡使用Unicode编码。完成本系统的关键技术

Winpcap的内部结构：Winpcap提供了两个不同的库：packet.dll和wpcap.dll前者提供了一个底层API，伴随着一个独立于Microsoft操作系统的编程接口，这些API可以直接用来访问驱动的函数；后者导出了一组更强大的与Libpcap一致的高层抓包函数库提纲：本系统与整个项目工程的关系系统模块划分系统模块的设计与实现完成本系统的关键技术测试程序程序安装部署结论测试程序测试TCP包

测试程序数据采集测试程序数据采集的详细信息测试程序网络关闭测试：测试程序网络开启测试：测试程序---性能测试测试对象AM用例目的测试M在1s内捕捉100数据包时的表现测试环境局域网络输入数据期望结果实际结果（平均值）峰值10个线程；每个线程捕获10个数据包；—45ms113.5ms测试对象BN用例目的测试N在捕获1000数据包时的表现

测试环境局域网络输入数据期望结果实际结果（平均值）估算峰值10个线程；每个线程捕获10个进行10次循环；

—600ms900ms测试程序---性能测试用一些测试软件以及系统自带的测试工具发现，本软件存在一些性能指标超常的问题，在做集成测试时尤为明显，最后经过一些代码优化的过程之后问题有所缓解。提纲：本系统与整个项目工程的关系系统模块划分系统模块的设计与实现完成本系统的关键技术测试程序程序安装部署结论程序安装部署1系统要求：.NETFramework2.0补订包，Winpcap驱动；2安装部署程序（本系统的名称为Ana）3卸载程序程序安装部署安装程序程序安装部署安装程序程序安装部署安装程序程序安装部署安装程序程序安装部署安装程序程序安装部署卸载程序提纲：本系统与整个项目工程的关系系统模块划分系统模块的设计与实现完成本系统的关键技术测试程序程序安装部署结论结论设计思想来源：Ethereal结论结论当然本设计还存在着一些可以改进之处，比如系统的性能可以进一步提高，可以减少由于误操作所引起的异常，应该进一步阅读国外的技术文档和吸收好的编程经验。最后本设计应用的主要知识是对网络数据传输中的各种协议知识，以及进程间通讯等网络安全知识，有些底层的设计和实现对我来说还有很多困难之处。由于本系统将后台操作和前台执行完全