【正文】 t NULL, //optional handle to existing I/O pletion port (DWORD ) pAdapter, //pletion key 2 // of threads allowed to execute concurrently )。 NDIS_STATUS nNdisStatus。 LPOVERLAPPED pCompletedOverlapped。 PReceivePackage pRxPackage, pRxPackage2。 BOOL bSuccess。 NDIS_STATUS nNdisStatus。 LPOVERLAPPED pCompletedOverlapped。 PReceivePackage pRxPackage, pRxPackage2。 BOOL bSuccess。 監(jiān)測 軟件的對象關(guān)系圖 以下是該系統(tǒng)從管理員發(fā)出命令到抓包，分析數(shù)據(jù)，過濾數(shù)據(jù)，以及最后的發(fā)現(xiàn)有害數(shù)據(jù)報警的各個對象的關(guān)系圖。系統(tǒng)啟動后，對網(wǎng)絡(luò)進(jìn)行初始化，與后臺軟件建立聯(lián)系。 圖形顯示模塊 該模塊完成前臺軟件的所有工作。匹配算法部分因為采用 KMP算法，所以編寫生成 NEXT數(shù)組函數(shù)和匹配函數(shù)組成。將匹配字庫與從解碼模塊提取的信息實體內(nèi)容進(jìn)行字符串比較，比較算法使用 KMP算法。 當(dāng)解碼模塊按照 TCP/IP格式取得數(shù)據(jù)傳輸體中的實際數(shù)據(jù)時 (數(shù)據(jù)實體 )，需要按照一定的協(xié)議格式進(jìn)行匹配處理。 源 IP地址 unsigned int ip_dest。 傳輸層協(xié)議類型 unsigned short ip_checksum。 標(biāo)志位 unsigned char ip_ttl。 IP包頭 長度 unsigned char ip tos。 struct ip { unsigned int ip version:4。 IP層頭部數(shù)據(jù)數(shù)據(jù)結(jié)構(gòu)定 義如下。 }。 unsigned char ether_type[6]。 unsigned char ether_src[6]。根據(jù)數(shù)據(jù)結(jié)構(gòu)中以太網(wǎng)類型一項可以繼續(xù)判斷是 IP傳輸。 BPF是工作在數(shù)據(jù)鏈路層， 按照以太網(wǎng)頭結(jié)構(gòu)取得數(shù)據(jù)包在該層中的信息。 解碼模塊 ： 包捕獲模塊中，定義了從網(wǎng)絡(luò)上抓取原始數(shù)據(jù)包后的處理函數(shù)。如果失敗返回，則顯示出錯信息。 }。 Struct bpf_ insn *bf_ insns。 過濾器程序用 pcap_pile(), pcap_ setfilter()函數(shù)和 bpf_ program數(shù)據(jù)結(jié)構(gòu)來描述，該數(shù)據(jù)結(jié)構(gòu)如下所示 : Struct bpf_ program { U_ int bf_ len。用于存放錯誤信息字符串的數(shù)組。 為一指向過濾器程序代碼的指針 。 用于特定函數(shù)目的的地址指針。 用于計數(shù)目的的整數(shù)。 緩沖區(qū)指針。 數(shù)據(jù)包緩沖區(qū)的首地址。 數(shù)據(jù)包緩沖區(qū)大小。 表示數(shù)據(jù)包截獲機制狀態(tài)和相關(guān)設(shè)備狀態(tài)的結(jié)構(gòu)。 表示數(shù)據(jù)包轉(zhuǎn)儲文件的文件結(jié)構(gòu)。 對應(yīng)于不同對齊方式的偏移量。 時區(qū)與格林尼治時區(qū)的偏移量。 底層數(shù)據(jù)鏈路層接口類型。 快照，這里是所指定查看數(shù)據(jù)包的長度。 Struct pcap { int fd。該函 數(shù)由查詢當(dāng)前系統(tǒng)可用的數(shù)據(jù)包截獲設(shè)備，得到該設(shè)各描述符以及設(shè)置過濾器規(guī)則組成。 這 5個接口函數(shù)的主要功能如下所述 ： 1. pcap_ open_live()，用來獲得一個數(shù)據(jù)截獲描述符，該描述符用于查看在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包 ； 2. pcap_read()，用于讀取底層數(shù)據(jù)緩沖區(qū)中的數(shù)據(jù)包，并對捕獲到的數(shù)據(jù)包用參數(shù)所設(shè)定的回調(diào)函數(shù)進(jìn)行處理 ； 3. pcap_pile()，用于生成過濾器指令鏈表 ； 4. pcap_setfilter(),用 于設(shè)定過濾器 ； 5. pcap close()， 關(guān)閉相關(guān)的文件井釋放對應(yīng)資源 。包捕獲模塊主要調(diào)用 Libpcap完成用戶層次的數(shù)據(jù)包截獲工作。過濾規(guī)則中包括數(shù)據(jù)鏈路層網(wǎng)絡(luò)傳輸類型、網(wǎng)絡(luò)層 IP地址范圍以及傳輸層使用的端口號。 第二步建立 socket，主線程中的 socket主要是完 成數(shù)據(jù)包的捕獲和匹配后，將信息按照定義的接 口發(fā)送信息。 包捕獲模塊 ： 包捕獲模塊是通過啟動主線程來完成的。 第二點建立 socket，主控模塊 socket的處理主要是完成接收命令模塊發(fā)送的消息，根據(jù)數(shù)據(jù)包的類型標(biāo)志位分別處理。如果命令行給出的參數(shù)正確，將參數(shù)相應(yīng)的數(shù)據(jù)放在一個全局的緩沖區(qū)內(nèi)。 首先它負(fù)責(zé)解釋命令行，它調(diào)用了 getopt函數(shù)，來進(jìn)行命令行的解析。提供本畢業(yè)設(shè)計開發(fā)的軟件和畢業(yè)設(shè)計論文。 客戶端推薦配置 : 客戶端要求不高， 以上或者兼容版本。由于 Window系統(tǒng)的圖形開發(fā)功能強大，因此選擇在 Win2021professional上開發(fā)前臺軟件 。 4. Linux下的軟件是開放式源代碼產(chǎn)品，便于學(xué)習(xí)。并且可以得到 libpcap的更新版本。主要因為 ： 1. Linux網(wǎng)絡(luò)功能強大，其本身是依靠網(wǎng)絡(luò)技術(shù)發(fā)展的。 日志模塊實現(xiàn)各種報文日志功能，也就是把各種類型的報文記錄到各科類型的日志中。 命令模塊將用戶的信息傳遞給主控模塊。 模式匹配模塊應(yīng)用 KWP算法將 匹配字庫與捕獲到的 IM信息進(jìn)行匹配，提取有害信息，對有害信息進(jìn)行定位。解 碼模塊，定義不同的數(shù)據(jù)結(jié)構(gòu)取 得 IP地址、 TCP層的端口號以及信息實體等數(shù)據(jù)，在將這些數(shù)據(jù)填寫到數(shù)據(jù)結(jié)構(gòu)中供模式匹配模塊來使用。 主控模塊實現(xiàn)的功能包括所有模塊的初始化、命令行解釋、配置文件解釋、建立主線程、關(guān)閉主線程。主線程通過包捕獲模塊、解碼模塊、模式匹配模塊和輸出模塊來完成。后臺部分由主進(jìn)程和主線程完成。特別是對技術(shù)含量較高的企業(yè) 有很大用途。 監(jiān)測 系統(tǒng) 功能模塊的描述 對 用戶 上網(wǎng)行為的 監(jiān)測和管理事實上要配合一個復(fù)雜的網(wǎng)絡(luò)系統(tǒng)體系去實現(xiàn)，首先要定義 網(wǎng)絡(luò)用戶的類型，普通用戶、管理員等都應(yīng) 有不同的網(wǎng)絡(luò)權(quán)限去獲得網(wǎng)絡(luò)的資源，因此就需要網(wǎng)管功能的軟硬件了 。 簡單容易的數(shù)據(jù)備份方式和海量存儲模式 。 數(shù)據(jù)備份和配置管理 ： 包括 允許定義數(shù)據(jù)保存時間或刪除過時的數(shù)據(jù) 。對包含色情和反動信息的過濾叫做黑名單過濾。 因此采用過濾方法模糊控制模式去忽略對一些公共的東西過濾 。 網(wǎng)站過濾白名單和黑名單功能 。 如果有人在觀看網(wǎng)站的帖子后，想發(fā)表評論，如果評論中包含色情和反動的字眼就自動刪除該帖子，并發(fā)出警報。 由于網(wǎng)頁監(jiān)視很多廣告垃圾而且比較消耗硬盤空間等資 源 。 全部監(jiān)視 /不監(jiān)視、只監(jiān)視部分應(yīng)用 。 HUB 目標(biāo)論壇 監(jiān)聽機 PC HUB PC 圖 6 系統(tǒng)總體結(jié)構(gòu) 內(nèi)容過濾功能： 包括 對不需要監(jiān)視的對象、內(nèi)容、行為進(jìn)行過濾（忽略監(jiān)視），可針對 3 種對象（整個網(wǎng)絡(luò)、分組、電腦） 。 接入互聯(lián)網(wǎng)，對定點網(wǎng)站、論壇進(jìn)行數(shù)據(jù)深入挖掘，基于發(fā)帖人、發(fā)帖時間、主題及正文進(jìn)行分類檢索與統(tǒng)計，對目標(biāo)站點的信息提取率達(dá)到 90%。 系統(tǒng)在受限于上述遍歷層數(shù)的同時，還能接受管理人員對于最大下載字節(jié)數(shù)與每次請求間隔時間的設(shè)置，從而避免因其內(nèi)容獲取操作而造成目標(biāo)論壇的工作負(fù)載驟然增加。 在管理人員設(shè)定的遍歷層數(shù)范圍內(nèi)，系統(tǒng)遞歸獲取起始及隨后頁面中所有超鏈接所對應(yīng)的內(nèi)容。 互聯(lián)網(wǎng)論壇 監(jiān)測 系統(tǒng)呈現(xiàn)簡潔、歸一化的操作界面，多線程獲取網(wǎng)站發(fā)布數(shù)據(jù)。這樣的工作流程對于中小型企業(yè)來說是比較適用，只需要一個 監(jiān)測 軟件即可，設(shè)備的投入也不大 ，效果也比較好。 由此可得到它的拓?fù)鋱D如下圖 6： 對 外部 網(wǎng)絡(luò)的 監(jiān)測 ： 根據(jù)具體網(wǎng)絡(luò)大小和監(jiān)測應(yīng)用的范圍有所不同而 做 些修改即可。客戶端機子和服務(wù)器端機子分別在各自的路由器 網(wǎng)關(guān)下構(gòu)成一個小型的內(nèi)部局域網(wǎng)。該軟件就自動刪除該帖子實現(xiàn)過濾功能。服務(wù)器機子裝上這個 監(jiān)測 軟件后，可以捕獲到客戶端機子向這臺機子發(fā)的信息（帖子）實現(xiàn) 監(jiān)測 功能。做服務(wù)器端的多臺機子在一個局域網(wǎng)內(nèi)，組成目標(biāo)論壇，接收來自其他網(wǎng)絡(luò)的客戶機的信息。 當(dāng)數(shù)據(jù)包匹配成功后， 說明內(nèi)容為有害的，因此該信息丟棄，并發(fā)出報警聲。過濾器決定某一數(shù)據(jù)包是被接收還是拒絕，以及如果被接受，數(shù)據(jù)中的那些部分被拷貝給應(yīng)用程序。 BPF主要由兩大部分組成 : 網(wǎng)絡(luò)分接頭 (Network Tap)和數(shù)據(jù)包過濾器 (Packet Filter)。 BPF 工作原理： 用戶程序 Llibpcap 庫函數(shù) 用戶緩沖區(qū) 用戶程序 Llibpcap 庫函數(shù) 用戶緩沖區(qū) 復(fù)制緩沖區(qū) 存儲緩沖區(qū) 過濾器 復(fù)制緩沖區(qū) 存儲緩沖區(qū) 過濾器 網(wǎng)絡(luò)接口卡 用戶級 內(nèi)核級 網(wǎng)絡(luò) 圖 4 Libpcap 工作流程圖 許多版本的 UNIX 都提供用戶級別的網(wǎng)絡(luò) 監(jiān)測 功能，因為 監(jiān)測 程序以用戶級別進(jìn)程工作。如法輪功，帶有色情的信息和圖片 。管理用戶緩沖區(qū) (用戶程序不可見 ) 向用戶程序提供 抽象接口 這樣的設(shè)計使用戶程序不需與網(wǎng)卡驅(qū)動程序交互。存儲緩沖區(qū)用于容納過濾匹配成功后的數(shù)據(jù)包，復(fù)制緩沖區(qū)用于將包 從核心緩沖區(qū)復(fù)制到用戶緩沖區(qū)。網(wǎng)卡部分監(jiān)視共享網(wǎng)絡(luò)中的所有包，BPF用過濾條件匹配監(jiān)視到的包，若匹配成功則將之從網(wǎng)卡驅(qū)動的緩沖區(qū)復(fù)制到核心區(qū)。如 果主機上沒有 BPF機制，則所有的數(shù)據(jù)包都必須讀取到用戶空間后，再在 Libpcap庫中進(jìn)行過濾處理，這樣就會增加額外的處理負(fù)擔(dān)，導(dǎo)致性能的下降 。所以先介紹Libpcap： Libpcap接口支持基于 BSD數(shù)據(jù)包過濾器 (BPF: BerkeleyPaeket Filter)的數(shù)據(jù)過濾機 制。 系統(tǒng)的流程圖 由以上 對論壇監(jiān)測的系統(tǒng)分析，要實現(xiàn)這些功能，關(guān)鍵技術(shù)就是實現(xiàn)抓包和過濾，因此 得到該系統(tǒng)從 開始 抓包到最后匹配丟棄的一個流程圖。 自動聚成目標(biāo)論壇當(dāng)前熱點 信息聚類生成數(shù)據(jù)報告 關(guān)注熱點查詢 在這個定點網(wǎng)站中利用搜索，提取所需的信息。 專項針對論壇發(fā)布內(nèi)容獲取 網(wǎng)絡(luò)終端瀏覽行為智能模擬 數(shù)據(jù)報告生成平臺： 以海量信息為基礎(chǔ)，自動聚成目標(biāo)論壇當(dāng)前熱點，并發(fā)布信息快照、生成數(shù)據(jù) 報告。 其實這兩個平臺都是起到方便客戶查找的功能。 互聯(lián)網(wǎng)論壇 內(nèi)容監(jiān)測 系統(tǒng)能夠自動獲取目標(biāo)論壇的發(fā)布內(nèi)容，系統(tǒng)針對發(fā)帖作者、發(fā)帖時間、帖子 URL、帖子標(biāo)題和帖子正文等關(guān)鍵字段開放基于單個字段或是組合選項的熱點查詢功能，并能自動生成數(shù)據(jù)報告，從而幫助系統(tǒng)使用者真正實現(xiàn)對于社會熱點的把握和社會動向的預(yù)期。 對 用戶 上網(wǎng)行為的 監(jiān)測 和管理事實上要配合一個復(fù)雜的網(wǎng)絡(luò)系統(tǒng)體系去實現(xiàn)，首先要定義出 了 網(wǎng)絡(luò)用戶的類型，普通用戶、管理員等都應(yīng) 有不同的網(wǎng)絡(luò)權(quán)限去獲得 網(wǎng)絡(luò)的資源 。它是當(dāng)今網(wǎng)絡(luò)發(fā)展的必然產(chǎn)物，也是未來網(wǎng)絡(luò)的不可或缺的。 所以一 種能夠?qū)崟r監(jiān)測網(wǎng)絡(luò)流量和網(wǎng)絡(luò)傳輸信息，又能夠通過網(wǎng)絡(luò)信 息中把色情 和反動字眼的內(nèi)容過濾的軟件，是我們迫切需要的。同時企業(yè)如何能夠從海量的數(shù)據(jù)信息中獲取民眾焦點和社會輿論動向已經(jīng)成為管理部門日常工作的重中之重。 本系統(tǒng)采用內(nèi) 容過濾的方法來實現(xiàn)論壇監(jiān)測。 服務(wù)過濾 ： 根據(jù)端口篩選特定類型服務(wù)。 TCP數(shù)據(jù)而非 UDP數(shù)據(jù)。信息的簡單過濾有如下幾種。低效率的過 濾程序會導(dǎo)致數(shù)據(jù)包丟失、來不及分析處理等。如果垃圾數(shù)據(jù)比重極大，將嚴(yán)重影響系 統(tǒng)工作效率。 監(jiān)測 程序工作在網(wǎng)絡(luò)環(huán)境中的底層，它會攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實時分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。當(dāng)網(wǎng)絡(luò)接口處于這種混雜模式時，該網(wǎng)絡(luò)接口具備“廣播地址”，它對所有接收到的幀都產(chǎn)生硬件中斷以提醒操作系統(tǒng)處理流經(jīng)該物理媒 體上的每一個報文 (絕大多數(shù)的網(wǎng)絡(luò)接口具備置成 promiscuous方式的能力 )。要 監(jiān)測 到流經(jīng)網(wǎng)卡的不屬于自己主機的數(shù)據(jù)，必須繞過系統(tǒng)正常工作的處理機制，直接訪問網(wǎng)絡(luò)底層。如果符合本機 1P地址則交給傳輸層處理。而其他情況下數(shù)據(jù)幀 將被丟棄不作處理。幀的目標(biāo)區(qū)域具有廣播地址 。幀的目標(biāo)區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址。該過濾機制可以作用在鏈路層、網(wǎng)絡(luò)層和傳輸層這幾個層次。值得注意的是，包捕獲機制并不影響操作系統(tǒng)對數(shù)據(jù)包的網(wǎng)絡(luò)棧處理。數(shù)據(jù)包常規(guī)的傳輸路徑依次為網(wǎng)卡 、設(shè)備驅(qū)動層、數(shù)據(jù)鏈路層、 IP 層、網(wǎng) 絡(luò) 緩沖區(qū) 過濾區(qū) 過濾區(qū) 緩沖區(qū) 傳輸層 網(wǎng)絡(luò)層 DLPI 接口 協(xié)議分析模塊 系統(tǒng)