摘要：隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題，在今天已成為網(wǎng)絡(luò)世界里最為人關(guān)注的問(wèn)題之一。危害網(wǎng)絡(luò)安全的因素很多，其中DoS攻擊是網(wǎng)民所熟悉的一種。該設(shè)計(jì)主要是根據(jù)DoS攻擊原理，通過(guò)用Pervasive公司的DataRush技術(shù)在KNIME-eclipse的環(huán)境下，用java語(yǔ)言開(kāi)發(fā)出相應(yīng)的節(jié)點(diǎn)來(lái)對(duì)Cisco路由器的NetFlow數(shù)據(jù)進(jìn)行解析，由此判斷當(dāng)前的網(wǎng)絡(luò)狀態(tài)和檢測(cè)網(wǎng)絡(luò)的數(shù)據(jù)流量。

關(guān)鍵詞： DoS攻擊；DataRush；NetFlow

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）19-4403-04

Analysis of NetFlow Data Based on DataRush

LIU Ying

（School of Mathematics Computer Science，Panzhihua University， Panzhihua 617000， China）

Abstract：With the development of computer technology and network technology， the network security problem has become one of the most careful issues in the network world. Network security depend on a number of factors， the DoS attack is a familiar one to users. The design is mainly based on the DoS attack principle ，by using Pervasive 's DataRush technology in the KNIME-eclipse environment， using java language to develop the corresponding node to analysis the NetFlow data generate by Cisco router， thus determine the current network status and detection of network data flow.

Key words： Denial Of Service；DataRush；NetFlow

在影響網(wǎng)絡(luò)安全的因素中，DOS攻擊等是最常見(jiàn)的，DOS攻擊的最大特點(diǎn)是通過(guò)大量的無(wú)用的數(shù)據(jù)流量來(lái)時(shí)被攻擊計(jì)算機(jī)的網(wǎng)絡(luò)產(chǎn)生堵塞，無(wú)法與外界正常通信。所以檢測(cè)當(dāng)前的網(wǎng)絡(luò)流量是防范DOS攻擊的一種比較有效的辦法。但當(dāng)前對(duì)網(wǎng)絡(luò)的數(shù)據(jù)流量解析的技術(shù)解析效率普遍較慢，無(wú)法及時(shí)的對(duì)當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行分析。DataRush技術(shù)對(duì)數(shù)據(jù)的解析效率較其他技術(shù)快，所以用它來(lái)開(kāi)發(fā)出軟件來(lái)解析當(dāng)前網(wǎng)絡(luò)流量的數(shù)據(jù)已達(dá)到檢測(cè)當(dāng)前的網(wǎng)絡(luò)數(shù)據(jù)流量是非?？尚械摹?/p>

雖然計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來(lái)了巨大的便利，但互聯(lián)網(wǎng)是一個(gè)面向大眾的開(kāi)放系統(tǒng)，對(duì)信息的保密和系統(tǒng)的安全考慮得并不完備，存在著安全隱患，網(wǎng)絡(luò)的安全形勢(shì)日趨嚴(yán)峻。本次課題的目的在于根據(jù)KNIME的節(jié)點(diǎn)的開(kāi)發(fā)原則，開(kāi)發(fā)出一系列節(jié)點(diǎn)，對(duì)Cisco路由器的NetFlow數(shù)據(jù)進(jìn)行解析，在通過(guò)KNIME中已有的節(jié)點(diǎn)對(duì)NetFlow數(shù)據(jù)進(jìn)行圖形化展示，以便當(dāng)前網(wǎng)絡(luò)管理人員能快速的檢測(cè)當(dāng)前網(wǎng)絡(luò)流量和判斷網(wǎng)絡(luò)狀態(tài)。

1 節(jié)點(diǎn)開(kāi)發(fā)中的關(guān)鍵技術(shù)

1.1 DataRush技術(shù)的介紹[1]

1.1.1 DataRush的概述

DataRush技術(shù)是美國(guó)Pervasive軟件技術(shù)公司在2009年推出的。使用多核技術(shù)分析和其他業(yè)務(wù)應(yīng)用程序處理的數(shù)據(jù)集。該技術(shù)提升了一臺(tái)服務(wù)器或小型服務(wù)器集群的性能，并允許對(duì)大規(guī)模數(shù)據(jù)集的高通量分析。并行數(shù)據(jù)流引擎，它是用于電力批處理作業(yè)，并運(yùn)行數(shù)據(jù)準(zhǔn)備工作（例如排序，重復(fù)數(shù)據(jù)刪除，匯總，清潔，連接，加載，驗(yàn)證）和機(jī)器學(xué)習(xí)的模糊匹配算法一樣的方案。

1.1.2 DataRush的結(jié)構(gòu)

DataRush使用一個(gè)數(shù)據(jù)流架構(gòu)。該體系結(jié)構(gòu)實(shí)現(xiàn)了程序執(zhí)行數(shù)據(jù)流隊(duì)列互連的計(jì)算節(jié)點(diǎn)圖。節(jié)點(diǎn)使用的隊(duì)列，共享數(shù)據(jù)。在這個(gè)意義上說(shuō)，數(shù)據(jù)流是一種無(wú)共享架構(gòu)。缺乏共享狀態(tài)，簡(jiǎn)化了節(jié)點(diǎn)執(zhí)行，因?yàn)榫€程不同步共享狀態(tài)。在內(nèi)存中，阻塞隊(duì)列的實(shí)現(xiàn)需要安全地交給從節(jié)點(diǎn)到節(jié)點(diǎn)的數(shù)據(jù)同步。在DataRush中，計(jì)算節(jié)點(diǎn)的數(shù)據(jù)流圖稱為operator。 DataRush提供了一個(gè)現(xiàn)成的使用操作組件的operator庫(kù)。開(kāi)發(fā)人員也可以編寫自定義的operator擴(kuò)展標(biāo)準(zhǔn)庫(kù)。例如，一些應(yīng)用程序有自己的實(shí)現(xiàn)，只需要繼承DataflowOperator類就行。

1.2 NetFlow簡(jiǎn)介[2]

NetFlow是一種數(shù)據(jù)交換方式，由Cisco創(chuàng)造。NetFlow流定義為在一個(gè)源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流，且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號(hào)。其工作原理是：NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個(gè)IP包數(shù)據(jù)，生成NetFlow 緩存，隨后同樣的數(shù)據(jù)基于緩存信息在同一個(gè)數(shù)據(jù)流中進(jìn)行傳輸，不再匹配相關(guān)的訪問(wèn)控制等策略，NetFlow緩存同時(shí)包含了隨后數(shù)據(jù)流的統(tǒng)計(jì)信息。Netflow提供網(wǎng)絡(luò)流量的會(huì)話級(jí)視圖，記錄下每個(gè)TCP/IP事務(wù)的信息。也許它不能象tcpdump那樣提供網(wǎng)絡(luò)流量的完整記錄，但是當(dāng)匯集起來(lái)時(shí)，它更加易于管理和易讀。Cisco提供了Cisco NetFlow Collector（NFC）采集NetFlow數(shù)據(jù)。

NetFlow是Cisco的nIOS軟件中內(nèi)嵌的一種功能，用來(lái)將網(wǎng)絡(luò)流量記錄到設(shè)備的高速緩存中，從而提供非常精準(zhǔn)的流量測(cè)量。由于網(wǎng)絡(luò)通信具有流動(dòng)性，所以緩存中記錄的NetFlow統(tǒng)計(jì)數(shù)據(jù)通常包含轉(zhuǎn)發(fā)的IP信息。 輸出的NetFlow統(tǒng)計(jì)數(shù)據(jù)可用于多種目的，如網(wǎng)絡(luò)流量核算、網(wǎng)絡(luò)付費(fèi)、網(wǎng)絡(luò)監(jiān)控以及商業(yè)目的的數(shù)據(jù)存儲(chǔ)。endprint

2 現(xiàn)狀分析

網(wǎng)絡(luò)數(shù)據(jù)流量的檢測(cè)能很好的幫助網(wǎng)絡(luò)管理人員判斷當(dāng)前的網(wǎng)絡(luò)狀態(tài)，因此一款能很快的解析數(shù)據(jù)流量的軟件是網(wǎng)絡(luò)管理人員需要的。但當(dāng)前用于解析NetFlow數(shù)據(jù)流量的技術(shù)解析效率普遍較低。DataRush技術(shù)采用多核技術(shù)分析和其他業(yè)務(wù)應(yīng)用程序處理的數(shù)據(jù)集，能很快的解析數(shù)據(jù)。所以用此技術(shù)開(kāi)發(fā)能很好的滿足網(wǎng)絡(luò)管理人員的需要且比現(xiàn)在用于解析數(shù)據(jù)的技術(shù)效率高。

3 數(shù)據(jù)解析的實(shí)現(xiàn)

3.1 節(jié)點(diǎn)的功能需求

對(duì)于NetFlowRawReader節(jié)點(diǎn)的功能需求：

需要讀取NetFlow數(shù)據(jù)文件，根據(jù)界面用戶選擇的文件類型，判定所選文件的類型符合，增加event_source，event_start_time，event_end_time，將數(shù)據(jù)放入event_data列中，數(shù)據(jù)結(jié)構(gòu)如表1：

圖1 NetFlowRawReader的功能示意圖

Raw record flow1的數(shù)據(jù)結(jié)構(gòu)：

表1 NetFlowRawReader輸出數(shù)據(jù)的結(jié)構(gòu)

[Column＼&Type＼&Description＼&event_type＼&String＼&Type of NetFlow data＼&event_source＼&String＼&Source of the NetFlow files＼&event_start_time＼&Timestamp＼&0 as default＼&event_end_time＼&Timestamp＼&0 as default＼&event_data＼&Binary＼&NetFlow data＼&]

對(duì)于NetFlowRawParser節(jié)點(diǎn)的功能需求：

NetFlowRawReader需要對(duì)讀取的數(shù)據(jù)按照相應(yīng)的解析規(guī)則進(jìn)行解析，給對(duì)應(yīng)的字段名賦值，按一定的格式輸出結(jié)果。

圖2 NetFlowRawReader的功能示意圖

表2 analytic record flow的數(shù)據(jù)結(jié)構(gòu)

[Column＼&Type＼&Description＼&event_type＼&String＼&Type of NetFlow data＼&event_source＼&String＼&Source of NetFlow files＼&event_start_time＼&Timestamp＼&0 as default＼&event_end_time＼&Timastamp＼&O as default＼&NetFlow_srcaddr＼&String＼&Column of NetFlow data＼&NetFlow_dstaddr＼&String＼&Column of NetFlow data＼&NetFlow_input＼&int＼&Column of NetFlow data＼&……＼&……＼&……＼&]

把NetFlowRawReader 和NetFlowRawParser結(jié)合起來(lái)，圖示如下：

圖3 整個(gè)設(shè)計(jì)的功能需求

從上面的功能需求圖可以看出，在NetFlowRawReader中主要根據(jù)NetFlow文件獲得文件的類型，路徑等相關(guān)信息。在NetFlowRawReader中才根據(jù)文件的類型，對(duì)應(yīng)相應(yīng)的字段進(jìn)行解析，獲取對(duì)應(yīng)字段的值。

3.2 NetFlowRawReader節(jié)點(diǎn)的主要功能

NetFlowRawReader節(jié)點(diǎn)的主要功能是讀取NetFlow數(shù)據(jù)文件，給文件加文件的路徑，類型，時(shí)間等字段。根據(jù)功能需求所以在NetFlowRawReader的界面上應(yīng)該有選擇文件，和提示文件類型的功能控件。

3.3 NetFlowRawParser節(jié)點(diǎn)的主要功能

NetFlowRawParser節(jié)點(diǎn)的主要功能是對(duì)NetFlowRawReader的輸出數(shù)據(jù)按照相應(yīng)的解析規(guī)則進(jìn)行解析。界面要求有選擇文件類型的控件，以便檢測(cè)文件的類型，還需要有一個(gè)控件為用戶提供對(duì)應(yīng)文件類型的全部字段名共用戶選擇，用戶可以通過(guò)這個(gè)值選取一部分字段，查看這一部分字段的值。

3.4結(jié)合NetFlowRawReader和NetFlowRawParser對(duì)文件進(jìn)行解析

用NetFlowRawReader和NetFlowRawParser對(duì)NetFlow數(shù)據(jù)文件進(jìn)行解析，在調(diào)用KNIME里面的視圖顯示的節(jié)點(diǎn)，通過(guò)圖形化顯示，更有利于分析數(shù)據(jù)。

節(jié)點(diǎn)的連線圖如下：

圖4 本次設(shè)計(jì)的全部效果圖

節(jié)點(diǎn)通過(guò)Color Manager給相同的字段給予同一種顏色，更有利于查看。在這里，Color Manager是通過(guò)dstaddr來(lái)給對(duì)應(yīng)的值顏色的。

Historgram和Pie chart兩個(gè)節(jié)點(diǎn)的功能是分別用柱狀圖和餅狀圖來(lái)顯示數(shù)據(jù)的結(jié)果，具體效果如下：

Historgram的效果圖如圖5所示。

Pie chart的效果圖如下：

圖6 Pie chart的效果圖

通過(guò)這兩個(gè)效果圖，可以很輕松的來(lái)對(duì)主句文件進(jìn)行分析。假如數(shù)據(jù)文件來(lái)自真實(shí)的環(huán)境，從效果圖中，可以看出，目的地址為“10.0.0.3”的數(shù)據(jù)流量不正常。用戶就可以使用特定的工具對(duì)這個(gè)地址進(jìn)行監(jiān)測(cè)，判斷出這個(gè)地址是受到了攻擊還是其他一些造成數(shù)據(jù)流量異常的原因，以便網(wǎng)絡(luò)管理員更好的管理網(wǎng)絡(luò)和分配網(wǎng)絡(luò)流量。

4 結(jié)束語(yǔ)

本文就節(jié)點(diǎn)開(kāi)發(fā)的一些基本功能和設(shè)計(jì)中的步驟和詳細(xì)進(jìn)行闡述。對(duì)于這次開(kāi)發(fā)，下一步的研究任務(wù)是通過(guò)接收指定端口的NetFlow數(shù)據(jù)，把數(shù)據(jù)進(jìn)行流化。用開(kāi)發(fā)出來(lái)的節(jié)點(diǎn)直接接收思科路由器的數(shù)據(jù)，進(jìn)行解析。實(shí)時(shí)接收數(shù)據(jù)，當(dāng)數(shù)據(jù)量達(dá)到一定數(shù)量時(shí)，便對(duì)數(shù)據(jù)進(jìn)行解析，圖形化展示給用戶。讓用戶能實(shí)時(shí)的觀察網(wǎng)絡(luò)流量。

參考文獻(xiàn)：

[1] Austin， Texas.DataRush_developers_guide[M].Pervasive Software Inc .December 2010.

[2] 百度百科 NetFlow簡(jiǎn)介. http：//baike.baidu.com/view/490587.htm.

[3] 江開(kāi)耀.軟件工程與開(kāi)發(fā)技術(shù)[M].西安：西安電子科大出版社，2009，2.

2 現(xiàn)狀分析

網(wǎng)絡(luò)數(shù)據(jù)流量的檢測(cè)能很好的幫助網(wǎng)絡(luò)管理人員判斷當(dāng)前的網(wǎng)絡(luò)狀態(tài)，因此一款能很快的解析數(shù)據(jù)流量的軟件是網(wǎng)絡(luò)管理人員需要的。但當(dāng)前用于解析NetFlow數(shù)據(jù)流量的技術(shù)解析效率普遍較低。DataRush技術(shù)采用多核技術(shù)分析和其他業(yè)務(wù)應(yīng)用程序處理的數(shù)據(jù)集，能很快的解析數(shù)據(jù)。所以用此技術(shù)開(kāi)發(fā)能很好的滿足網(wǎng)絡(luò)管理人員的需要且比現(xiàn)在用于解析數(shù)據(jù)的技術(shù)效率高。

3 數(shù)據(jù)解析的實(shí)現(xiàn)

3.1 節(jié)點(diǎn)的功能需求

對(duì)于NetFlowRawReader節(jié)點(diǎn)的功能需求：

需要讀取NetFlow數(shù)據(jù)文件，根據(jù)界面用戶選擇的文件類型，判定所選文件的類型符合，增加event_source，event_start_time，event_end_time，將數(shù)據(jù)放入event_data列中，數(shù)據(jù)結(jié)構(gòu)如表1：

圖1 NetFlowRawReader的功能示意圖

Raw record flow1的數(shù)據(jù)結(jié)構(gòu)：

表1 NetFlowRawReader輸出數(shù)據(jù)的結(jié)構(gòu)

[Column＼&Type＼&Description＼&event_type＼&String＼&Type of NetFlow data＼&event_source＼&String＼&Source of the NetFlow files＼&event_start_time＼&Timestamp＼&0 as default＼&event_end_time＼&Timestamp＼&0 as default＼&event_data＼&Binary＼&NetFlow data＼&]

對(duì)于NetFlowRawParser節(jié)點(diǎn)的功能需求：

NetFlowRawReader需要對(duì)讀取的數(shù)據(jù)按照相應(yīng)的解析規(guī)則進(jìn)行解析，給對(duì)應(yīng)的字段名賦值，按一定的格式輸出結(jié)果。

圖2 NetFlowRawReader的功能示意圖

表2 analytic record flow的數(shù)據(jù)結(jié)構(gòu)

[Column＼&Type＼&Description＼&event_type＼&String＼&Type of NetFlow data＼&event_source＼&String＼&Source of NetFlow files＼&event_start_time＼&Timestamp＼&0 as default＼&event_end_time＼&Timastamp＼&O as default＼&NetFlow_srcaddr＼&String＼&Column of NetFlow data＼&NetFlow_dstaddr＼&String＼&Column of NetFlow data＼&NetFlow_input＼&int＼&Column of NetFlow data＼&……＼&……＼&……＼&]

把NetFlowRawReader 和NetFlowRawParser結(jié)合起來(lái)，圖示如下：

圖3 整個(gè)設(shè)計(jì)的功能需求

從上面的功能需求圖可以看出，在NetFlowRawReader中主要根據(jù)NetFlow文件獲得文件的類型，路徑等相關(guān)信息。在NetFlowRawReader中才根據(jù)文件的類型，對(duì)應(yīng)相應(yīng)的字段進(jìn)行解析，獲取對(duì)應(yīng)字段的值。

3.2 NetFlowRawReader節(jié)點(diǎn)的主要功能

NetFlowRawReader節(jié)點(diǎn)的主要功能是讀取NetFlow數(shù)據(jù)文件，給文件加文件的路徑，類型，時(shí)間等字段。根據(jù)功能需求所以在NetFlowRawReader的界面上應(yīng)該有選擇文件，和提示文件類型的功能控件。

3.3 NetFlowRawParser節(jié)點(diǎn)的主要功能

NetFlowRawParser節(jié)點(diǎn)的主要功能是對(duì)NetFlowRawReader的輸出數(shù)據(jù)按照相應(yīng)的解析規(guī)則進(jìn)行解析。界面要求有選擇文件類型的控件，以便檢測(cè)文件的類型，還需要有一個(gè)控件為用戶提供對(duì)應(yīng)文件類型的全部字段名共用戶選擇，用戶可以通過(guò)這個(gè)值選取一部分字段，查看這一部分字段的值。

3.4結(jié)合NetFlowRawReader和NetFlowRawParser對(duì)文件進(jìn)行解析

用NetFlowRawReader和NetFlowRawParser對(duì)NetFlow數(shù)據(jù)文件進(jìn)行解析，在調(diào)用KNIME里面的視圖顯示的節(jié)點(diǎn)，通過(guò)圖形化顯示，更有利于分析數(shù)據(jù)。

節(jié)點(diǎn)的連線圖如下：

圖4 本次設(shè)計(jì)的全部效果圖

節(jié)點(diǎn)通過(guò)Color Manager給相同的字段給予同一種顏色，更有利于查看。在這里，Color Manager是通過(guò)dstaddr來(lái)給對(duì)應(yīng)的值顏色的。

Historgram和Pie chart兩個(gè)節(jié)點(diǎn)的功能是分別用柱狀圖和餅狀圖來(lái)顯示數(shù)據(jù)的結(jié)果，具體效果如下：

Historgram的效果圖如圖5所示。

Pie chart的效果圖如下：

圖6 Pie chart的效果圖

通過(guò)這兩個(gè)效果圖，可以很輕松的來(lái)對(duì)主句文件進(jìn)行分析。假如數(shù)據(jù)文件來(lái)自真實(shí)的環(huán)境，從效果圖中，可以看出，目的地址為“10.0.0.3”的數(shù)據(jù)流量不正常。用戶就可以使用特定的工具對(duì)這個(gè)地址進(jìn)行監(jiān)測(cè)，判斷出這個(gè)地址是受到了攻擊還是其他一些造成數(shù)據(jù)流量異常的原因，以便網(wǎng)絡(luò)管理員更好的管理網(wǎng)絡(luò)和分配網(wǎng)絡(luò)流量。

4 結(jié)束語(yǔ)

本文就節(jié)點(diǎn)開(kāi)發(fā)的一些基本功能和設(shè)計(jì)中的步驟和詳細(xì)進(jìn)行闡述。對(duì)于這次開(kāi)發(fā)，下一步的研究任務(wù)是通過(guò)接收指定端口的NetFlow數(shù)據(jù)，把數(shù)據(jù)進(jìn)行流化。用開(kāi)發(fā)出來(lái)的節(jié)點(diǎn)直接接收思科路由器的數(shù)據(jù)，進(jìn)行解析。實(shí)時(shí)接收數(shù)據(jù)，當(dāng)數(shù)據(jù)量達(dá)到一定數(shù)量時(shí)，便對(duì)數(shù)據(jù)進(jìn)行解析，圖形化展示給用戶。讓用戶能實(shí)時(shí)的觀察網(wǎng)絡(luò)流量。

參考文獻(xiàn)：

[1] Austin， Texas.DataRush_developers_guide[M].Pervasive Software Inc .December 2010.

[2] 百度百科 NetFlow簡(jiǎn)介. http：//baike.baidu.com/view/490587.htm.

[3] 江開(kāi)耀.軟件工程與開(kāi)發(fā)技術(shù)[M].西安：西安電子科大出版社，2009，2.

2 現(xiàn)狀分析

網(wǎng)絡(luò)數(shù)據(jù)流量的檢測(cè)能很好的幫助網(wǎng)絡(luò)管理人員判斷當(dāng)前的網(wǎng)絡(luò)狀態(tài)，因此一款能很快的解析數(shù)據(jù)流量的軟件是網(wǎng)絡(luò)管理人員需要的。但當(dāng)前用于解析NetFlow數(shù)據(jù)流量的技術(shù)解析效率普遍較低。DataRush技術(shù)采用多核技術(shù)分析和其他業(yè)務(wù)應(yīng)用程序處理的數(shù)據(jù)集，能很快的解析數(shù)據(jù)。所以用此技術(shù)開(kāi)發(fā)能很好的滿足網(wǎng)絡(luò)管理人員的需要且比現(xiàn)在用于解析數(shù)據(jù)的技術(shù)效率高。

3 數(shù)據(jù)解析的實(shí)現(xiàn)

3.1 節(jié)點(diǎn)的功能需求

對(duì)于NetFlowRawReader節(jié)點(diǎn)的功能需求：

需要讀取NetFlow數(shù)據(jù)文件，根據(jù)界面用戶選擇的文件類型，判定所選文件的類型符合，增加event_source，event_start_time，event_end_time，將數(shù)據(jù)放入event_data列中，數(shù)據(jù)結(jié)構(gòu)如表1：

圖1 NetFlowRawReader的功能示意圖

Raw record flow1的數(shù)據(jù)結(jié)構(gòu)：

表1 NetFlowRawReader輸出數(shù)據(jù)的結(jié)構(gòu)

[Column＼&Type＼&Description＼&event_type＼&String＼&Type of NetFlow data＼&event_source＼&String＼&Source of the NetFlow files＼&event_start_time＼&Timestamp＼&0 as default＼&event_end_time＼&Timestamp＼&0 as default＼&event_data＼&Binary＼&NetFlow data＼&]

對(duì)于NetFlowRawParser節(jié)點(diǎn)的功能需求：

NetFlowRawReader需要對(duì)讀取的數(shù)據(jù)按照相應(yīng)的解析規(guī)則進(jìn)行解析，給對(duì)應(yīng)的字段名賦值，按一定的格式輸出結(jié)果。

圖2 NetFlowRawReader的功能示意圖

表2 analytic record flow的數(shù)據(jù)結(jié)構(gòu)

[Column＼&Type＼&Description＼&event_type＼&String＼&Type of NetFlow data＼&event_source＼&String＼&Source of NetFlow files＼&event_start_time＼&Timestamp＼&0 as default＼&event_end_time＼&Timastamp＼&O as default＼&NetFlow_srcaddr＼&String＼&Column of NetFlow data＼&NetFlow_dstaddr＼&String＼&Column of NetFlow data＼&NetFlow_input＼&int＼&Column of NetFlow data＼&……＼&……＼&……＼&]

把NetFlowRawReader 和NetFlowRawParser結(jié)合起來(lái)，圖示如下：

圖3 整個(gè)設(shè)計(jì)的功能需求

從上面的功能需求圖可以看出，在NetFlowRawReader中主要根據(jù)NetFlow文件獲得文件的類型，路徑等相關(guān)信息。在NetFlowRawReader中才根據(jù)文件的類型，對(duì)應(yīng)相應(yīng)的字段進(jìn)行解析，獲取對(duì)應(yīng)字段的值。

3.2 NetFlowRawReader節(jié)點(diǎn)的主要功能

NetFlowRawReader節(jié)點(diǎn)的主要功能是讀取NetFlow數(shù)據(jù)文件，給文件加文件的路徑，類型，時(shí)間等字段。根據(jù)功能需求所以在NetFlowRawReader的界面上應(yīng)該有選擇文件，和提示文件類型的功能控件。

3.3 NetFlowRawParser節(jié)點(diǎn)的主要功能

NetFlowRawParser節(jié)點(diǎn)的主要功能是對(duì)NetFlowRawReader的輸出數(shù)據(jù)按照相應(yīng)的解析規(guī)則進(jìn)行解析。界面要求有選擇文件類型的控件，以便檢測(cè)文件的類型，還需要有一個(gè)控件為用戶提供對(duì)應(yīng)文件類型的全部字段名共用戶選擇，用戶可以通過(guò)這個(gè)值選取一部分字段，查看這一部分字段的值。

3.4結(jié)合NetFlowRawReader和NetFlowRawParser對(duì)文件進(jìn)行解析

用NetFlowRawReader和NetFlowRawParser對(duì)NetFlow數(shù)據(jù)文件進(jìn)行解析，在調(diào)用KNIME里面的視圖顯示的節(jié)點(diǎn)，通過(guò)圖形化顯示，更有利于分析數(shù)據(jù)。

節(jié)點(diǎn)的連線圖如下：

圖4 本次設(shè)計(jì)的全部效果圖

節(jié)點(diǎn)通過(guò)Color Manager給相同的字段給予同一種顏色，更有利于查看。在這里，Color Manager是通過(guò)dstaddr來(lái)給對(duì)應(yīng)的值顏色的。

Historgram和Pie chart兩個(gè)節(jié)點(diǎn)的功能是分別用柱狀圖和餅狀圖來(lái)顯示數(shù)據(jù)的結(jié)果，具體效果如下：

Historgram的效果圖如圖5所示。

Pie chart的效果圖如下：

圖6 Pie chart的效果圖

通過(guò)這兩個(gè)效果圖，可以很輕松的來(lái)對(duì)主句文件進(jìn)行分析。假如數(shù)據(jù)文件來(lái)自真實(shí)的環(huán)境，從效果圖中，可以看出，目的地址為“10.0.0.3”的數(shù)據(jù)流量不正常。用戶就可以使用特定的工具對(duì)這個(gè)地址進(jìn)行監(jiān)測(cè)，判斷出這個(gè)地址是受到了攻擊還是其他一些造成數(shù)據(jù)流量異常的原因，以便網(wǎng)絡(luò)管理員更好的管理網(wǎng)絡(luò)和分配網(wǎng)絡(luò)流量。

4 結(jié)束語(yǔ)

本文就節(jié)點(diǎn)開(kāi)發(fā)的一些基本功能和設(shè)計(jì)中的步驟和詳細(xì)進(jìn)行闡述。對(duì)于這次開(kāi)發(fā)，下一步的研究任務(wù)是通過(guò)接收指定端口的NetFlow數(shù)據(jù)，把數(shù)據(jù)進(jìn)行流化。用開(kāi)發(fā)出來(lái)的節(jié)點(diǎn)直接接收思科路由器的數(shù)據(jù)，進(jìn)行解析。實(shí)時(shí)接收數(shù)據(jù)，當(dāng)數(shù)據(jù)量達(dá)到一定數(shù)量時(shí)，便對(duì)數(shù)據(jù)進(jìn)行解析，圖形化展示給用戶。讓用戶能實(shí)時(shí)的觀察網(wǎng)絡(luò)流量。

參考文獻(xiàn)：

[1] Austin， Texas.DataRush_developers_guide[M].Pervasive Software Inc .December 2010.

[2] 百度百科 NetFlow簡(jiǎn)介. http：//baike.baidu.com/view/490587.htm.

[3] 江開(kāi)耀.軟件工程與開(kāi)發(fā)技術(shù)[M].西安：西安電子科大出版社，2009，2.