【正文】 析，必須從鏈路層開始分析，然后分析網(wǎng)絡層，再分析傳輸層，最后分析 應用層。其中， args 為從 pcap_loop 函數(shù)傳遞過來的u_char 指針， pheader 為指向 pcap_pkthdr 結 構指針， packet 是指向所有捕獲的數(shù)據(jù)包的指針。其中， p為指 向監(jiān)聽會話句柄的指針， fp 為指向結構 bpf_program 的指針，一般為函數(shù)pcap_ple 編譯后的結果，也可以用手工編 BPF 代碼。 （ 3）編譯過濾器 函數(shù)原型： int pcap_pile(pcap_t * p,struct bpf_progrm * fp,char*str,int optimize,bpf_u_int32 mask) 功能：將字符串形 式的過濾要求編譯成二進制形式存儲在 bpf_program 結構中。主要的函數(shù)功能說明如下： （ 1）選擇監(jiān)聽網(wǎng)絡接口 函數(shù)原型： Char * pcap_lookupdev (char*errbuf) 功能：用于尋找本機可用的網(wǎng)絡接口，調用成功就返回指向網(wǎng)絡接口的指針。 /*設置過濾規(guī)則 */ if(pcap_datalink(pcap_handle)!=DLT_EN10MB) return。 /*打開網(wǎng)絡接口 */ pcap_pile(pcap_handle,amp。 /*獲得可用的網(wǎng)絡接口 */ pcap_lookup(_interface,amp。 /*BPF 過濾規(guī)則 */ char bpf_filter_string[]=。 /*Libpcap 句柄 */ char error_content[PCAP_ERRBUF_SIZE]。網(wǎng)卡在設置為廣播模式時，它將會接受所有目的地址為廣播地址的數(shù)據(jù)包，一般所有的網(wǎng)卡都會設置為這 個模式；網(wǎng)卡在設置為多播模式時，當數(shù)據(jù)包的目的地網(wǎng)絡信息 數(shù)據(jù)截獲 數(shù)據(jù)過濾 應用程序（響應模塊） 址為多播地址，而且網(wǎng)卡地址是屬于那個多播地址說代表的多播組時，網(wǎng)卡將接納此數(shù)據(jù)包；網(wǎng)卡在設置為直接模式時，只有當數(shù)據(jù)包的目的地址為網(wǎng)卡自己的地址時，網(wǎng)卡才接受它；網(wǎng)卡在設置為混雜模式時，它將接受所有經(jīng)過的數(shù)據(jù)包。其工作流程圖如 41 所示： 圖 41 數(shù)據(jù)包捕獲流程圖 網(wǎng)絡數(shù)據(jù)包捕獲可以通過兩種機制實現(xiàn)，一種是利用以太網(wǎng)的廣播特性，另一種方式是通過設置路由器的監(jiān)聽端口實現(xiàn)。這些用戶自定義的過濾器將決定一個數(shù)據(jù)包是否被接受以及數(shù)據(jù)包中的那些內 容應該被保存下來。 BPF 在內核態(tài)對數(shù)據(jù)包進行預處理，因而大大提高了運行性能。它充分考慮了各種性能和效率的優(yōu)化，在內核層實現(xiàn)了數(shù)據(jù)包的捕獲和過濾。 開發(fā) winpcap這個項目的目的在于為 win32應用程序提供訪問網(wǎng)絡底層的能力 ，其核心功能是捕獲網(wǎng)絡數(shù)據(jù)包，其他功能包括數(shù)據(jù)包過濾、數(shù)據(jù)包發(fā)送、流量統(tǒng)計和數(shù)據(jù)包存儲等。由于本系統(tǒng)是基于 Windows操作系統(tǒng)的，所以數(shù)據(jù)包捕獲功能是在 Winpcap軟件開發(fā)包的基礎上實現(xiàn)的。除了這兩大模塊以外，本系統(tǒng)還有一個中央控制臺模塊，該模塊主要是給系統(tǒng)的使用者提供方便的操作界面，以及顯示系統(tǒng)輸出的各項數(shù)據(jù)。本系統(tǒng)實際上是一個小型的基于 Windows 的網(wǎng)絡入侵檢測系統(tǒng)，雖然只需要安裝在整個共享網(wǎng)段的 某臺機器上，但能夠對整個網(wǎng)段提供入侵檢測的保護。 IDS 的恢復研究包括系統(tǒng)狀態(tài)一致性檢測，系統(tǒng)數(shù)據(jù)備分，系統(tǒng)恢復策略和恢復機制。 ? 智能的入侵檢測 入侵方法的越來越多樣化和復雜化，傳統(tǒng)的入侵檢測方法還存在著不少不足，盡管已經(jīng)有智能代理、神經(jīng)網(wǎng)絡與遺傳算法在入侵檢測領域應用研究，但這只是一 些嘗試性的研究工作，需要對智能代理的 IDS 加以進一步的研究以解決其自學習與自適應能力。 ? 體系結構的新發(fā)展 進一步研究分布式入侵檢測與通用的入侵檢測構架。 除此以外，入侵檢測系統(tǒng)還可以按數(shù)據(jù)分析發(fā)生的時間、入侵攻擊的響應方式等方法分類。它的缺點是建立系統(tǒng)主體正?；顒拥摹盎顒雍啓n”和設置合適的臨界值都比較困難、誤報警率高。首先根據(jù)主題的歷史活動記錄，為每個主體建立正常活動的“活動簡檔”；將當前的主體活動與“活動簡檔”進行比較，如果差異大于某個預定義的值，就認為這是一次入侵。它將涉及多個主機的入侵信息進行關聯(lián)分析、保護范圍大。它監(jiān)視的對象是整個共享子網(wǎng)，能夠為整個共享子網(wǎng)提供保護。主機系統(tǒng)中最經(jīng)典的數(shù)據(jù)源就是審計日志，也有的入侵檢測系統(tǒng)將數(shù)據(jù)源擴展到系統(tǒng)日志、應用程序日志、系統(tǒng)狀態(tài)、系統(tǒng)調用信息等。 數(shù)據(jù)分析模塊的作用在于對數(shù)據(jù)進行深入的分析，發(fā)現(xiàn)攻擊并根據(jù)分析的結果產(chǎn)生事件，傳遞給結果處理模塊。 接下來看一下入侵檢測系統(tǒng)的檢測流程，如圖 22 中給出了一個通用的入侵檢測系統(tǒng)流程。 入侵檢測和其他的檢測技術有相同原理：從一組數(shù)據(jù)中，檢測出符合某一特點的數(shù)據(jù)。 圖 21 P2DR安全模型 入侵檢測的原理 入侵檢測系統(tǒng)（ IDS,Intrusion Detetion System）是通過對網(wǎng)絡系統(tǒng)的運行狀態(tài)進行監(jiān)視，從而發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統(tǒng)資源的機密性、完整性和可用性。入侵檢測技術就是實現(xiàn) P2DR 模型中 ” Detection” 部分的主要技術手段。 入侵檢測與 P2DR 模型 P2DR 模型是一個動態(tài)的計算機系統(tǒng)安全理論模型。 安全性：入侵檢測系統(tǒng)自身必須安全，如果入侵檢測系統(tǒng)自身的安全性得不到保障，首先意味著信息的無效，而更嚴重的是入侵者控制了入侵檢測系統(tǒng)即獲得了對系統(tǒng)的控制權 。我們可以給入侵檢測做一個簡單的定義，入侵檢測就是對（網(wǎng)絡）系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統(tǒng)資源的機密性、完整性與可用性。 2. 入侵檢測基礎 當我們無法完全防止入侵時，那么只能希望系統(tǒng)在受到攻擊時，能盡快檢測出入侵，而且最好是實時的，以便可以采取相應的措施來對付入侵，這就是入侵檢測系統(tǒng)要做的，它從計算機網(wǎng)絡中的若干關鍵點收集信息，并分析這些信息，檢查網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。 第四部分，詳細介紹了檢測模塊的設計與實現(xiàn)以及系統(tǒng)集成后的運行結果。 雖然網(wǎng)絡安全已經(jīng)超越了純技術領域，但網(wǎng)絡安全技術仍然是解決網(wǎng)絡安全最重要的基礎和研究方向。 （ 5）反病毒技術 計算機病毒是一段具有極強破壞性的惡意代碼，它可以將自身納入其他程序中，以此來進行隱藏，復制和傳播，從而破壞用戶文件，數(shù)據(jù)甚至硬件。 （ 3）訪問控制技術 訪問控制是從計算機系統(tǒng)的處理能力方面對信息提供保護機制，它按照事先確定的規(guī)則決定主體對客體的訪問是否合法。在公鑰密碼中，收發(fā)雙方使用的密鑰各不相同，密鑰的管理比較方便。網(wǎng)絡中的數(shù)據(jù)加密，除了選擇加密算法和密鑰外，主要問題是加密 的方式以及實現(xiàn)加密的網(wǎng)絡協(xié)議層次和密鑰的分配管理。 網(wǎng)絡安全技術 如今已有大量的研究機構、社會團體、商業(yè)公司和政府部門投入到網(wǎng)絡安全的研究中，并將此納入到一個被稱為信息安全的研究領域。同時，市場的激烈競爭，促使商家需要更快地推出產(chǎn)品，軟件的快速開發(fā)也增大了遺留更多隱患的可能性。 （ 3）軟件質量問題。網(wǎng)絡是一個有眾多環(huán)節(jié)構成的復雜系統(tǒng)。在被動攻擊中攻擊者只是觀察和竊取數(shù)據(jù)而不干擾信息流，攻擊不會導致對 系統(tǒng)中所含信息的任何改動，而且系統(tǒng)的操作和狀態(tài)也不會被改變，因此被動攻擊主要威脅信息的保密性。 篡 改（ modification）：攻擊者故意篡改網(wǎng)絡上傳播的報文。攻擊者可能竊聽網(wǎng)絡上的信息，竊取用戶口令、數(shù)據(jù)庫信息，還可以篡改數(shù)據(jù)庫內容，偽造用戶身份，否認自己的簽名。 本文首先介紹了網(wǎng)絡入侵檢測的基本原理和實現(xiàn)入侵檢測的技術。傳統(tǒng)的操作系統(tǒng)加固技術和防火墻隔離技術等都是靜態(tài)安全防御技術，對網(wǎng)絡環(huán)境下日新月異的攻擊手段缺乏主動的反應。 Data packet capture。 本文首先介紹入侵檢測系統(tǒng)的原理，并在此基礎上利用 Winpcap 開發(fā)包 ,在Windows 操作系統(tǒng)下實現(xiàn)了基于數(shù)據(jù)包分析的網(wǎng)絡入侵檢測系統(tǒng)的檢測模塊。 畢業(yè)設計 ( 論文 ) 基于 Windows 入侵檢測系統(tǒng)的研究與設計 檢測模塊設計 論文作者姓名： 申請學位專業(yè)： 申請學位類別： 指導教師姓名（職稱）： 論文提交日期： 基于 windows 入侵檢測系統(tǒng)的研究與設計 檢測模塊設計 摘 要 當今是信息時代，互聯(lián)網(wǎng)正在給全球帶來翻天覆地的變化。傳統(tǒng)的防火墻技術固然重要，但是，發(fā)展網(wǎng)絡入侵檢測及預警技術也同樣重要，它是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。 關鍵詞 : 入侵檢測系統(tǒng)； 數(shù)據(jù)包捕獲；數(shù)據(jù)包分析 The Research and Design of Intrusion Detection System Based on Windows —— Design of Detective Module Abstract Nowadays, it is information age, and Inter brings the great change to the whole world. With Inter development at full speed, in the global, the popularization day by day of the work technology, the work security question bees more and more outstanding too. The security of puter work is a internationalize problem, the whole world lose up to tens of billion dollars every year caused by that the security system of the puter work is destroyed. Traditional fire wall technology is no doubt important, however, it is also important to develop the work intrusion detection and early warning technology. It is the rational supplement of the fire wall , and is helpful to deal with work attacks for system, thus offer protect to the attacks from inside, the attacks from outside and operations by mistake in real time. At first, the paper introduces the principle of intrusion detection system (IDS), and then gives the implementation of a work intrusion detective module based on packet of Winpcap of Windows. The module has the function of capture and analysis on data Packets in Share Network Segment and so on. It is an important part of the whole work intrusion detection system, which is the base of response module and is designed in order to supply the necessary data to the responsible module. Key words: Intrusion detection system。 入侵檢測技術是動態(tài)安全技術的最核心技術之一。入侵檢測被認為是防火墻之后的第二道安全防線，提供對內部攻擊、外部攻擊和誤操作的實時保護。 網(wǎng)絡安全面臨 的威脅 入侵的來源可能是多種多樣的，比如說，它可能是企業(yè)心懷不滿的員工、網(wǎng)絡黑客、甚至是競爭對手。 中斷（ interruption）：攻擊者有意中斷他人在網(wǎng)絡上的通信。在上述情況中，截獲信息的攻擊稱為被動攻擊，而更改信息和拒絕客戶使用資源的攻擊稱為主動攻擊。 網(wǎng)絡安全隱患的來源 網(wǎng)絡安全隱患主要來自于四個方面： （ 1）網(wǎng)絡的復雜性。由于網(wǎng)絡的發(fā)展，提供新的網(wǎng)絡服務，增加網(wǎng)絡的開放性和互聯(lián)性，必然將更多環(huán)節(jié)納入系統(tǒng)中，新加入的環(huán)節(jié)又增加了系統(tǒng)的復雜性，引發(fā)了網(wǎng)絡的不安定性?，F(xiàn)代網(wǎng)絡已經(jīng)是軟件驅動的發(fā)展模式，對軟件的更多依賴性加大了軟件質量對網(wǎng)絡安全的負面影響。 由于存在更多的安全威脅和安全隱患，能否成功的阻止網(wǎng)絡黑客的入侵、保證計算機和網(wǎng)絡系統(tǒng)的安全和正常的運行便成為網(wǎng)絡 管理員所面臨的一個重要問題。 （ 1）數(shù)據(jù)加密技術 數(shù)據(jù)加密是網(wǎng)絡安全中采用的最基本的安全技術，目的是保護數(shù)據(jù)、文件、口令以及其他信息在網(wǎng)絡上的安全傳輸，防止竊聽。比