【正文】 析，必須從鏈路層開始分析，然后分析網(wǎng)絡(luò)層，再分析傳輸層，最后分析 應(yīng)用層。其中， args 為從 pcap_loop 函數(shù)傳遞過來的u_char 指針， pheader 為指向 pcap_pkthdr 結(jié) 構(gòu)指針， packet 是指向所有捕獲的數(shù)據(jù)包的指針。其中， p為指 向監(jiān)聽會(huì)話句柄的指針， fp 為指向結(jié)構(gòu) bpf_program 的指針，一般為函數(shù)pcap_ple 編譯后的結(jié)果，也可以用手工編 BPF 代碼。 （ 3）編譯過濾器 函數(shù)原型： int pcap_pile(pcap_t * p,struct bpf_progrm * fp,char*str,int optimize,bpf_u_int32 mask) 功能：將字符串形 式的過濾要求編譯成二進(jìn)制形式存儲(chǔ)在 bpf_program 結(jié)構(gòu)中。主要的函數(shù)功能說明如下： （ 1）選擇監(jiān)聽網(wǎng)絡(luò)接口 函數(shù)原型： Char * pcap_lookupdev (char*errbuf) 功能：用于尋找本機(jī)可用的網(wǎng)絡(luò)接口，調(diào)用成功就返回指向網(wǎng)絡(luò)接口的指針。 /*設(shè)置過濾規(guī)則 */ if(pcap_datalink(pcap_handle)!=DLT_EN10MB) return。 /*打開網(wǎng)絡(luò)接口 */ pcap_pile(pcap_handle,amp。 /*獲得可用的網(wǎng)絡(luò)接口 */ pcap_lookup(_interface,amp。 /*BPF 過濾規(guī)則 */ char bpf_filter_string[]=。 /*Libpcap 句柄 */ char error_content[PCAP_ERRBUF_SIZE]。網(wǎng)卡在設(shè)置為廣播模式時(shí)，它將會(huì)接受所有目的地址為廣播地址的數(shù)據(jù)包，一般所有的網(wǎng)卡都會(huì)設(shè)置為這 個(gè)模式；網(wǎng)卡在設(shè)置為多播模式時(shí)，當(dāng)數(shù)據(jù)包的目的地網(wǎng)絡(luò)信息 數(shù)據(jù)截獲 數(shù)據(jù)過濾 應(yīng)用程序（響應(yīng)模塊） 址為多播地址，而且網(wǎng)卡地址是屬于那個(gè)多播地址說代表的多播組時(shí)，網(wǎng)卡將接納此數(shù)據(jù)包；網(wǎng)卡在設(shè)置為直接模式時(shí)，只有當(dāng)數(shù)據(jù)包的目的地址為網(wǎng)卡自己的地址時(shí)，網(wǎng)卡才接受它；網(wǎng)卡在設(shè)置為混雜模式時(shí)，它將接受所有經(jīng)過的數(shù)據(jù)包。其工作流程圖如 41 所示： 圖 41 數(shù)據(jù)包捕獲流程圖 網(wǎng)絡(luò)數(shù)據(jù)包捕獲可以通過兩種機(jī)制實(shí)現(xiàn)，一種是利用以太網(wǎng)的廣播特性，另一種方式是通過設(shè)置路由器的監(jiān)聽端口實(shí)現(xiàn)。這些用戶自定義的過濾器將決定一個(gè)數(shù)據(jù)包是否被接受以及數(shù)據(jù)包中的那些內(nèi) 容應(yīng)該被保存下來。 BPF 在內(nèi)核態(tài)對數(shù)據(jù)包進(jìn)行預(yù)處理，因而大大提高了運(yùn)行性能。它充分考慮了各種性能和效率的優(yōu)化，在內(nèi)核層實(shí)現(xiàn)了數(shù)據(jù)包的捕獲和過濾。 開發(fā) winpcap這個(gè)項(xiàng)目的目的在于為 win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力 ，其核心功能是捕獲網(wǎng)絡(luò)數(shù)據(jù)包，其他功能包括數(shù)據(jù)包過濾、數(shù)據(jù)包發(fā)送、流量統(tǒng)計(jì)和數(shù)據(jù)包存儲(chǔ)等。由于本系統(tǒng)是基于 Windows操作系統(tǒng)的，所以數(shù)據(jù)包捕獲功能是在 Winpcap軟件開發(fā)包的基礎(chǔ)上實(shí)現(xiàn)的。除了這兩大模塊以外，本系統(tǒng)還有一個(gè)中央控制臺(tái)模塊，該模塊主要是給系統(tǒng)的使用者提供方便的操作界面，以及顯示系統(tǒng)輸出的各項(xiàng)數(shù)據(jù)。本系統(tǒng)實(shí)際上是一個(gè)小型的基于 Windows 的網(wǎng)絡(luò)入侵檢測系統(tǒng)，雖然只需要安裝在整個(gè)共享網(wǎng)段的 某臺(tái)機(jī)器上，但能夠?qū)φ麄€(gè)網(wǎng)段提供入侵檢測的保護(hù)。 IDS 的恢復(fù)研究包括系統(tǒng)狀態(tài)一致性檢測，系統(tǒng)數(shù)據(jù)備分，系統(tǒng)恢復(fù)策略和恢復(fù)機(jī)制。 ? 智能的入侵檢測 入侵方法的越來越多樣化和復(fù)雜化，傳統(tǒng)的入侵檢測方法還存在著不少不足，盡管已經(jīng)有智能代理、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但這只是一 些嘗試性的研究工作，需要對智能代理的 IDS 加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。 ? 體系結(jié)構(gòu)的新發(fā)展 進(jìn)一步研究分布式入侵檢測與通用的入侵檢測構(gòu)架。 除此以外，入侵檢測系統(tǒng)還可以按數(shù)據(jù)分析發(fā)生的時(shí)間、入侵攻擊的響應(yīng)方式等方法分類。它的缺點(diǎn)是建立系統(tǒng)主體正常活動(dòng)的“活動(dòng)簡檔”和設(shè)置合適的臨界值都比較困難、誤報(bào)警率高。首先根據(jù)主題的歷史活動(dòng)記錄，為每個(gè)主體建立正常活動(dòng)的“活動(dòng)簡檔”；將當(dāng)前的主體活動(dòng)與“活動(dòng)簡檔”進(jìn)行比較，如果差異大于某個(gè)預(yù)定義的值，就認(rèn)為這是一次入侵。它將涉及多個(gè)主機(jī)的入侵信息進(jìn)行關(guān)聯(lián)分析、保護(hù)范圍大。它監(jiān)視的對象是整個(gè)共享子網(wǎng)，能夠?yàn)檎麄€(gè)共享子網(wǎng)提供保護(hù)。主機(jī)系統(tǒng)中最經(jīng)典的數(shù)據(jù)源就是審計(jì)日志，也有的入侵檢測系統(tǒng)將數(shù)據(jù)源擴(kuò)展到系統(tǒng)日志、應(yīng)用程序日志、系統(tǒng)狀態(tài)、系統(tǒng)調(diào)用信息等。 數(shù)據(jù)分析模塊的作用在于對數(shù)據(jù)進(jìn)行深入的分析，發(fā)現(xiàn)攻擊并根據(jù)分析的結(jié)果產(chǎn)生事件，傳遞給結(jié)果處理模塊。 接下來看一下入侵檢測系統(tǒng)的檢測流程，如圖 22 中給出了一個(gè)通用的入侵檢測系統(tǒng)流程。 入侵檢測和其他的檢測技術(shù)有相同原理：從一組數(shù)據(jù)中，檢測出符合某一特點(diǎn)的數(shù)據(jù)。 圖 21 P2DR安全模型 入侵檢測的原理 入侵檢測系統(tǒng)（ IDS,Intrusion Detetion System）是通過對網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，從而發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。入侵檢測技術(shù)就是實(shí)現(xiàn) P2DR 模型中 ” Detection” 部分的主要技術(shù)手段。 入侵檢測與 P2DR 模型 P2DR 模型是一個(gè)動(dòng)態(tài)的計(jì)算機(jī)系統(tǒng)安全理論模型。 安全性：入侵檢測系統(tǒng)自身必須安全，如果入侵檢測系統(tǒng)自身的安全性得不到保障，首先意味著信息的無效，而更嚴(yán)重的是入侵者控制了入侵檢測系統(tǒng)即獲得了對系統(tǒng)的控制權(quán) 。我們可以給入侵檢測做一個(gè)簡單的定義，入侵檢測就是對（網(wǎng)絡(luò)）系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性與可用性。 2. 入侵檢測基礎(chǔ) 當(dāng)我們無法完全防止入侵時(shí)，那么只能希望系統(tǒng)在受到攻擊時(shí)，能盡快檢測出入侵，而且最好是實(shí)時(shí)的，以便可以采取相應(yīng)的措施來對付入侵，這就是入侵檢測系統(tǒng)要做的，它從計(jì)算機(jī)網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 第四部分，詳細(xì)介紹了檢測模塊的設(shè)計(jì)與實(shí)現(xiàn)以及系統(tǒng)集成后的運(yùn)行結(jié)果。 雖然網(wǎng)絡(luò)安全已經(jīng)超越了純技術(shù)領(lǐng)域，但網(wǎng)絡(luò)安全技術(shù)仍然是解決網(wǎng)絡(luò)安全最重要的基礎(chǔ)和研究方向。 （ 5）反病毒技術(shù) 計(jì)算機(jī)病毒是一段具有極強(qiáng)破壞性的惡意代碼，它可以將自身納入其他程序中，以此來進(jìn)行隱藏，復(fù)制和傳播，從而破壞用戶文件，數(shù)據(jù)甚至硬件。 （ 3）訪問控制技術(shù) 訪問控制是從計(jì)算機(jī)系統(tǒng)的處理能力方面對信息提供保護(hù)機(jī)制，它按照事先確定的規(guī)則決定主體對客體的訪問是否合法。在公鑰密碼中，收發(fā)雙方使用的密鑰各不相同，密鑰的管理比較方便。網(wǎng)絡(luò)中的數(shù)據(jù)加密，除了選擇加密算法和密鑰外，主要問題是加密 的方式以及實(shí)現(xiàn)加密的網(wǎng)絡(luò)協(xié)議層次和密鑰的分配管理。 網(wǎng)絡(luò)安全技術(shù) 如今已有大量的研究機(jī)構(gòu)、社會(huì)團(tuán)體、商業(yè)公司和政府部門投入到網(wǎng)絡(luò)安全的研究中，并將此納入到一個(gè)被稱為信息安全的研究領(lǐng)域。同時(shí)，市場的激烈競爭，促使商家需要更快地推出產(chǎn)品，軟件的快速開發(fā)也增大了遺留更多隱患的可能性。 （ 3）軟件質(zhì)量問題。網(wǎng)絡(luò)是一個(gè)有眾多環(huán)節(jié)構(gòu)成的復(fù)雜系統(tǒng)。在被動(dòng)攻擊中攻擊者只是觀察和竊取數(shù)據(jù)而不干擾信息流，攻擊不會(huì)導(dǎo)致對 系統(tǒng)中所含信息的任何改動(dòng)，而且系統(tǒng)的操作和狀態(tài)也不會(huì)被改變，因此被動(dòng)攻擊主要威脅信息的保密性。 篡 改（ modification）：攻擊者故意篡改網(wǎng)絡(luò)上傳播的報(bào)文。攻擊者可能竊聽網(wǎng)絡(luò)上的信息，竊取用戶口令、數(shù)據(jù)庫信息，還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。 本文首先介紹了網(wǎng)絡(luò)入侵檢測的基本原理和實(shí)現(xiàn)入侵檢測的技術(shù)。傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。 Data packet capture。 本文首先介紹入侵檢測系統(tǒng)的原理，并在此基礎(chǔ)上利用 Winpcap 開發(fā)包 ,在Windows 操作系統(tǒng)下實(shí)現(xiàn)了基于數(shù)據(jù)包分析的網(wǎng)絡(luò)入侵檢測系統(tǒng)的檢測模塊。 畢業(yè)設(shè)計(jì) ( 論文 ) 基于 Windows 入侵檢測系統(tǒng)的研究與設(shè)計(jì) 檢測模塊設(shè)計(jì) 論文作者姓名： 申請學(xué)位專業(yè)： 申請學(xué)位類別： 指導(dǎo)教師姓名（職稱）： 論文提交日期： 基于 windows 入侵檢測系統(tǒng)的研究與設(shè)計(jì) 檢測模塊設(shè)計(jì) 摘 要 當(dāng)今是信息時(shí)代，互聯(lián)網(wǎng)正在給全球帶來翻天覆地的變化。傳統(tǒng)的防火墻技術(shù)固然重要，但是，發(fā)展網(wǎng)絡(luò)入侵檢測及預(yù)警技術(shù)也同樣重要，它是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 關(guān)鍵詞 : 入侵檢測系統(tǒng)； 數(shù)據(jù)包捕獲；數(shù)據(jù)包分析 The Research and Design of Intrusion Detection System Based on Windows —— Design of Detective Module Abstract Nowadays, it is information age, and Inter brings the great change to the whole world. With Inter development at full speed, in the global, the popularization day by day of the work technology, the work security question bees more and more outstanding too. The security of puter work is a internationalize problem, the whole world lose up to tens of billion dollars every year caused by that the security system of the puter work is destroyed. Traditional fire wall technology is no doubt important, however, it is also important to develop the work intrusion detection and early warning technology. It is the rational supplement of the fire wall , and is helpful to deal with work attacks for system, thus offer protect to the attacks from inside, the attacks from outside and operations by mistake in real time. At first, the paper introduces the principle of intrusion detection system (IDS), and then gives the implementation of a work intrusion detective module based on packet of Winpcap of Windows. The module has the function of capture and analysis on data Packets in Share Network Segment and so on. It is an important part of the whole work intrusion detection system, which is the base of response module and is designed in order to supply the necessary data to the responsible module. Key words: Intrusion detection system。 入侵檢測技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一。入侵檢測被認(rèn)為是防火墻之后的第二道安全防線，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 網(wǎng)絡(luò)安全面臨 的威脅 入侵的來源可能是多種多樣的，比如說，它可能是企業(yè)心懷不滿的員工、網(wǎng)絡(luò)黑客、甚至是競爭對手。 中斷（ interruption）：攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信。在上述情況中，截獲信息的攻擊稱為被動(dòng)攻擊，而更改信息和拒絕客戶使用資源的攻擊稱為主動(dòng)攻擊。 網(wǎng)絡(luò)安全隱患的來源 網(wǎng)絡(luò)安全隱患主要來自于四個(gè)方面： （ 1）網(wǎng)絡(luò)的復(fù)雜性。由于網(wǎng)絡(luò)的發(fā)展，提供新的網(wǎng)絡(luò)服務(wù)，增加網(wǎng)絡(luò)的開放性和互聯(lián)性，必然將更多環(huán)節(jié)納入系統(tǒng)中，新加入的環(huán)節(jié)又增加了系統(tǒng)的復(fù)雜性，引發(fā)了網(wǎng)絡(luò)的不安定性?，F(xiàn)代網(wǎng)絡(luò)已經(jīng)是軟件驅(qū)動(dòng)的發(fā)展模式，對軟件的更多依賴性加大了軟件質(zhì)量對網(wǎng)絡(luò)安全的負(fù)面影響。 由于存在更多的安全威脅和安全隱患，能否成功的阻止網(wǎng)絡(luò)黑客的入侵、保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常的運(yùn)行便成為網(wǎng)絡(luò) 管理員所面臨的一個(gè)重要問題。 （ 1）數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密是網(wǎng)絡(luò)安全中采用的最基本的安全技術(shù)，目的是保護(hù)數(shù)據(jù)、文件、口令以及其他信息在網(wǎng)絡(luò)上的安全傳輸，防止竊聽。比