【正文】 ................................................. 10 .......................................................... 11 4. 檢測模塊的設(shè)計與實現(xiàn) .................................................... 11 .......................................................... 11 Winpcap 軟件開發(fā)包簡介 ............................................ 11 BPF過濾機制簡介 .................................................. 12 .......................................... 12 網(wǎng)絡(luò)數(shù)據(jù)包捕獲機制 ............................................ 12 數(shù)據(jù)包捕獲的具體實現(xiàn) .......................................... 12 網(wǎng)絡(luò)數(shù)據(jù)包分析模塊的實現(xiàn) .......................................... 16 系統(tǒng)集成 ......................................................... 18 5. 系統(tǒng)測試與分析 .......................................................... 19 測試目的 ......................................................... 19 測試結(jié)果 ......................................................... 19 結(jié) 論 .................................................................. 21 參考文獻 .................................................................. 21 致 謝 .................................................................. 22 聲 明 .................................................................. 24 1．引 言 課題背景及意義 當(dāng)今網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)成為人們生活的重要組成部分，與此同時，黑客頻頻入侵網(wǎng)絡(luò)，網(wǎng)絡(luò)安全問題成為人們關(guān)注的焦點。 入侵檢測是防火墻的合理補 充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。隨后重點介紹了基于 Windows 入侵檢測系統(tǒng)中檢測模塊的設(shè)計與實現(xiàn)。更為嚴(yán)重的是攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點，釋放計算機病毒，直到整個網(wǎng)絡(luò)陷入癱瘓。 偽造（ fabrication）：攻擊者偽造信息在網(wǎng)絡(luò)上傳送。主動攻擊則意在篡改系統(tǒng)中所含信息或者改變系統(tǒng)的狀態(tài)及操作。由于市場利潤、技術(shù)投入、產(chǎn)品成本、技術(shù)規(guī)范等等問題，不同供應(yīng)商提供的環(huán)節(jié)在安全性上不盡相同，使得整個網(wǎng)絡(luò)系統(tǒng)的安全成度被限制在安全等級最低的那個環(huán)節(jié)上。軟件質(zhì)量難以評估是軟件的 一個特性。 （ 4）其他非技術(shù)因素。網(wǎng)絡(luò)安全技術(shù)主要包括基于密碼學(xué)的安全措施和非密碼體制的安全措施，前者包括：數(shù)據(jù)加密技術(shù)、身份鑒別技術(shù)等。按照收發(fā)雙方密鑰是否相同，可分為對稱密碼算法和非對稱密碼算法即公鑰密碼算法兩種。比較著名的公鑰密碼算法有： ECC、 RSA 等，其中 RSA 算法應(yīng)用最為廣泛。當(dāng)一個主體試圖非法使用一個未經(jīng)授權(quán)的資源時，訪問機制將拒絕這一企圖，并將這一時間記錄到系統(tǒng)日志中。從廣義上講，它還包括邏輯炸彈、特洛伊木馬和系統(tǒng)陷阱等。 本文研究內(nèi)容 本文共分為五個部分，各部分內(nèi)容如下： 第一部分，主要介紹了課題提出的背景、意義、安全隱患、現(xiàn)有的安全技術(shù)等，強調(diào)了入侵檢測的重要性。其中包括檢測模塊的 設(shè)計思想、工作原理以及核心代碼的分析等。入侵檢測系統(tǒng)（ IDS，Intrusion Detection System）正是一種采取主動策略的網(wǎng)絡(luò)安全防護措施 ，它從系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動采集信息，從中分析可能的網(wǎng)絡(luò)入侵或攻擊，同時還對入侵行為做出緊急響應(yīng)。即入侵檢測（ Intrusion Detection）是檢測和識別系統(tǒng)中未授權(quán)或異?，F(xiàn)象，利用審計記錄，入侵 檢測系統(tǒng)應(yīng)能識別出任何不希望有的活動，這就要求對不希望的活動加以限定，一旦當(dāng)它們出現(xiàn)就能自動地檢測。 可擴展性：可擴展性有兩方面的意義。它的指導(dǎo)實現(xiàn)比傳統(tǒng)靜態(tài)安全方案有突破性提高。在 P2DR 模型中，安全策略處于中心地位，但是從另一個角度來看，安全策略也是制定入侵檢測中檢測策略的一個重要信息來源，入侵檢測系統(tǒng)需要根據(jù)現(xiàn)有的安全策略信息來更好地配置系統(tǒng)模塊參數(shù)信息。 在 P2DR 安全模型中、入侵檢測位于檢測環(huán)節(jié)，它的作用在于承接防護和響應(yīng)過程，也就是通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干個關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中 是否有違反安全策略的行為和被攻擊的跡象。入侵者進行攻擊時會留下痕跡，這些痕跡和系統(tǒng)正常運行產(chǎn)生的數(shù)據(jù)混合在一起。下圖的模塊劃分是非常粗略的，而且省略了諸如界面處理、配置管理等模塊。數(shù)據(jù)分析的方法多種多樣，可以簡單到對某種行為的計數(shù)，也可以是一個復(fù)雜的專家系統(tǒng)。顯然，它所監(jiān)視和保護的對象是主機。 基于主機的入侵檢 測系統(tǒng)與主機結(jié)合較為緊密，能發(fā)現(xiàn)一些基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)發(fā)現(xiàn)不了的入侵。它對現(xiàn)有的系統(tǒng)或基礎(chǔ)設(shè)施不會有什么影響，被檢測到的用戶很難發(fā)現(xiàn)；絕大多數(shù)基于網(wǎng)絡(luò) IDS 都是獨立的：已部署的基本網(wǎng)絡(luò)的入侵檢測傳感器將監(jiān)視所有的攻擊，而不管目標(biāo)系統(tǒng)使用什么樣的操作系統(tǒng)平臺。 ? 基于特征（ signaturebased）的入侵檢測 基于特征的入侵檢測，簡稱特征檢測。 基于特征的入侵檢測系統(tǒng)的優(yōu)點是準(zhǔn)確率高；它的不足在于難以發(fā)現(xiàn)未知攻擊、攻擊模式庫需要不斷更新。各種分類方法體現(xiàn)了對入侵檢測系統(tǒng)理解的不同側(cè)面。 IDS 體系結(jié)構(gòu)的研究主要包括具有多系統(tǒng)的互操作性和重用性的通用入侵檢測框架， 總體結(jié)構(gòu)和各部件的相互關(guān)系， IDS 管理，具有可伸縮性、重用性的系統(tǒng)框架，安全、健壯和可擴展的安全策略。 ? 響應(yīng)策略與恢復(fù)研究 IDS 是識別出入侵后的響應(yīng)策略維護系統(tǒng)安全性、完整性的關(guān)鍵。 ? 與其他網(wǎng)絡(luò)安全部件的協(xié)作、與其他安全技術(shù)的結(jié)合 隨著黑客入侵手段的提高，尤其是分布式、協(xié)同式、 復(fù)雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)的單一、缺乏協(xié)作的入侵檢測技術(shù)已經(jīng)不能滿足需求，需要有充分的協(xié)作機制。 整個系統(tǒng)分主要分為兩個模塊，即檢測模塊和響應(yīng)模塊。 本論文將重點討論檢測 模塊的設(shè)計與實現(xiàn)。 Winpcap 軟件開發(fā)包簡介 Winpcap(windows packet capture)是 windows 平臺下一個 網(wǎng)絡(luò)數(shù)據(jù)包捕獲開 發(fā)包，是為 Libpcap 在 Windows 平臺下實現(xiàn)數(shù)據(jù)包的捕獲而設(shè)計的。 使用 Winpcap 有很多好處，主要體現(xiàn)在以下幾個方面。 3． Winpcap 還提供了發(fā)送數(shù)據(jù)包的能力。 當(dāng)一個數(shù)據(jù)包到達網(wǎng)絡(luò)接口設(shè)備時，鏈路層設(shè)備驅(qū)動器通常把它傳送給系統(tǒng)協(xié)議棧進行處理。對于每一個用于接受數(shù)據(jù)包的過濾器， BPF 將所需的數(shù)據(jù)復(fù)制到與之相連的緩存中，然后設(shè)備驅(qū)動程序重新獲得控制權(quán)。兩種方式分別適用于不同的情況。由于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的數(shù)據(jù)源是整個共享網(wǎng)段上的數(shù)據(jù)包，因此只要將該網(wǎng)段內(nèi)某一臺主機的網(wǎng)卡設(shè)置為混雜模式，就可以監(jiān)聽本網(wǎng)段內(nèi)所有的數(shù)據(jù)包進行分析和判斷。 /*存儲錯誤內(nèi)容 */ 查找有效的網(wǎng)絡(luò)設(shè)備（ eth） pcap_lookupdev() 獲得網(wǎng)絡(luò)地址及網(wǎng)絡(luò)掩碼（ IPamp。 /*過濾規(guī)則字符串，此時為空，表示捕獲所有的網(wǎng)絡(luò)數(shù)據(jù)包，而不是捕獲特定的網(wǎng)絡(luò)數(shù)據(jù)包 */ unsigned int _mask。_ip,amp。bpf_filter,bpf_filter_string,0,_ip)。 /*由于在解碼的代碼中只有以太網(wǎng)，所以這里檢測鏈路是否為以太網(wǎng)，否，則退出 */ pcap_loop(pcap_handle,1,DecodeProcess_callback,NULL)。其中 errbuf 為調(diào)用失敗時返回的錯誤信息字符串。從而實現(xiàn)通過設(shè)置過濾器來捕獲感興趣的數(shù)據(jù)包。 （ 5）捕獲并處理數(shù)據(jù)包： 函數(shù)原型： int pcap_loop(pcap_t*,int t,pcap_handler callback,u_char*user) 功能：捕獲并處理數(shù)據(jù)包。 （ 7）關(guān)閉監(jiān)聽會話句柄 函數(shù)原型： void pcap_close(pcap_* p) 功能：關(guān)閉監(jiān)聽會話句柄，并釋放資源。這是由于捕獲到的數(shù)據(jù)包是一個數(shù)據(jù)幀，其中最外層的協(xié)議是鏈路層協(xié)議，然后從里到外分別額是網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。 在具體的實現(xiàn)過程中，當(dāng)數(shù)據(jù)包分析完成后，將分析的結(jié)果保存到 Data Packet 數(shù)據(jù)結(jié)構(gòu)中。 ARPHdr *ah。 ICMPHdr *icmph。 u_int16_t frag_offset。 u_int16_t sp。 int caplen。 int tcp_option_count。其他重要的數(shù)據(jù)結(jié)構(gòu)還有以太網(wǎng)首部數(shù)據(jù)結(jié)構(gòu)、 IP 數(shù)據(jù)包首部數(shù)據(jù)結(jié)構(gòu)等，核心代碼如下： Typedef struct Ether_Header { u_int8_t ether_dhost [6]。 數(shù)據(jù)報首部數(shù)據(jù)結(jié)構(gòu) typedef struct IP_Header { if defined (WORDS_BIGENDIAN) u_int8_t ip_ver:4。 u_int16_t ip_len。 u_int8_t ip_proto。 } IPHdr。用戶可以通過中央控制器實時的監(jiān)控整個網(wǎng)段的運行情況，檢查當(dāng)前是否有攻擊產(chǎn)生或者有攻擊的企圖。系統(tǒng)測試是為了測試檢測模塊是否能夠?qū)崿F(xiàn)應(yīng)有的功能。 Intra 的安全措施應(yīng)該是多層次、多方位的，但又要考慮性能、成本、可管理性、可用性與安全性的平衡問題。惡意信息采用加密的方法傳輸 ?；?Intra 入侵檢測技術(shù)的進一步發(fā)展趨勢是引入新的智能技術(shù)和多種智能技術(shù)的融合，如引入數(shù)據(jù)挖掘技術(shù)進 行數(shù)據(jù)獲取和簡化，引入模糊邏輯改善知識的表達，引入人工免疫、基因?qū)W習(xí)、機器學(xué)習(xí)、模式匹配等技術(shù)進行檢測分析。 參考文獻 [1] 劉文濤 .網(wǎng)絡(luò) 入侵檢測系統(tǒng)詳解 [M]. 北京 : 電子工業(yè)出版社 , 。 [5] 張仕斌 .網(wǎng)絡(luò)安全技術(shù) [M]. 北京 : 清華大學(xué)出版社 ,。在此向他們表示我最衷心的感謝！ 還要感謝與我同一設(shè)計小組的胡偉同學(xué)，感謝他在畢業(yè)設(shè)計期間的緊密協(xié)作，本人向他表示深深的謝意！ 最后向在百忙之中評審本文的各位專家、老師表示衷心的感謝！ 作者簡介： 姓 名：文程 性別： 男 出生年月： 民族： 漢 Email: 聲 明 本論文的工作是 2020 年 2 月至 2020 年 6 月在成都信息工程學(xué)院網(wǎng)絡(luò)工程系完成的。 （ 2）學(xué)?？梢圆捎糜坝?、縮印或其他復(fù)制方式保存學(xué)位論文。 除非另有科研合同和其他法律文書的制約，本論文的科研成果屬于成都信息工程學(xué)院。 on them instead of `M. March39。 t want anyone to use these but Marmee, said Beth。t laugh at me, Jo! I didn39。m so glad, for mine is the handsomest now. Another bang of the street door sent the basket under the sofa, and the girls to the table, eager for breakfast. Merry Christmas, Marmee! Many of them! Thank you for our books. We read some, and me an to every day, they all cried in chorus. Merry Christmas, little daughters! I39。 ever since she was born. That was a very happy breakfast, though they didn39。 she daily saw all she wanted, for the childr