【正文】 and the f ifth kind is when the violation ofthe civil rights of an individual demands reparation. There shouldbe a mon law embracing all these cases. For we have already said ingeneral terms what shall be the punishment of sacrilege, whetherfraudulent or violent, and now we have to determine what is to bethe punishment of those w ho speak or act insolently toward the G first we must give them an admonition which may be in thefollowing terms:No one who in obedience to the laws believed thatthere were Gods, ever intentionally did any unholy act, or uttered anyunlawful word。 the idols of parasites。 and virtue was never so beholding to human nature, as it received his due at the second hand. Neither had the fame of Cicero, Seneca, Plinius Secundus, borne her age so well, if it had not been joined with some vanity in themselves: like unto varnish, that makes sealings not only shine, but last But all this while, when I speak of vainglory, I mean not of that property, that Tacitus doth attribute to Mucianus。 for all bravery stands upon parisons. They must needs be violent, to make good their own vaunts. Neithe r can they be secret, and therefore not effectual。 the fly sat upon the axletree of the chariot wheel, and said. What a dust do I raise? So are there some vain persons, that whatsoever goeths indeed! They could tell us something worth hearing, if they only knew how to talk. It39。除非另有說明，本文的工作是原始性工作。 [3] 唐正軍 .網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) [M]. 北京 : 電子工業(yè)出版社 ,。對入侵監(jiān)測系統(tǒng)自身的攻擊等。 （ 2） 測試系統(tǒng)是否能夠?qū)Σ东@的數(shù)據(jù)包進(jìn)行協(xié)議分析，并且正確的顯示。此模塊將檢測模塊與響應(yīng)模塊集成在一起，構(gòu)成了一個(gè)完整的網(wǎng)絡(luò)入侵檢測系統(tǒng)。 u_int16_t ip_off。 u_int16_t ether_type。 int ip_option_count。 u_char df。 TCPHdr *tcph。根據(jù)以太網(wǎng)協(xié)議內(nèi)容的分析結(jié)果，判斷以太網(wǎng)類型的值：如果是 0X0806，表示協(xié)議為 ARP協(xié)議，則分析 ARP協(xié)議；如果是 0X0800，表示協(xié)議為 IP 協(xié)議，則分析 IP 協(xié)議；如果是 0X8035，表示協(xié)議是 RARP 協(xié)議，則分析 RARP 協(xié)議。 （ 6）用戶自定義的回調(diào)函數(shù) 函數(shù)原型： void callback(u_char* args,const struct pcap_pkthdr* header,chonst u_char* packet) 功能：在 pcao_loop 函數(shù)沒捕獲到一個(gè)數(shù)據(jù)包后被自動(dòng)調(diào)用，用于對捕獲到的數(shù)據(jù)包進(jìn)行用戶自定義的處理。其中device 為指向網(wǎng)絡(luò)接口的指針， snaplen 定義了監(jiān)聽程序所所捕獲的最大字節(jié)數(shù)， promisc 定義了是否將網(wǎng)卡設(shè)置為混雜模式， to_ms 表示度操作等待的毫秒時(shí)間， ebuf 為函數(shù)調(diào)用失敗返回的錯(cuò)誤信息字符串。bpf_filter)。 /*網(wǎng)絡(luò)地址 */ _interface=pcap_lookupdev(error_content)。 pcap_t * pcap_handle。一般指通過截獲整個(gè)網(wǎng)絡(luò)的所有信息流量，根據(jù)信息源主機(jī)、目標(biāo)主機(jī)、服務(wù)協(xié)議端口等信息簡單過濾掉不關(guān)心的數(shù)據(jù)，再將用戶感興趣的數(shù)據(jù)發(fā)送給更上層的應(yīng)用程序進(jìn)行分析。而網(wǎng)絡(luò)監(jiān)控程序都運(yùn)行在用戶態(tài)空間，數(shù)據(jù)包必須從內(nèi)核中復(fù)制到用戶空間后再進(jìn)行處理，這種重復(fù)的復(fù)制工作對實(shí)質(zhì)的功能實(shí)現(xiàn)毫無意義。它的使用非常廣泛，幾乎所有在 Windows平臺下要使用數(shù)據(jù)包捕獲功能的軟件都可以使用 Winpcap開發(fā)包。響應(yīng)模塊則負(fù)責(zé)將檢測模塊剝離出的標(biāo)志與現(xiàn)有的入侵特征進(jìn)行模式匹配，從而偵測出存在于網(wǎng)絡(luò)中的入侵活動(dòng)，并且利用一些響應(yīng)手段向網(wǎng)絡(luò)管理員發(fā)出告警信息并采取相應(yīng)的行動(dòng)。實(shí)現(xiàn) IDS 的響應(yīng)包括向管理員和其他實(shí)體發(fā)出報(bào)警，進(jìn)行緊急處理；對攻擊的追蹤、誘導(dǎo)和反擊，對于攻擊源數(shù)據(jù)的聚集以及 ID 部件的自學(xué)習(xí)和改進(jìn)。隨著入侵檢測系統(tǒng)研究和應(yīng)用的不斷深入，近年對入侵檢測技術(shù)有以下幾個(gè)主要的發(fā)展方向。 基于異常的入侵檢測系統(tǒng)的優(yōu)勢在于：能夠發(fā)現(xiàn)未知的攻擊；通過采用適當(dāng)?shù)淖詫W(xué)習(xí)算法，基于異常的入侵檢測系統(tǒng)一旦建立，可以不必修改和更新。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)勢在于秘密性、平臺無關(guān)性、易于實(shí)現(xiàn)。 入侵檢測的分類 通過對現(xiàn)有的入侵檢測系統(tǒng)和技術(shù)的研究，可以從下面幾個(gè)方面對入侵檢測系統(tǒng)進(jìn)行分類： (1) 根據(jù)數(shù)據(jù)來 源或監(jiān)視的對象分類 數(shù)據(jù) 數(shù)據(jù)提取 數(shù)據(jù) 事件 事件 數(shù)據(jù)分析 結(jié)果處理 ? 基于主機(jī)（ HostBased）的入侵檢測系統(tǒng) 數(shù)據(jù)來源于主機(jī)系統(tǒng)?？梢姡肭謾z測系統(tǒng)有兩個(gè)主要部分：數(shù)據(jù)獲取和檢測。因此，從技術(shù)手段上分析，入侵檢測可以看作是 實(shí)現(xiàn) P2DR 模型的承前啟后的關(guān)鍵環(huán)節(jié)。第二是體系結(jié)構(gòu)的可擴(kuò)展性，在必要 的時(shí)候可以在不對系統(tǒng)的整體結(jié)構(gòu)進(jìn)行修改的前提下對檢測手段進(jìn)行加強(qiáng)，以保證能檢測到新的攻擊。 入侵檢測的定義 可以看到入侵檢測的作用就在于及時(shí)地發(fā)現(xiàn)各種攻擊以及攻擊企圖并作出反應(yīng)。 第三部分，對整個(gè)系統(tǒng)的設(shè)計(jì)做了概述，介紹了系統(tǒng)的整體框架、開發(fā)及運(yùn)行環(huán)境等。 （ 4）防火墻技術(shù) 防火 墻是一個(gè)或一組網(wǎng)絡(luò)設(shè)備，其工作方式是將內(nèi)聯(lián)網(wǎng)絡(luò)與因特網(wǎng)之間或者與其他外聯(lián)網(wǎng)絡(luò)間互相隔離，通過加強(qiáng)訪問控制，阻止區(qū)域外的用戶對區(qū)域內(nèi)的資源的非法訪問，使用防火墻可以進(jìn)行安全檢查、記錄網(wǎng)上安全事件等，在維護(hù)網(wǎng)絡(luò)安全作用中起著重要的作用。比較著名的對稱密碼算法有：美國的 DES和歐洲的 IDEA 等。 由于存在更多的安全威脅和安全隱患，能否成功的阻止網(wǎng)絡(luò)黑客的入侵、保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常的運(yùn)行便成為網(wǎng)絡(luò) 管理員所面臨的一個(gè)重要問題。由于網(wǎng)絡(luò)的發(fā)展，提供新的網(wǎng)絡(luò)服務(wù)，增加網(wǎng)絡(luò)的開放性和互聯(lián)性，必然將更多環(huán)節(jié)納入系統(tǒng)中，新加入的環(huán)節(jié)又增加了系統(tǒng)的復(fù)雜性，引發(fā)了網(wǎng)絡(luò)的不安定性。在上述情況中，截獲信息的攻擊稱為被動(dòng)攻擊，而更改信息和拒絕客戶使用資源的攻擊稱為主動(dòng)攻擊。 網(wǎng)絡(luò)安全面臨 的威脅 入侵的來源可能是多種多樣的，比如說，它可能是企業(yè)心懷不滿的員工、網(wǎng)絡(luò)黑客、甚至是競爭對手。 入侵檢測技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一。傳統(tǒng)的防火墻技術(shù)固然重要，但是，發(fā)展網(wǎng)絡(luò)入侵檢測及預(yù)警技術(shù)也同樣重要，它是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 本文首先介紹入侵檢測系統(tǒng)的原理，并在此基礎(chǔ)上利用 Winpcap 開發(fā)包 ,在Windows 操作系統(tǒng)下實(shí)現(xiàn)了基于數(shù)據(jù)包分析的網(wǎng)絡(luò)入侵檢測系統(tǒng)的檢測模塊。傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。攻擊者可能竊聽網(wǎng)絡(luò)上的信息，竊取用戶口令、數(shù)據(jù)庫信息，還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。在被動(dòng)攻擊中攻擊者只是觀察和竊取數(shù)據(jù)而不干擾信息流，攻擊不會導(dǎo)致對 系統(tǒng)中所含信息的任何改動(dòng)，而且系統(tǒng)的操作和狀態(tài)也不會被改變，因此被動(dòng)攻擊主要威脅信息的保密性。 （ 3）軟件質(zhì)量問題。 網(wǎng)絡(luò)安全技術(shù) 如今已有大量的研究機(jī)構(gòu)、社會團(tuán)體、商業(yè)公司和政府部門投入到網(wǎng)絡(luò)安全的研究中，并將此納入到一個(gè)被稱為信息安全的研究領(lǐng)域。在公鑰密碼中，收發(fā)雙方使用的密鑰各不相同，密鑰的管理比較方便。 （ 5）反病毒技術(shù) 計(jì)算機(jī)病毒是一段具有極強(qiáng)破壞性的惡意代碼，它可以將自身納入其他程序中，以此來進(jìn)行隱藏，復(fù)制和傳播，從而破壞用戶文件，數(shù)據(jù)甚至硬件。 第四部分，詳細(xì)介紹了檢測模塊的設(shè)計(jì)與實(shí)現(xiàn)以及系統(tǒng)集成后的運(yùn)行結(jié)果。我們可以給入侵檢測做一個(gè)簡單的定義，入侵檢測就是對（網(wǎng)絡(luò)）系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性與可用性。 入侵檢測與 P2DR 模型 P2DR 模型是一個(gè)動(dòng)態(tài)的計(jì)算機(jī)系統(tǒng)安全理論模型。 圖 21 P2DR安全模型 入侵檢測的原理 入侵檢測系統(tǒng)（ IDS,Intrusion Detetion System）是通過對網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，從而發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。 接下來看一下入侵檢測系統(tǒng)的檢測流程，如圖 22 中給出了一個(gè)通用的入侵檢測系統(tǒng)流程。主機(jī)系統(tǒng)中最經(jīng)典的數(shù)據(jù)源就是審計(jì)日志，也有的入侵檢測系統(tǒng)將數(shù)據(jù)源擴(kuò)展到系統(tǒng)日志、應(yīng)用程序日志、系統(tǒng)狀態(tài)、系統(tǒng)調(diào)用信息等。它將涉及多個(gè)主機(jī)的入侵信息進(jìn)行關(guān)聯(lián)分析、保護(hù)范圍大。它的缺點(diǎn)是建立系統(tǒng)主體正常活動(dòng)的“活動(dòng)簡檔”和設(shè)置合適的臨界值都比較困難、誤報(bào)警率高。 ? 體系結(jié)構(gòu)的新發(fā)展 進(jìn)一步研究分布式入侵檢測與通用的入侵檢測構(gòu)架。 IDS 的恢復(fù)研究包括系統(tǒng)狀態(tài)一致性檢測，系統(tǒng)數(shù)據(jù)備分，系統(tǒng)恢復(fù)策略和恢復(fù)機(jī)制。除了這兩大模塊以外，本系統(tǒng)還有一個(gè)中央控制臺模塊，該模塊主要是給系統(tǒng)的使用者提供方便的操作界面，以及顯示系統(tǒng)輸出的各項(xiàng)數(shù)據(jù)。 開發(fā) winpcap這個(gè)項(xiàng)目的目的在于為 win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力 ，其核心功能是捕獲網(wǎng)絡(luò)數(shù)據(jù)包，其他功能包括數(shù)據(jù)包過濾、數(shù)據(jù)包發(fā)送、流量統(tǒng)計(jì)和數(shù)據(jù)包存儲等。 BPF 在內(nèi)核態(tài)對數(shù)據(jù)包進(jìn)行預(yù)處理，因而大大提高了運(yùn)行性能。其工作流程圖如 41 所示： 圖 41 數(shù)據(jù)包捕獲流程圖 網(wǎng)絡(luò)數(shù)據(jù)包捕獲可以通過兩種機(jī)制實(shí)現(xiàn)，一種是利用以太網(wǎng)的廣播特性，另一種方式是通過設(shè)置路由器的監(jiān)聽端口實(shí)現(xiàn)。 /*Libpcap 句柄 */ char error_content[PCAP_ERRBUF_SIZE]。 /*獲得可用的網(wǎng)絡(luò)接口 */ pcap_lookup(_interface,amp。 /*設(shè)置過濾規(guī)則 */ if(pcap_datalink(pcap_handle)!=DLT_EN10MB) return。 （ 3）編譯過濾器 函數(shù)原型： int pcap_pile(pcap_t * p,struct bpf_progrm * fp,char*str,int optimize,bpf_u_int32 mask) 功能：將字符串形 式的過濾要求編譯成二進(jìn)制形式存儲在 bpf_program 結(jié)構(gòu)中。其中， args 為從 pcap_loop 函數(shù)傳遞過來的u_char 指針， pheader 為指向 pcap_pkthdr 結(jié) 構(gòu)指針， packet 是指向所有捕獲的數(shù)據(jù)包的指針。在分析 IP 協(xié)議時(shí)，根據(jù)協(xié)議類型的值判斷傳輸層協(xié)議類型：如果 IP 協(xié)議類型字段的值是 6，表示協(xié)議為 TCP 協(xié)議，則分析 TCP 協(xié)議；如果捕獲網(wǎng)絡(luò)上的一個(gè)數(shù)據(jù)包 分析以太網(wǎng)協(xié)議 分析 TCP 協(xié)議 分析 IP 協(xié)議 傳入響應(yīng)模塊 分析 RARP 協(xié)議 分析 ARP 協(xié)議 判斷以太網(wǎng)類型字段 判斷 IP 協(xié)議類型字段 分析 UDTCP 協(xié)議 分析 ICMP 協(xié)議 IP 協(xié)議類型字段的值是 17，表示協(xié)議為 UDP 協(xié)議，則分析 UDP 協(xié)議；如果 IP協(xié)議類型字段的值是 1，表示協(xié)議為 ICMP 協(xié)議，則分析 ICMP 協(xié)議。 UDPHdr *udph。 u_char rf。 Options tcp_options[40]。 } EtherHdr。 u_int8_t ip_ttl。它的主要功能就是為用戶提供了 系統(tǒng)的控制界面，并且能夠詳細(xì)的顯示出系統(tǒng)運(yùn)行的結(jié)果。 測試結(jié)果