【正文】 she daily saw all she wanted, for the children39。m so glad, for mine is the handsomest now. Another bang of the street door sent the basket under the sofa, and the girls to the table, eager for breakfast. Merry Christmas, Marmee! Many of them! Thank you for our books. We read some, and me an to every day, they all cried in chorus. Merry Christmas, little daughters! I39。 t want anyone to use these but Marmee, said Beth。 除非另有科研合同和其他法律文書的制約，本論文的科研成果屬于成都信息工程學(xué)院。在此向他們表示我最衷心的感謝！ 還要感謝與我同一設(shè)計小組的胡偉同學(xué)，感謝他在畢業(yè)設(shè)計期間的緊密協(xié)作，本人向他表示深深的謝意！ 最后向在百忙之中評審本文的各位專家、老師表示衷心的感謝！ 作者簡介： 姓 名：文程 性別： 男 出生年月： 民族： 漢 Email: 聲 明 本論文的工作是 2020 年 2 月至 2020 年 6 月在成都信息工程學(xué)院網(wǎng)絡(luò)工程系完成的。 參考文獻(xiàn) [1] 劉文濤 .網(wǎng)絡(luò) 入侵檢測系統(tǒng)詳解 [M]. 北京 : 電子工業(yè)出版社 , 。惡意信息采用加密的方法傳輸 。系統(tǒng)測試是為了測試檢測模塊是否能夠?qū)崿F(xiàn)應(yīng)有的功能。 } IPHdr。 u_int16_t ip_len。其他重要的數(shù)據(jù)結(jié)構(gòu)還有以太網(wǎng)首部數(shù)據(jù)結(jié)構(gòu)、 IP 數(shù)據(jù)包首部數(shù)據(jù)結(jié)構(gòu)等，核心代碼如下： Typedef struct Ether_Header { u_int8_t ether_dhost [6]。 int caplen。 u_int16_t frag_offset。 ARPHdr *ah。這是由于捕獲到的數(shù)據(jù)包是一個數(shù)據(jù)幀，其中最外層的協(xié)議是鏈路層協(xié)議，然后從里到外分別額是網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。 （ 5）捕獲并處理數(shù)據(jù)包： 函數(shù)原型： int pcap_loop(pcap_t*,int t,pcap_handler callback,u_char*user) 功能：捕獲并處理數(shù)據(jù)包。其中 errbuf 為調(diào)用失敗時返回的錯誤信息字符串。bpf_filter,bpf_filter_string,0,_ip)。 /*過濾規(guī)則字符串，此時為空，表示捕獲所有的網(wǎng)絡(luò)數(shù)據(jù)包，而不是捕獲特定的網(wǎng)絡(luò)數(shù)據(jù)包 */ unsigned int _mask。由于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的數(shù)據(jù)源是整個共享網(wǎng)段上的數(shù)據(jù)包，因此只要將該網(wǎng)段內(nèi)某一臺主機的網(wǎng)卡設(shè)置為混雜模式，就可以監(jiān)聽本網(wǎng)段內(nèi)所有的數(shù)據(jù)包進(jìn)行分析和判斷。對于每一個用于接受數(shù)據(jù)包的過濾器， BPF 將所需的數(shù)據(jù)復(fù)制到與之相連的緩存中，然后設(shè)備驅(qū)動程序重新獲得控制權(quán)。 3． Winpcap 還提供了發(fā)送數(shù)據(jù)包的能力。 Winpcap 軟件開發(fā)包簡介 Winpcap(windows packet capture)是 windows 平臺下一個 網(wǎng)絡(luò)數(shù)據(jù)包捕獲開 發(fā)包，是為 Libpcap 在 Windows 平臺下實現(xiàn)數(shù)據(jù)包的捕獲而設(shè)計的。 整個系統(tǒng)分主要分為兩個模塊，即檢測模塊和響應(yīng)模塊。 ? 響應(yīng)策略與恢復(fù)研究 IDS 是識別出入侵后的響應(yīng)策略維護系統(tǒng)安全性、完整性的關(guān)鍵。各種分類方法體現(xiàn)了對入侵檢測系統(tǒng)理解的不同側(cè)面。 ? 基于特征（ signaturebased）的入侵檢測 基于特征的入侵檢測，簡稱特征檢測。 基于主機的入侵檢 測系統(tǒng)與主機結(jié)合較為緊密，能發(fā)現(xiàn)一些基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)發(fā)現(xiàn)不了的入侵。數(shù)據(jù)分析的方法多種多樣，可以簡單到對某種行為的計數(shù)，也可以是一個復(fù)雜的專家系統(tǒng)。入侵者進(jìn)行攻擊時會留下痕跡，這些痕跡和系統(tǒng)正常運行產(chǎn)生的數(shù)據(jù)混合在一起。在 P2DR 模型中，安全策略處于中心地位，但是從另一個角度來看，安全策略也是制定入侵檢測中檢測策略的一個重要信息來源，入侵檢測系統(tǒng)需要根據(jù)現(xiàn)有的安全策略信息來更好地配置系統(tǒng)模塊參數(shù)信息。 可擴展性：可擴展性有兩方面的意義。入侵檢測系統(tǒng)（ IDS，Intrusion Detection System）正是一種采取主動策略的網(wǎng)絡(luò)安全防護措施 ，它從系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動采集信息，從中分析可能的網(wǎng)絡(luò)入侵或攻擊，同時還對入侵行為做出緊急響應(yīng)。 本文研究內(nèi)容 本文共分為五個部分，各部分內(nèi)容如下： 第一部分，主要介紹了課題提出的背景、意義、安全隱患、現(xiàn)有的安全技術(shù)等，強調(diào)了入侵檢測的重要性。當(dāng)一個主體試圖非法使用一個未經(jīng)授權(quán)的資源時，訪問機制將拒絕這一企圖，并將這一時間記錄到系統(tǒng)日志中。按照收發(fā)雙方密鑰是否相同，可分為對稱密碼算法和非對稱密碼算法即公鑰密碼算法兩種。 （ 4）其他非技術(shù)因素。由于市場利潤、技術(shù)投入、產(chǎn)品成本、技術(shù)規(guī)范等等問題，不同供應(yīng)商提供的環(huán)節(jié)在安全性上不盡相同，使得整個網(wǎng)絡(luò)系統(tǒng)的安全成度被限制在安全等級最低的那個環(huán)節(jié)上。 偽造（ fabrication）：攻擊者偽造信息在網(wǎng)絡(luò)上傳送。隨后重點介紹了基于 Windows 入侵檢測系統(tǒng)中檢測模塊的設(shè)計與實現(xiàn)。 Data packet analysis 目 錄 論文總頁數(shù)： 24頁 1．引 言 ................................................................... 2 ..................................................... 2 網(wǎng)絡(luò)安全面臨的威脅 ............................................. 2 網(wǎng)絡(luò)安全隱患的來源 ............................................. 3 網(wǎng)絡(luò)安全技術(shù) ................................................... 3 本文研究內(nèi)容 ...................................................... 4 2. 入侵檢測基礎(chǔ) ............................................................. 5 入侵檢測的定義 .................................................... 5 入侵檢測與 P2DR模型 ................................................ 6 入侵檢測的原理 .................................................... 6 入侵檢測的分類 .................................................... 7 入侵檢測的發(fā)展趨勢 ................................................. 9 3. 基于 Windows 入侵檢測系統(tǒng)的設(shè)計 .......................................... 10 .............................................................. 10 ...................................................... 10 .......................................................... 11 4. 檢測模塊的設(shè)計與實現(xiàn) .................................................... 11 .......................................................... 11 Winpcap 軟件開發(fā)包簡介 ............................................ 11 BPF過濾機制簡介 .................................................. 12 .......................................... 12 網(wǎng)絡(luò)數(shù)據(jù)包捕獲機制 ............................................ 12 數(shù)據(jù)包捕獲的具體實現(xiàn) .......................................... 12 網(wǎng)絡(luò)數(shù)據(jù)包分析模塊的實現(xiàn) .......................................... 16 系統(tǒng)集成 ......................................................... 18 5. 系統(tǒng)測試與分析 .......................................................... 19 測試目的 ......................................................... 19 測試結(jié)果 ......................................................... 19 結(jié) 論 .................................................................. 21 參考文獻(xiàn) .................................................................. 21 致 謝 .................................................................. 22 聲 明 .................................................................. 24 1．引 言 課題背景及意義 當(dāng)今網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)成為人們生活的重要組成部分，與此同時，黑客頻頻入侵網(wǎng)絡(luò)，網(wǎng)絡(luò)安全問題成為人們關(guān)注的焦點。隨著 Inter在全球的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)的日益普及，網(wǎng)絡(luò)安全問題也顯得越來越突出。它是整個網(wǎng)絡(luò)入侵檢測系統(tǒng)的重要組成部分，是響應(yīng)模塊設(shè)計的基礎(chǔ)，為響應(yīng)模塊提供需要的數(shù)據(jù)。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息、分析信息，查看是否有違反安全策略的行為和遭到襲擊的跡象。 用密碼編碼學(xué)和網(wǎng)絡(luò)安全的觀點，我們把計算機網(wǎng)絡(luò)面臨的威脅歸納為以下四種： 截獲（ interception）：攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。因此主動攻擊主要威脅信息的 完整性、可用性和真實性。現(xiàn)實中，即使是正常運行了很長時間的軟件，也會在特定的情況下出現(xiàn)漏洞。后者則有：防火墻、路由選擇、反病毒技術(shù)等。 （ 2）鑒別技術(shù) 鑒別技術(shù)可以驗證消息的完整性，有效的對抗冒充、非法訪問、重演等威脅。計算機病毒的主要傳播途徑有：文件傳輸、軟盤拷貝、電子郵件等。 第五部分，是對整個系統(tǒng)的測試與分析的總結(jié)。 一個完整的入侵檢測系統(tǒng)必須具備下列特點： 經(jīng)濟性：為了保證系統(tǒng)安全策略的實施而引入的入侵檢測系統(tǒng)必須不能妨礙系統(tǒng)的正常運行（如系統(tǒng)性能）。 PDR 是 Policy(策略 )、 Protection(防護 )、 Detection(檢測 )和 Response(響應(yīng) )的縮寫，特點是動態(tài)性和基于時間的特性。它Policy Protection Response Detectionon 通過對采集到的網(wǎng)絡(luò)數(shù)據(jù)在線或離線進(jìn)行分析，當(dāng)發(fā)現(xiàn)有入侵企圖或入侵行為時，能依據(jù)響應(yīng)規(guī)則做出發(fā)送入侵警報、記錄入侵事件、引誘轉(zhuǎn)發(fā)、中斷入侵連接甚至發(fā)動入侵等響應(yīng)行為，同時還能提醒管理員采取進(jìn)一步防護措施。 圖 22 入侵檢測流程圖 數(shù)據(jù)提取模塊的作用在于為系統(tǒng)提供數(shù)據(jù)，數(shù)據(jù)的來源可以是主機上的日志信息、變動信息，也可以是網(wǎng)絡(luò)上的數(shù)據(jù)信息，甚至是流量變化等，這些都可以作為數(shù)據(jù)源。 ? 基于網(wǎng)絡(luò)（ workbased）的入侵檢測系統(tǒng) 數(shù)據(jù)來源于整個網(wǎng)絡(luò)，它建立在線路偵聽的基礎(chǔ)上。 (2) 根據(jù)入侵檢測方法分類 ? 基于異常（ anomalybased）的入侵檢測 基于異常的入侵檢測，簡稱異常檢測。因為異常檢測方法難以實現(xiàn)，所以很少被采用；所有的商業(yè)入侵檢測系統(tǒng)都采用了某種形式的特征檢測方法。 ? 應(yīng)用層入侵檢測 許多入侵的語言只有在應(yīng)用層才能理解，而目前的 IDS 僅能檢測諸如 Web之類的通用協(xié)議，而