【正文】 只是，秦母又怎么可能看上他這種人，若不是為了兒子，根本連看都懶得看他一眼。 這時候，秦立感覺到有一只溫暖的手覆蓋在自己的額頭，撫摸著自己的臉頰，很輕，很溫柔，透露著一股憐惜，珍愛??同時，朦朧中聽到一陣斷 斷續(xù)續(xù)，似有還無的嗚咽聲，突然，似乎有一滴雨滴打在了臉上，涼涼的，沿著臉頰往下流，而后滑過嘴角??咸咸的。兩人遂登上軍用專機，從上海往西，朝著圣潔的高原 —— 西藏飛去。我以為，它們都在拉薩機 場起降呢。我一直想到上海來探望你，看看是不是真的。 “幾千年來，全世界所公認的，體形最龐大，性格最兇猛的，叫獒。 （ 4）學?？稍试S學位論文被查閱或借閱。 [7] Stevens[美 ].TCP/IP詳解卷一：協(xié)議 [M].范建華等譯 .北京：機械工業(yè)出版社 ,。但是它的優(yōu)點又是缺點：由于只能檢測已知攻擊行為，使系統(tǒng)對未知的攻擊行為無能為力。例如，分析 TTL 值為64的數(shù)據(jù)包， IDS 指紋引擎將操作系統(tǒng)范圍縮小到 Linux 或 OpenBSD，因為這兩種操作系統(tǒng)具有同樣的 TTL 值，進一步檢驗 窗口 值， IDS 則可以區(qū)分 Linux 和OpenBSD。 發(fā)送數(shù)據(jù)包進行測試。但是值得注意的是攻擊軟件的數(shù)據(jù)特征會隨時變化，為了應對這種隨時變化的情況就需要：編寫的規(guī)則要一般化，具有針對性；隨時注意攻擊特征的變化，修改規(guī)則庫。flags:FPU,12。 根據(jù)結果編寫一條最適合的規(guī)則，對比 snort 里的規(guī)則。 } 其中 PackToRule(p,pack)函數(shù)是調用其它事件分析程序進行事件分析響應。內容可以有不同的格式：二進制，文本或則兩則的混合。 u_char *content。 U_int8_t flags。 U_int16_t sourceport。 不同的入侵檢測系統(tǒng)有不同的規(guī)則庫，本系統(tǒng)的規(guī)則庫結構如表 所示。 因為大多數(shù)操作系統(tǒng)和應用軟件都是在假定 RFC 被嚴格遵守的情況下編寫的，沒有添加針對 異常數(shù)據(jù)的錯誤處理程序，所以許多包含報頭值的漏洞利用都會故意違反 RFC 的標準定義，明目張膽地揭發(fā)被攻擊對象的偷工減料行為。 含有特殊病毒信息的 Email：可通過對比每封 Email 的主題信息和病態(tài)Email 的主題信息來 識別，或者，通過搜索特定名字的附近來識別 。同時對攻擊事件存入數(shù)據(jù)庫，以便事后取證。 圖 ， a與 b不匹配， b出現(xiàn)在 x中 如果 x中不存在任何與 y[i]相同的字符，則直接將 x的第一個字符與y[i]的下一個字符對齊，再從右到左進行比較 。主要應用于一些程序的字符串處理，比如：搜索，替代等。 數(shù)據(jù)融合 數(shù)據(jù)融合是針對一個系統(tǒng)中使用多個和（或）多類傳感器這一特定問題展開的一種新的數(shù)據(jù)處理方法，因此數(shù)據(jù)融合又稱多傳感器信息融合或信息融合。在入侵檢測領域，本體是被監(jiān)控網絡的正常行為，異體是網絡的異常行為。這要求系統(tǒng)事先對大量實例進行訓練，具有每一個用戶行為模式特征的知識，從而可以找出偏離這些輪廓的用戶行為。 數(shù)據(jù)挖掘 數(shù)據(jù)挖掘是數(shù)據(jù)庫中的一項技術，它的作用是從大型數(shù)據(jù)庫中抽取知識。它的提出彌補了模式匹配技術的一些不足，如計算量大、探測準確率低等。 （ 2）聯(lián)機分析：就是在數(shù)據(jù)產生或者發(fā)生改變的同時對其進行檢查，以發(fā)現(xiàn)攻擊行為，這種方式一般用于對網絡數(shù)據(jù)的實時分析，并且對系統(tǒng)資源要求比較高。 （ 2）等級式（部分分布式）入侵檢測系統(tǒng) 等級式 IDS 中定義了若干個等級的監(jiān)控區(qū)域，每個 IDS 負責一個區(qū)域，每一級 IDS 只負責所監(jiān)控區(qū)的分析，然后將當?shù)氐姆治鼋Y果傳送給上一級 IDS。 （ 2）異常檢測（ anomalybased） 異常檢測是指能根據(jù)異常行為和使用計算機資源的情況檢測出入侵的方法?；谥鳈C的和基于網絡的IDS 具有互補性，基于網絡的入侵檢測能夠客觀地反映網絡活動，特別是能夠監(jiān)視到系統(tǒng)審計的盲區(qū)；而基于主機的入侵檢測能夠更加準確地監(jiān)視系統(tǒng)中的各種活動。它通過監(jiān)視和分析主機的審計記錄和日志文件來檢測入侵。一個完整的入侵檢測系統(tǒng)必須具有：經濟性、時效性、安全性、可擴展性的特點。 由此可見，只要杜絕了計算機系統(tǒng)在設計、實現(xiàn)和使用上的錯誤，黑客就束手無策了，這也是計算機工作者夢寐以求的一個理想。 TCP會話劫取需要綜合使用拒絕服務、監(jiān)聽和 IP 欺騙的方法。 ④ Web 欺騙 Web 欺騙通過創(chuàng)建某個 WWW 網站的一個復制圖像 ，從而達到欺騙該網絡用戶的目的。由于 Inter 協(xié)議缺乏源 IP地址認證， IP 欺騙攻擊就是利用這個弱點。ICMP 數(shù)據(jù)包有一選項可以包含一個數(shù)據(jù)段，盡管其中的有效信息通常是時間信息，實際上任何設備都不檢查其數(shù)據(jù)內容，這樣它包含任何數(shù)據(jù)，成為黑客傳遞信息的載體。防范緩沖區(qū)溢出的方法是在程序設計時記住進行越界檢查。要利用特洛伊木馬程序，關鍵一點是怎樣讓特洛伊木馬程序能駐留 到目標系統(tǒng)中去，這一般需要使用欺騙手段讓目標系統(tǒng)上的用戶執(zhí)行一個程序或者某個動作從而完成特洛伊木馬程序的安裝。其中 TCP 掃描包括： TCP connect()掃描、 TCP SYN 掃描、 TCP SYN|ACK 掃描、 TCP ACK 掃描、TCP FIN 掃描、 TCP 空掃描、 TCP Xmax 樹掃描 (往目標端口發(fā)送一個設置了FIN|URG|PUSH 位的分組。 攻擊活動的實施：黑客獲取了超級用戶權限后，就可以在目標系統(tǒng)上為所欲為。 入侵定義 Anderson 在 80 年代早期使用了“威脅”概念術語，其定義與入侵含義相同。雖然國內起步晚，但是也有相當?shù)纳虡I(yè)產品：天闐 IDS、綠盟冰之眼等不錯的產品，不過國外有相當完善的技術基礎，國內在這方面相對較弱。據(jù)統(tǒng)計，全球 80%以上的入侵來自于內部。系統(tǒng)開發(fā)環(huán)境為 VC++ ，數(shù)據(jù)庫采用 MYSQL 數(shù)據(jù)庫。 畢業(yè)設計 ( 論文 ) 基于 windows 入侵檢測系統(tǒng)的研究與設計 —— 響應模塊設計 論文作者姓名： 申請學位專業(yè)： 申請學位類別： 指導教師姓名（職稱）： 論文提交日期： 基于 windows 入侵檢測系統(tǒng)的研究與設計 —— 響應模塊設計 摘 要 入侵檢測技術是對傳統(tǒng)的安全技術（如防火墻）的合理補充。通過該系統(tǒng)可以有效的實現(xiàn)對入侵的檢測，并且具有用戶友好性。由于性能的限制，防火墻通常不能提供實時的入侵檢測能力，對于企業(yè)內部人員所做的攻擊，防火墻形同虛設。 本文的主要工作 本文從分析現(xiàn)有網絡中存在的安全說起，指出了現(xiàn)有的網絡所面臨的安全威脅，主要介紹了基于特征 （ signaturebased） 的網絡入侵檢測技術，闡述了由入侵檢測理論所構建的入侵檢測平臺，監(jiān)測并分析網絡、用戶和系統(tǒng)的活動，識別已知的攻擊行為，統(tǒng)計分析異常行為。將入侵企圖或威脅定義為未授權蓄意嘗試訪問信息、篡改信息、使系統(tǒng)不可靠或不能使用。根據(jù)各自不同的目的，黑客在攻克的目標系統(tǒng)上進行不同的破壞活動，例如竊取敏感資料、篡改文件內容，替換目標系統(tǒng) WWW服務的主頁是黑客示威常 采用的手段。 )； ICMP 掃描包括： ICMP 查詢報文請求及應答掃描、ICMP 差錯報文掃描； UDP 掃描包括： UDP 端口不可達掃描等。黑客在成功入侵后也常在目標系統(tǒng)中安裝特洛伊木馬程序以便長期控制目標系統(tǒng)。 拒絕服務 DOS（ Denial of Service） 拒絕服務是就攻擊結果而言的，指目標主機不能為用戶提供正常的服務，即破壞目標系統(tǒng)的可用性。利用此通道，可以秘密向目標主機上的木馬程序傳遞命令并在目標機器上執(zhí)行，也可以將在目標主機上搜集到的信息傳送給遠端的黑客，作為一 個秘密用戶與用戶、用戶與機器間通信的方法。若入侵者的主機為 illegal,目標主機為 target,信任主機為 friend,入侵者將 illegal 的 IP 地址改為 friend 的 IP 地址，即入侵者將發(fā)向目標主機的數(shù)據(jù)包中源地址改為被信任主機的地址，這樣 target 就會相信 illegal，允許它訪問。如果用戶訪問這個假冒的網站，從用戶角度來說感覺不到任何差別，但是用戶的一舉一動都在黑客的監(jiān)視之下，用戶提交的任何敏感信息（例如信用卡的帳號和密碼）都成了黑客的獵物。 安全威脅的根源 五花八門的攻擊方法讓人眼花繚亂，那么為什么會有這么多的漏洞讓黑客有機可乘呢？概括地說，安全威脅的根源主要是 三個方面： TCP/IP 協(xié)議族在規(guī)則之初是為了方便地實現(xiàn)信息的共享，設計時注重的是開放和靈活，未能對安全性（身份鑒別和信息保密等）給予足夠的考慮。但是，經驗證明程序錯誤和其它人為錯誤造成的安全隱患是不可能完全避免的。 入侵檢測系統(tǒng)的基本 結構 構成 CIDF（ Common Intrusion Detection Frame,公共入侵檢測框架 ） 提出了通用模型，將入侵檢測系統(tǒng)分為四個基本組件：事件產生器、事件分析器、響應單元和事件數(shù)據(jù)庫，見下圖?；谥鳈C的入侵檢測系統(tǒng)主要用于保護運行關鍵應用的服務器。由于近些年來，混合式病毒攻擊的活動更為猖獗，單一的基于主機或者單一的 基于網絡的 IDS 無法抵御混合式攻擊，因此，采用混合型的入侵檢測系統(tǒng)可以更好的保護系統(tǒng)。它試圖用定量的方式描述可以接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。等級式 IDS 也存在一些問題：首先，當網絡拓撲結構改變時，區(qū)域分析結果的匯總機制也需要做相應的調整；其次，這種結構的 IDS 最后還是要 將各地收集的結果傳送到最高級的檢測服務器進行全局分析，所以系統(tǒng)的安全性并沒有實質性的改進。 不同的分類方法體現(xiàn)的是對入侵檢測系統(tǒng)不同側面的理解。另外，協(xié)議分析還可以探測碎片攻擊。對于入侵檢測系統(tǒng)來說，也需要從大量的數(shù)據(jù)中提取出入侵的特征。 模糊系統(tǒng) 模糊理論在知識和規(guī)則獲取中具有重要的作用。 遺傳算法 遺傳算法是基于自然選擇 ,在計算機上模擬生物進化機制的尋優(yōu)搜索法 .在自然界的演化過程中 ,生物體通過遺傳、變異來適應外界環(huán)境，一代又一代地優(yōu)勝劣汰，發(fā)展進化。多傳感器信息融合的基本原理就像人腦綜合處理信息的過程一樣，它充分利用多個傳感器資源，通過對各個傳感器及其觀測信息的合理支配和使用，將各種傳感器在空間和時間上的互補與冗余信息根據(jù)某種優(yōu)化準則組合起來，產生對觀測環(huán)境的一致性解釋和描述。 這種算法的時間復 雜度低于線性，所以是現(xiàn)在用的最多的一種方法。 圖 ， a與 b不匹配， b沒有出現(xiàn)在 x中 移動規(guī)則： 當文本字符 串 與模式字符不匹配時，根據(jù)函數(shù) badcharacter shift 和goodsuffix shift 計算出的偏移值，取兩者中的大者 。 系統(tǒng)基于 windows 平臺構建的基于規(guī)則（基于誤用）的網絡入侵檢測系統(tǒng) ，能夠有效 檢測入侵事件、防止入侵、安全審計 。 查詢負載中的 DNS 緩沖區(qū)溢出企圖：可通過解析 DNS 域及檢查每個域的長度來識別利用 DNS 域的緩沖區(qū)溢出企圖 。許多包含錯誤代碼的不完善軟件也會產生違反 RFC 定義的報頭值數(shù)據(jù)。 表 規(guī)則庫結構 選項名稱 數(shù)據(jù)庫定義名稱 意義 規(guī)則號 rulesid 用于定義規(guī)則的編號 IP 協(xié)議字段值 Ip_proto 在規(guī)則中上層協(xié)議的代碼 IP 上層協(xié)議 protocol IP 上層協(xié)議的 名稱，如“ tcp” 規(guī)則動作 action 決定如果匹配該規(guī)則將采取的行動 IP 源地址 ip_src 數(shù)據(jù)包的來源源地址 IP 目的地址 ip_dst 數(shù)據(jù)包的目的地址 源端口 sourceport 數(shù)據(jù)包的來源端口 目的端口 destinationport 數(shù)據(jù)包的去向端口 服務類型 tos IP 數(shù)據(jù)包中的 TOS 字段的值 存活期 ttl 設置一個用于檢查的存活期值 IP 頭的分片 id id 用于檢測 IP 頭的分片 id 值 IP 選項 ipoption 如果 IP 包頭中包含則檢查。 U_int16_t destinationport。 U_int32_t seq。 } RuleTreeP。 處理流程圖如圖 。 規(guī)則動作分析 警告 ? 記錄 ? 是 輸出警告 否 是 輸出警告并記錄 否 忽略 結束 中央控制器響應模塊報警效果如圖 : 圖 響應模塊運行效 果圖 5 系統(tǒng)測試和分析 攻擊檢測測試 掃描是黑客攻擊的前奏，如果能及時地分析出掃描者的意圖就能及時地避免黑客的攻擊。查看不同點進行修改。reference:arachnids,30。 誤報和漏報測試 入侵檢測系統(tǒng) (IDS)是多層安全體 系架構的關鍵組成部分。 測試結果分析 表 誤報和漏報測試結果及說明 測試項目 測試結果 分析說明 誤報測試 會產生 大多數(shù)的攻擊軟件發(fā)送的數(shù)據(jù)包都沒有按照RFC 中定義的來組織，而一些正常的軟件有時也會發(fā)生相同的現(xiàn)象。指示性參數(shù)的組合將提供有關操作系統(tǒng)的可靠 “ 特征 ” 。 由于能力和水平的限制，該系統(tǒng)還是存在誤報率高和漏報的問題，若想在短期開發(fā)一個完善的入侵檢測系統(tǒng)工作量比較大，所以本系統(tǒng)還有很多有待完