【正文】 （ 4）學(xué)?？稍试S學(xué)位論文被查閱或借閱。 [7]陳志文 ,王開云 ,姜建國 .網(wǎng)絡(luò)入侵檢測系統(tǒng)的警報合成算法設(shè)計 [J].信息與電子工程 ,2021,(3):182185。通過對系統(tǒng)的測試證明了系統(tǒng)設(shè)計的正確性及可行性，它已經(jīng)初步具備了入侵檢測系統(tǒng)的基本框架，具有良好的檢 測性能和準確的檢測結(jié)果。 return j1。 //返回新修改的數(shù)據(jù)下表 } } if(h==j) { synrule[h].=ih。 ih==synrule[h].amp。 if(timeout=0) { for(h=0。 scanrule[i].k++。 return scanrule[h].k。 return scanrule[h].k。 ih==scanrule[h].amp。 if(timeout=0) { for(h=0。 typedef struct tagrule2{ // 端口掃描的數(shù)據(jù)結(jié)構(gòu) 第 17 頁 共 24 頁 struct ip_address keyword。 對每一個進入的源 IP地址作時間溢出判定， 如果 時間沒有溢出，根據(jù)捕獲信息，更新記錄信息。 //32位確認號 UCHAR th_x2:4。 // 16位源端口號 u_short dport。 // 標志 (3 bits) + 片偏移 (13 bits) u_char ttl。fcode)。inum)。 d。 數(shù)據(jù)包捕獲模塊實現(xiàn) PIDS的數(shù)據(jù) 包捕獲 是通過調(diào)用 Winpcap中的動態(tài)庫函數(shù)實現(xiàn)的 。 異常值由用戶的行為的歷史情況來決定。 UDP數(shù)據(jù)報各域的意義與 TCP段中相應(yīng)的域相同。 IP是 TCP/IP協(xié)議族中最為核心的協(xié)議。其中每一層對收到的數(shù)據(jù)都要增加一些首部信息（有時還要增加尾部信息）。內(nèi)核緩沖區(qū)和用戶緩沖區(qū)都能在運行時間里改變。環(huán)形緩沖區(qū)允許所有的容量來存放數(shù)據(jù)包，前面談到的一對BPF交換緩沖區(qū)只能用一半的容量。此外，它需要一個 “BPF虛擬機 ”來執(zhí)行偽代碼從而對所有到來的包進行操作。 NPF提供了應(yīng)用程序所有 I/O操作的回調(diào)函數(shù)，如 :open,close,read,write等。異步調(diào)用不支持，因此用戶級存取經(jīng)常被阻塞。因為 Windows與 BPF驅(qū)動規(guī)范有些 不 同 :Windows不允許為了增加捕獲功能而改變操作系統(tǒng)和 NIC驅(qū)動。程序員能隨意使用，但只能在受限的環(huán)境中直接使用 . 總的說來， 。提供了一套系統(tǒng)獨立的 API，調(diào)用 Windows平臺上而無需重新編譯。它提供了以下的各項功能 : 捕獲原始數(shù)據(jù)報，包括在共享網(wǎng)絡(luò)上各主機發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)報 在數(shù)據(jù)報發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報 收集網(wǎng)絡(luò)通信過程中的統(tǒng)計信息 Winpcap由三個模塊構(gòu)成 :NPF, , 。 本文闡述的就是 在 Windows下實現(xiàn) 個人入侵檢測系統(tǒng) (PIDS)。 1984年到 1986年喬治敦大學(xué)的Dorothy Denning和 SRI公司計算機科學(xué)實驗室的 Peter Neumann研究出了一個實時入侵檢測系統(tǒng)模型 — IDES (Intrusion Detection Expert Systems入侵檢測專家系統(tǒng) )，是第一個在一個應(yīng)用中運用了統(tǒng)計和基于規(guī)則兩種技術(shù)的系統(tǒng)，是入侵檢測研究中最有影響的一個系統(tǒng)。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱，它可以是 復(fù)雜的數(shù)據(jù)庫也可以是簡單的文本文件。這是一種基于統(tǒng)計的檢測方法。濫用檢測型的IDS中，首先建立一個對過去各種入侵方法和系統(tǒng)缺陷知識的數(shù)據(jù)庫，當(dāng)收集到的信息與庫中的原型相符合時則報警。很多早期的基于主機的 IDS都采用這種方案。 1. 按照控制策略分類 控制策略描述了 IDS的各元素是如何控制的，以及 IDS的輸入和輸出是如何管理的。而入侵檢 測的定義為：發(fā)現(xiàn)非授權(quán)使用計算機的個體（如 “黑客 ”）或計算機系統(tǒng)的合法用戶濫用其訪問系統(tǒng) 第 4 頁 共 24 頁 的權(quán)利以及企圖實施上述行為的個體。其工作原理實質(zhì)是，特洛伊木馬只是一個網(wǎng)絡(luò)客戶 /服務(wù)程序。其原理是基于連接時的三次握手，如果黑客機器發(fā)出的包的源地址是一個虛假的 IP地址， ISP主機發(fā)出的確認請求包 ACK/SYN就找不到目標地址，如果這個確認包一直沒找到目標地址，那么也就是目標主機無法獲得對方回復(fù)的 ACK包。 拒絕服務(wù)攻擊 (Denial of Service，簡稱 DoS)，是指占據(jù)大量的共享資源（如：處理器、磁盤空間、 CPU、打印機），使系統(tǒng)沒有剩余的資源給其他用戶，從而使服務(wù)請求被拒絕，造成系統(tǒng)運行遲緩或癱瘓。當(dāng)用戶發(fā)送數(shù)據(jù)時，這些數(shù)據(jù)就會發(fā)送到局域網(wǎng)上所有可用的機器。 第 2 頁 共 24 頁 對網(wǎng)絡(luò) 個人主機 的攻擊 對方 首先通過掃描來查找可以入侵的機器，即漏洞探測 ； 接著確定該機器的IP地址 ；然后利用相應(yīng)的攻擊工具發(fā)起某種攻擊。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問題變得廣泛而復(fù)雜。一般意義上，網(wǎng)絡(luò)安全是指信 息安全和控制安全兩部分。 本論文從入侵檢測的基本理論和入侵檢測中的關(guān)鍵技術(shù)出發(fā) ,主要研究了一個簡單的基于網(wǎng)絡(luò)的windows平臺上的個人入侵檢測系統(tǒng)的實現(xiàn) (PIDS， Personal Intrusion Detection System)。系統(tǒng)在實際測試中表明對于具有量化特性的網(wǎng)絡(luò)入侵具有較好的檢測能力。例如，資源未授權(quán)侵用、未授權(quán)信息流出現(xiàn)、系統(tǒng)拒絕信息流 和系統(tǒng)否認等，這些都是信息安全的技術(shù)難點。這種攻擊的著眼點在于網(wǎng)絡(luò)中的信任關(guān)系，主要有地址偽裝 IP欺騙和用戶名假冒。其工作原理是：在一個共享介質(zhì)的網(wǎng)絡(luò)中 (如以太網(wǎng) )，一個網(wǎng)段上的所有網(wǎng)絡(luò)接口均能訪問介質(zhì)上傳輸?shù)乃袛?shù)據(jù)。在接收到上面兩 種情況的數(shù)據(jù)幀時，主機通過 CPU產(chǎn)生硬件中斷，該中斷能引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)作進一步處理。服務(wù)器切斷連接后，攻 擊者又發(fā)送新一批虛假請求，該 第 3 頁 共 24 頁 過程周而復(fù)始，最終使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負荷以至于癱 瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。當(dāng)這種程序進入系統(tǒng)后，便有可能給系統(tǒng)帶來危害。 入侵檢測技術(shù)及其歷史 入侵檢測 （ IDS） 概念 1980年， 詹姆斯 入侵檢測的目的： (1)識別入侵者； (2)識別入侵行為； (3)檢測和監(jiān)視以實施的入侵行為； (4)為對抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴大 。 2. 按照同步技術(shù)分類 同步技術(shù)是指被監(jiān)控的事件以及對這些事件的分析在同一時間進行?；谥鳈C的 IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測攻擊。當(dāng)特定的入侵被檢測到時，主動 IDS會采用以下三種響應(yīng)：收集輔助信息；改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞；對攻擊者采取行動（這是一種不被推薦的做法，因為行為有點過激）。事件產(chǎn)生器的目的是從整個計算機環(huán)境中獲得事件，并向系統(tǒng)其它部分提供此事件。當(dāng)檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。因此，個人用戶 的重要數(shù)據(jù)、機密文件等需要 安全 保護 。對于不同的操作系統(tǒng)有許多不同的數(shù) 據(jù)包捕獲方法。 這個過程中包括了一些操作系統(tǒng)特有的代碼。它包括了一些比如過濾器生成、用戶級緩沖等其它的高層函數(shù)，增加了比如統(tǒng)計和包發(fā)送等更高級的特性。 BPF被網(wǎng)卡驅(qū)動程序直接調(diào)用，要求 NIC設(shè)備驅(qū)動程序遵從一些所謂的 “BPF(Berkeley Packet Filter)驅(qū)動規(guī)范 ”。然而， NPF獲得了更好的執(zhí)行效果，其Tap比 BPF還要運行得快。 圖 3 NDIS內(nèi) NPF Winpcap中 NPF的實現(xiàn)由于是以協(xié)議驅(qū)動程序的模式來實現(xiàn)的，雖然從性能上看來并不是最始數(shù)據(jù)的完全訪問。 圖 4 NPF協(xié)議驅(qū)動 Winpcap中過濾進程由用戶級部分開始。當(dāng)數(shù)據(jù)從內(nèi)核緩沖區(qū)傳送到用戶緩沖區(qū)時，相同數(shù)量的包被復(fù)制到內(nèi)核緩沖區(qū)中。 Winpcap的核心緩沖區(qū)比 BPF的大，通常為 1M。TCP/IP協(xié)議族，有很多協(xié)議。 當(dāng)目的主機收到一個以太網(wǎng)數(shù)據(jù)幀時 ，數(shù)據(jù)就開始 從協(xié)議棧中由底向上升，同時去掉各層協(xié)議加上的報文首部。 TCP協(xié)議頭部信息如下： 源端口 :發(fā)送端 TCP端口號； 目的端口 :接收端 TCP端口號 ； 序號 :指出段中數(shù)據(jù)在發(fā)送端數(shù)據(jù)流中的位置 ； 確認號 :指出本機希望下一個接收的字節(jié)的序號 ； 頭標長度 :以 32bit為單位的段頭標長度， 針對變長的 “選項 ”域設(shè)計的 ； 碼位 :指出段的目的與內(nèi)容，不同的各碼位置位有不同的含義 ； 窗口 :用于通告接收端接收緩沖區(qū)的大小 ； 校驗和 :這是可選域，置 0表示未選，全 1表示校驗和為伍 ； 緊急指針 :當(dāng) 碼位的 URG置位時，指出緊急指針的序號； UDP協(xié)議是英文 User Datagram Protocol的縮寫，即用戶數(shù)據(jù)報協(xié)議，主要用來支持那些需要在計算機之間傳輸數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用。例如：系統(tǒng)允許有限的不成功注冊次數(shù) 、 一種特定類型的網(wǎng)絡(luò)連接數(shù)、企圖訪問文件的次數(shù)、訪問文件或目錄次數(shù)和訪問網(wǎng)絡(luò)系統(tǒng)次數(shù)。 報警 處理模塊 將數(shù)據(jù)庫中的信息及時響應(yīng)，確定入侵的類 型并進行報警。alldevs, errbuf) == 1) { fprintf(stderr,Error in pcap_findalldevs: %s\n, errbuf)。 return 1。 連接并設(shè)置過濾器： pcap_pile(adhandle, amp。 // 服務(wù)類型 u_short tlen。 // 32位目的 IP地址 u_int op_pad。 // 16位源端口號 USHORT th_dport。 //16位 TCP檢驗和 USHORT th_urp。 // 記錄源 IP地址 time_t t1_tmpbuf_。 int scanport(ip_header *ih,int dport,int timeout,time_t t_tmpbuf_now,rule2 scanrule[]) //檢測端口掃描的規(guī)則函數(shù) { int h。amp。 scanrule[h].count[scanrule[h].k]=dport。 } } if(m==scanrule[h].k) { scanrule[h].count[scanrule[h].k] =dport。 scanrule[h].t2_tmpbuf_=t_tmpbuf_now。 return 0。amp。 } if(syn==1) synrule[h].count =synrule[h].count+1。 第 20 頁 共 24 頁 if(syn==1) synrule[j].count = 1。 CREATE TABLE `infotcp` ( 第 21 頁 共 24 頁 `id` int(11) NOT NULL auto_increment, `times` varchar(50) default NULL, `dat` varchar(50) default NULL, `dates` varchar(50) default NULL, `dates1` varchar(50) default NULL, `messagelen` varchar(11) default NULL, `sip` varchar(50) default NULL, `sport` varchar(6) default NULL, `dip` varchar(50) default NULL, `dport` varchar(6) default NULL, `seq` varchar(11) default NULL, `acknumber` varchar(11) default NULL, `win` varchar(6) default N