【正文】 以下為檢測(cè)模塊測(cè)試效果圖： 圖 51 檢測(cè)模塊測(cè)試圖 1 圖 52 檢測(cè)模塊測(cè)試圖 2 結(jié)果分析如表 51： 表 51 結(jié)果分析表 測(cè)試目的 測(cè)試結(jié)果 分析 數(shù)據(jù)包捕獲 正常 能 夠?qū)か@捕獲共享網(wǎng)段上所有數(shù)據(jù)包 數(shù)據(jù)包分析 正常 能夠?qū)⒉东@的數(shù)據(jù)包進(jìn)行協(xié)議分析，以得到響應(yīng)模塊需要的結(jié)果 結(jié) 論 網(wǎng)絡(luò)安全防范是一個(gè)整體的行為，涉及多層次多方面的保護(hù)和技術(shù)，如防火墻、訪問(wèn)控制、認(rèn)證措施、檢測(cè)工具、弱點(diǎn)掃描、安全培訓(xùn)等，防范目標(biāo)就是使得入侵者突破安全防線更加困難，而防衛(wèi)和檢測(cè)入侵更加容易。因此，入侵檢測(cè)技術(shù)的進(jìn)一步完善是研究的重點(diǎn)問(wèn)題。 [4] 唐正軍 .入侵檢測(cè)技術(shù)導(dǎo)論 [M]. 北京 : 機(jī)械工業(yè)出版社 ,。 關(guān)于學(xué)位論文使用權(quán)和研究成果知識(shí)產(chǎn)權(quán)的說(shuō)明 本人完全了解成都信息工程學(xué)院有關(guān)保管使用 學(xué)位論文的規(guī)定，其中包括： （ 1）學(xué)校有權(quán)保管并向有關(guān)部門(mén)遞交學(xué)位論文的原件與復(fù)印件。s really a pleasure now and then to bee a mere nothing, especially when a man is as highly placed as I am. And then to think that we all, even with patent lacquer, are nothing more than insects of a moment on that anthill the earth, though we may be insects with stars and garters, places and offices! One feels quite a novice beside these venerable millionyearold boulders. On last New Year39。 but according to die French proverb。 omnium, quae cHxerat jeceratque, arte quadam ostentator: for that proceeds not of vanity, but of natural magnanimity, and discretion: and in some persons is not only ely, but gracious. For excusations, cessions, modesty itself well governed, are but arts of ostentation. And amongst those arts there is none be tter, than that which Plinius Secundus speaketh of。 and the slaves of their own vaunts. LastIndexNext And now having spoken of assaults, let us sum up all acts ofviolence under a single law, which shall be as follows:No one shallta ke or carry away any of his neighbour39。 but he who did must have supposed one of threethingseither that they did not exist,which is the first possibility,or secondly, that, if they did, they took no care of man, orthirdly, that the y were easily appeased and turned aside from theirpurpose, by sacrifices and prayers. Cleinias. What shall we say or do to these persons? Athenian Stranger. My good friend, let us first hear the jests whichI suspect that they in their superiority will utte r against us. Cle. What jests? Ath. They will make some irreverent speech of this sort:O inhabitants of A thens, and Sparta, and Cnosus, they will reply, inthat you spea k truly。 the fourth kind of violence iswhen any one, regardless of the author ity of the rulers, takes orcarries away or makes use of anything which belongs to them, nothaving their consent。 the admiration of fools。s memory。s night through the air to Amack. They sit backwards on their painting b all lapse of time, and had bee a cipher and a nothing. Then three alone, or moveth upon greater means, if they have never so little hand in it, they think it is they that carry it They that are glorious, must needs be factious。 特此聲明！ 作者簽名： 年 月 日 54 Of Vainglory It was prettily devised of Aesop。文中除了特別加以標(biāo)注地方外，不包含他人已經(jīng)發(fā)表或撰寫(xiě)過(guò)的研究成果，也不包含為獲得成都信息工程學(xué)院或其他教學(xué)機(jī)構(gòu)的學(xué)位或證書(shū)而使用過(guò)的材料。 [2] 宋勁松 .網(wǎng)絡(luò)入侵檢測(cè) [M]. 北京 : 國(guó)防工業(yè)出版社 , 。不斷增大的網(wǎng)絡(luò)流量對(duì)入侵檢測(cè)的實(shí)時(shí)性提出了考驗(yàn) 。 測(cè)試目的 測(cè)試目的主要為以下兩點(diǎn)： （ 1） 測(cè)試系統(tǒng)是否能夠從共享網(wǎng)段中捕獲到數(shù)據(jù)包。 系統(tǒng)集成 本系統(tǒng)除了由檢測(cè)模塊和響應(yīng)模塊兩個(gè)重要部分以外，還有一個(gè)必不可少的部分就是系統(tǒng) 的集成部分即中央控制器模塊。 u_int16_t ip_id。 u_int8_t ether_shost [6]。 Options ip_options[40]。 u_char mf。 IPHdr *iph。 本系統(tǒng)目前上未實(shí)現(xiàn)對(duì)應(yīng)用層協(xié)議的分析，所以數(shù)據(jù)包的分析流程圖如圖43 所示： 圖 43 數(shù)據(jù)包分析流程圖 從流程圖可以看到，在捕獲了數(shù)據(jù)包之后，就對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，本系統(tǒng)對(duì)鏈路層只分析了以太網(wǎng)協(xié)議。其中 p 為指向監(jiān)聽(tīng)會(huì)話句柄的指針， t 為指向函數(shù)返回前所處理數(shù)據(jù)包的最大值，值為負(fù)時(shí)表示處理緩沖區(qū)所有的數(shù)據(jù)包，為0 時(shí)處理所有的數(shù)據(jù)包，直到產(chǎn)生讀取到 EOF 錯(cuò)誤為止， callback 參數(shù)指定帶有3 個(gè)參數(shù)的回調(diào)函數(shù)， user 為用戶傳遞給回調(diào)函數(shù)的指針，通常設(shè)置為 NULL。 （ 2）建立監(jiān)聽(tīng)會(huì)話 函數(shù)原型： pcap_open_live (char*device,int snaplen,int promis,int to_ms,char*ebuf) 功能：用于獲取一個(gè)捕獲器描述符，調(diào)用成功就返回監(jiān)聽(tīng)會(huì)話句柄。 /*編譯 BPF 過(guò)濾規(guī)則 */ pcap_setfilter(pcap_handle,amp。 /*網(wǎng)絡(luò)掩碼 */ unsigned int _ip。具體的數(shù)據(jù)包捕獲流程圖如下： 圖 42 數(shù)據(jù)包捕獲流程圖 數(shù)據(jù)包捕獲核心代碼及主要函數(shù)說(shuō)明如下： void DecodeProcess_callback(u_char *argument,const struct pcap_pkthdr *packet_header,const u_char *pkt)。 網(wǎng)絡(luò)數(shù)據(jù)包捕獲機(jī)制 網(wǎng)絡(luò)數(shù)據(jù)包捕獲機(jī)制是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的基礎(chǔ)。 BPF 過(guò)濾機(jī)制簡(jiǎn)介 BPF(Berkeley Packet Filter)是由洛侖茲伯克利實(shí)驗(yàn)室的研究人員Stevern McCanne 和 VanJacobson 于 1993 年提出，背景是當(dāng)時(shí)在 UNIX 網(wǎng) 絡(luò)功能使用中出現(xiàn)了對(duì)網(wǎng)絡(luò)監(jiān)控工具的強(qiáng)烈需求，用來(lái)分析和排除網(wǎng)絡(luò)故障。在設(shè)計(jì)Winpcap 時(shí)參照了 Libpcap，使用方法與 Libpcap 相似。檢測(cè)模塊主要是通過(guò)監(jiān)聽(tīng)共享網(wǎng)段，捕獲該網(wǎng)段上的數(shù)據(jù)包并對(duì)其進(jìn)行分析，從而剝離出一些與入侵特征相關(guān)的標(biāo)志。 IDS 的目標(biāo)是實(shí)現(xiàn)實(shí)時(shí)響應(yīng)和恢復(fù)。 入侵檢測(cè)的發(fā)展趨勢(shì) 入侵檢測(cè)從最初實(shí)驗(yàn)室里的研究課題到目前的商業(yè) IDS 產(chǎn)品，已經(jīng)有 20 多年的發(fā)展歷史。首先將已知的每種入侵方法都表示成一條入侵規(guī)則；將當(dāng)前發(fā)生的活動(dòng)與入侵規(guī)則集進(jìn)行匹配，如果當(dāng)前的活動(dòng)與某條入侵規(guī)則匹配就認(rèn)為是采用該種入侵方法 發(fā)起的一次進(jìn)攻。不過(guò)基于主機(jī)的入侵檢測(cè)系統(tǒng)缺乏跨平臺(tái)性，而且會(huì)在服務(wù)器上產(chǎn)生額外的負(fù)載。 結(jié)果處理模塊的作用在于告警與反應(yīng)，也就是在發(fā)現(xiàn)攻擊企圖或者攻擊之后需要系統(tǒng)及時(shí)的進(jìn)行反應(yīng)，包括報(bào)告、記錄、反映和恢復(fù)。入侵檢測(cè)的任務(wù)之一就是從這 些混合數(shù)據(jù)中找出是否有入侵的痕跡。當(dāng)發(fā)現(xiàn)入侵行為后，入侵檢測(cè)系統(tǒng)會(huì)通過(guò)響應(yīng)模塊改變系統(tǒng)的防護(hù)措施，改善系統(tǒng)的防護(hù)能力，從而實(shí)現(xiàn)動(dòng)態(tài)的系統(tǒng)安全模型。第一是機(jī)制與數(shù)據(jù)的分離，在現(xiàn)有機(jī)制不變的前提下能夠?qū)π碌墓暨M(jìn)行檢測(cè)。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)。 第二部分，主要介紹了入侵檢測(cè)相關(guān)的基礎(chǔ)知識(shí)、發(fā)展趨勢(shì)等與本文相關(guān)的理論。訪問(wèn)控制技術(shù)的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，它是保證網(wǎng)絡(luò)安全的重要策略之一。對(duì)稱(chēng)密碼算法有保密度高，加密速度快的優(yōu)點(diǎn)，但其 密鑰的分發(fā)則是一個(gè)比較復(fù)雜的問(wèn)題。包括技術(shù)人員在網(wǎng)絡(luò)配置管理上的疏忽或錯(cuò)誤，網(wǎng)絡(luò)實(shí)際運(yùn)行效益和安全投入成本間的平衡抉擇，網(wǎng)絡(luò)用戶的安全管理缺陷等等。 （ 2）網(wǎng)絡(luò)的飛速發(fā)展。 這四種威脅可以劃分為兩大類(lèi)，即被動(dòng)攻擊和主動(dòng)攻擊。即網(wǎng)絡(luò)數(shù)據(jù)包的捕獲與分析過(guò)程的設(shè)計(jì)與實(shí)現(xiàn)。傳統(tǒng)安全方法是采用盡可能多地禁止策略進(jìn)行防御，例如各種殺毒軟件、防火墻、身份認(rèn)證、訪問(wèn)控制等，這些對(duì)防止非法入侵都起到了一定的作用，從系統(tǒng)安全管理的角度來(lái)說(shuō)，僅有防御是不夠好的，還應(yīng)采取主動(dòng)策略。 計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)國(guó)際化的問(wèn)題，每年全球因計(jì)算機(jī)網(wǎng)絡(luò)的安全系統(tǒng)被破壞 而造成的經(jīng)濟(jì)損失高達(dá)數(shù)百億美元。該模塊完成了對(duì)共享網(wǎng)段中的數(shù)據(jù)包的捕獲和分析等功能。 入侵檢測(cè)是防火墻的合理補(bǔ) 充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。更為嚴(yán)重的是攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒，直到整個(gè)網(wǎng)絡(luò)陷入癱瘓。主動(dòng)攻擊則意在篡改系統(tǒng)中所含信息或者改變系統(tǒng)的狀態(tài)及操作。軟件質(zhì)量難以評(píng)估是軟件的 一個(gè)特性。網(wǎng)絡(luò)安全技術(shù)主要包括基于密碼學(xué)的安全措施和非密碼體制的安全措施，前者包括：數(shù)據(jù)加密技術(shù)、身份鑒別技術(shù)等。比較著名的公鑰密碼算法有： ECC、 RSA 等，其中 RSA 算法應(yīng)用最為廣泛。從廣義上講，它還包括邏輯炸彈、特洛伊木馬和系統(tǒng)陷阱等。其中包括檢測(cè)模塊的 設(shè)計(jì)思想、工作原理以及核心代碼的分析等。即入侵檢測(cè)（ Intrusion Detection）是檢測(cè)和識(shí)別系統(tǒng)中未授權(quán)或異?，F(xiàn)象，利用審計(jì)記錄，入侵 檢測(cè)系統(tǒng)應(yīng)能識(shí)別出任何不希望有的活動(dòng)，這就要求對(duì)不希望的活動(dòng)加以限定，一旦當(dāng)它們出現(xiàn)就能自動(dòng)地檢測(cè)。它的指導(dǎo)實(shí)現(xiàn)比傳統(tǒng)靜態(tài)安全方案有突破性提高。 在 P2DR 安全模型中、入侵檢測(cè)位于檢測(cè)環(huán)節(jié)，它的作用在于承接防護(hù)和響應(yīng)過(guò)程，也就是通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干個(gè)關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中 是否有違反安全策略的行為和被攻擊的跡象。下圖的模塊劃分是非常粗略的，而且省略了諸如界面處理、配置管理等模塊。顯然，它所監(jiān)視和保護(hù)的對(duì)象是主機(jī)。它對(duì)現(xiàn)有的系統(tǒng)或基礎(chǔ)設(shè)施不會(huì)有什么影響，被檢測(cè)到的用戶很難發(fā)現(xiàn)；絕大多數(shù)基于網(wǎng)絡(luò) IDS 都是獨(dú)立的：已部署的基本網(wǎng)絡(luò)的入侵檢測(cè)傳感器將監(jiān)視所有的攻擊，而不管目標(biāo)系統(tǒng)使用什么樣的操作系統(tǒng)平臺(tái)。 基于特征的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)是準(zhǔn)確率高；它的不足在于難以發(fā)現(xiàn)未知攻擊、攻擊模式庫(kù)需要不斷更新。 IDS 體系結(jié)構(gòu)的研究主要包括具有多系統(tǒng)的互操作性和重用性的通用入侵檢測(cè)框架， 總體結(jié)構(gòu)和各部件的相互關(guān)系， IDS 管理，具有可伸