【正文】 以下為檢測模塊測試效果圖： 圖 51 檢測模塊測試圖 1 圖 52 檢測模塊測試圖 2 結(jié)果分析如表 51： 表 51 結(jié)果分析表 測試目的 測試結(jié)果 分析 數(shù)據(jù)包捕獲 正常 能 夠?qū)か@捕獲共享網(wǎng)段上所有數(shù)據(jù)包 數(shù)據(jù)包分析 正常 能夠?qū)⒉东@的數(shù)據(jù)包進行協(xié)議分析，以得到響應模塊需要的結(jié)果 結(jié) 論 網(wǎng)絡安全防范是一個整體的行為，涉及多層次多方面的保護和技術，如防火墻、訪問控制、認證措施、檢測工具、弱點掃描、安全培訓等，防范目標就是使得入侵者突破安全防線更加困難，而防衛(wèi)和檢測入侵更加容易。因此，入侵檢測技術的進一步完善是研究的重點問題。 [4] 唐正軍 .入侵檢測技術導論 [M]. 北京 : 機械工業(yè)出版社 ,。 關于學位論文使用權和研究成果知識產(chǎn)權的說明 本人完全了解成都信息工程學院有關保管使用 學位論文的規(guī)定，其中包括： （ 1）學校有權保管并向有關部門遞交學位論文的原件與復印件。s really a pleasure now and then to bee a mere nothing, especially when a man is as highly placed as I am. And then to think that we all, even with patent lacquer, are nothing more than insects of a moment on that anthill the earth, though we may be insects with stars and garters, places and offices! One feels quite a novice beside these venerable millionyearold boulders. On last New Year39。 but according to die French proverb。 omnium, quae cHxerat jeceratque, arte quadam ostentator: for that proceeds not of vanity, but of natural magnanimity, and discretion: and in some persons is not only ely, but gracious. For excusations, cessions, modesty itself well governed, are but arts of ostentation. And amongst those arts there is none be tter, than that which Plinius Secundus speaketh of。 and the slaves of their own vaunts. LastIndexNext And now having spoken of assaults, let us sum up all acts ofviolence under a single law, which shall be as follows:No one shallta ke or carry away any of his neighbour39。 but he who did must have supposed one of threethingseither that they did not exist,which is the first possibility,or secondly, that, if they did, they took no care of man, orthirdly, that the y were easily appeased and turned aside from theirpurpose, by sacrifices and prayers. Cleinias. What shall we say or do to these persons? Athenian Stranger. My good friend, let us first hear the jests whichI suspect that they in their superiority will utte r against us. Cle. What jests? Ath. They will make some irreverent speech of this sort:O inhabitants of A thens, and Sparta, and Cnosus, they will reply, inthat you spea k truly。 the fourth kind of violence iswhen any one, regardless of the author ity of the rulers, takes orcarries away or makes use of anything which belongs to them, nothaving their consent。 the admiration of fools。s memory。s night through the air to Amack. They sit backwards on their painting b all lapse of time, and had bee a cipher and a nothing. Then three alone, or moveth upon greater means, if they have never so little hand in it, they think it is they that carry it They that are glorious, must needs be factious。 特此聲明！ 作者簽名： 年 月 日 54 Of Vainglory It was prettily devised of Aesop。文中除了特別加以標注地方外，不包含他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得成都信息工程學院或其他教學機構(gòu)的學位或證書而使用過的材料。 [2] 宋勁松 .網(wǎng)絡入侵檢測 [M]. 北京 : 國防工業(yè)出版社 , 。不斷增大的網(wǎng)絡流量對入侵檢測的實時性提出了考驗 。 測試目的 測試目的主要為以下兩點： （ 1） 測試系統(tǒng)是否能夠從共享網(wǎng)段中捕獲到數(shù)據(jù)包。 系統(tǒng)集成 本系統(tǒng)除了由檢測模塊和響應模塊兩個重要部分以外，還有一個必不可少的部分就是系統(tǒng) 的集成部分即中央控制器模塊。 u_int16_t ip_id。 u_int8_t ether_shost [6]。 Options ip_options[40]。 u_char mf。 IPHdr *iph。 本系統(tǒng)目前上未實現(xiàn)對應用層協(xié)議的分析，所以數(shù)據(jù)包的分析流程圖如圖43 所示： 圖 43 數(shù)據(jù)包分析流程圖 從流程圖可以看到，在捕獲了數(shù)據(jù)包之后，就對網(wǎng)絡數(shù)據(jù)包進行分析，本系統(tǒng)對鏈路層只分析了以太網(wǎng)協(xié)議。其中 p 為指向監(jiān)聽會話句柄的指針， t 為指向函數(shù)返回前所處理數(shù)據(jù)包的最大值，值為負時表示處理緩沖區(qū)所有的數(shù)據(jù)包，為0 時處理所有的數(shù)據(jù)包，直到產(chǎn)生讀取到 EOF 錯誤為止， callback 參數(shù)指定帶有3 個參數(shù)的回調(diào)函數(shù)， user 為用戶傳遞給回調(diào)函數(shù)的指針，通常設置為 NULL。 （ 2）建立監(jiān)聽會話 函數(shù)原型： pcap_open_live (char*device,int snaplen,int promis,int to_ms,char*ebuf) 功能：用于獲取一個捕獲器描述符，調(diào)用成功就返回監(jiān)聽會話句柄。 /*編譯 BPF 過濾規(guī)則 */ pcap_setfilter(pcap_handle,amp。 /*網(wǎng)絡掩碼 */ unsigned int _ip。具體的數(shù)據(jù)包捕獲流程圖如下： 圖 42 數(shù)據(jù)包捕獲流程圖 數(shù)據(jù)包捕獲核心代碼及主要函數(shù)說明如下： void DecodeProcess_callback(u_char *argument,const struct pcap_pkthdr *packet_header,const u_char *pkt)。 網(wǎng)絡數(shù)據(jù)包捕獲機制 網(wǎng)絡數(shù)據(jù)包捕獲機制是網(wǎng)絡入侵檢測系統(tǒng)的基礎。 BPF 過濾機制簡介 BPF(Berkeley Packet Filter)是由洛侖茲伯克利實驗室的研究人員Stevern McCanne 和 VanJacobson 于 1993 年提出，背景是當時在 UNIX 網(wǎng) 絡功能使用中出現(xiàn)了對網(wǎng)絡監(jiān)控工具的強烈需求，用來分析和排除網(wǎng)絡故障。在設計Winpcap 時參照了 Libpcap，使用方法與 Libpcap 相似。檢測模塊主要是通過監(jiān)聽共享網(wǎng)段，捕獲該網(wǎng)段上的數(shù)據(jù)包并對其進行分析，從而剝離出一些與入侵特征相關的標志。 IDS 的目標是實現(xiàn)實時響應和恢復。 入侵檢測的發(fā)展趨勢 入侵檢測從最初實驗室里的研究課題到目前的商業(yè) IDS 產(chǎn)品，已經(jīng)有 20 多年的發(fā)展歷史。首先將已知的每種入侵方法都表示成一條入侵規(guī)則；將當前發(fā)生的活動與入侵規(guī)則集進行匹配，如果當前的活動與某條入侵規(guī)則匹配就認為是采用該種入侵方法 發(fā)起的一次進攻。不過基于主機的入侵檢測系統(tǒng)缺乏跨平臺性，而且會在服務器上產(chǎn)生額外的負載。 結(jié)果處理模塊的作用在于告警與反應，也就是在發(fā)現(xiàn)攻擊企圖或者攻擊之后需要系統(tǒng)及時的進行反應，包括報告、記錄、反映和恢復。入侵檢測的任務之一就是從這 些混合數(shù)據(jù)中找出是否有入侵的痕跡。當發(fā)現(xiàn)入侵行為后，入侵檢測系統(tǒng)會通過響應模塊改變系統(tǒng)的防護措施，改善系統(tǒng)的防護能力，從而實現(xiàn)動態(tài)的系統(tǒng)安全模型。第一是機制與數(shù)據(jù)的分離，在現(xiàn)有機制不變的前提下能夠?qū)π碌墓暨M行檢測。入侵檢測被認為是防火墻之后的第二道安全閘門。 第二部分，主要介紹了入侵檢測相關的基礎知識、發(fā)展趨勢等與本文相關的理論。訪問控制技術的主要任務是保證網(wǎng)絡資源不被非法使用和訪問，它是保證網(wǎng)絡安全的重要策略之一。對稱密碼算法有保密度高，加密速度快的優(yōu)點，但其 密鑰的分發(fā)則是一個比較復雜的問題。包括技術人員在網(wǎng)絡配置管理上的疏忽或錯誤，網(wǎng)絡實際運行效益和安全投入成本間的平衡抉擇，網(wǎng)絡用戶的安全管理缺陷等等。 （ 2）網(wǎng)絡的飛速發(fā)展。 這四種威脅可以劃分為兩大類，即被動攻擊和主動攻擊。即網(wǎng)絡數(shù)據(jù)包的捕獲與分析過程的設計與實現(xiàn)。傳統(tǒng)安全方法是采用盡可能多地禁止策略進行防御，例如各種殺毒軟件、防火墻、身份認證、訪問控制等，這些對防止非法入侵都起到了一定的作用，從系統(tǒng)安全管理的角度來說，僅有防御是不夠好的，還應采取主動策略。 計算機網(wǎng)絡安全是一個國際化的問題，每年全球因計算機網(wǎng)絡的安全系統(tǒng)被破壞 而造成的經(jīng)濟損失高達數(shù)百億美元。該模塊完成了對共享網(wǎng)段中的數(shù)據(jù)包的捕獲和分析等功能。 入侵檢測是防火墻的合理補 充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結(jié)構(gòu)的完整性。更為嚴重的是攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡節(jié)點，釋放計算機病毒，直到整個網(wǎng)絡陷入癱瘓。主動攻擊則意在篡改系統(tǒng)中所含信息或者改變系統(tǒng)的狀態(tài)及操作。軟件質(zhì)量難以評估是軟件的 一個特性。網(wǎng)絡安全技術主要包括基于密碼學的安全措施和非密碼體制的安全措施，前者包括：數(shù)據(jù)加密技術、身份鑒別技術等。比較著名的公鑰密碼算法有： ECC、 RSA 等，其中 RSA 算法應用最為廣泛。從廣義上講，它還包括邏輯炸彈、特洛伊木馬和系統(tǒng)陷阱等。其中包括檢測模塊的 設計思想、工作原理以及核心代碼的分析等。即入侵檢測（ Intrusion Detection）是檢測和識別系統(tǒng)中未授權或異常現(xiàn)象，利用審計記錄，入侵 檢測系統(tǒng)應能識別出任何不希望有的活動，這就要求對不希望的活動加以限定，一旦當它們出現(xiàn)就能自動地檢測。它的指導實現(xiàn)比傳統(tǒng)靜態(tài)安全方案有突破性提高。 在 P2DR 安全模型中、入侵檢測位于檢測環(huán)節(jié)，它的作用在于承接防護和響應過程，也就是通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干個關鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中 是否有違反安全策略的行為和被攻擊的跡象。下圖的模塊劃分是非常粗略的，而且省略了諸如界面處理、配置管理等模塊。顯然，它所監(jiān)視和保護的對象是主機。它對現(xiàn)有的系統(tǒng)或基礎設施不會有什么影響，被檢測到的用戶很難發(fā)現(xiàn)；絕大多數(shù)基于網(wǎng)絡 IDS 都是獨立的：已部署的基本網(wǎng)絡的入侵檢測傳感器將監(jiān)視所有的攻擊，而不管目標系統(tǒng)使用什么樣的操作系統(tǒng)平臺。 基于特征的入侵檢測系統(tǒng)的優(yōu)點是準確率高；它的不足在于難以發(fā)現(xiàn)未知攻擊、攻擊模式庫需要不斷更新。 IDS 體系結(jié)構(gòu)的研究主要包括具有多系統(tǒng)的互操作性和重用性的通用入侵檢測框架， 總體結(jié)構(gòu)和各部件的相互關系， IDS 管理，具有可伸