【正文】 不能處理諸如 Lotus Notes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。 此外，單一的入侵檢測(cè)系統(tǒng)并非萬(wàn)能，因此需要結(jié)合身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密、防火墻、安全掃描、 PKI 技術(shù)、病毒防護(hù)等眾多網(wǎng)絡(luò)安全技術(shù)，來(lái)提 供完整的網(wǎng)絡(luò)安全保障。 系統(tǒng)總體結(jié)構(gòu)如圖 31 所示： 圖 31 系統(tǒng)總體結(jié)構(gòu)圖 基于 Windows入侵檢測(cè)系統(tǒng) 檢測(cè)模塊 響應(yīng)模塊 數(shù)據(jù)捕獲 數(shù)據(jù)分析 規(guī)則庫(kù) 規(guī)則匹配引擎 響應(yīng)單元 日志庫(kù) 本系統(tǒng)所采用的開發(fā)語(yǔ)言是 C/C++，下表 31為系統(tǒng)開發(fā)所用到的相關(guān)部件： 表 31 系統(tǒng)開發(fā)軟體環(huán)境 部件名稱 軟體 系統(tǒng)平臺(tái) Microsoft Windows 開發(fā)工具 VC++ 編譯環(huán)境 VC++ 運(yùn)行環(huán)境 Microsoft Windows 數(shù)據(jù)庫(kù) MYSQL 開發(fā)包 winpcap、 libnids 4. 檢測(cè)模塊的設(shè)計(jì)與實(shí)現(xiàn) 檢測(cè)模塊是任何一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)都必須具備的模塊之一，它主要實(shí)現(xiàn)了數(shù)據(jù)提取的功能，和對(duì)提取到的數(shù)據(jù)進(jìn)行簡(jiǎn)單的分析，從而提取一些與入侵特征相關(guān)的標(biāo)志。 1． Winpcap 給程序員提供了 一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包捕獲的編程接口，并且與 Libpcap 兼容，使得原來(lái)許多 Linux 平臺(tái)下的網(wǎng)絡(luò)安全程序可很快地移植到Windows 平臺(tái)下。但是，當(dāng) BPF 也在該網(wǎng)絡(luò)接口上截獲時(shí)，驅(qū)動(dòng)器將會(huì)首先調(diào)用BPF。本系統(tǒng)是利用以太網(wǎng)絡(luò)的廣播特性進(jìn)行捕獲數(shù)據(jù)包的。MASK）pcap_lookup() 打開網(wǎng)絡(luò)設(shè)備 pcap_open_live() 用戶編譯過(guò)濾規(guī)則 pcap_pile() 設(shè)置過(guò)濾規(guī)則 pcap_setfilter() 循環(huán)捕獲網(wǎng)絡(luò)數(shù)據(jù)包 pcap_loop() 顯示分析捕獲的數(shù)據(jù) display() 緩沖滿？ 結(jié)束 開始 char *_interface。_mask,error_content)。 /*注冊(cè)回調(diào)函數(shù)，循環(huán)捕獲網(wǎng)絡(luò)數(shù)據(jù)包，然后調(diào)用回調(diào)函數(shù)對(duì)捕獲的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析 */ pcap_close (pcap_handle)。其中， p 為監(jiān)聽會(huì)話句柄指針， fp 為指向結(jié)構(gòu) bpf_program 的指針，用于存放編譯后的 BPF 程序， str為 tcpdump 表達(dá)式字符串指針， optimize 為優(yōu)化標(biāo)志， mask 為子網(wǎng)掩碼。 通過(guò) Winpcap 函數(shù)庫(kù)，我們得到了網(wǎng)絡(luò)中傳輸?shù)脑季W(wǎng)絡(luò)數(shù)據(jù)包，為了從中 得到有用的數(shù)據(jù)信息，接下來(lái)就要對(duì)原始數(shù)據(jù)包進(jìn)行分析，也就是進(jìn)行網(wǎng)絡(luò)協(xié)議的解析工作。 Data Packet 的結(jié)構(gòu)如下： typedef struct Data_Packet { struct pcap_pkthdr *pkth。 u_char *data。 u_int16_t dp。 }Packet。 u_int8_t ip_hlen:4。 u_int16_t ip_checksum。具體實(shí)現(xiàn)效果如圖 44 所示： 圖 44 檢測(cè)模塊效果圖 圖 44 主要顯示了檢測(cè)模塊在中央控制器中運(yùn)行的效果圖。一個(gè)好的 Intra 的安全解決方案應(yīng)該既滿足安全需求，又具有足夠的透明性、可用性和 易管理性。本論文只完成了入侵檢測(cè)系統(tǒng)的前期工作，即捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包，通過(guò)對(duì)這些捕獲的數(shù)據(jù)包進(jìn)行分析，可以為后面的響應(yīng)模塊提供數(shù)據(jù)輸入。 [6] 謝希仁 .計(jì)算機(jī)網(wǎng)絡(luò) (第四版 )[M]. 北京 : 電子工業(yè)出版社 ,。 （ 3）學(xué)校可以學(xué)術(shù)交流為目的復(fù)制、贈(zèng)送和交換學(xué)位論文。. How funny! cried Jo, taking one up. Isn39。t mean anyone should know till the time came. I only meant to change the little bottle for a big one, and I gave all my money to get it, and I39。t ge t any of it. And when they went away, leaving fort behind, I think there were not in all the city four merrier people than the hungry little girls who gave away their breakfasts and contented themselves with bread and milk on Christmas morning. That39。t give up our girls for a dozen fortunes. 。d do it, said Mrs. March, smiling as if satisfied. You shall all go and help me, and when we e back we will have bread and milk for breakfast, and make it up at dinnertime. They were soon ready, and the procession set out. Fortunately it was early, and they went through back streets, so few people saw them, and no one laughed at the queer party. A poor, bare, miserable room it was, with broken windows, no fire, ragged bedclothes, a sick mother, wailing baby, and a group of pale, hungry children cuddled under one old quilt, trying to keep warm. How the big eyes stared and the blue lips smiled as the girls went in. Ach, mein Gott! It is good angels e to us! said the poor woman, crying for joy. Funny angels in hoods and mittens, said Jo, and set them to laughing. In a few minutes it really did seem as if kind spirits had been at wor k there. Hannah, who had carried wood, made a fire, and stopped up the broke n panes with old hats and her own cloa k. Mrs. March gave the mother tea and gruel, and forted her with promises of help, while she dressed the little baby as tenderly as if it had been her own. T he girls meantime spread the table, set the children round the fire, and fed them like so many hungry birds, laughing, talking, and trying to understand the funny broken English. Das ist gut! Die Engel kinder! cried the poor things as they ate and warmed their purple hands at the fortable blaze. T he girls had never been c alled angel children before, and thought it very agreeable, especially Jo, who had been considered a `Sancho39。s Mother. Hide the basket, quick! cried Jo, as a door slammed and steps sounded in the hall. Amy came in hastily, and looked rather abashed when she saw her sisters all waiting for her. Where have you been, and what are you hiding behind you? asked Meg, surprised to see, by her hood and cloak, that lazy Amy had been out so early. Don39。s gone and put `Mother39。 關(guān)于學(xué)位論文使用權(quán)和研究成果知識(shí)產(chǎn)權(quán)的說(shuō)明 本人完全了解成都信息工程學(xué)院有關(guān)保管使用 學(xué)位論文的規(guī)定，其中包括： （ 1）學(xué)校有權(quán)保管并向有關(guān)部門遞交學(xué)位論文的原件與復(fù)印件。 [4] 唐正軍 .入侵檢測(cè)技術(shù)導(dǎo)論 [M]. 北京 : 機(jī)械工業(yè)出版社 ,。因此，入侵檢測(cè)技術(shù)的進(jìn)一步完善是研究的重點(diǎn)問(wèn)題。 測(cè)試結(jié)果 以下為檢測(cè)模塊測(cè)試效果圖： 圖 51 檢測(cè)模塊測(cè)試圖 1 圖 52 檢測(cè)模塊測(cè)試圖 2 結(jié)果分析如表 51： 表 51 結(jié)果分析表 測(cè)試目的 測(cè)試結(jié)果 分析 數(shù)據(jù)包捕獲 正常 能 夠?qū)か@捕獲共享網(wǎng)段上所有數(shù)據(jù)包 數(shù)據(jù)包分析 正常 能夠?qū)⒉东@的數(shù)據(jù)包進(jìn)行協(xié)議分析，以得到響應(yīng)模塊需要的結(jié)果 結(jié) 論 網(wǎng)絡(luò)安全防范是一個(gè)整體的行為，涉及多層次多方面的保護(hù)和技術(shù)，如防火墻、訪問(wèn)控制、認(rèn)證措施、檢測(cè)工具、弱點(diǎn)掃描、安全培訓(xùn)等，防范目標(biāo)就是使得入侵者突破安全防線更加困難，而防衛(wèi)和檢測(cè)入侵更加容易。它的主要功能就是為用戶提供了 系統(tǒng)的控制界面，并且能夠詳細(xì)的顯示出系統(tǒng)運(yùn)行的結(jié)果。 u_int8_t ip_ttl。 } EtherHdr。 Options tcp_options[40]。 u_char rf。 UDPHdr *udph。在分析 IP 協(xié)議時(shí)，根據(jù)協(xié)議類型的值判斷傳輸層協(xié)議類型：如果 IP 協(xié)議類型字段的值是 6，表示協(xié)議為 TCP 協(xié)議，則分析 TCP 協(xié)議；如果捕獲網(wǎng)絡(luò)上的一個(gè)數(shù)據(jù)包 分析以太網(wǎng)協(xié)議 分析 TCP 協(xié)議 分析 IP 協(xié)議 傳入響應(yīng)模塊 分析 RARP 協(xié)議 分析 ARP 協(xié)議 判斷以太網(wǎng)類型字段 判斷 IP 協(xié)議類型字段 分析 UDTCP 協(xié)議 分析 ICMP 協(xié)議 IP 協(xié)議類型字段的值是 17，表示協(xié)議為 UDP 協(xié)議，則分析 UDP 協(xié)議；如果 IP協(xié)議類型字段的值是 1，表示協(xié)議為 ICMP 協(xié)議，則分析 ICMP 協(xié)議。其中， args 為從 pcap_loop 函數(shù)傳遞過(guò)來(lái)的u_char 指針， pheader 為指向 pcap_pkthdr 結(jié) 構(gòu)指針， packet 是指向所有捕獲的數(shù)據(jù)包的指針。 （ 3）編譯過(guò)濾器 函數(shù)原型： int pcap_pile(pcap_t * p,struct bpf_progrm * fp,char*str,int optimize,bpf_u_int32 mask) 功能：將字符串形 式的過(guò)濾要求編譯成二進(jìn)制形式存儲(chǔ)在 bpf_program 結(jié)構(gòu)中。 /*設(shè)置過(guò)濾規(guī)則 */ if(pcap_datalink(pcap_handle)!=DLT_EN10MB) return。 /*獲得可用的網(wǎng)絡(luò)接口 */ pcap_lookup(_interface,amp。 /*Libpcap 句柄 */ char error_content[PCAP_ERRBUF_SIZE]。其工作流程圖如 41 所示： 圖 41 數(shù)據(jù)包捕獲流程圖 網(wǎng)絡(luò)數(shù)據(jù)包捕獲可以通過(guò)兩種機(jī)制實(shí)現(xiàn)，一種是利用以太網(wǎng)的廣播特性，另一種方式是通過(guò)設(shè)置路由器的監(jiān)聽端口實(shí)現(xiàn)。 BPF 在內(nèi)核態(tài)對(duì)數(shù)據(jù)包進(jìn)行預(yù)處理，因而大大提高了運(yùn)行性能。 開發(fā) winpcap這個(gè)項(xiàng)目的目的在于為 win32應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)底層的能力 ，其核心功能是捕獲網(wǎng)絡(luò)數(shù)據(jù)包，其他功能包括數(shù)據(jù)包過(guò)濾、數(shù)據(jù)包發(fā)送、流量統(tǒng)計(jì)和數(shù)據(jù)包存儲(chǔ)等。除了這兩大模塊以外，本系統(tǒng)還有一個(gè)中央控制臺(tái)模塊，該模塊主要是給系統(tǒng)的使用者提供方便的操作界面，以及顯示系統(tǒng)輸出的各項(xiàng)數(shù)據(jù)。 IDS 的恢復(fù)研究包括系統(tǒng)狀態(tài)一致性檢測(cè)，系統(tǒng)數(shù)據(jù)備分，系統(tǒng)恢復(fù)策略和恢復(fù)機(jī)制。 ? 體系結(jié)構(gòu)的新發(fā)展 進(jìn)一步研究分布式入侵檢測(cè)與通用的入侵檢測(cè)構(gòu)架。它的缺點(diǎn)是建立系統(tǒng)主體正常活動(dòng)的“活動(dòng)簡(jiǎn)檔”和設(shè)置合適的臨界值都比較困難、誤報(bào)警率高。它將涉及多個(gè)主機(jī)的入侵信息進(jìn)行關(guān)聯(lián)分析、保護(hù)范圍