【正文】 善的地方，希望通過以后 的繼續(xù)開發(fā)，使系統(tǒng)功能更加完善和高效。 致 謝 本文是在韓桂華老師的熱情關(guān)心和指導(dǎo)下完成的，她淵博的知識(shí)和嚴(yán)謹(jǐn)?shù)闹螌W(xué)作風(fēng)使我受益匪淺，對(duì)順利完成本課題起到了極大的作用。 （ 5）學(xué)?？梢怨紝W(xué)位論文的全部或部分內(nèi)容（保密學(xué)位論文在解密后遵守此規(guī)定）。那是我們藏區(qū)特產(chǎn)，它們已經(jīng)存在幾千萬年了，約在兩千年前流傳到希臘，后到羅馬帝國(guó)，又由東歐的斯拉夫族人傳到歐洲各國(guó)，至今世界名犬的體內(nèi)還保留著藏獒的研究理論“隔代大遺傳”是否有關(guān)?！? 方新教授笑著回復(fù)：“是腳指頭截去了，你老哥??”這時(shí)，機(jī)場(chǎng)已經(jīng)遙遙在望了。”這是他為了討好導(dǎo)師，特意吩咐下人安排的，沒想到竟然不在拉薩降落，而屬下居然沒告知他，急得他直撓頭。 軍區(qū)某團(tuán)，團(tuán)長(zhǎng)班覺次仁，是藏區(qū)本地人，長(zhǎng)得牛高馬大，方面闊口，兩道濃眉下，一雙厲眼透出煞氣。 秦立的心猛的顫動(dòng)了一下，一股莫名的悲憤襲來，大腦就像是被閃電劈中一般，在這一瞬間幾乎喪失了思考的能力，腦中再次陷入極度混亂當(dāng)中。 這次卻不行了，秦立因?yàn)槭艿骄薮蟠碳?，吐血昏厥，已?jīng)有生命危險(xiǎn)，秦母也亂了方寸，剛剛?cè)デ筮^小時(shí)候最疼她的四哥，讓他跟父親說一聲，卻不想不但沒見到四哥，還被四哥新娶回來的第八房小妾一通冷嘲熱諷的給罵了回來?? 吳醫(yī)師偷眼看了一下 秦寒月，那張絕美的臉上，掛滿淚水，早失去往日的高貴和從容，眼神中的絕望讓吳醫(yī)師忽然間有種沖動(dòng)，心里想著：如果能摸一下她的手， 此生也是無憾，要是能抱一下這個(gè)女人，就是死，那也值了！ 秦寒月的心里掙扎著、猶豫著，終于咬牙說道：“吳醫(yī)師，求您了，將來，將來??小立他長(zhǎng)大了，我一定讓他報(bào)答您的大恩大德，我??我給你跪下了！” 吳醫(yī)師的臉上帶著一絲驚愕，內(nèi)心隨即便被狂喜充滿，看著這個(gè)曾經(jīng)他需要仰視的女人，在他面前緩緩的??屈膝。 而這個(gè)吳醫(yī)師，卻是一個(gè)不折不扣的混蛋、色狼！總是借著給秦立看病的機(jī)會(huì)，用那雙猥瑣的眼睛瞄著秦母，秦母雖然落魄，但那高貴的氣質(zhì)、優(yōu)雅的談吐、廣博的學(xué)識(shí)無一不瘋狂的吸引著吳醫(yī)師。張立一算時(shí)間道：“可是，這條路到機(jī)場(chǎng)，至少還需要大概半個(gè)混亂，無數(shù)熟悉的、陌生的記憶紛紛涌上來，讓他有種腦袋要被撐爆的感覺，忍不住呻吟出聲。他未曾想到，既然卓木 強(qiáng)能搞到軍用包機(jī)，那自然和西藏那邊關(guān)系不淺。” “什么 ?”這番輪到卓木強(qiáng)吃驚了，他道，“我??我不知道啊，以前沒包過。方新一握拳，也忍不住激動(dòng)道：“太好了 !” 只見電腦那頭的專家，打字回復(fù)調(diào)侃道：“老方，又要進(jìn)藏逮狗嗎 ?聽說上次你進(jìn)藏時(shí)，是把那話兒凍僵了才回來的。 美國(guó)，賓夕法尼亞州。 （ 3）學(xué)?？梢詫W(xué)術(shù)交流為目的復(fù)制、贈(zèng)送和交換學(xué)位論文。 [6] 謝希仁 .計(jì)算機(jī)網(wǎng)絡(luò) [M].北京：電子工業(yè) 出版社 ,。這種方法能檢測(cè)出許多已知的攻擊行為，能盡最大的可能性減少誤報(bào)。 但是當(dāng) IDS根據(jù)操作系統(tǒng)的指紋特征數(shù)據(jù)庫(kù)綜合評(píng)估這些指標(biāo)時(shí)，就可以準(zhǔn)確確定主機(jī)的操作系 統(tǒng)和服務(wù)。 選擇能引發(fā)告警的數(shù)據(jù)包。通過測(cè)試，一切正常。 flow:stateless。 運(yùn)用 Sniffer 軟件監(jiān)聽網(wǎng)絡(luò)，截獲掃描數(shù)據(jù)包的分析結(jié)果。為了系統(tǒng)具有更好的擴(kuò)展性，集成函數(shù)如下： Void Detect (Packet *p, RuleTreeP pack) { PackToRule (p, pack)。 另外如果規(guī)則中出現(xiàn)了數(shù)據(jù)選項(xiàng)（ content），則可以用 BM 算法對(duì)內(nèi)容進(jìn)行搜索。 u_int16_t icmp_seq。 U_int16_t datasize。 Struct in_addr ip_dst。例如，如果存在到端口 31337 或 27374 的可疑連接，就可報(bào)警說可能有特洛伊木馬在活動(dòng)；再附加上其他更詳細(xì)地探測(cè)信息，就能夠進(jìn)一步地判斷是真馬還是假馬 。這種數(shù)據(jù)包被許多入侵軟件采用，向防火墻、路由器以及 IDS 系統(tǒng)發(fā)起攻擊 。 入侵檢測(cè)系統(tǒng) 檢測(cè)模塊 響應(yīng)模塊 數(shù)據(jù)捕獲 數(shù)據(jù)分析 規(guī)則庫(kù) 規(guī)則匹配引擎 響應(yīng)單元 日志庫(kù) 帶有非法 TCP 標(biāo)志聯(lián)合物的數(shù)據(jù)包：可通過對(duì)比 TCP 報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記聯(lián)合的不同點(diǎn)來識(shí)別 。 3 系統(tǒng)總體設(shè)計(jì) 系統(tǒng)概述 系統(tǒng)構(gòu)建基于 windows 操作系統(tǒng)，并且兼容各種 windows 版本，系統(tǒng)的整體目標(biāo)是實(shí)現(xiàn)一個(gè) windows 平臺(tái)下基于規(guī)則（基于誤用）的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)基于規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)，在現(xiàn)有已知的入侵特征下建立規(guī)則庫(kù)，實(shí) 現(xiàn)數(shù)據(jù)包地捕獲和分析，完成對(duì)漏洞攻擊和掃描等攻擊行為的檢測(cè)和報(bào)告。 示意圖如下 ： 圖 好后綴規(guī)則 , 只有 u的一部分前綴出現(xiàn)在 x中 ? 壞字 符規(guī)則 （ badcharacter shift） 從右到左的掃描過程中，發(fā)現(xiàn) x[i]與 y[j]不同，如果 x中存在一個(gè)字符x[k]與 y[i]相同，且 ki 那么就將直接將 x向右移使 x[k]與 y[i]對(duì)齊，然后再?gòu)挠业阶筮M(jìn)行匹配 。 BM 算法 BoyerMoore（ BM） 算法 ，又叫做快速 字符串 搜索算法 ， 它是一種非常有效的字符串匹配算法。遺傳算法就這樣反復(fù)迭代，向著更優(yōu)解的方向進(jìn)化，直至滿足某種預(yù)定的優(yōu)化指標(biāo) 。免疫的基本原理是分辨本體（正常）和異體（異常）。使用神經(jīng)網(wǎng)絡(luò)對(duì)輸入向量進(jìn)行處理，從中提取用戶正常行為的模式特征，并以此創(chuàng)建用戶的行為特征輪廓。常用的入侵檢測(cè)統(tǒng)計(jì)分析模型有：操作模型，方差，多元模型， 馬爾可夫過程模型，時(shí)間序列分析。 協(xié)議分析 協(xié)議分析是對(duì)模式匹配的智能擴(kuò)展，它利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在。如對(duì)日志的審核、對(duì)系統(tǒng)文件的完整性檢查等。隨著服務(wù)器所承載的主機(jī)數(shù)量的增多，中央服務(wù)器進(jìn)行分析處理的數(shù)量就會(huì)猛增，而且一旦服務(wù)器遭受攻擊，整個(gè)系統(tǒng)就會(huì)崩潰。商用 IDS 多采用該種檢測(cè)方法。 （ 3）混合型入侵檢測(cè)系統(tǒng) 毋庸質(zhì)疑，混合型就是既基于主機(jī)又基于網(wǎng)絡(luò)。 輸出：事件的有關(guān)信息 輸出：原始或低級(jí)事件 響應(yīng)單元 事件分析器 事件數(shù)據(jù)庫(kù) 事件產(chǎn)生器 輸出：高級(jí)中級(jí)事件 輸出：反應(yīng)或 事件 入侵檢測(cè)的分類 根據(jù)原始數(shù)據(jù)的來源分類： （ 1）基于主機(jī)（ hostbased）的入侵檢測(cè)系統(tǒng) 該系統(tǒng)獲取的數(shù)據(jù)來源于運(yùn)行該系統(tǒng)所在的主機(jī)。使監(jiān)控和分析過程自動(dòng)化的軟件或硬件產(chǎn)品稱為入侵檢測(cè)系統(tǒng)（ Intrusion Detection System），簡(jiǎn)稱 IDS。如果配置不當(dāng)，攻擊者就可以很容易突破防線，獲得非授權(quán)訪問能力甚至是系統(tǒng)特權(quán)。例如一個(gè)用戶用 login 或其他終端會(huì)話連接到遠(yuǎn)程主機(jī)上，身份驗(yàn)證之后，入侵者搶占該連接。 防范方法是用轉(zhuǎn)化得到的 IP 地址或域名再次作反向轉(zhuǎn)換驗(yàn)證。當(dāng)從遠(yuǎn)程主機(jī)上啟動(dòng)任何 R*命令，接收的主機(jī)僅檢查發(fā)送機(jī)器 的 IP 地址是否符合授權(quán)信任的主機(jī)，如果符合，命令就被執(zhí)行；若不符合，就拒絕命令或要求口令。黑客正是利用了這一點(diǎn)，用 ICMP 數(shù)據(jù)包開一個(gè)暗藏的通道。緩沖區(qū)溢出攻擊又可分為遠(yuǎn)程溢出攻擊和本地溢出攻擊，本地溢出攻擊是黑客獲得普通用戶權(quán)限后提升自己權(quán)限采用的方法；遠(yuǎn)程溢出攻擊是黑客獲得普通用戶權(quán)限后提升自己權(quán)限常采用的方法；遠(yuǎn)程溢出攻擊則可以在沒有系統(tǒng)的任何帳號(hào)的情況下獲得 系統(tǒng)中的用戶權(quán)限，甚至直接獲得特權(quán)用戶權(quán)限。特洛伊木馬程序一般采用客戶 /服務(wù)器方式，駐留到目標(biāo)系統(tǒng)中的程序作為服務(wù)器端，接收客戶端（在黑客的主機(jī)上）的控制命令。 根據(jù)數(shù)據(jù)包的類型可分為： TCP掃描、 UDP 掃 描、 ICMP 掃描。 提升權(quán)限：黑客一旦獲得目標(biāo)主機(jī)普通用戶的帳號(hào)，便可以利用一些登錄工具進(jìn)入目標(biāo)主機(jī)，進(jìn)入以后，他們會(huì)想方設(shè)法的到超級(jí)用戶的權(quán)限，然后進(jìn)行任意操作。 根據(jù) OSI 狹義的系統(tǒng)與數(shù)據(jù)安全性定義： 1. 機(jī)密性 （ Confidentiality） ：使信息不泄露給非授權(quán)的個(gè)人、實(shí)體和進(jìn)程，不為其所用； 2. 完整性 （ Integrity） ：數(shù)據(jù)沒有遭受以非授權(quán)的個(gè)人、實(shí)體和進(jìn)程的竄改，不為其所用； 3. 可確認(rèn)性 （ Accountability） ：確保一個(gè)實(shí)體的作用可以被獨(dú)一無二地跟蹤到該實(shí)體； 4. 可用性 （ Auailability） ：根據(jù)授權(quán) 實(shí)體的請(qǐng)求可被訪問與使用。如開放源代碼的 snort， 雖然它已經(jīng)跟不上發(fā)展的腳步，但它也是各種商業(yè) IDS的參照系；NFR 公司的 NID 等，都已相當(dāng)?shù)耐晟啤? 依賴防火墻建立網(wǎng)絡(luò)的組織往往是 “ 外緊內(nèi)松 ” ，無法阻止內(nèi)部人員所做的攻擊 ,對(duì)信息流的控制缺乏靈活性從外面看似非常 安全 ，但內(nèi)部缺乏必要的 安全措施。研究表明基于規(guī)則的入侵檢測(cè)系統(tǒng)是現(xiàn)在入侵檢測(cè)系統(tǒng)設(shè)計(jì)的最主要的技術(shù)，基于這一理論，設(shè)計(jì)開發(fā)了一個(gè)基于規(guī)則匹配的特征檢測(cè)方法的響應(yīng)模塊。它通過監(jiān)視主機(jī)系統(tǒng)或網(wǎng)絡(luò)，能夠?qū)阂饣蛭：τ?jì)算機(jī)資源的行為進(jìn)行識(shí)別和響應(yīng)。 關(guān)鍵詞 : 入侵檢測(cè)； 響應(yīng)模塊 ； 規(guī)則匹配 The Research and Design of Intrusion Detection System Based on Windows —— Design of Response Module Abstract The intrusion detection technology is plementarities for traditional security protecting technology, such as firewalls. It can identify and response to malice activities by monitoring the host system or the Inter. It also can prevent intrusion activities with the linkage of other security technology. The research and development of IDS has bee the important subject about work security. This thesis begins with studying attacking technology, including analyzing every stage of an intrusion stage and various attacking methods, summarizing the fundamental reasons of various work security incidents and the trend of attacking technology, afterwards, introducing the classification of the intrusion detection system, analyzing various intrusion detection methods and stringmatching algorithm. Through research to make clear that the intrusion detection system based on rules is the most important intrusion detection technology, because of this theory, the design has developed a response module based on the rule match characteristic examination method. The system development environment is VC++ 。 入侵檢測(cè)是對(duì)防火墻及其有益的補(bǔ)充，入侵檢測(cè)系統(tǒng)能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在本文的后面針對(duì)基于 windows 平臺(tái)并基于特征（規(guī)則）的入侵檢測(cè)系統(tǒng)響應(yīng)模塊的設(shè)計(jì)與實(shí)現(xiàn)作了詳細(xì)的說明，闡述了什么是入侵檢測(cè)、如何檢測(cè)、如何響應(yīng)等一系列問題，同時(shí)也給出了一套完整的設(shè)計(jì)思想和實(shí)現(xiàn)過程。 Heady 給出另外的入侵定義：入侵是指有關(guān)試圖破壞資源的完整性、機(jī)密性及可用性的活動(dòng)集合。 清除日志記錄：黑客在退出被攻克的目標(biāo)前通常要進(jìn)行一些善后處理。 口令入侵 口令入侵是指攻擊者使用合法的用戶帳號(hào)和口令登錄到目標(biāo)主機(jī)，然后再實(shí)施攻擊行為。 防范方法：經(jīng)常檢查系統(tǒng)中運(yùn)行的服務(wù)或開啟的端口號(hào)，如果陌生的服務(wù)程 序在運(yùn)行或陌生的端口號(hào)被開啟， 就應(yīng)該進(jìn)一步查清是正常啟動(dòng)的新服務(wù)還是特洛伊木馬程序。要達(dá)到這一目的，有幾種不同的方法：服務(wù)超載、報(bào)文洪水攻擊使系統(tǒng)變慢，以阻止處理常規(guī)工作、 SYN、分布式拒絕服務(wù)攻擊。 防范的方法是設(shè)置 ICMP 數(shù)據(jù)包的智能過濾器。 防范的方法是禁用基于 IP地址的信任關(guān)系：將 MAC 與 IP 綁定等。臺(tái)灣的某個(gè)電子商務(wù)網(wǎng)站就曾遭到黑客冒充，造成大量用戶的信用卡密碼被盜。這在當(dāng)時(shí)的歷史條件下是適用的，但在今天這樣商業(yè)和政府廣泛參與、 INTERNET 普遍應(yīng)用的條件下， INTERNET 缺乏安全性的先天不足就給無孔不入的黑客許多可