【正文】 ULL, `sum` varchar(6) default NULL, `urp` varchar(6) default NULL, `syn` varchar(6) default NULL, `fin` varchar(6) default NULL, `rst` varchar(6) default NULL, `push` varchar(6) default NULL, `ack` varchar(50) default NULL, `urg` varchar(6) default NULL, `ece` varchar(6) default NULL, `cwr` varchar(6) default NULL, PRIMARY KEY (`id`) ) TYPE=MyISAM。 [4]唐正軍 .入侵檢測技術(shù)導(dǎo)論 [M].北京 ： 機械工業(yè)出版社 ,2021。 關(guān)于學(xué)位論文使用權(quán)和研究成果知識產(chǎn)權(quán)的說明 本人完全了解成都信息工程學(xué)院有關(guān)保管使用學(xué)位論文的規(guī)定，其中包括： （ 1）學(xué)校有權(quán)保管并向有關(guān)部門遞交學(xué)位論文的原件與復(fù)印件。 特此聲明！ 作者簽名： 年 月 日 。文中除了特別加以標(biāo)注地方外，不包含他人已經(jīng) 發(fā)表或撰寫過的研究成果，也不包含為獲得成都信息工程學(xué)院或其他教學(xué)機構(gòu)的學(xué)位或證書而使用過的材料。 [2]RebeccaGB 著 ,陳明奇譯 .入侵檢測 [M].北京：人民郵電工業(yè)出版社 ,2021。 } return 0。 synrule[h].=ih。 if (t_tmpbuf_add3) { printf(The time is out: %ld\n,t_tmpbuf_add)。hNUM2。 //返回新插入的數(shù)據(jù)下表 } } else //將記錄清空 { i=0。 scanrule[h].=ih。m++) { if(scanrule[h].count[m]==dport) //0表示存在 { 第 18 頁 共 24 頁 scanrule[h].t2_tmpbuf_=t_tmpbuf_now。 if (t_tmpbuf_add30) { printf(The time is out: %ld\n,t_tmpbuf_add)。hNUM2。 // 記錄某人當(dāng)前掃描我的端口 int k。本系統(tǒng)實現(xiàn)了端口掃描和 SYN洪水攻擊的檢測。 define TH_FIN 0x01 define TH_SYN 0x02 define TH_RST 0x04 define TH_PUSH 0x08 define TH_ACK 0x10 define TH_URG 0x20 define TH_ECE 0x40 define TH_CWR 0x80 define TH_FLAGS (TH_FIN|TH_SYN|TH_RST|TH_ACK|TH_URG|TH_ECE|TH_CWR) USHORT th_win。 // 16位 UDP檢驗和 }udp_header。 // 16位首部檢驗和 ip_address saddr。 數(shù)據(jù)結(jié)構(gòu)如下： /* IPv4 頭 */ typedef struct ip_header { u_char ver_ihl。d=dnext, i++)。 else printf( (No description available)\n)。在選擇好進(jìn)入的網(wǎng)絡(luò)設(shè)備后，對該網(wǎng)絡(luò)設(shè)備進(jìn)行相應(yīng)的配置，然后使用 pcap_loop函數(shù)捕獲數(shù)據(jù)包。例如 因網(wǎng)絡(luò)問題而使來自同一個 IP地址的數(shù)據(jù)突然增多時 ，這種檢測方法 可能 會認(rèn)為 對方有 異常 行為 。 數(shù)據(jù)分析模塊 本系統(tǒng)采用異常檢測量化分析方法， 把檢測規(guī)則和屬性以數(shù)值形式表示。 IP各域的含義如下 ： 版本 :當(dāng)前 IP協(xié)議的版本號 ， 本論文采用的版本號為 4； 首部 長 度 :以 32bit為單位的包頭長度 ； 服務(wù)類型 :規(guī)定對本數(shù)據(jù)報的處理方式，比如優(yōu)先權(quán)等 ； 總 長 :以 Byte為單位的整個 IP數(shù)據(jù)報長度 ； 標(biāo)識 :信源主機賦予每個 IP數(shù)據(jù)報的唯一標(biāo)識符號，用于控制分片及其重組 ； 標(biāo)志和片偏移 :同樣用于控制分片及其重組 ； 生存時間 :設(shè)置本數(shù)據(jù)報的最大生存時間，以秒為單位 ； 第 12 頁 共 24 頁 協(xié)議 :表示創(chuàng)建本 IP數(shù)據(jù)報數(shù)據(jù)區(qū)數(shù)據(jù)的高層協(xié)議的類型，如 TCP,UDP等 ； 頭標(biāo)校驗和 :用于保證頭標(biāo)數(shù)據(jù)的完整性 ； 源 IP地址和目的 IP地址 : 分別指發(fā)送本數(shù)據(jù)報的主機 IP地址和接受本數(shù)據(jù)報的主機的 IP地址 ； 選項 :用于控制和測試，是 IP數(shù)據(jù)報中可選的部分，包含 “源路徑 ”、 “路徑記錄 ”、 “時間戳 ”等幾 種類型。 通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。在 TCP/IP參考模型中沒有明確的數(shù)據(jù)鏈路層和物理層，而是將它們合為較為抽象的 “網(wǎng)絡(luò)設(shè)備互連 ”作為硬件基礎(chǔ)，隨主機和網(wǎng)絡(luò)的不同而不同。但是一個太大的用戶緩沖區(qū)不會帶來任何好處。但這種機制更難于管理。當(dāng)處理完畢時， NDIS再調(diào)用一個特定的函數(shù)通知 調(diào)函數(shù)。 (在原代碼的 driverentry里面能看到 )。與 NDIS的交互使 NPF(NetGroup Packet Filter)比原始的 BPF更加復(fù)雜，BPF通過一條簡單的回調(diào)函數(shù)與系統(tǒng)交 互 。 NDIS工作在Windows內(nèi)核網(wǎng)絡(luò)部分的最底層。 NPF都是系統(tǒng)相關(guān)的，在 Win95/98和 WinNT/2021等不同系統(tǒng)架構(gòu) 。它的主要功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動地傳給 用戶態(tài)模塊 。 2 個人入侵檢測系統(tǒng) 的 設(shè)計 數(shù)據(jù)包 捕獲 模塊 網(wǎng)絡(luò)入侵檢測系統(tǒng)要分析的對象是網(wǎng)絡(luò)中的數(shù)據(jù)包。它只分析處理與個人主機有關(guān)的 IP數(shù)據(jù)包，它保護(hù)的是個人主機系統(tǒng)。由放置在不同網(wǎng)段的傳感器或不同主機的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。通用入侵檢測構(gòu)架（ Common Intrusion Detection Framework簡稱 CIDF）組織，試圖將現(xiàn)有的入侵檢測系統(tǒng)標(biāo)準(zhǔn)化， CIDF闡述了一個入侵檢測系統(tǒng)的通用模型（一般稱為 CIDF模型 ，如圖 1所示 ）。所以它需要一個記錄合法活動的數(shù)據(jù)庫，由于庫的有限性使得虛警率比較 高。 3. 按照信息源分類 按照信息源分類是目前最通用的劃分方法，它分為基于主機的 IDS、基于網(wǎng)絡(luò)的 IDS和分布式 IDS。在部分分布式 IDS中，監(jiān)控和探測是由本地的一個控制點控制，層次似的將報告發(fā)向一個或多個中心站。 入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動；審計系統(tǒng)構(gòu)造和弱點；識別、反映已知進(jìn)攻的活動模式，向相關(guān)人士報警；統(tǒng)計分析異常行為模式；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計、跟蹤管理操作系統(tǒng)，識別用戶違反安全策略的行為。對于木馬來說，被控制端是一臺服務(wù)器，控制端則是一臺客戶機。這一故事形象地說明了木馬程序的特點。所有這些請求的地址都是虛假的，以至于服務(wù)器試圖回傳時，卻無法找到用戶。當(dāng)發(fā)送者希望引起網(wǎng)絡(luò)中所有主機操作系統(tǒng)的注意時，他就使用 “廣播地址 ”。在合理的網(wǎng)絡(luò)中，嗅 探器對系統(tǒng)管理員而言至關(guān)重要， 通過嗅探器可以監(jiān)視數(shù)據(jù)流動情況以及網(wǎng)絡(luò)傳輸?shù)男畔?，從而為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)提供寶貴的信息。不幸的是，用于在網(wǎng)絡(luò)上共享資源及信息的工具、程序存在許多安全漏洞，而利用了這些漏洞就可以對系統(tǒng)進(jìn)行訪問了。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會的進(jìn)步提供了巨大推動力。最后在 Winpcap系統(tǒng)環(huán)境下實現(xiàn)本系統(tǒng)設(shè)計。分析了 Windows的網(wǎng)絡(luò)體系結(jié)構(gòu) 以及開發(fā)工具Winpcap的數(shù)據(jù)包捕獲和過濾的結(jié)構(gòu)。 互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。 網(wǎng)絡(luò) 信息系統(tǒng)面臨的安全威脅 目前網(wǎng)絡(luò)信息系統(tǒng)面臨的安全威脅主要有 : (1)非法使用服務(wù) :這種攻擊的目的在于非法利用網(wǎng)絡(luò)的能力，網(wǎng)絡(luò)上的非授權(quán)訪問應(yīng)該是不可能的。嗅探器工作在網(wǎng)絡(luò)環(huán)境的底層，它會攔截所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件實時分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而明確所處的網(wǎng)絡(luò) 狀態(tài)和整體布局。換句話說，工作站 A不會捕獲屬于工作站 B的數(shù)據(jù)，而是簡單地忽略這些數(shù)據(jù)。 其攻擊原理是：在拒絕服務(wù)攻擊中，惡意用戶向服務(wù)器傳送眾多要求確認(rèn)的信息，使服務(wù)器里充斥著這種無用的信息。 特洛伊木馬來源于希臘神話，講述的是通過木馬血屠特洛伊城的故事。作為服務(wù)器的主機一般會打開一個默認(rèn)的端口并進(jìn)行監(jiān)聽，如果有客戶機向服務(wù)器這一端口提出連接請求，服務(wù)器上的相應(yīng)程序就會自動運行，來應(yīng)答客戶機的請求，此程序稱為守護(hù)進(jìn)程。入侵檢測系統(tǒng)也可以定義為：檢測企圖破壞計算機資源的完整性，真實性和可用性的行為的軟件。在集中式 IDS中，一個中央節(jié)點控制系統(tǒng)中所有的監(jiān)視、檢測和報告。實時 IDS是基于網(wǎng)絡(luò) IDS首選的方案。異常檢測型 IDS是建立在如下假設(shè)的基礎(chǔ)之上的，即任何一種入侵行為都能由于其偏離正常或者所期望的系統(tǒng)和用戶活動規(guī)律而被檢測出來。結(jié)合這兩種方法的優(yōu)點，人們設(shè)計出很多入侵檢測的模型。 (1)信息收集：入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。 個人入侵檢測系統(tǒng) 的定義 個人入侵檢測系統(tǒng)（ PIDS），以網(wǎng)絡(luò)數(shù)據(jù)包作為分析數(shù)據(jù)源，采用異常檢測分析方法。在總結(jié)出的正常行為規(guī)律的基礎(chǔ)上，檢查入侵和濫用行為特征與其之間的差異，以此來判斷是否有入侵行為。第一個模塊是內(nèi)核部分 NPF (Netgroup Packet Filter)，在Win95/98中它是一個 VXD（虛擬設(shè)備驅(qū)動程序文件）文件，在 WinNT/Win2021 第 8 頁 共 24 頁 下是一個 SYS文件。 它可執(zhí)行一些低層操作 :如：獲得 網(wǎng)卡名字 ，動態(tài)裝載驅(qū)動，得到比如機器的網(wǎng)絡(luò)掩碼、硬件沖突等一些系統(tǒng)特定的信息。 Winpcap的具體結(jié)構(gòu)圖 2所示 : 圖 2 Winpcap的具體結(jié)構(gòu) 正如在 Windows 網(wǎng)絡(luò) 體系 結(jié) 構(gòu)中 所 闡釋 的， Win32 網(wǎng) 絡(luò) 架 構(gòu)基 于NDIS(Network Drive Interface Specification網(wǎng)絡(luò)驅(qū)動程序接口標(biāo)準(zhǔn) )。 NDIS沒有從 NPF中完全分離出底層，不能自動支持不同的介質(zhì)類型，故需要以這種方式構(gòu)建。 圖 3顯示了 NPF在 NDIS結(jié)構(gòu)中的位置 ： 可以看出 Winpcap也是用的 NDIS，它將自己注冊為一個協(xié)議處理驅(qū)動。當(dāng) NPF調(diào)用 NDIS函數(shù)時，調(diào)用立即返回 。 NPF不同于 BPF的一個重要的結(jié)構(gòu)差別就是選擇了一個環(huán)形緩沖區(qū)作 為核心緩沖區(qū) .這有利于數(shù)據(jù)包快的復(fù)制。因為一次上下文切換需要保護(hù)現(xiàn)場 (僅 CPU描述符和任務(wù)狀態(tài)段的開銷就接近數(shù)百個字 第 11 頁 共 24 頁 節(jié) )，大批的傳送會減少進(jìn)程的開銷。 TCP/IP 參考模型與 ISO(International Standards Organization) 的 OSI(Open Systems Interconnection Reference Model)參考模型相比，要簡單實用得多，也是目前廣泛使用的網(wǎng)絡(luò)參考模型 。IP傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP數(shù)據(jù)報。 IP提供不可靠、無連接的數(shù)據(jù)報傳送服務(wù)。這個偽頭標(biāo)來自于 IP報頭，包括 :源 IP地址、信宿 IP地址、協(xié)議類型、 UDP長度及填充域。應(yīng)當(dāng)說，這并不是網(wǎng)絡(luò)人侵的嚴(yán)格定義，它只是反映出被檢測的數(shù)據(jù)包的 “異常 ”程度。獲取失敗終止程序并打印出錯誤報告，成功就打印出所有網(wǎng)絡(luò)設(shè) 備信息以供選擇。 if (ddescription) printf( (%s)\n, ddescription)。 i inum1 。 解碼