【正文】 ching, PIDS 目 錄 論文 總頁數(shù)： 24 頁 1 引言 .......................................................................................................................... 1 網(wǎng)絡(luò)安全概述 ................................................................................................. 1 網(wǎng)絡(luò)安全問題的產(chǎn)生 ............................................................................ 1 網(wǎng)絡(luò)信息系統(tǒng)面臨的安全威脅 .............................................................. 1 對(duì)網(wǎng)絡(luò)個(gè)人主機(jī)的攻擊 ......................................................................... 2 入侵檢測(cè)技術(shù)及其歷史 ................................................................................... 3 入侵檢測(cè)（ IDS）概念 .......................................................................... 3 入侵檢測(cè)系統(tǒng)的分類 ............................................................................ 4 入侵檢測(cè)模型 ....................................................................................... 5 入侵檢測(cè)過程分析 ................................................................................ 6 入侵檢測(cè)的發(fā)展歷史 ............................................................................ 6 個(gè)人入侵檢測(cè)系統(tǒng)的定義 ................................................................................ 7 系統(tǒng)研究的意義和方法 ................................................................................... 7 2 個(gè)人入侵檢測(cè)系統(tǒng)的設(shè)計(jì) .......................................................................................... 7 數(shù)據(jù)包捕獲模塊 .............................................................................................. 7 數(shù)據(jù)解析模塊 ................................................................................................11 數(shù)據(jù)分析模塊 ............................................................................................... 12 分析結(jié)果記錄 ............................................................................................... 13 報(bào)警處理模塊 ............................................................................................... 13 3 個(gè)人入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn) ........................................................................................ 13 系統(tǒng)的總體結(jié)構(gòu) ............................................................................................ 13 數(shù)據(jù)包捕獲模塊實(shí)現(xiàn) ..................................................................................... 14 解碼數(shù)據(jù)包模塊實(shí)現(xiàn) ..................................................................................... 15 分析數(shù)據(jù)包模塊實(shí)現(xiàn) ..................................................................................... 16 分析結(jié)果記錄并告警 ..................................................................................... 20 4 個(gè)人入侵檢測(cè)系統(tǒng)的應(yīng)用實(shí)例分析 .......................................................................... 21 結(jié) 論 ........................................................................................................................ 22 參考文獻(xiàn) ........................................................................................................................ 22 致 謝 ........................................................................................................................ 23 聲 明 ........................................................................................................................ 24 第 1 頁 共 24 頁 1 引言 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò) 安全 問題的產(chǎn)生 可以從不同角度對(duì)網(wǎng)絡(luò)安全作出不同的解釋。 (3)網(wǎng)絡(luò)運(yùn)用的趨勢(shì)是全社會(huì)廣泛參與，隨之而來的是控制權(quán)分散的管理問題。 (4)破壞數(shù)據(jù)完整性 :指通過非 法手段竊得系統(tǒng)一定使用權(quán)限，并刪除、修改、偽造某些重要信息，以干擾用戶的正常使用或便于入侵者的進(jìn)一步攻擊。廣播地址 并不對(duì)應(yīng)于某個(gè)具體的網(wǎng)絡(luò)接口，而是代表所有網(wǎng)絡(luò)接口。在該方式下，網(wǎng)絡(luò)接口就可 以捕獲網(wǎng)絡(luò)上所有數(shù)據(jù)幀，從而可以達(dá)到監(jiān)聽的目的。但是，隨著技術(shù)的不斷進(jìn)步， SYN攻擊也不斷被更多黑客所了解并利用。 代碼能夠在主程序的特權(quán)范圍內(nèi)從事任何破壞行為，使用自身或者其他程序進(jìn)行操作。 Anderson將入侵嘗試或威脅定義為：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。為了體現(xiàn)對(duì) IDS從布局、采集、分析、響應(yīng)等各個(gè)層次及系統(tǒng)性研究方面的問題，在這里采用五類標(biāo)準(zhǔn)：控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。在間隔批任務(wù)處理型 IDS中，信息源是以文件的形式傳給分析器，一次只處理特定時(shí) 間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時(shí)將結(jié)果反饋給用戶。 第 5 頁 共 24 頁 4. 按照分析方法分類 按照分析方法 IDS劃分為濫用檢測(cè)型 IDS和異常檢測(cè)型 IDS。 入 侵檢測(cè)模型 美國斯坦福國際研究所（ SRI）的 1986年首次提出一種入侵檢測(cè)模型，該模型的檢測(cè)方法就是建立用戶正常行為的描述模型，并以此同當(dāng)前用戶活動(dòng)的審計(jì) 記錄進(jìn)行比較，如果有較大偏差，則表示有異?；顒?dòng)發(fā)生。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)。 入侵檢測(cè)的發(fā)展歷史 1980年 James P Anderson在給一個(gè)保密客戶寫的一份題為《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》的技術(shù)報(bào)告中指出，審計(jì)記錄可以用于識(shí)別計(jì)算機(jī)誤用，他把威脅進(jìn)行了分類，第一次詳細(xì)闡述了入侵檢測(cè)的概念。如果把入侵檢測(cè)技術(shù)應(yīng)用到個(gè)人機(jī)的安全防范中 ，它將與個(gè)人防火墻一起為個(gè)人用戶提供一個(gè)更安全的動(dòng)態(tài)防范體系。 開發(fā) Winpcap這個(gè)項(xiàng)目的目的在于為 Win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。 事實(shí) 上，不同版本的 Windows平臺(tái)在內(nèi)核層模塊和用戶進(jìn)程之間的接口不完全相同， 。另一套高層函數(shù)由 ，便于用戶調(diào)用，功能更強(qiáng)大。當(dāng)使用 Winpcap進(jìn)行捕獲時(shí)，這種方法明顯不行。另一個(gè)優(yōu)化措施是 NPF的同步操作。 NPF與操作系統(tǒng)之間的通信通常是異步的， NPF提供了一系列的回調(diào)函數(shù)供 操作系統(tǒng)在需要時(shí)調(diào)用。內(nèi)核層過濾器必須能夠執(zhí)行這些指令 。由于內(nèi)核部分較之緩沖區(qū)傳送有更高的優(yōu)先級(jí)， 能獨(dú)占 CPU時(shí)， 故復(fù)制過程 (從用戶層開始 )能釋放掉緩沖區(qū)已傳送的部分。 尤其在一段時(shí)間里應(yīng)用進(jìn)程讀取數(shù)據(jù)的速度不如捕獲進(jìn)程，而且數(shù)據(jù)要被傳送到磁盤，網(wǎng)絡(luò)流量在激增。然后逐個(gè)通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。這個(gè)過程稱作分用（ Demultiplexing）。 UDP協(xié)議從問世至今已經(jīng)被使用了很多年，雖然其最初的光彩已經(jīng)被一些類似協(xié)議所掩蓋，但是即使是在今天， UDP仍然不失為一項(xiàng)非常實(shí)用和可行的網(wǎng)絡(luò)傳輸層協(xié)議。 在本系統(tǒng)中，分析器 對(duì)解析的數(shù)據(jù)包計(jì)算每一個(gè)包的異常值 ，一旦發(fā)現(xiàn)異常值越限，則認(rèn)為發(fā) 第 13 頁 共 24 頁 生了異常攻擊， 就 將該包信息存入 數(shù)據(jù)庫中 。 系統(tǒng)將入侵信息記錄入數(shù)據(jù)庫，并通過告警窗口顯示。 } /* 選擇列表 */ for(d=alldevs。 scanf(%d, amp。 pcap_setfilter(adhandle, amp。 // 16位標(biāo)識(shí) u_short flags_fo。 /* UDP 頭 */ typedef struct udp_header { u_short sport。 //32位序列號(hào) ULONG th_ack。 分析 數(shù)據(jù)包 模塊 實(shí)現(xiàn) 系統(tǒng) 采 用異常檢測(cè)分析方法。 // 記錄某人連接我時(shí) SYN=1的次數(shù) }synrule。 h=0。amp。 scanrule[h].t2_tmpbuf_=t_tmpbuf_now。 scanrule[h].t2_tmpbuf_=t_tmpbuf_now。 scanrule[i].count[scanrule[i].k]=dport。 第 19 頁 共 24 頁 } int synflood(ip_header *ih,int syn,int timeout,time_t t_tmpbuf_now) //檢測(cè)洪水攻擊的規(guī)則函數(shù) { int h。amp。 return h。 j++。 第 22 頁 共 24 頁 圖 6 攻擊響應(yīng)實(shí)例圖 結(jié) 論 本文通過對(duì)入侵檢測(cè)系統(tǒng)關(guān)鍵技術(shù)、 TCP/IP協(xié)議以及開發(fā)工具 Winpcap的分析，具體描述了一個(gè)簡(jiǎn)單的基于 Windows操作系統(tǒng)的入侵檢測(cè)系統(tǒng)的 實(shí)現(xiàn) 方法。 [6]徐志偉 ,馮百明 ,李偉 .網(wǎng)格計(jì)算技術(shù) [M].北京 :電子工業(yè)出版社 ,2021。 （ 3）學(xué)?？梢詫W(xué)術(shù)交