【正文】 ds, acplishments, and a happy life. At the Kings39。s older sisters were just out, and Meg caught frequent glimpses of dainty ball dresses and bouquets, heard lively gossip about theaters, concerts, sleighing parties, and merrymakings of all kinds, and saw money lavished on trifles which w ould have been so precious to her. Poor Meg seldom plained, but a sense of injustice made her feel bitter toward everyone sometimes, for she had not yet learned to know how rich she was in the blessings which alone can make life happy. Jo happened to suit Aunt March, who was lame and needed an active person to wait upon her. The childless old lady had offered to adopt one of the girls when the troubles came, and was much offended because her offer was declined. Other friends told the Marches that they had lost all chance of being remembered in the rich old lady39。m glad you began at once, and hope you will keep on. But I want to say one word before we sit down. Not far away from here lies a poor woman with a little newborn baby. Six children are huddled into one bed to keep from freezing, for they have no fire. There is nothing to eat over there, and the oldest boy came to tell me they were suffering hunger and cold. My girls, will you give them your breakfast as a Christmas present? They were all unusually hungry, having waited nearly an hour, and for a minute no one spoke, only a minute, for Jo exclaimed impetuously, I39。, looking troubled. It39。 特此聲明！ 作者簽名： 年 月 日 he new army slippers. How nice my handkerchiefs look, don39。文中除了特別加以標(biāo)注地方外，不包含他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得成都信息工程學(xué)院或其他教學(xué)機構(gòu)的學(xué)位或證書而使用過的材料。 [2] 宋勁松 .網(wǎng)絡(luò)入侵檢測 [M]. 北京 : 國防工業(yè)出版社 , 。不斷增大的網(wǎng)絡(luò)流量對入侵檢測的實時性提出了考驗 。 測試目的 測試目的主要為以下兩點： （ 1） 測試系統(tǒng)是否能夠從共享網(wǎng)段中捕獲到數(shù)據(jù)包。 系統(tǒng)集成 本系統(tǒng)除了由檢測模塊和響應(yīng)模塊兩個重要部分以外，還有一個必不可少的部分就是系統(tǒng) 的集成部分即中央控制器模塊。 u_int16_t ip_id。 u_int8_t ether_shost [6]。 Options ip_options[40]。 u_char mf。 IPHdr *iph。 本系統(tǒng)目前上未實現(xiàn)對應(yīng)用層協(xié)議的分析，所以數(shù)據(jù)包的分析流程圖如圖43 所示： 圖 43 數(shù)據(jù)包分析流程圖 從流程圖可以看到，在捕獲了數(shù)據(jù)包之后，就對網(wǎng)絡(luò)數(shù)據(jù)包進行分析，本系統(tǒng)對鏈路層只分析了以太網(wǎng)協(xié)議。其中 p 為指向監(jiān)聽會話句柄的指針， t 為指向函數(shù)返回前所處理數(shù)據(jù)包的最大值，值為負(fù)時表示處理緩沖區(qū)所有的數(shù)據(jù)包，為0 時處理所有的數(shù)據(jù)包，直到產(chǎn)生讀取到 EOF 錯誤為止， callback 參數(shù)指定帶有3 個參數(shù)的回調(diào)函數(shù)， user 為用戶傳遞給回調(diào)函數(shù)的指針，通常設(shè)置為 NULL。 （ 2）建立監(jiān)聽會話 函數(shù)原型： pcap_open_live (char*device,int snaplen,int promis,int to_ms,char*ebuf) 功能：用于獲取一個捕獲器描述符，調(diào)用成功就返回監(jiān)聽會話句柄。 /*編譯 BPF 過濾規(guī)則 */ pcap_setfilter(pcap_handle,amp。 /*網(wǎng)絡(luò)掩碼 */ unsigned int _ip。具體的數(shù)據(jù)包捕獲流程圖如下： 圖 42 數(shù)據(jù)包捕獲流程圖 數(shù)據(jù)包捕獲核心代碼及主要函數(shù)說明如下： void DecodeProcess_callback(u_char *argument,const struct pcap_pkthdr *packet_header,const u_char *pkt)。 網(wǎng)絡(luò)數(shù)據(jù)包捕獲機制 網(wǎng)絡(luò)數(shù)據(jù)包捕獲機制是網(wǎng)絡(luò)入侵檢測系統(tǒng)的基礎(chǔ)。 BPF 過濾機制簡介 BPF(Berkeley Packet Filter)是由洛侖茲伯克利實驗室的研究人員Stevern McCanne 和 VanJacobson 于 1993 年提出，背景是當(dāng)時在 UNIX 網(wǎng) 絡(luò)功能使用中出現(xiàn)了對網(wǎng)絡(luò)監(jiān)控工具的強烈需求，用來分析和排除網(wǎng)絡(luò)故障。在設(shè)計Winpcap 時參照了 Libpcap，使用方法與 Libpcap 相似。檢測模塊主要是通過監(jiān)聽共享網(wǎng)段，捕獲該網(wǎng)段上的數(shù)據(jù)包并對其進行分析，從而剝離出一些與入侵特征相關(guān)的標(biāo)志。 IDS 的目標(biāo)是實現(xiàn)實時響應(yīng)和恢復(fù)。 入侵檢測的發(fā)展趨勢 入侵檢測從最初實驗室里的研究課題到目前的商業(yè) IDS 產(chǎn)品，已經(jīng)有 20 多年的發(fā)展歷史。首先將已知的每種入侵方法都表示成一條入侵規(guī)則；將當(dāng)前發(fā)生的活動與入侵規(guī)則集進行匹配，如果當(dāng)前的活動與某條入侵規(guī)則匹配就認(rèn)為是采用該種入侵方法 發(fā)起的一次進攻。不過基于主機的入侵檢測系統(tǒng)缺乏跨平臺性，而且會在服務(wù)器上產(chǎn)生額外的負(fù)載。 結(jié)果處理模塊的作用在于告警與反應(yīng)，也就是在發(fā)現(xiàn)攻擊企圖或者攻擊之后需要系統(tǒng)及時的進行反應(yīng)，包括報告、記錄、反映和恢復(fù)。入侵檢測的任務(wù)之一就是從這 些混合數(shù)據(jù)中找出是否有入侵的痕跡。當(dāng)發(fā)現(xiàn)入侵行為后，入侵檢測系統(tǒng)會通過響應(yīng)模塊改變系統(tǒng)的防護措施，改善系統(tǒng)的防護能力，從而實現(xiàn)動態(tài)的系統(tǒng)安全模型。第一是機制與數(shù)據(jù)的分離，在現(xiàn)有機制不變的前提下能夠?qū)π碌墓暨M行檢測。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門。 第二部分，主要介紹了入侵檢測相關(guān)的基礎(chǔ)知識、發(fā)展趨勢等與本文相關(guān)的理論。訪問控制技術(shù)的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，它是保證網(wǎng)絡(luò)安全的重要策略之一。對稱密碼算法有保密度高，加密速度快的優(yōu)點，但其 密鑰的分發(fā)則是一個比較復(fù)雜的問題。包括技術(shù)人員在網(wǎng)絡(luò)配置管理上的疏忽或錯誤，網(wǎng)絡(luò)實際運行效益和安全投入成本間的平衡抉擇，網(wǎng)絡(luò)用戶的安全管理缺陷等等。 （ 2）網(wǎng)絡(luò)的飛速發(fā)展。 這四種威脅可以劃分為兩大類，即被動攻擊和主動攻擊。即網(wǎng)絡(luò)數(shù)據(jù)包的捕獲與分析過程的設(shè)計與實現(xiàn)。傳統(tǒng)安全方法是采用盡可能多地禁止策略進行防御，例如各種殺毒軟件、防火墻、身份認(rèn)證、訪問控制等，這些對防止非法入侵都起到了一定的作用，從系統(tǒng)安全管理的角度來說，僅有防御是不夠好的，還應(yīng)采取主動策略。 計算機網(wǎng)絡(luò)安全是一個國際化的問題，每年全球因計算機網(wǎng)絡(luò)的安全系統(tǒng)被破壞 而造成的經(jīng)濟損失高達(dá)數(shù)百億美元。該模塊完成了對共享網(wǎng)段中的數(shù)據(jù)包的捕獲和分析等功能。 入侵檢測是防火墻的合理補 充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。更為嚴(yán)重的是攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點，釋放計算機病毒，直到整個網(wǎng)絡(luò)陷入癱瘓。主動攻擊則意在篡改系統(tǒng)中所含信息或者改變系統(tǒng)的狀態(tài)及操作。軟件質(zhì)量難以評估是軟件的 一個特性。網(wǎng)絡(luò)安全技術(shù)主要包括基于密碼學(xué)的安全措施和非密碼體制的安全措施，前者包括：數(shù)據(jù)加密技術(shù)、身份鑒別技術(shù)等。比較著名的公鑰密碼算法有： ECC、 RSA 等，其中 RSA 算法應(yīng)用最為廣泛。從廣義上講，它還包括邏輯炸彈、特洛伊木馬和系統(tǒng)陷阱等。其中包括檢測模塊的 設(shè)計思想、工作原理以及核心代碼的分析等。即入侵檢測（ Intrusion Detection）是檢測和識別系統(tǒng)中未授權(quán)或異?，F(xiàn)象，利用審計記錄，入侵 檢測系統(tǒng)應(yīng)能識別出任何不希望有的活動，這就要求對不希望的活動加以限定，一旦當(dāng)它們出現(xiàn)就能自動地檢測。它的指導(dǎo)實現(xiàn)比傳統(tǒng)靜態(tài)安全方案有突破性提高。 在 P2DR 安全模型中、入侵檢測位于檢測環(huán)節(jié)，它的作用在于承接防護和響應(yīng)過程，也就是通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干個關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中 是否有違反安全策略的行為和被攻擊的跡象。下圖的模塊劃分是非常粗略的，而且省略了諸如界面處理、配置管理等模塊。顯然，它所監(jiān)視和保護的對象是主機。它對現(xiàn)有的系統(tǒng)或基礎(chǔ)設(shè)施不會有什么影響，被檢測到的用戶很難發(fā)現(xiàn)；絕大多數(shù)基于網(wǎng)絡(luò) IDS 都是獨立的：已部署的基本網(wǎng)絡(luò)的入侵檢測傳感器將監(jiān)視所有的攻擊，而不管目標(biāo)系統(tǒng)使用什么樣的操作系統(tǒng)平臺。 基于特征的入侵檢測系統(tǒng)的優(yōu)點是準(zhǔn)確率高；它的不足在于難以發(fā)現(xiàn)未知攻擊、攻擊模式庫需要不斷更新。 IDS 體系結(jié)構(gòu)的研究主要包括具有多系統(tǒng)的互操作性和重用性的通用入侵檢測框架， 總體結(jié)構(gòu)和各部件的相互關(guān)系， IDS 管理，具有可伸縮性、重用性的系統(tǒng)框架，安全、健壯和可擴展的安全策略。 ? 與其他網(wǎng)絡(luò)安全部件的協(xié)作、與其他安全技術(shù)的結(jié)合 隨著黑客入侵手段的提高，尤其是分布式、協(xié)同式、 復(fù)雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)的單一、缺乏協(xié)作的入侵檢測技術(shù)已經(jīng)不能滿足需求，需要有充分的協(xié)作機制。 本論文將重點討論檢測 模塊的設(shè)計與實現(xiàn)。 使用 Winpcap 有很多好處，主要體現(xiàn)在以下幾個方面。 當(dāng)一個數(shù)據(jù)包到達(dá)網(wǎng)絡(luò)接口設(shè)備時，鏈路層設(shè)備驅(qū)動器通常把它傳送給系統(tǒng)協(xié)議棧進行處理。兩種方式分別適用于不同的情況。 /*存儲錯誤內(nèi)容 */ 查找有效的網(wǎng)絡(luò)設(shè)備（ eth） pcap_lookupdev() 獲得網(wǎng)絡(luò)地址及網(wǎng)絡(luò)掩碼（ IPamp。_ip,amp。 /*由于在解碼的代碼中只有以太網(wǎng)，所以這里檢測鏈路是否為以太網(wǎng)，否，則退出 */ pcap_loop(pcap_handle,1,DecodeProcess_callback,NULL)。從而實現(xiàn)通過設(shè)置過濾器來捕獲感興趣的數(shù)據(jù)包。 （ 7）關(guān)閉監(jiān)聽會話句柄 函數(shù)原型： void pcap_close(pcap_* p) 功能：關(guān)閉監(jiān)聽會話句柄，并釋放資源。 在具體的實現(xiàn)過程中，當(dāng)數(shù)據(jù)包分析完成后，將分析的結(jié)果保存到 Data Packet 數(shù)據(jù)結(jié)構(gòu)中。 ICMPHdr *icmph。 u_int16_t sp。 int tcp_option_count。 數(shù)據(jù)報首部數(shù)據(jù)結(jié)構(gòu) typedef struct IP_Header { if defined (WORDS_BIGENDIAN) u_int8_t ip_ver:4。 u_int8_t ip_proto。用戶可以通過中央控制器實時的監(jiān)控整個網(wǎng)段的運行情況，檢查當(dāng)前是否有攻擊產(chǎn)生或者有攻擊的企圖。 Intra 的安全措施應(yīng)該是多層次、多方位的，但又要考慮性能、成本、可管理性、可用性與安全性的平衡問題。基于 Intra 入侵檢測技術(shù)的進一步發(fā)展趨勢是引入新的智能技術(shù)和多種智能技術(shù)的融合，如引入數(shù)據(jù)挖掘技術(shù)進 行數(shù)據(jù)獲取和簡化，引入模糊邏輯改善知識的表達(dá)，引入人工免疫、基因?qū)W習(xí)、機器學(xué)習(xí)、模式匹配等技術(shù)進行檢測分析。 [5] 張仕斌 .網(wǎng)絡(luò)安全技術(shù) [M]. 北京 : 清華大學(xué)出版社 ,。 （ 2）學(xué)?？梢圆捎糜坝?、縮印或其他復(fù)制方式保存學(xué)位論文。 on them instead of `M. March39。t laugh at me, Jo! I didn39。 ever since she was born. That was a very happy breakfast, though they di