【正文】 for these are the offences which are and have been, and willever be, the source of all the aforesaid evils. The greatest of themare excesses and insolences of youth, and are offences against thegreatest when they are done against religion。 as if a man that negotiates between two princes, to draw them to join in a war against the third, doth extol the forces of either of them above measure, the one to the other: and sometimes, he that deals between man and man, raiseth his own credit with both by pretending greater interest than he hath in either. And in these, and the like kinds, it often falls out that somewhat is produced of nothing: for lies are sufficient to breed opinion, and opinion brings on substance. In military manders and soldiers, vainglory is an essential point。 （ 4）學(xué)?？稍试S學(xué)位論文被查閱或借閱。本系統(tǒng)只實(shí)現(xiàn)簡單的數(shù)據(jù)包捕獲和分析，還要提高分析的準(zhǔn)確性，來提取有效數(shù)據(jù)。圖上所顯示的是檢測模塊捕獲的數(shù)據(jù)包在通過協(xié)議分析后所輸出的信息。 else u_int8_t ip_hlen:4, ip_ver:4。 u_int32_t sip。 u_char *pkt。 （ 4）設(shè)置過濾器： 函數(shù)原型： char * pcap_setfilter(pcap_t*p,struct bpf_program*fp) 功能：通過調(diào)用本函數(shù)，設(shè)置內(nèi)核過濾器使得編譯了的過濾生效。 /*獲得地址 */ pcap_handle=pcap_open_live(_interface,BUFSIZ,1,1,error_content)。 數(shù)據(jù)包捕獲的具體實(shí)現(xiàn) 網(wǎng)卡有以下幾個(gè)工作模式；廣播模式 (broadcast module)、多播模式(multicast module)、直接模式 (direct module)和混雜模式 (promisc module)。 2．使用 Winpcap 可以提供很高的應(yīng)用效率。 3 基于 Windows 入侵檢測系統(tǒng)的設(shè)計(jì) 本系統(tǒng)的全稱為《基于 Windows 入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)》，系統(tǒng)的開發(fā)環(huán)境為 Windows 操作系統(tǒng)。但是，異常檢測方法的優(yōu)點(diǎn)讓研究人員向往不已，大部分的研究工作都集中在異常檢測方面，人 們 提出了各種各樣的新方法企圖使異常檢測實(shí)用化。實(shí)際實(shí)現(xiàn)時(shí)，一般是把入侵檢測系統(tǒng)所在的主機(jī)的網(wǎng)卡設(shè)為混雜模式，從而捕獲經(jīng)過它的所有網(wǎng)絡(luò)數(shù)據(jù)包。它能在不影響網(wǎng)絡(luò)性能或輕負(fù)載的情況下，檢測網(wǎng)絡(luò)并實(shí)現(xiàn)對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 時(shí)效性：必須及時(shí)的發(fā)現(xiàn)各種入侵行為，理想情況是在事前發(fā)現(xiàn)攻擊企圖，比較現(xiàn)實(shí)的情況則是在攻擊行為發(fā)生的過程中檢測到。網(wǎng)絡(luò)反病毒技術(shù)主 要包括檢查病毒和殺出病毒。 （ 1）數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密是網(wǎng)絡(luò)安全中采用的最基本的安全技術(shù)，目的是保護(hù)數(shù)據(jù)、文件、口令以及其他信息在網(wǎng)絡(luò)上的安全傳輸，防止竊聽。 網(wǎng)絡(luò)安全隱患的來源 網(wǎng)絡(luò)安全隱患主要來自于四個(gè)方面： （ 1）網(wǎng)絡(luò)的復(fù)雜性。入侵檢測被認(rèn)為是防火墻之后的第二道安全防線，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 畢業(yè)設(shè)計(jì) ( 論文 ) 基于 Windows 入侵檢測系統(tǒng)的研究與設(shè)計(jì) 檢測模塊設(shè)計(jì) 論文作者姓名： 申請學(xué)位專業(yè)： 申請學(xué)位類別： 指導(dǎo)教師姓名（職稱）： 論文提交日期： 基于 windows 入侵檢測系統(tǒng)的研究與設(shè)計(jì) 檢測模塊設(shè)計(jì) 摘 要 當(dāng)今是信息時(shí)代，互聯(lián)網(wǎng)正在給全球帶來翻天覆地的變化。 本文首先介紹了網(wǎng)絡(luò)入侵檢測的基本原理和實(shí)現(xiàn)入侵檢測的技術(shù)。網(wǎng)絡(luò)是一個(gè)有眾多環(huán)節(jié)構(gòu)成的復(fù)雜系統(tǒng)。網(wǎng)絡(luò)中的數(shù)據(jù)加密，除了選擇加密算法和密鑰外，主要問題是加密 的方式以及實(shí)現(xiàn)加密的網(wǎng)絡(luò)協(xié)議層次和密鑰的分配管理。 雖然網(wǎng)絡(luò)安全已經(jīng)超越了純技術(shù)領(lǐng)域，但網(wǎng)絡(luò)安全技術(shù)仍然是解決網(wǎng)絡(luò)安全最重要的基礎(chǔ)和研究方向。 安全性：入侵檢測系統(tǒng)自身必須安全，如果入侵檢測系統(tǒng)自身的安全性得不到保障，首先意味著信息的無效，而更嚴(yán)重的是入侵者控制了入侵檢測系統(tǒng)即獲得了對系統(tǒng)的控制權(quán) 。 入侵檢測和其他的檢測技術(shù)有相同原理：從一組數(shù)據(jù)中，檢測出符合某一特點(diǎn)的數(shù)據(jù)。它監(jiān)視的對象是整個(gè)共享子網(wǎng)，能夠?yàn)檎麄€(gè)共享子網(wǎng)提供保護(hù)。 除此以外，入侵檢測系統(tǒng)還可以按數(shù)據(jù)分析發(fā)生的時(shí)間、入侵攻擊的響應(yīng)方式等方法分類。本系統(tǒng)實(shí)際上是一個(gè)小型的基于 Windows 的網(wǎng)絡(luò)入侵檢測系統(tǒng)，雖然只需要安裝在整個(gè)共享網(wǎng)段的 某臺機(jī)器上，但能夠?qū)φ麄€(gè)網(wǎng)段提供入侵檢測的保護(hù)。它充分考慮了各種性能和效率的優(yōu)化，在內(nèi)核層實(shí)現(xiàn)了數(shù)據(jù)包的捕獲和過濾。網(wǎng)卡在設(shè)置為廣播模式時(shí)，它將會接受所有目的地址為廣播地址的數(shù)據(jù)包，一般所有的網(wǎng)卡都會設(shè)置為這 個(gè)模式；網(wǎng)卡在設(shè)置為多播模式時(shí)，當(dāng)數(shù)據(jù)包的目的地網(wǎng)絡(luò)信息 數(shù)據(jù)截獲 數(shù)據(jù)過濾 應(yīng)用程序（響應(yīng)模塊） 址為多播地址，而且網(wǎng)卡地址是屬于那個(gè)多播地址說代表的多播組時(shí)，網(wǎng)卡將接納此數(shù)據(jù)包；網(wǎng)卡在設(shè)置為直接模式時(shí)，只有當(dāng)數(shù)據(jù)包的目的地址為網(wǎng)卡自己的地址時(shí)，網(wǎng)卡才接受它；網(wǎng)卡在設(shè)置為混雜模式時(shí)，它將接受所有經(jīng)過的數(shù)據(jù)包。 /*打開網(wǎng)絡(luò)接口 */ pcap_pile(pcap_handle,amp。其中， p為指 向監(jiān)聽會話句柄的指針， fp 為指向結(jié)構(gòu) bpf_program 的指針，一般為函數(shù)pcap_ple 編譯后的結(jié)果，也可以用手工編 BPF 代碼。 EtherHdr *eh。 u_int32_t dip。 endif u_int8_t ip_tos。 5. 系統(tǒng)測試與分析 網(wǎng)絡(luò)數(shù)據(jù)包的捕獲和分析是整個(gè)網(wǎng)絡(luò)入侵 檢測系統(tǒng)實(shí)現(xiàn)的基礎(chǔ)，只有獲得了數(shù)據(jù)源之后，系統(tǒng)的響應(yīng)模塊才能夠檢測出當(dāng)前是否有攻擊行為或者攻擊企圖。 由于能力和水平所限，該系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)還有很多工作要做，并需進(jìn)一步完善。 （ 5）學(xué)?？梢怨紝W(xué)位論文的全部或部分內(nèi)容（保密學(xué)位論文在解密后遵守此規(guī)定）。 for as iron sharpens iron, so by glory one courage sharpeh another. In cases of great enterprise, upon charge and adventure, a position of glorious natures doth put life into business。 and espe cially greatwhen in violation of public and holy rites, or of the partly monrites in which tribes and phratries share。s without the consent of theowner。 there are sometimes great effects of cross lies。 （ 3）學(xué)校可以學(xué)術(shù)交流為目的復(fù)制、贈送和交換學(xué)位論文。本論文只完成了入侵檢測系統(tǒng)的前期工作，即捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包，通過對這些捕獲的數(shù)據(jù)包進(jìn)行分析，可以為后面的響應(yīng)模塊提供數(shù)據(jù)輸入。具體實(shí)現(xiàn)效果如圖 44 所示： 圖 44 檢測模塊效果圖 圖 44 主要顯示了檢測模塊在中央控制器中運(yùn)行的效果圖。 u_int8_t ip_hlen:4。 u_int16_t dp。 Data Packet 的結(jié)構(gòu)如下： typedef struct Data_Packet { struct pcap_pkthdr *pkth。其中， p 為監(jiān)聽會話句柄指針， fp 為指向結(jié)構(gòu) bpf_program 的指針，用于存放編譯后的 BPF 程序， str為 tcpdump 表達(dá)式字符串指針， optimize 為優(yōu)化標(biāo)志， mask 為子網(wǎng)掩碼。_mask,error_content)。本系統(tǒng)是利用以太網(wǎng)絡(luò)的廣播特性進(jìn)行捕獲數(shù)據(jù)包的。 1． Winpcap 給程序員提供了 一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包捕獲的編程接口，并且與 Libpcap 兼容，使得原來許多 Linux 平臺下的網(wǎng)絡(luò)安全程序可很快地移植到Windows 平臺下。 此外，單一的入侵檢測系統(tǒng)并非萬能，因此需要結(jié)合身份認(rèn)證、訪問控制、數(shù)據(jù)加密、防火墻、安全掃描、 PKI 技術(shù)、病毒防護(hù)等眾多網(wǎng)絡(luò)安全技術(shù)，來提 供完整的網(wǎng)絡(luò)安全保障。因?yàn)楫惓z測方法難以實(shí)現(xiàn)，所以很少被采用；所有的商業(yè)入侵檢測系統(tǒng)都采用了某種形式的特征檢測方法。 ? 基于網(wǎng)絡(luò)（ workbased）的入侵檢測系統(tǒng) 數(shù)據(jù)來源于整個(gè)網(wǎng)絡(luò)，它建立在線路偵聽的基礎(chǔ)上。它Policy Protection Response Detectionon 通過對采集到的網(wǎng)絡(luò)數(shù)據(jù)在線或離線進(jìn)行分析，當(dāng)發(fā)現(xiàn)有入侵企圖或入侵行為時(shí)，能依據(jù)響應(yīng)規(guī)則做出發(fā)送入侵警報(bào)、記錄入侵事件、引誘轉(zhuǎn)發(fā)、中斷入侵連接甚至發(fā)動入侵等響應(yīng)行為，同時(shí)還能提醒管理員采取進(jìn)一步防護(hù)措施。 一個(gè)完整的入侵檢測系統(tǒng)必須具備下列特點(diǎn)： 經(jīng)濟(jì)性：為了保證系統(tǒng)安全策略的實(shí)施而引入的入侵檢測系統(tǒng)必須不能妨礙系統(tǒng)的正常運(yùn)行（如系統(tǒng)性能）。計(jì)算機(jī)病毒的主要傳播途徑有：文件傳輸、軟盤拷貝、電子郵件等。后者則有：防火墻、路由選擇、反病毒技術(shù)等。因此主動攻擊主要威脅信息的 完整性、可用性和真實(shí)性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息、分析信息，查看是否有違反安全策略的行為和遭到襲擊的跡象。隨著 Inter在全球的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)的日益普及，網(wǎng)絡(luò)安全問題也顯得越來越突出。隨后重點(diǎn)介紹了基于 Windows 入侵檢測系統(tǒng)中檢測模塊的設(shè)計(jì)與實(shí)現(xiàn)。由于市場利潤、技術(shù)投入、產(chǎn)品成本、技術(shù)規(guī)范等等問題，不同供應(yīng)商提供的環(huán)節(jié)在安全性上不盡相同，使得整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全成度被限制在安全等級最低的那個(gè)環(huán)節(jié)上。按照收發(fā)雙方密鑰是否相同，可分為對稱密碼算法和非對稱密碼算法即公鑰密碼算法兩種。 本文研究內(nèi)容 本文共分為五個(gè)部分，各部分內(nèi)容如下： 第一部分，主要介紹了課題提出的背景、意義、安全隱患、現(xiàn)有的安全技術(shù)等，強(qiáng)調(diào)了入侵檢測的重要性。 可擴(kuò)展性：可擴(kuò)展性有兩方面的意義。入侵者進(jìn)行攻擊時(shí)會留下痕跡，這些痕跡和系統(tǒng)正常運(yùn)行產(chǎn)生的數(shù)據(jù)混合在一起。 基于主機(jī)的入侵檢 測系統(tǒng)與主機(jī)結(jié)合較為緊密，能發(fā)現(xiàn)一些基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)發(fā)現(xiàn)不了的入侵。各種分類方法體現(xiàn)了對入侵檢測系統(tǒng)理解的不同側(cè)面。 整個(gè)系統(tǒng)分主要分為兩個(gè)模塊，即檢測模塊和響應(yīng)模塊。 3． Winpcap 還提供了發(fā)送數(shù)據(jù)包的能力。由于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的數(shù)據(jù)源是整個(gè)共享網(wǎng)段上的數(shù)據(jù)包，因此只要將該網(wǎng)段內(nèi)某一臺主機(jī)的網(wǎng)卡設(shè)置為混雜模式，就可以監(jiān)聽本網(wǎng)段內(nèi)所有的數(shù)據(jù)包進(jìn)行分析和判斷。bpf_filter,bpf_filter_string,0,_ip)。 （ 5）捕獲并處理數(shù)據(jù)包： 函數(shù)原型： int pcap_loop(pcap_t*,int t,pcap_handler callback,u_char*user) 功能：捕獲并處理數(shù)據(jù)包。 ARPHdr *ah。 int caplen。 u_int16_t ip_len。系統(tǒng)測試是為了測試檢測模塊是否能夠?qū)崿F(xiàn)應(yīng)有的功能。 參考文獻(xiàn) [1] 劉文濤 .網(wǎng)絡(luò) 入侵檢測系統(tǒng)詳解 [M]. 北京 : 電子工業(yè)出版社 , 。 除非另有科研合同和其他法律文書的制約，本論文的科研成果屬于成都信息工程學(xué)院。 and those mat are of solid and sober natures have more of the ballast, than of the sail. In fame of learning, the flight w ill be slow, without some feathers of ostentation. Q ui de contenmenda gloria libros scribunt, nomen suum inscribunt. Socrates, Aristotle, Galen, wer e men firil of ostentation. Certainly vainglory helpeth to perpetuate a man\39。 and in the second degreegreat when they are mitted agai