【正文】 ever since she was born. That was a very happy breakfast, though they didn39。 on them instead of `M. March39。 [5] 張仕斌 .網(wǎng)絡安全技術 [M]. 北京 : 清華大學出版社 ,。 Intra 的安全措施應該是多層次、多方位的，但又要考慮性能、成本、可管理性、可用性與安全性的平衡問題。 u_int8_t ip_proto。 int tcp_option_count。 ICMPHdr *icmph。 （ 7）關閉監(jiān)聽會話句柄 函數(shù)原型： void pcap_close(pcap_* p) 功能：關閉監(jiān)聽會話句柄，并釋放資源。 /*由于在解碼的代碼中只有以太網(wǎng)，所以這里檢測鏈路是否為以太網(wǎng)，否，則退出 */ pcap_loop(pcap_handle,1,DecodeProcess_callback,NULL)。 /*存儲錯誤內(nèi)容 */ 查找有效的網(wǎng)絡設備（ eth） pcap_lookupdev() 獲得網(wǎng)絡地址及網(wǎng)絡掩碼（ IPamp。 當一個數(shù)據(jù)包到達網(wǎng)絡接口設備時，鏈路層設備驅(qū)動器通常把它傳送給系統(tǒng)協(xié)議棧進行處理。 本論文將重點討論檢測 模塊的設計與實現(xiàn)。 IDS 體系結(jié)構(gòu)的研究主要包括具有多系統(tǒng)的互操作性和重用性的通用入侵檢測框架， 總體結(jié)構(gòu)和各部件的相互關系， IDS 管理，具有可伸縮性、重用性的系統(tǒng)框架，安全、健壯和可擴展的安全策略。它對現(xiàn)有的系統(tǒng)或基礎設施不會有什么影響，被檢測到的用戶很難發(fā)現(xiàn)；絕大多數(shù)基于網(wǎng)絡 IDS 都是獨立的：已部署的基本網(wǎng)絡的入侵檢測傳感器將監(jiān)視所有的攻擊，而不管目標系統(tǒng)使用什么樣的操作系統(tǒng)平臺。下圖的模塊劃分是非常粗略的，而且省略了諸如界面處理、配置管理等模塊。它的指導實現(xiàn)比傳統(tǒng)靜態(tài)安全方案有突破性提高。其中包括檢測模塊的 設計思想、工作原理以及核心代碼的分析等。比較著名的公鑰密碼算法有： ECC、 RSA 等，其中 RSA 算法應用最為廣泛。軟件質(zhì)量難以評估是軟件的 一個特性。更為嚴重的是攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡節(jié)點，釋放計算機病毒，直到整個網(wǎng)絡陷入癱瘓。該模塊完成了對共享網(wǎng)段中的數(shù)據(jù)包的捕獲和分析等功能。傳統(tǒng)安全方法是采用盡可能多地禁止策略進行防御，例如各種殺毒軟件、防火墻、身份認證、訪問控制等，這些對防止非法入侵都起到了一定的作用，從系統(tǒng)安全管理的角度來說，僅有防御是不夠好的，還應采取主動策略。 這四種威脅可以劃分為兩大類，即被動攻擊和主動攻擊。包括技術人員在網(wǎng)絡配置管理上的疏忽或錯誤，網(wǎng)絡實際運行效益和安全投入成本間的平衡抉擇，網(wǎng)絡用戶的安全管理缺陷等等。訪問控制技術的主要任務是保證網(wǎng)絡資源不被非法使用和訪問，它是保證網(wǎng)絡安全的重要策略之一。入侵檢測被認為是防火墻之后的第二道安全閘門。當發(fā)現(xiàn)入侵行為后，入侵檢測系統(tǒng)會通過響應模塊改變系統(tǒng)的防護措施，改善系統(tǒng)的防護能力，從而實現(xiàn)動態(tài)的系統(tǒng)安全模型。 結(jié)果處理模塊的作用在于告警與反應，也就是在發(fā)現(xiàn)攻擊企圖或者攻擊之后需要系統(tǒng)及時的進行反應，包括報告、記錄、反映和恢復。首先將已知的每種入侵方法都表示成一條入侵規(guī)則；將當前發(fā)生的活動與入侵規(guī)則集進行匹配，如果當前的活動與某條入侵規(guī)則匹配就認為是采用該種入侵方法 發(fā)起的一次進攻。 IDS 的目標是實現(xiàn)實時響應和恢復。在設計Winpcap 時參照了 Libpcap，使用方法與 Libpcap 相似。 網(wǎng)絡數(shù)據(jù)包捕獲機制 網(wǎng)絡數(shù)據(jù)包捕獲機制是網(wǎng)絡入侵檢測系統(tǒng)的基礎。 /*網(wǎng)絡掩碼 */ unsigned int _ip。 （ 2）建立監(jiān)聽會話 函數(shù)原型： pcap_open_live (char*device,int snaplen,int promis,int to_ms,char*ebuf) 功能：用于獲取一個捕獲器描述符，調(diào)用成功就返回監(jiān)聽會話句柄。 本系統(tǒng)目前上未實現(xiàn)對應用層協(xié)議的分析，所以數(shù)據(jù)包的分析流程圖如圖43 所示： 圖 43 數(shù)據(jù)包分析流程圖 從流程圖可以看到，在捕獲了數(shù)據(jù)包之后，就對網(wǎng)絡數(shù)據(jù)包進行分析，本系統(tǒng)對鏈路層只分析了以太網(wǎng)協(xié)議。 u_char mf。 u_int8_t ether_shost [6]。 系統(tǒng)集成 本系統(tǒng)除了由檢測模塊和響應模塊兩個重要部分以外，還有一個必不可少的部分就是系統(tǒng) 的集成部分即中央控制器模塊。不斷增大的網(wǎng)絡流量對入侵檢測的實時性提出了考驗 。文中除了特別加以標注地方外，不包含他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得成都信息工程學院或其他教學機構(gòu)的學位或證書而使用過的材料。, looking troubled. It39。s older sisters were just out, and Meg caught frequent glimpses of dainty ball dresses and bouquets, heard lively gossip about theaters, concerts, sleighing parties, and merrymakings of all kinds, and saw money lavished on trifles which w ould have been so precious to her. Poor Meg seldom plained, but a sense of injustice made her feel bitter toward everyone sometimes, for she had not yet learned to know how rich she was in the blessings which alone can make life happy. Jo happened to suit Aunt March, who was lame and needed an active person to wait upon her. The childless old lady had offered to adopt one of the girls when the troubles came, and was much offended because her offer was declined. Other friends told the Marches that they had lost all chance of being remembered in the rich old lady39。, while Beth ran to the window, and picked her finest rose to ornament the stately bottle. You see I felt ashamed of my present, after reading and talking about being good this morning, so I ran round the corner and changed it the minute I was up, and I39。 （ 5）學?？梢怨紝W位論文的全部或部分內(nèi)容（保密學位論文在解密后遵守此規(guī)定）。 由于能力和水平所限，該系統(tǒng)的設計和實現(xiàn)還有很多工作要做，并需進一步完善。 5. 系統(tǒng)測試與分析 網(wǎng)絡數(shù)據(jù)包的捕獲和分析是整個網(wǎng)絡入侵 檢測系統(tǒng)實現(xiàn)的基礎，只有獲得了數(shù)據(jù)源之后，系統(tǒng)的響應模塊才能夠檢測出當前是否有攻擊行為或者攻擊企圖。 endif u_int8_t ip_tos。 u_int32_t dip。 EtherHdr *eh。其中， p為指 向監(jiān)聽會話句柄的指針， fp 為指向結(jié)構(gòu) bpf_program 的指針，一般為函數(shù)pcap_ple 編譯后的結(jié)果，也可以用手工編 BPF 代碼。 /*打開網(wǎng)絡接口 */ pcap_pile(pcap_handle,amp。網(wǎng)卡在設置為廣播模式時，它將會接受所有目的地址為廣播地址的數(shù)據(jù)包，一般所有的網(wǎng)卡都會設置為這 個模式；網(wǎng)卡在設置為多播模式時，當數(shù)據(jù)包的目的地網(wǎng)絡信息 數(shù) 據(jù)截獲 數(shù)據(jù)過濾 應用程序（響應模塊） 址為多播地址，而且網(wǎng)卡地址是屬于那個多播地址說代表的多播組時，網(wǎng)卡將接納此數(shù)據(jù)包；網(wǎng)卡在設置為直接模式時，只有當數(shù)據(jù)包的目的地址為網(wǎng)卡自己的地址時，網(wǎng)卡才接受它；網(wǎng)卡在設置為混雜模式時，它將接受所有經(jīng)過的數(shù)據(jù)包。它充分考慮了各種性能和效率的優(yōu)化，在內(nèi)核層實現(xiàn)了數(shù)據(jù)包的捕獲和過濾。本系統(tǒng)實際上是一個小型的基于 Windows 的網(wǎng)絡入侵檢測系統(tǒng)，雖然只需要安裝在整個共享網(wǎng)段的 某臺機器上，但能夠?qū)φ麄€網(wǎng)段提供入侵檢測的保護。 除此以外，入侵檢測系統(tǒng)還可以按數(shù)據(jù)分析發(fā)生的時間、入侵攻擊的響應方式等方法分類。它監(jiān)視的對象是整個共享子網(wǎng)，能夠為整個共享子網(wǎng)提供保護。 入侵檢測和其他的檢測技術有相同原理：從一組數(shù)據(jù)中，檢測出符合某一特點的數(shù)據(jù)。 安全性：入侵檢測系統(tǒng)自身必須安全，如果入侵檢測系統(tǒng)自身的安全性得不到保障，首先意味著信息的無效，而更嚴重的是入侵者控制了入侵檢測系統(tǒng)即獲得了對系統(tǒng)的控制權(quán) 。 雖然網(wǎng)絡安全已經(jīng)超越了純技術領域，但網(wǎng)絡安全技術仍然是解決網(wǎng)絡安全最重要的基礎和研究方向。網(wǎng)絡中的數(shù)據(jù)加密，除了選擇加密算法和密鑰外，主要問題是加密 的方式以及實現(xiàn)加密的網(wǎng)絡協(xié)議層次和密鑰的分配管理。網(wǎng)絡是一個有眾多環(huán)節(jié)構(gòu)成的復雜系統(tǒng)。 本文首先介紹了網(wǎng)絡入侵檢測的基本原理和實現(xiàn)入侵檢測的技術。 畢業(yè)設計 ( 論文 ) 基于 Windows 入侵檢測系統(tǒng)的研究與設計 檢測模塊設計 論文作者姓名： 申請學位專業(yè)： 申請學位類別： 指導教師姓名（職稱）： 論文提交日期： 基于 windows 入侵檢測系統(tǒng)的研究與設計 檢測模塊設計 摘 要 當今是信息時代，互聯(lián)網(wǎng)正在給全球帶來翻天覆地的變化。入侵檢測被認為是防火墻之后的第二道安全防線，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。 網(wǎng)絡安全隱患的來源 網(wǎng)絡安全隱患主要來自于四個方面： （ 1）網(wǎng)絡的復雜性。 （ 1）數(shù)據(jù)加密技術 數(shù)據(jù)加密是網(wǎng)絡安全中采用的最基本的安全技術，目的是保護數(shù)據(jù)、文件、口令以及其他信息在網(wǎng)絡上的安全傳輸，防止竊聽。網(wǎng)絡反病毒技術主 要包括檢查病毒和殺出病毒。 時效性：必須及時的發(fā)現(xiàn)各種入侵行為，理想情況是在事前發(fā)現(xiàn)攻擊企圖，比較現(xiàn)實的情況則是在攻擊行為發(fā)生的過程中檢測到。它能在不影響網(wǎng)絡性能或輕負載的情況下，檢測網(wǎng)絡并實現(xiàn)對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。實際實現(xiàn)時，一般是把入侵檢測系統(tǒng)所在的主機的網(wǎng)卡設為混雜模式，從而捕獲經(jīng)過它的所有網(wǎng)絡數(shù)據(jù)包。但是，異常檢測方法的優(yōu)點讓研究人員向往不已，大部分的研究工作都集中在異常檢測方面，人 們 提出了各種各樣的新方法企圖使異常檢測實用化。 3 基于 Windows 入侵檢測系統(tǒng)的設計 本系統(tǒng)的全稱為《基于 Windows 入侵檢測系統(tǒng)的設計與實現(xiàn)》，系統(tǒng)的開發(fā)環(huán)境為 Windows 操作系統(tǒng)。 2．使用 Winpcap 可以提供很高的應用效率。 數(shù)據(jù)包捕獲的具體實現(xiàn) 網(wǎng)卡有以下幾個工作模式；廣播模式 (broadcast module)、多播模式(multicast module)、直接模式 (direct module)和混雜模式 (promisc module)。 /*獲得地址 */ pcap_handle=pcap_open_live(_interface,BUFSIZ,1,1,error_content)。 （ 4）設置過濾器： 函數(shù)原型： char * pcap_setfilter(pcap_t*p,struct bpf_program*fp) 功能：通過調(diào)用本函數(shù)，設置內(nèi)核過濾器使得編譯了的過濾生效。 u_char *pkt。 u_int32_t sip。 else u_int8_t ip_hlen:4, ip_ver:4。圖上所顯示的是檢測模塊捕獲的數(shù)據(jù)包在通過協(xié)議分析后所輸出的信息。本系統(tǒng)只實現(xiàn)簡單的數(shù)據(jù)包捕獲和分析，還要提高分析的準確性，來提取有效數(shù)據(jù)。 （ 4）學校可允許學位論文被查閱或借閱。m truly trying not to be selfish any more. As she spoke, Amy showed the handsome flask w hich replaced the cheap one, and looked so earnest and humble in her little effort to fet herself that Meg hugged her on the spot, and Jo pronounced her `a trump39。s will, but the unworldly Marches only said... We can39。s all right, dear, and a very pretty idea, quite sensible too, for no one can ever mi