【正文】 nst private rites and sepulchres,and in the third degree (not to repeat the acts formerly mentioned),when insults are offered to parents。s goods, neither shall heuse anything which is his neighbour39。 beaucoup de bruit, peu de fruit: much bruit, little fruit Yet certainly there is use of this quality, in civil affairs. Where there is an opinion, and fame to be created, either of virtue, or greatness, these men are good trumpeters. Again, as Titus Livius noteth, in the case of Antiochus, and the Aetolians。 （ 2）學(xué)?？梢圆捎糜坝?、縮印或其他復(fù)制方式保存學(xué)位論文?；?Intra 入侵檢測(cè)技術(shù)的進(jìn)一步發(fā)展趨勢(shì)是引入新的智能技術(shù)和多種智能技術(shù)的融合，如引入數(shù)據(jù)挖掘技術(shù)進(jìn) 行數(shù)據(jù)獲取和簡(jiǎn)化，引入模糊邏輯改善知識(shí)的表達(dá)，引入人工免疫、基因?qū)W習(xí)、機(jī)器學(xué)習(xí)、模式匹配等技術(shù)進(jìn)行檢測(cè)分析。用戶可以通過(guò)中央控制器實(shí)時(shí)的監(jiān)控整個(gè)網(wǎng)段的運(yùn)行情況，檢查當(dāng)前是否有攻擊產(chǎn)生或者有攻擊的企圖。 數(shù)據(jù)報(bào)首部數(shù)據(jù)結(jié)構(gòu) typedef struct IP_Header { if defined (WORDS_BIGENDIAN) u_int8_t ip_ver:4。 u_int16_t sp。 在具體的實(shí)現(xiàn)過(guò)程中，當(dāng)數(shù)據(jù)包分析完成后，將分析的結(jié)果保存到 Data Packet 數(shù)據(jù)結(jié)構(gòu)中。從而實(shí)現(xiàn)通過(guò)設(shè)置過(guò)濾器來(lái)捕獲感興趣的數(shù)據(jù)包。_ip,amp。兩種方式分別適用于不同的情況。 使用 Winpcap 有很多好處，主要體現(xiàn)在以下幾個(gè)方面。 ? 與其他網(wǎng)絡(luò)安全部件的協(xié)作、與其他安全技術(shù)的結(jié)合 隨著黑客入侵手段的提高，尤其是分布式、協(xié)同式、 復(fù)雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)的單一、缺乏協(xié)作的入侵檢測(cè)技術(shù)已經(jīng)不能滿足需求，需要有充分的協(xié)作機(jī)制。 基于特征的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)是準(zhǔn)確率高；它的不足在于難以發(fā)現(xiàn)未知攻擊、攻擊模式庫(kù)需要不斷更新。顯然，它所監(jiān)視和保護(hù)的對(duì)象是主機(jī)。 在 P2DR 安全模型中、入侵檢測(cè)位于檢測(cè)環(huán)節(jié)，它的作用在于承接防護(hù)和響應(yīng)過(guò)程，也就是通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干個(gè)關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中 是否有違反安全策略的行為和被攻擊的跡象。即入侵檢測(cè)（ Intrusion Detection）是檢測(cè)和識(shí)別系統(tǒng)中未授權(quán)或異?，F(xiàn)象，利用審計(jì)記錄，入侵 檢測(cè)系統(tǒng)應(yīng)能識(shí)別出任何不希望有的活動(dòng)，這就要求對(duì)不希望的活動(dòng)加以限定，一旦當(dāng)它們出現(xiàn)就能自動(dòng)地檢測(cè)。從廣義上講，它還包括邏輯炸彈、特洛伊木馬和系統(tǒng)陷阱等。網(wǎng)絡(luò)安全技術(shù)主要包括基于密碼學(xué)的安全措施和非密碼體制的安全措施，前者包括：數(shù)據(jù)加密技術(shù)、身份鑒別技術(shù)等。主動(dòng)攻擊則意在篡改系統(tǒng)中所含信息或者改變系統(tǒng)的狀態(tài)及操作。 入侵檢測(cè)是防火墻的合理補(bǔ) 充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)國(guó)際化的問(wèn)題，每年全球因計(jì)算機(jī)網(wǎng)絡(luò)的安全系統(tǒng)被破壞 而造成的經(jīng)濟(jì)損失高達(dá)數(shù)百億美元。即網(wǎng)絡(luò)數(shù)據(jù)包的捕獲與分析過(guò)程的設(shè)計(jì)與實(shí)現(xiàn)。 （ 2）網(wǎng)絡(luò)的飛速發(fā)展。對(duì)稱密碼算法有保密度高，加密速度快的優(yōu)點(diǎn)，但其 密鑰的分發(fā)則是一個(gè)比較復(fù)雜的問(wèn)題。 第二部分，主要介紹了入侵檢測(cè)相關(guān)的基礎(chǔ)知識(shí)、發(fā)展趨勢(shì)等與本文相關(guān)的理論。第一是機(jī)制與數(shù)據(jù)的分離，在現(xiàn)有機(jī)制不變的前提下能夠?qū)π碌墓暨M(jìn)行檢測(cè)。入侵檢測(cè)的任務(wù)之一就是從這 些混合數(shù)據(jù)中找出是否有入侵的痕跡。不過(guò)基于主機(jī)的入侵檢測(cè)系統(tǒng)缺乏跨平臺(tái)性，而且會(huì)在服務(wù)器上產(chǎn)生額外的負(fù)載。 入侵檢測(cè)的發(fā)展趨勢(shì) 入侵檢測(cè)從最初實(shí)驗(yàn)室里的研究課題到目前的商業(yè) IDS 產(chǎn)品，已經(jīng)有 20 多年的發(fā)展歷史。檢測(cè)模塊主要是通過(guò)監(jiān)聽(tīng)共享網(wǎng)段，捕獲該網(wǎng)段上的數(shù)據(jù)包并對(duì)其進(jìn)行分析，從而剝離出一些與入侵特征相關(guān)的標(biāo)志。 BPF 過(guò)濾機(jī)制簡(jiǎn)介 BPF(Berkeley Packet Filter)是由洛侖茲伯克利實(shí)驗(yàn)室的研究人員Stevern McCanne 和 VanJacobson 于 1993 年提出，背景是當(dāng)時(shí)在 UNIX 網(wǎng) 絡(luò)功能使用中出現(xiàn)了對(duì)網(wǎng)絡(luò)監(jiān)控工具的強(qiáng)烈需求，用來(lái)分析和排除網(wǎng)絡(luò)故障。具體的數(shù)據(jù)包捕獲流程圖如下： 圖 42 數(shù)據(jù)包捕獲流程圖 數(shù)據(jù)包捕獲核心代碼及主要函數(shù)說(shuō)明如下： void DecodeProcess_callback(u_char *argument,const struct pcap_pkthdr *packet_header,const u_char *pkt)。 /*編譯 BPF 過(guò)濾規(guī)則 */ pcap_setfilter(pcap_handle,amp。其中 p 為指向監(jiān)聽(tīng)會(huì)話句柄的指針， t 為指向函數(shù)返回前所處理數(shù)據(jù)包的最大值，值為負(fù)時(shí)表示處理緩沖區(qū)所有的數(shù)據(jù)包，為0 時(shí)處理所有的數(shù)據(jù)包，直到產(chǎn)生讀取到 EOF 錯(cuò)誤為止， callback 參數(shù)指定帶有3 個(gè)參數(shù)的回調(diào)函數(shù)， user 為用戶傳遞給回調(diào)函數(shù)的指針，通常設(shè)置為 NULL。 IPHdr *iph。 Options ip_options[40]。 u_int16_t ip_id。 測(cè)試目的 測(cè)試目的主要為以下兩點(diǎn)： （ 1） 測(cè)試系統(tǒng)是否能夠從共享網(wǎng)段中捕獲到數(shù)據(jù)包。 [2] 宋勁松 .網(wǎng)絡(luò)入侵檢測(cè) [M]. 北京 : 國(guó)防工業(yè)出版社 , 。 特此聲明！ 作者簽名： 年 月 日 54 Of Vainglory It was prettily devised of Aesop。s memory。 the fourth kind of violence iswhen any one, regardless of the author ity of the rulers, takes orcarries away or makes use of anything which belongs to them, nothaving their consent。 and the slaves of their own vaunts. LastIndexNext And now having spoken of assaults, let us sum up all acts ofviolence under a single law, which shall be as follows:No one shallta ke or carry away any of his neighbour39。 but according to die French proverb。 關(guān)于學(xué)位論文使用權(quán)和研究成果知識(shí)產(chǎn)權(quán)的說(shuō)明 本人完全了解成都信息工程學(xué)院有關(guān)保管使用 學(xué)位論文的規(guī)定，其中包括： （ 1）學(xué)校有權(quán)保管并向有關(guān)部門遞交學(xué)位論文的原件與復(fù)印件。因此，入侵檢測(cè)技術(shù)的進(jìn)一步完善是研究的重點(diǎn)問(wèn)題。它的主要功能就是為用戶提供了 系統(tǒng)的控制界面，并且能夠詳細(xì)的顯示出系統(tǒng)運(yùn)行的結(jié)果。 } EtherHdr。 u_char rf。在分析 IP 協(xié)議時(shí)，根據(jù)協(xié)議類型的值判斷傳輸層協(xié)議類型：如果 IP 協(xié)議類型字段的值是 6，表示協(xié)議為 TCP 協(xié)議，則分析 TCP 協(xié)議；如果捕獲網(wǎng)絡(luò)上的一個(gè)數(shù)據(jù)包 分析以太網(wǎng)協(xié)議 分析 TCP 協(xié)議 分析 IP 協(xié)議 傳入響應(yīng)模塊 分析 RARP 協(xié)議 分析 ARP 協(xié)議 判斷以太網(wǎng)類型字段 判斷 IP 協(xié)議類型字段 分析 UDTCP 協(xié)議 分析 ICMP 協(xié)議 IP 協(xié)議類型字段的值是 17，表示協(xié)議為 UDP 協(xié)議，則分析 UDP 協(xié)議；如果 IP協(xié)議類型字段的值是 1，表示協(xié)議為 ICMP 協(xié)議，則分析 ICMP 協(xié)議。 （ 3）編譯過(guò)濾器 函數(shù)原型： int pcap_pile(pcap_t * p,struct bpf_progrm * fp,char*str,int optimize,bpf_u_int32 mask) 功能：將字符串形 式的過(guò)濾要求編譯成二進(jìn)制形式存儲(chǔ)在 bpf_program 結(jié)構(gòu)中。 /*獲得可用的網(wǎng)絡(luò)接口 */ pcap_lookup(_interface,amp。其工作流程圖如 41 所示： 圖 41 數(shù)據(jù)包捕獲流程圖 網(wǎng)絡(luò)數(shù)據(jù)包捕獲可以通過(guò)兩種機(jī)制實(shí)現(xiàn)，一種是利用以太網(wǎng)的廣播特性，另一種方式是通過(guò)設(shè)置路由器的監(jiān)聽(tīng)端口實(shí)現(xiàn)。 開(kāi)發(fā) winpcap這個(gè)項(xiàng)目的目的在于為 win32應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)底層的能力 ，其核心功能是捕獲網(wǎng)絡(luò)數(shù)據(jù)包，其他功能包括數(shù)據(jù)包過(guò)濾、數(shù)據(jù)包發(fā)送、流量統(tǒng)計(jì)和數(shù)據(jù)包存儲(chǔ)等。 IDS 的恢復(fù)研究包括系統(tǒng)狀態(tài)一致性檢測(cè)，系統(tǒng)數(shù)據(jù)備分，系統(tǒng)恢復(fù)策略和恢復(fù)機(jī)制。它的缺點(diǎn)是建立系統(tǒng)主體正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”和設(shè)置合適的臨界值都比較困難、誤報(bào)警率高。主機(jī)系統(tǒng)中最經(jīng)典的數(shù)據(jù)源就是審計(jì)日志，也有的入侵檢測(cè)系統(tǒng)將數(shù)據(jù)源擴(kuò)展到系統(tǒng)日志、應(yīng)用程序日志、系統(tǒng)狀態(tài)、系統(tǒng)調(diào)用信息等。 圖 21 P2DR安全模型 入侵檢測(cè)的原理 入侵檢測(cè)系統(tǒng)（ IDS,Intrusion Detetion System）是通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，從而發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。我們可以給入侵檢測(cè)做一個(gè)簡(jiǎn)單的定義，入侵檢測(cè)就是對(duì)（網(wǎng)絡(luò)）系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性與可用性。 （ 5）反病毒技術(shù) 計(jì)算機(jī)病毒是一段具有極強(qiáng)破壞性的惡意代碼，它可以將自身納入其他程序中，以此來(lái)進(jìn)行隱藏，復(fù)制和傳播，從而破壞用戶文件，數(shù)據(jù)甚至硬件。 網(wǎng)絡(luò)安全技術(shù) 如今已有大量的研究機(jī)構(gòu)、社會(huì)團(tuán)體、商業(yè)公司和政府部門投入到網(wǎng)絡(luò)安全的研究中，并將此納入到一個(gè)被稱為信息安全的研究領(lǐng)域。在被動(dòng)攻擊中攻擊者只是觀察和竊取數(shù)據(jù)而不干擾信息流，攻擊不會(huì)導(dǎo)致對(duì) 系統(tǒng)中所含信息的任何改動(dòng)，而且系統(tǒng)的操作和狀態(tài)也不會(huì)被改變，因此被動(dòng)攻擊主要威脅信息的保密性。傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。傳統(tǒng)的防火墻技術(shù)固然重要，但是，發(fā)展網(wǎng)絡(luò)入侵檢測(cè)及預(yù)警技術(shù)也同樣重要，它是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 網(wǎng)絡(luò)安全面臨 的威脅 入侵的來(lái)源可能是多種多樣的，比如說(shuō)，它可能是企業(yè)心懷不滿的員工、網(wǎng)絡(luò)黑客、甚至是競(jìng)爭(zhēng)對(duì)手。由于網(wǎng)絡(luò)的發(fā)展，提供新的網(wǎng)絡(luò)服務(wù)，增加網(wǎng)絡(luò)的開(kāi)放性和互聯(lián)性，必然將更多環(huán)節(jié)納入系統(tǒng)中，新加入的環(huán)節(jié)又增加了系統(tǒng)的復(fù)雜性，引發(fā)了網(wǎng)絡(luò)的不安定性。比較著名的對(duì)稱密碼算法有：美國(guó)的 DES和歐洲的 IDEA 等。 第三部分，對(duì)整個(gè)系統(tǒng)的設(shè)計(jì)做了概述，介紹了系統(tǒng)的整體框架、開(kāi)發(fā)及運(yùn)行環(huán)境等。第二是體系結(jié)構(gòu)的可擴(kuò)展性，在必要 的時(shí)候可以在不對(duì)系統(tǒng)的整體結(jié)構(gòu)進(jìn)行修改的前提下對(duì)檢測(cè)手段進(jìn)行加強(qiáng)，以保證能檢測(cè)到新的攻擊。可見(jiàn)，入侵檢測(cè)系統(tǒng)有兩個(gè)主要部分：數(shù)據(jù)獲取和檢測(cè)。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì)在于秘密性、平臺(tái)無(wú)關(guān)性、易于實(shí)現(xiàn)。隨著入侵檢測(cè)系統(tǒng)研究和應(yīng)用的不斷深入，近年對(duì)入侵檢測(cè)技術(shù)有以下幾個(gè)主要的發(fā)展方向。響應(yīng)模塊則負(fù)責(zé)將檢測(cè)模塊剝離出的標(biāo)志與現(xiàn)有的入侵特征進(jìn)行模式匹配，從而偵測(cè)出存在于網(wǎng)絡(luò)中的入侵活動(dòng)，并且利用一些響應(yīng)手段向網(wǎng)絡(luò)管理員發(fā)出告警信息并采取相應(yīng)的行動(dòng)。而網(wǎng)絡(luò)監(jiān)控程序都運(yùn)行在用戶態(tài)空間，數(shù)據(jù)包必須從內(nèi)核中復(fù)制到用戶空間后再進(jìn)行處理，這種重復(fù)的復(fù)制工作對(duì)實(shí)質(zhì)的功能實(shí)現(xiàn)毫無(wú)意義。 pcap_t * pcap_handle。bpf_filter)。 （ 6）用戶自定義的回調(diào)函數(shù) 函數(shù)原型： void callback(u_char* args,const struct pcap_pkthdr* header,chonst u_char* packet) 功能：在 pcao_loop 函數(shù)沒(méi)捕獲到一個(gè)數(shù)據(jù)包后被自動(dòng)調(diào)用，用于對(duì)捕獲到的數(shù)據(jù)包進(jìn)行用戶自定義的處理。 TCPHdr *tcph。 int ip_option_count。 u_int16_t ip_off。 （ 2） 測(cè)試系統(tǒng)是否能夠?qū)Σ东@的數(shù)據(jù)包進(jìn)行協(xié)議分析，并且正確的顯示。 [3] 唐正軍 .網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) [M]. 北京 : 電子工業(yè)出版社 ,。 the fly sat upon the axletree of the chariot wheel,