【文章內(nèi)容簡介】 ap是世界各地的網(wǎng)絡(luò)專家共同努力的結(jié)果，為開發(fā)者提供了很多高效且與系統(tǒng)無關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包截獲接口函數(shù)；所以在性能上一般比采用普通的套接字方法要好。LibPcap是一個優(yōu)秀跨平臺的網(wǎng)絡(luò)抓包開發(fā)工具，JPcap是它的一個Java版本。WinPcap在某種程度上可以說它是LibPcap的一個Windows版本，因為它們的大部分接口函數(shù)以及所采用的數(shù)據(jù)結(jié)構(gòu)都是一樣的。另外，WinPcap在某些方面進行了優(yōu)化，還提供了發(fā)送原始數(shù)據(jù)包和統(tǒng)計網(wǎng)絡(luò)通信過程中各種信息的功能（LibPcap沒有統(tǒng)計功能），方便進行測試；所以采用WinPcap所提供的庫函數(shù)來截獲網(wǎng)絡(luò)數(shù)據(jù)包。Winpcap捕獲數(shù)據(jù)包的實現(xiàn)(1)PACKET結(jié)構(gòu)typedef struct _PACKET { HANDLE hEvent。OVERLAPPED OverLapped。PVOID Buffer。//這個buffer就是指向存放數(shù)據(jù)包的用戶緩沖區(qū) UINT Length。//buffer的長度DWORD ulBytesReceived。//調(diào)用PacketReceivePacket()函數(shù)所讀 //取的字節(jié)數(shù),可能包含多個數(shù)據(jù)包 BOOLEAN bIoComplete。} PACKET, *LPPACKET。其他未注釋的幾個成員,都是過時的成員,他們的存在只是為了與原來的兼容。此結(jié)構(gòu)主要用來存放從內(nèi)核中讀取的數(shù)據(jù)包。(2)pcap_file_header 結(jié)構(gòu) struct pcap_file_header{ bpf_u_int32 magic。//一個標(biāo)識號，標(biāo)識特定驅(qū)動器產(chǎn)生的dump文件 u_short version_major。//WinPcap的主版本號 u_short version_minor。//WinPcap的次版本號bpf_int32 thiszone。//GMT時間與本地時間的校正值 bpf_u_int32 sigfigs。//精確的時間戳bpf_u_int32 snaplen。//每個數(shù)據(jù)包需要存放到硬盤上的最大長度 bpf_u_int32 linktype。//鏈路層的數(shù)據(jù)類型 }。//這個頭部共24個字節(jié)把截獲的數(shù)據(jù)包以標(biāo)準(zhǔn)的Windump格式存放到硬盤上時，就是以這個結(jié)構(gòu) 作為文件的開頭。(3)bpf_hdr結(jié)構(gòu) struct bpf_hdr { struct timeval bh_tstamp。//數(shù)據(jù)包捕獲的時間戳信息 UINT bh_caplen。//數(shù)據(jù)包被捕獲部分的長度 UINT bh_datalen。//數(shù)據(jù)的原始長度 USHORT bh_hdrlen。//此結(jié)構(gòu)的長度 }。從內(nèi)核中讀取數(shù)據(jù)包并存放在用戶緩沖區(qū)中時，采用此結(jié)構(gòu)來封裝所截獲的 數(shù)據(jù)包。其中timeval的結(jié)構(gòu)如下 struct timeval { long tv_sec。//以秒為單位的時間 long tv_usec。//以毫秒為單位的時間 }。(4)dump_bpf_hdr結(jié)構(gòu) struct dump_bpf_hdr{ struct timeval ts。//數(shù)據(jù)包捕獲的時間戳 UINT caplen。//數(shù)據(jù)包被捕獲部分的長度 UINT len。//數(shù)據(jù)包的原始長度 }。把數(shù)據(jù)包存放到硬盤上或者向網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)包時，都使用此結(jié)構(gòu)來封裝每一個數(shù)據(jù)包。在了解其數(shù)據(jù)結(jié)構(gòu)的基礎(chǔ)上，下面來分析其是如何具體實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包捕獲的。其前期的主要過程應(yīng)為：首先應(yīng)找到設(shè)備列表，然后顯示適配器列表和選擇適配器，最后通過pcap_open_live（）函數(shù)根據(jù)網(wǎng)卡名字將所選的網(wǎng)卡打開，并設(shè)置為混雜模式。用Winpacp捕獲數(shù)據(jù)包時，其中pcap_loop()是截包的關(guān)鍵環(huán)節(jié)，它是一個循環(huán)截包函數(shù)，分析此函數(shù)的源碼可知。在pcap_loop()的每次循環(huán)中，首先通過調(diào)用PacketReceivePacket()函數(shù)，從內(nèi)核緩沖區(qū)中把一組數(shù)據(jù)包讀取到用戶緩沖區(qū)。然后，根據(jù)bpf_hdr結(jié)構(gòu)提供的該數(shù)據(jù)包的定位信息，把用戶緩沖區(qū)的多個數(shù)據(jù)包逐個的提取出來，并依次送入回調(diào)函數(shù)進行進一步處理。通過這個過程就實現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。 基于協(xié)議分析的入侵檢測模塊的設(shè)計及實現(xiàn)此模塊是基于協(xié)議分析入侵檢測系統(tǒng)PANIDS的核心部分，下面我們重點討論此模塊的設(shè)計及實現(xiàn)。 數(shù)據(jù)包的分解 當(dāng)需要發(fā)送數(shù)據(jù)時，就需要進行封裝。封裝的過程就是把用戶數(shù)據(jù)用協(xié)議來進行封裝，首先由應(yīng)用層協(xié)議進行封裝，如HTTP協(xié)議。而HTTP協(xié)議是基于TCP協(xié)議的。它就被TCP協(xié)議進行封裝，包作為TCP數(shù)據(jù)段的數(shù)據(jù)部分。而TCP協(xié)議是基于IP協(xié)議的，所以TCP段就作為IP協(xié)議的數(shù)據(jù)部分，加上IP協(xié)議頭，就構(gòu)成了IP數(shù)據(jù)報，而IP數(shù)據(jù)報是基于以太網(wǎng)的，所以這個時候就被封裝成了以太網(wǎng)幀，這個時候就可以發(fā)送數(shù)據(jù)了。通過物理介質(zhì)進行傳送。在這里我們所用到的是數(shù)據(jù)包的分解。分解的過程與封裝的過程恰恰相反，這個時候就需要從一個以太網(wǎng)幀中讀出用戶數(shù)據(jù)，就需要一層一層地進行分解，首先是去掉以太網(wǎng)頭和以太網(wǎng)尾，在把剩下的部分傳遞給IP層軟件進行分解，去掉IP頭，然后把剩下的傳遞給傳輸層，例如TCP協(xié)議，此時就去掉TCP頭，剩下應(yīng)用層協(xié)議部分?jǐn)?shù)據(jù)包了，例如HTTP協(xié)議，此時HTTP協(xié)議軟件模塊就會進一步分解，把用戶數(shù)據(jù)給分解出來，例如是HTML代碼。這樣應(yīng)用軟件就可以操作用戶數(shù)據(jù)了，如用瀏覽器來瀏覽HTML頁面。其具體的數(shù)據(jù)包分解如下：ethernet =(struct sniff_ethernet*)(pkt_data)。ip =(struct sniff_ip*)(pkt_data + size_ethernet)。tcp =(struct sniff_tcp*)(pkt_data + size_ethernet + size_ip)。udp =(struct sniff_udp*)(pkt_data + size_ethernet + size_ip)。icmp =(struct sniff_icmp*)(pkt_data + size_ethernet + size_ip)。 入侵檢測的實現(xiàn)通過Winpcap捕獲數(shù)據(jù)包，數(shù)據(jù)包分解完以后就對其進行協(xié)議分析，判斷分組是否符合某種入侵模式，如果符合，則進行入侵告警。在本系統(tǒng)中實現(xiàn)了對多種常見入侵模式的檢測，采用的入侵模式包括ICMP分片、常用端口、IGMP分片、WinNuke攻擊、應(yīng)用層攻擊。ICMP報文是TCP/IP協(xié)議中一種控制報文，它的長度一般都比較小，如果出現(xiàn)ICMP報文分片，那么說明一定出現(xiàn)了Ping of Death攻擊。在本系統(tǒng)中ipip_p == 01，這是表示ip首部的協(xié)議類型字段，01代表ICMP。string str1 = inet_ntoa(in_addrIP)。string str2 = inet_ntoa(ipip_src)。當(dāng)(ipip_off 1)amp。amp。 str1!= str2時，就表認(rèn)為是Ping of Death攻擊。如果都符合，就報警（調(diào)用函數(shù)將受到攻擊的時間、攻擊名稱以及攻擊的IP地址顯示出來）。一些攻擊特洛伊木馬、蠕蟲病毒等都會采用一些固定端口進行通信，那么如果在分組分析過程中發(fā)現(xiàn)出現(xiàn)了某個端口的出現(xiàn)，則可以認(rèn)為可能出現(xiàn)了某種攻擊，這里為了減少誤判，應(yīng)當(dāng)設(shè)置一個閾值，僅當(dāng)某個端口的分組出現(xiàn)超過閾值后才進行報警。這就意味著檢測到發(fā)往某個端口的的分組超過閾值后才認(rèn)為出現(xiàn)了某種攻擊，并進行告警。本系統(tǒng)定義了兩種端口掃描，Trojan Horse端口掃描和代理服務(wù)器端口掃描。Trojan Horse端口掃描實現(xiàn)如下：首先根據(jù)if((tcpth_flags amp。 TH_SYN)==TH_SYN)判斷其是否為TCP SYN報文，若是，并且端口為Trojan Horse的常用掃描端口時，最后判斷報文數(shù)是否超過閾值TrojanThreshold，如果超過的后，就被認(rèn)定為Trojan Horse端口掃描，然后報警。對代理服務(wù)器端口掃描檢測的實現(xiàn)方法和Trojan Horse端口掃描實現(xiàn)方法一樣，這里不再論述。IGMP（Internet Group Message Protocol）是Internet中多播組管理協(xié)議，其長度也一般較小。同上ipip_p==02也是表示首部的協(xié)議類型字段，02代表IGMP，本系統(tǒng)實現(xiàn)了對其兩種攻擊模式的檢測。（1）通過if(ntohs(ipip_len)1499)首先判斷其是否為分片的IGMP報文，若是，并且收到的報文數(shù)超過設(shè)定的閾值IGMPThreshold，則就最終判定其為IGMP DoS攻擊，然后報警。（2）通過if(strcmp(mbf,mbuffer)==0||strcmp(mbf,”″)==0)判斷其是否為某種特定的源地址等于目的地址或者目的地址等于0的報文，若是，并且收到的報文數(shù)超過設(shè)定的閾值LandThreshold則被判定為land DoS攻擊,然后報警。 通過if((tcpth_flags amp。 TH_URG)==TH_URG)判斷其是否為TCP URG報文，若是，則根據(jù)WinNuke的典型特征是使用TCP中的Ugrent指針，并使用131313139端口，因此可以利用這兩個特征加以判斷，同樣為了減少誤判，應(yīng)當(dāng)設(shè)置一個閾值。當(dāng)閾值超過設(shè)定的WinNukeThreshold時，就被最終判定為WinNuke攻擊，然后報警。其是分析應(yīng)用層的數(shù)據(jù)特征，判斷是否存在入侵。在本系統(tǒng)中實現(xiàn)了對一種較為簡單的應(yīng)用層攻擊的檢測。它也是屬于TCP SYN報文中的一種。主要思想是監(jiān)測報文中是否存在system32關(guān)鍵字，如果存在，則報警。 實驗結(jié)果及結(jié)論程序編譯成功后，執(zhí)行可執(zhí)行文件，此時系統(tǒng)已被啟動，然后在”設(shè)置”菜單中將網(wǎng)卡設(shè)為混雜模式，點擊”開始”按鈕，本系統(tǒng)開始檢測。由實驗結(jié)果可知，本系統(tǒng)能較好的檢測出一些典型攻擊，并能在界面上顯示出攻擊日期/時間、攻擊的類型、攻擊源的IP地址，達到了預(yù)期的效果。第五章 總結(jié)與參考文獻入侵檢測是一種積極主動的安全防護技術(shù)；它既能檢測未經(jīng)授權(quán)的對象入侵系統(tǒng)，又能監(jiān)視授權(quán)對象對系統(tǒng)資源的非法操作。入侵檢測與防火墻、身份認(rèn)證、數(shù)據(jù)加密、數(shù)字簽名等安全技術(shù)共同構(gòu)筑了一個多層次的動態(tài)安全體系。本文主要對基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的關(guān)鍵技術(shù)進行了研究和探討。首先較全面、系統(tǒng)地分析了入侵檢測技術(shù)的歷史、現(xiàn)狀和發(fā)展趨勢、了解了黑客常用的攻擊手段及其原理。然后，系統(tǒng)地闡述了入侵檢測的原理。接著講述了協(xié)議分析和模式匹配技術(shù)，最后，針對當(dāng)前典型的網(wǎng)絡(luò)入侵，設(shè)計并實現(xiàn)了一個基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測系統(tǒng)PANIDS，實現(xiàn)了多層次的協(xié)議分析，包括基本協(xié)議的解析、協(xié)議上下文的關(guān)聯(lián)分析以及應(yīng)用層協(xié)議的分析，并取得了較為滿意的檢測效果。[1] 戴英俠，連一峰，[M].北京：清華大學(xué)出版社 [2] 聶元銘，[M].北京：科學(xué)出版社[3] 董玉格，金海，[M].北京：人民 郵電出版社 [4] 戴云,[J].計算機工程與應(yīng)用 [5] [M].北京：電子工業(yè)出版社，第三篇：網(wǎng)絡(luò)信息檢測通信系統(tǒng)的檢測：：硬件通電測試；系統(tǒng)功能測試：可靠性；接通率；基本功能（如通信系統(tǒng)的業(yè)務(wù)呼叫與接續(xù)、計費、信令、系統(tǒng)負(fù)荷能力、傳輸指標(biāo)、故障診斷、環(huán)境條件適應(yīng)能力等）。：聯(lián)網(wǎng)運行（接入用戶和電路）；故障率。信息網(wǎng)絡(luò)系統(tǒng)檢測：：機房環(huán)境是否滿足要求；設(shè)備器材清點檢查；設(shè)備機柜加固檢查；設(shè)備模塊配置檢查；設(shè)備間及機架內(nèi)纜線布放；電源檢查；設(shè)備至各類配線設(shè)備間纜線布放；纜線導(dǎo)通檢查；各種標(biāo)簽檢查；接地電阻值檢查；接地引入線及接地裝置檢查；機房內(nèi)防火措施；機房內(nèi)安全措施等。：按施工圖設(shè)計文件要求檢查設(shè)備安裝情況；設(shè)備接地應(yīng)良好；供電電源電壓及極性符合要求。：設(shè)備供電正常；報警指示工作正常；設(shè)備通電后工作正常及故障檢查。網(wǎng)絡(luò)層安全的安全檢測應(yīng)符合以下要求：：信息網(wǎng)絡(luò)應(yīng)能抵御來自防火墻以外的網(wǎng)絡(luò)攻擊，適用流行的攻擊手段進行模擬攻擊，不能攻破判為合格。：信息網(wǎng)絡(luò)應(yīng)根據(jù)需求控制內(nèi)部終端機的因特網(wǎng)連接請求和內(nèi)容，適用終端機用不同身份訪問因特網(wǎng)的不同資源，符合設(shè)計要求判為合格。：，保證做到未經(jīng)授權(quán)，從信息網(wǎng)絡(luò)不能進入控制網(wǎng)絡(luò)；符合此要求者判為合格。：將含有當(dāng)前已知流行病的的文件（病毒樣本）通過文件傳輸、郵件附件、網(wǎng)上鄰居等方式向各點傳播，各點的防毒軟件應(yīng)能正確地檢測到該含病毒文件，并執(zhí)行殺毒操作；符合本要求者判為合格。：如果安裝了入侵檢測系統(tǒng)，使用流行的攻擊手段進行模擬攻擊如（DoS、拒絕服務(wù)攻擊），這些攻擊應(yīng)被入侵檢測系統(tǒng)發(fā)現(xiàn)和阻斷；符合此要求這判為合格。：如果安裝了內(nèi)容過濾系統(tǒng)，則嘗試訪問若干受限的網(wǎng)址或者內(nèi)容，應(yīng)該可以正常訪問：符合此要求者判為合格。系統(tǒng)層安全應(yīng)滿足一下要求：。，要求用戶必須使用滿足安全要求的口令。，其他無關(guān)的服務(wù)應(yīng)關(guān)閉，對可能存在的漏洞的服務(wù)或操作系統(tǒng)，應(yīng)更換或者升級響應(yīng)的補丁程序；掃描服務(wù)器，無漏洞者為合格。，對一些非法的侵入嘗試必須有記錄；模擬非法嘗試，審計日志中有正確記錄者判為合格。系統(tǒng)檢測：（一）建筑設(shè)備監(jiān)控系統(tǒng)的檢測應(yīng)以系統(tǒng)功能和性能檢測為主，同時對現(xiàn)場安裝質(zhì)量、設(shè)備性能及工程實施過程中的質(zhì)量記錄進行抽查或復(fù)核。（二）建設(shè)設(shè)備監(jiān)控系統(tǒng)檢測應(yīng)在系統(tǒng)運行連續(xù)投運時間不少于1個月后進行。（三）建設(shè)設(shè)備監(jiān)控系統(tǒng)檢測應(yīng)依據(jù)工程合同技術(shù)文件按、施工圖設(shè)計文件、設(shè)計變更審核文件、設(shè)備及產(chǎn)品的技術(shù)文件進行。（四）建筑設(shè)備監(jiān)控系統(tǒng)檢測時應(yīng)提供以下工程實施及質(zhì)量控制記錄：。安防系統(tǒng)（或檢測機構(gòu)）認(rèn)證（檢測）合格，并取得相應(yīng)的認(rèn)證證書（或檢測報告）、預(yù)留件、橋架等的安裝符合設(shè)計要求、弱電豎井的施工已結(jié)束（光）纜敷設(shè)與布線應(yīng)檢驗管線的防水、防潮，電纜排列位置，布放、綁扎質(zhì)量，橋架的架設(shè)質(zhì)量，纜線在橋架內(nèi)的安裝質(zhì)量，焊接及插接頭安裝質(zhì)量和接線盒接線質(zhì)量等、接地線焊接質(zhì)量、接地電阻等、攝像機、云臺、防護罩、控制器、輔助電源、電鎖、對講設(shè)備等的安裝部位、安裝質(zhì)量和廣安質(zhì)量進行檢驗（一）安全防范系統(tǒng)的系統(tǒng)檢測應(yīng)由國家或行業(yè)授權(quán)的檢測機構(gòu)進行檢測，并出具檢測