【導(dǎo)讀】系統(tǒng)或網(wǎng)絡(luò)的入侵者，也可預(yù)防合法用戶對資源的誤操作。本論文從入侵檢測的。論文首先分析了當(dāng)前網(wǎng)絡(luò)的安全現(xiàn)狀，介紹了入侵檢測技術(shù)的歷史以。分析了Windows的網(wǎng)絡(luò)體系結(jié)構(gòu)以及開發(fā)工具。Winpcap的數(shù)據(jù)包捕獲和過濾的結(jié)構(gòu)。最后在Winpcap系統(tǒng)環(huán)境下實(shí)現(xiàn)本系統(tǒng)設(shè)。本系統(tǒng)采用異常檢測技術(shù)，通過Winpcap截取實(shí)時(shí)數(shù)據(jù)包，同時(shí)從截獲的IP. 系統(tǒng)在實(shí)際測試中表明對于具有量化特性的網(wǎng)絡(luò)入侵具有較好的檢測。最后歸納出系統(tǒng)現(xiàn)階段存在的問題和改進(jìn)意見,并根據(jù)系統(tǒng)的功能提出了

　　

【正文】 規(guī)則函數(shù) { int h。 int m。 h=0。 if(timeout=0) { for(h=0。hiamp。amp。hNUM2。h++)//查詢進(jìn)入的 IP是否曾經(jīng)出現(xiàn) { if( ih==scanrule[h].amp。amp。 ih==scanrule[h].amp。amp。 ih==scanrule[h].amp。amp。 ih==scanrule[h].) { t_tmpbuf_add=t_tmpbuf_nowscanrule[h].t2_tmpbuf_。 if (t_tmpbuf_add30) { printf(The time is out: %ld\n,t_tmpbuf_add)。 scanrule[h].k=0。 scanrule[h].count[scanrule[h].k]=dport。 scanrule[h].k++。 scanrule[h].t2_tmpbuf_=t_tmpbuf_now。 return scanrule[h].k。 } for(m=0。mscanrule[h].k。m++) { if(scanrule[h].count[m]==dport) //0表示存在 { 第 18 頁 共 24 頁 scanrule[h].t2_tmpbuf_=t_tmpbuf_now。 break。 } } if(m==scanrule[h].k) { scanrule[h].count[scanrule[h].k] =dport。 scanrule[h].k++。 scanrule[h].t2_tmpbuf_=t_tmpbuf_now。 return scanrule[h].k。 } } } if(h==i) //沒出現(xiàn)的 IP就新加入 { scanrule[h].=ih。 scanrule[h].=ih。 scanrule[h].=ih。 scanrule[h].=ih。 scanrule[h].t2_tmpbuf_=t_tmpbuf_now。 scanrule[i].k=0。 scanrule[i].count[scanrule[i].k]=dport。 scanrule[i].k++。 i++。 return scanrule[h].k。 //返回新插入的數(shù)據(jù)下表 } } else //將記錄清空 { i=0。 scanrule[h].k=0。 return 0。 } return 0。 第 19 頁 共 24 頁 } int synflood(ip_header *ih,int syn,int timeout,time_t t_tmpbuf_now) //檢測洪水攻擊的規(guī)則函數(shù) { int h。 if(timeout=0) { for(h=0。hjamp。amp。hNUM2。h++) { if(ih==synrule[h].amp。amp。 ih==synrule[h].amp。amp。 ih==synrule[h].amp。amp。 ih==synrule[h].) { t_tmpbuf_add=t_tmpbuf_nowsynrule[h].t1_tmpbuf_。 if (t_tmpbuf_add3) { printf(The time is out: %ld\n,t_tmpbuf_add)。 synrule[h].count =0。 } if(syn==1) synrule[h].count =synrule[h].count+1。 else synrule[h].count =0。 return h。 //返回新修改的數(shù)據(jù)下表 } } if(h==j) { synrule[h].=ih。 synrule[h].=ih。 synrule[h].=ih。 synrule[h].=ih。 synrule[h].t1_tmpbuf_=t_tmpbuf_now。 第 20 頁 共 24 頁 if(syn==1) synrule[j].count = 1。 else synrule[j].count=0。 j++。 return j1。 //返回新插入的數(shù)據(jù)下表 } } else { j=0。 return 0。 } return 0。 } 分析結(jié)果記錄并告警 分析模塊將異常信息記錄到數(shù)據(jù)庫里 ， 本模塊采用 VB訪問 MYSQL數(shù)據(jù)庫技術(shù) ， 讀取數(shù)據(jù)庫記錄 ， 顯示捕獲的 UDP、 TCP頭部信息 ， 將解碼后的 UDP， TCP頭部信息放入 Mysql數(shù)據(jù)庫中，表如下： CREATE TABLE `info` ( `id` int(11) NOT NULL auto_increment, `dates` varchar(50) default NULL, `dat` varchar(50) default NULL, `times` varchar(50) default NULL, `sip` varchar(50) default NULL, `sport` varchar(6) default NULL, `dip` varchar(50) default NULL, `dport` varchar(6) default NULL, `messagetype` varchar(6) default NULL, `messagelen` varchar(11) default NULL, PRIMARY KEY (`id`) ) TYPE=MyISAM。 CREATE TABLE `infotcp` ( 第 21 頁 共 24 頁 `id` int(11) NOT NULL auto_increment, `times` varchar(50) default NULL, `dat` varchar(50) default NULL, `dates` varchar(50) default NULL, `dates1` varchar(50) default NULL, `messagelen` varchar(11) default NULL, `sip` varchar(50) default NULL, `sport` varchar(6) default NULL, `dip` varchar(50) default NULL, `dport` varchar(6) default NULL, `seq` varchar(11) default NULL, `acknumber` varchar(11) default NULL, `win` varchar(6) default NULL, `sum` varchar(6) default NULL, `urp` varchar(6) default NULL, `syn` varchar(6) default NULL, `fin` varchar(6) default NULL, `rst` varchar(6) default NULL, `push` varchar(6) default NULL, `ack` varchar(50) default NULL, `urg` varchar(6) default NULL, `ece` varchar(6) default NULL, `cwr` varchar(6) default NULL, PRIMARY KEY (`id`) ) TYPE=MyISAM。 4 個(gè)人 入侵檢測系統(tǒng)的 應(yīng)用實(shí)例分析 使用某 端口掃描程序在計(jì)算機(jī) 人入侵檢測系統(tǒng)的主機(jī) ，系統(tǒng)能夠正確檢測并及時(shí)響應(yīng)告警，如圖 6。 第 22 頁 共 24 頁 圖 6 攻擊響應(yīng)實(shí)例圖 結(jié) 論 本文通過對入侵檢測系統(tǒng)關(guān)鍵技術(shù)、 TCP/IP協(xié)議以及開發(fā)工具 Winpcap的分析，具體描述了一個(gè)簡單的基于 Windows操作系統(tǒng)的入侵檢測系統(tǒng)的 實(shí)現(xiàn) 方法。通過對系統(tǒng)的測試證明了系統(tǒng)設(shè)計(jì)的正確性及可行性，它已經(jīng)初步具備了入侵檢測系統(tǒng)的基本框架，具有良好的檢 測性能和準(zhǔn)確的檢測結(jié)果。 不過因?yàn)楸救怂鶎W(xué)知識有限，該系統(tǒng)僅僅 還 是一個(gè)實(shí)驗(yàn)系統(tǒng)， 只能對基于量化的部分攻擊做出檢測 ，我會在今后繼續(xù)學(xué)習(xí)相關(guān)知識，對其進(jìn)行功能上的完善。 參考文獻(xiàn) [1]韓東海 .入侵檢測系統(tǒng)實(shí)例剖析 [M].北京：清華大學(xué)出版社 ,2021。 [2]RebeccaGB 著 ,陳明奇譯 .入侵檢測 [M].北京：人民郵電工業(yè)出版社 ,2021。 [3]唐正軍 .網(wǎng)絡(luò)入侵檢測系統(tǒng)的統(tǒng)計(jì)與實(shí)現(xiàn) [M].北京：電子工業(yè)出版社 ,2021。 [4]唐正軍 .入侵檢測技術(shù)導(dǎo)論 [M].北京 ： 機(jī)械工業(yè)出版社 ,2021。 [5]趙俊忠 .基于免疫機(jī)制的入侵檢測系統(tǒng)模型研究 [D].北京 :北京交通大學(xué) ,2021。 [6]徐志偉 ,馮百明 ,李偉 .網(wǎng)格計(jì)算技術(shù) [M].北京 :電子工業(yè)出版社 ,2021。 [7]陳志文 ,王開云 ,姜建國 .網(wǎng)絡(luò)入侵檢測系統(tǒng)的警報(bào)合成算法設(shè)計(jì) [J].信息與電子工程 ,2021,(3):182185。 第 23 頁 共 24 頁 致 謝 本文是在 熊淑華 老師 和 張金全 老師 的熱情關(guān)心和指導(dǎo)下完成的，他 們 淵博的知識和嚴(yán)謹(jǐn)?shù)闹螌W(xué)作風(fēng)使我受益匪淺，對順利完成本課題起到了極大的作用。在此向他 們 表示我最衷心的感謝！ 在論文完成過程中，本人還得到了 魏云柯 同學(xué)的熱 心幫助，本人向他表示深深的謝意！ 最后向在百忙之中評審本文的各位專家、老師表示衷心的感謝！ 作者簡介： 姓 名： 金國強(qiáng) 性別： 男 出生年月： 1984 年 7 月 民族： 漢 Email： 第 24 頁 共 24 頁 聲 明 本論文的工作是 2021 年 2 月至 2021 年 6 月在成都信息工程學(xué)院網(wǎng)絡(luò)工程系完成的。文中除了特別加以標(biāo)注地方外，不包含他人已經(jīng) 發(fā)表或撰寫過的研究成果，也不包含為獲得成都信息工程學(xué)院或其他教學(xué)機(jī)構(gòu)的學(xué)位或證書而使用過的材料。除非另有說明，本文的工作是原始性工作。 關(guān)于學(xué)位論文使用權(quán)和研究成果知識產(chǎn)權(quán)的說明 本人完全了解成都信息工程學(xué)院有關(guān)保管使用學(xué)位論文的規(guī)定，其中包括： （ 1）學(xué)校有權(quán)保管并向有關(guān)部門遞交學(xué)位論文的原件與復(fù)印件。 （ 2）學(xué)?？梢圆捎糜坝?、縮印或其他復(fù)制方式保存學(xué)位論文。 （ 3）學(xué)校可以學(xué)術(shù)交流為目的復(fù)制、贈送和交換學(xué)位論文。 （ 4）學(xué)?？稍试S學(xué)位論文被查閱或借閱。 （ 5）學(xué)?？梢怨紝W(xué)位論文的全部或部分內(nèi)容（保密學(xué) 位論文在解密后遵守此規(guī)定）。 除非另有科研合同和其他法律文書的制約，本論文的科研成果屬于成都信息工程學(xué)院。 特此聲明！ 作者簽名： 年 月 日