【正文】 侵檢測(cè)系統(tǒng)流程。入侵檢測(cè)的任務(wù)之一就是從這 些混合數(shù)據(jù)中找出是否有入侵的痕跡。 入侵檢測(cè)和其他的檢測(cè)技術(shù)有相同原理：從一組數(shù)據(jù)中，檢測(cè)出符合某一特點(diǎn)的數(shù)據(jù)。它Policy Protection Response Detectionon 通過對(duì)采集到的網(wǎng)絡(luò)數(shù)據(jù)在線或離線進(jìn)行分析，當(dāng)發(fā)現(xiàn)有入侵企圖或入侵行為時(shí)，能依據(jù)響應(yīng)規(guī)則做出發(fā)送入侵警報(bào)、記錄入侵事件、引誘轉(zhuǎn)發(fā)、中斷入侵連接甚至發(fā)動(dòng)入侵等響應(yīng)行為，同時(shí)還能提醒管理員采取進(jìn)一步防護(hù)措施。 圖 21 P2DR安全模型 入侵檢測(cè)的原理 入侵檢測(cè)系統(tǒng)（ IDS,Intrusion Detetion System）是通過對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，從而發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。當(dāng)發(fā)現(xiàn)入侵行為后，入侵檢測(cè)系統(tǒng)會(huì)通過響應(yīng)模塊改變系統(tǒng)的防護(hù)措施，改善系統(tǒng)的防護(hù)能力，從而實(shí)現(xiàn)動(dòng)態(tài)的系統(tǒng)安全模型。入侵檢測(cè)技術(shù)就是實(shí)現(xiàn) P2DR 模型中 ” Detection” 部分的主要技術(shù)手段。 PDR 是 Policy(策略 )、 Protection(防護(hù) )、 Detection(檢測(cè) )和 Response(響應(yīng) )的縮寫，特點(diǎn)是動(dòng)態(tài)性和基于時(shí)間的特性。 入侵檢測(cè)與 P2DR 模型 P2DR 模型是一個(gè)動(dòng)態(tài)的計(jì)算機(jī)系統(tǒng)安全理論模型。第一是機(jī)制與數(shù)據(jù)的分離，在現(xiàn)有機(jī)制不變的前提下能夠?qū)π碌墓暨M(jìn)行檢測(cè)。 安全性：入侵檢測(cè)系統(tǒng)自身必須安全，如果入侵檢測(cè)系統(tǒng)自身的安全性得不到保障，首先意味著信息的無(wú)效，而更嚴(yán)重的是入侵者控制了入侵檢測(cè)系統(tǒng)即獲得了對(duì)系統(tǒng)的控制權(quán) 。 一個(gè)完整的入侵檢測(cè)系統(tǒng)必須具備下列特點(diǎn)： 經(jīng)濟(jì)性：為了保證系統(tǒng)安全策略的實(shí)施而引入的入侵檢測(cè)系統(tǒng)必須不能妨礙系統(tǒng)的正常運(yùn)行（如系統(tǒng)性能）。我們可以給入侵檢測(cè)做一個(gè)簡(jiǎn)單的定義，入侵檢測(cè)就是對(duì)（網(wǎng)絡(luò)）系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性與可用性。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門。 2. 入侵檢測(cè)基礎(chǔ) 當(dāng)我們無(wú)法完全防止入侵時(shí)，那么只能希望系統(tǒng)在受到攻擊時(shí)，能盡快檢測(cè)出入侵，而且最好是實(shí)時(shí)的，以便可以采取相應(yīng)的措施來(lái)對(duì)付入侵，這就是入侵檢測(cè)系統(tǒng)要做的，它從計(jì)算機(jī)網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 第五部分，是對(duì)整個(gè)系統(tǒng)的測(cè)試與分析的總結(jié)。 第四部分，詳細(xì)介紹了檢測(cè)模塊的設(shè)計(jì)與實(shí)現(xiàn)以及系統(tǒng)集成后的運(yùn)行結(jié)果。 第二部分，主要介紹了入侵檢測(cè)相關(guān)的基礎(chǔ)知識(shí)、發(fā)展趨勢(shì)等與本文相關(guān)的理論。 雖然網(wǎng)絡(luò)安全已經(jīng)超越了純技術(shù)領(lǐng)域，但網(wǎng)絡(luò)安全技術(shù)仍然是解決網(wǎng)絡(luò)安全最重要的基礎(chǔ)和研究方向。計(jì)算機(jī)病毒的主要傳播途徑有：文件傳輸、軟盤拷貝、電子郵件等。 （ 5）反病毒技術(shù) 計(jì)算機(jī)病毒是一段具有極強(qiáng)破壞性的惡意代碼，它可以將自身納入其他程序中，以此來(lái)進(jìn)行隱藏，復(fù)制和傳播，從而破壞用戶文件，數(shù)據(jù)甚至硬件。訪問控制技術(shù)的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，它是保證網(wǎng)絡(luò)安全的重要策略之一。 （ 3）訪問控制技術(shù) 訪問控制是從計(jì)算機(jī)系統(tǒng)的處理能力方面對(duì)信息提供保護(hù)機(jī)制，它按照事先確定的規(guī)則決定主體對(duì)客體的訪問是否合法。 （ 2）鑒別技術(shù) 鑒別技術(shù)可以驗(yàn)證消息的完整性，有效的對(duì)抗冒充、非法訪問、重演等威脅。在公鑰密碼中，收發(fā)雙方使用的密鑰各不相同，密鑰的管理比較方便。對(duì)稱密碼算法有保密度高，加密速度快的優(yōu)點(diǎn)，但其 密鑰的分發(fā)則是一個(gè)比較復(fù)雜的問題。網(wǎng)絡(luò)中的數(shù)據(jù)加密，除了選擇加密算法和密鑰外，主要問題是加密 的方式以及實(shí)現(xiàn)加密的網(wǎng)絡(luò)協(xié)議層次和密鑰的分配管理。后者則有：防火墻、路由選擇、反病毒技術(shù)等。 網(wǎng)絡(luò)安全技術(shù) 如今已有大量的研究機(jī)構(gòu)、社會(huì)團(tuán)體、商業(yè)公司和政府部門投入到網(wǎng)絡(luò)安全的研究中，并將此納入到一個(gè)被稱為信息安全的研究領(lǐng)域。包括技術(shù)人員在網(wǎng)絡(luò)配置管理上的疏忽或錯(cuò)誤，網(wǎng)絡(luò)實(shí)際運(yùn)行效益和安全投入成本間的平衡抉擇，網(wǎng)絡(luò)用戶的安全管理缺陷等等。同時(shí)，市場(chǎng)的激烈競(jìng)爭(zhēng)，促使商家需要更快地推出產(chǎn)品，軟件的快速開發(fā)也增大了遺留更多隱患的可能性。現(xiàn)實(shí)中，即使是正常運(yùn)行了很長(zhǎng)時(shí)間的軟件，也會(huì)在特定的情況下出現(xiàn)漏洞。 （ 3）軟件質(zhì)量問題。 （ 2）網(wǎng)絡(luò)的飛速發(fā)展。網(wǎng)絡(luò)是一個(gè)有眾多環(huán)節(jié)構(gòu)成的復(fù)雜系統(tǒng)。因此主動(dòng)攻擊主要威脅信息的 完整性、可用性和真實(shí)性。在被動(dòng)攻擊中攻擊者只是觀察和竊取數(shù)據(jù)而不干擾信息流，攻擊不會(huì)導(dǎo)致對(duì) 系統(tǒng)中所含信息的任何改動(dòng)，而且系統(tǒng)的操作和狀態(tài)也不會(huì)被改變，因此被動(dòng)攻擊主要威脅信息的保密性。 這四種威脅可以劃分為兩大類，即被動(dòng)攻擊和主動(dòng)攻擊。 篡 改（ modification）：攻擊者故意篡改網(wǎng)絡(luò)上傳播的報(bào)文。 用密碼編碼學(xué)和網(wǎng)絡(luò)安全的觀點(diǎn)，我們把計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅歸納為以下四種： 截獲（ interception）：攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。攻擊者可能竊聽網(wǎng)絡(luò)上的信息，竊取用戶口令、數(shù)據(jù)庫(kù)信息，還可以篡改數(shù)據(jù)庫(kù)內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。即網(wǎng)絡(luò)數(shù)據(jù)包的捕獲與分析過程的設(shè)計(jì)與實(shí)現(xiàn)。 本文首先介紹了網(wǎng)絡(luò)入侵檢測(cè)的基本原理和實(shí)現(xiàn)入侵檢測(cè)的技術(shù)。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息、分析信息，查看是否有違反安全策略的行為和遭到襲擊的跡象。傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。傳統(tǒng)安全方法是采用盡可能多地禁止策略進(jìn)行防御，例如各種殺毒軟件、防火墻、身份認(rèn)證、訪問控制等，這些對(duì)防止非法入侵都起到了一定的作用，從系統(tǒng)安全管理的角度來(lái)說(shuō)，僅有防御是不夠好的，還應(yīng)采取主動(dòng)策略。 Data packet capture。它是整個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的重要組成部分，是響應(yīng)模塊設(shè)計(jì)的基礎(chǔ)，為響應(yīng)模塊提供需要的數(shù)據(jù)。 本文首先介紹入侵檢測(cè)系統(tǒng)的原理，并在此基礎(chǔ)上利用 Winpcap 開發(fā)包 ,在Windows 操作系統(tǒng)下實(shí)現(xiàn)了基于數(shù)據(jù)包分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的檢測(cè)模塊。 計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)國(guó)際化的問題，每年全球因計(jì)算機(jī)網(wǎng)絡(luò)的安全系統(tǒng)被破壞 而造成的經(jīng)濟(jì)損失高達(dá)數(shù)百億美元。 畢業(yè)設(shè)計(jì) ( 論文 ) 基于 Windows 入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì) 檢測(cè)模塊設(shè)計(jì) 論文作者姓名： 申請(qǐng)學(xué)位專業(yè)： 申請(qǐng)學(xué)位類別： 指導(dǎo)教師姓名（職稱）： 論文提交日期： 基于 windows 入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì) 檢測(cè)模塊設(shè)計(jì) 摘 要 當(dāng)今是信息時(shí)代，互聯(lián)網(wǎng)正在給全球帶來(lái)翻天覆地的變化。隨著 Inter在全球的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)的日益普及，網(wǎng)絡(luò)安全問題也顯得越來(lái)越突出。傳統(tǒng)的防火墻技術(shù)固然重要，但是，發(fā)展網(wǎng)絡(luò)入侵檢測(cè)及預(yù)警技術(shù)也同樣重要，它是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。該模塊完成了對(duì)共享網(wǎng)段中的數(shù)據(jù)包的捕獲和分析等功能。 關(guān)鍵詞 : 入侵檢測(cè)系統(tǒng)； 數(shù)據(jù)包捕獲；數(shù)據(jù)包分析 The Research and Design of Intrusion Detection System Based on Windows —— Design of Detective Module Abstract Nowadays, it is information age, and Inter brings the great change to the whole world. With Inter development at full speed, in the global, the popularization day by day of the work technology, the work security question bees more and more outstanding too. The security of puter work is a internationalize problem, the whole world lose up to tens of billion dollars every year caused by that the security system of the puter work is destroyed. Traditional fire wall technology is no doubt important, however, it is also important to develop the work intrusion detection and early warning technology. It is the rational supplement of the fire wall , and is helpful to deal with work attacks for system, thus offer protect to the attacks from inside, the attacks from outside and operations by mistake in real time. At first, the paper introduces the principle of intrusion detection system (IDS), and then gives the implementation of a work intrusion detective module based on packet of Winpcap of Windows. The module has the function of capture and analysis on data Packets in Share Network Segment and so on. It is an important part of the whole work intrusion detection system, which is the base of response module and is designed in order to supply the necessary data to the responsible module. Key words: Intrusion detection system。 Data packet analysis 目 錄 論文總頁(yè)數(shù)： 24頁(yè) 1．引 言 ................................................................... 2 ..................................................... 2 網(wǎng)絡(luò)安全面臨的威脅 ............................................. 2 網(wǎng)絡(luò)安全隱患的來(lái)源 ............................................. 3 網(wǎng)絡(luò)安全技術(shù) ................................................... 3 本文研究?jī)?nèi)容 ...................................................... 4 2. 入侵檢測(cè)基礎(chǔ) ............................................................. 5 入侵檢測(cè)的定義 .................................................... 5 入侵檢測(cè)與 P2DR模型 ................................................ 6 入侵檢測(cè)的原理 .................................................... 6 入侵檢測(cè)的分類 .................................................... 7 入侵檢測(cè)的發(fā)展趨勢(shì) ................................................. 9 3. 基于 Windows 入侵檢測(cè)系統(tǒng)的設(shè)計(jì) .......................................... 10 .............................................................. 10 ...................................................... 10 .......................................................... 11 4. 檢測(cè)模塊的設(shè)計(jì)與實(shí)現(xiàn) .................................................... 11 .......................................................... 11 Winpcap 軟件開發(fā)包簡(jiǎn)介 ...............................