基于J2SE的网络数据包截获与分析实现.pdfVIP

基于J2SE的网络数据包截获与分析实现 洪剑青 ，陆 虎 (1．镇江市高等专科学校，江苏 镇江 212003； 2．江苏科技大学 电子信息学院，江苏 镇江 212003) 摘 要：网络数据包截获、分析功能是实现网络型入侵检测系统的基础。简单介绍了如何采用相关技术实现网络数据包的截获、 分析，实现 网络特征信息的提取，并结合所开发的入侵误用检测系统给出了结果演示。该功能不仅能够作为入侵检测数据的预 处理，也能单独作为网络监控软件安装使用。 关键词 ：协议分析；JPcap；Winpcap MethodsofNetwork PacketsAnalysisBasedOn J2SE HONG Jian-qing， LU Hu ff．Mechen／calDepartmentofZhe~engCollsge,Zhe,2#angJiangsu212005China； 2 SchoolofElectronicsand]nfor,；；adon,Ja／ndsuUniversityofScienceendTechnol#gy,ZhenjiangJa／ngsu2atcos,China) Abstracrt： How t0captureandanalyzethe network data isthefoundationofNetwork IntrusionDetection．Throughpretreatmentthissoftware can extract usefulfeature from network data captured．By recombining and arranging， the data which can beused by theupper detection meth~sc be saved in theform of arecord．Notonly can thissoftwarebeusedasapretreatment software．butalso itcanbeused alone as a network monitorsoftware． Keywords： ProtocolAnalyze；JPcap；Winpcap 1引言 则是Windows平台上为数不多的功能强大且可以免费获 入侵检测系统根据检测数据的来源可分为主机型入侵 得的包捕获驱动软件之一 ，它是由意大利人 FulvioRisso 检测系统和网络型入侵检测系统。网络型入侵检测系统通 和LoftsDegioanni等人提出并实现的。 过侦听网络中的所有报文，并分析报文的内容、统计报文 2．1W inpcap 的流量特征来检测各种攻击行为。因此，数据截获模块是 目前，所 有 的IDS中数 据 截获 功 能都 是 基 于 网络入侵检测系统的基础 ，只有有效地截取流经本服务器 Libpcap(packetcapture library)，这是一个与实现无 的网络数据才能进一步地进行分析和判断。目前的入侵 关的访 问操作系统所提供 的分组捕获机制的分组捕获函 检测系统基本上都采用了Linux平台下的Libpcap这个 数库，WinPcap是Libpcap的Windows平台应用版本。 包捕获工具 ，如开放源码 的入侵检测工具 Sn0rt…，另外 WinPcap是集成于windowsNT／2000／XP 操作系统的 在如今众多的黑客技术中，嗅探器 (Sniffer)也是最常见 设备驱动程序 ，目的在于为win32应用程序提供访问网 的，采用Sniffe{ 工具可以对网络中的所有流量一览无余 ， 络底层的能力。 Sniffer工具实际上就是一个网络抓包工具，同时还可以 WinPcap 主要由三部分组成 ：一个基于BPF机制的 对抓到的包进行分析。 数据包