QT特征入侵检测系统.docVIP

基于特征的主机入侵检测系统的设计与实现 摘要 设立防火墙和杀毒软件是保护计算机安全的主要手段，但随着操作系统的安全隐患被越来越多的发现，攻击者往往能绕开防火墙和杀毒软件来对目标进行攻击。从其他方面提高计算机安全性越来越迫切。基于该思想，设计了一个IDS（基于特征的入侵检测系统），目的是通过这个IDS监视并分析网络流量来发现攻击企图或者攻击行为，采取报警、回复假的不可达信息或断开连接等手段，来保护计算机安全。 本次设计完成了一个IDS的设计和实现，详细论述了该IDS的结构和功能，阐述了相关概念和设计原理，并给出了部分关键代码。最后总结了本次设计的IDS的优点和缺陷，从性能方面对本次设计进行了评价。 关键词：IDS；NIDS1 引言 1 1.1课题背景 1 1.2国内外研究现状 1 1.3本课题研究的意义 2 1.4本课题的研究方法 3 2 相关开发环境及技术 3 2.1 C++语言 3 2.2 VC++开发环境 3 3 基于特征的IDS的设计与实现 4 3.1 基于特征的IDS的特征 4 3.2包捕获模块 7 3.3包解码模块 8 3.4 预处理模块 10 3.4.1 初始化插件函数 10 3.4.2 预处理模块 12 3.5 检测模块 13 3.5.1 三维链表 13 3.5.2 ParseRule初始化函数 15 4 IDS的测试与评估 18 4.1 IDS的测试 18 4.2 本次IDS分析 22 结 论 22 参考文献 22 致 谢 24 声 明 25 选择输出模式 （log file，console, socket） 图3 模块间的数据流关系图 3.2包捕获模块 包捕获模块的功能是实现网络数据包的捕获功能，不同平台下使用不同的抓包工具,Win32平台下使用的是WinPcap，而Linux平台下使用的是LibPcap。由于snort在Linux平台上使用居多,鉴于WinPcap和LibPcap都是抓包工具区别不大所以这里以LibPcap为例进行介绍。IDS调用LibPcap的过程是在snort的主函数snort.c里的openpcap函数实现的。调用libpacp函数逻辑如图所示： 4 图10 IDS示例3 在一连串启动和初始化信息之后IDS便开始运行了，如图所示： 图11 IDS示例4 等待一段时间之后，可以关闭IDS查看检测到的信息，在命令提示符里按下Ctrl+C之后会提示是否停止操作，根据具体情况输入Y或者N，除此之外也会显示检测到的结果,如图所示： 图12 IDS示例5 Powered by 计算机毕业论文网 第 4 页 共 25 页 包捕获模块（Packet Capture Module）： （基于LibPcap或者WinPcap） 包解码模块 （Decoder Module） 预处理模块 （Preprocess Module） 继续检测 输出插件 （Output Plug-ins） 规则文件 Rulefiles 检测插件 （Detection Plug-ins） 选择输出模式 （log file，consol，socket） 缓冲 满 检测结束 检测引擎 Detection Engine） ProcessPackte() 数据包解析 Pcap_dispatch() 捕获包 Y Pcap_setfilter() 设置过滤器 N Pcap_lookupdev() 查找有效的网络设备 Pcap_complie() 将用户输入的字符串编译到过滤程序中 图4 libpcap的逻辑图 Pcap_open_live() 打开网络设备 Pcap_lookupnet() 获得网络地址及网络掩码 结束