個人入侵檢測系統(tǒng)的實(shí)現(xiàn)有源程序代碼樣本

個人入侵檢測系統(tǒng)實(shí)現(xiàn)(有源程序代碼)源程序代碼等全套設(shè)計聯(lián)系各專業(yè)均有分類號:TP393UDC:D10621-408-5862-0密級:公開編號:8>031288成都信息工程學(xué)院學(xué)位論文個人入侵檢測系統(tǒng)實(shí)現(xiàn)論文作者姓名: 金國強(qiáng)申請學(xué)位專業(yè): 計算機(jī)科學(xué)與技術(shù)申請學(xué)位類別: 工學(xué)學(xué)士指引教師姓名(職稱): 熊淑華(副專家)論文提交日期: 6月9日個人入侵檢測系統(tǒng)實(shí)現(xiàn)摘要入侵檢測系統(tǒng)(IDS)可以對系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時檢測,及時發(fā)現(xiàn)闖入系統(tǒng)或網(wǎng)絡(luò)入侵者,也可防止合法顧客對資源誤操作。本論文從入侵檢測基本理論和入侵檢測中核心技術(shù)出發(fā),重要研究了一種簡樸基于網(wǎng)絡(luò)windows平臺上個人入侵檢測系統(tǒng)實(shí)現(xiàn)PIDS,PersonalIntrusionDetectionSystem。論文一方面分析了當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀,簡介了入侵檢測技術(shù)歷史以及當(dāng)前入侵檢測系統(tǒng)核心理論。分析了Windows網(wǎng)絡(luò)體系構(gòu)造以及開發(fā)工具Winpcap數(shù)據(jù)包捕獲和過濾構(gòu)造。最后在Winpcap系統(tǒng)環(huán)境下實(shí)現(xiàn)本系統(tǒng)設(shè)計。本系統(tǒng)采用異常檢測技術(shù),通過Winpcap截取實(shí)時數(shù)據(jù)包,同步從截獲IP包中提取出概述性事件信息并傳送給入侵檢測模塊,采用量化分析辦法對信息進(jìn)行分析。系統(tǒng)在實(shí)際測試中表白對于具備量化特性網(wǎng)絡(luò)入侵具備較好檢測能力。最后歸納出系統(tǒng)現(xiàn)階段存在問題和改進(jìn)意見,并依照系統(tǒng)功能提出了后續(xù)開發(fā)方向。核心詞:網(wǎng)絡(luò)安全;入侵檢測;數(shù)據(jù)包捕獲;PIDSImplementationofPersonalIntrusionDetectionSystemAbstractTheIntrusionDetectionSystemIDScandetectthesystemorthenetworkresourcesonthereal-time，discovertheintruderwhointendstoenterintoasystemoranetworkwithoutwarrantintimeandpreventusersfromwrongoperation.Basedonthebasictheoryoftheintrusiondetectionandthecoretechnologyofintrusiondetection，awayoftherealizationofasimplePersonalIntrusionDetectionSystemPIDS，whichbasedonWindowsplatform，iswellresearched.Thecurrentsecuritystatusofthenetworkisanalyzedfirstly，andthenthehistoryofintrusiondetectiontechnologyandthecurrentcoretheoryoftheintrusiondetectionsystemareintroduced.Atlast，thenetworkarchitectureonWindowsaswellasthestructureofcapturingandfilteringdatapacketsbyWinpcap，atoolondevelopmentisintroduced.Afterthat，thesystemisrealizedundertheWinpcapsystemenvironment.Theabnormaldetectiontechnologyisusedinthesystem.AftercatchingdatapacketswithWinpcapinreal-time，extractingprobabilisticinformationabouteventsfromtheinterceptedIPpacketsandsendingthemtotheintrusiondetectionmodule，informationisanalyzedbymethodofquantitativeanalysis.Inactualsystemtesting，thesystemshowsagoodabilityondetectingthequantitativecharacteristicsofnetworkintrusion.Finally，theexistedproblemsandoursuggestionduringthisstageissummedupandaccordingtothefunctionofthesystem，thepropositionisgivenaboutthefuturedirection.Keywords：Networksecurity，Intrusiondetection，Packagecatching，PIDS目錄論文總頁數(shù):24頁1 引言 11.1 網(wǎng)絡(luò)安全概述 11.1.1 網(wǎng)絡(luò)安全問題產(chǎn)生 11.1.2 網(wǎng)絡(luò)信息系統(tǒng)面臨安全威脅 11.1.3 對網(wǎng)絡(luò)個人主機(jī)襲擊 21.2 入侵檢測技術(shù)及其歷史 31.2.1 入侵檢測(IDS)概念 31.2.2 入侵檢測系統(tǒng)分類 41.2.3 入侵檢測模型 51.2.4 入侵檢測過程分析 61.2.5 入侵檢測發(fā)展歷史 61.3 個人入侵檢測系統(tǒng)定義 71.4 系統(tǒng)研究意義和辦法 72 個人入侵檢測系統(tǒng)設(shè)計 72.1 數(shù)據(jù)包捕獲模塊 72.2 數(shù)據(jù)解析模塊 112.3 數(shù)據(jù)分析模塊 122.4 分析成果記錄 132.5 報警解決模塊 133 個人入侵檢測系統(tǒng)實(shí)現(xiàn) 133.1 系統(tǒng)總體構(gòu)造 133.2 數(shù)據(jù)包捕獲模塊實(shí)現(xiàn) 143.3 解碼數(shù)據(jù)包模塊實(shí)現(xiàn) 153.4 分析數(shù)據(jù)包模塊實(shí)現(xiàn) 163.5 分析成果記錄并告警 204 個人入侵檢測系統(tǒng)應(yīng)用實(shí)例分析 21結(jié)論 22參照文獻(xiàn) 22致謝 23聲明 24引言網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全問題產(chǎn)生可以從不同角度對網(wǎng)絡(luò)安全作出不同解釋。普通意義上,網(wǎng)絡(luò)安全是指信息安全和控制安全兩某些。國際原則化組織把信息安全定義為“信息完整性、可用性、保密性和可靠性”;控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制?；ヂ?lián)網(wǎng)與生俱有開放性、交互性和分散性特性使人類所憧憬信息共享、開放、靈活和迅速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了抱負(fù)空間,網(wǎng)絡(luò)技術(shù)迅速發(fā)展和廣泛應(yīng)用,為人類社會進(jìn)步提供了巨大推動力。然而,正是由于互聯(lián)網(wǎng)上述特性,產(chǎn)生了許多安全問題:1信息泄漏、信息污染、信息不易受控。例如,資源未授權(quán)侵用、未授權(quán)信息流浮現(xiàn)、系統(tǒng)回絕信息流和系統(tǒng)否認(rèn)等,這些都是信息安全技術(shù)難點(diǎn)。2在網(wǎng)絡(luò)環(huán)境中,某些組織或個人出于某種特殊目,進(jìn)行信息泄密、信息破壞、信息侵權(quán)和意識形態(tài)信息滲入,甚至通過網(wǎng)絡(luò)進(jìn)行政治顛覆等活動,使國家利益、社會公共利益和各類主體合法權(quán)益受到威脅。3網(wǎng)絡(luò)運(yùn)用趨勢是全社會廣泛參加,隨之而來是控制權(quán)分散管理問題。由于人們利益、目的、價值分歧,使信息資源保護(hù)和管理浮現(xiàn)脫節(jié)和真空,從而使信息安全問題變得廣泛而復(fù)雜。4隨著社會重要基本設(shè)施高度信息化,社會“命脈”和核心控制系統(tǒng)有也許面臨更大威脅。網(wǎng)絡(luò)信息系統(tǒng)面臨安全威脅當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)面臨安全威脅重要有:1非法使用服務(wù):這種襲擊目在于非法運(yùn)用網(wǎng)絡(luò)能力,網(wǎng)絡(luò)上非授權(quán)訪問應(yīng)當(dāng)是不也許。不幸是,用于在網(wǎng)絡(luò)上共享資源及信息工具、程序存在許多安全漏洞,而運(yùn)用了這些漏洞就可以對系統(tǒng)進(jìn)行訪問了。2身份冒充;這種襲擊著眼點(diǎn)在于網(wǎng)絡(luò)中信任關(guān)系,重要有地址偽裝IP欺騙和顧客名假冒。3數(shù)據(jù)竊取:指所保護(hù)重要數(shù)據(jù)被非法顧客所獲取,如入侵者運(yùn)用電磁波輻射或搭線竊聽等方式截獲顧客口令、帳號等重要敏感信息。4破壞數(shù)據(jù)完整性:指通過非法手段竊得系統(tǒng)一定使用權(quán)限,并刪除、修改、偽造某些重要信息,以干擾顧客正常使用或便于入侵者進(jìn)一步襲擊。對網(wǎng)絡(luò)個人主機(jī)襲擊對方一方面通過掃描來查找可以入侵機(jī)器,即漏洞探測;接著擬定該機(jī)器IP地址;然后運(yùn)用相應(yīng)襲擊工具發(fā)起某種襲擊。網(wǎng)絡(luò)嗅探,嗅探器是一種網(wǎng)絡(luò)監(jiān)聽工具(如:sniffer),該工具運(yùn)用計算機(jī)網(wǎng)絡(luò)接口可以截獲其她計算機(jī)數(shù)據(jù)信息。嗅探器工作在網(wǎng)絡(luò)環(huán)境底層,它會攔截所有正在網(wǎng)絡(luò)上傳送數(shù)據(jù),并且通過相應(yīng)軟件實(shí)時分析這些數(shù)據(jù)內(nèi)容,進(jìn)而明確所處網(wǎng)絡(luò)狀態(tài)和整體布局。在合理網(wǎng)絡(luò)中,嗅探器對系統(tǒng)管理員而言至關(guān)重要,通過嗅探器可以監(jiān)視數(shù)據(jù)流動狀況以及網(wǎng)絡(luò)傳播信息,從而為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)提供寶貴信息。然而,如果黑客使用嗅探器,她可以獲得和系統(tǒng)管理員同樣重要而敏感信息,(如:在某局域網(wǎng)上,嗅探器可以很輕松地截獲在網(wǎng)上傳送顧客姓名、口令、信用卡號碼和帳號等從而對網(wǎng)絡(luò)安全構(gòu)成威脅。其工作原理是:在一種共享介質(zhì)網(wǎng)絡(luò)中如以太網(wǎng),一種網(wǎng)段上所有網(wǎng)絡(luò)接口均能訪問介質(zhì)上傳播所有數(shù)據(jù)。每個網(wǎng)絡(luò)接口硬件地址與其她網(wǎng)絡(luò)接口硬件地址不同,同步每個網(wǎng)絡(luò)至少尚有一種廣播地址。廣播地址并不相應(yīng)于某個詳細(xì)網(wǎng)絡(luò)接口,而是代表所有網(wǎng)絡(luò)接口。當(dāng)顧客發(fā)送數(shù)據(jù)時,這些數(shù)據(jù)就會發(fā)送到局域網(wǎng)上所有可用機(jī)器。在普通狀況下,網(wǎng)絡(luò)上所有機(jī)器都可以“聽”到通過流量,但對不屬于自己數(shù)據(jù)硬件地址不予響應(yīng)。換句話說,工作站A不會捕獲屬于工作站B數(shù)據(jù),而是簡樸地忽視這些數(shù)據(jù)。當(dāng)發(fā)送者但愿引起網(wǎng)絡(luò)中所有主機(jī)操作系統(tǒng)注意時,她就使用“廣播地址”。因而,在正常狀況下,一種合法網(wǎng)絡(luò)接口應(yīng)當(dāng)只響應(yīng)這樣兩種數(shù)據(jù)幀:一是幀目的區(qū)域具備和本地網(wǎng)絡(luò)接口相匹配硬件地址,二是幀目的區(qū)域具備“廣播地址”。在接受到上面兩種狀況數(shù)據(jù)幀時,主機(jī)通過CPU產(chǎn)生硬件中斷,該中斷能引起操作系統(tǒng)注意,然后將幀中所包括數(shù)據(jù)傳送給系統(tǒng)作進(jìn)一步解決。而嗅探器就是一種能將本地計算機(jī)狀態(tài)設(shè)成“混雜Promiscuous”狀態(tài)軟件,當(dāng)本機(jī)處在這種方式時,該機(jī)具備“廣播地址”,它對所有遭遇到每一種幀都產(chǎn)生硬件中斷以便提示操作系統(tǒng)解決流經(jīng)該網(wǎng)段每一報文包。在該方式下,網(wǎng)絡(luò)接口就可以捕獲網(wǎng)絡(luò)上所有數(shù)據(jù)幀,從而可以達(dá)到監(jiān)聽目?；亟^服務(wù)襲擊DenialofService,簡稱DoS,是指占據(jù)大量共享資源(如:解決器、磁盤空間、CPU、打印機(jī)),使系統(tǒng)沒有剩余資源給其她顧客,從而使服務(wù)祈求被回絕,導(dǎo)致系統(tǒng)運(yùn)營遲緩或癱瘓。其襲擊目是為完畢其她襲擊做準(zhǔn)備。其襲擊原理是:在回絕服務(wù)襲擊中,惡意顧客向服務(wù)器傳送眾多規(guī)定確認(rèn)信息,使服務(wù)器里充斥著這種無用信息。所有這些祈求地址都是虛假,以至于服務(wù)器試圖回傳時,卻無法找到顧客。服務(wù)器于是暫時等待,有時超過一分鐘,然后再切斷連接。服務(wù)器切斷連接后,襲擊者又發(fā)送新一批虛假祈求,該過程周而復(fù)始,最后使網(wǎng)站服務(wù)器充斥大量規(guī)定回答信息,消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源,導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常網(wǎng)絡(luò)服務(wù)。典型DOS襲擊技術(shù),如TCP/SYN襲擊,該襲擊作為一種回絕服務(wù)襲擊存在時間己經(jīng)有20近年了。但是,隨著技術(shù)不斷進(jìn)步,SYN襲擊也不斷被更多黑客所理解并運(yùn)用。其原理是基于連接時三次握手,如果黑客機(jī)器發(fā)出包源地址是一種虛假IP地址,ISP主機(jī)發(fā)出確認(rèn)祈求包ACK/SYN就找不到目的地址,如果這個確認(rèn)包始終沒找到目的地址,那么也就是目的主機(jī)無法獲得對方回答ACK包。而在缺省超時時間范疇內(nèi),主機(jī)一某些資源要花在等待這個ACK包響應(yīng)上,如果短時間內(nèi)主機(jī)接到大量來自虛假IP地址SYN包,它就要占有大量資源來解決這些錯誤等待,最后成果就是系統(tǒng)資源耗盡以致癱瘓。特洛伊木馬來源于希臘神話,講述是通過木馬血屠特洛伊城故事。這一故事形象地闡明了木馬程序特點(diǎn)。在計算機(jī)安全學(xué)中,特洛伊木馬指是一種計算機(jī)程序,它表面上具備某種有用功能,事實(shí)上卻隱藏著可以控制顧客計算機(jī)系統(tǒng),危害系統(tǒng)安全破壞性指令,特洛伊木馬代表了一種限度較高危險。當(dāng)這種程序進(jìn)入系統(tǒng)后,便有也許給系統(tǒng)帶來危害。在特洛伊木馬程序中插入代碼在別程序中依然能存在,但只在藏身程序中進(jìn)行破壞性活動。代碼可以在主程序特權(quán)范疇內(nèi)從事任何破壞行為,使用自身或者其她程序進(jìn)行操作。其工作原理實(shí)質(zhì)是,特洛伊木馬只是一種網(wǎng)絡(luò)客戶/服務(wù)程序。網(wǎng)絡(luò)客戶/服務(wù)模式原理是一臺主機(jī)服務(wù)器提供服務(wù),另一臺主機(jī)客戶機(jī)接受服務(wù)。作為服務(wù)器主機(jī)普通會打開一種默認(rèn)端口并進(jìn)行監(jiān)聽,如果有客戶機(jī)向服務(wù)器這一端口提出連接祈求,服務(wù)器上相應(yīng)程序就會自動運(yùn)營,來應(yīng)答客戶機(jī)祈求,此程序稱為守護(hù)進(jìn)程。對于木馬來說,被控制端是一臺服務(wù)器,控制端則是一臺客戶機(jī)。黑客經(jīng)慣用欺騙手段引誘目的對象運(yùn)營服務(wù)器端程序,黑客一旦成功地侵入了顧客計算機(jī)后,就會在計算機(jī)系統(tǒng)中隱藏一種會在Windows啟動時悄悄運(yùn)營程序,采用服務(wù)器/客戶機(jī)運(yùn)營方式,從而達(dá)到在顧客上網(wǎng)時控制顧客計算機(jī)目。入侵檢測技術(shù)及其歷史入侵檢測(IDS)概念1980年,詹姆斯?安德森(JamesP.Anderson)第一次系統(tǒng)闡述了入侵檢測概念,并將入侵行為分為外部?透、內(nèi)部?透和不法行為三種,還提出了運(yùn)用審計數(shù)據(jù)監(jiān)視入侵活動思想。Anderson將入侵嘗試或威脅定義為:潛在、有預(yù)謀、未經(jīng)授權(quán)訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用企圖。而入侵檢測定義為:發(fā)現(xiàn)非授權(quán)使用計算機(jī)個體(如“黑客”)或計算機(jī)系統(tǒng)合法顧客濫用其訪問系統(tǒng)權(quán)利以及企圖實(shí)行上述行為個體。執(zhí)行入侵檢測任務(wù)程序即是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)也可以定義為:檢測企圖破壞計算機(jī)資源完整性,真實(shí)性和可用性行為軟件。入侵檢測系統(tǒng)執(zhí)行重要任務(wù)涉及:監(jiān)視、分析顧客及系統(tǒng)活動;審計系統(tǒng)構(gòu)造和弱點(diǎn);辨認(rèn)、反映已知攻打活動模式,向有關(guān)人士報警;記錄分析異常行為模式;評估重要系統(tǒng)和數(shù)據(jù)文獻(xiàn)完整性;審計、跟蹤管理操作系統(tǒng),辨認(rèn)顧客違背安全方略行為。入侵檢測普通分為三個環(huán)節(jié):信息收集、數(shù)據(jù)分析、響應(yīng)。入侵檢測目:1辨認(rèn)入侵者;2辨認(rèn)入侵行為;3檢測和監(jiān)視以實(shí)行入侵行為;4為對抗入侵提供信息,制止入侵發(fā)生和事態(tài)擴(kuò)大。入侵檢測系統(tǒng)分類既有IDS分類,大都基于信息源和分析辦法。為了體現(xiàn)對IDS從布局、采集、分析、響應(yīng)等各個層次及系統(tǒng)性研究方面問題,在這里采用五類原則:控制方略、同步技術(shù)、信息源、分析辦法、響應(yīng)方式。按照控制方略分類控制方略描述了IDS各元素是如何控制,以及IDS輸入和輸出是如何管理。按照控制方略IDS可以劃分為,集中式IDS、某些分布式IDS和全某些布式IDS。在集中式IDS中,一種中央節(jié)點(diǎn)控制系統(tǒng)中所有監(jiān)視、檢測和報告。在某些分布式IDS中,監(jiān)控和探測是由本地一種控制點(diǎn)控制,層次似將報告發(fā)向一種或各種中心站。在全分布式IDS中,監(jiān)控和探測是使用一種叫“代理”辦法,代理進(jìn)行分析并做出響應(yīng)決策。按照同步技術(shù)分類同步技術(shù)是指被監(jiān)控事件以及對這些事件分析在同一時間進(jìn)行。按照同步技術(shù)劃分,IDS劃分為間隔批任務(wù)解決型IDS和實(shí)時持續(xù)性IDS。在間隔批任務(wù)解決型IDS中,信息源是以文獻(xiàn)形式傳給分析器,一次只解決特定期間段內(nèi)產(chǎn)生信息,并在入侵發(fā)生時將成果反饋給顧客。諸多初期基于主機(jī)IDS都采用這種方案。在實(shí)時持續(xù)型IDS中,事件一發(fā)生,信息源就傳給分析引擎,并且立即得到解決和反映。實(shí)時IDS是基于網(wǎng)絡(luò)IDS首選方案。按照信息源分類按照信息源分類是當(dāng)前最通用劃分辦法,它分為基于主機(jī)IDS、基于網(wǎng)絡(luò)IDS和分布式IDS。基于主機(jī)IDS通過度析來自單個計算機(jī)系統(tǒng)系統(tǒng)審計蹤跡和系統(tǒng)日記來檢測襲擊?；谥鳈C(jī)IDS是在核心網(wǎng)段或互換部位通過捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測襲擊。分布式IDS,可以同步分析來自主機(jī)系統(tǒng)日記和網(wǎng)絡(luò)數(shù)據(jù)流,系統(tǒng)由各種部件構(gòu)成,采用分布式構(gòu)造。按照分析辦法分類按照分析辦法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型IDS中,一方面建立一種對過去各種入侵辦法和系統(tǒng)缺陷知識數(shù)據(jù)庫,當(dāng)收集到信息與庫中原型相符合時則報警。任何不符合特定條件活動將會被以為合法,因而這樣系統(tǒng)虛警率很低。異常檢測型IDS是建立在如下假設(shè)基本之上,即任何一種入侵行為都能由于其偏離正?；蛘咚瓮到y(tǒng)和顧客活動規(guī)律而被檢測出來。因此它需要一種記錄合法活動數(shù)據(jù)庫,由于庫有限性使得虛警率比較高。按照響應(yīng)方式分類按照響應(yīng)方式IDS劃分為積極響應(yīng)IDS和被動響應(yīng)IDS。當(dāng)特定入侵被檢測屆時,積極IDS會采用如下三種響應(yīng):收集輔助信息;變化環(huán)境以堵住導(dǎo)致入侵發(fā)生漏洞;對襲擊者采用行動(這是一種不被推薦做法,由于行為有點(diǎn)過激)。被動響應(yīng)IDS則是將信息提供應(yīng)系統(tǒng)顧客,依托管理員在這一信息基本上采用進(jìn)一步行動。入侵檢測模型美國斯坦福國際研究所(SRI)//.ning于1986年初次提出一種入侵檢測模型,該模型檢測辦法就是建立顧客正常行為描述模型,并以此同當(dāng)前顧客活動審計記錄進(jìn)行比較,如果有較大偏差,則表達(dá)有異常活動發(fā)生。這是一種基于記錄檢測辦法。隨著技術(shù)發(fā)展,日后人們又提出了基于規(guī)則檢測辦法。結(jié)合這兩種辦法長處,人們設(shè)計出諸多入侵檢測模型。通用入侵檢測構(gòu)架(CommonIntrusionDetectionFramework簡稱CIDF)組織,試圖將既有入侵檢測系統(tǒng)原則化,CIDF闡述了一種入侵檢測系統(tǒng)通用模型(普通稱為CIDF模型,如圖1所示)。它將一種入侵檢測系統(tǒng)分為如下四個組件:事件產(chǎn)生器(eventgenerators),用e盒表達(dá);事件分析器(eventanalyzers),用a盒表達(dá);響應(yīng)單元(responseunits),用r盒表達(dá);事件數(shù)據(jù)庫(eventdatabases),用d盒表它將需要分析數(shù)據(jù)通稱為事件,事件可以是基于網(wǎng)絡(luò)數(shù)據(jù)包也可以是基于主機(jī)系統(tǒng)日記中信息。事件產(chǎn)生器目是從整個計算機(jī)環(huán)境中獲得事件,并向系統(tǒng)其他某些提供此事件。事件分析器分析得到事件并產(chǎn)生分析成果。響應(yīng)單元則是對分析成果做出反映功能單元,它可以做出切斷連接、修改文獻(xiàn)屬性等強(qiáng)烈反映。事件數(shù)據(jù)庫是存儲各種中間和最后數(shù)據(jù)地方通稱,它可以是復(fù)雜數(shù)據(jù)庫也可以是簡樸文本文獻(xiàn)。圖1CIDF入侵檢測模型入侵檢測過程分析過程分為三某些:信息收集、信息分析和成果解決。1信息收集:入侵檢測第一步是信息收集,收集內(nèi)容涉及系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及顧客活動狀態(tài)和行為。由放置在不同網(wǎng)段傳感器或不同主機(jī)代理來收集信息,涉及系統(tǒng)和網(wǎng)絡(luò)日記文獻(xiàn)、網(wǎng)絡(luò)流量、非正常目錄和文獻(xiàn)變化、非正常程序執(zhí)行。2信息分析:收集到關(guān)于系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及顧客活動狀態(tài)和行為等信息,被送到檢測引擎,檢測引擎駐留在傳感器中,普通通過三種技術(shù)手段進(jìn)行分析:模式匹配、記錄分析和完整性分析。當(dāng)檢測到某種誤用模式時,產(chǎn)生一種告警并發(fā)送給控制臺。3成果解決:控制臺按照告警產(chǎn)生預(yù)先定義響應(yīng)采用相應(yīng)辦法,可以是重新配備路由器或防火墻、終結(jié)進(jìn)程、切斷連接、變化文獻(xiàn)屬性,也可以只是簡樸告警。入侵檢測發(fā)展歷史1980年JamesPAnderson在給一種保密客戶寫一份題為《計算機(jī)安全威脅監(jiān)控與監(jiān)視》技術(shù)報告中指出,審計記錄可以用于辨認(rèn)計算機(jī)誤用,她把威脅進(jìn)行了分類,第一次詳細(xì)闡述了入侵檢測概念。1984年到1986年喬治敦大學(xué)DorothyDenning和SRI公司計算機(jī)科學(xué)實(shí)驗(yàn)室PeterNeumann研究出了一種實(shí)時入侵檢測系統(tǒng)模型?IDESIntrusionDetectionExpertSystems入侵檢測專家系統(tǒng),是第一種在一種應(yīng)用中運(yùn)用了記錄和基于規(guī)則兩種技術(shù)系統(tǒng),是入侵檢測研究中最有影響一種系統(tǒng)。1989年,加州大學(xué)戴維斯分校ToddHeberlein寫了一篇論文《ANetworkSecurityMonitor》,該監(jiān)控器用于捕獲TCP/IP分組,第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源,因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式狀況下監(jiān)控異種主機(jī),網(wǎng)絡(luò)入侵檢測從此誕生。個人入侵檢測系統(tǒng)定義個人入侵檢測系統(tǒng)(PIDS),以網(wǎng)絡(luò)數(shù)據(jù)包作為分析數(shù)據(jù)源,采用異常檢測分析辦法。它只分析解決與個人主機(jī)關(guān)于IP數(shù)據(jù)包,它保護(hù)是個人主機(jī)系統(tǒng)。系統(tǒng)研究意義和辦法綜上,當(dāng)個人顧客接入Internet時,個人機(jī)安全就將面臨著襲擊威脅。因而,個人顧客重要數(shù)據(jù)、機(jī)密文獻(xiàn)等需要安全保護(hù)。靜態(tài)防御辦法,如個人防火墻等,已不能滿足個人顧客需求,個人顧客需要一種更全面?zhèn)€人安全防范體系。如果把入侵檢測技術(shù)應(yīng)用到個人機(jī)安全防范中,它將與個人防火墻一起為個人顧客提供一種更安全動態(tài)防范體系。本文闡述就是在Windows下實(shí)現(xiàn)個人入侵檢測系統(tǒng)PIDS。本系統(tǒng)采用基于網(wǎng)絡(luò)異常檢測辦法入侵檢測技術(shù),使用量化分析辦法來檢測顧客行為。在總結(jié)出正常行為規(guī)律基本上,檢查入侵和濫用行為特性與其之間差別,以此來判斷與否有入侵行為。個人入侵檢測系統(tǒng)設(shè)計數(shù)據(jù)包捕獲模塊網(wǎng)絡(luò)入侵檢測系統(tǒng)要分析對象是網(wǎng)絡(luò)中數(shù)據(jù)包。因此咱們就需要對流經(jīng)網(wǎng)絡(luò)數(shù)據(jù)包捕獲并加以分析,這樣才干得到實(shí)現(xiàn)入侵檢測功能。對于不同操作系統(tǒng)有許多不同數(shù)據(jù)包捕獲辦法。在本系統(tǒng)中,采用了windows下Winpcap網(wǎng)絡(luò)驅(qū)動開發(fā)包,它是Windows平臺下一種免費(fèi)、公共網(wǎng)絡(luò)驅(qū)動開發(fā)包。開發(fā)Winpcap這個項(xiàng)目目在于為Win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層能力。它提供了如下各項(xiàng)功能:1、捕獲原始數(shù)據(jù)報,涉及在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送/接受以及互相之間互換數(shù)據(jù)報2、在數(shù)據(jù)報發(fā)往應(yīng)用程序之前,按照自定義規(guī)則將某些特殊數(shù)據(jù)報過濾掉3、在網(wǎng)絡(luò)上發(fā)送原始數(shù)據(jù)報4、收集網(wǎng)絡(luò)通信過程中記錄信息Winpcap由三個模塊構(gòu)成:NPF，packet.dll，wpcap.dll。前一種工作在內(nèi)核層,后兩個工作在顧客層。第一種模塊是內(nèi)核某些NPFNetgroupPacketFilter,在Win95/98中它是一種VXD(虛擬設(shè)備驅(qū)動程序文獻(xiàn))文獻(xiàn),在WinNT/Win下是一種SYS文獻(xiàn)。它重要功能是過濾數(shù)據(jù)包,并把這些數(shù)據(jù)包原封不動地傳給顧客態(tài)模塊。固然也添加了某些系統(tǒng)特定標(biāo)志例如時間戳管理。這個過程中涉及了某些操作系統(tǒng)特有代碼。第二個模packet.dll用來在不同Win32平臺下提供一種通用公共包驅(qū)動接口。事實(shí)上,不同版本W(wǎng)indows平臺在內(nèi)核層模塊和顧客進(jìn)程之間接口不完全相似,packet.dll用于解決這些不同。提供了一套系統(tǒng)獨(dú)立API,調(diào)用packet.dll程序可以運(yùn)營在不同版本W(wǎng)indows平臺上而無需重新編譯。packet.dll尚有某些附加功能。它可執(zhí)行某些低層操作:如:獲得網(wǎng)卡名字,動態(tài)裝載驅(qū)動,得到例如機(jī)器網(wǎng)絡(luò)掩碼、硬件沖突等某些系統(tǒng)特定信息。Packet.dll和NPF都是系統(tǒng)有關(guān),在Win95/98和WinNT/等不同系統(tǒng)架構(gòu)Packet.dll會相應(yīng)有些變化。第三個模塊wpcap.dll是系統(tǒng)無關(guān),它提供了更高層、抽象函數(shù)。它涉及了某些例如過濾器生成、顧客級緩沖等其他高層函數(shù),增長了例如記錄和包發(fā)送等更高檔特性。因而程序員能解決兩種類型API:一套原始函數(shù)集,包括在packet.dll中,直接與內(nèi)核層調(diào)用匹配;另一套高層函數(shù)由wpcap.dll提供,便于顧客調(diào)用,功能更強(qiáng)大。程序員能隨意使用wpcap.dll,但只能在受限環(huán)境中直接使用packet.dll.總說來,Packet.dll直接映射了內(nèi)核調(diào)用。Wpcap.dll提供了更加和諧、功能更加強(qiáng)大函數(shù)調(diào)用。Winpcap詳細(xì)構(gòu)造圖2所示:圖2Winpcap詳細(xì)構(gòu)造正如在Windows網(wǎng)絡(luò)體系構(gòu)造中所闡釋,Win32網(wǎng)絡(luò)架構(gòu)基于NDISNetworkDriveInterfaceSpecification網(wǎng)絡(luò)驅(qū)動程序接口原則。NDIS工作在Windows內(nèi)核網(wǎng)絡(luò)某些最底層。捕獲進(jìn)程核心必要工作在內(nèi)核層,先于合同棧之前解決包。BPF被網(wǎng)卡驅(qū)動程序直接調(diào)用,規(guī)定NIC設(shè)備驅(qū)動程序遵從某些所謂“BPFBerkeleyPacketFilter驅(qū)動規(guī)范”。換句話說,它需要設(shè)備驅(qū)動可以直接調(diào)用BPFTap函數(shù),能控制所有通過網(wǎng)卡包發(fā)送或接受,能對過濾后包進(jìn)行復(fù)制。當(dāng)使用Winpcap進(jìn)行捕獲時,這種辦法明顯不行。由于Windows與BPF驅(qū)動規(guī)范有些不同:Windows不容許為了增長捕獲功能而變化操作系統(tǒng)和NIC驅(qū)動。因而,Winpcap把NetworkTap作為合同驅(qū)動放置在NDIS構(gòu)造上方。NDIS沒有從NPF中完全分離出底層,不能自動支持不同介質(zhì)類型,故需要以這種方式構(gòu)建。與NDIS交互使NPFNetGroupPacketFilter比原始BPF更加復(fù)雜,BPF通過一條簡樸回調(diào)函數(shù)與系統(tǒng)交互;在另一方面,NPF是合同棧一某些,就同其他網(wǎng)絡(luò)合同同樣與操作系統(tǒng)交互。然而,NPF獲得了更好執(zhí)行效果,其Tap比BPF還要運(yùn)營得快。同BPF同樣,當(dāng)包靜止時NPF把過濾器放入NIC驅(qū)動內(nèi)存中。另一種優(yōu)化辦法是NPF同步操作。異步調(diào)用不支持,因而顧客級存取經(jīng)常被阻塞。NPF不需要設(shè)立顧客級訪問緩沖隊(duì)列,這使驅(qū)動運(yùn)營得更快。圖3顯示了NPF在NDIS構(gòu)造中位置:可以看出Winpcap也是用NDIS,它將自己注冊為一種合同解決驅(qū)動。在原代碼driverentry里面能看到。NPF是Winpcap中核心某些,它完畢了大某些工作:將數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)中并導(dǎo)出捕獲數(shù)據(jù)包,交由顧客程序分析解決。圖3NDIS內(nèi)NPFWinpcap中NPF實(shí)現(xiàn)由于是以合同驅(qū)動程序模式來實(shí)現(xiàn),雖然從性能上看來并不是最始數(shù)據(jù)完全訪問。不同Windows系統(tǒng)有不同NDIS版本,NPF兼容Win2K及其后續(xù)WinXP版本下NDIS5,也兼容其她Windows平臺下NDIS3版本。NPF與操作系統(tǒng)之間通信普通是異步,NPF提供了一系列回調(diào)函數(shù)供操作系統(tǒng)在需要時調(diào)用。NPF提供了應(yīng)用程序所有I/O操作回調(diào)函數(shù),如:open,close,read,write等。NPF與NDIS之間通信也是異步.某些事件如當(dāng)數(shù)據(jù)包到達(dá)時是通過回調(diào)函數(shù)告知NPF這個例子中是Packetestapo,并且,NPF與NDIS和NIC驅(qū)動之間通信是非阻塞函數(shù)來實(shí)現(xiàn)。當(dāng)NPF調(diào)用NDIS函數(shù)時,調(diào)用及時返回;當(dāng)解決完畢時,NDIS再調(diào)用一種特定函數(shù)告知NPF.NPF對所有底層操作都提供了回調(diào)函數(shù)。圖4顯示了NPF基本構(gòu)造及其在Winpcap中工作模式。圖4NPF合同驅(qū)動Winpcap中過濾進(jìn)程由顧客級某些開始。它能接受一組顧客定義過濾規(guī)則例如接受所有UDP數(shù)據(jù)包,把它編譯成一套偽指令(例如,如果是IP包且合同類型等這些指令等于17.就返回“True"),把這些指令發(fā)送到內(nèi)核層過濾器,最后激活代碼。內(nèi)核層過濾器必要可以執(zhí)行這些指令;此外,它需要一種“BPF虛擬機(jī)”來執(zhí)行偽代碼從而對所有到來包進(jìn)行操作。這個核心層和BPF兼容過濾器是Winpcap獲得良好性能核心。NPF不同于BPF一種重要構(gòu)造差別就是選取了一種環(huán)形緩沖區(qū)作為核心緩沖區(qū).這有助于數(shù)據(jù)包快復(fù)制。但這種機(jī)制更難于管理。由于復(fù)制數(shù)據(jù)不再有固定大小Libpcap中,顧客緩沖區(qū)和核心緩沖區(qū)都是32K。當(dāng)數(shù)據(jù)從內(nèi)核緩沖區(qū)傳送到顧客緩沖區(qū)時,相似數(shù)量包被復(fù)制到內(nèi)核緩沖區(qū)中。它們是同步更新,而不是在之后。由于內(nèi)核某些較之緩沖區(qū)傳送有更高優(yōu)先級,能獨(dú)占CPU時,故復(fù)制過程從顧客層開始能釋放掉緩沖區(qū)已傳送某些。環(huán)形緩沖區(qū)容許所有容量來存儲數(shù)據(jù)包,前面談到一對BPF互換緩沖區(qū)只能用一半容量。整個緩沖區(qū)可以用一條簡樸Read指令讀取,必定減少了系統(tǒng)調(diào)用和在顧客、內(nèi)核模式之間上下文切換次數(shù)。由于一次上下文切換需要保護(hù)現(xiàn)場僅CPU描述符和任務(wù)狀態(tài)段開銷就接近數(shù)百個字節(jié),大批傳送會減少進(jìn)程開銷。但是一種太大顧客緩沖區(qū)不會帶來任何好處。當(dāng)可分派內(nèi)存太大時,上下文切換開銷反而可忽視不計了。Winpcap核心緩沖區(qū)比BPF大,普通為1M。一種小緩沖區(qū)會影響捕獲進(jìn)程。特別在一段時間里應(yīng)用進(jìn)程讀取數(shù)據(jù)速度不如捕獲進(jìn)程,并且數(shù)據(jù)要被傳送到磁盤,網(wǎng)絡(luò)流量在激增。內(nèi)核緩沖區(qū)和顧客緩沖區(qū)都能在運(yùn)營時間里變化。數(shù)據(jù)解析模塊在本模塊設(shè)計中,重要涉及了三方面知識:windows網(wǎng)絡(luò)體系構(gòu)造、TCP/IP合同,數(shù)據(jù)封裝和分用過程。TCP/IP參照模型與ISOInternationalStandardsOrganizationOSIOpenSystemsInterconnectionReferenceModel參照模型相比,要簡樸實(shí)用得多,也是當(dāng)前廣泛使用網(wǎng)絡(luò)參照模型。在TCP/IP參照模型中沒有明確數(shù)據(jù)鏈路層和物理層,而是將它們合為較為抽象“網(wǎng)絡(luò)設(shè)備互連”作為硬件基本,隨主機(jī)和網(wǎng)絡(luò)不同而不同。這種模型應(yīng)用范疇較廣,既可用于廣域網(wǎng).也可用于局域網(wǎng)。TCP/IP合同族,有諸多合同。當(dāng)應(yīng)用程序用TCP傳送數(shù)據(jù)是,數(shù)據(jù)被送入合同棧中,然后逐個通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。然后逐個通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對收到數(shù)據(jù)都要增長某些首部信息(有時還要增長尾部信息)。TCP傳給IP數(shù)據(jù)單元稱作TCP報文段或簡稱為TCP段(TCPsegment)。IP傳給網(wǎng)絡(luò)接口層數(shù)據(jù)單元稱作IP數(shù)據(jù)報。通過以太網(wǎng)傳播比特流稱作幀F(xiàn)rame。這就是普通說數(shù)據(jù)封裝過程。當(dāng)目主機(jī)收到一種以太網(wǎng)數(shù)據(jù)幀時,數(shù)據(jù)就開始從合同棧中由底向上升,同步去掉各層合同加上報文首部。每層合同盒都要去檢查報文首部中合同標(biāo)記,以擬定接受數(shù)據(jù)上層合同。這個過程稱作分用(Demultiplexing)。IP是TCP/IP合同族中最為核心合同。所有TCP、UDP、ICMP及IGMP數(shù)據(jù)都以IP數(shù)據(jù)報格式傳播。IP提供不可靠、無連接數(shù)據(jù)報傳送服務(wù)。IP各域含義如下：版本:當(dāng)前IP合同版本號,本論文采用版本號為4;首部長度:以32bit為單位包頭長度;服務(wù)類型:規(guī)定對本數(shù)據(jù)報解決方式,例如優(yōu)先權(quán)等;總長:以Byte為單位整個IP數(shù)據(jù)報長度;標(biāo)記:信源主機(jī)賦予每個IP數(shù)據(jù)報唯一標(biāo)記符號,用于控制分片及其重組;標(biāo)志和片偏移:同樣用于控制分片及其重組;生存時間:設(shè)立本數(shù)據(jù)報最大生存時間,以秒為單位;合同:表達(dá)創(chuàng)立本IP數(shù)據(jù)報數(shù)據(jù)區(qū)數(shù)據(jù)高層合同類型,如TCP,UDP等;頭標(biāo)校驗(yàn)和:用于保證頭標(biāo)數(shù)據(jù)完整性;源IP地址和目IP地址：分別指發(fā)送本數(shù)據(jù)報主機(jī)IP地址和接受本數(shù)據(jù)報主機(jī)IP地址;選項(xiàng):用于控制和測試,是IP數(shù)據(jù)報中可選某些,包括“源途徑”、“途徑記錄”、“時間戳”等幾種類型。TCP合同是網(wǎng)絡(luò)中應(yīng)用最為廣泛合同,許多應(yīng)用層合同都是在建立在TCP合同之上。TCP合同頭部信息如下:源端口:發(fā)送端TCP端標(biāo)語;目端口:接受端TCP端標(biāo)語;序號:指出段中數(shù)據(jù)在發(fā)送端數(shù)據(jù)流中位置;確認(rèn)號:指出本機(jī)但愿下一種接受字節(jié)序號;頭標(biāo)長度:以32bit為單位段頭標(biāo)長度,針對變長“選項(xiàng)”域設(shè)計;碼位:指出段目與內(nèi)容,不同各碼位置位有不同含義;窗口:用于告示接受端接受緩沖區(qū)大小;校驗(yàn)和:這是可選域,置0表達(dá)未選,全1表達(dá)校驗(yàn)和為伍;緊急指針:當(dāng)碼位URG置位時,指出緊急指針序號;UDP合同是英文UserDatagramProtocol縮寫,即顧客數(shù)據(jù)報合同,重要用來支持那些需要在計算機(jī)之間傳播數(shù)據(jù)網(wǎng)絡(luò)應(yīng)用。涉及網(wǎng)絡(luò)視頻會議系統(tǒng)在內(nèi)眾多客戶/服務(wù)器模式網(wǎng)絡(luò)應(yīng)用都需要使用UDP合同。UDP合同從問世至今已經(jīng)被使用了諸近年,雖然其最初光彩已經(jīng)被某些類似合同所掩蓋,但是雖然是在今天,UDP依然不失為一項(xiàng)非常實(shí)用和可行網(wǎng)絡(luò)傳播層合同。UDP數(shù)據(jù)報各域意義與TCP段中相應(yīng)域相似。只有校驗(yàn)和有些不同,除UDP數(shù)據(jù)報自身外,它還覆蓋一種附加“偽頭標(biāo)”。這個偽頭標(biāo)來自于IP報頭,涉及:源IP地址、信宿IP地址、合同類型、UDP長度及填充域。數(shù)據(jù)分析模塊本系統(tǒng)采用異常檢測量化分析辦法,把檢測規(guī)則和屬性以數(shù)值形式表達(dá)。在檢測中,采用計數(shù)辦法來描述顧客和系統(tǒng)行為某種屬性,這些計數(shù)值只能在一定范疇內(nèi)變化。例如:系統(tǒng)容許有限不成功注冊次數(shù)、一種特定類型網(wǎng)絡(luò)連接數(shù)、企圖訪問文獻(xiàn)次數(shù)、訪問文獻(xiàn)或目錄次數(shù)和訪問網(wǎng)絡(luò)系統(tǒng)次數(shù)。這個數(shù)值檢測以一種相對固定期間間隔例如1小時來度量顧客行為。在本系統(tǒng)中,分析器對解析數(shù)據(jù)包計算每一種包異常值,一旦發(fā)現(xiàn)異常值越限,則以為發(fā)生了異常襲擊,就將該包信息存入數(shù)據(jù)庫中。異常值由顧客行為歷史狀況來決定?；舅枷胧?普通狀況下,同一種顧客在一定期間內(nèi)連接本機(jī)端口數(shù)較少,如果這個連接數(shù)突然增大,這個地址異常值就增高。應(yīng)當(dāng)說,這并不是網(wǎng)絡(luò)人侵嚴(yán)格定義,它只是反映出被檢測數(shù)據(jù)包“異?！毕薅?。例如因網(wǎng)絡(luò)問題而使來自同一種IP地址數(shù)據(jù)突然增多時,這種檢測辦法也許會以為對方有異常行為。分析成果記錄用數(shù)據(jù)庫記錄異常數(shù)據(jù)包信息,用于后來分析與檢查。報警解決模塊將數(shù)據(jù)庫中信息及時響應(yīng),擬定入侵類型并進(jìn)行報警。個人入侵檢測系統(tǒng)實(shí)現(xiàn)系統(tǒng)總體構(gòu)造PIDS總體設(shè)計如圖5:圖5PIDS總體設(shè)計系統(tǒng)捕獲網(wǎng)絡(luò)中數(shù)據(jù)包,解碼IP、TCP、UDP頭部各字段信息,然后對解碼后數(shù)據(jù)進(jìn)行分析記錄,并對其做出判斷。系統(tǒng)將入侵信息記錄入數(shù)據(jù)庫,并通過告警窗口顯示。數(shù)據(jù)包捕獲模塊實(shí)現(xiàn)PIDS數(shù)據(jù)包捕獲是通過調(diào)用Winpcap中動態(tài)庫函數(shù)實(shí)現(xiàn)。使用pcap_findalldevs函數(shù)獲取網(wǎng)絡(luò)設(shè)備鏈表。獲取失敗終結(jié)程序并打印出錯誤報告,成功就打印出所有網(wǎng)絡(luò)設(shè)備信息以供選取。在選取好進(jìn)入網(wǎng)絡(luò)設(shè)備后,對該網(wǎng)絡(luò)設(shè)備進(jìn)行相應(yīng)配備,然后使用pcap_loop函數(shù)捕獲數(shù)據(jù)包。一方面獲得網(wǎng)卡信息: /*返回網(wǎng)絡(luò)設(shè)備鏈表,以供選取*/ ifpcap_findalldevs&alldevs，errbuf-1 fprintfstderr,"Errorinpcap_findalldevs：%s\n"，errbuf;exit1; /*選取列表*/ fordalldevs；d；dd-next printf"%d.%s\n"，++i，d-name;ifd-description printf"%s\n"，d-description;else printf"Nodescriptionavailable\n"; ifi0 printf"\nNointerfacesfound！MakesureWinPcapisinstalled.\n";return-1; printf"Entertheinterfacenumber1-%d:",i; scanf"%d"，&inum;接下來依照所選取數(shù)據(jù)進(jìn)入該網(wǎng)卡: fordalldevs，i0；iinum-1;dd-next，i++;對選取網(wǎng)卡進(jìn)行屬性定義:adhandlepcap_open_lived-name, //網(wǎng)卡名字 65536, //65536表達(dá)對所有數(shù)據(jù)捕獲 0, //網(wǎng)卡為混雜模式 1, //抓包時間間隔 errbuf //errorbuffer 設(shè)立過濾規(guī)則packet_filter[]"ip||udp"；連接并設(shè)立過濾器:pcap_compileadhandle，&fcode，packet_filter，1，netmask;pcap_setfilteradhandle，&fcode;最后使用回調(diào)函數(shù)捕獲并解析數(shù)據(jù)包: pcap_loopadhandle，0，packet_handler，NULL;解碼數(shù)據(jù)包模塊實(shí)現(xiàn)Winpcap捕獲到數(shù)據(jù)包后,依照對packet_handler函數(shù)操作可以對IP、TCP、UDP合同各字段信息進(jìn)行分析。數(shù)據(jù)構(gòu)造如下:/*IPv4頭*/typedefstructip_header u_char ver_ihl;//版本4bits+首部長度4bits u_char tos; //服務(wù)類型 u_shorttlen; //16位數(shù)據(jù)報長度(字節(jié)) u_shortidentification；/