第一篇：《入侵探測器通用技術條件》

1.主題內容與適用范圍

本標準規定了入侵探測器的通用技術要求和試驗方法，是設計、制造入侵探測器及各類入侵探測器技術條件的基本基礎。

本標準適用于防盜報警系統中使用的各類入侵探測器，也適用于防盜、防火復合系統中的入侵探測器。

2．引用標準

GB4208 外殼防護等級的分類

GB6833.1 電子測量儀器的電磁兼容性試驗規范總則

GB6833.3 電子測量儀器電磁兼容性試驗規范靜電放電敏感度試驗

GB6833.4 電子測量儀器電磁兼容性試驗規范電源瞬間敏感度試驗

GB6833.5 電子測量儀器電磁兼容性試驗規范輻射敏感度試驗

3．術語

3．1 入侵探測器intrusion detectors

用來探測入侵者的移動或其他動作的電子及機械部件所組成的裝置。

3． 2 電路 high voltage circuit

交流電壓有效值大于30V、直流電壓大于42.4V,且交流電壓小于600V并具有過壓限制的電路。

3． 3 壓電路low voltage circuit

交流電壓有效值不大于30V，直流電壓不大于42.4V,且輸出功率不大于100W的電路。

3．4 安全電路safety circuit

用來避免引起火災、觸電或因無意碰到活動部件而發生危險的電路。

3．5 警戒狀態 standby condition

入侵探測器接通電源后，能探測到入侵者并轉入報警狀態。

3．6 報警狀態alarm condition

輸出信號表明入侵已經發生的狀態。

3．7 故障狀態 failure condition

探測器不能正常工作的狀態。

3．8 誤報警 false alarm

沒有入侵者，而由于入侵探測器本身的原因或操作不當或環境影響而觸發報警。

3．9 漏報警 leakage alarm

入侵已經發生，而入侵探測器沒有給出報警信號。

3．10 參考目標 reference target

體重為60±20kg的正常人或模擬物體。

3．11 探測范圍 area of detection coverage

由入侵探測器所防護的區域

3．12 探測距離detection range

在給定方向從探測器到探測范圍邊界的距離。

3．13 可探測速度 detectable speed

探測器應能探測到的參考目標的移動速度，一般為0.3－３m/s。4．技術要求

4．1．1 外觀

入侵探測器的外殼尺寸應與圖紙相符。塑料外殼表面應無裂紋、退色及永久性污漬，也無明顯變形和劃痕。金屬殼表面涂覆不能露出底層金屬，并無起泡、腐濁、缺口、毛刺、蝕點、劃痕、涂層脫落和沙孔等?？刂茩C構靈活，標志清晰。

4．1．2 外殼

4．1．2．1 外殼的防護等級應符合GB4208的規定。

4．1．2．2 外殼和框架應有足夠的機械強度和剛度。裝與高壓電路的外殼應能承受按5.2.3.2所規定的沖擊強度試驗而不產生永久性變形和損壞。

4．1．2．3 外殼應有防觸電防護：處于暴露狀態的部件不應有使人觸電的危險。為連接外部天線的外接天線端子應有電阻連接到電源電路的地端，其阻值為5.1MΩ,額定功率大于或等于0.5W。

4．1．3 接線柱和引出線的牢固性

4．1．3．1 接線柱應有防止轉動和松動的措施。對快接接線柱進行20次連接和20次斷開試驗后，在最容易拉斷的方向施加24.5N的拉力60S,引出線與接線柱不應脫落。

4．1．3．2 引出線應能承受20次直角彎曲而不折斷，每根引線并能承受14.7N的拉力作用60S而不損傷。

4．1．3．3 交流電源引線應能承受19.6N的拉力作用60S而不損傷。

4.2 電性能要求

4．2．1 功能

在正常環境條件下，按產品說明書進行正常操作時應完成產品標準所規定的功能。

4．2．2． 過流保護

4．2．2．1 如果在變壓器的初級電路中有斷路器或保險絲，則它們的額定值應與產品的最大輸出額定值相適應。

4．2．2．2 對于不要求區分極性的接線柱與相鄰接線柱或成對反接，或碰到電源端，均不應損壞設備，也不能使內部電路損壞。

對于要求區分極性的接線柱，則應極性標志放在最靠近接線柱的地方。

4．2．3 防拆保護

入侵探測器應有防拆開關，打開外殼時入侵探測器應輸出報警信號。

4．2．4 靈敏度和探測范圍

入侵探測器的靈敏度和探測范圍應符合產品標準的規定。

4．2．5 電源適用范圍

當入侵探測器的電源電壓在額定值的85%—110%范圍內變化時，入侵探測器應不需要調整而能正常工作，且性能指標應符合要求。

4．2．6 過壓運行

入侵探測器在電源電壓為額定值的115%時，以每分鐘不大于15次的報警速率循環50次，每次均應完成警戒、報警功能。

4．2．7 電源功耗

入侵探測器警戒狀態和報警狀態的功耗應符合產品標準的規定。

4．2．8 備用電源

4．2．8．1 使用交流電源供電的入侵探測器應有直流備用電源，并能在交流電源斷電時自動切換到備用電源。

4．2．8．2 備用電源的使用時間：銀行、倉庫、文物單位的報警系統為24h，商業報警系統為16h。交流電源恢復時對備用電源自動充電。

4．2．8．3 應提供備用電源的類型、電壓、電池容量等有關資料。

4．2．9 接口

入侵探測器的接口：警戒狀態為無電位的常閉觸點或導通電阻不大于100Ω。報警狀態和未加電時為常閉觸點開路或開路電阻不小于1MΩ。

4．3 環境適應性要求

4．3．1 入侵探測器環境試驗的分組

入侵探測器根據其使用環境的嚴酷程度分為三組。

I組：能經受偶爾的較輕振動，能適應中等程度的高低溫和濕度的變化，在一般室內條件下使用。

II組：能經受突然跌落或頻繁移動中承受較大振動和沖擊，能適應較大程度的高低溫和濕度的變化，并能在露天（或簡易遮蓋）條件下使用。

III組：除II組條件外，并在嚴寒露天 下使用。

入侵探測器在表1規定的條件下應能正常工作。試驗后靈敏度或探測范圍的變化量不應超過±25%。

4．3．3 入侵探測器經自由跌落試驗后應能正常工作，并且無元器件松動、位移和損壞，機殼不應變形。

4． 4 穩性要求

入侵探測器在正常氣候環境下，連續工作7天不應出現誤報警和漏報警，其靈敏度或探測范圍的變化不應超過±10%。

4．5 耐久性要求

入侵探測器在額定電壓和額定負栽電流下進行警戒、報警和復位，循環6000次，應無電的或機械的故障，也不應有器件損壞或觸點粘連。

4．6 抗干擾要求

4．6．1 入侵探測器應符合GB6833.1中規定的靜電放電敏感度試驗、電源瞬態敏感度試驗、輻射敏感度試驗中的要求，不應出現誤報警和漏報警。

4．6．2 抗熱氣流干擾

入侵探測器在警戒狀態下熱氣流干擾時應能正常工作，不應出現誤報警和漏報警。

4．7 安全性要求

4．7．1 絕緣電阻

入侵探測器電源插頭或電源引入端子與外殼或外殼裸露金屬部件之間的絕緣電阻在正常環境條件下應不小于100 MΩ，濕熱條件下應不小于10MΩ（直流電壓小于36V且一端接地者除外）。

4．7．2 抗電強度

入侵探測器電源插頭或電源引入端子與外殼或外殼裸露金屬部分之間，應能承受表2規定的50HZ的交流電壓的抗電強度試驗，歷時1min應無擊穿和飛弧現象（直流電壓小于36V且一端接地者除外）。

4．7．3 阻燃要求

外殼有開孔且有著火危險的入侵探測器，其外殼經火焰燒5次，每次5s，不應燒著起火。

4．7．4 人為故障引燃

無過載保護的入侵探測器在人為的造成最嚴酷的電路故障時不應有觸電或燃燒的危險。

4．8 耐腐蝕要求

在有腐蝕氣氛環境工作的入侵探測器經耐腐蝕試驗后，應能正常工作，表面應無腐蝕及生銹現象。

4．9 可靠性要求

入侵探測器在正常工作條件下平均無故障工作時間分為A、B、C、D四級，各類產品指標不應低于A級的要求。

A級：1×103h

B級：5×103h

C級：2×104h

D級：6×104h 5．試驗方法

5．11 試驗條件

除有特殊情況外，所有試驗應在以下正常環境條件下進行：

溫度：15—30℃；

相對濕度：45%—75%；

大氣壓力：86—106kPa。

5．2 外觀和結構性能試驗

5．2．1 用卡尺等量具對照圖紙檢驗外型尺寸，目視檢驗外觀，用手檢驗控制機構，均應符合4.1.1和7.1.1的要求。

5．2．2 外殼防護等級按GB4208中的試驗方法進行試驗，應符合4.1.2.1的要求。

5．2．3 外殼機械強度試驗

5．2．3．1 外殼壓力試驗

對于內部有高壓電路的受試樣品，將樣品平放，在外殼水平面的中央放一個直徑為177mm的鋼質半球，球面朝下施加111N的力，作用60±2s，試驗后進行外觀檢查，外殼不應產生永久性變形及損壞。

對內部僅有低壓電路的手試樣品，在外殼水平面的中央放一個直徑為137mm的鋼質半球，球面朝下施加49N的力，作用602±s，試驗后進行外觀檢查，外殼不應產生永久性變形及損壞。

5．2．3．2 外殼沖擊強度試驗

對于內部有高壓電路的受試樣品，將樣品平放，用一個直徑為50.8mm，重量為540g的鋼球，從1.3m的高度垂直自由落下沖擊在外殼表面上。

對于內部僅有低壓電路的受試樣品，將樣品平放，用一個直徑為50.8mm的鋼球，從0.5m的高度垂直自由落下沖擊在外殼表面上。

受試樣品經沖擊試驗后均應符合4.1.2.2的要求。

5．2．4 接線柱和引出線牢固性試驗

5．2．4．1 拉力試驗

受試樣品應固定在正常位置，引出線按產品規定連線，沿著引出線向樣品逐漸施加拉力至4.1.3的規定值,保持60±2s，試驗后外觀檢查應符合4.1.3的要求。

5．2．4．2 引出線彎曲試驗

經外觀和電性能檢查的樣品，在引出線末端掛1.5kg的重物，然后樣品在垂直平面上傾斜大約900，時間約2—3s,接著返回原來位置，即構成一次彎曲。按此方法再向相反方向彎曲，達到規定次數后應符合4.1.3.2的要求。

5．3 電性能試驗

5．3．1 功能檢查

在額定電源電壓下，按產品說明書進行正常操作，應符合4.2.1的要求。

5．3．2 過流保護

經初始檢查的樣品，對不要求區分極性的接線柱與相鄰接線柱短路60±2s；

對不要求區分極性的接線柱的引線與相鄰接線柱反接后，保持60±2s；

對不要求區分極性的接線柱的引線與電源端的引線碰觸1±0.5s；

試驗后均應符合4.2.2.2的要求。

5．3．3 防拆保護試驗

經初始檢測的樣品，打開樣品的外殼應發出報警信號。

5．3．4 靈敏度和探測范圍試驗

按產品技術條件檢查受試樣品應符合產品標準的規定。

5．3．5 電源電壓適用范圍試驗

5．3．5．1 交流供電十用精度0.5級,量程1.5倍于電源電壓的電壓表監測,電源電壓應以下幾種進行試驗,每次試驗時間不小于15min，試驗過程中應檢測其功能、靈敏度或探測范圍，受試樣品應符合4.2.4和4.2.5的要求。

a.220V

b.187V

c.242V

5．3．5．2 直流供電時用精度0.5級，量度1.5倍于電源電壓的直流電壓表監測電源電源，用可調直流穩壓電源改變其電壓值，分別在額定值的85%和110%進行試驗。每次試驗時間不小于15min，試驗過程中應檢驗其功能、靈敏度或探測范圍，受試樣品應符合4.2.4和4.2.5的要求。

5．3．6 過壓運行試驗

按4.2.6要求,經初始檢查的樣品在電源電壓為額定值的115%時,受試驗樣品處于警戒狀態,移動參考目標使受試樣品轉入報警狀態,然后解除,再進入警戒狀態,完成一次循環。

以每分鐘不大于15次的報警速率，共循環50次，每次均應能完成警戒和報警功能。

5．3．7 電源功耗檢查

用精度0.5級,量程1.5倍于額定電流值的電流表監測功耗電流應符合4.2.7的規定。

5．3．8 備用電源試驗

5．3．8．1 自動切換試驗

使用交、直流電源供電的產品按說明書連接備用電源，經初始檢測后切斷交流電源，檢測受試樣品功能和探測范圍應符合4.2.1和4.2.4的規定。

5．3．8．2 使用備用電源的功耗和自充電檢查

對于4.2.8.2備用電源的使用時間由備用電源的容量和受試樣品在警戒狀態下消耗電流I來計算。

按5.3.7測出I,再按備用電源的額定值Q(A.h)計算出時間T（h），應符合4.2.8.2的要求。

用0.5級電流表串入直流電源電路測量備用的充電電流。

5．3．9 接口檢查

用三用表測量受試驗樣品輸出端對地的電位和電阻值應符合4.2.9的要求。

5．4 環境適應性試驗

在進行環境適應性試驗時，除另有規定外，受試樣品不應加任何防護包裝。在試驗中改變溫度時，升溫和降溫速率不應超過1℃/min。

5．4．1 高溫試驗

5．4．1．1 受試樣品在正常環境條件下放置1h后進行檢測，測量其靈敏度S1可探測距離R1。

5．4．1．2 將受試樣品接通電源放入高溫箱內，使箱內溫度上升到表1規定值，立即檢查報警功能；恒溫到時后再次檢查報警功能，均應正常工作。

5．4．1．3 關斷受試樣品的電源，在正常環境條件下恢復2h后，進行檢測，測量受試樣品的靈敏度S2或探測距離R2，其余化量δ應符合4.3.2的要求。

R2-R1 S2-S1

δ= ×100% 或 δ= ×100% 或

R1 S1

注：R1或S1為環境試驗前的初始測量值，R2或S2可按三次測量的平均值計算。

5．4．2 恒定濕熱試驗

5．4．2．1 將經過初始檢測的樣品關斷電源，放入濕熱箱內，使箱內溫度升到40±2℃，然后使濕度達到（93+2-3）%，平衡后開始計時，維持此值48h后，在箱內接通電源進行功能檢查，應能正常工作。從箱內取出后立即測量絕緣電阻和抗點強度，均應符合4.7.1和4.7.2的要求。

5．4．2．2 經抗電強度試驗后的樣品在正常環境條件下，關斷電源，恢復2h，按5.4.1.3的試驗方法進行最后檢測,并計算靈敏度或探測范圍的變化量,其值應不超過±25%。

5．4．3 低溫試驗

5．4．3．1 把作完濕熱試驗后的樣品放入低溫箱內，使箱內的溫度降至表1中的規定值，恒溫2h后，立即通電檢查報警功能，應能正常工作。

5．4．3．2 受試樣品繼續留在箱內，在正常環境條件下，保持2h后把受試樣品從箱內取出，按5.4.1.3的方法進行最后的檢測,探測距離的變化量不應超過±25%。

5．4．4 低溫貯存試驗

5．4．4．1 將受試樣品放入低溫箱內，使箱內溫度降低到-40±3℃，在此溫度范圍內保持16h，然后受試樣品從箱內取出，在正常環境條件下恢復2h，對受試樣品進行最后檢測。也可按5.4.3.2的方法進行恢復。

5．4．4．2 按5.4.1.3的方法進行最后檢測,并計算靈敏度或探測范圍的變化量,其值不應超過±25%。

5．4．5 振動試驗

5．4．5．1 將受試樣品按正常位置牢固地固定在振動臺上，如果受試樣品有減振架，應拆去或架空。

5．4．5．2 振動為正弦振動，條件按表1規定，在X、Y、Z三個軸線方向分別在10—15 —10Hz范圍內進行振動響應檢查。如果有共振頻率，則在此頻率上振動30min；如果無共振頻率，則在35Hz振動30min，共90min。

5．4．5．3 受試樣品經振動試驗后應能正常工作，并且無元器件松動、位移和損壞。

5．4．6 沖擊試驗

5．4．6．1 按5.4.5.1的方法把受試樣品牢固地固定在沖擊臺上。

5．4．6．2 按表1 規定的加速度和持續時間分別在X、Y、Z三個軸向各沖擊三次，試驗后樣品不應有明顯的損壞或變形。按產品標準檢驗其功能，應能正常工作。

5．4．7 自由跌落試驗

5．4．7．1 試驗表面為平滑、堅硬的水泥地面。

5．4．7．2 經初始檢測的樣品，按出廠包裝，在任意的四個面各自由跌落1次。

5．4．7．3 跌落高度為：小于或等于20kg的樣品，跌落高度為1000mm，大于20kg而小于或等于50kg的樣品，跌落高度為500mm。

5．4．7．4 受試樣品經跌落試驗后符合4.3.3的要求。

5．5 穩定性試驗

5．5．1 經初始檢測的樣品，按正常使用位置安裝，并施加額定電源電壓，調到最高靈敏度或制造廠家規定范圍，在正常環境條件下連續工作7天，每天至少進行一次報警功能檢查，每次均應能正常工作，并且7天內不應出現漏報警或誤報警。

5．5．2 實驗后按5.4.1.3方法進行最后檢測,并計算靈敏度或探測距離的變化量,其值不應超過±10%。

5．6 耐久性實驗

5．6．1 經初始檢測的樣品，在額定電源電壓和額定工作電流下，使樣品從警戒狀態進入報警狀態，再由報警狀態轉入警戒狀態為一次循環，一不大于15次/min的速率共循環6000次。

5．6．2 試驗后進行外觀檢查和功能檢查，應符合4.5條的要求。

5．7 抗干擾試驗

5．7．1 抗電磁干擾實驗

5．7．1．1 靜電放電敏感度實驗

經初始檢測的樣品按GB6833.3中規定的實驗方法進行試驗,受試樣品應能正常工作,不出現漏報警或誤報警。

5．7．1．2 電源瞬間敏感度試驗

經初始檢測的樣品，按GB6833.4中規定的試驗方法進行試驗,手試樣品應能正常工作,不出現誤報警或漏報警。

5．7．1．3 輻射敏感度試驗

經初始檢測的樣品，按GB6833.5中規定的試驗方法進行試驗,受試樣品應能正常工作,不應出現誤報警或漏報警。

5．7．2 抗熱氣流干擾試驗

經初始檢測的樣品，按正常工作位置放置在一個3000W電爐上方1m處，受試樣品在額定電源電壓下處于警戒狀態，然后將電源通電5min，關斷25min，共試驗3h，在此過程中受試樣品應能正常工作，不應出現誤報警或漏報警。

5．8 安全性試驗

5．8．1 絕緣電阻試驗

用500V精度1.0級的兆歐表，測量受試樣品的電源插頭或電源引入端與外殼上裸露金屬零部件之間的絕緣電阻。受試樣品的電源開關在接通位置，但其電源插頭不接入電網。施加500V試驗電壓穩定5s后，讀取絕緣電阻數值，應符合4.7.1的要求。試驗后受試樣品應能正常工作。

5．8．2 抗電強度試驗

經初始檢測的樣品，在其電源插頭或電源引入端與機殼或機殼裸露金屬零部件之間，用功率不小于500VA，50Hz的可調電源饋給試驗電壓，試驗電壓以200V/min的速度由6V逐漸加到表2的規定值保持1min，試驗結果應符合4.7.2的要求。試驗后以200V/min的速率將試驗電壓降到低于工作電壓后，斷開試驗電源。

5．8．3 阻燃試驗

采用本生燈，燃稀氣體為丁烷加空氣，火焰直徑9.5mm

第二篇：入侵檢測技術論文

目錄

第一章 緒論

1.1 入侵檢測技術的背景 1.2 程序設計的目的 第二章 入侵檢測系統 2.1 網絡入侵概述

2.2 網絡存在的安全隱患

2.3 網絡入侵與攻擊的常用手段 2.4 入侵檢測技術

2.4.1 誤用入侵檢測技術 2.4.2 異常入侵檢測技術

第三章 協議分析 3.1 協議分析簡介 3.2 協議分析的優勢

第四章 PANIDS系統的設計及實現 4.1 PANIDS系統總體結構設計

4.2 系統基本信息讀取模塊的設計及實現 4.3 網絡數據包捕獲模塊的設計及實現 4.4 基于協議分析的入侵檢測模塊的設計及實現 4.4.1 數據包的分解 4.4.2 入侵檢測的實現 4.5 實驗結果及結論

第五章 總結與參考文獻

摘要

網絡技術高速發展的今天，人們越來越依賴于網絡進行信息的處理。因此，網絡安全就顯得相當重要，隨之產生的各種網絡安全技術也得到了不斷地發展。防火墻、加密等技術，總的來說均屬于靜態的防御技術。如果單純依靠這些技術，仍然難以保證網絡的安全性。入侵檢測技術是一種主動的防御技術，它不僅能檢測未經授權的對象入侵，而且也能監視授權對象對系統資源的非法使用。傳統的入侵檢測系統一般都采用模式匹配技術，但由于技術本身的特點，使其具有計算量大、檢測效率低等缺點，而基于協議分析的檢測技術較好的解決了這些問題，其運用協議的規則性及整個會話過程的上下文相關性，不僅提高了入侵檢測系統的速度，而且減少了漏報和誤報率。本文提出了一種基于協議分析的網絡入侵檢測系統PANIDS的模型，在該模型中通過Winpcap捕獲數據包，并對數據包進行協議分析，判斷其是否符合某種入侵模式，從而達到入侵檢測的目的。

關鍵詞： 入侵檢測，協議分析，PANIDS

第一章 緒論

1.1 入侵檢測技術的背景

隨著計算機網絡的飛速發展，網絡通信已經滲透到社會經濟、文化和科學的各個領域；對人類社會的進步和發展起著舉足輕重的作用，它正影響和改變著人們工作、學習和生活的方式。另外，Internet的發展和應用水平也已經成為衡量一個國家政治、經濟、軍事、技術實力的標志；發展網絡技術是國民經濟現代化建設不可缺少的必要條件。網絡使得信息的獲取、傳遞、存儲、處理和利用變得更加有效、迅速，網絡帶給人們的便利比比皆是。然而，網絡在給人們的學習、生活和工作帶來巨大便利的同時也帶來了各種安全問題。網絡黑客可以輕松的取走你的機密文件，竊取你的銀行存款，破壞你的企業帳目，公布你的隱私信函，篡改、干擾和毀壞你的數據庫，甚至直接破壞你的磁盤或計算機，使你的網絡癱瘓或者崩潰。因此，研究各種切實有效的安全技術來保障計算機系統和網絡系統的安全，已經成為刻不容緩的課題。伴隨著網絡的發展，各種網絡安全技術也隨之發展起來。常用的網絡安全技術有：數據加密、虛擬專用網絡（VPN，Virtual Private Network）、防火墻、殺毒軟件、數字簽名和身份認證等技術。這些傳統的網絡安全技術，對保護網絡的安全起到非常重要的作用，然而它們也存在不少缺陷。例如，防火墻技術雖然為網絡服務提供了較好的身份認證和訪問控制，但是它不能防止來自防火墻內部的攻擊、不能防備最新出現的威脅、不能防止繞過防火墻的攻擊，入侵者可以利用脆弱性程序或系統漏洞繞過防火墻的訪問控制來進行非法攻擊。傳統的身份認證技術，很難抵抗脆弱性口令、字典攻擊、特洛伊木馬、網絡窺探器以及電磁輻射等攻擊手段。虛擬專用網技術只能保證傳輸過程中的安全，并不能防御諸如拒絕服務攻擊、緩沖區溢出等常見的攻擊。另外，這些技術都屬于靜態安全技術的范疇；靜態安全技術的缺點是只能靜態和消極地防御入侵，而不能主動檢測和跟蹤入侵。而入侵檢測技術是一種動態安全技術，它主動地收集包括系統審計數據，網絡數據包以及用戶活動狀態等多方面的信息；然后進行安全性分析，從而及時發現各種入侵并產生響應。1.2 程序設計的目的

在目前的計算機安全狀態下，基于防火墻、加密技術等的安全防護固然重要；但是要根本改善系統的安全現狀，必須要發展入侵檢測技術。它已經成為計算機安全策略中的核心技術之一。Intrusion Detection System（簡稱IDS）作為一種主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護。從網絡安全立體縱深的多層次防御角度出發，入侵檢測理應受到高度重視，這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內，隨著上網關鍵部門、關鍵業務越來越多，迫切需要具有自主版權的入侵檢測產品；但目前我國的入侵檢測技術還不夠成熟，處于發展和跟蹤國外技術的階段，所以對入侵檢測系統的研究非常重要。傳統的入侵檢測系統中一般采用傳統的模式匹配技術,將待分析事件與入侵規則相匹配。從網絡數據包的包頭開始與攻擊特征字符串比較。若比較結果不同,則下移一個字節再進行；若比較結果相同,那么就檢測到一個可 能 的攻擊。這種逐字節匹配方法具有計算負載大及探測不夠靈活兩個最根本的缺陷。面對近幾年不斷出現的ATM、千兆以太網、G比特光纖網等高速網絡應用,實現實時入侵檢測成為一個現實的問題。適應高速網絡的環境，改進檢測算法以提高運行速度和效率是解決該問題的一個途徑。協議分析能夠智能地”理解”協議,利用網絡協議的高度規則性快速探測攻擊的存在,從而大大減少了模式匹配所需的運算。所以說研究基于協議分析的入侵檢測技術具有很強的現實意義。

第二章 入侵檢測系統

2.1 網絡入侵概述

網絡在給人們帶來便利的同時也引入了很多安全問題。從防衛者的角度來看，網絡安全的目標可以歸結為以下幾個方面 ：（1）網絡服務的可用性。在需要時，網絡信息服務能為授權用戶提供實時有效的服務。

（2）網絡信息的保密性。網絡服務要求能防止敏感信息泄漏，只有授權用戶才能獲取服務信息。

（3）網絡信息的完整性。網絡服務必須保證服務者提供的信息內容不能被非授權篡改。完整性是對信息的準確性和可靠性的評價指標。

（4）網絡信息的不可抵賴性。用戶不能否認消息或文件的來源地，也不能否認接受了信息或文件。

（5）網絡運行的可控性。也就是網絡管理的可控性，包括網絡運行的物理的可控性和邏輯或配置的可控性，能夠有效地控制網絡用戶的行為及信息的傳播范圍。

2.2 網絡存在的安全隱患

網絡入侵從根本上來說，主要是因為網絡存在很多安全隱患，這樣才使得攻擊者有機可乘。導致網絡不安全的主要因素可以歸結為下面幾點：

（1）軟件的Bug。眾所周知，各種操作系統、協議棧、服務器守護進程、各種應用程序等都存在不少漏洞。可以不夸張的說，幾乎每個互聯網上的軟件都或多或少的存在一些安全漏洞。這些漏洞中，最常見的有緩沖區溢出、競爭條件（多個程序同時訪問一段數據）等。

（2）系統配置不當。操作系統的默認配置往往照顧用戶的友好性，但是容易使用的同時也就意味著容易遭受攻擊。這類常見的漏洞有：系統管理員配置不恰當、系統本身存在后門等。

（3）脆弱性口令。大部分人為了輸入口令的時候方便簡單，多數都使用自己或家人的名字、生日、門牌號、電話號碼等作為口令。攻擊者可以通過猜測口令或拿到口令文件后，利用字典攻擊等手段來輕易破解口令。

（4）信息泄漏。入侵者常用的方法之一就是竊聽。在廣播式的局域網上，將網卡配置成”混雜”模式，就可以竊聽到該局域網的所有數據包。如果在服務器上安裝竊聽軟件就可以拿到遠程用戶的帳號和口令。

（5）設計的缺陷。最典型的就是TCP/IP協議，在協議設計時并沒有考慮到安全因素。雖然現在已經充分意識到了這一點，但是由于TCP/IP協議已經廣泛使用，因此暫時還無法被完全代替。另外，雖然操作系統設計的時候考慮了很多安全因素，但是仍然無法避免地存在一些缺陷。例如，廣泛使用的Windows操作系統，幾乎每隔幾個月都要出一定數量的安全補丁，就是因為系統存在很多安全隱患。2.3 網絡入侵與攻擊的常用手段

長期以來，黑客攻擊技術沒有成為系統安全研究的一個重點，一方面是攻擊技術很大程度上依賴于個人的經驗以及攻擊者之間的交流，這種交流通常都是地下的，黑客有他們自己的交流方式和行為準則，這與傳統的學術研究領域不相同；另一方面，研究者還沒有充分認識到：只有更多地了解攻擊技術，才能更好地保護系統的安全。下面簡單介紹幾種主要的攻擊類型。1.探測攻擊

通過掃描允許連接的服務和開放端口，能迅速發現目標主機端口的分配情況以及所提供的各項服務和服務程序的版本號。另外通過掃描還可以探測到系統的漏洞等信息。黑客找到有機可乘的服務或端口后就可以進行攻擊了。常見的探測掃描程序有：SATAN、NTScan、X_Scan、Nessus等。2.網絡監聽

將網卡設置為混雜模式，對已流經某個以太網段的所有數據包進行監聽，以獲取敏感信息，如包含了”usename”或”password”等信息的數據包。常見的網絡監聽工具有：NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。3.解碼類攻擊

通過各種方法獲取password文件，然后用口令猜測程序來破譯用戶帳號和密碼。常見的解碼工具有：Crack、LophtCrack等。

2.4 入侵檢測技術

入侵檢測技術可以分為兩大類：異常入侵檢測技術和誤用入侵檢測技術。下面分別介紹這兩種入侵檢測技術。2.4.1 誤用入侵檢測技術

誤用入侵檢測首先對表示特定入侵的行為模式進行編碼，建立誤用模式庫；然后對實際檢測過程中得到的審計事件數據進行過濾，檢查是否包含入侵特征串。誤用檢測的缺陷在于只能檢測已知的攻擊模式。常見的誤用入侵檢測技術有以下幾種：

1.模式匹配

模式匹配是最常用的誤用檢測技術，特點是原理簡單、擴展性好、檢測效率高、可以實時檢測；但是只能適用于比較簡單的攻擊方式。它將收集到的信息與已知的網絡入侵和系統誤用模式串進行比較，從而發現違背安全策略的行為。著名的輕量級開放源代碼入侵檢測系統Snort就是采用這種技術。2.專家系統

該技術根據安全專家對可疑行為的分析經驗來形成一套推理規則，然后在此基礎上建立相應的專家系統來自動對所涉及的入侵行為進行分析。該系統應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。專家系統方法存在一些實際問題：處理海量數據時存在效率問題，這是由于專家系統的推理和決策模塊通常使用解釋型語言來實現，所以執行速度比編譯型語言慢；專家系統的性能完全取決于設計者的知識和技能；規則庫維護非常艱巨，更改規則時必須考慮到對知識庫中其他規則的影響等等。3.狀態遷移法

狀態遷移圖可用來描述系統所處的狀態和狀態之間可能的遷移。狀態遷移圖用于入侵檢測時，表示了入侵者從合法狀態遷移到最終的危害狀態所采取的一系列行動。

在檢測未知的脆弱性時，因為狀態遷移法強調的是系統處于易受損的狀態而不是未知入侵的審計特征，因此這種方法更具有健壯性。而它潛在的一個弱點是太拘泥于預先定義的狀態遷移序列。這種模型運行在原始審計數據的抽象層次上，它利用系統狀態的觀念和事件的轉變流；這就有可能提供了一種既能減少誤警率又能檢測到新的攻擊的途徑。另外，因為涉及了比較高層次的抽象，有希望把它的知識庫移植到不同的機器、網絡和應用的入侵檢測上。2.4.2 異常入侵檢測技術

異常檢測是通過對系統異常行為的檢測來發現入侵。異常檢測的關鍵問題在于正常使用模式的建立，以及如何利用該模式對當前系統或用戶行為進行比較，從而判斷出與正常模式的偏離程度。”模式”（profiles）通常使用一組系統的度量（metrics）來定義。度量，就是指系統或用戶行為在特定方面的衡量標準。每個度量都對應于一個門限值。常用的異常檢測技術有： 1.統計分析

最早的異常檢測系統采用的是統計分析技術。首先，檢測器根據用戶對象的動作為每個用戶建立一個用戶特征表，通過比較當前特征與已存儲定型的以前特征，從而判斷是否異常行為。統計分析的優點：有成熟的概率統計理論支持、維護方便，不需要象誤用檢測系統那樣不斷地對規則庫進行更新和維護等。統計分析的缺點：大多數統計分析系統是以批處理的方式對審計記錄進行分析的，不能提供對入侵行為的實時檢測、統計分析不能反映事件在時間順序上的前后相關性，而不少入侵行為都有明顯的前后相關性、門限值的確定非常棘手等。2.神經網絡

這種方法對用戶行為具有學習和自適應功能，能夠根據實際檢測到的信息有效地加以處理并做出入侵可能性的判斷。利用神經網絡所具有的識別、分類和歸納能力，可以使入侵檢測系統適應用戶行為特征的可變性。從模式識別的角度來看，入侵檢測系統可以使用神經網絡來提取用戶行為的模式特征，并以此創建用戶的行為特征輪廓?？傊?，把神經網絡引入入侵檢測系統，能很好地解決用戶行為的動態特征以及搜索數據的不完整性、不確定性所造成的難以精確檢測的問題。利用神經網絡檢測入侵的基本思想是用一系列信息單元（命令）訓練神經單元，這樣在給定一組輸入后，就可能預測輸出。將神經網絡應用于攻擊模式的學習，理論上也是可行的。但目前主要應用于系統行為的學習，包括用戶以及系統守護程序的行為。與統計理論相比，神經網絡更好地表達了變量間的非線性關系，并且能自動學習并更新。

神經網絡也存在一些問題：在不少情況下，系統趨向于形成某種不穩定的網絡結構，不能從訓練數據中學習特定的知識，這種情況目前尚不能完全確定產生的原因；另外，神經網絡對判斷為異常的事件不會提供任何解釋或說明信息，這導致了用戶無法確認入侵的責任人，也無法判斷究竟是系統哪方面存在的問題導致了攻擊者得以成功入侵。

前面介紹了誤用檢測和異常檢測所使用的一些常用檢測手段，在近期入侵檢測系統的發展過程中，研究人員提出了一些新的入侵檢測技術。這些技術不能簡單地歸類為誤用檢測或異常檢測，它們提供了一種有別于傳統入侵檢測視角的技術層次。這些新技術有：免疫系統、基因算法、數據挖掘、基于代理的檢測等等，他們提供了更具有普遍意義的分析檢測技術，或者提出了新的檢測系統構架，因此無論是對誤用檢測還是對異常檢測來說都可以得到很好的應用。

第三章 協議分析

3.1 協議分析簡介 1.以太幀協議分析

這是對以太網數據幀頭進行協議分析，并把分析的結果記入Packet結構中。分析完以太幀頭后把數據包傳送到下一級協議分析程序中。數據幀的第13和14兩個字節組成的字段是協議類型字段。如果用十六進制表示，那么IP協議對應0X0800、ARP對應0X0806、RARP對應0X0835。2.ARP和RARP數據包協議分析

這是對ARP或RARP數據進行協議分析，并把協議分析后的數據送入基于ICMP協議規則集的匹配檢測模塊進行檢測，查看是否存在ARP和RARP相關的攻擊。由于基于ARP/RARP協議的攻擊較少，所以把他們歸入ICMP協議規則集中。3.IP數據包協議分析

這是對IP 數據包進行協議分析，并把協議分析后的數據送入基于IP協議規則集的匹配檢測程序中進行檢測。IP數據包首部的第一個字節的后面4個比特組成的字段標識了IP首部的長度。該字段的值乘以4就等于IP首部的長度。沒有包含IP選項的普通IP首部長度為20，如果大于20就說明此IP數據包包含IP首部。第5和第6個字節是IP數據包的16位標識，每一IP數據包都有唯一的標識。該標識在IP數據包分片重組時中起到至關重要的作用，每個分片就是通過檢查此ID號來判別是否屬于同一個IP包。第7個字節開始的前3個比特是重要的標志位：第一個標志位（最高位）為保留位（該位必須為0，否則就是一個錯誤的IP數據包），第二個標志位DF指示該IP數據包能否分片（該位為0則表示該IP數據包可以分片，為1則不能分片），第三個標志位MF指示該數據包是否為最后一個分片（該位為0表示此數據包是最后一個分片，為1表示不是最后一個分片）。從MF標志位開始的后面13個比特位記錄了分片的偏移量。分片的IP數據包，各個分片到目的端才會重組；傳輸過程中每個分片可以獨立選路。如何才能重組一個分片了的IP數據包呢？首先，16位分片ID（Fragment ID）標識了每個IP數據包的唯一性。數據包分片后，它的每個分片具有相同的標識。其次，通過每個分片的片偏移量可以確定每個分片的位置，再結合MF可以判斷該分片是否為最后一個分片。綜合上述信息，就可以順利的重組一個數據包。分片重組對網絡入侵檢測系統具有重要意義。首先，有一些攻擊方法利用了操作系統協議棧中分片合并實現上的漏洞，例如著名的TearDrop攻擊就是在短時間內發送若干偏移量有重疊的分片，目標機接收到這樣的分片的時候就會合并分片，由于其偏移量的重疊而發生內存錯誤，甚至會導致協議棧的崩潰。這種攻擊手段單從一個數據包上是無法辨認的，需要在協議分析中模擬操作系統的分片合并，以發現不合法的分片。另外，Tiny Fragment（極小分片）等攻擊方法，將攻擊信息隱藏在多個微小分片內來繞過入侵檢測系統或防火墻的檢測從而達到攻擊的目的。對付這種攻擊也需要在檢測的過程中合并碎片，恢復數據包的真實面目。

IP包頭的第10個字節開始的后面八個比特位表示了協議的類型：其中1表示ICMP協議，2表示IGMP協議，6表示TCP協議，17表示UDP協議。（這些數字是十進制的）。對IP數據包檢測完畢后，如果檢測到攻擊就記錄該數據包，然后重新開始檢測一個新的原始數據包。如果沒有檢測到攻擊，則在判斷上層協議類型之后就把數據包分流到TCP、UDP等協議分析程序中進行進一步協議分析。4.TCP數據包協議分析

這是對TCP數據包進行協議分析，并把協議分析后的數據送入基于TCP協議規則集的匹配檢測程序中進行檢測。首先讀入TCP數據包，對TCP包頭進行協議分析；并檢查是否有TCP選項，如果有的話就對TCP選項進行協議分析。然后，判斷該TCP數據包是否發生分段，如果發生了分段就進行TCP重組。再把重組后的數據包送入基于TCP協議規則集的匹配檢測程序進行檢測。如果檢測到攻擊就記錄下該攻擊數據包，以備攻擊取證等使用。記錄數據包后又返回，重新讀取一個新的數據包。如果沒有檢測到攻擊，就把該數據包送入下一級協議分析模塊中，作進一步的協議分析。

5.ICMP數據包協議分析

這是對ICMP數據包進行協議分析，并把協議分析后的數據送入基于ICMP協議規則集的匹配檢測程序中進行檢測。ICMP報文有很多類型，根據報文中的類型字段和代碼字段就可以區分每一種ICMP報文類型。6.UDP協議分析

這是對UDP數據包進行協議分析，并把協議分析后的數據送入基于UDP協議規則集的匹配檢測程序中進行檢測。如果檢測到攻擊就記錄該數據包，然后返回并讀取下一個數據包。如果沒有檢測到攻擊，那么就把數據包送入基于應用層協議規則集的檢測模塊進行進一步的檢測分析。應用層協議很復雜，這里不進行詳細討論。

3.2 協議分析的優勢（1）提高性能：當系統提升協議棧來解析每一層時，它用已獲得的知識來消除在數據包結構中不可能出現的攻擊。比如4層協議是TCP，那就不用再搜索其他第四層協議如UDP上形成的攻擊。如果數據包最高層是簡單網絡管理協議SNMP（Simple Network Management Protocol），那就不用再尋找Telnet或HTTP攻擊。這樣檢測的范圍明顯縮小，而且更具有針對性；從而使得IDS系統性能得到明顯改善。

（2）能夠探測碎片攻擊等基于協議漏洞的攻擊：在基于協議分析的IDS中，各種協議都被解析。如果出現IP分片，數據包將首先被重裝；然后再對整個數據包進行詳細分析來檢測隱藏在碎片中的潛在攻擊行為。這是采用傳統模式匹配技術的NIDS所無法做到的。（3）降低誤報和漏報率：協議分析能減少傳統模式匹配NIDS系統中常見的誤報和漏報現象。在基于協議分析的NIDS系統中誤報率會明顯減少，因為它們知道和每個協議有關的潛在攻擊的確切位置以及該位置每個字節的真正含義。例如，針對基于協議分析的IDS不但能識別簡單的路徑欺騙：例如把CGI攻擊”/cgi-bin/phf”變為”/cgi-bin/./phf”或”/cgi-binphf”；而且也能識別復雜的HEX編碼欺騙：例如”/winnt/system32/cmd.exe”，編碼后變為”/winnt/system32/%2563md.exe”，通過協議分析%25 解碼后為‘%’，%63解碼后為‘c’，這樣就解析出了攻擊串。又如針對Unicode（UTF-8）的編碼欺騙（與ASCII字符相關的HEX編碼一直到％7f，Unicode編碼值要高于它），攻擊串編碼后得到”/winnt/system32%c0%afcmd.exe”，通過解碼可知%c0%af在Unicode中對應/,所以解碼后就能順利還原出攻擊串。第四章 PANIDS系統的設計及實現

4.1 PANIDS系統總體結構設計

PANIDS系統 主要由系統基本信息讀取模塊、網絡數據包捕獲模塊、基于協議分析的入侵檢測模塊、響應模塊和控制管理中心等幾部分組成。4.2 系統基本信息讀取模塊的設計及實現

為了更好的顯示出本機的特性，在此PANIDS系統中特別增加系統基本信息讀取模塊。通過此模塊能顯示出主機名和本機的IP地址和所使用的Winsock的版本

在此模塊中主要用到函數gethostname()和gethostbyname()。gethostname()函數作用是獲取本地主機的主機名，其定義如下：

int PASCAL FAR gethostname(char FAR * name, int namelen);name：用于指向所獲取的主機名的緩沖區的指針。Namelen：緩沖區的大小，以字節為單位。

gethostbyname()在此模塊中是一個主要函數，該函數可以從主機名數據庫中得到對應的”主機”。其定義如下：

#include struct hostent FAR *PASCAL FAR gethostbyname(const char FAR * addr)name：指向主機名的指針。

gethostbyname()返回對應于給定主機名的包含主機名字和地址信息的hostent結構指針。結構的聲明與gethostaddr()中一致。如果沒有錯誤發生，gethostbyname()返回如上所述的一個指向hostent結構的指針，否則，返回一個空指針。hostent結構的數據結構如下： struct hostent { char *h_name;//地址的正式名稱

char **h_aliases;//空字節-地址的預備名稱的指針 int h_addrtype;//地址類型，通常是AF_INET int h_length;//地址的比特長度

char **h_addr_list;//零字節-主機網絡地址指針,網絡字節順序 };返回的指針指向一個由Windows Sockets實現分配的結構。應用程序不應該試圖修改這個結構或者釋放它的任何部分。此外，每一線程僅有一份這個結構的拷貝，所以應用程序應該在發出其他Windows Scokets API調用前，把自己所需的信息拷貝下來。

gethostbyname()實現沒有必要識別傳送給它的IP地址串。對于這樣的請求，應該把IP地址串當作一個未知主機名同樣處理。如果應用程序有IP地址串需要處理，它應該使用inet_addr()函數把地址串轉換為IP地址，然后調用gethostbyaddr()來得到hostent結構。4.3 網絡數據包捕獲模塊的設計及實現 網絡數據包捕獲的方法有很多，比如既可以利用原始套接字來實現，也可以通過Libpcap、Jpcap和WinPcap 提供的接口函數來實現。Libpcap、Jpcap和WinPcap是世界各地的網絡專家共同努力的結果，為開發者提供了很多高效且與系統無關的網絡數據包截獲接口函數；所以在性能上一般比采用普通的套接字方法要好。LibPcap是一個優秀跨平臺的網絡抓包開發工具，JPcap是它的一個Java版本。WinPcap在某種程度上可以說它是LibPcap的一個Windows版本，因為它們的大部分接口函數以及所采用的數據結構都是一樣的。另外，WinPcap在某些方面進行了優化，還提供了發送原始數據包和統計網絡通信過程中各種信息的功能（LibPcap沒有統計功能），方便進行測試；所以采用WinPcap所提供的庫函數來截獲網絡數據包。

Winpcap捕獲數據包的實現

1.網絡數據包捕獲的主要數據結構(1)PACKET結構

typedef struct _PACKET { HANDLE hEvent;OVERLAPPED OverLapped;PVOID Buffer;//這個buffer就是指向存放數據包的用戶緩沖區 UINT Length;//buffer的長度

DWORD ulBytesReceived;//調用PacketReceivePacket()函數所讀 //取的字節數,可能包含多個數據包 BOOLEAN bIoComplete;} PACKET, *LPPACKET;其他未注釋的幾個成員,都是過時的成員,他們的存在只是為了與原來的兼容。此結構主要用來存放從內核中讀取的數據包。(2)pcap_file_header 結構 struct pcap_file_header{ bpf_u_int32 magic;//一個標識號，標識特定驅動器產生的dump文件 u_short version_major;//WinPcap的主版本號 u_short version_minor;//WinPcap的次版本號

bpf_int32 thiszone;//GMT時間與本地時間的校正值 bpf_u_int32 sigfigs;//精確的時間戳

bpf_u_int32 snaplen;//每個數據包需要存放到硬盤上的最大長度 bpf_u_int32 linktype;//鏈路層的數據類型 };//這個頭部共24個字節

把截獲的數據包以標準的Windump格式存放到硬盤上時，就是以這個結構 作為文件的開頭。(3)bpf_hdr結構 struct bpf_hdr { struct timeval bh_tstamp;//數據包捕獲的時間戳信息 UINT bh_caplen;//數據包被捕獲部分的長度 UINT bh_datalen;//數據的原始長度 USHORT bh_hdrlen;//此結構的長度 };從內核中讀取數據包并存放在用戶緩沖區中時，采用此結構來封裝所截獲的 數據包。其中timeval的結構如下 struct timeval { long tv_sec;//以秒為單位的時間 long tv_usec;//以毫秒為單位的時間 };(4)dump_bpf_hdr結構 struct dump_bpf_hdr{ struct timeval ts;//數據包捕獲的時間戳 UINT caplen;//數據包被捕獲部分的長度 UINT len;//數據包的原始長度 };把數據包存放到硬盤上或者向網絡上發送數據包時，都使用此結構來封裝每一個數據包。

2.數據包捕獲的具體實現

在了解其數據結構的基礎上，下面來分析其是如何具體實現網絡數據包捕獲的。其前期的主要過程應為：首先應找到設備列表，然后顯示適配器列表和選擇適配器，最后通過pcap_open_live（）函數根據網卡名字將所選的網卡打開，并設置為混雜模式。

用Winpacp捕獲數據包時，數據包捕獲的程序流程圖如圖4.3所示，其中pcap_loop()是截包的關鍵環節，它是一個循環截包函數，分析此函數的源碼可知，其內部主要處理過程如圖4.4所示。在pcap_loop()的每次循環中，首先通過調用PacketReceivePacket()函數，從內核緩沖區中把一組數據包讀取到用戶緩沖區。然后，根據bpf_hdr結構提供的該數據包的定位信息，把用戶緩沖區的多個數據包逐個的提取出來，并依次送入回調函數進行進一步處理。通過這個過程就實現了網絡數據包的捕獲。

4.4 基于協議分析的入侵檢測模塊的設計及實現

此模塊是基于協議分析入侵檢測系統PANIDS的核心部分，下面我們重點討論此模塊的設計及實現。4.4.1 數據包的分解 當需要發送數據時，就需要進行封裝。封裝的過程就是把用戶數據用協議來進行封裝，首先由應用層協議進行封裝，如HTTP協議。而HTTP協議是基于TCP協議的。它就被TCP協議進行封裝，http包作為TCP數據段的數據部分。而TCP協議是基于IP協議的，所以TCP段就作為IP協議的數據部分，加上IP協議頭，就構成了IP數據報，而IP數據報是基于以太網的，所以這個時候就被封裝成了以太網幀，這個時候就可以發送數據了。通過物理介質進行傳送。在這里我們所用到的是數據包的分解。分解的過程與封裝的過程恰恰相反，這個時候就需要從一個以太網幀中讀出用戶數據，就需要一層一層地進行分解，首先是去掉以太網頭和以太網尾，在把剩下的部分傳遞給IP層軟件進行分解，去掉IP頭，然后把剩下的傳遞給傳輸層，例如TCP協議，此時就去掉TCP頭，剩下應用層協議部分數據包了，例如HTTP協議，此時HTTP協議軟件模塊就會進一步分解，把用戶數據給分解出來，例如是HTML代碼。這樣應用軟件就可以操作用戶數據了，如用瀏覽器來瀏覽HTML頁面。其具體的數據包分解如下：

ethernet =(struct sniff_ethernet*)(pkt_data);ip =(struct sniff_ip*)(pkt_data + size_ethernet);tcp =(struct sniff_tcp*)(pkt_data + size_ethernet + size_ip);udp =(struct sniff_udp*)(pkt_data + size_ethernet + size_ip);icmp =(struct sniff_icmp*)(pkt_data + size_ethernet + size_ip);4.4.2 入侵檢測的實現

通過Winpcap捕獲數據包，數據包分解完以后就對其進行協議分析，判斷分組是否符合某種入侵模式，如果符合，則進行入侵告警。在本系統中實現了對多種常見入侵模式的檢測，采用的入侵模式包括ICMP分片、常用端口、IGMP分片、WinNuke攻擊、應用層攻擊。1.ICMP分片

ICMP報文是TCP/IP協議中一種控制報文，它的長度一般都比較小，如果出現ICMP報文分片，那么說明一定出現了Ping of Death攻擊。

在本系統中ip->ip_p == 0×1，這是表示ip首部的協議類型字段，0×1代表ICMP。

string str1 = inet_ntoa(in_addrIP);string str2 = inet_ntoa(ip->ip_src);當(ip->ip_off > 1)&& str1!= str2時，就表認為是Ping of Death攻擊。如果都符合，就報警（調用函數將受到攻擊的時間、攻擊名稱以及攻擊的IP地址顯示出來）。

2.常用端口

一些攻擊特洛伊木馬、蠕蟲病毒等都會采用一些固定端口進行通信，那么如果在分組分析過程中發現出現了某個端口的出現，則可以認為可能出現了某種攻擊，這里為了減少誤判，應當設置一個閾值，僅當某個端口的分組出現超過閾值后才進行報警。這就意味著檢測到發往某個端口的的分組超過閾值后才認為出現了某種攻擊，并進行告警。本系統定義了兩種端口掃描，Trojan Horse端口掃描和代理服務器端口掃描。Trojan Horse端口掃描實現如下：首先根據if((tcp->th_flags & TH_SYN)==TH_SYN)判斷其是否為TCP SYN報文，若是，并且端口為Trojan Horse的常用掃描端口時，最后判斷報文數是否超過閾值TrojanThreshold，如果超過的后，就被認定為Trojan Horse端口掃描，然后報警。對代理服務器端口掃描檢測的實現方法和Trojan Horse端口掃描實現方法一樣，這里不再論述。

3.IGMP分片

IGMP（Internet Group Message Protocol）是Internet中多播組管理協議，其長度也一般較小。同上ip->ip_p==0×2也是表示首部的協議類型字段，0×2代表IGMP，本系統實現了對其兩種攻擊模式的檢測。

（1）通過if(ntohs(ip->ip_len)>1499)首先判斷其是否為分片的IGMP報文，若是，并且收到的報文數超過設定的閾值IGMPThreshold，則就最終判定其為IGMP DoS攻擊，然后報警。

（2）通過if(strcmp(mbf,mbuffer)==0||strcmp(mbf,”0.0.0.0″)==0)判斷其是否為某種特定的源地址等于目的地址或者目的地址等于0的報文，若是，并且收到的報文數超過設定的閾值LandThreshold則被判定為land DoS攻擊,然后報警。

4.WinNuke攻擊 通過if((tcp->th_flags & TH_URG)==TH_URG)判斷其是否為TCP URG報文，若是，則根據WinNuke的典型特征是使用TCP中的Ugrent指針，并使用135、137、138、139端口，因此可以利用這兩個特征加以判斷，同樣為了減少誤判，應當設置一個閾值。當閾值超過設定的WinNukeThreshold時，就被最終判定為WinNuke攻擊，然后報警。5.應用層攻擊

其是分析應用層的數據特征，判斷是否存在入侵。在本系統中實現了對一種較為簡單的應用層攻擊的檢測。它也是屬于TCP SYN報文中的一種。主要思想是監測報文中是否存在system32關鍵字，如果存在，則報警。

4.5 實驗結果及結論

程序編譯成功后，執行可執行文件，此時系統已被啟動，然后在”設置”菜單中將網卡設為混雜模式，點擊”開始”按鈕，本系統開始檢測。由實驗結果可知，本系統能較好的檢測出一些典型攻擊，并能在界面上顯示出攻擊日期/時間、攻擊的類型、攻擊源的IP地址，達到了預期的效果。

第五章 總結與參考文獻

入侵檢測是一種積極主動的安全防護技術；它既能檢測未經授權的對象入侵系統，又能監視授權對象對系統資源的非法操作。入侵檢測與防火墻、身份認證、數據加密、數字簽名等安全技術共同構筑了一個多層次的動態安全體系。本文主要對基于網絡的入侵檢測系統的關鍵技術進行了研究和探討。首先較全面、系統地分析了入侵檢測技術的歷史、現狀和發展趨勢、了解了黑客常用的攻擊手段及其原理。然后，系統地闡述了入侵檢測的原理。接著講述了協議分析和模式匹配技術，最后，針對當前典型的網絡入侵，設計并實現了一個基于協議分析的網絡入侵檢測系統PANIDS，實現了多層次的協議分析，包括基本協議的解析、協議上下文的關聯分析以及應用層協議的分析，并取得了較為滿意的檢測效果。

[1] 戴英俠，連一峰，王航.系統安全與入侵檢測[M].北京：清華大學出版社 [2] 聶元銘，丘平.網絡信息安全技術[M].北京：科學出版社

[3] 董玉格，金海，趙振.攻擊與防護-網絡安全與實用防護技術[M].北京：人民 郵電出版社 [4] 戴云,范平志.入侵檢測系統研究綜述[J].計算機工程與應用 [5] 劉文淘.網絡入侵檢測系統[M].北京：電子工業出版社，

第三篇：一般焊接件技術要求

1.本件的焊接應符合JB/T5000.3-1998<<焊接件通用技術條件>>的規定.2.本件加工后的尺寸及形位公差應符合JB/T5000.9-1998<<切削加工件通用技術條件>>的規定.3.除注明者外,均采用E4303焊條進行連續焊縫焊接.4.圖中未注明的角焊縫,其高度分別為兩連接件中最薄者厚度的0.8倍(單面焊)和0.4倍(雙面焊).5.焊縫需經消除殘余應力處理,校平矯直后再進行機加工.6.本件涂裝前非加工表面應進行除銹處理,除銹等級達到Sa2 1/2或SP.10.7.銳角倒鈍。

第四篇：濰坊張寧：信息化技術“入侵”英語教學

濰坊張寧：信息化技術“入侵”英語教學

2014年，濰坊市坊子經濟發展區中心小學在區教育局的推薦下，在英語教學中試用了學樂云教學平臺。經過一年的實踐和應用，張寧老師表示，平臺全面而強大的功能深受師生喜歡，成為了協助老師教學、提高學生成績的好幫手。

預習作業——激發學習的原動力

云教學平臺，支持預習作業類型多樣化。各種題型（如選擇題、填空題、口語題、聽力題）通過圖片、音頻或者視頻形式呈現在學生面前，與傳統的書面作業相比，有種煥然一新的感覺。

作業完成后，學生上傳至平臺，并進行自主交流、互評互贊；教師依據系統記錄的大數據，了解作業完成情況，再配以一定的精神小獎勵。成就驅動型的作業、輕松快樂的氛圍，讓學生覺得完成英語作業不再是一件枯燥乏味的事，有效提高了英語學習的積極性。

寓教于樂——英語教學效率明顯提高

音頻、視頻與文字的完美結合，使學生預習課文有規律可循。掌握了單詞發音后，又可借助意思，自主學習課文的語法和句意，降低了課堂教學的難度。

在預習到位的基礎上，教師和學生能擺脫傳統課堂，從原本緊張的教學中節約出一部分時間進行娛樂。教師可利用平臺資源，帶領學生學唱英文歌曲、欣賞英文動畫或者做游戲，通過這種方式將課堂趣味化，達到提高英語教學效率的目的。全校學生競相參加英語比賽，在區里獲獎人數明顯增多，遠遠超出了教師的預想。

優化英語教學——重在提升聽、讀、寫能力 教師布置聽聽力、閱讀課文、情景對話的作業，并要求學生上傳錄音。通過檢測學生掌握單詞和字母發音的程度來調整教學進度，有效提升學生的聽力水平及口語交流能力。

系統地使用云教學平臺教授英語，學生能根據輔音字母和元音字母不同的發音規則，拼讀出新單詞的讀法，迅速記憶單詞。學生改變了以往死記硬背的壞習慣，提高了背單詞的積極性。單詞默寫效果由以前的不及格逐漸上升到了能默對百分之八九十，課外閱讀英語書籍的興趣更是空前高漲。

平臺互動——促進新型的師生關系

教師和學生圍繞提高英語成績的目的，相互作用于一個平臺上，共同完成相應的教學任務，建立了新型的師生關系。由原來單純的師生關系，變成了師生和伙伴關系共存。

頻繁的溝通和互動，讓學生更容易接受英語老師的身份，彼此成為無話不談的好朋友。

總而言之，學樂云教學平臺的使用，精準了教學管理，優化了課堂教學，為教師指明了教育教學的發展方向。

(原標題：張寧——云教學，方便你我他）

第五篇：網絡安全與入侵檢測技術的應用研究

網絡安全與入侵檢測技術的應用研究

摘要：介紹了入侵檢測系統和預警技術的含義，并對入侵檢測系統模型進行深入分析和分類，討論了入侵檢測系統的評價標準，最后對入侵檢測系統的發展趨勢作了有意義的預測。

關鍵詞：入侵檢測 網絡安全 防火墻

隨著Internet的應用日益廣泛和電子商務的興起，網絡安全作為一個無法回避的問題呈現在人們面前。提到網絡安全，很多人首先想到的是防火墻，防火墻作為一種靜態的訪問控制類安全產品通常使用包過濾的技術來實現網絡的隔離。適當配置的防火墻雖然可以將非預期的訪問請求屏蔽在外，但不能檢查出經過他的合法流量中是否包含著惡意的入侵代碼。在這種需求背景下，入侵檢測系統（IDS）應運而生。入侵檢測系統成為了安全市場上新的熱點，不僅愈來愈多的受到人們的關注，而且已經開始在各種不同的環境中發揮其關鍵作用。入侵檢測技術概述

入侵檢測就是對指向計算和網絡資源的惡意行為的識別和響應過程，為通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。

如果一個系統的計算機或者網絡安裝了入侵檢測系統，它會監視系統的某些范圍，當系統受到攻擊的時候，它可以檢測出來并做出響應。入侵被檢測出來的過程包括監控在計算機系統或者網絡中發生的事件，再分析處理這些事件，檢測出入侵事件。入侵檢測系統是使這監控和分析過程自動化的產品，可以是軟件，也可以是硬件。

入侵檢測是對防火墻的合理補充，可以幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

入侵檢測技術是動態安全技術的最核心技術之一。傳統的操作系統加固技術和防火墻隔離技術等都是靜態安全防御技術，對網絡環境下日新月異的攻擊手段缺乏主動的反應。如果與“傳統”的靜態防火墻技術共同使用，將可以大大提高系統的安全防護水平。入侵檢測系統實現

入侵檢測系統不但需要使系統管理員時刻了解網絡系統（包括程序、文件和硬件設備等）的任何變更，而且還應能給網絡安全策略的制訂提供指南。更為重要的一點是，它應該管理、配置簡單，從而使非專業人員非常容易地獲得網絡安全。入侵檢測系統在發現入侵后，會及時作出響應，包括切斷網絡連接、記錄事件和報警等，入侵檢測系統的實現一般包括以下幾個步驟。2.1 信息收集

入侵檢測的第一步是信息收集，內容包括系統、網絡、數據及用戶活動的狀態和行為。而且，需要在計算機網絡系統中的若干不同關鍵點收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。入侵檢測利用的信息一般來自以下四個方面： ⑴系統和網絡日志文件

黑客經常在系統日志文件中留下他們的蹤跡，因此，充分利用系統和網絡日志文件信息是檢測入侵的必要條件。日志中包含發生在系統和網絡上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日志文件，能夠發現成功的入侵或入侵企圖，并很快地啟動相應的應急響應程序。

⑵目錄和文件中的不期望的改變

網絡環境中的文件系統包含很多軟件和數據文件，包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變，特別是那些正常情況下限制訪問的，很可能就是一種入侵產生的指示和信號。

⑶程序執行中的不期望行為

網絡系統上的程序執行一般包括操作系統、網絡服務、用戶起動的程序和特定目的的應用，例如數據庫服務器。每個在系統上執行的程序由一到多個進程來實現，每個進程執行在具有不同權限的環境中。一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。

⑷物理形式的入侵信息 這包括兩個方面的內容，一是未授權的對網絡硬件連接；二是對物理資源的未授權訪問。黑客會想方設法去突破網絡的周邊防衛，如果他們能夠在物理上訪問內部網，就能安裝他們自己的設備和軟件。2.2 信號分析

對上述四類收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

⑴模式匹配

模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單，也可以很復雜。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

⑵統計分析

統計分析方法首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。

⑶完整性分析

完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被更改的、被特洛伊化的應用程序方面特別有效。入侵檢測系統的局限性

由于網絡的危害行為是一系列十分復雜的活動，特別是有預謀、有組織的網絡入侵，入侵檢測系統的研究遇到了以下三方面亟待解決的問題。3.1 入侵技術在不斷發展

入侵檢測技術以網絡攻擊技術研究為依托，通過跟蹤入侵技術的發展增強入侵檢測能力。在因特網上有大量的黑客站點，發布大量系統漏洞資料和探討攻擊方法。更為令人擔憂的是有組織的活動，國外已將信息戰手段同核生化武器等列在一起，作為戰略威懾加以討論，破壞者所具備的能力，對我們是很大的未知數。

入侵技術的發展給入侵檢測造成了很大的困難，預先了解所有可能的入侵方法是困難的，因此一個有效的入侵檢測系統不僅需要識別已知的入侵模式，還要有能力對付未知的入侵模式。

3.2 入侵活動可以具有很大的時間跨度和空間跨度

有預謀的入侵活動往往有較周密的策劃、試探性和技術性準備，一個入侵活動的各個步驟有可能在一段相對長的時間跨度和相當大的空間跨度之上分別地完成，給預警帶來困難。一個檢測模型總會有一個有限的時間窗口，從而忽略滑出時間窗口的某些事實。同時，檢測模型對于在較大空間范圍中發生的的異?，F象的綜合、聯想能力也是有限的。3.3 非線性的特征還沒有有效的識別模型

入侵檢測技術的難度不僅僅在于入侵模式的提取，更在于入侵模式的檢測策略和算法。因為入侵模式是一個靜態的事物，而現實的入侵活動則是靈活多變的。有效的入侵檢測模型應能夠受大的時間跨度和空間跨度。從技術上說，入侵技術已經發展到一定階段，而入侵檢測技術在理論上、模型上和實踐上還都沒有真正發展起來。在市場上能看得到的入侵檢測系統也都處在同一水平。

面對復雜的網絡入侵活動，網絡入侵檢測技術的研究不僅僅包括入侵技術的研究，更要重視建立入侵檢測策略和模型的理論研究。入侵檢測技術研究的主要內容

網絡入侵檢測技術研究主要包括：網絡入侵技術研究、檢測模型研究、審計分析策略研究等。通過將這些技術組合起來，形成一個互動發展的有機體。4.1 入侵技術研究

入侵技術研究包括三個部分：第一，密切跟蹤分析國際上入侵技術的發展，不斷獲得最新的攻擊方法。通過分析這些已知的攻擊方法來豐富預警系統的檢測能力。第二，加強并利用預警系統的審計、跟蹤和現場記錄功能，記錄并反饋異常事件實例。通過實例分析提取可疑的網絡活動特征，擴充系統的檢測范圍，使系統能夠應對未知的入侵活動。第三，利用攻網技術的研究成果，創造新的入侵方法，并應用于檢測技術。4.2 檢測模型研究

對于預警系統來說，檢測模型的確定是很重要的。由于入侵活動的復雜性，僅僅依靠了解入侵方法還不能完全實現預警，還應有適當檢測模型與之配合。在預警技術研究中，入侵檢測模型是關鍵技術之一。4.3 審計分析策略研究

預警技術研究的另一個重點在于對審計數據的分析處理。其中包括：威脅來源的識別、企圖的判定、危害程度和能力的判斷等等。預警所產生的審計數據是檢測與預警的寶貴資源。這些審計數據可能是很大量的，如果缺乏有效的分析手段將會浪費這一資源。結束語

入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。從網絡安全立體縱深、多層次防御的角度出發，入侵檢測理應受到人們的高度重視。但在國內，隨著上網的關鍵部門、關鍵業務越來越多，迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品階段，或者是防火墻中集成較為初級的入侵檢測模塊?？梢姡肭謾z測產品仍具有較大的發展空間，從技術途徑來講，除了完善常規的、傳統的技術外，應重點加強統計分析的相關技術應用研究。

參考文獻

[1] 黃亞飛.防火墻技術與應用.武漢：湖北教育出版社，2003 [2] 張小斌.網絡安全與黑客防范.北京：清華大學出版社，1999