發(fā)布時(shí)間：2021-03-11 10:14

　　隨著互聯(lián)網(wǎng)的迅猛發(fā)展和局域網(wǎng)的廣泛使用，局域網(wǎng)已經(jīng)成為人們學(xué)習(xí)和工作的一個(gè)重要的場(chǎng)所，它在給人們提供便利的同時(shí)也帶來(lái)了不安全的因素和負(fù)面的影響。對(duì)于一個(gè)處于局域網(wǎng)數(shù)字辦公室環(huán)境中的企業(yè)，在管理內(nèi)部員工時(shí)，防止內(nèi)部人員對(duì)網(wǎng)絡(luò)資源的非法操作，保障辦公室內(nèi)部的安全是很重要的。通過(guò)對(duì)數(shù)據(jù)包的截獲與分析系統(tǒng)的實(shí)現(xiàn)，在一定程度上不僅可以了解整個(gè)網(wǎng)絡(luò)的情況，也可以對(duì)局域網(wǎng)辦公環(huán)境內(nèi)的數(shù)據(jù)進(jìn)行分析，保護(hù)企業(yè)安全。本文主要討論了局域網(wǎng)內(nèi)部安全問(wèn)題。在研究與數(shù)據(jù)包相關(guān)的理論知識(shí)的基礎(chǔ)上，提出了網(wǎng)絡(luò)協(xié)議分析方法和入侵檢測(cè)算法。主要工作內(nèi)容如下：分析了Windows下對(duì)數(shù)據(jù)包進(jìn)行處理的軟件開(kāi)發(fā)包WinPcap的工作原理，提出了對(duì)數(shù)據(jù)包進(jìn)行捕獲和過(guò)濾的方法。通過(guò)該開(kāi)發(fā)包內(nèi)核層的NPF模塊可以實(shí)現(xiàn)截獲與過(guò)濾，通過(guò)其提供的高層接口可進(jìn)行編程開(kāi)發(fā)。在對(duì)數(shù)據(jù)包進(jìn)行捕獲與過(guò)濾的基礎(chǔ)上，提出了基于TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)下的協(xié)議分析的方法。該分析方法簡(jiǎn)單且具有層次感，主要是通過(guò)對(duì)數(shù)據(jù)的封裝與分用過(guò)程中的各種特征字符來(lái)進(jìn)行分析的。在對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾和分析的基礎(chǔ)上，提出了一種改進(jìn)的基于多模式匹配的入侵檢測(cè)算法。通過(guò)對(duì)各種算法進(jìn)... 

【文章來(lái)源】：西安電子科技大學(xué)陜西省 211工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：70 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

TCP/IP協(xié)議族中基本協(xié)議體系圖

圖 2.6 各層數(shù)據(jù)封裝過(guò)程圖由于 TCP、UDP、ICMP 和 IGMP 都要向 IP 傳送數(shù)據(jù)，因此 IP 需要在生成的IP 首部中加入某種表明數(shù)據(jù)屬于哪一層的標(biāo)識(shí)。在 IP 首部中有一個(gè)長(zhǎng)度為 8bit 的空間，此空間用來(lái)表明是哪層或是什么協(xié)議在向 IP 傳送數(shù)據(jù)，此 8bit 空間稱為協(xié)議域，不同數(shù)值表示不同協(xié)議。對(duì)于網(wǎng)絡(luò)接口要分別發(fā)送和接收 IP、ARP 和 RARP 數(shù)據(jù)，因此也必須在以太網(wǎng)幀首部中加入某種標(biāo)識(shí)以表明生成的數(shù)據(jù)的網(wǎng)絡(luò)層協(xié)議。2.3.3 各種協(xié)議的數(shù)據(jù)分用過(guò)程在發(fā)送端，數(shù)據(jù)通過(guò)一層一層的封裝，封裝好后就可以以比特流的形式進(jìn)行傳輸了，當(dāng)比特流到達(dá)接收端后，此時(shí)就要有一個(gè)分用的過(guò)程。當(dāng)目的主機(jī)收到一個(gè)以太網(wǎng)數(shù)據(jù)幀時(shí)，通過(guò)一層一層的去掉各層協(xié)議加上的報(bào)文首部，讓數(shù)據(jù)最后到達(dá)應(yīng)用層。每層協(xié)議都要去檢查報(bào)文首部中的協(xié)議標(biāo)識(shí)域，以此來(lái)確定接收到的數(shù)據(jù)的上層協(xié)議為何種協(xié)議，此過(guò)程即為分用過(guò)程。以以太網(wǎng)的分用過(guò)程為

圖 2.7 數(shù)據(jù)在各層分用過(guò)程此處接收端的數(shù)據(jù)的分用過(guò)程就是數(shù)據(jù)在發(fā)送端時(shí)每一層封裝過(guò)程的逆過(guò)程，通過(guò)反向操作就可以判斷接收端的各層使用何種協(xié)議。當(dāng)傳輸層協(xié)議為 TCP或 UDP 時(shí)，最后通過(guò) TCP 或 UDP 首部的端口號(hào)來(lái)判斷數(shù)據(jù)為那個(gè)應(yīng)用程序所用。通過(guò)這樣一層一層的分用過(guò)程，接收端就完成了數(shù)據(jù)的處理。每一層協(xié)議通過(guò)協(xié)議規(guī)則封裝數(shù)據(jù)，再分用數(shù)據(jù)，這樣就完成了整個(gè)通信過(guò)程的數(shù)據(jù)處理。2.4 Windows 下的 WinPcap 開(kāi)發(fā)包網(wǎng)絡(luò)安全開(kāi)發(fā)包有很多種，如在 Linux 下常用的網(wǎng)絡(luò)數(shù)據(jù)包捕獲開(kāi)發(fā)包是Libpcap，而在 Windows 下常用的是 WinPcap[8]開(kāi)發(fā)包。還有用于網(wǎng)絡(luò)數(shù)據(jù)包構(gòu)造和發(fā)送的 Libnet 開(kāi)發(fā)包；用于入侵檢測(cè)的 Libnids 開(kāi)發(fā)包等。在這里我們主要介紹在 Windows 下用于數(shù)據(jù)包捕獲的開(kāi)發(fā)包 WinPcap。2.4.1 關(guān)于 WinPcap 開(kāi)發(fā)包的介紹

【參考文獻(xiàn)】：
期刊論文
[1]Sunday字符串匹配算法的效率改進(jìn)[J]. 徐珊,袁小坊,王東,謝高崗.  計(jì)算機(jī)工程與應(yīng)用. 2011(29)
[2]模式匹配研究進(jìn)展[J]. 潘超,楊良懷,龔衛(wèi)華,古輝,陳敏智.  計(jì)算機(jī)系統(tǒng)應(yīng)用. 2010(11)
[3]一種改進(jìn)的BMH模式匹配算法[J]. 劉勝飛,張?jiān)迫?  計(jì)算機(jī)科學(xué). 2008(11)
[4]入侵檢測(cè)中一種新的多模式匹配算法[J]. 李庚,韓進(jìn),謝立.  計(jì)算機(jī)應(yīng)用研究. 2008(08)
[5]基于WinPcap的數(shù)據(jù)包捕獲及應(yīng)用[J]. 張偉,王韜,潘艷輝,郝震華.  計(jì)算機(jī)工程與設(shè)計(jì). 2008(07)
[6]一種快速的單模式匹配算法[J]. 蔡曉妍,戴冠中,楊黎斌.  計(jì)算機(jī)應(yīng)用研究. 2008(01)
[7]用于檢測(cè)過(guò)濾的多模式匹配[J]. 魏景芝,辛陽(yáng),楊義先,鈕心忻.  北京郵電大學(xué)學(xué)報(bào). 2007(06)
[8]快速的多模式匹配算法[J]. 殷麗華,方濱興,張宏莉.  哈爾濱工業(yè)大學(xué)學(xué)報(bào). 2007(12)
[9]改進(jìn)的多模式字符串匹配算法[J]. 蔡曉妍,戴冠中,楊黎斌.  計(jì)算機(jī)應(yīng)用. 2007(06)
[10]多模式匹配算法的優(yōu)化研究[J]. 方賢進(jìn),李龍澍.  微計(jì)算機(jī)信息. 2007(09)

碩士論文
[1]基于AC-BM改進(jìn)算法的IPS研究與實(shí)現(xiàn)[D]. 萬(wàn)姝伊.合肥工業(yè)大學(xué) 2011



本文編號(hào)：3076309