隨著互聯(lián)網(wǎng)的迅猛發(fā)展和局域網(wǎng)的廣泛使用，局域網(wǎng)已經(jīng)成為人們學(xué)習(xí)和工作的一個重要的場所，它在給人們提供便利的同時也帶來了不安全的因素和負面的影響。對于一個處于局域網(wǎng)數(shù)字辦公室環(huán)境中的企業(yè)，在管理內(nèi)部員工時，防止內(nèi)部人員對網(wǎng)絡(luò)資源的非法操作，保障辦公室內(nèi)部的安全是很重要的。通過對數(shù)據(jù)包的截獲與分析系統(tǒng)的實現(xiàn)，在一定程度上不僅可以了解整個網(wǎng)絡(luò)的情況，也可以對局域網(wǎng)辦公環(huán)境內(nèi)的數(shù)據(jù)進行分析，保護企業(yè)安全。本文主要討論了局域網(wǎng)內(nèi)部安全問題。在研究與數(shù)據(jù)包相關(guān)的理論知識的基礎(chǔ)上，提出了網(wǎng)絡(luò)協(xié)議分析方法和入侵檢測算法。主要工作內(nèi)容如下：分析了Windows下對數(shù)據(jù)包進行處理的軟件開發(fā)包WinPcap的工作原理，提出了對數(shù)據(jù)包進行捕獲和過濾的方法。通過該開發(fā)包內(nèi)核層的NPF模塊可以實現(xiàn)截獲與過濾，通過其提供的高層接口可進行編程開發(fā)。在對數(shù)據(jù)包進行捕獲與過濾的基礎(chǔ)上，提出了基于TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)下的協(xié)議分析的方法。該分析方法簡單且具有層次感，主要是通過對數(shù)據(jù)的封裝與分用過程中的各種特征字符來進行分析的。在對數(shù)據(jù)包進行過濾和分析的基礎(chǔ)上，提出了一種改進的基于多模式匹配的入侵檢測算法。通過對各種算法進... 

【文章來源】：西安電子科技大學(xué)陜西省 211工程院校 教育部直屬院校

【文章頁數(shù)】：70 頁

【學(xué)位級別】：碩士

【部分圖文】：

TCP/IP協(xié)議族中基本協(xié)議體系圖

圖 2.6 各層數(shù)據(jù)封裝過程圖由于 TCP、UDP、ICMP 和 IGMP 都要向 IP 傳送數(shù)據(jù)，因此 IP 需要在生成的IP 首部中加入某種表明數(shù)據(jù)屬于哪一層的標識。在 IP 首部中有一個長度為 8bit 的空間，此空間用來表明是哪層或是什么協(xié)議在向 IP 傳送數(shù)據(jù)，此 8bit 空間稱為協(xié)議域，不同數(shù)值表示不同協(xié)議。對于網(wǎng)絡(luò)接口要分別發(fā)送和接收 IP、ARP 和 RARP 數(shù)據(jù)，因此也必須在以太網(wǎng)幀首部中加入某種標識以表明生成的數(shù)據(jù)的網(wǎng)絡(luò)層協(xié)議。2.3.3 各種協(xié)議的數(shù)據(jù)分用過程在發(fā)送端，數(shù)據(jù)通過一層一層的封裝，封裝好后就可以以比特流的形式進行傳輸了，當(dāng)比特流到達接收端后，此時就要有一個分用的過程。當(dāng)目的主機收到一個以太網(wǎng)數(shù)據(jù)幀時，通過一層一層的去掉各層協(xié)議加上的報文首部，讓數(shù)據(jù)最后到達應(yīng)用層。每層協(xié)議都要去檢查報文首部中的協(xié)議標識域，以此來確定接收到的數(shù)據(jù)的上層協(xié)議為何種協(xié)議，此過程即為分用過程。以以太網(wǎng)的分用過程為

圖 2.7 數(shù)據(jù)在各層分用過程此處接收端的數(shù)據(jù)的分用過程就是數(shù)據(jù)在發(fā)送端時每一層封裝過程的逆過程，通過反向操作就可以判斷接收端的各層使用何種協(xié)議。當(dāng)傳輸層協(xié)議為 TCP或 UDP 時，最后通過 TCP 或 UDP 首部的端口號來判斷數(shù)據(jù)為那個應(yīng)用程序所用。通過這樣一層一層的分用過程，接收端就完成了數(shù)據(jù)的處理。每一層協(xié)議通過協(xié)議規(guī)則封裝數(shù)據(jù)，再分用數(shù)據(jù)，這樣就完成了整個通信過程的數(shù)據(jù)處理。2.4 Windows 下的 WinPcap 開發(fā)包網(wǎng)絡(luò)安全開發(fā)包有很多種，如在 Linux 下常用的網(wǎng)絡(luò)數(shù)據(jù)包捕獲開發(fā)包是Libpcap，而在 Windows 下常用的是 WinPcap[8]開發(fā)包。還有用于網(wǎng)絡(luò)數(shù)據(jù)包構(gòu)造和發(fā)送的 Libnet 開發(fā)包；用于入侵檢測的 Libnids 開發(fā)包等。在這里我們主要介紹在 Windows 下用于數(shù)據(jù)包捕獲的開發(fā)包 WinPcap。2.4.1 關(guān)于 WinPcap 開發(fā)包的介紹

【參考文獻】：
期刊論文
[1]Sunday字符串匹配算法的效率改進[J]. 徐珊,袁小坊,王東,謝高崗.  計算機工程與應(yīng)用. 2011(29)
[2]模式匹配研究進展[J]. 潘超,楊良懷,龔衛(wèi)華,古輝,陳敏智.  計算機系統(tǒng)應(yīng)用. 2010(11)
[3]一種改進的BMH模式匹配算法[J]. 劉勝飛,張云泉.  計算機科學(xué). 2008(11)
[4]入侵檢測中一種新的多模式匹配算法[J]. 李庚,韓進,謝立.  計算機應(yīng)用研究. 2008(08)
[5]基于WinPcap的數(shù)據(jù)包捕獲及應(yīng)用[J]. 張偉,王韜,潘艷輝,郝震華.  計算機工程與設(shè)計. 2008(07)
[6]一種快速的單模式匹配算法[J]. 蔡曉妍,戴冠中,楊黎斌.  計算機應(yīng)用研究. 2008(01)
[7]用于檢測過濾的多模式匹配[J]. 魏景芝,辛陽,楊義先,鈕心忻.  北京郵電大學(xué)學(xué)報. 2007(06)
[8]快速的多模式匹配算法[J]. 殷麗華,方濱興,張宏莉.  哈爾濱工業(yè)大學(xué)學(xué)報. 2007(12)
[9]改進的多模式字符串匹配算法[J]. 蔡曉妍,戴冠中,楊黎斌.  計算機應(yīng)用. 2007(06)
[10]多模式匹配算法的優(yōu)化研究[J]. 方賢進,李龍澍.  微計算機信息. 2007(09)

碩士論文
[1]基于AC-BM改進算法的IPS研究與實現(xiàn)[D]. 萬姝伊.合肥工業(yè)大學(xué) 2011



本文編號：3076309