基于网络数据包分析的主机入侵检测系统

1)数据包截获  该模块将网络接口设置为混杂模式，将流经网络的数据包截取下来，供协议分析模块使用。由于效率的需要，有时要根据设置过滤网络上的一些数据包，如特定IP、特定MAC地址、特定协议的数据包。该模块的过滤功能的效率是该网络监听的关键，因为对于网络上的每一数据包都会使用该模块过滤，判断是否符合过滤条件。低效率的过滤程序会导致数据包丢失、分析部分来不及处理。
    为提高效率，本系统采用了专门为数据监听应用程序设计的开发包Winpcap来实现这模块，开发包中内置的内核层所实现的BPF过滤机制和许多接口函数，不但能够提高监听部分的效率，也降低了开发的难度。同时Winpcap是从UNIX平台上的Libpcap移植过来的，它们具有相同的接口，减轻了不同平台上开发网络代理的难度。Winpcap有3部分组成：一个数据包监听设备驱动程序，一个低级的动态连接库和一个高级的静态连接库。数据包监听设备驱动程序直接从数据链路层取得网络数据包，并不加修改地传递给运行在用户层的应用程序。数据包监听设备驱动程序支持BPF过滤机制，可以灵活地设置过滤规则。低级的动态链接库运行在用户层，它把应用程序和数据包监听设备驱动程序隔离开来，使得应用程序可以不加修改地在不同Windows系统上运行.myeducs.cn

 一个网络数据包的分析就是一条从根到某个叶子的路径。在程序中动态地维护和配置此树结构即可实现非常灵活的协议分析功能。在该树结构中可以加入自定义的协议节点，如在HTTP协议中可以把请求URL列入该树中作为一个点，再将URL中不同的方法作为子节点，这样可以细化分析数据，提高检测效率。树的结点数据结构中包含以下信息：该协议的特征、协议名称、协议代号，下级协议代号，协议对应的数据分析函数链表。协议名称是该协议的唯一标志。协议代号是为了提高分析速度用的编号。下级协议代号是在协议树中其父结点的编号，如TCP的下级协议是IP协议。协议特征是用于判定一个数据包是否为该协议的特征数据

本文选自计算机毕业设计http://myeducs.cn
论文文章部分只是部分简介，如需了解更多详情请咨询本站客服！QQ3710167