毕业论文：Windows下入侵检测系统的研究与设计㊣精品文档值得下载

第 1 页 / 共 44 页

第 2 页 / 共 44 页

第 3 页 / 共 44 页

第 4 页 / 共 44 页

第 5 页 / 共 44 页

第 6 页 / 共 44 页

第 7 页 / 共 44 页

第 8 页 / 共 44 页

第 9 页 / 共 44 页

第 10 页 / 共 44 页

第 11 页 / 共 44 页

第 12 页 / 共 44 页

第 13 页 / 共 44 页

第 14 页 / 共 44 页

第 15 页 / 共 44 页

1、协议为那么进入规则匹配的主函数，进行匹配，匹配函数将遍历规则动态链表，匹配当前规则中存在的规则选项。规则匹配如果数据包网络层采用协议，且上层协议为那么进入规则匹配的主函数，进行匹配，匹配函数将遍历规则动态链表，匹配当前规则中存在的规则选项。规则匹配如果数据包网络层采用协议，且上层协议为那么进入规则匹配的主函数，进行匹配，匹配函数将遍历规则动态链表，匹配当前规则中存在的规则选项。规则匹配如果数据包网络层采用协议，且上层协议不为那么进入规则匹配的主函数，进行匹配，匹配函数将遍历规则动态链表，匹配当前规则中存在的规则选项。其它情况处理如果数据包网络层采用其它协议，那么根据不同的协议类型输出相应的信息。另外如果规则中出现了数据选项，则可以用算法对内容进行搜索。内容可以有不同的格式二进制，文本或则。

2、行效果图系统测试和分析攻击检测测试扫描是黑客攻击的前奏，如果能及时地分析出扫描者的意图就能及时地避免黑客的攻击。所以此测试是检测扫描攻击行为有效的个重要步骤。测试目的测试系统是否能对网络和主机攻击的进行检测。测试系统是否能对攻击检测结果输出。动态规则链表是否支持添加的新规则。测试过程运用扫描软件对网络或主机进行扫描。运用软件监听网络，截获扫描数据包的分析结果。根据结果编写条最适合的规则，对比里的规则。查看不同点进行修改。添加到规则库。开启入侵检测系统得扫描检测系统进行检测再次运用扫描软件对网络或主机进行扫描。检查检测结果。测试结果分析用扫描软件扫描时软件得到的结果图图扫描检测结果图分析得出该扫描软件的特征是为任意，端口为任意，除的标志项目外其它的项为空，标志项为,对应为。所以在规则库中我。

3、系统的状态及其修改并可擒获非法修改。缓冲区溢出缓冲区溢出就是向堆栈中分配的局部变量传递超长的数据，导致数据越界而覆盖它后面的堆栈区域。黑客利用缓冲区溢出覆盖程序或函数的返回地址，当程序或函数返回时指针指向黑客设计的位置，使黑客的恶意代码得以执行而获得系统中的用户权限甚至特权用户权限。缓冲区溢出是目前最常见的攻击收集。缓冲区溢出攻击又可分为远程溢出攻击和本地溢出攻击，本地溢出攻击是黑客获得普通用户权限后提升自己权限采用的方法远程溢出攻击是黑客获得普通用户权限后提升自己权限常采用的方法远程溢出攻击则可以在没有系统的任何帐号的情况下获得系统中的用户权限，甚至直接获得特权用户权限。防范缓冲区溢出的方法是在程序设计时记住进行越界检查。拒绝服务拒绝服务是就攻击结果而言的，指目标主机不能为用户提供正常。

4、则的混合。处理流程图如图。图规则匹配流程图输出模块的设计响应输出流程根据规则动作的内容把入侵的警告信息忽略警告或警告并存入数据库。流程如图图响应输出流程日志数据库设计日志数据库主要是存储需要记录的重要入侵记录，其作用是为了对入侵事件的分析和取证。主要结构如表。表重要日志信息表名称数据库定义字段名称协议时间警告信息源和目的地址源和目的端口信息摘要表般日志信息表名称数据库定义字段名称规则动作分析警告记录是输出警告否是输出警告并记录否忽略结束警告信息时间模块集成实现响应模块是对得到的事件进行分析，得出分析结果。需要与检测模块进行集成实现，组合成个完整的入侵检测系统。为了系统具有更好的扩展性，集成函数如下其中,函数是调用其它事件分析程序进行事件分析响应。中央控制器响应模块报警效果如图图响应模块运。

5、的系统与数据安全性定义机密性使信息不泄露给非授权的个人实体和进程，不为其所用完整性数据没有遭受以非授权的个人实体和进程的窜改，不为其所用可确认性确保个实体的作用可以被独无二地跟踪到该实体可用性根据授权实体的请求可被访问与使用。入侵定义在年代早期使用了威胁概念术语，其定义与入侵含义相同。将入侵企图或威胁定义为未授权蓄意尝试访问信息篡改信息使系统不可靠或不能使用。给出另外的入侵定义入侵是指有关试图破坏资源的完整性机密性及可用性的活动集合。从分类角度指出入侵包括尝试性闯入伪装攻击安全控制系统渗透泄漏拒绝服务恶意使用六种类型。入侵的步骤黑客通常采用以下的几个步骤来实现入侵目标主机的目的。搜集信息寻找目标主机并分析要攻击的环境。实施入侵获取帐号和密码，登录主机。提升权限黑客旦获得目标主机普通用户的。

6、的值，进步检验窗口值，则可以区分和。指示性参数的组合将提供有关操作系统的可靠特征。由于在发出安全报警之前，采用被动指纹识别技术的会首先确定目标主机是否真正受到攻击的影响，因此这种能够大大减少误报和漏报，进而提供更准确的检测率。结论本系统设计实现了基于的误用特征规则检测技术构架的网络入侵检测系统以有效方式检测入侵行为。保证用户及时的发现入侵，并采取相应的措施，有效的保证了网络的安全。基于误用特征规则检测技术提供了些良好特性。首先，这种技术使用种模式或特征表示攻击，进而发现相同的攻击。这种方法能检测出许多已知的攻击行为，能尽最大的可能性减少误报。但是它的优点又是缺点由于只能检测已知攻击行为，使系统对未知的攻击行为无能为力。由于能力和水平的限制，该系统还是存在误报率高和漏报的问题，若想在短期开。

7、适从。端口扫描端口扫描的基本原理是扫描方通过向目标系统的不同端口发送具有特殊位的数据包，并记录目标做出的应答，通过分析得出关于目标的相关信息。根据数据包的类型可分为扫描扫描扫描。其中扫描包括扫描扫描扫描扫描扫描空扫描树扫描往目标端口发送个设置了位的分组。扫描包括查询报文请求及应答扫描差错报文扫描扫描包括端口不可达扫描等。口令入侵口令入侵是指攻击者使用合法的用户帐号和口令登录到目标主机，然后再实施攻击行为。攻击者通过猜测监听和破解用户口令等方法获得对主机或网络的访问权，登录目标系统访问资源，安装后门等。防范方法方面强制用户选择安全的口令另方面限制口令文件的访问，例如只让管理员可读。特洛伊木马特洛伊木马程序是指非法驻留在目标系统中，提供隐秘的非用户所希望的程序。特洛伊木马程序可用于窃取目标系。

8、首先建立相对的规则。选择能引发告警的数据包。发送数据包进行测试。测试结果分析表误报和漏报测试结果及说明测试项目测试结果分析说明误报测试会产生大多数的攻击软件发送的数据包都没有按照中定义的来组织，而些正常的软件有时也会发生相同的现象。这就使得误报的情况会发生。漏报测试会产生由于基于误用的入侵检测系统只能对已知的攻击行为进行检测，所以对些未知的攻击行为或者攻击软件更改了攻击的特征，这样将无法对攻击行为进行告警。这就使得漏报的情况发生。由于入侵检测系统技术的自身原因，误报和漏报并不能完全的消除。而只能降低误报和漏报出现的概率。但是当根据操作系统的指纹特征数据库综合评估这些指标时，就可以准确确定主机的操作系统和服务。例如，分析值为的数据包，指纹引擎将操作系统范围缩小到或，因为这两种操作系统具有同。

9、帐号，便可以利用些登录工具进入目标主机，进入以后，他们会想方设法的到超级用户的权限，然后进行任意操作。攻击活动的实施黑客获取了超级用户权限后，就可以在目标系统上为所欲为。根据各自不同的目的，黑客在攻克的目标系统上进行不同的破坏活动，例如窃取敏感资料篡改文件内容，替换目标系统服务的主页是黑客示威常采用的手段。清除日志记录黑客在退出被攻克的目标前通常要进行些善后处理。黑客攻击的方法网络监听网络监听最初是为了协助网络管理员监测网络传输的数据，排除网络故障而开发的技术，然而网络监听也给以太网安全带来了极大的隐患。监听是通过将网络接口设为混杂模式，从而接收经过它的所有网络数据包，达到偷看局域网内其它主机的通讯的目的。反监听的方法是将网络分段，把不可信任的机器隔开以防止被监听加密，大量的密文让黑客无。

10、的服务，即破坏目标系统的可用性。要达到这目的，有几种不同的方法告信息事件分析设计与实现规则解析规则在数据库中是以所有类型的规则混合存储的方式，所以如果每个数据包到来时都遍历数据库，将消耗系统得资源和增加程序的时间复杂度，所以在本入侵检测系统中将建立规则的动态链表，在程序初始化时读取数据库，将以不同的协议类型，加入不同的动态规则链表。规则动态链表的分类如表。表规则链表分类规则动态链表以数据库规则记录中的字段为时，加入该链表规则动态链表以数据库规则记录中的字段为时，加入该链表规则动态链表以数据库规则记录中的字段为时，加入该链表规则动态链表以数据库规则记录中的字段为时，加入该链表规则动态链表结构定义如下规则匹配流程根据数据包的协议特征分为五种主要的处理方式规则匹配如果数据包网络层采用协议，且上。

11、统的敏感信息例如用户名和口令记录用户的键盘操作，直至远程控制目标系统。特洛伊木马程序般采用客户服务器方式，驻留到目标系统中的程序作为服务器端，接收客户端在黑客的主机上的控制命令。要利用特洛伊木马程序，关键点是怎样让特洛伊木马程序能驻留到目标系统中去，这般需要使用欺骗手段让目标系统上的用户执行个程序或者个动作从而完成特洛伊木马程序的安装。黑客在成功入侵后也常在目标系统中安装特洛伊木马程序以便长期控制目标系统。防范方法经常检查系统中运行的服务或开启的端口号，如果陌生的服务程序在运行或陌生的端口号被开启，就应该进步查清是正常启动的新服务还是特洛伊木马程序。特洛伊木马程序为了能在每次系统启动的时候自动启动，必须要修改注册表项，所以通过检查注册表也可以发现特洛伊木马程序，目前已有专用的防范软件来记。

12、可以添加条规则，如下表表规则表项目值其它项在中的文件中也有同样的规则它的为,是因为它检测了保留位里的低两位。用检测系统对扫描攻击进行检测得到结果如图图检测结果此测试用的扫描软件是,进行的扫描命令为。通过测试，切正常。但是值得注意的是攻击软件的数据特征会随时变化，为了应对这种随时变化的情况就需要编写的规则要般化，具有针对性随时注意攻击特征的变化，修改规则库。误报和漏报测试入侵检测系统是多层安全体系架构的关键组成部分。但目前的入侵检测技术还不够完善，存在大量误报和漏报现象。误报是指在安全事件并没有发生时报告发现了攻击，漏报是指在安全事件发生时却没有发出报警。漏报和误报不仅阻碍了的进步应用，也使得些专家对的存在价值提出置疑。测试目的检测系统是否会有般基于误用的入侵检测的通病误报和漏报。测试过程。

参考资料：

[1]毕业论文：jsp个人博客系统设计（第34页，发表于2022-06-24 19:17）

[2]毕业论文：jsp个人博客系统论文（第33页，发表于2022-06-24 19:17）

[3]毕业论文：JSP_网上购物系统_论文（第36页，发表于2022-06-24 19:17）

[4]毕业论文：JSP_BBS专题论坛系统_论文（第32页，发表于2022-06-24 19:17）

[5]毕业论文：JS750混凝土搅拌机设计（第49页，发表于2022-06-24 19:17）

[6]毕业论文：JS500混凝土搅拌机设计（第20页，发表于2022-06-24 19:17）

[7]毕业论文：JS2000混凝土搅拌机设计（第22页，发表于2022-06-24 19:17）

[8]毕业论文：JS1500型混凝土搅拌机设计（第31页，发表于2022-06-24 19:17）

[9]毕业论文：JS-500搅拌机（第39页，发表于2022-06-24 19:17）

[10]毕业论文：JH125摩托车左曲柄零件制造工艺及工装夹具设计（第22页，发表于2022-06-24 19:17）

[11]毕业论文：Jetta汽车电子油门二级减速系统运动仿真及控制原理研究1（第36页，发表于2022-06-24 19:17）