1、“.....如，等头标校验和用于保证头标数据的完整性源地址和目的地址分别指发送本数据报的主机地址和接受本数据报的主机的地址选项用于控制和测试，是数据报中可选的部分，包含源路径路径记录时间戳等几种类型。协议是网络中应用最为广泛的协议，许多的应用层协议都是在建立在协议之上的。协议头部信息如下源端口发送端端口号目的端口接收端端口号序号指出段中数据在发送端数据流中的位置确认号指出本机希望下个接收的字节的序号头标长度以为单位的段头标长度，针对变长的选项域设计的码位指出段的目的与内容，不同的各码位置位有不同的含义窗口用于通告接收端接收缓冲区的大小校验和这是可选域，置表示未选，全表示校验和为伍紧急指针当码位的置位时，指出紧急指针的序号协议是英文的缩写，即用户数据报协议，主要用来支持那些需要在计算机之间传输数据的网络应用......”。

2、“.....协议从问世至今已经被使用了很多年，虽然其最初的光彩已经被些类似协议所掩盖，但是即使是在今天，仍然不失为项非常实用和可行的网络传输层协议。数据报各域的意义与段中相应的域相同。只有校验和有些不同，除数据报本身外，它还覆盖个附加的伪头标。这个伪头标来自于报头，包括源地址信宿地址协议类型长度及填充域。数据分析模块本系统采用异常检测量化分析方法，把检测规则和属性以数值形式表示。在检测中，采用计数方法来描述用户和系统行为种属性，这些计数值只能在定范围内变化。例如系统允许有限的不成功注册次数种特定类型的网络连接数企图访问文件的次数访问文件或目录次数和访问网络系统次数。这个数值检测以个相对固定的时间间隔例如小时来度量用户的行为。在本系统中，分析器对解析的数据包计算每个包的异常值......”。

3、“.....则认为发生了异常攻击，就将该包信息存入数据库中。异常值由用户的行为的历史情况来决定。基本思想是，般情况下，同个用户在定时间内连接本机的端口数较少，如果这个连接数突然增大，这个地址的异常值就增高。应当说，这并不是网络人侵的严格定义，它只是反映出被检测的数据包的异常程度。例如因网络问题而使来自同个地址的数据突然增多时，这种检测方法可能会认为对方有异常行为。分析结果记录用数据库记录异常数据包信息，用于以后的分析与检查。报警处理模块将数据库中的信息及时响应，确定入侵的类型并进行报警。个人入侵检测系统的实现系统的总体结构总体设计如图图总体设计分析数据记录入侵信息告警提示结束开始捕获数据包解码数据包系统捕获网络中的数据包，解码的头部各字段的信息，然后对解码后的数据进行分析统计，并对其做出判断。系统将入侵信息记录入数据库......”。

4、“.....数据包捕获模块实现的数据包捕获是通过调用中的动态库函数实现的。使用函数获取网络设备链表。获取失败终止程序并打印出报告，成功就打印出所有网络设备信息以供选择。在选择好进入的网络设备后，对该网络设备进行相应的配置，然后使用函数捕获数据包。首先获得网卡信息返回网络设备的链表，以供选择，选择列表，接下来根据所选择的数据进入该网卡对选择的网卡进行属性定义，网卡名字，表示对所有数据捕获，网卡为混杂模式，抓包时间间隔设置过滤规则连接并设置过滤器，最后使用回调函数捕获并解析数据包解码数据包模块实现捕获到数据包后，根据对函数的操作可以对协议各字段的信息进行分析。数据结构如下头版本首部返回新修改的数据下表返回新插入的数据下表分析结果记录并告警分析模块将异常信息记录到数据库里，本模块采用访问数据库技术，读取数据库记录，显示捕获的头部信息......”。

5、“.....头部信息放入数据库中，表如下，个人入侵检测系统的应用实例分析使用端口扫描程序在计算机和上同时对安装个人入侵检测系统的主机进行扫描，系统能够正确检测并及时响应告警，如图。图攻击响应实例图结论本文通过对入侵检测系统关键技术协议以及开发工具的分析，具体描述了个简单的基于操作系统的入侵检测系统的实现方法。通过对系统的测试证明了系统设计的正确性及可行性，它已经初步具备了入侵检测系统的基本框架，具有良好的检测性能和准确的检测结果。不过因为本人所学知识有限，该系统仅仅还是个实验系统，只能对基于量化的部分攻击做出检测，我会在今后继续学习相关知识，对其进行功能上的完善。参考文献韩东海入侵检测系统实例剖析北京清华大学出版社，。著，陈明奇译入侵检测北京人民邮电工业出版社，。唐正军网络入侵检测系统的统计与实现北京电子工业出版社，......”。

6、“.....。赵俊忠基于免疫机制的入侵检测系统模型研究北京北京交通大学，。徐志伟，冯百明，李伟网格计算技术北京电子工业出版社，。陈志文，王开云，姜建国网络入侵检测系统的警报合成算法设计信息与电子工程。度服务类型位数据报的长度字节位标识标志片偏移位生存时间协议位首部检验和位源地址位目的地址可选择使用头位源端口号位目的端口号位长度位检验和头位源端口号位目的端口号位序列号位确认号保留，位窗口大小位检验和位紧急指针分析数据包模块实现系统采用异常检测分析方法。对每个进入的源地址作时间溢出判定，如果时间没有溢出，根据捕获信息，更新记录信息。否则，清空记录信息并重新记录。当记录信息中的规则变量超过规定值时，推测有异常行为。本系统实现了端口扫描和洪水攻击的检测......”。

7、“.....检测洪水攻击的规则函数务模式的原理是台主机服务器提供服务，另台主机客户机接受服务。作为服务器的主机般会打开个默认的端口并进行监听，如果有客户机向服务器这端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求，此程序称为守护进程。对于木马来说，被控制端是台服务器，控制端则是台客户机。黑客经常用欺骗手段引诱目标对象运行服务器端程序，黑客旦成功地侵入了用户的计算机后，就会在计算机系统中隐藏个会在启动时悄悄运行的程序，采用服务器客户机的运行方式，从而达到在用户上网时控制用户计算机的目的。商业源代码，全套计算机毕业设计免费下载更多全套设计联系最新设计大全入侵检测技术及其历史入侵检测概念年......”。

8、“.....并将入侵行为分为外部滲透内部滲透和不法行为三种，还提出了利用审计数据监视入侵活动的思想。将入侵尝试或威胁定义为潜在的有预谋的未经授权的访问信息操作信息致使系统不可靠或无法使用的企图。而入侵检测的定义为发现非授权使用计算机的个体如黑客或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为检测企图破坏计算机资源的完整性，真实性和可用性的行为的软件。入侵检测系统执行的主要任务包括监视分析用户及系统活动审计系统构造和弱点识别反映已知进攻的活动模式，向相关人士报警统计分析异常行为模式评估重要系统和数据文件的完整性审计跟踪管理操作系统，识别用户违反安全策略的行为。入侵检测般分为三个步骤信息收集数据分析响应......”。

9、“.....阻止入侵的发生和事态的扩大。入侵检测系统的分类现有的的分类，大都基于信息源和分析方法。为了体现对从布局采集分析响应等各个层次及系统性研究方面的问题，在这里采用五类标准控制策略同步技术信息源分析方法响应方式。按照控制策略分类控制策略描述了的各元素是如何控制的，以及的输入和输出是如何管理的。按照控制策略可以划分为，集中式部分分布式和全部分布式。在集中式中，个中央节点控制系统中所有的监视检测和报告。在部分分布式中，监控和探测是由本地的个控制点控制，层次似的将报告发向个或多个中心站。在全分布式中，监控和探测是使用种叫代理的方法，代理进行分析并做出响应决策。按照同步技术分类同步技术是指被监控的事件以及对这些事件的分析在同时间进行。按照同步技术划分，划分为间隔批任务处理型和实时连续性。在间隔批任务处理型中......”。