本课题是IDS的设计与实现，完成的是一个基于规则分析的网络入侵检测系统。它的设计是基于Windows 2000/ME/XP系列平台上的，前台设计采用Visual C++ 6.0，后台采用ACCESS 2000来开发。系统从一开始就严格从用户的角度出发，力求达到操作界面友好、操作简单，功能全面。
因为网络入侵检测系统的操作对象是网络数据包，那么首先就必须把所有的网络数据包都捕获下来，所以此模块的主要功能就是从以太网中捕获数据包。由于此模块的性能要求很高，又因为网络中的数据包很多，如果捕获不及时，就会有漏包的情况出现，因此要根据需要设置过滤网络上的一些数据包，如特定IP、特定MAC 地址、特定协议的数据包。为提高效率，我们使用为数据监听应用程序设计的开发包Winpcap 来实现该功能，开发包中内置了内核层实现的BPF 过滤机制和许多接口函数，它们不但能够提高监听部分的效率，也降低了开发的难度。
在网络协议分析模块中，必须对捕获到的数据包进行详细的分析，检测出每个数据包的类型和特征。只有等到对网络协议进行了详细正确的分析，才能够检测出入侵行为。由于网络协议非常多，因此就必须分析很多的协议。在本系统中，将分析网络中的大部分协议，包括：ARP/RARP，IP，ICMP，TCP，UDP，HTTP 等。
此模块主要是存储网络信息。由于网络数据包很多，而且是稍纵即逝的，因此必须及时地把它们存储起来。这最大的好处就是可以供事后分析，在此基础上可以发现网络的流量情况，例如分析IP 协议的分布情况等。这里将使用Access数据库
此模块是入侵检测系统的主要模块。由于传统的模式匹配问题根本是它把网络数据包看作是无序的随意的字节流，对于网络中传输的图像或音频流同样进行匹配。而协议分析技术有效地利用了网络协议的层次性和相关的知识快速地判断攻击特征是否存在，这样就高效地使得匹配的计算大幅度减小。本系统主要的思路就是根据入侵规则库进行协议分析，运用入侵事件描述语言，对规则库进行匹配看是否有入侵行为发生。本系统要先定义好一些已经存在的入侵攻击规则库，并且要实时更新，它的知识库丰富与否就决定了入侵检测系统的性能。然后就是转化为分析好的协议和规则库的匹配问题了，如果匹配成功，就说明有入侵行为发生
其规则如下：
（1）初始化，将制定的规则文件中的规则读入内存中；
（2）捕获数据包；
（3）解析数据包，把每个数据包的协议变量都解析出来；
（4）对内存中的一条规则进行匹配。
其流程如图3.3所示：


本电子电气通信自动化毕业设计“IDS系统的设计实现”论文由清风毕业设计网[www.lunwen550.com]征集整理！