anisluo / c Goto Github PK

技术：wincap抓包+ARP+CHTP

功能：自动进行监测和分析。对侵犯检测方法进行分类，并对数据包进行协议分析

针对目前越来越多的互联网遭受黑客攻击的现象，单纯依靠防火墙、加密等技术已经难以保证网络的安全性，发展入侵检测技术显得尤其重要。 入侵检测技术是一种动态的安全技术，异常检测和误用检测是侵犯检测系统设计的最主要的技术，基于这一理论，设计开发了基于winpcap的对于APR、CHTP攻击方式的检测工具。 对侵犯检测方法进行分类，并对数据包进行协议分析，通过该系统可以对付网络攻击，包括安全审计、监视、攻击识别和响应。

可以通過編程的方式構建ARP應答數據包，然後發送給欺騙者，用假的IP地址與MAC地址的映射來更新被欺騙者的ARP高速緩存，實現對被欺騙者的ARP欺騙

##########

入侵：绕过系统安全机制的非授权行为。

入侵检测：是一种对计算机系统或者网络事件进行监测并分析这些入侵事件特征的过程。

入侵检测系统：自动进行这种监测和分析过程的软件或硬件产品。

误报：检测系统在系统在检测时把系统的正常行为判为入侵行为的错误被称为误报。

漏报：检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏报。

检测原理：通过对计算机网络或者计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象

技术要求：入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行

系统部署：入侵检测系统是处于防火墙之后对网络活动的实时监控，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动