免费个人入侵检测系统的实现_毕业论文范文网-论文范文

搜索高级搜索

原创毕业论文

免费个人入侵检测系统的实现(四)

作者: 浏览:1265次

免费专业论文
政治工作论文
计算机论文
营销专业论文
工程管理论文范文
医药医学论文范文
法律论文范文
生物专业论文
物理教学论文范文
人力资源论文范文
化学教学论文范文
电子专业论文范文
历史专业论文
电气工程论文
社会学专业论文
英语专业论文
行政管理论文范文
语文专业论文
电子商务论文范文
焊工钳工技师论文
社科文学论文
教育论文范文
数学论文范文
物流论文范文
建筑专业论文
食品专业论文
财务管理论文范文
工商管理论文范文
会计专业论文范文
专业论文格式
化工材料专业论文
英语教学专业论文
电子通信论文范文
旅游管理论文范文
环境科学专业论文
经济论文
人力资源论文范文
营销专业论文范文
财务管理论文范文
物流论文范文
财务会计论文范文
数学教育论文范文
数学与应用数学论文
电子商务论文范文
法律专业论文范文
工商管理论文范文
汉语言文学论文
计算机专业论文
教育管理论文范文
现代教育技术论文
小学教育论文范文
机械模具专业论文
报告,总结,申请书
心理学论文范文
学前教育论文范文

收费计算机专业论文范文

收费计算机专业论文
Delphi
ASP
VB
JSP
ASP.NET
VB.NET
java
VC
pb
VS
dreamweaver
c#.net
vf
VC++
计算机论文

毕业论文范文题目：免费个人入侵检测系统的实现(四)，论文范文关键词：免费个人入侵检测系统的实现(四)
免费个人入侵检测系统的实现(四)毕业论文范文介绍开始：
户级缓冲等其它的高层函数，增加了比如统计和包发送等更高级的特性。因此程序员能处理两种类型的API:一套原始函数集，包含在packet.dll中，直接与内核层调用匹配;另一套高层函数由wpcap.dll提供，便于用户调用，功能更强大。程序员能随意使用wpcap.dll，但只能在受限的环境中直接使用packet.dll.
总的说来，Packet.dll直接映射了内核的调用。Wpcap.dll提供了更加友好、功能更加强大的函数调用。Winpcap的具体结构图2所示:
图2 Winpcap的具体结构
正如在Windows网络体系结构中所阐释的，Win32网络架构基于NDIS(Network Drive Interface Specification网络驱动程序接口标准)。NDIS工作在Windows内核网络部分的最底层。捕获进程核心必须工作在内核层，先于协议栈之前处理包。BPF被网卡驱动程序直接调用，要求NIC设备驱动程序遵从一些所谓的“BPF(Berkeley Packet Filter)驱动规范”。换句话说，它需要设备驱动可以直接调用BPF Tap函数，能控制所有经过网卡的包(发送或接收)，能对过滤后的包进行复制。当使用Winpcap进行捕获时，这种方法明显不行。因为Windows与BPF驱动规范有些不同:Windows不允许为了增加捕获功能而改变操作系统和NIC驱动。因此，Winpcap把Network Tap作为协议驱动放置在NDIS结构的上方。NDIS没有从NPF中完全分离出底层，不能自动支持不同的介质类型，故需要以这种方式构建。与NDIS的交互使NPF(NetGroup Packet Filter)比原始的BPF更加复杂，BPF通过一条简单的回调函数与系统交互;在另一方面，NPF是协议栈的一部分，就同其它网络协议一样与操作系统交互。然而，NPF获得了更好的执行效果，其Tap比BPF还要运行得快。同BPF一样，当包静止时NPF把过滤器放入NIC驱动内存中。另一个优化措施是NPF的同步操作。异步调用不支持，因此用户级存取经常被阻塞。NPF不需要设置用户级访问缓冲队列，这使驱动运行得更快。
图3显示了NPF在NDIS结构中的位置：
可以看出Winpcap也是用的NDIS，它将自己注册为一个协议处理驱动。(在原代码的driverentry里面能看到)。NPF是Winpcap中的核心部分，它完成了大部分的工作:将数据包发送到网络中并导出捕获的数据包，交由用户程序分析处理。
图3 NDIS内NPF
Winpcap中NPF的实现由于是以协议驱动程序的模式来实现的，虽然从性能上看来并不是最始数据的完全访问。不同的Windows系统有不同的NDIS版本，NPF兼容Win2K及其后续的WinXP版本下的NDIS5，也兼容其他Windows平台下的NDIS3版本。NPF与操作系统之间的通信通常是异步的，NPF提供了一系列的回调函数供操作系统在需要时调用。NPF提供了应用程序所有I/O操作的回调函数，如:open,close,read,write等。
NPF与NDIS之间的通信也是异步的.一些事件如当数据包到达时是通过回调函数通知NPF(这个例子中是Packetes tapo)，并且，NPF与NDIS和NIC驱动之间的通信是非阻塞函数来实现的。当NPF调用NDIS函数时，调用立即返回;当处理完毕时，NDIS再调用一个特定的函数通知NPF.NPF对所有的底层操作都提供了回调函数。图4显示了NPF的基础结构及其在Winpcap中的工作模式。

图4 NPF协议驱动
Winpcap中过滤进程由用户级部分开始。它能接收一组用户定义的过滤规则(例如接收所有的UDP数据包)，把它编译成一套伪指令（例如，如果是IP包且协议类型等这些指令等于17.就返回“True"），把这些指令发送到内核层过滤器，最后激活代码。内核层过滤器必须能够执行这些指令;此外，它需要一个“BPF虚拟机”来执行伪代码从而对所有到来的包进行操作。这个核心层和BPF兼容的过滤器是Winpcap获得良好性能的关键。NPF不同于BPF的一个重要的结构差别就是选择了一个环形缓冲区作为核心缓冲区.这有利于数据包快的复制。但这种机制更难于管理。因为复制的数据不再有固定的大小(Libpcap中，用户缓冲区和核心缓冲区都是32K)。当数据从内核缓冲区传送到用户缓冲区时，相同数量的包被复制到内核缓冲区中。它们是同步更新的，而不是在之后。由于内核部分较之缓冲区传送有更高的优先级，能独占CPU时，故复制过程(从用户层开始)能释放掉缓冲区已传送的部分。环形缓冲区允许所有的容量来存放数据包，前面谈到的一对BPF交换缓冲区只能用一半的容量。整个缓冲区可以用一条简单的Read() 指令读取，肯定减少了系统调用和在用户、内核模式之间上下文切换的次数。因为一次上下文切换需要保护现场(仅CPU描述符和任务状态段的开销就接近数百个字节)，大批的传送会减少进程的开销。但是一个太大的用户缓冲区不会带来任何好处。当可分配内存太大时，上下文切换的开销反而可忽略不计了。Winpcap的核心缓冲区比BPF的大，通常为1M。一个小缓冲区会影响捕获进程。尤其在一段时间里应用进程读取数据的速度不如捕获进程，而且数据要被传送到磁盘，网络流量在激增。内核缓冲区和用户缓冲区都能在运行时间里改变。
数据解析模块
在本模块的设计中，主要涉及了三方面的知识:windows网络体系结构、TCP/IP协议，数据的封装和分用过程。
TCP/IP参考模型与ISO(International Standards Organization)的OSI(Open Systems Interconnection Reference Model)参考模型相比，要简单实用得多，也是目前广泛使用的网络参考模型。在TCP/IP参考模型中没有明确的数据链路层和物理层，而是将它们合为较为抽象的“网络设备互连”作为硬件基础，随主机和网络的不同而不同。这种模型的应用范围较广，既可用于广域网.也可用于局域网。TCP/IP协议族，有很多协议。
当应用程序用TCP传送数据是，数据被送入协议栈中，然后逐个通过每一层直到被当作一串比特流送入网络。然后逐个通过每一层直到被当作一串比特流送入网络。其中每一层对收到的数据都要增加一些首部信息（有时还要增加尾部信息）。TCP传给IP的数据单元称作TCP报文段或简称为TCP段（TCP segment）。IP传给网络接口层的数据单元称作IP数据报。通过以太网传输的比特流称作帧(Frame)。这就是通常说的数据的封装过程。
当目的主机收到一个以太网数据帧时，数据就开始从协议栈中由底向上升，同时去掉各层协议加上的报文首部。每层协议盒都要去检查报文首部中的协议标识，以确定接收数据的上层协议。这个过程称作分用（Demultiplexing）。
IP是TCP/IP协议族中最为核心的协议。所有的TCP、UDP、ICMP及IGMP数据都以IP数据报格式传输。IP提供不可靠、无连接的

首页上一页 1 2 3 4 5 6 7 下一页尾页 4/10/10

以上为本篇毕业论文范文免费个人入侵检测系统的实现(四)的介绍部分。

本论文在计算机论文栏目，由论文网(www.zjwd.net)整理,更多论文,请点论文范文查找