主机网络行为模式特征与辨识研究——基于Snort的即时通信与网页会话还原

摘要

为了实现对网络行为的监控从而达到网络行为的规范化，本文研究了Snort的工作原理，分析了即时通信的协议以及用户上网浏览网页相关的协议和技术，实现了局域网内用户所进行网络活动的协议还原，以及对用户的一般网络行为进行识别和监控。主要工作如下： 1、研究了开源入侵检测系统Snort的代码和工作原理，了解了网络嗅探技术以及网络入侵检测系统的相关技术，这有助于随后的普通用户网络行为还原的研究，这是因为它们都是基于网络抓包，都要对对协议进行分析和处理，具有一定的相通性。 2、通过协议分析工具对即时通信协议进行分析，主要研究了MSN协议，包括它工作的原理，各种功能的协议实现方式，以及相对应的检测方法。研究了如何实行监控响应，对MSN用户进行阻断和告警，以及聊天内容还原相关的一些技术。 3、重点研究了浏览网页相关的一些协议还原技术，包括(1)如何对用户访问的url进行还原，涉及到如何从大量的url中过滤真实的用户点击；如何利用神经网络技术对url对应的网页类型进行识别；以及bbs和搜索引擎使用的监控；(2)对网页内容的解析和还原，主要是通过处理HTML文本，将其中的资源文件进行保存以及对源文件进行一些改动。本文在snort核心引擎的基础上，添加了一些插件和其他功能来实现，经过测试结果令人满意。

目录

文摘

英文文摘

声明

第一章绪论

1.1研究背景

1.2本文的研究内容

第二章系统实现的理论前提和Snort

2.1 TCP/IP通信基本原理

2.1.1 TCP/IP的层次结构

2.1.2 TCP/IP协议中分包和重组原理

2.2网络嗅探和入侵检测技术

2.2.1网络嗅探基本原理

2.2.2 libpcap介绍

2.2.3入侵检测技术原理

2.3网络入侵检测软件Snort

2.3.1 Snort的结构和工作原理

2.3.2 Snort的检测规则

2.3.3 Snort的代码分析

2.4系统的实现架构

第三章即时通信协议还原

3.1 MSN协议分析

3.2 MSN协议还原技术

3.2.1 MSN报文分析

3.2.2登录以及检测方法

3.2.3信息发送以及检测方法

3.2.4 MSN监控响应

3.2.5基于字符串匹配的MSN聊天内容监控

3.3其他即时通信软件的监控

第四章网页会话还原

4.1浏览网页的url还原

4.1.1网页会话原理

4.1.2网页访问记录的提取和过滤

4.1.3搜索引擎url的还原

4.1.4 BBS提交信息的监控

4.1.5基于神经网络技术对URL进行简单分类

4.2网页内容还原

4.2.1普通网页的内容还原

4.2.2特殊页面还原

第五章结论

5.1总结

5.2需要进一步研究的内容

5.2.1 url更进一步的归类和定制

5.2.2 ssl协议和ipv6的处理

参考文献

附录

致谢

研究成果及发表的学术论文

作者和导师简介