基于Rough Set的数据挖掘技术在网络安全中的应用研究

图１　基于Ｒｏｕｇｈ　Ｓｅｔ的网络入侵检测系统的模型结构
器设置为交换机的监听端口。

由于测试环境的限制，我们只能在以太网环境下实现此模块。

以太网接口安装在隐藏接入模式下，且网络发送的所有数据包都被协议分析模块阻止。

在本文中，使用由WinCap设计的数据监控应用程序开发工具来实现该模块的功能。

3.3.2 协议分析模块
协议分析模块是基于数据的网络信息的网络协议预处理。

在这个过程中，嗅探模块对数据的访问和分析将按照相应的协议进行重组，对其他处理协议提取一些属性和数据信息[3]。

本文将主要分析和解决基于实际应用网络模型的网络层协议，对应协议格式可以参照相关书籍。

网络层主要有IP和IPX两种协议，IP首部定义如下：
typedefstreet-ipheader
图２　第三代协议的数据包结构分析图
原始数据包直接读取两个字节，第三个协议表明该协议是一个端口协议。

根据以下协议的分组结构分析（如图3所示），第24字节中存在字节存储。

对于上层协议类型，直
图３　ＩＰ协议的数据包结构分析图
根据TCP协议结构，我们可以看到有2个字节存储在第35字节上，这些字节存储一个查看第一级的协议类型，并从第35个字节开始读取2个字节的内容为0080，并读取应用层
图４　ＴＣＰ协议的数据包结构分析图
使用协议分析，可以看到模式匹配的计算复杂度大大降低，匹配精度提高且错误报警率降低。

3.3.4 检测模块。