【正文】 tiveX、 JavaScript 程序來完成。 黑客常用攻擊手段 針對眾多的安全威脅和安全隱患，黑客常用的攻擊手段包括以下 7 種： （ 1） 口令入侵：利用應(yīng)用層許多協(xié) 議如 TELNET、 FTP、 HTTP、 SMTP 等，它們中多數(shù)沒有采用加密或身份認證技術(shù)，用戶賬號與密碼信息都是以明文格式傳輸?shù)奶攸c實施網(wǎng)絡(luò)監(jiān)聽，也可以利用用戶的賬號（如 Email賬號）進行暴力破解（字典破解），當然利用系統(tǒng)管理員的失誤，復(fù)制存放 Password 的文件，進一步利用解密算法也可以達到破解的目的?，F(xiàn)代網(wǎng)絡(luò)已經(jīng)是軟件驅(qū)動的發(fā)展模式，對軟件的更大依賴性加大了軟件質(zhì)量對網(wǎng)絡(luò)安全的負面影響。 （ 3） 軟件質(zhì)量問題。網(wǎng)絡(luò)是一個有眾多環(huán)節(jié)構(gòu)成的復(fù)雜系統(tǒng)。在計算機網(wǎng)絡(luò)中存在著一些重要的信息系統(tǒng)，其中存儲了大量敏感的甚至是機密的信息，如國家的軍事能源信息、政府的調(diào)控決策信息、政府的調(diào)控決策信息、科研機構(gòu)的研究技術(shù)信息和商業(yè)企業(yè)的技術(shù)經(jīng)濟信息等等；在計算機網(wǎng)絡(luò)中還存在著大量重要的應(yīng)用系統(tǒng)，如金融、證券、稅務(wù)、商務(wù)、文教等電子系統(tǒng)。 重點研究了報警融合模塊的實現(xiàn)原理，并實現(xiàn)了基于相似度的報警融合算法。 研究了 snort 的實現(xiàn)機制， 學(xué)會如何編寫 snort 規(guī)則。目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測系統(tǒng)和防火墻技術(shù)，但是由于入侵檢測系統(tǒng)存在產(chǎn)生大量的警報（ Alert）和誤報（ False Positive）、只能被動檢測不能主動防御 的缺點，導(dǎo)致不能對網(wǎng)絡(luò)進行全面得保護，因此急需出現(xiàn)一種嶄新的網(wǎng)絡(luò)安全體系結(jié)構(gòu)來解決這些問題。通過分析多種安全防御機制的優(yōu)缺點和網(wǎng)絡(luò)安全的發(fā)展趨勢，在此基礎(chǔ)上設(shè)計并實現(xiàn)了基于分層部件的分布式入侵檢測系統(tǒng)，具有良好的性能和可擴展性。 研究了黑客攻擊的步驟，并掌握了一般攻擊的手段。 重點研究和實現(xiàn)了基于插件的報警響應(yīng)模塊，實現(xiàn)了與防火墻的聯(lián)動。但由于最初設(shè)計TCP/IP 協(xié)議的目的是為了網(wǎng)絡(luò)設(shè)備的互聯(lián)通信。由于市場利潤，技術(shù)投入，產(chǎn)品成本，技術(shù)規(guī)范等等問題，不同供應(yīng)商提供的環(huán)節(jié)在安全性上不盡相同，使得整個系統(tǒng)的安全程度被限制在了安全等級最低的那個環(huán)節(jié)。軟件質(zhì)量難以評估是軟件的一個特征。同時，市場的激烈競爭，促使商家需要更快地推出產(chǎn)品，軟件的快速開發(fā)也增大了遺留更多隱患的可能性。 (2)網(wǎng)絡(luò)監(jiān)聽：利用網(wǎng)絡(luò)中信息的傳輸是在用戶端與服務(wù)器端之間進行，攻擊者就可以在這兩端之間進行數(shù)據(jù)監(jiān)聽，特別是局域網(wǎng)中信息的傳送采用廣播的形式，這時可以利用自己制作的抓包工具、或是利用現(xiàn)有的監(jiān)聽 工具，如 Sniffer、 Netxray、 Tcpdump等工具就可以輕而易舉地截取包括用戶名、口令在內(nèi)的信息。 (4)木馬攻擊：這一攻擊常常是基 于網(wǎng)絡(luò)中的客戶機 /服務(wù)器原理。如 DNSoverflow、 standoverflow 等。 (7)DDOS 攻擊：分布式拒絕服務(wù)攻擊，首先通過以上所列舉得某種技術(shù)獲得多臺計算機的控制權(quán)，并在某一臺運行特定程序使其成為主控端，在其他機器中運行特定程序成為代理端，主控端控制多個代理端。無論是安全模型，還是系統(tǒng)安全等級評估標準，人們主要是從身份認證和訪問控制這兩個方面來保證系統(tǒng)的安全性。 7 針對原有安全模型的缺陷，有些學(xué)者提出計算機信息系統(tǒng) 安全的管理模型應(yīng)包括 4 部分，如圖 11 所示。事后分析模塊分析將來如何抵制類似的入侵行為。 1． 4 目前網(wǎng)絡(luò)安全現(xiàn)狀 目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測系統(tǒng)和防火墻技術(shù)。 防火 墻是用一個或一組網(wǎng)絡(luò)設(shè)備（計算機系統(tǒng)或路由器等），在兩個或多個網(wǎng)絡(luò)間加強訪問控制，以保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)攻擊的安全技術(shù)。 論文研究的內(nèi)容 和意義 目前，一般 IDS 所共有的一個缺點是生成的報警和日志的數(shù)量過于龐大。 采用分布式入侵檢測體系結(jié)構(gòu) —— 基于分層部件的入侵檢測系統(tǒng)是目前解決這些問題的常用方法。最后，針對局域網(wǎng)實際安全需求，實現(xiàn)了分布式入侵檢測系統(tǒng)對網(wǎng)絡(luò)安全的保護，取得了不錯的應(yīng)用效果。其主要手段是分析主機操作系統(tǒng)網(wǎng)絡(luò)協(xié)議架構(gòu)，在適當?shù)奈恢貌迦霐r截點，所有的網(wǎng)絡(luò)數(shù)據(jù)包通訊都要經(jīng)過這些攔截點，再按照根據(jù)從策略服務(wù)器傳來的安全策略制定的過濾規(guī)則（訪問控制規(guī)則）對經(jīng)過攔截點的網(wǎng)絡(luò)信 息流進行監(jiān)控和審查，過濾掉任何不符合安全規(guī)則的信息，以保護主機不受外界的非法訪問和攻擊。因此 ，作為防火墻，應(yīng)當能夠過濾掉所有的不安全數(shù)據(jù)，阻止它們進入內(nèi)部網(wǎng)絡(luò)，對于允許的安全數(shù)據(jù)，則可以自出入。如果不加限制，就容易獲得一些色情、暴力等不健康的內(nèi)容，同時根據(jù)需要 ，有時我們要控制訪問某些站點，通過防火墻就可以實現(xiàn)這些目的。 （ 2）應(yīng)用級網(wǎng)關(guān) 應(yīng)用級網(wǎng)關(guān)能夠在應(yīng)用層上理解協(xié)議，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，實現(xiàn)復(fù)雜的控制訪問，一般通過代理服務(wù)器完成操作控制。濫用檢測（ Misuse Detection）是根據(jù)已知的入侵模式特征，通過對被監(jiān)視目標特定行為的模式匹配 10 來進行的關(guān)于已知入侵的檢測；而異常檢測（ Anomaly Detection）則是事先以最近的歷史數(shù)據(jù)建立被監(jiān)視目標（用戶，系統(tǒng)和網(wǎng)絡(luò)資源等）在正常情況下的行為和狀態(tài)的統(tǒng)計描述，通過檢測這些統(tǒng)計描述的當前值是否顯著偏離了其相應(yīng)的正常情況下的統(tǒng)計描述來進行入侵的檢測。 可以看出，濫用入侵檢測技術(shù)的優(yōu)點在于具有非常低的虛警率，同時檢測的匹配條件可以進行清楚的描述，從而有利于安全管 理人員采取清晰明確的預(yù)防保護措施。 在濫用入侵檢測系統(tǒng)中，研究者們提出基于各種技術(shù)類型的檢測器， 如專家系統(tǒng)技術(shù)、特征分析技術(shù)、 Petri網(wǎng)技術(shù)、狀態(tài)轉(zhuǎn)移分析技術(shù)等等。 采用專家系統(tǒng)技術(shù)的典型例子有 SRI 公司開發(fā)的入侵檢測專家系統(tǒng)（ IDES， Intrusion Detection Expert System）。描述正確或是合法的模型是從對過去通過各種渠道收集到的大量歷史活動資料的分析中得出來的。 另外，對于合法用戶超越其權(quán)限的違法行為的檢測能力大大加強。還有一種可能性是，在學(xué)習(xí)階段，信息正遭受著非法的入侵攻擊，帶來的后果是，入侵檢測系統(tǒng)的學(xué)習(xí)結(jié)果中包含了相關(guān)入侵行為的信息，這樣系統(tǒng)就無法檢測到該種入侵行為。進一步的算法將單個用戶的參數(shù)變量數(shù)值與積累起來的群體參數(shù)變量進行比較，但是檢測能力的提高還是不大。然而，目前尚無可靠地理論能夠說明神經(jīng)網(wǎng)絡(luò)是如何學(xué)習(xí)范例中的內(nèi)在關(guān)系的。 （ 1） 審計系統(tǒng)的配置和存在的脆弱性 （ 2） 評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性和一致性 （ 3） 分析用戶和系統(tǒng)的活動情況 （ 4） 檢測并響應(yīng)正在進行的或已經(jīng)實現(xiàn)的違反系統(tǒng)安全策略的入侵活動 （ 5） 收集入侵證據(jù) 在設(shè)計網(wǎng)絡(luò)入侵檢測系統(tǒng)時，要特別對 來自組織機構(gòu)內(nèi)部的入侵行為予以更多的重視。 根據(jù)信息源的不同，分為基于主機型和基于網(wǎng)絡(luò)型兩大類 基于主機的入侵檢測 系統(tǒng)（ Hostbased Intrusion Detection System， HIDS） 基于主機的 IDS 可監(jiān)測系統(tǒng)、事件和 Windows NT 下的 安全 記錄以及 Unix環(huán)境下的系統(tǒng)記錄。檢測對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件入侵的一個常用方法是通過定期檢查文件的校驗和來進行的，以便發(fā)現(xiàn)異常的變化。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（ Networkbased Intrusion Detection System， NIDS） 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)包作為 分析 數(shù)據(jù)源。不同入侵檢測系統(tǒng)在實現(xiàn)時采用的響應(yīng)方式也可能不同，但通常都 包括通知管理 員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等 [5]。在防火墻之外的檢測器檢測來自外部 Inter 的攻擊。 根據(jù)檢測所用分析方法的不同，可分為誤用檢測和異常檢測 誤用檢測（ Misuse Detection） 設(shè)定一些入侵活動的特征（ Signature），通過現(xiàn)在的活動是否與這些特征匹配來檢測。此外，匹配算法的快慢，也對專家系統(tǒng)的工作效率有很大的影響。基于模型的入侵檢測方法可以僅監(jiān)測一些主要的審計事件。 簡單模式匹配（ Pattern Matching）：基于模式匹配的入侵檢測方法將已知的入侵特征編碼成為與審計記錄相符合的模式。 異常檢測（ Anomaly detection） 異常檢測假設(shè)入侵者活動異常于正常的活動。大多數(shù)的正常行為的模型使用一種矩陣的數(shù)學(xué)模型，矩陣的數(shù)量來自于系統(tǒng)的各種指標。最重要的是，這是一種“事后”的檢測，當檢測到入侵行為時，破壞早已經(jīng)發(fā)生了。但是它的“學(xué)習(xí)”能力也給入侵者以機會通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng) [8~11]。 對內(nèi)部攻擊者幾乎無能為力防火墻一般不提供對來自于內(nèi)部威脅的保護， 即防火墻對內(nèi)部是信任的。 普通應(yīng)用程序加密后，也能輕易躲過防火墻的檢測 網(wǎng)絡(luò)防火墻無法看到的，不僅僅是 SSL 加密 的數(shù)據(jù)。 但如今，采用常見的編碼技術(shù)，就能夠地將惡意代碼和其他攻擊命令隱藏起來，轉(zhuǎn)換成某種形式，既能欺騙前端的網(wǎng)絡(luò)安全系統(tǒng)，又能夠在后臺服務(wù)器中執(zhí)行。在這一方面，網(wǎng)絡(luò)防火墻表現(xiàn)確實十分出色。 對于常規(guī)的企業(yè)局域網(wǎng)的防范，通用的網(wǎng)絡(luò)防火墻仍占有很高的市場份額，繼續(xù)發(fā)揮重要作用，但對于新近出現(xiàn)的上層協(xié)議，如 XML 和 SOAP 等應(yīng)用的防范，網(wǎng)絡(luò)防火墻就顯得有些力不從心。 QA們經(jīng)常會發(fā)現(xiàn)代碼中的 bug，已部署的系統(tǒng)需要定期打補丁。在多數(shù)情況下，彈性概念 15 (proofofconcept)的特征無法應(yīng)用于現(xiàn)實生活中的數(shù)據(jù)中心上。如果一個程序或者是一個簡單的 Web 網(wǎng)頁，確實需要涉及到很長的 URL 時，就要屏蔽該規(guī)則。 完全的雙向有效負載檢測 。這些挑戰(zhàn)有些來自技術(shù)方面，有些內(nèi)里來自非技術(shù)方面。 3)網(wǎng)絡(luò)繁忙情況 下的系統(tǒng)性能問題。用來描述異常入侵行為的模式牲是濫用檢測系統(tǒng)最先要的基石。對入侵檢測系統(tǒng)的評估測試是一項復(fù)雜的工作，因為 IDS 不能在獨立環(huán)境中 檢測，首先必須建立一個實際網(wǎng)絡(luò)平臺環(huán)境，同時，還需要大量的包含各種測試入侵模式的復(fù)雜數(shù)據(jù)，這些數(shù)據(jù)還要根據(jù)不同的頭號公敵系統(tǒng)平臺和版本加以調(diào)整。 3)各種機構(gòu)（包括政府、公司等）對包括在內(nèi)的安全技術(shù)的認識不足或者缺乏足夠熟練的安全管理員。入侵檢測技術(shù)已經(jīng)成為當前網(wǎng)絡(luò)安全技術(shù)領(lǐng)域內(nèi)的一個研究。在這種情況下， IPS 技術(shù)應(yīng)運而生， IPS 技術(shù)可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網(wǎng)絡(luò)帶寬資源。而 IPS 本身就可以阻止入侵的流量。 入侵防護系統(tǒng)的分類 IPS 技術(shù)包括基于主機的入侵防護系統(tǒng)和基于網(wǎng)絡(luò)的入侵防護系統(tǒng)兩大類。在技術(shù)上， HIPS 采用獨特的服務(wù)器保護途徑，利用同包過濾、狀態(tài)包檢測和實時入侵檢測組成分層防護體系。在技術(shù)上， NIPS 吸取了 NIDS 的所有成熟技術(shù)，包括牲匹配、協(xié)議分析和異常檢測。這種實時檢測和阻斷功能很有可能出現(xiàn)在未來的交換機上。應(yīng)用層的攻擊有可能會造成非常嚴重的后果，比如用戶賬號丟失、公司機密泄露等。防火墻的訪問控制策略中必須開放應(yīng)用服務(wù)對應(yīng)的端口，如 Web 的 80 端口。 AIP 是用來保護特定應(yīng)用服務(wù)（如 Web 和數(shù)據(jù)庫等應(yīng)用）的網(wǎng)絡(luò)設(shè)施，通常部署在應(yīng)用服務(wù)器這前。雖然這些站點通過部署防火墻，在網(wǎng)絡(luò)層以下進行了很好的防范，但其應(yīng)用層的漏洞仍可被利用，進而受到入侵和攻擊。Yankee Group 預(yù)測在未來的 5 年里， AIP 將和防火墻、 IDS 和反病毒等安全技術(shù)一起，成為網(wǎng)絡(luò)安全整體方案的重要組成部分。然而，隨著我國各地校園網(wǎng)數(shù)量的迅速增加，校園網(wǎng)之間如何實現(xiàn)教育的資源共享、信息交流和協(xié)同工作的要求越來越強烈。 隨著經(jīng)濟的發(fā)展和國家科教興國戰(zhàn)略的實施，校園網(wǎng)絡(luò)建設(shè)已逐步成為學(xué)校的基礎(chǔ)建設(shè)項目，更成為衡量一個學(xué)校教育信息化、現(xiàn)代化的重要標志。所有這些，都極大地阻礙了校園網(wǎng)絡(luò)在學(xué)校管理、教育教學(xué)中所應(yīng)發(fā)揮的實際效益。多媒體教學(xué)軟件開發(fā)平臺、 多媒體 演示教室、教師備課系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫等，都可以在該網(wǎng)絡(luò)上運行。 Do_detect=1。amp。Pass,RULE_PASS,p)) {if(EvalPacket(amp。}} else{ if(!EvalPacket{amp。} else{ return 1。} switch(piphip_proto) {case IPPROTO_TCP。 if(pudph!=NULL) {rtn_idx=ListUdpList。 if(picmph!=NULL) {rtn_idx=ListIcmpList。 default。 if(rtn_idx==NULL) {return 0。 Case RULE ALERT。 Case RULE_LOG。 }} return 0。 else return 0。 (*AlertFunc)message)。 return 1。 if(!test_result) {test_result=CheckAddrPort(rtn_idxdip,rtn_idxdmask,rtn_idxhdp,rtn_idxldp,p,rtn_idxflags,(CHECK_SRCIINVERSE))。 if(test_result) {test_result=CheckAddrPort(rtn_idxs