【正文】 tiveX、 JavaScript 程序來(lái)完成。 黑客常用攻擊手段 針對(duì)眾多的安全威脅和安全隱患，黑客常用的攻擊手段包括以下 7 種： （ 1） 口令入侵：利用應(yīng)用層許多協(xié) 議如 TELNET、 FTP、 HTTP、 SMTP 等，它們中多數(shù)沒(méi)有采用加密或身份認(rèn)證技術(shù)，用戶賬號(hào)與密碼信息都是以明文格式傳輸?shù)奶攸c(diǎn)實(shí)施網(wǎng)絡(luò)監(jiān)聽(tīng)，也可以利用用戶的賬號(hào)（如 Email賬號(hào)）進(jìn)行暴力破解（字典破解），當(dāng)然利用系統(tǒng)管理員的失誤，復(fù)制存放 Password 的文件，進(jìn)一步利用解密算法也可以達(dá)到破解的目的?，F(xiàn)代網(wǎng)絡(luò)已經(jīng)是軟件驅(qū)動(dòng)的發(fā)展模式，對(duì)軟件的更大依賴性加大了軟件質(zhì)量對(duì)網(wǎng)絡(luò)安全的負(fù)面影響。 （ 3） 軟件質(zhì)量問(wèn)題。網(wǎng)絡(luò)是一個(gè)有眾多環(huán)節(jié)構(gòu)成的復(fù)雜系統(tǒng)。在計(jì)算機(jī)網(wǎng)絡(luò)中存在著一些重要的信息系統(tǒng)，其中存儲(chǔ)了大量敏感的甚至是機(jī)密的信息，如國(guó)家的軍事能源信息、政府的調(diào)控決策信息、政府的調(diào)控決策信息、科研機(jī)構(gòu)的研究技術(shù)信息和商業(yè)企業(yè)的技術(shù)經(jīng)濟(jì)信息等等；在計(jì)算機(jī)網(wǎng)絡(luò)中還存在著大量重要的應(yīng)用系統(tǒng)，如金融、證券、稅務(wù)、商務(wù)、文教等電子系統(tǒng)。 重點(diǎn)研究了報(bào)警融合模塊的實(shí)現(xiàn)原理，并實(shí)現(xiàn)了基于相似度的報(bào)警融合算法。 研究了 snort 的實(shí)現(xiàn)機(jī)制， 學(xué)會(huì)如何編寫 snort 規(guī)則。目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測(cè)系統(tǒng)和防火墻技術(shù)，但是由于入侵檢測(cè)系統(tǒng)存在產(chǎn)生大量的警報(bào)（ Alert）和誤報(bào)（ False Positive）、只能被動(dòng)檢測(cè)不能主動(dòng)防御 的缺點(diǎn)，導(dǎo)致不能對(duì)網(wǎng)絡(luò)進(jìn)行全面得保護(hù)，因此急需出現(xiàn)一種嶄新的網(wǎng)絡(luò)安全體系結(jié)構(gòu)來(lái)解決這些問(wèn)題。通過(guò)分析多種安全防御機(jī)制的優(yōu)缺點(diǎn)和網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)，在此基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了基于分層部件的分布式入侵檢測(cè)系統(tǒng)，具有良好的性能和可擴(kuò)展性。 研究了黑客攻擊的步驟，并掌握了一般攻擊的手段。 重點(diǎn)研究和實(shí)現(xiàn)了基于插件的報(bào)警響應(yīng)模塊，實(shí)現(xiàn)了與防火墻的聯(lián)動(dòng)。但由于最初設(shè)計(jì)TCP/IP 協(xié)議的目的是為了網(wǎng)絡(luò)設(shè)備的互聯(lián)通信。由于市場(chǎng)利潤(rùn)，技術(shù)投入，產(chǎn)品成本，技術(shù)規(guī)范等等問(wèn)題，不同供應(yīng)商提供的環(huán)節(jié)在安全性上不盡相同，使得整個(gè)系統(tǒng)的安全程度被限制在了安全等級(jí)最低的那個(gè)環(huán)節(jié)。軟件質(zhì)量難以評(píng)估是軟件的一個(gè)特征。同時(shí)，市場(chǎng)的激烈競(jìng)爭(zhēng)，促使商家需要更快地推出產(chǎn)品，軟件的快速開(kāi)發(fā)也增大了遺留更多隱患的可能性。 (2)網(wǎng)絡(luò)監(jiān)聽(tīng)：利用網(wǎng)絡(luò)中信息的傳輸是在用戶端與服務(wù)器端之間進(jìn)行，攻擊者就可以在這兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽(tīng)，特別是局域網(wǎng)中信息的傳送采用廣播的形式，這時(shí)可以利用自己制作的抓包工具、或是利用現(xiàn)有的監(jiān)聽(tīng) 工具，如 Sniffer、 Netxray、 Tcpdump等工具就可以輕而易舉地截取包括用戶名、口令在內(nèi)的信息。 (4)木馬攻擊：這一攻擊常常是基 于網(wǎng)絡(luò)中的客戶機(jī) /服務(wù)器原理。如 DNSoverflow、 standoverflow 等。 (7)DDOS 攻擊：分布式拒絕服務(wù)攻擊，首先通過(guò)以上所列舉得某種技術(shù)獲得多臺(tái)計(jì)算機(jī)的控制權(quán)，并在某一臺(tái)運(yùn)行特定程序使其成為主控端，在其他機(jī)器中運(yùn)行特定程序成為代理端，主控端控制多個(gè)代理端。無(wú)論是安全模型，還是系統(tǒng)安全等級(jí)評(píng)估標(biāo)準(zhǔn)，人們主要是從身份認(rèn)證和訪問(wèn)控制這兩個(gè)方面來(lái)保證系統(tǒng)的安全性。 7 針對(duì)原有安全模型的缺陷，有些學(xué)者提出計(jì)算機(jī)信息系統(tǒng) 安全的管理模型應(yīng)包括 4 部分，如圖 11 所示。事后分析模塊分析將來(lái)如何抵制類似的入侵行為。 1． 4 目前網(wǎng)絡(luò)安全現(xiàn)狀 目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測(cè)系統(tǒng)和防火墻技術(shù)。 防火 墻是用一個(gè)或一組網(wǎng)絡(luò)設(shè)備（計(jì)算機(jī)系統(tǒng)或路由器等），在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制，以保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)攻擊的安全技術(shù)。 論文研究的內(nèi)容 和意義 目前，一般 IDS 所共有的一個(gè)缺點(diǎn)是生成的報(bào)警和日志的數(shù)量過(guò)于龐大。 采用分布式入侵檢測(cè)體系結(jié)構(gòu) —— 基于分層部件的入侵檢測(cè)系統(tǒng)是目前解決這些問(wèn)題的常用方法。最后，針對(duì)局域網(wǎng)實(shí)際安全需求，實(shí)現(xiàn)了分布式入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)安全的保護(hù)，取得了不錯(cuò)的應(yīng)用效果。其主要手段是分析主機(jī)操作系統(tǒng)網(wǎng)絡(luò)協(xié)議架構(gòu)，在適當(dāng)?shù)奈恢貌迦霐r截點(diǎn)，所有的網(wǎng)絡(luò)數(shù)據(jù)包通訊都要經(jīng)過(guò)這些攔截點(diǎn)，再按照根據(jù)從策略服務(wù)器傳來(lái)的安全策略制定的過(guò)濾規(guī)則（訪問(wèn)控制規(guī)則）對(duì)經(jīng)過(guò)攔截點(diǎn)的網(wǎng)絡(luò)信 息流進(jìn)行監(jiān)控和審查，過(guò)濾掉任何不符合安全規(guī)則的信息，以保護(hù)主機(jī)不受外界的非法訪問(wèn)和攻擊。因此 ，作為防火墻，應(yīng)當(dāng)能夠過(guò)濾掉所有的不安全數(shù)據(jù)，阻止它們進(jìn)入內(nèi)部網(wǎng)絡(luò)，對(duì)于允許的安全數(shù)據(jù)，則可以自出入。如果不加限制，就容易獲得一些色情、暴力等不健康的內(nèi)容，同時(shí)根據(jù)需要 ，有時(shí)我們要控制訪問(wèn)某些站點(diǎn)，通過(guò)防火墻就可以實(shí)現(xiàn)這些目的。 （ 2）應(yīng)用級(jí)網(wǎng)關(guān) 應(yīng)用級(jí)網(wǎng)關(guān)能夠在應(yīng)用層上理解協(xié)議，通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，實(shí)現(xiàn)復(fù)雜的控制訪問(wèn)，一般通過(guò)代理服務(wù)器完成操作控制。濫用檢測(cè)（ Misuse Detection）是根據(jù)已知的入侵模式特征，通過(guò)對(duì)被監(jiān)視目標(biāo)特定行為的模式匹配 10 來(lái)進(jìn)行的關(guān)于已知入侵的檢測(cè)；而異常檢測(cè)（ Anomaly Detection）則是事先以最近的歷史數(shù)據(jù)建立被監(jiān)視目標(biāo)（用戶，系統(tǒng)和網(wǎng)絡(luò)資源等）在正常情況下的行為和狀態(tài)的統(tǒng)計(jì)描述，通過(guò)檢測(cè)這些統(tǒng)計(jì)描述的當(dāng)前值是否顯著偏離了其相應(yīng)的正常情況下的統(tǒng)計(jì)描述來(lái)進(jìn)行入侵的檢測(cè)。 可以看出，濫用入侵檢測(cè)技術(shù)的優(yōu)點(diǎn)在于具有非常低的虛警率，同時(shí)檢測(cè)的匹配條件可以進(jìn)行清楚的描述，從而有利于安全管 理人員采取清晰明確的預(yù)防保護(hù)措施。 在濫用入侵檢測(cè)系統(tǒng)中，研究者們提出基于各種技術(shù)類型的檢測(cè)器， 如專家系統(tǒng)技術(shù)、特征分析技術(shù)、 Petri網(wǎng)技術(shù)、狀態(tài)轉(zhuǎn)移分析技術(shù)等等。 采用專家系統(tǒng)技術(shù)的典型例子有 SRI 公司開(kāi)發(fā)的入侵檢測(cè)專家系統(tǒng)（ IDES， Intrusion Detection Expert System）。描述正確或是合法的模型是從對(duì)過(guò)去通過(guò)各種渠道收集到的大量歷史活動(dòng)資料的分析中得出來(lái)的。 另外，對(duì)于合法用戶超越其權(quán)限的違法行為的檢測(cè)能力大大加強(qiáng)。還有一種可能性是，在學(xué)習(xí)階段，信息正遭受著非法的入侵攻擊，帶來(lái)的后果是，入侵檢測(cè)系統(tǒng)的學(xué)習(xí)結(jié)果中包含了相關(guān)入侵行為的信息，這樣系統(tǒng)就無(wú)法檢測(cè)到該種入侵行為。進(jìn)一步的算法將單個(gè)用戶的參數(shù)變量數(shù)值與積累起來(lái)的群體參數(shù)變量進(jìn)行比較，但是檢測(cè)能力的提高還是不大。然而，目前尚無(wú)可靠地理論能夠說(shuō)明神經(jīng)網(wǎng)絡(luò)是如何學(xué)習(xí)范例中的內(nèi)在關(guān)系的。 （ 1） 審計(jì)系統(tǒng)的配置和存在的脆弱性 （ 2） 評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性和一致性 （ 3） 分析用戶和系統(tǒng)的活動(dòng)情況 （ 4） 檢測(cè)并響應(yīng)正在進(jìn)行的或已經(jīng)實(shí)現(xiàn)的違反系統(tǒng)安全策略的入侵活動(dòng) （ 5） 收集入侵證據(jù) 在設(shè)計(jì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)時(shí)，要特別對(duì) 來(lái)自組織機(jī)構(gòu)內(nèi)部的入侵行為予以更多的重視。 根據(jù)信息源的不同，分為基于主機(jī)型和基于網(wǎng)絡(luò)型兩大類 基于主機(jī)的入侵檢測(cè) 系統(tǒng)（ Hostbased Intrusion Detection System， HIDS） 基于主機(jī)的 IDS 可監(jiān)測(cè)系統(tǒng)、事件和 Windows NT 下的 安全 記錄以及 Unix環(huán)境下的系統(tǒng)記錄。檢測(cè)對(duì)關(guān)鍵系統(tǒng)文件和可執(zhí)行文件入侵的一個(gè)常用方法是通過(guò)定期檢查文件的校驗(yàn)和來(lái)進(jìn)行的，以便發(fā)現(xiàn)異常的變化。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（ Networkbased Intrusion Detection System， NIDS） 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以網(wǎng)絡(luò)包作為 分析 數(shù)據(jù)源。不同入侵檢測(cè)系統(tǒng)在實(shí)現(xiàn)時(shí)采用的響應(yīng)方式也可能不同，但通常都 包括通知管理 員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等 [5]。在防火墻之外的檢測(cè)器檢測(cè)來(lái)自外部 Inter 的攻擊。 根據(jù)檢測(cè)所用分析方法的不同，可分為誤用檢測(cè)和異常檢測(cè) 誤用檢測(cè)（ Misuse Detection） 設(shè)定一些入侵活動(dòng)的特征（ Signature），通過(guò)現(xiàn)在的活動(dòng)是否與這些特征匹配來(lái)檢測(cè)。此外，匹配算法的快慢，也對(duì)專家系統(tǒng)的工作效率有很大的影響?；谀Ｐ偷娜肭謾z測(cè)方法可以僅監(jiān)測(cè)一些主要的審計(jì)事件。 簡(jiǎn)單模式匹配（ Pattern Matching）：基于模式匹配的入侵檢測(cè)方法將已知的入侵特征編碼成為與審計(jì)記錄相符合的模式。 異常檢測(cè)（ Anomaly detection） 異常檢測(cè)假設(shè)入侵者活動(dòng)異常于正常的活動(dòng)。大多數(shù)的正常行為的模型使用一種矩陣的數(shù)學(xué)模型，矩陣的數(shù)量來(lái)自于系統(tǒng)的各種指標(biāo)。最重要的是，這是一種“事后”的檢測(cè)，當(dāng)檢測(cè)到入侵行為時(shí)，破壞早已經(jīng)發(fā)生了。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過(guò)逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過(guò)入侵檢測(cè)系統(tǒng) [8~11]。 對(duì)內(nèi)部攻擊者幾乎無(wú)能為力防火墻一般不提供對(duì)來(lái)自于內(nèi)部威脅的保護(hù)， 即防火墻對(duì)內(nèi)部是信任的。 普通應(yīng)用程序加密后，也能輕易躲過(guò)防火墻的檢測(cè) 網(wǎng)絡(luò)防火墻無(wú)法看到的，不僅僅是 SSL 加密 的數(shù)據(jù)。 但如今，采用常見(jiàn)的編碼技術(shù)，就能夠地將惡意代碼和其他攻擊命令隱藏起來(lái)，轉(zhuǎn)換成某種形式，既能欺騙前端的網(wǎng)絡(luò)安全系統(tǒng)，又能夠在后臺(tái)服務(wù)器中執(zhí)行。在這一方面，網(wǎng)絡(luò)防火墻表現(xiàn)確實(shí)十分出色。 對(duì)于常規(guī)的企業(yè)局域網(wǎng)的防范，通用的網(wǎng)絡(luò)防火墻仍占有很高的市場(chǎng)份額，繼續(xù)發(fā)揮重要作用，但對(duì)于新近出現(xiàn)的上層協(xié)議，如 XML 和 SOAP 等應(yīng)用的防范，網(wǎng)絡(luò)防火墻就顯得有些力不從心。 QA們經(jīng)常會(huì)發(fā)現(xiàn)代碼中的 bug，已部署的系統(tǒng)需要定期打補(bǔ)丁。在多數(shù)情況下，彈性概念 15 (proofofconcept)的特征無(wú)法應(yīng)用于現(xiàn)實(shí)生活中的數(shù)據(jù)中心上。如果一個(gè)程序或者是一個(gè)簡(jiǎn)單的 Web 網(wǎng)頁(yè)，確實(shí)需要涉及到很長(zhǎng)的 URL 時(shí)，就要屏蔽該規(guī)則。 完全的雙向有效負(fù)載檢測(cè) 。這些挑戰(zhàn)有些來(lái)自技術(shù)方面，有些內(nèi)里來(lái)自非技術(shù)方面。 3)網(wǎng)絡(luò)繁忙情況 下的系統(tǒng)性能問(wèn)題。用來(lái)描述異常入侵行為的模式牲是濫用檢測(cè)系統(tǒng)最先要的基石。對(duì)入侵檢測(cè)系統(tǒng)的評(píng)估測(cè)試是一項(xiàng)復(fù)雜的工作，因?yàn)?IDS 不能在獨(dú)立環(huán)境中 檢測(cè)，首先必須建立一個(gè)實(shí)際網(wǎng)絡(luò)平臺(tái)環(huán)境，同時(shí)，還需要大量的包含各種測(cè)試入侵模式的復(fù)雜數(shù)據(jù)，這些數(shù)據(jù)還要根據(jù)不同的頭號(hào)公敵系統(tǒng)平臺(tái)和版本加以調(diào)整。 3)各種機(jī)構(gòu)（包括政府、公司等）對(duì)包括在內(nèi)的安全技術(shù)的認(rèn)識(shí)不足或者缺乏足夠熟練的安全管理員。入侵檢測(cè)技術(shù)已經(jīng)成為當(dāng)前網(wǎng)絡(luò)安全技術(shù)領(lǐng)域內(nèi)的一個(gè)研究。在這種情況下， IPS 技術(shù)應(yīng)運(yùn)而生， IPS 技術(shù)可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊，對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。而 IPS 本身就可以阻止入侵的流量。 入侵防護(hù)系統(tǒng)的分類 IPS 技術(shù)包括基于主機(jī)的入侵防護(hù)系統(tǒng)和基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)兩大類。在技術(shù)上， HIPS 采用獨(dú)特的服務(wù)器保護(hù)途徑，利用同包過(guò)濾、狀態(tài)包檢測(cè)和實(shí)時(shí)入侵檢測(cè)組成分層防護(hù)體系。在技術(shù)上， NIPS 吸取了 NIDS 的所有成熟技術(shù)，包括牲匹配、協(xié)議分析和異常檢測(cè)。這種實(shí)時(shí)檢測(cè)和阻斷功能很有可能出現(xiàn)在未來(lái)的交換機(jī)上。應(yīng)用層的攻擊有可能會(huì)造成非常嚴(yán)重的后果，比如用戶賬號(hào)丟失、公司機(jī)密泄露等。防火墻的訪問(wèn)控制策略中必須開(kāi)放應(yīng)用服務(wù)對(duì)應(yīng)的端口，如 Web 的 80 端口。 AIP 是用來(lái)保護(hù)特定應(yīng)用服務(wù)（如 Web 和數(shù)據(jù)庫(kù)等應(yīng)用）的網(wǎng)絡(luò)設(shè)施，通常部署在應(yīng)用服務(wù)器這前。雖然這些站點(diǎn)通過(guò)部署防火墻，在網(wǎng)絡(luò)層以下進(jìn)行了很好的防范，但其應(yīng)用層的漏洞仍可被利用，進(jìn)而受到入侵和攻擊。Yankee Group 預(yù)測(cè)在未來(lái)的 5 年里， AIP 將和防火墻、 IDS 和反病毒等安全技術(shù)一起，成為網(wǎng)絡(luò)安全整體方案的重要組成部分。然而，隨著我國(guó)各地校園網(wǎng)數(shù)量的迅速增加，校園網(wǎng)之間如何實(shí)現(xiàn)教育的資源共享、信息交流和協(xié)同工作的要求越來(lái)越強(qiáng)烈。 隨著經(jīng)濟(jì)的發(fā)展和國(guó)家科教興國(guó)戰(zhàn)略的實(shí)施，校園網(wǎng)絡(luò)建設(shè)已逐步成為學(xué)校的基礎(chǔ)建設(shè)項(xiàng)目，更成為衡量一個(gè)學(xué)校教育信息化、現(xiàn)代化的重要標(biāo)志。所有這些，都極大地阻礙了校園網(wǎng)絡(luò)在學(xué)校管理、教育教學(xué)中所應(yīng)發(fā)揮的實(shí)際效益。多媒體教學(xué)軟件開(kāi)發(fā)平臺(tái)、 多媒體 演示教室、教師備課系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫(kù)等，都可以在該網(wǎng)絡(luò)上運(yùn)行。 Do_detect=1。amp。Pass,RULE_PASS,p)) {if(EvalPacket(amp。}} else{ if(!EvalPacket{amp。} else{ return 1。} switch(piphip_proto) {case IPPROTO_TCP。 if(pudph!=NULL) {rtn_idx=ListUdpList。 if(picmph!=NULL) {rtn_idx=ListIcmpList。 default。 if(rtn_idx==NULL) {return 0。 Case RULE ALERT。 Case RULE_LOG。 }} return 0。 else return 0。 (*AlertFunc)message)。 return 1。 if(!test_result) {test_result=CheckAddrPort(rtn_idxdip,rtn_idxdmask,rtn_idxhdp,rtn_idxldp,p,rtn_idxflags,(CHECK_SRCIINVERSE))。 if(test_result) {test_result=CheckAddrPort(rtn_idxs