【正文】 ip, rtn_idxsmask, rtn_idxhsp, rtn_idxlsp. p, rtn_idxflags,CHECK_DSTIINVERSE)。} int CheckSrclPEqual(Packet**rtn_idx,RuleFplist*fp_list) {/*do the check*/ if(rtn_idxsip==(piphamp。rtn_idxsmask)) { /*the packet matches this to the next text*/ retutn fp_listnextRuleHeadFunc(next)。} Return 0。} Return 0。} Return 0。} Int RuleListEnd(Packet*p,struc_RuleTreeNode*rtn_idx,RuleFpList*fp_list) {return 1。 Int any_port_flag=0。CHECK_SRC)==CHECK_SRC) {pkt_addr=piph。EXCEPT_DST_IP) {except_addr_flag=1。EXCEPT_DST_PORT) {except_port_flag=1。ANY_SRC_PORT) {any_port_flag=1。 Pkt_port=pdp: If((modeamp。ANY_SRC_PORT) {any_port_flag=1。EXCEPT_DST_IP) {except_addr_flag=1。mask))^(except_addr_flag))) {return 0。}} /*ports and address match*/ Return 1。 /*check the packet port against the rule port*/ If((pkt_porthi_port)II(pkt_portlo_port)) {/*if the exception flag isn’t up,fail*/ If(!except_port_flag) {return 0。ANY_DST_PORT) {any_port_flag=1。EXCEPT_SRC_PORT) 27 {except_port_flag=1。EXCEPT_SRC_IP) {except_addr_flag=1。EXCEPT_SRC_PORT) {except_port_flag=1。EXCEPT_SRC_IP) {except_addr_flag=1。ANY_DST_PORT) {any_port_flag=1。 If((modeamp。 Int except_port_flag=0。} Int CheckAddrPort(u_long addr,u_long mask,u_short hi_port,u_short lo_port,Packet*p,char flags,int mode) {u_long pkt_addr。} Int CheckDstPortEqual(Packet*p,struct_RuleTreeNode*rtn_idx,RuleFpList*fp_list) If((pdprtn_idxhdp)II(pdprtn_idxldp)) {return fp_listnextRuleHeadFunc(p,rtn_idx,fp_listnext)。amp。ost) {/*same as above*/ If(rtn_idxdip!=(piph addramp。 } Int CheckDstlPEqual(Packet**rtn_idx,RuleFpList*fp_list) {/*same as above*/ If(rtn_idxdip==(piphamp。 } /*return 0 on a failed test*/ return 0。}} else{/*no match,give up and try the next rule*/ return 0。 if(!test_result) 24 {/*no match*/ return 0}} else {return0。 } int CheckBidirectional(Packet***tp_list) {int test result=0。 Case RULE_LOG。 return 1. Case RULE_ALERT。 if(Listopt_func==NULL) {FatalError(“Listopt_func was NULL on option %d!\n”, 23 Listchain_node_number)。 return 1。 ifdef ENABLE_RESPONSE Respond(p)。 If(rule_match) {switch (rtn_idxtype) {case RULE_PASS。} return EvalHeader()。} else {return 0。} break。} break。} int EvalPacket(ListHead *List,int mode,Packet *p) {RuleTreeNode*rtn_idx。Alert,RULE_ALERT,p)) {if(EvalPacket(amp。} 21 else {return 0。}} int Detect(Packet *p) {if(!) {if(!EvalPacket(amp。 idx=idxnext。其次，校園網(wǎng)應(yīng)具有教務(wù)、行政和總務(wù)管理功能 （ 1） 硬件環(huán)境： 一臺 web 服務(wù)器，一臺數(shù)據(jù)服務(wù)器，一個由幾臺 PC 組成的局域網(wǎng)；交換機等相關(guān)網(wǎng)絡(luò)設(shè)備 （ 2） 支持軟件： 操作系統(tǒng)：數(shù)據(jù)庫和 WEB 服務(wù)安裝 Windows2020 Server， PC 幾安裝 Windows XP；數(shù)據(jù)庫管理系統(tǒng)： SQLServer2020；以太網(wǎng)抓包庫： ；入侵檢測分析引擎： ； Web Server：； Inter 或以上。首先，校園網(wǎng)應(yīng)為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境。然后，多年來都對校園網(wǎng)的認(rèn)識不夠全面，甚至存在很大的誤區(qū)。 進(jìn)行校園網(wǎng)總體設(shè)計： 第一，要進(jìn)行對象研究和需求調(diào)查， 明確學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的主系統(tǒng)建設(shè)的需求和條件，對學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述； 第二，在應(yīng)用奢求分析的基礎(chǔ)上，確定學(xué)校 12020／ XPra 服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點設(shè)置、開發(fā)應(yīng)用和管理等的目標(biāo)； 第三，確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標(biāo)和學(xué)校的主要建筑分布特點，進(jìn)行系統(tǒng)分析和設(shè)計； 第四，確定技術(shù)設(shè)計的原則要求，如在技術(shù)選型、布線設(shè)計、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求； 第五，規(guī)劃校園網(wǎng)建設(shè)的實施步驟。 在我國，近年來校園網(wǎng)建設(shè)發(fā)展迅速，到目前為止僅在我國中小學(xué)就有近 6000 所學(xué)校建設(shè)了校園網(wǎng)。通過制訂合理的安全策略， AIP 能夠?qū)阂饽_本、 Cookie 投毒、隱藏域修改、緩存溢出、參數(shù)篡改、強制瀏覽、 SQL 插入、已知漏洞攻擊等攻擊進(jìn)行有效的防范。大部分對應(yīng)用層的攻擊都是通過協(xié)議（ 80 端口）進(jìn)行。 IDS并不是針對應(yīng)用協(xié)議進(jìn)行設(shè)計的，所 以同樣也無法檢測對相應(yīng)協(xié)議漏洞的攻擊。為了解決日 18 益突出的應(yīng)用層防護(hù)問題， IPS 的一個更高層次的產(chǎn)品 —— 應(yīng)用防護(hù)系統(tǒng)出現(xiàn)并且得到日益廣泛的應(yīng)用。 NIA公司的 McAfee IntruShield 是基于網(wǎng)絡(luò)的入侵防護(hù)解決方案，它集成了牲庫檢測、異常行為檢測、行為關(guān)聯(lián)及拒絕服務(wù)分析等技術(shù)，能夠智能地檢測出書籍的攻擊、首次發(fā)生的攻擊和 DDoS攻擊等，從深層次上有效地保護(hù)企業(yè)的網(wǎng)絡(luò)安全?；跔顟B(tài)的牲匹配不公可以檢測攻擊行為的牲，也可以檢測當(dāng)前網(wǎng)絡(luò)的會話狀態(tài)，避免愛到欺騙攻擊。 NIA公司的 McAfee Entercept 是基于主機的入侵防護(hù)解決方案，它采用行為規(guī)則技術(shù)和簽名結(jié)合的辦法，為企業(yè)提供了有效地防護(hù)像“紅色代碼”、“尼姆達(dá)”等蠕蟲病毒的攻擊。 HIPS可保護(hù)服務(wù)器的安全漏洞不被入侵者所利用。相反， IPS 系統(tǒng)則沒有這種問題，它的攔截行為與其分析行為處在同一層次，能夠更敏銳地捕捉入侵的流量，并能將危害切斷在發(fā)生之前。第二階段：了解校園網(wǎng)的基本情況 ,在模擬校園網(wǎng)的基礎(chǔ)上設(shè)計了入侵防御系統(tǒng) 據(jù)國外安全廠商 NetScreen 的技術(shù)專家介紹：相對于 IDS 的被動檢測及誤報等問題， IPS 是一種 17 比較主動、機智的防御系統(tǒng)。 入侵防御技術(shù)介紹 IPS 是英文“ Intrusion Prevention System”的縮寫，中文意思是入侵防御系統(tǒng)。因此，利用這些設(shè)備建立的網(wǎng)絡(luò)系統(tǒng)在其安全性方面得不到根本性的保障。 1)攻擊者不斷研究新的攻擊模式，同時隨著安全技術(shù)的普及，越來越多的人進(jìn)行了越來越多的入侵攻擊嘗試。 5)入侵檢測系統(tǒng)的評估。如果一個入侵檢測系統(tǒng)無法應(yīng)付網(wǎng)絡(luò)吞吐量的話，它就可能漏掉不少反映各族入侵活動的特征數(shù)據(jù)，從而造成安全漏洞。在一個大型的異構(gòu)網(wǎng)絡(luò)環(huán)境中，入侵檢測系統(tǒng)所遇到的主要問題有：如何集成并處理來自分布在網(wǎng)絡(luò)各處褓的具有不同格式的各種相關(guān)信息，如何在相互合作但是并不完全相互信任的組織之間來共享敏感的相關(guān)入侵行為信息，如何進(jìn)行管理域間合作進(jìn)程以及如何保證在局部入侵檢測系統(tǒng)失效的情況下仍能維護(hù)系統(tǒng)佤的安全等。 廣泛的協(xié)議性能 。 無法擴展帶深度檢測功能 基于狀態(tài)檢測的網(wǎng)絡(luò)防火墻，如果希望只擴展深度檢測 (deep inspection)功能，而沒有相應(yīng)增加網(wǎng)絡(luò)性能，這是不行的。 細(xì)看就會發(fā)現(xiàn)，這些供應(yīng)商采用對 80端口數(shù)據(jù)流中，針對 URL 長度進(jìn)行控制的方法，來實現(xiàn)這個功能的。 雖然一些先進(jìn)的網(wǎng)絡(luò)防火墻供應(yīng)商，提 出了應(yīng)用防護(hù)的特性，但只適用于簡單的環(huán)境中。由于對于整體的應(yīng)用數(shù)據(jù)流，缺乏完整的、基于會話 (Session)級別的監(jiān)控能力，因此很難預(yù)防新的未知的攻擊 應(yīng)用防護(hù)特性，只適用于簡單情況 目前的數(shù)據(jù)中心服務(wù)器，時常會發(fā)生變動，比如： 定期需要部署新的應(yīng)用程序 。主流的平臺供應(yīng)商和大的應(yīng)用程序供應(yīng)商，均已轉(zhuǎn)移到基于 Web 的體系結(jié)構(gòu)，安全防護(hù)的目標(biāo)，不再只是重要的業(yè)務(wù)數(shù)據(jù)。 對于 Web 應(yīng)用程序，防范能力不足 網(wǎng)絡(luò)防火墻于 1990年發(fā)明，而商用的 Web 服務(wù)器，則在一年以后才面世。在如今大多數(shù)網(wǎng)絡(luò)防火墻中，依賴的是靜態(tài)的特征庫，與入侵監(jiān)測系統(tǒng) (IDS， Intrusion Detect System)的原理類似。這個需求，對于傳統(tǒng)的網(wǎng)絡(luò)防火墻而言，是個大問題。 防火墻最明顯的不利之處是它所阻塞的某種服務(wù)也許正是用戶所需要的。常用的入侵檢測統(tǒng)計模型為：操作模型、方差、計算 參數(shù)的方差、多元模型、馬爾柯夫過程模型和時間序列分析。異常檢測的缺點是：若入侵者了解到檢測規(guī)律，就可以小心的避免系統(tǒng)指標(biāo)的突變，而使用逐漸改變系統(tǒng)指標(biāo)的方法逃避檢測。異常檢測的優(yōu)點之一為具有抽象系統(tǒng)正常行為從而檢測系統(tǒng)異常行為的能力。 軟計算方法：軟計算方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。這種檢測方法的另外一個特點是可以檢測組合攻擊（ coordinate attack）和多層攻擊（ multistage attack）。這種行為序列構(gòu)成了具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖。規(guī)則，即知識，是專家系統(tǒng)賴以判定入侵存在與否的依據(jù)。因此，即便是小規(guī)模的網(wǎng)絡(luò)結(jié)構(gòu)也常常需要基于主機和基于網(wǎng)絡(luò)的兩種入侵檢測能力。因為這兩種系統(tǒng)在很大程度上是互補的。它的 分析 模塊通常使用模式匹配、統(tǒng)計 分析 等技術(shù)來識別攻擊行為。許多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向 管理 員報警。如果匹配，就會向系統(tǒng) 管理 員報警或者作出適當(dāng)?shù)捻憫?yīng)。這是由于內(nèi)部人員具有訪問系統(tǒng)資源的合法身份、了解系統(tǒng)數(shù)據(jù)的價值和熟悉系統(tǒng)的安全措施，從而可以使用某些系統(tǒng)特權(quán)或調(diào)用比審計 12 功能更低級的操作來逃避審計。 2 入侵檢測系統(tǒng)功能： 入侵檢測系統(tǒng)（ Intrusion Detection System， IDS）是一種計算機軟件系統(tǒng)，用于自動檢測上述入侵行為，并收集入侵證據(jù)，為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù)。 另一種主要的非規(guī)則檢測技術(shù)是神經(jīng)網(wǎng)絡(luò)技術(shù)。系統(tǒng)或者用戶的當(dāng)前行為通過按一定時間間隔采樣并計算出的一系列參數(shù)變量來描述，如每個會話進(jìn)程的登錄和退出時間，占用資源的時間長短。另外，系統(tǒng)的活動行為是不斷變化的，就需要不斷的在線學(xué)習(xí)。因此，非規(guī)則入侵檢測系統(tǒng)的檢測完整性很高，但要保證它具有很高的正確性很困難。與專家系統(tǒng)技術(shù)比較，相同之處是同樣要收集關(guān)于網(wǎng)絡(luò)入侵行為的各種知識，不同點是特征分析技術(shù)更直接的運用收集到的各種知識，例如入侵行為可以被轉(zhuǎn)化成它們在實施過程中所產(chǎn)生的一個事件序列或某種系統(tǒng)審計文件以及網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)樣板模型。通常，專家系統(tǒng)中包含一系列描述攻擊行為的規(guī)則，當(dāng)審計數(shù)據(jù)事件被轉(zhuǎn)換成為能夠被專家系統(tǒng)理解的包含特定警告程度信息的事實后，專家系統(tǒng)應(yīng)用一個推理機在事實和規(guī)則的基礎(chǔ)上推出最后結(jié)論。另一個存在的問題事可移植性，因為關(guān)于網(wǎng)絡(luò)攻擊的絕大多數(shù)是與主機的操作系統(tǒng)、軟件平臺和應(yīng)用類型密切相關(guān)的，因