【正文】 此帶來的后果是這樣的入侵檢測系統(tǒng)只能在某個特定的環(huán)境下生效。當(dāng)發(fā)現(xiàn)符合條件的活動線素后，它就會觸發(fā)一個警告，這就是說，任何不符合特定匹配條件的活動都將會被認為是合法和可以接受的，哪怕其中包含隱藏的入侵行為。 入侵檢測系統(tǒng) 1 常用的入侵檢測技術(shù) 入侵檢測過程事一個檢測系統(tǒng)與入侵攻擊者之間對抗的決策分析過程，其技術(shù)基礎(chǔ)事基于知識和冗余推理方法的信息融合技術(shù)，而大部分工作是通過模式匹配、數(shù)據(jù)挖掘、特征選取以及機器學(xué)習(xí)等方法對數(shù) 據(jù)進行分類處理。 2 防火墻的分類 按照功能防火墻分為以下 3 類 （ 1） 包過濾型 防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些 “包 ” 是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。除了過濾不安全服務(wù)，防火墻還可以阻止非法用戶對內(nèi)部網(wǎng)絡(luò)的訪問，只允許授權(quán)的用戶訪問，針對不同的服務(wù)面向不同的用戶開放，這樣可以靈活地設(shè)置用戶的訪問權(quán)限，提高網(wǎng)絡(luò)的安全性。在制定安全策略的時候可以針對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)確定不同 9 德過灘規(guī)則，但本質(zhì)上，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)是平等的，都要進行防御。除本章緒論外，其它各 章的內(nèi)容安排如下： 防火墻與入侵檢測技術(shù)介紹 防火墻技術(shù) 防火墻是通過提供訪問控制服務(wù)來實現(xiàn)對網(wǎng)絡(luò)和受保護主機的網(wǎng)絡(luò)安全防護的，防火墻技術(shù)應(yīng)該結(jié)合入侵檢測系統(tǒng)和防木馬等技術(shù)，提供給用戶個高的網(wǎng)絡(luò)安全性。首先，本文總結(jié)了現(xiàn)有入侵檢測系統(tǒng)的體系結(jié)構(gòu)、報警融合、報警響應(yīng)，指出了現(xiàn)有入侵檢測系統(tǒng)錯在的問題， 介紹了入侵檢測系統(tǒng)將來可能的發(fā)展方向。另外一個缺點是很多入侵檢測系統(tǒng)仍然采用人工響應(yīng)的形式。主機防火墻是一種網(wǎng)絡(luò)安全軟件，運行在受保護的主機上。它通過對計算機網(wǎng)絡(luò)和計算機系統(tǒng)中的若干關(guān)鍵點收集 8 信息并對其進行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的痕跡。 當(dāng)今社會，對于信息系統(tǒng)的攻擊日趨頻繁。檢測模塊用于發(fā)現(xiàn)各種違反系統(tǒng)安全規(guī)則的入侵行為。對于訪問控制，入侵者也可以利用脆弱性程序或系統(tǒng)漏洞繞過訪問控制，或者提升用戶權(quán)限，或者非法讀寫文件等。常用的工具有 TFN、 Trinoo、 Stacheldraht 等。大體上是利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使資源耗盡或是資源過載，造成服務(wù)器癱瘓，其它 用戶無法想用該服務(wù)資源。常用的工具有 Glacier、SubSeven、 Acidshiver 等。前者是利用 URL 地址重寫將用戶瀏覽的網(wǎng)頁鏈接指向攻擊者的服務(wù)器，使得瀏覽者在查看信息的時候，不經(jīng)意進入到攻擊者的全套里；后者一般利用文檔信息、表單信息掩蓋結(jié)合前一種方式同時進行。這包括技術(shù)員在網(wǎng)絡(luò)配置管理上的疏忽或錯誤，網(wǎng)絡(luò)實際運行效益和安全投入成本的平衡決擇，網(wǎng)絡(luò)用戶的安全管理缺陷等等。即使是正常運行了很久時間的軟件，也會 在特定的情況下出現(xiàn)漏洞，例如不斷涌現(xiàn)的操作系統(tǒng)漏洞。由于網(wǎng)絡(luò)的發(fā)展，提供新網(wǎng)絡(luò)服務(wù)，增加網(wǎng)絡(luò)的開放性和互聯(lián)性等，必然將更多環(huán)節(jié)納入系統(tǒng)中，新采用的環(huán)節(jié)又增加了系統(tǒng)的復(fù)雜性，引發(fā)了網(wǎng)絡(luò)的不安定性。 網(wǎng)絡(luò)安全隱患主 要來自于如下四個方面： （ 1） 網(wǎng)絡(luò)的復(fù)雜性。 關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測；分布式；報警融合；自動響應(yīng) 3 Research and Design of Based on Campus Network Distributed Intrusion Detection System HE Yinghong ABSTRACT With the development of the Inter, the puter work security has received more and more concern. At present the most popular work security solution is the Intrusion Detection System and the Firewall System, but the Intrusion Detection System produces a lot of Alert and False Positive, an they only can detect passively, cannot defense actively, so they cannot carry on the prehensive protection to the work. Therefore a kind of brandnew work security architecture is urgent needed to solve these problems. The author analyses the good and bad points of many kinds of security defense mechanism and the development tendency of the work security, designs and implements ponentbased hierarchical Distributed Intrusion Detection System. It has good performance and can be expanded easily. It bine the Intrusion Detection System and the Firewall together, so it can carry on the prehensive protection to the work. This article analyses the existing Intrusion Detection System and the Firewall System, designs and implements the Distributed Intrusion Detection System, obtaines the achievement as below: Take part in designing the Distributed Intrusion Detection System, and explains the architecture and function of the system explicitly. Does a research in the implementation mechanism of the snort, and masteres how to write snort rules. Does a research in the steps of hackers’attack, masteres the general means of attack. Does a research and implements the alerts gather and format unification module. Implements work munication module, uses strategy design pattern to guarantee the dynamic expansion of the encryption and decryption module, solves security problems of the Intrusion Detection System effectively. Dose a deep research in the principle of the alert fusion module, and implements based on the similarity alert fusion arithmetic. Does a deep research and implements the automatic response module, which is based on plugin mode, and implements the linkage with the firewall. Aim at the demand of the local area work security, uses this Distributed Intrusion Detection System to carry on the protection for it, and the experiment receives some good effects. KEYWORD: work security, intrusion detection, distribute, alert fusion, automatic response. 4 目 錄 1．緒論 ??????????????????????????????????? 1 1． 1 研究背景 ??????????????????????????????? 1 校園網(wǎng)現(xiàn)狀 ?????????????? ?????????????? 1 入侵檢測技術(shù)現(xiàn)狀 ????????????????????????? 1 防火墻技術(shù)現(xiàn)狀 ????????????????????????? 1 2．方案論證 ????????????????????????????????? 2 2． 1 Snort 檢測器介紹 ??????????????????????????? 2 2． 2 檢測引擎介紹 ????????????????????????????? 2 3．研究過程論述 ?????????????? ????????????????? 3 3． 1 第一階段：調(diào)研論文內(nèi)容 ??????????????????????? 3 防火墻功能 ??????????????????????????? 3 防火墻分類 ??????????????????????????? 4 防火墻不足 ??????????????????????????? 4 入侵檢測功能 ??????????????????????????? 4 入侵檢測分類 ???????? ??????????????????? 4 入侵檢測不足 ??????????????????????????? 4 分布式入侵檢測系統(tǒng)的優(yōu)勢 ?????????????????????? 4 3． 2 第二階段：模擬校園網(wǎng)的基礎(chǔ)上設(shè)計了入侵防御系統(tǒng) ??????????? 5 3． 3 第三階段：編寫檢測引擎 ??????????????????????? 5 3. 4 第四階段：測試、運行本系統(tǒng)并改進 ?????????????????? 12 4．結(jié)果分析????????????????? ??????????????? 13 5. 結(jié)論及存在的問題 ??????????????????????????? 13 參考文獻 ?????????????????????????????????? 14 致謝 ???????????????????????????????????? 15 5 基于校園網(wǎng)的分布式入侵防御系統(tǒng)研究與設(shè)計 姓名：何應(yīng)鴻 學(xué)號： 2020394109 班級：網(wǎng)絡(luò)工程 051 緒論 網(wǎng)絡(luò)安全隱患 Inter 是一個全球各種計算機網(wǎng)絡(luò)的互連系統(tǒng)，它把政府 組織、金融證券、商業(yè)企業(yè)、國防軍事等各種計算機網(wǎng)絡(luò)系統(tǒng)互相連接在了一起。 實現(xiàn)了網(wǎng)絡(luò)通信模塊，并使用 Strategy 模式保證了加密解密模塊的動態(tài)擴展，有效的解決了入侵檢測系統(tǒng)自身的安全問題。 本文在深入細致地分析了現(xiàn)有入侵檢測系統(tǒng)進行了研究與設(shè)計，取得了以下工作成果： 參與設(shè)計了一種分布式入侵檢測系統(tǒng)，并對該系統(tǒng)的體系結(jié)構(gòu)和功能進行了全面、完整的描述。 1 Foshan University 本科生畢業(yè)設(shè)計（論文） 基于校園網(wǎng)的分布式入侵防御系統(tǒng)研究與設(shè)計 學(xué) 院： 機電與信息工程學(xué)院 專 業(yè)： 網(wǎng)絡(luò)工程 學(xué) 號： 2020394109 學(xué)生姓名： 何應(yīng)鴻 指導(dǎo)教師： 馬莉 （職稱） 二〇〇九 年 五 月 2 摘 要 隨著 Inter 的發(fā)展，計算機網(wǎng)絡(luò)安全成為越來越受人們關(guān)注的問題。它將入侵檢測系統(tǒng)和防火墻技術(shù)有機地結(jié)合在一起，用于實現(xiàn)對網(wǎng)絡(luò)的全面保護和深度防御。 研究并實現(xiàn)了報警采集與格式統(tǒng)一模塊。 針對局域網(wǎng)實際應(yīng)用需求，使用該分布式入侵