【正文】 此帶來的后果是這樣的入侵檢測系統(tǒng)只能在某個特定的環(huán)境下生效。當發(fā)現(xiàn)符合條件的活動線素后，它就會觸發(fā)一個警告，這就是說，任何不符合特定匹配條件的活動都將會被認為是合法和可以接受的，哪怕其中包含隱藏的入侵行為。 入侵檢測系統(tǒng) 1 常用的入侵檢測技術 入侵檢測過程事一個檢測系統(tǒng)與入侵攻擊者之間對抗的決策分析過程，其技術基礎事基于知識和冗余推理方法的信息融合技術，而大部分工作是通過模式匹配、數(shù)據(jù)挖掘、特征選取以及機器學習等方法對數(shù) 據(jù)進行分類處理。 2 防火墻的分類 按照功能防火墻分為以下 3 類 （ 1） 包過濾型 防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些 “包 ” 是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。除了過濾不安全服務，防火墻還可以阻止非法用戶對內部網絡的訪問，只允許授權的用戶訪問，針對不同的服務面向不同的用戶開放，這樣可以靈活地設置用戶的訪問權限，提高網絡的安全性。在制定安全策略的時候可以針對內部網絡和外部網絡確定不同 9 德過灘規(guī)則，但本質上，內部網絡和外部網絡是平等的，都要進行防御。除本章緒論外，其它各 章的內容安排如下： 防火墻與入侵檢測技術介紹 防火墻技術 防火墻是通過提供訪問控制服務來實現(xiàn)對網絡和受保護主機的網絡安全防護的，防火墻技術應該結合入侵檢測系統(tǒng)和防木馬等技術，提供給用戶個高的網絡安全性。首先，本文總結了現(xiàn)有入侵檢測系統(tǒng)的體系結構、報警融合、報警響應，指出了現(xiàn)有入侵檢測系統(tǒng)錯在的問題， 介紹了入侵檢測系統(tǒng)將來可能的發(fā)展方向。另外一個缺點是很多入侵檢測系統(tǒng)仍然采用人工響應的形式。主機防火墻是一種網絡安全軟件，運行在受保護的主機上。它通過對計算機網絡和計算機系統(tǒng)中的若干關鍵點收集 8 信息并對其進行分析，從而發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的痕跡。 當今社會，對于信息系統(tǒng)的攻擊日趨頻繁。檢測模塊用于發(fā)現(xiàn)各種違反系統(tǒng)安全規(guī)則的入侵行為。對于訪問控制，入侵者也可以利用脆弱性程序或系統(tǒng)漏洞繞過訪問控制，或者提升用戶權限，或者非法讀寫文件等。常用的工具有 TFN、 Trinoo、 Stacheldraht 等。大體上是利用合理的服務請求來占用過多的服務資源，致使資源耗盡或是資源過載，造成服務器癱瘓，其它 用戶無法想用該服務資源。常用的工具有 Glacier、SubSeven、 Acidshiver 等。前者是利用 URL 地址重寫將用戶瀏覽的網頁鏈接指向攻擊者的服務器，使得瀏覽者在查看信息的時候，不經意進入到攻擊者的全套里；后者一般利用文檔信息、表單信息掩蓋結合前一種方式同時進行。這包括技術員在網絡配置管理上的疏忽或錯誤，網絡實際運行效益和安全投入成本的平衡決擇，網絡用戶的安全管理缺陷等等。即使是正常運行了很久時間的軟件，也會 在特定的情況下出現(xiàn)漏洞，例如不斷涌現(xiàn)的操作系統(tǒng)漏洞。由于網絡的發(fā)展，提供新網絡服務，增加網絡的開放性和互聯(lián)性等，必然將更多環(huán)節(jié)納入系統(tǒng)中，新采用的環(huán)節(jié)又增加了系統(tǒng)的復雜性，引發(fā)了網絡的不安定性。 網絡安全隱患主 要來自于如下四個方面： （ 1） 網絡的復雜性。 關鍵詞：網絡安全；入侵檢測；分布式；報警融合；自動響應 3 Research and Design of Based on Campus Network Distributed Intrusion Detection System HE Yinghong ABSTRACT With the development of the Inter, the puter work security has received more and more concern. At present the most popular work security solution is the Intrusion Detection System and the Firewall System, but the Intrusion Detection System produces a lot of Alert and False Positive, an they only can detect passively, cannot defense actively, so they cannot carry on the prehensive protection to the work. Therefore a kind of brandnew work security architecture is urgent needed to solve these problems. The author analyses the good and bad points of many kinds of security defense mechanism and the development tendency of the work security, designs and implements ponentbased hierarchical Distributed Intrusion Detection System. It has good performance and can be expanded easily. It bine the Intrusion Detection System and the Firewall together, so it can carry on the prehensive protection to the work. This article analyses the existing Intrusion Detection System and the Firewall System, designs and implements the Distributed Intrusion Detection System, obtaines the achievement as below: Take part in designing the Distributed Intrusion Detection System, and explains the architecture and function of the system explicitly. Does a research in the implementation mechanism of the snort, and masteres how to write snort rules. Does a research in the steps of hackers’attack, masteres the general means of attack. Does a research and implements the alerts gather and format unification module. Implements work munication module, uses strategy design pattern to guarantee the dynamic expansion of the encryption and decryption module, solves security problems of the Intrusion Detection System effectively. Dose a deep research in the principle of the alert fusion module, and implements based on the similarity alert fusion arithmetic. Does a deep research and implements the automatic response module, which is based on plugin mode, and implements the linkage with the firewall. Aim at the demand of the local area work security, uses this Distributed Intrusion Detection System to carry on the protection for it, and the experiment receives some good effects. KEYWORD: work security, intrusion detection, distribute, alert fusion, automatic response. 4 目 錄 1．緒論 ??????????????????????????????????? 1 1． 1 研究背景 ??????????????????????????????? 1 校園網現(xiàn)狀 ?????????????? ?????????????? 1 入侵檢測技術現(xiàn)狀 ????????????????????????? 1 防火墻技術現(xiàn)狀 ????????????????????????? 1 2．方案論證 ????????????????????????????????? 2 2． 1 Snort 檢測器介紹 ??????????????????????????? 2 2． 2 檢測引擎介紹 ????????????????????????????? 2 3．研究過程論述 ?????????????? ????????????????? 3 3． 1 第一階段：調研論文內容 ??????????????????????? 3 防火墻功能 ??????????????????????????? 3 防火墻分類 ??????????????????????????? 4 防火墻不足 ??????????????????????????? 4 入侵檢測功能 ??????????????????????????? 4 入侵檢測分類 ???????? ??????????????????? 4 入侵檢測不足 ??????????????????????????? 4 分布式入侵檢測系統(tǒng)的優(yōu)勢 ?????????????????????? 4 3． 2 第二階段：模擬校園網的基礎上設計了入侵防御系統(tǒng) ??????????? 5 3． 3 第三階段：編寫檢測引擎 ??????????????????????? 5 3. 4 第四階段：測試、運行本系統(tǒng)并改進 ?????????????????? 12 4．結果分析????????????????? ??????????????? 13 5. 結論及存在的問題 ??????????????????????????? 13 參考文獻 ?????????????????????????????????? 14 致謝 ???????????????????????????????????? 15 5 基于校園網的分布式入侵防御系統(tǒng)研究與設計 姓名：何應鴻 學號： 2020394109 班級：網絡工程 051 緒論 網絡安全隱患 Inter 是一個全球各種計算機網絡的互連系統(tǒng)，它把政府 組織、金融證券、商業(yè)企業(yè)、國防軍事等各種計算機網絡系統(tǒng)互相連接在了一起。 實現(xiàn)了網絡通信模塊，并使用 Strategy 模式保證了加密解密模塊的動態(tài)擴展，有效的解決了入侵檢測系統(tǒng)自身的安全問題。 本文在深入細致地分析了現(xiàn)有入侵檢測系統(tǒng)進行了研究與設計，取得了以下工作成果： 參與設計了一種分布式入侵檢測系統(tǒng)，并對該系統(tǒng)的體系結構和功能進行了全面、完整的描述。 1 Foshan University 本科生畢業(yè)設計（論文） 基于校園網的分布式入侵防御系統(tǒng)研究與設計 學 院： 機電與信息工程學院 專 業(yè)： 網絡工程 學 號： 2020394109 學生姓名： 何應鴻 指導教師： 馬莉 （職稱） 二〇〇九 年 五 月 2 摘 要 隨著 Inter 的發(fā)展，計算機網絡安全成為越來越受人們關注的問題。它將入侵檢測系統(tǒng)和防火墻技術有機地結合在一起，用于實現(xiàn)對網絡的全面保護和深度防御。 研究并實現(xiàn)了報警采集與格式統(tǒng)一模塊。 針對局域網實際應用需求，使用該分布式入侵