【正文】 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 II ABSTRACT The rapid development of the inter technologies, work security issues bee increasingly important for work security and protection technology theory also need continuous innovation and improvement. Current firewall and intrusion detection are the two most monly used work security technology, but when used alone they are shortings. Firewall on behalf of static security, which disadvantage is that it needs people implement， maintenance and can not follow the intrusion. However, IDS on behalf of dynamic security, which can detect the easy attack point and security hole initiatively. Furthermore, IDS can detect the dangerous action before manual detection. IDS can find the characters of dangerous intrusion and detect the attack action and then alarm, take protected measures at the same time. Because the traditional technologies such as encryption and firewall cannot satisfy the security needs. Now intrusion detection technology, as a new security method, has been gained more and more attention. Therefore, how prehensive utilization of the two security technologies, to build a security system, puter work security has bee an important research topic. In this paper, brings a thought that IDS and firewall can work together in the university work. IDS will be a good plement to firewall. Firewall can find intrusion by using intrusion detection, and IDS can block the attack from the external work by using firewall. In the end, according to the construction experiences by integrating the firewall and IDS technologies in a certain university work, this paper puts forward the defence solutions in security systems of university work. Key words: Firewall。這些問題有些是屬于社會(huì)學(xué)范疇，有些是屬于倫理學(xué)范疇，還有一些則是屬于計(jì)算機(jī)科學(xué)技術(shù)范疇，本文所要重點(diǎn)討論的，就是屬于計(jì)算機(jī)科學(xué)技術(shù)范疇之內(nèi)的校園網(wǎng)絡(luò)安全問題。所以，對(duì)于校園網(wǎng)這個(gè)特殊而又重要的局域網(wǎng)來(lái)說，建立完備的校園網(wǎng)安全防護(hù)體系，保護(hù)校園網(wǎng)內(nèi)部信息資源不受侵害，確保網(wǎng)絡(luò)教學(xué)等活動(dòng)得以正常運(yùn)轉(zhuǎn)，校園網(wǎng)絡(luò)安全問題就成為計(jì)算機(jī)網(wǎng)絡(luò)管理中一個(gè)極其重要且必須要解決的問題。 一般來(lái)說，校園網(wǎng)己經(jīng)具備的網(wǎng)絡(luò)安全技術(shù)有防火墻、代理服務(wù)器、過濾器、加密、口令驗(yàn)證等等。就防火墻來(lái)說，其過濾規(guī)則需要人為地設(shè)定，并不能夠根據(jù)當(dāng)前的連接情況做出動(dòng)態(tài)的調(diào)整，而單獨(dú)的入侵監(jiān)測(cè)系統(tǒng)即便是發(fā)現(xiàn)了入侵，也不能立即阻止。 現(xiàn)有在校師生約 8000 人。 校園網(wǎng)網(wǎng)絡(luò)大 、 業(yè)務(wù)多 、 故障問題定位復(fù)雜 ， 網(wǎng)絡(luò)的安全性差 、 管理難度大 。 計(jì)算機(jī)病毒是指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或毀壞數(shù)據(jù) ，影響計(jì)算機(jī)使用并能自我復(fù)制 、 傳播的一組計(jì)算機(jī)指令或程序代碼 。 某些人出于好奇 、 個(gè)人私利或惡意報(bào)復(fù) ， 使用不正常的手段竊取他人的口令 ， 訪問不該屬于自己訪問的內(nèi)容 ， 進(jìn)行惡意篡改 、 改變程序設(shè)置 ， 引起系統(tǒng)混亂 、 竊取機(jī)密數(shù)據(jù)等等 ， 這些安全隱 患都嚴(yán)重地影響了學(xué)校正常的教學(xué)和管理秩序 。 學(xué)校的規(guī)章制度還不夠完善 ， 還不能夠有效的規(guī)范和約束學(xué)生 、 教工的上網(wǎng)行為 。而一旦 騙取用戶的信任，黑客就會(huì)把數(shù)據(jù)或命令注入到客戶、服務(wù)器之間對(duì)等網(wǎng)絡(luò)連接間傳送中已存在的數(shù)據(jù)流，而當(dāng)防火墻也無(wú)法辨別或無(wú)法做出判斷時(shí)，那么此時(shí)攻擊就會(huì)自動(dòng)發(fā)起。如使用服務(wù)器上通?？烧业杰浖囊阎毕?，通過使用這些缺陷，攻擊者能夠獲得計(jì)算機(jī)的訪問權(quán)，該計(jì)算機(jī)上有運(yùn)行應(yīng)用程序所需賬戶的許可權(quán)，一旦獲取，同樣會(huì)立即創(chuàng)建管理員賬戶，并快速植入木馬程序。 (3)防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力 防火墻處于網(wǎng)絡(luò)邊緣，每時(shí)每刻都要面對(duì)黑客的入侵，這就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。由于外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。 與應(yīng)用級(jí)網(wǎng)關(guān)防火墻不同的是，規(guī)則檢查防火墻允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接 聯(lián)系，它不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來(lái)比較進(jìn)出的數(shù)據(jù)包，從理論上比應(yīng)用級(jí)代理在過濾數(shù)據(jù)包上更有效。防火墻先是轉(zhuǎn)發(fā)所有的信息，開始時(shí)防火精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 10 墻幾乎是不起作用，如同虛設(shè)，然后再逐項(xiàng)對(duì)有害的內(nèi)容剔除，被禁止的內(nèi)容越多，防火墻的作用就越大。 (6)所有防御規(guī)則都是事先設(shè)置好的，缺乏實(shí)時(shí)性，對(duì)變化的安全形勢(shì)缺少應(yīng)變的能力。它在很大程度上 依賴于收集信息的可靠性和準(zhǔn)確性。 NID 多被用來(lái)當(dāng)作一種網(wǎng)絡(luò)周邊環(huán)境防御的主要方法。 (2)如何減少入侵檢測(cè)系統(tǒng)的漏報(bào)和誤報(bào)，提高其安全性和準(zhǔn)確度 基于模式匹配分析的 IDS 將所有已知的入侵行為表達(dá)為一種模式或特征，然后判斷搜集到的數(shù)據(jù)特征是否在模式特征庫(kù)中出現(xiàn)，當(dāng)有新的攻擊方法產(chǎn)生和有新的漏洞發(fā)布時(shí)，特征庫(kù)不能及時(shí)更新便會(huì)造成 IDS 的漏報(bào)。 入侵檢測(cè)系統(tǒng)作為一種網(wǎng)絡(luò)安全主動(dòng)防御手段在短時(shí)期內(nèi)得到飛速發(fā)展 。 例如 ， 入侵檢測(cè)系統(tǒng)檢測(cè)到一種攻擊行為 ， 如不能及時(shí)有效地阻斷或過濾 ， 這種攻擊行為就將對(duì)網(wǎng)絡(luò)應(yīng)用造成損害 。而入侵檢測(cè)系統(tǒng)就可以不必轉(zhuǎn)發(fā)數(shù)據(jù)流量，只是將網(wǎng)段上的數(shù)據(jù)報(bào)內(nèi)容進(jìn)行收集查看，監(jiān)視其行為。攻擊者的目的是阻斷用戶正常的網(wǎng)絡(luò)通信，如偽造 DNS 服務(wù)器地址進(jìn)行攻擊，結(jié)果造成防火墻阻斷 DNS 服務(wù)器發(fā)出的包，而使用戶不能正常使用網(wǎng)絡(luò)。另外，管理員可以設(shè)置防火墻針對(duì)某條互動(dòng)規(guī)則設(shè)置一定阻斷時(shí)間，為自己贏得解決問題的時(shí)間而又不會(huì)對(duì)網(wǎng)絡(luò)造成危害。 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 15 (3)專用響應(yīng)方式：當(dāng)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)存在攻擊企圖時(shí)，通過一個(gè)專用的開放接口實(shí)現(xiàn)與防火墻的通信，雙方按照固定的協(xié)議進(jìn)行網(wǎng)絡(luò)安全事件的傳輸，更改防火墻的安全策略，對(duì)攻擊的源頭進(jìn)行封堵。 本論文的設(shè)計(jì)出發(fā)點(diǎn)就是在二者之間尋求一個(gè)結(jié)合點(diǎn) ,達(dá)到防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)保護(hù)網(wǎng)絡(luò)安全 。 顯然 ， 我們無(wú)法完全預(yù)防計(jì)算機(jī)系統(tǒng)受到破壞 ， 但是一旦計(jì)算機(jī)系統(tǒng)被攻擊 ， 我們能夠立即實(shí)時(shí)地檢測(cè)到攻擊并采取相應(yīng)行動(dòng) ， 至少可以防范日后進(jìn)一步的攻擊 。 它是將采集到的信息與 已 知網(wǎng)絡(luò)入侵特征庫(kù)中的規(guī)則進(jìn)行模式匹配 ， 從而檢測(cè)出不符合系統(tǒng)安全策略的行為 。 算法概述 符號(hào)說明 ? 模式 X=x0xlx2… .xm1，長(zhǎng)度為 m； ? 文本 Y=y0yly2… yn1，長(zhǎng)度為 n； ? 字符表為 ∑ ，大小為 б； 在對(duì)文本與模式進(jìn)行匹配的過程中，當(dāng) x0xlx2… xm1 與 yiyi+1yi+2… yi+m1 對(duì)齊時(shí)，稱為對(duì)位置 i的嘗試。 防火墻配置 每一款防火墻的配置方法各不相同，下面 以 RGWALL60 為例。實(shí)施 RGIDS與RGWALL聯(lián)動(dòng)后， IDS首先檢測(cè)到 ping of death，并將事件的信息包括源、目的地址等通過 SSH通知防火墻，防火墻根據(jù) IDS發(fā)送的攻擊事件信息自動(dòng)生成響應(yīng)規(guī)則，阻斷攻擊源和目的之間通信。本文主要對(duì)以下幾個(gè)方面進(jìn)行了研究： 1) 研究了校園網(wǎng)面 臨的威脅。文中所提出或改進(jìn)的算法在一定程度可以解決某一方面的問題，但要想取得更滿意效果，算法還需根據(jù)具體應(yīng)用環(huán)境作出進(jìn)一步完善。 到的關(guān)鍵技術(shù)和實(shí)現(xiàn)途徑進(jìn)行研究，但在工程技術(shù)的實(shí)現(xiàn)上明顯存在不足，需進(jìn)一步開展有關(guān)防火墻與入侵檢測(cè)系統(tǒng)協(xié)同聯(lián)動(dòng)的安全產(chǎn)品的研究，從工程實(shí)際背景中驗(yàn)證所提出技術(shù)和算法的可行性與有效性，同時(shí)提升網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)。本文從二者的優(yōu)缺點(diǎn)入手，討論了將它們作為一個(gè)有機(jī)整體發(fā)揮作用的必要性和可行性，并且討論了一些具體的實(shí)施辦法。 聯(lián)動(dòng)實(shí)驗(yàn) 入侵檢測(cè)系統(tǒng)在捕捉到某一攻擊事件后，按策略進(jìn)行檢查，如果策略中對(duì)該攻擊事件設(shè)置了防火墻阻斷，那么入侵檢測(cè)系統(tǒng)就會(huì)發(fā)給防火墻一個(gè)相應(yīng)的動(dòng)態(tài)阻斷策略，防火墻根據(jù)該動(dòng)態(tài)策略中的設(shè)置進(jìn)行了相應(yīng)的阻斷，阻斷的時(shí)間、阻斷時(shí)間間隔、源端口、目的端口、源 IP和目的 IP等信息，完全依照入侵檢測(cè)系統(tǒng)發(fā)出的動(dòng)態(tài)策略來(lái)執(zhí)行。通過 IDS檢測(cè)并將檢測(cè)信息傳遞給防火墻，通過防火墻對(duì)攻擊的地址和端口進(jìn)行阻斷等措施，達(dá)到時(shí)時(shí)防御的目的。 上述五種算法均為精確模式匹配算法 ， 但也存在不足之處 ： KMP 算法通過調(diào)用遞歸函數(shù) 來(lái)降低時(shí)間復(fù)雜度 ， 其算法的時(shí)間復(fù)雜度為 O(m+n)， 但設(shè)計(jì)思想和預(yù)處理過程比較復(fù)雜 ， 并且難以理解 ； Vishkin 的決定性抽樣算法的時(shí)間復(fù)雜度為 O(m+nlo gn)； 黃占友的 KMP 改進(jìn)算法只適用于特殊字符串等等 ； 其它關(guān)于 BM 算法的討論還有很多 。 入侵檢測(cè)系統(tǒng)與防火墻之間的互動(dòng)邏輯示意圖如圖41 所示 [21]： 圖 41 防火墻與入侵檢測(cè)系統(tǒng)之間的互動(dòng)原理圖 模式匹配算法研究 入侵檢測(cè)系統(tǒng) 的 主 要功能是通過分析網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù) ， 來(lái)確定是否存在來(lái)自攻擊者的入侵行為 。 即使一個(gè)系統(tǒng)中不存在某個(gè)特定的漏洞 ， 入侵檢測(cè)系統(tǒng)仍然可以檢測(cè)到相應(yīng)精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 16 的攻擊事件 ， 并調(diào)整系統(tǒng)狀態(tài) ， 對(duì)未來(lái)可能發(fā)生的侵入做出警告 。 防火墻與入侵檢測(cè)系統(tǒng)互動(dòng)模型 網(wǎng)絡(luò)安全防御系統(tǒng)的實(shí)現(xiàn)是一個(gè)系統(tǒng)工程 ,需要全方位考慮眾多問題 。但是由于入侵檢測(cè)系統(tǒng)本身也是一個(gè)很龐大的系統(tǒng)，所以無(wú)論從實(shí)施難度上，還是合成后的整體性能上，都會(huì)受到很大的影響。 ，造成防火墻錯(cuò)誤地阻斷了正常網(wǎng)絡(luò)。 精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)計(jì)（論文）和圖文教程、視頻教程等一攬子解決方案 14 聯(lián)動(dòng)的安全性 由于是兩個(gè)系統(tǒng)的配合，所以入侵檢測(cè)系統(tǒng)和防火墻互動(dòng)的安全性成了人們關(guān)注的焦點(diǎn)。這樣就可以大大提高整個(gè)系統(tǒng)的整體防護(hù)性能。 防火墻和入侵檢測(cè)系統(tǒng)的功能特點(diǎn)和局限性決定了它們彼此非常需要對(duì)方 ，且不可能相互取代 ， 原因在于防火墻側(cè)重于訪問控制 ， 入侵檢測(cè)系統(tǒng)則側(cè)重于主動(dòng)發(fā)現(xiàn)入侵信號(hào) 。 4 聯(lián)動(dòng)機(jī)制的理論研究 聯(lián)動(dòng)的必要性 隨著網(wǎng)絡(luò)的飛速發(fā)展和廣泛應(yīng)用 ， 計(jì)算機(jī)網(wǎng)絡(luò)的資源共享進(jìn)一步加強(qiáng) ， 網(wǎng)絡(luò)安全問題日益嚴(yán)重 。 入侵檢測(cè) 技術(shù)存在的問題 主要有三大問題亟需解決： (1)如何提高入侵檢測(cè)系統(tǒng)的檢測(cè)速度，以適應(yīng)網(wǎng)絡(luò)通信的需要網(wǎng)絡(luò)安全設(shè)備的處理速度一直是影響網(wǎng)絡(luò)性能的一大瓶頸，在 IDS 中，截獲網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包，并分析、匹配其中是否有某種攻擊的特征需要花費(fèi)大量的時(shí)間和系統(tǒng)資源。 HID 最適合配置來(lái)對(duì)抗內(nèi)部的威脅，因?yàn)槟鼙O(jiān)視并響應(yīng)用戶特殊的行為以及對(duì)主機(jī)文件的訪問行為。與其他安全措施不同的是，它需要更多的智能模塊，使得能夠?qū)⒌玫降臄?shù)據(jù)進(jìn)行分析并得出有用的結(jié)果，對(duì)入侵攻精品畢業(yè)論文、畢業(yè)設(shè)計(jì)，優(yōu)質(zhì)的論文服務(wù)： 精品論文網(wǎng) 提供畢業(yè)設(shè)