【正文】 法的不同，可分為誤用檢測和異常檢測 誤用檢測（ Misuse Detection） 設(shè)定一些入侵活動的特征（ Signature），通過現(xiàn)在的活動是否與這些特征匹配來檢測。不同入侵檢測系統(tǒng)在實現(xiàn)時采用的響應(yīng)方式也可能不同，但通常都 包括通知管理 員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等 [5]。檢測對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件入侵的一個常用方法是通過定期檢查文件的校驗和來進行的，以便發(fā)現(xiàn)異常的變化。 （ 1） 審計系統(tǒng)的配置和存在的脆弱性 （ 2） 評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性和一致性 （ 3） 分析用戶和系統(tǒng)的活動情況 （ 4） 檢測并響應(yīng)正在進行的或已經(jīng)實現(xiàn)的違反系統(tǒng)安全策略的入侵活動 （ 5） 收集入侵證據(jù) 在設(shè)計網(wǎng)絡(luò)入侵檢測系統(tǒng)時，要特別對 來自組織機構(gòu)內(nèi)部的入侵行為予以更多的重視。進一步的算法將單個用戶的參數(shù)變量數(shù)值與積累起來的群體參數(shù)變量進行比較，但是檢測能力的提高還是不大。 另外，對于合法用戶超越其權(quán)限的違法行為的檢測能力大大加強。 采用專家系統(tǒng)技術(shù)的典型例子有 SRI 公司開發(fā)的入侵檢測專家系統(tǒng)（ IDES， Intrusion Detection Expert System）。 可以看出，濫用入侵檢測技術(shù)的優(yōu)點在于具有非常低的虛警率，同時檢測的匹配條件可以進行清楚的描述，從而有利于安全管 理人員采取清晰明確的預(yù)防保護措施。 （ 2）應(yīng)用級網(wǎng)關(guān) 應(yīng)用級網(wǎng)關(guān)能夠在應(yīng)用層上理解協(xié)議，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，實現(xiàn)復(fù)雜的控制訪問，一般通過代理服務(wù)器完成操作控制。因此 ，作為防火墻，應(yīng)當(dāng)能夠過濾掉所有的不安全數(shù)據(jù)，阻止它們進入內(nèi)部網(wǎng)絡(luò)，對于允許的安全數(shù)據(jù)，則可以自出入。最后，針對局域網(wǎng)實際安全需求，實現(xiàn)了分布式入侵檢測系統(tǒng)對網(wǎng)絡(luò)安全的保護，取得了不錯的應(yīng)用效果。 論文研究的內(nèi)容 和意義 目前，一般 IDS 所共有的一個缺點是生成的報警和日志的數(shù)量過于龐大。 1． 4 目前網(wǎng)絡(luò)安全現(xiàn)狀 目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測系統(tǒng)和防火墻技術(shù)。 7 針對原有安全模型的缺陷，有些學(xué)者提出計算機信息系統(tǒng) 安全的管理模型應(yīng)包括 4 部分，如圖 11 所示。 (7)DDOS 攻擊：分布式拒絕服務(wù)攻擊，首先通過以上所列舉得某種技術(shù)獲得多臺計算機的控制權(quán)，并在某一臺運行特定程序使其成為主控端，在其他機器中運行特定程序成為代理端，主控端控制多個代理端。 (4)木馬攻擊：這一攻擊常常是基 于網(wǎng)絡(luò)中的客戶機 /服務(wù)器原理。同時，市場的激烈競爭，促使商家需要更快地推出產(chǎn)品，軟件的快速開發(fā)也增大了遺留更多隱患的可能性。由于市場利潤，技術(shù)投入，產(chǎn)品成本，技術(shù)規(guī)范等等問題，不同供應(yīng)商提供的環(huán)節(jié)在安全性上不盡相同，使得整個系統(tǒng)的安全程度被限制在了安全等級最低的那個環(huán)節(jié)。 重點研究和實現(xiàn)了基于插件的報警響應(yīng)模塊，實現(xiàn)了與防火墻的聯(lián)動。通過分析多種安全防御機制的優(yōu)缺點和網(wǎng)絡(luò)安全的發(fā)展趨勢，在此基礎(chǔ)上設(shè)計并實現(xiàn)了基于分層部件的分布式入侵檢測系統(tǒng)，具有良好的性能和可擴展性。 研究了 snort 的實現(xiàn)機制， 學(xué)會如何編寫 snort 規(guī)則。在計算機網(wǎng)絡(luò)中存在著一些重要的信息系統(tǒng)，其中存儲了大量敏感的甚至是機密的信息，如國家的軍事能源信息、政府的調(diào)控決策信息、政府的調(diào)控決策信息、科研機構(gòu)的研究技術(shù)信息和商業(yè)企業(yè)的技術(shù)經(jīng)濟信息等等；在計算機網(wǎng)絡(luò)中還存在著大量重要的應(yīng)用系統(tǒng)，如金融、證券、稅務(wù)、商務(wù)、文教等電子系統(tǒng)。 （ 3） 軟件質(zhì)量問題。 黑客常用攻擊手段 針對眾多的安全威脅和安全隱患，黑客常用的攻擊手段包括以下 7 種： （ 1） 口令入侵：利用應(yīng)用層許多協(xié) 議如 TELNET、 FTP、 HTTP、 SMTP 等，它們中多數(shù)沒有采用加密或身份認證技術(shù)，用戶賬號與密碼信息都是以明文格式傳輸?shù)奶攸c實施網(wǎng)絡(luò)監(jiān)聽，也可以利用用戶的賬號（如 Email賬號）進行暴力破解（字典破解），當(dāng)然利用系統(tǒng)管理員的失誤，復(fù)制存放 Password 的文件，進一步利用解密算法也可以達到破解的目的。 (5)緩沖區(qū)溢出攻擊：由于軟件編碼或是系統(tǒng)本身沒有對執(zhí)行的程序與緩 沖施加控制，使得在接受輸入的過程中，當(dāng)攻擊通過往程序的緩沖區(qū)寫入超出其長度的內(nèi)容時，系統(tǒng)會處于不穩(wěn)定狀態(tài)，利用這種不穩(wěn)定狀態(tài)，攻擊者可以通過加入代碼，在有 ROOT 權(quán)限的內(nèi)存中運行想要的指令，從而擁有系統(tǒng)管理員的權(quán)限，控制該機。 3 網(wǎng)絡(luò)安全體系 面對越來越嚴重的網(wǎng)絡(luò)安全問題，人們制定 了一系列的安全法則和評測標(biāo)準(zhǔn)，用來構(gòu)筑一個相對穩(wěn)固的安全系統(tǒng)。調(diào)查模塊將檢測模塊所獲得的數(shù)據(jù)加以分析，并確認當(dāng)前所發(fā)生的有關(guān)入侵企圖。 IDS通常架設(shè)在網(wǎng)絡(luò)重要節(jié)點與主機系統(tǒng)之上，可檢測網(wǎng)絡(luò)流量與內(nèi)容，或者分析網(wǎng)絡(luò)內(nèi)的信息流動。由于響應(yīng)及時性不夠并且無法處理大規(guī)模高速網(wǎng)絡(luò)中大量的安全事件，該方法已經(jīng)不能夠滿足目前入侵響應(yīng)的需求。防火墻是一種網(wǎng)絡(luò)安全軟件，作為一個應(yīng)用程序或者服務(wù)，運行在受保護的主機上，為主機提供網(wǎng)絡(luò)安全保護。 （ 2） 控制訪問特殊站點 一般情況下，上網(wǎng)以后可以獲得各種信息，而網(wǎng)上信息五花八門，各式各樣的內(nèi)容都有。常用的入侵檢測技術(shù)分為兩大類，即濫用檢測和異常檢測 [6]。最后，檢測內(nèi)部用戶的濫用權(quán)限的活動將變得相當(dāng)困難，因為通常該種行為并未利用任何系統(tǒng)缺陷。 （ 2） 異常檢測技術(shù) 又稱為基于行為（ Behavior Based）的入侵檢測技術(shù)，它是建立在如下假設(shè)基礎(chǔ)上的，即任何一種入侵 行為都能由于其偏離正?；蛘咂谕南到y(tǒng)和用戶的活動規(guī)律而被檢測出來。該過程將帶來兩個可能后果，其一是在線學(xué)習(xí)階段，入侵檢測系統(tǒng)無法正常工作，否則生成額外的虛報警信號。神經(jīng)網(wǎng)絡(luò)技術(shù)通學(xué)習(xí)已有輸入 —— 輸出矢量對集合，進而抽象出其內(nèi)在的聯(lián)系，然后得到新的輸入 —— 輸出的關(guān)系；這種技術(shù)在理論上能夠用來審計數(shù)據(jù)流中檢測入侵的痕跡。 3 入侵檢測的分類 現(xiàn)有的分類，大都基于信息源和 分析 方法進行分類。這類檢測方法將基于網(wǎng)絡(luò)的入侵檢測的基本方法融入到基于主機的檢測環(huán)境中。實際上，許多客戶在使 用 IDS時都配置了基于網(wǎng)絡(luò)的入侵檢測。除了知識庫的完備性外，專家系統(tǒng)還依靠條件庫的完備性，這一點又取決于審計記錄的完備性、實時性和易用性。為分布式 IDS 系統(tǒng)所采用。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測新的入侵行為。統(tǒng)計方法的最大優(yōu)點是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。 由于網(wǎng)絡(luò)防火墻對于加密的 SSL 流中的數(shù)據(jù)是不可見的，防火墻無法迅速截獲 SSL 數(shù)據(jù)流并對其解密，因此無法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供 數(shù)據(jù)解密 的功能?；跔顟B(tài)檢測的防火墻，其設(shè)計原理，是基于網(wǎng)絡(luò)層 TCP 和 IP 地址，來設(shè)置與加強狀態(tài)訪問控制列表 (ACLs， Access Control Lists)。 經(jīng)常需要增加或更新軟件模塊 。 如果使用這個規(guī)則，將對所有的應(yīng)用 程序生效。 這些任務(wù)，在基于標(biāo)準(zhǔn) PC 硬件上，是無法高效運行的，雖然一些網(wǎng)絡(luò)防火墻供應(yīng)商采用的是基于 ASIC 的平臺，但進一步研究，就能發(fā)現(xiàn)：舊的基于網(wǎng)絡(luò)的 ASIC 平臺對于新的深度檢測功能是無法支持的 3 入侵檢測系統(tǒng)不足 (1) IDS 系統(tǒng)本身還在迅速發(fā)展和變化，遠未成熟 (2) 現(xiàn)有 IDS 系統(tǒng)錯報或虛警概率偏高，嚴重干擾了結(jié)果 (3) IDS 與其它安全技術(shù)的協(xié)作性不夠 (4) IDS 缺少對檢測結(jié)果作進一步說明和分析的輔助工具 IDS 面臨的挑戰(zhàn) 目前，入侵檢測系統(tǒng)也面臨著若干先要的挑戰(zhàn)。 4)入侵模式牲的準(zhǔn)確性。 2)自動攻擊的軟件工具不斷得到改進，使變通用戶也能夠利用它來進行網(wǎng)絡(luò)攻擊。 隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高和網(wǎng)絡(luò)安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術(shù)加傳統(tǒng) IDS 的技術(shù)，已經(jīng)無法應(yīng)對一些安全威脅。從 IDS 到 IPS，這是必然的趨勢。 （ 2） 基于網(wǎng)絡(luò)的入侵防護系統(tǒng)（ NIPS) NIPS 通過檢測流經(jīng)的網(wǎng)絡(luò)流量，提供對網(wǎng)絡(luò)系統(tǒng)的安全保護。 應(yīng)用入侵防御系統(tǒng) 今年來，網(wǎng)絡(luò)攻擊的發(fā)展趨勢是逐漸轉(zhuǎn)向高層應(yīng)用，據(jù) Gartner 分析，目前對網(wǎng)絡(luò) 的攻擊有 70%以上集中在應(yīng)用層，并且這一數(shù)字呈上升趨勢。而 AIP 則能夠彌補防火墻和 IDS 的不足，能對特定應(yīng)用進行有效保護。雖然 AIP 剛出現(xiàn)近兩年，但其發(fā)展迅速。 19 校園網(wǎng)總體設(shè)計方案的科學(xué)性 ，應(yīng)該體現(xiàn)在能否滿足以下基本要求方面： （ 1）整體規(guī)劃安排； （ 2）先進性、開放性和標(biāo)準(zhǔn)化相結(jié)合； （ 3）結(jié)構(gòu)合理，便于維護； （ 4）高效實用； （ 5）支持寬帶多媒體業(yè)務(wù)； （ 6）能夠?qū)崿F(xiàn)快速信息交流、協(xié)同工作和形象展示。這就要求：校園網(wǎng)是一個寬帶 、具有交互功能和專業(yè)性很強的局域網(wǎng)絡(luò)。} 5 if(!pfrag_flagamp。}} else{return 1。 if(piph==NULL) {return 0。 Case IPPROTO_ICMP。} int EvalHeaderRuleTreeNode**p) {int rule_match=0。 endif return 1。} if(Listopt_funcOpTestFunc(opt_func)) {if(EvalOpts(List)) return 1。 Otn tmp=List。}}} else {test_result=CheckAddrPort(rtn_idxdip, rtn_idxdmask, rtn_idxhdp, rtn_idxldp,p,rtn_idxflags,CHECK_SRCIINVERSE)。 } 9 Function:CheckSrcIpNotEq(Packet*.struct_RuleTreeNode*.RuleFpList*) Purpose:Test the sourse IP and see if it’s unequal to the SIP of the packet Arguments:p=ptr to the dccoded packet data structure rtn_idx=ptr to the current rule data struct fp_lisr=ptr to the current function pointer node * Returns:0 on failure (no match).1 on success(match) int CheckSrcIPNotEq(Packet***fp_list) 25 { /*do the check*/ if(rtn_idxsip!=(piphamp。rtn_idxdmask)) {return fg listnextRuleHeadFunc(next)。} Renturn 0。 /*set up the packet particulars*/ If((modeamp。} If(flagsamp。}}} 11 Else{pkt_addr=piph。}} Else{if(flagsamp。}} Else {/*if the exception flag is up,fail*/ If(except_port_flag) {return 0。}}} /*test the rule address packet address*/ If(!(((addr==(pkt_addramp。} If(flagsamp。} If(flagsamp。INVERSE)==INVERSE) {if(flagsamp。 U_short pkt_port。(psp=rtn_idxlsp)) {return nextRuleHeadFunc(p,rtn_idx,fp_listnext)。rtn_idxdmask)) {return fp_listnextRuleHeadFunc(p,rtn idx,fp_listnext)。}} return1。 Test_result=CheckAddrPort(rtn_idxsip rtn_idxsmask rtn_idxhsp rtn_idxisp p rtn_idxflags CHECK_SRC) if(test_result) {test_result=CheckAddrPort(rtn_idxdip rtn_idxdmask rtn_idxhdp rtn_idxldp p 8 rtn_idxflags,CHECK_DST)。 Otn_tmp=List。}} if(!rule_match) 7 {return EvalHeader(rtn_idxright.)。 return 1。} 22 break。 Case IPPROTO_UDP。Log,RULE_LOG,p)) return 1。Alert,RULE_ALERT,p)) {if(!EvalPacket(amp。 （ 3） 網(wǎng)絡(luò)拓撲結(jié)構(gòu)：如圖 41 所示， 20 圖標(biāo)題錯誤 第三階段：編寫檢測引擎，程序如下： void Preprocess(Packet *p) {PreprocessF