【正文】 uncNode*idx。例如：認為網(wǎng)絡(luò)建設(shè)越 高檔越好，在建設(shè)中盲目追求高投入，對校園網(wǎng)絡(luò)建設(shè)的建設(shè)缺乏綜合規(guī)劃及開發(fā)應(yīng)用；認為建好了校園網(wǎng)絡(luò)，連接了 Inter，就等于實現(xiàn)了教學(xué)和辦公的自動化和信息化，而缺乏對校園網(wǎng)絡(luò)的綜合管理、技術(shù)人員和教師的應(yīng)用培訓(xùn)，缺乏對教學(xué)資源的開發(fā)與積累等等。他們?yōu)槲覈行W(xué)內(nèi)部實現(xiàn)教育的資源共享、信息交流和協(xié)同工作提供了較好的范例。據(jù)國外權(quán)威機構(gòu)統(tǒng)計， 97%的 Web 站點存在一定的應(yīng)用協(xié)議問題。 通常，對應(yīng)用層的防范比內(nèi)部網(wǎng)的防范難度更大，因為這些應(yīng)用要允許外部的訪問。 NIPS 工作在網(wǎng)絡(luò)上，直接對 數(shù)據(jù)包進行檢測和阻斷，與具體的主機 /服務(wù)器操作系統(tǒng)平臺無關(guān)。 HIPS 可阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫等入侵行為，整體提升主機的安全水平。從功能上講，作為并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，絕大多數(shù) IDS一般需要與防火墻聯(lián)動或發(fā)送 TCPreset 包來阻止攻擊。 在我國計算機的網(wǎng)絡(luò)的建設(shè)狀況下，基于防火墻和加密技術(shù)的安全防護固然重要，但是，發(fā)展網(wǎng)絡(luò)入侵檢測以及預(yù)警技術(shù)也同樣重要。時至今日，在這方面所做的工作非常少。 2)如何在造成損失前及早發(fā)現(xiàn)入侵活動，即預(yù)警技術(shù)。 真正的針對所有網(wǎng)絡(luò)和應(yīng)用程序流量的深度檢測功能，需要空前的處理能力，來完成大量的計算任務(wù)，包括以下幾個方面： SSL 加密 /解密功能 。細看就會發(fā)現(xiàn)，對于實際的企業(yè)應(yīng)用來說，這些特征存在著局限性。網(wǎng)絡(luò)防火墻的防護范圍，發(fā)生了變化。只有當(dāng)應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫中已有的特征完全匹配時，防 火墻才能識別和截獲攻擊數(shù)據(jù)。 大量的潛在的后門防火墻不能保護節(jié)點系統(tǒng)上的潛在的后門。另外檢測效率也不高，檢測時間較長。近年來己有關(guān)于運用神經(jīng)網(wǎng)絡(luò)進行入侵檢測實驗的報道，但還沒有正式的產(chǎn)品問世。與專家系統(tǒng)通常放棄處理那些不確定的中間結(jié)論的缺點相比，這一方法的優(yōu)點在于它基于完善的不確定性推理數(shù)學(xué)理論。下面給出一個中等規(guī)模的機構(gòu)設(shè)置入侵檢測系統(tǒng)的入侵檢測解決方案 [6, 7]。一旦檢測到了攻擊行為， IDS的響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng)，比如報警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。 基于主機的 IDS 在發(fā)展過程 中融 入了其他技術(shù)。有些入侵檢測系統(tǒng)在檢測到入侵特征后還試圖做出某些響應(yīng)，以遏制或阻止對系統(tǒng)的威脅或破壞。在最初的模型中，系統(tǒng)計算出所有的變量的平均值，然后根據(jù)平均偏差檢測當(dāng)前行為是否超過了某一值，當(dāng)然，這樣的模型是很簡單和粗糙的，無法準(zhǔn)確檢測異?；顒?。 此類檢測技術(shù)的優(yōu)點在于它能夠發(fā)現(xiàn)任何企圖發(fā)掘、試探系統(tǒng)最新和未知漏洞的行為，同時在某種程度上，它較少依賴特定的操作系統(tǒng)環(huán)境。這里，原始的審計數(shù)據(jù)被抽象成系統(tǒng)能夠理解的事實，有利于進一步應(yīng)用更高層次的各種分析技術(shù)。因此，濫用檢測系統(tǒng)具備較高的檢測準(zhǔn)確性，但是，它的完整性（即檢測全部入侵行為的能力）則取決于其數(shù)據(jù)庫的幾時更新程度。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判 斷規(guī)則。 1 防火墻的功能： （ 1） 過濾不安全服務(wù)和非法用戶 網(wǎng)路入侵有許多都是通過運行一些不安全的程序來實現(xiàn)的，這些程序有些是用戶知道的，有些是用戶不能擦覺的，它通過網(wǎng)絡(luò)悄悄地潛入你的計算機系統(tǒng)，伺機發(fā)作，實施破壞。接著，重點研究了分布式入侵檢測系統(tǒng)的體系結(jié)構(gòu)和各個功能的設(shè)計實現(xiàn)，具體研究內(nèi)容包括：系統(tǒng)結(jié)構(gòu)、控制臺設(shè)計、報警融合、報警響應(yīng)。其原理是通過在操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議框架的適當(dāng)位置插入攔截點，讓所有的數(shù)據(jù)包都通過攔截點，再根據(jù)安全策略制定的過濾規(guī)則對通過的數(shù)據(jù)包進行檢查，過濾掉不允許通過的數(shù)據(jù)包，以保護主機不受外界的非法訪問和攻擊。安全的概念已經(jīng)不局限于信息的保護，人們需要的是對整個信息 和信息系統(tǒng)的保護和防御，從而確保它們的保密性、完整性、可用性、可控性、不可否認性等，包括了對信息的保護、檢測、反應(yīng)和恢復(fù)能力（ PDRR），其基本組成如圖 12所示。網(wǎng)絡(luò)防火墻雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認證和訪問控制技術(shù)，但是防火墻并不能阻擋所有的入侵行為。常用的工具有 Smurf、 Stacheldraht、 Trinoo 等。常常使用 Java、 ActiveX、 JavaScript 程序來完成?，F(xiàn)代網(wǎng)絡(luò)已經(jīng)是軟件驅(qū)動的發(fā)展模式，對軟件的更大依賴性加大了軟件質(zhì)量對網(wǎng)絡(luò)安全的負面影響。網(wǎng)絡(luò)是一個有眾多環(huán)節(jié)構(gòu)成的復(fù)雜系統(tǒng)。 重點研究了報警融合模塊的實現(xiàn)原理，并實現(xiàn)了基于相似度的報警融合算法。目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測系統(tǒng)和防火墻技術(shù)，但是由于入侵檢測系統(tǒng)存在產(chǎn)生大量的警報（ Alert）和誤報（ False Positive）、只能被動檢測不能主動防御 的缺點，導(dǎo)致不能對網(wǎng)絡(luò)進行全面得保護，因此急需出現(xiàn)一種嶄新的網(wǎng)絡(luò)安全體系結(jié)構(gòu)來解決這些問題。 研究了黑客攻擊的步驟，并掌握了一般攻擊的手段。但由于最初設(shè)計TCP/IP 協(xié)議的目的是為了網(wǎng)絡(luò)設(shè)備的互聯(lián)通信。軟件質(zhì)量難以評估是軟件的一個特征。 (2)網(wǎng)絡(luò)監(jiān)聽：利用網(wǎng)絡(luò)中信息的傳輸是在用戶端與服務(wù)器端之間進行，攻擊者就可以在這兩端之間進行數(shù)據(jù)監(jiān)聽，特別是局域網(wǎng)中信息的傳送采用廣播的形式，這時可以利用自己制作的抓包工具、或是利用現(xiàn)有的監(jiān)聽 工具，如 Sniffer、 Netxray、 Tcpdump等工具就可以輕而易舉地截取包括用戶名、口令在內(nèi)的信息。如 DNSoverflow、 standoverflow 等。無論是安全模型，還是系統(tǒng)安全等級評估標(biāo)準(zhǔn)，人們主要是從身份認證和訪問控制這兩個方面來保證系統(tǒng)的安全性。事后分析模塊分析將來如何抵制類似的入侵行為。 防火 墻是用一個或一組網(wǎng)絡(luò)設(shè)備（計算機系統(tǒng)或路由器等），在兩個或多個網(wǎng)絡(luò)間加強訪問控制，以保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)攻擊的安全技術(shù)。 采用分布式入侵檢測體系結(jié)構(gòu) —— 基于分層部件的入侵檢測系統(tǒng)是目前解決這些問題的常用方法。其主要手段是分析主機操作系統(tǒng)網(wǎng)絡(luò)協(xié)議架構(gòu)，在適當(dāng)?shù)奈恢貌迦霐r截點，所有的網(wǎng)絡(luò)數(shù)據(jù)包通訊都要經(jīng)過這些攔截點，再按照根據(jù)從策略服務(wù)器傳來的安全策略制定的過濾規(guī)則（訪問控制規(guī)則）對經(jīng)過攔截點的網(wǎng)絡(luò)信 息流進行監(jiān)控和審查，過濾掉任何不符合安全規(guī)則的信息，以保護主機不受外界的非法訪問和攻擊。如果不加限制，就容易獲得一些色情、暴力等不健康的內(nèi)容，同時根據(jù)需要 ，有時我們要控制訪問某些站點，通過防火墻就可以實現(xiàn)這些目的。濫用檢測（ Misuse Detection）是根據(jù)已知的入侵模式特征，通過對被監(jiān)視目標(biāo)特定行為的模式匹配 10 來進行的關(guān)于已知入侵的檢測；而異常檢測（ Anomaly Detection）則是事先以最近的歷史數(shù)據(jù)建立被監(jiān)視目標(biāo)（用戶，系統(tǒng)和網(wǎng)絡(luò)資源等）在正常情況下的行為和狀態(tài)的統(tǒng)計描述，通過檢測這些統(tǒng)計描述的當(dāng)前值是否顯著偏離了其相應(yīng)的正常情況下的統(tǒng)計描述來進行入侵的檢測。 在濫用入侵檢測系統(tǒng)中，研究者們提出基于各種技術(shù)類型的檢測器， 如專家系統(tǒng)技術(shù)、特征分析技術(shù)、 Petri網(wǎng)技術(shù)、狀態(tài)轉(zhuǎn)移分析技術(shù)等等。描述正確或是合法的模型是從對過去通過各種渠道收集到的大量歷史活動資料的分析中得出來的。還有一種可能性是，在學(xué)習(xí)階段，信息正遭受著非法的入侵攻擊，帶來的后果是，入侵檢測系統(tǒng)的學(xué)習(xí)結(jié)果中包含了相關(guān)入侵行為的信息，這樣系統(tǒng)就無法檢測到該種入侵行為。然而，目前尚無可靠地理論能夠說明神經(jīng)網(wǎng)絡(luò)是如何學(xué)習(xí)范例中的內(nèi)在關(guān)系的。 根據(jù)信息源的不同，分為基于主機型和基于網(wǎng)絡(luò)型兩大類 基于主機的入侵檢測 系統(tǒng)（ Hostbased Intrusion Detection System， HIDS） 基于主機的 IDS 可監(jiān)測系統(tǒng)、事件和 Windows NT 下的 安全 記錄以及 Unix環(huán)境下的系統(tǒng)記錄。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（ Networkbased Intrusion Detection System， NIDS） 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)包作為 分析 數(shù)據(jù)源。在防火墻之外的檢測器檢測來自外部 Inter 的攻擊。此外，匹配算法的快慢，也對專家系統(tǒng)的工作效率有很大的影響。 簡單模式匹配（ Pattern Matching）：基于模式匹配的入侵檢測方法將已知的入侵特征編碼成為與審計記錄相符合的模式。大多數(shù)的正常行為的模型使用一種矩陣的數(shù)學(xué)模型，矩陣的數(shù)量來自于系統(tǒng)的各種指標(biāo)。但是它的“學(xué)習(xí)”能力也給入侵者以機會通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng) [8~11]。 普通應(yīng)用程序加密后，也能輕易躲過防火墻的檢測 網(wǎng)絡(luò)防火墻無法看到的，不僅僅是 SSL 加密 的數(shù)據(jù)。在這一方面，網(wǎng)絡(luò)防火墻表現(xiàn)確實十分出色。 QA們經(jīng)常會發(fā)現(xiàn)代碼中的 bug，已部署的系統(tǒng)需要定期打補丁。如果一個程序或者是一個簡單的 Web 網(wǎng)頁，確實需要涉及到很長的 URL 時，就要屏蔽該規(guī)則。這些挑戰(zhàn)有些來自技術(shù)方面，有些內(nèi)里來自非技術(shù)方面。用來描述異常入侵行為的模式牲是濫用檢測系統(tǒng)最先要的基石。 3)各種機構(gòu)（包括政府、公司等）對包括在內(nèi)的安全技術(shù)的認識不足或者缺乏足夠熟練的安全管理員。在這種情況下， IPS 技術(shù)應(yīng)運而生， IPS 技術(shù)可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網(wǎng)絡(luò)帶寬資源。 入侵防護系統(tǒng)的分類 IPS 技術(shù)包括基于主機的入侵防護系統(tǒng)和基于網(wǎng)絡(luò)的入侵防護系統(tǒng)兩大類。在技術(shù)上， NIPS 吸取了 NIDS 的所有成熟技術(shù)，包括牲匹配、協(xié)議分析和異常檢測。應(yīng)用層的攻擊有可能會造成非常嚴重的后果，比如用戶賬號丟失、公司機密泄露等。 AIP 是用來保護特定應(yīng)用服務(wù)（如 Web 和數(shù)據(jù)庫等應(yīng)用）的網(wǎng)絡(luò)設(shè)施，通常部署在應(yīng)用服務(wù)器這前。Yankee Group 預(yù)測在未來的 5 年里， AIP 將和防火墻、 IDS 和反病毒等安全技術(shù)一起，成為網(wǎng)絡(luò)安全整體方案的重要組成部分。 隨著經(jīng)濟的發(fā)展和國家科教興國戰(zhàn)略的實施，校園網(wǎng)絡(luò)建設(shè)已逐步成為學(xué)校的基礎(chǔ)建設(shè)項目，更成為衡量一個學(xué)校教育信息化、現(xiàn)代化的重要標(biāo)志。多媒體教學(xué)軟件開發(fā)平臺、 多媒體 演示教室、教師備課系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫等，都可以在該網(wǎng)絡(luò)上運行。amp。}} else{ if(!EvalPacket{amp。} switch(piphip_proto) {case IPPROTO_TCP。 if(picmph!=NULL) {rtn_idx=ListIcmpList。 if(rtn_idx==NULL) {return 0。 Case RULE_LOG。 else return 0。 return 1。 if(test_result) {test_result=CheckAddrPort(rtn_idxsip, rtn_idxsmask, rtn_idxhsp, rtn_idxlsp. p, rtn_idxflags,CHECK_DSTIINVERSE)。rtn_idxsmask)) { /*the packet matches this to the next text*/ retutn fp_listnextRuleHeadFunc(next)。} Return 0。} Int RuleListEnd(Packet*p,struc_RuleTreeNode*rtn_idx,RuleFpList*fp_list) {return 1。CHECK_SRC)==CHECK_SRC) {pkt_addr=piph。EXCEPT_DST_PORT) {except_port_flag=1。 Pkt_port=pdp: If((modeamp。EXCEPT_DST_IP) {except_addr_flag=1。}} /*ports and address match*/ Return 1。ANY_DST_PORT) {any_port_flag=1。EXCEPT_SRC_IP) {except_addr_flag=1。EXCEPT_SRC_IP) {except_addr_flag=1。 If((modeamp。} Int CheckAddrPort(u_long addr,u_long mask,u_short hi_port,u_short lo_port,Packet*p,char flags,int mode) {u_long pkt_addr。amp。 } Int CheckDstlPEqual(Packet**rtn_idx,RuleFpList*fp_list) {/*same as above*/ If(rtn_idxdip==(piphamp。}} else{/*no match,give up and try the next rule*/ return 0。 } int CheckBidirectional(Packet***tp_list) {int test result=0。 return 1. Case RULE_ALERT。 return 1。 If(rule_match) {switch (rtn_idxtype) {case RULE_PASS。} else {return 0。} break。Alert,RULE_ALERT,p)) {if(EvalPacket(amp。}} int Detect(Packet *p) {if(!) {if(!EvalPacket(amp。其次，校園網(wǎng)應(yīng)具有教務(wù)、行政