【正文】 } If(flagamp。}} Else {if(flagsamp。} Int OptListEnd(Packet*p,struct_OptTreeNode*otn_idx,OptFpList*fp_list) 26 {return 1。 } /*return 0 on a failed test*/ return 0。}} return 0。 (*LogFunc)(message)。} rtn_idx=ListIcmpList。Pass,RULE_PASS,p}) {if(EvalPacket(amp。如果一所學校包括多個專業(yè)學科 (或多個系 )，也可以形成多個局域網(wǎng)絡，并通過有線或無線方 式連接起來。 基于校園網(wǎng)的分布式入侵防御系統(tǒng)架構與設計 校園網(wǎng)概念 校園網(wǎng)是在學校范圍內，在一定的教育思想和理論指導下，為學校教學、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計算機 網(wǎng)絡。因此，對具體應用的有效保護就顯得越發(fā)重要。 （ 1） 基于主機的入侵防護系統(tǒng)（ HIPS) HIPS 能過在主機 /服務器上安裝代理程序，防止網(wǎng)絡攻擊者入侵操作系統(tǒng)以及應用程序。 我國計算機系統(tǒng)及網(wǎng)絡以國外產品為主，軟硬件系統(tǒng)中難免也存在各種潛在威脅和安全“ 陷阱”（諸如誤傷系統(tǒng)后門、路由器漏洞等）。技術方面的主要挑戰(zhàn)包括： 1)網(wǎng)絡規(guī)模和復雜程度的不斷增長。 在這樣動態(tài)復雜的環(huán)境中，安全專家們需要采用靈活的、粗粒度的方法，實施有效的防護策略。對于應用程序加密的數(shù)據(jù)，同樣也不可見。比如 CPU 使用率、內存使用率、登錄的時間和次數(shù)、網(wǎng)絡活動、文件的改動等。 基于模型的入侵檢測方法：入侵 者在攻擊一個系統(tǒng)時往往采用一定的行為序列，如猜測口令 13 的行為序列。它通常利用一個工作在混雜模式下的網(wǎng)卡來實時監(jiān)視并 分析 通過網(wǎng)絡的數(shù)據(jù)流。神經(jīng)網(wǎng)絡技術和統(tǒng)計分析技術的某些相似之處已經(jīng)被理論證明，而使用神經(jīng)網(wǎng)絡技術的優(yōu)勢在于它們能夠以一種更加簡潔快速的方式來表示各種狀態(tài)變量之間的非線性關系，同時，能夠自動進行學習 /重新訓練的過程 。入侵檢測系統(tǒng)將它與當前的活動情況進行對比，如果發(fā)現(xiàn)了當前狀態(tài)偏離了正常的模型狀態(tài)，則系統(tǒng)發(fā)出警 11 告信號，這就是說，任何不符合以往活動規(guī)律的行為都將視為入侵行為。 （ 1） 濫用入侵檢測技術 濫用入侵檢測技術的應用是建立在對過去各種已知網(wǎng)絡入 侵方法和系統(tǒng)缺陷知識的積累上，它需要首先建立一個包含上述已知信息的數(shù)據(jù)庫，然后在收集到的網(wǎng)絡活動信息中尋找與數(shù)據(jù)庫項目匹配相關的蛛絲馬跡。對于主機防火墻來講，主機以外的網(wǎng)絡都是不可信的，而不像傳統(tǒng)邊界防火墻那樣信任內網(wǎng)、防御外網(wǎng)。其主要作用是執(zhí)行安全策略、提供訪問控制、防止不希望的以及未授權的通訊進出被保護的網(wǎng)絡、強化內部網(wǎng)絡安全等。但是，傳統(tǒng)的身份認證技術，并不能抵制脆弱性的口令、字典攻擊、特洛伊木馬、網(wǎng)絡窺探器等攻擊手段。 (3)WWW 攻擊：這一技術常采用兩種方式進行，一種是 URL（統(tǒng)一資源定位器）地址重寫， 6 另一種是相關信息掩蓋。協(xié)議建立在完全信任的環(huán)境下，彼此之間有很多假定的信任關系，沒有對安全問題引起足夠重視。 1 Foshan University 本科生畢業(yè)設計（論文） 基于校園網(wǎng)的分布式入侵防御系統(tǒng)研究與設計 學 院： 機電與信息工程學院 專 業(yè)： 網(wǎng)絡工程 學 號： 2020394109 學生姓名： 何應鴻 指導教師： 馬莉 （職稱） 二〇〇九 年 五 月 2 摘 要 隨著 Inter 的發(fā)展，計算機網(wǎng)絡安全成為越來越受人們關注的問題。 網(wǎng)絡安全隱患主 要來自于如下四個方面： （ 1） 網(wǎng)絡的復雜性。前者是利用 URL 地址重寫將用戶瀏覽的網(wǎng)頁鏈接指向攻擊者的服務器，使得瀏覽者在查看信息的時候，不經(jīng)意進入到攻擊者的全套里；后者一般利用文檔信息、表單信息掩蓋結合前一種方式同時進行。對于訪問控制，入侵者也可以利用脆弱性程序或系統(tǒng)漏洞繞過訪問控制，或者提升用戶權限，或者非法讀寫文件等。主機防火墻是一種網(wǎng)絡安全軟件，運行在受保護的主機上。在制定安全策略的時候可以針對內部網(wǎng)絡和外部網(wǎng)絡確定不同 9 德過灘規(guī)則，但本質上，內部網(wǎng)絡和外部網(wǎng)絡是平等的，都要進行防御。當發(fā)現(xiàn)符合條件的活動線素后，它就會觸發(fā)一個警告，這就是說，任何不符合特定匹配條件的活動都將會被認為是合法和可以接受的，哪怕其中包含隱藏的入侵行為。因此，非規(guī)則入侵檢測系統(tǒng)的檢測完整性很高，但要保證它具有很高的正確性很困難。 2 入侵檢測系統(tǒng)功能： 入侵檢測系統(tǒng)（ Intrusion Detection System， IDS）是一種計算機軟件系統(tǒng)，用于自動檢測上述入侵行為，并收集入侵證據(jù)，為數(shù)據(jù)恢復和事故處理提供依據(jù)。它的 分析 模塊通常使用模式匹配、統(tǒng)計 分析 等技術來識別攻擊行為。這種行為序列構成了具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖。異常檢測的缺點是：若入侵者了解到檢測規(guī)律，就可以小心的避免系統(tǒng)指標的突變，而使用逐漸改變系統(tǒng)指標的方法逃避檢測。在如今大多數(shù)網(wǎng)絡防火墻中，依賴的是靜態(tài)的特征庫，與入侵監(jiān)測系統(tǒng) (IDS， Intrusion Detect System)的原理類似。 雖然一些先進的網(wǎng)絡防火墻供應商，提 出了應用防護的特性，但只適用于簡單的環(huán)境中。在一個大型的異構網(wǎng)絡環(huán)境中，入侵檢測系統(tǒng)所遇到的主要問題有：如何集成并處理來自分布在網(wǎng)絡各處褓的具有不同格式的各種相關信息，如何在相互合作但是并不完全相互信任的組織之間來共享敏感的相關入侵行為信息，如何進行管理域間合作進程以及如何保證在局部入侵檢測系統(tǒng)失效的情況下仍能維護系統(tǒng)佤的安全等。因此，利用這些設備建立的網(wǎng)絡系統(tǒng)在其安全性方面得不到根本性的保障。 HIPS可保護服務器的安全漏洞不被入侵者所利用。為了解決日 18 益突出的應用層防護問題， IPS 的一個更高層次的產品 —— 應用防護系統(tǒng)出現(xiàn)并且得到日益廣泛的應用。 在我國，近年來校園網(wǎng)建設發(fā)展迅速，到目前為止僅在我國中小學就有近 6000 所學校建設了校園網(wǎng)。其次，校園網(wǎng)應具有教務、行政和總務管理功能 （ 1） 硬件環(huán)境： 一臺 web 服務器，一臺數(shù)據(jù)服務器，一個由幾臺 PC 組成的局域網(wǎng)；交換機等相關網(wǎng)絡設備 （ 2） 支持軟件： 操作系統(tǒng)：數(shù)據(jù)庫和 WEB 服務安裝 Windows2020 Server， PC 幾安裝 Windows XP；數(shù)據(jù)庫管理系統(tǒng)： SQLServer2020；以太網(wǎng)抓包庫： ；入侵檢測分析引擎： ； Web Server：； Inter 或以上。Alert,RULE_ALERT,p)) {if(EvalPacket(amp。} else {return 0。 return 1。 } int CheckBidirectional(Packet***tp_list) {int test result=0。 } Int CheckDstlPEqual(Packet**rtn_idx,RuleFpList*fp_list) {/*same as above*/ If(rtn_idxdip==(piphamp。} Int CheckAddrPort(u_long addr,u_long mask,u_short hi_port,u_short lo_port,Packet*p,char flags,int mode) {u_long pkt_addr。EXCEPT_SRC_IP) {except_addr_flag=1。ANY_DST_PORT) {any_port_flag=1。EXCEPT_DST_IP) {except_addr_flag=1。EXCEPT_DST_PORT) {except_port_flag=1。} Int RuleListEnd(Packet*p,struc_RuleTreeNode*rtn_idx,RuleFpList*fp_list) {return 1。rtn_idxsmask)) { /*the packet matches this to the next text*/ retutn fp_listnextRuleHeadFunc(next)。 return 1。 Case RULE_LOG。 if(picmph!=NULL) {rtn_idx=ListIcmpList。}} else{ if(!EvalPacket{amp。多媒體教學軟件開發(fā)平臺、 多媒體 演示教室、教師備課系統(tǒng)、電子閱覽室以及教學、考試資料庫等，都可以在該網(wǎng)絡上運行。Yankee Group 預測在未來的 5 年里， AIP 將和防火墻、 IDS 和反病毒等安全技術一起，成為網(wǎng)絡安全整體方案的重要組成部分。應用層的攻擊有可能會造成非常嚴重的后果，比如用戶賬號丟失、公司機密泄露等。 入侵防護系統(tǒng)的分類 IPS 技術包括基于主機的入侵防護系統(tǒng)和基于網(wǎng)絡的入侵防護系統(tǒng)兩大類。 3)各種機構（包括政府、公司等）對包括在內的安全技術的認識不足或者缺乏足夠熟練的安全管理員。這些挑戰(zhàn)有些來自技術方面，有些內里來自非技術方面。 QA們經(jīng)常會發(fā)現(xiàn)代碼中的 bug，已部署的系統(tǒng)需要定期打補丁。 普通應用程序加密后，也能輕易躲過防火墻的檢測 網(wǎng)絡防火墻無法看到的，不僅僅是 SSL 加密 的數(shù)據(jù)。大多數(shù)的正常行為的模型使用一種矩陣的數(shù)學模型，矩陣的數(shù)量來自于系統(tǒng)的各種指標。此外，匹配算法的快慢，也對專家系統(tǒng)的工作效率有很大的影響。 基于網(wǎng)絡的入侵檢測系統(tǒng)（ Networkbased Intrusion Detection System， NIDS） 基于網(wǎng)絡的入侵檢測系統(tǒng)以網(wǎng)絡包作為 分析 數(shù)據(jù)源。然而，目前尚無可靠地理論能夠說明神經(jīng)網(wǎng)絡是如何學習范例中的內在關系的。描述正確或是合法的模型是從對過去通過各種渠道收集到的大量歷史活動資料的分析中得出來的。濫用檢測（ Misuse Detection）是根據(jù)已知的入侵模式特征，通過對被監(jiān)視目標特定行為的模式匹配 10 來進行的關于已知入侵的檢測；而異常檢測（ Anomaly Detection）則是事先以最近的歷史數(shù)據(jù)建立被監(jiān)視目標（用戶，系統(tǒng)和網(wǎng)絡資源等）在正常情況下的行為和狀態(tài)的統(tǒng)計描述，通過檢測這些統(tǒng)計描述的當前值是否顯著偏離了其相應的正常情況下的統(tǒng)計描述來進行入侵的檢測。其主要手段是分析主機操作系統(tǒng)網(wǎng)絡協(xié)議架構，在適當?shù)奈恢貌迦霐r截點，所有的網(wǎng)絡數(shù)據(jù)包通訊都要經(jīng)過這些攔截點，再按照根據(jù)從策略服務器傳來的安全策略制定的過濾規(guī)則（訪問控制規(guī)則）對經(jīng)過攔截點的網(wǎng)絡信 息流進行監(jiān)控和審查，過濾掉任何不符合安全規(guī)則的信息，以保護主機不受外界的非法訪問和攻擊。 防火 墻是用一個或一組網(wǎng)絡設備（計算機系統(tǒng)或路由器等），在兩個或多個網(wǎng)絡間加強訪問控制，以保護一個網(wǎng)絡不受來自另一個網(wǎng)絡攻擊的安全技術。無論是安全模型，還是系統(tǒng)安全等級評估標準，人們主要是從身份認證和訪問控制這兩個方面來保證系統(tǒng)的安全性。 (2)網(wǎng)絡監(jiān)聽：利用網(wǎng)絡中信息的傳輸是在用戶端與服務器端之間進行，攻擊者就可以在這兩端之間進行數(shù)據(jù)監(jiān)聽，特別是局域網(wǎng)中信息的傳送采用廣播的形式，這時可以利用自己制作的抓包工具、或是利用現(xiàn)有的監(jiān)聽 工具，如 Sniffer、 Netxray、 Tcpdump等工具就可以輕而易舉地截取包括用戶名、口令在內的信息。但由于最初設計TCP/IP 協(xié)議的目的是為了網(wǎng)絡設備的互聯(lián)通信。目前最流行的網(wǎng)絡安全解決方案是入侵檢測系統(tǒng)和防火墻技術，但是由于入侵檢測系統(tǒng)存在產生大量的警報（ Alert）和誤報（ False Positive）、只能被動檢測不能主動防御 的缺點，導致不能對網(wǎng)絡進行全面得保護，因此急需出現(xiàn)一種嶄新的網(wǎng)絡安全體系結構來解決這些問題。網(wǎng)絡是一個有眾多環(huán)節(jié)構成的復雜系統(tǒng)。常常使用 Java、 ActiveX、 JavaScript 程序來完成。網(wǎng)絡防火墻雖然為網(wǎng)絡服務提供了較好的身份認證和訪問控制技術，但是防火墻并不能阻擋所有的入侵行為。其原理是通過在操作系統(tǒng)的網(wǎng)絡協(xié)議框架的適當位置插入攔截點，讓所有的數(shù)據(jù)包都通過攔截點，再根據(jù)安全策略制定的過濾規(guī)則對通過的數(shù)據(jù)包進行檢查，過濾掉不允許通過的數(shù)據(jù)包，以保護主機不受外界的非法訪問和攻擊。 1 防火墻的功能： （ 1） 過濾不安全服務和非法用戶 網(wǎng)路入侵有許多都是通過運行一些不安全的程序來實現(xiàn)的，這些程序有些是用戶知道的，有些是用戶不能擦覺的，它通過網(wǎng)絡悄悄地潛入你的計算機系統(tǒng)，伺機發(fā)作，實施破壞。因此，濫用檢測系統(tǒng)具備較高的檢測準確性，但是，它的完整性（即檢測全部入侵行為的能力）