【正文】 } If(flagamp。}} Else {if(flagsamp。} Int OptListEnd(Packet*p,struct_OptTreeNode*otn_idx,OptFpList*fp_list) 26 {return 1。 } /*return 0 on a failed test*/ return 0。}} return 0。 (*LogFunc)(message)。} rtn_idx=ListIcmpList。Pass,RULE_PASS,p}) {if(EvalPacket(amp。如果一所學(xué)校包括多個(gè)專業(yè)學(xué)科 (或多個(gè)系 )，也可以形成多個(gè)局域網(wǎng)絡(luò)，并通過(guò)有線或無(wú)線方 式連接起來(lái)。 基于校園網(wǎng)的分布式入侵防御系統(tǒng)架構(gòu)與設(shè)計(jì) 校園網(wǎng)概念 校園網(wǎng)是在學(xué)校范圍內(nèi)，在一定的教育思想和理論指導(dǎo)下，為學(xué)校教學(xué)、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī) 網(wǎng)絡(luò)。因此，對(duì)具體應(yīng)用的有效保護(hù)就顯得越發(fā)重要。 （ 1） 基于主機(jī)的入侵防護(hù)系統(tǒng)（ HIPS) HIPS 能過(guò)在主機(jī) /服務(wù)器上安裝代理程序，防止網(wǎng)絡(luò)攻擊者入侵操作系統(tǒng)以及應(yīng)用程序。 我國(guó)計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)以國(guó)外產(chǎn)品為主，軟硬件系統(tǒng)中難免也存在各種潛在威脅和安全“ 陷阱”（諸如誤傷系統(tǒng)后門(mén)、路由器漏洞等）。技術(shù)方面的主要挑戰(zhàn)包括： 1)網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的不斷增長(zhǎng)。 在這樣動(dòng)態(tài)復(fù)雜的環(huán)境中，安全專家們需要采用靈活的、粗粒度的方法，實(shí)施有效的防護(hù)策略。對(duì)于應(yīng)用程序加密的數(shù)據(jù)，同樣也不可見(jiàn)。比如 CPU 使用率、內(nèi)存使用率、登錄的時(shí)間和次數(shù)、網(wǎng)絡(luò)活動(dòng)、文件的改動(dòng)等。 基于模型的入侵檢測(cè)方法：入侵 者在攻擊一個(gè)系統(tǒng)時(shí)往往采用一定的行為序列，如猜測(cè)口令 13 的行為序列。它通常利用一個(gè)工作在混雜模式下的網(wǎng)卡來(lái)實(shí)時(shí)監(jiān)視并 分析 通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流。神經(jīng)網(wǎng)絡(luò)技術(shù)和統(tǒng)計(jì)分析技術(shù)的某些相似之處已經(jīng)被理論證明，而使用神經(jīng)網(wǎng)絡(luò)技術(shù)的優(yōu)勢(shì)在于它們能夠以一種更加簡(jiǎn)潔快速的方式來(lái)表示各種狀態(tài)變量之間的非線性關(guān)系，同時(shí)，能夠自動(dòng)進(jìn)行學(xué)習(xí) /重新訓(xùn)練的過(guò)程 。入侵檢測(cè)系統(tǒng)將它與當(dāng)前的活動(dòng)情況進(jìn)行對(duì)比，如果發(fā)現(xiàn)了當(dāng)前狀態(tài)偏離了正常的模型狀態(tài)，則系統(tǒng)發(fā)出警 11 告信號(hào)，這就是說(shuō)，任何不符合以往活動(dòng)規(guī)律的行為都將視為入侵行為。 （ 1） 濫用入侵檢測(cè)技術(shù) 濫用入侵檢測(cè)技術(shù)的應(yīng)用是建立在對(duì)過(guò)去各種已知網(wǎng)絡(luò)入 侵方法和系統(tǒng)缺陷知識(shí)的積累上，它需要首先建立一個(gè)包含上述已知信息的數(shù)據(jù)庫(kù)，然后在收集到的網(wǎng)絡(luò)活動(dòng)信息中尋找與數(shù)據(jù)庫(kù)項(xiàng)目匹配相關(guān)的蛛絲馬跡。對(duì)于主機(jī)防火墻來(lái)講，主機(jī)以外的網(wǎng)絡(luò)都是不可信的，而不像傳統(tǒng)邊界防火墻那樣信任內(nèi)網(wǎng)、防御外網(wǎng)。其主要作用是執(zhí)行安全策略、提供訪問(wèn)控制、防止不希望的以及未授權(quán)的通訊進(jìn)出被保護(hù)的網(wǎng)絡(luò)、強(qiáng)化內(nèi)部網(wǎng)絡(luò)安全等。但是，傳統(tǒng)的身份認(rèn)證技術(shù)，并不能抵制脆弱性的口令、字典攻擊、特洛伊木馬、網(wǎng)絡(luò)窺探器等攻擊手段。 (3)WWW 攻擊：這一技術(shù)常采用兩種方式進(jìn)行，一種是 URL（統(tǒng)一資源定位器）地址重寫(xiě)， 6 另一種是相關(guān)信息掩蓋。協(xié)議建立在完全信任的環(huán)境下，彼此之間有很多假定的信任關(guān)系，沒(méi)有對(duì)安全問(wèn)題引起足夠重視。 1 Foshan University 本科生畢業(yè)設(shè)計(jì)（論文） 基于校園網(wǎng)的分布式入侵防御系統(tǒng)研究與設(shè)計(jì) 學(xué) 院： 機(jī)電與信息工程學(xué)院 專 業(yè)： 網(wǎng)絡(luò)工程 學(xué) 號(hào)： 2020394109 學(xué)生姓名： 何應(yīng)鴻 指導(dǎo)教師： 馬莉 （職稱） 二〇〇九 年 五 月 2 摘 要 隨著 Inter 的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全成為越來(lái)越受人們關(guān)注的問(wèn)題。 網(wǎng)絡(luò)安全隱患主 要來(lái)自于如下四個(gè)方面： （ 1） 網(wǎng)絡(luò)的復(fù)雜性。前者是利用 URL 地址重寫(xiě)將用戶瀏覽的網(wǎng)頁(yè)鏈接指向攻擊者的服務(wù)器，使得瀏覽者在查看信息的時(shí)候，不經(jīng)意進(jìn)入到攻擊者的全套里；后者一般利用文檔信息、表單信息掩蓋結(jié)合前一種方式同時(shí)進(jìn)行。對(duì)于訪問(wèn)控制，入侵者也可以利用脆弱性程序或系統(tǒng)漏洞繞過(guò)訪問(wèn)控制，或者提升用戶權(quán)限，或者非法讀寫(xiě)文件等。主機(jī)防火墻是一種網(wǎng)絡(luò)安全軟件，運(yùn)行在受保護(hù)的主機(jī)上。在制定安全策略的時(shí)候可以針對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)確定不同 9 德過(guò)灘規(guī)則，但本質(zhì)上，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)是平等的，都要進(jìn)行防御。當(dāng)發(fā)現(xiàn)符合條件的活動(dòng)線素后，它就會(huì)觸發(fā)一個(gè)警告，這就是說(shuō)，任何不符合特定匹配條件的活動(dòng)都將會(huì)被認(rèn)為是合法和可以接受的，哪怕其中包含隱藏的入侵行為。因此，非規(guī)則入侵檢測(cè)系統(tǒng)的檢測(cè)完整性很高，但要保證它具有很高的正確性很困難。 2 入侵檢測(cè)系統(tǒng)功能： 入侵檢測(cè)系統(tǒng)（ Intrusion Detection System， IDS）是一種計(jì)算機(jī)軟件系統(tǒng)，用于自動(dòng)檢測(cè)上述入侵行為，并收集入侵證據(jù)，為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù)。它的 分析 模塊通常使用模式匹配、統(tǒng)計(jì) 分析 等技術(shù)來(lái)識(shí)別攻擊行為。這種行為序列構(gòu)成了具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖。異常檢測(cè)的缺點(diǎn)是：若入侵者了解到檢測(cè)規(guī)律，就可以小心的避免系統(tǒng)指標(biāo)的突變，而使用逐漸改變系統(tǒng)指標(biāo)的方法逃避檢測(cè)。在如今大多數(shù)網(wǎng)絡(luò)防火墻中，依賴的是靜態(tài)的特征庫(kù)，與入侵監(jiān)測(cè)系統(tǒng) (IDS， Intrusion Detect System)的原理類似。 雖然一些先進(jìn)的網(wǎng)絡(luò)防火墻供應(yīng)商，提 出了應(yīng)用防護(hù)的特性，但只適用于簡(jiǎn)單的環(huán)境中。在一個(gè)大型的異構(gòu)網(wǎng)絡(luò)環(huán)境中，入侵檢測(cè)系統(tǒng)所遇到的主要問(wèn)題有：如何集成并處理來(lái)自分布在網(wǎng)絡(luò)各處褓的具有不同格式的各種相關(guān)信息，如何在相互合作但是并不完全相互信任的組織之間來(lái)共享敏感的相關(guān)入侵行為信息，如何進(jìn)行管理域間合作進(jìn)程以及如何保證在局部入侵檢測(cè)系統(tǒng)失效的情況下仍能維護(hù)系統(tǒng)佤的安全等。因此，利用這些設(shè)備建立的網(wǎng)絡(luò)系統(tǒng)在其安全性方面得不到根本性的保障。 HIPS可保護(hù)服務(wù)器的安全漏洞不被入侵者所利用。為了解決日 18 益突出的應(yīng)用層防護(hù)問(wèn)題， IPS 的一個(gè)更高層次的產(chǎn)品 —— 應(yīng)用防護(hù)系統(tǒng)出現(xiàn)并且得到日益廣泛的應(yīng)用。 在我國(guó)，近年來(lái)校園網(wǎng)建設(shè)發(fā)展迅速，到目前為止僅在我國(guó)中小學(xué)就有近 6000 所學(xué)校建設(shè)了校園網(wǎng)。其次，校園網(wǎng)應(yīng)具有教務(wù)、行政和總務(wù)管理功能 （ 1） 硬件環(huán)境： 一臺(tái) web 服務(wù)器，一臺(tái)數(shù)據(jù)服務(wù)器，一個(gè)由幾臺(tái) PC 組成的局域網(wǎng)；交換機(jī)等相關(guān)網(wǎng)絡(luò)設(shè)備 （ 2） 支持軟件： 操作系統(tǒng)：數(shù)據(jù)庫(kù)和 WEB 服務(wù)安裝 Windows2020 Server， PC 幾安裝 Windows XP；數(shù)據(jù)庫(kù)管理系統(tǒng)： SQLServer2020；以太網(wǎng)抓包庫(kù)： ；入侵檢測(cè)分析引擎： ； Web Server：； Inter 或以上。Alert,RULE_ALERT,p)) {if(EvalPacket(amp。} else {return 0。 return 1。 } int CheckBidirectional(Packet***tp_list) {int test result=0。 } Int CheckDstlPEqual(Packet**rtn_idx,RuleFpList*fp_list) {/*same as above*/ If(rtn_idxdip==(piphamp。} Int CheckAddrPort(u_long addr,u_long mask,u_short hi_port,u_short lo_port,Packet*p,char flags,int mode) {u_long pkt_addr。EXCEPT_SRC_IP) {except_addr_flag=1。ANY_DST_PORT) {any_port_flag=1。EXCEPT_DST_IP) {except_addr_flag=1。EXCEPT_DST_PORT) {except_port_flag=1。} Int RuleListEnd(Packet*p,struc_RuleTreeNode*rtn_idx,RuleFpList*fp_list) {return 1。rtn_idxsmask)) { /*the packet matches this to the next text*/ retutn fp_listnextRuleHeadFunc(next)。 return 1。 Case RULE_LOG。 if(picmph!=NULL) {rtn_idx=ListIcmpList。}} else{ if(!EvalPacket{amp。多媒體教學(xué)軟件開(kāi)發(fā)平臺(tái)、 多媒體 演示教室、教師備課系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫(kù)等，都可以在該網(wǎng)絡(luò)上運(yùn)行。Yankee Group 預(yù)測(cè)在未來(lái)的 5 年里， AIP 將和防火墻、 IDS 和反病毒等安全技術(shù)一起，成為網(wǎng)絡(luò)安全整體方案的重要組成部分。應(yīng)用層的攻擊有可能會(huì)造成非常嚴(yán)重的后果，比如用戶賬號(hào)丟失、公司機(jī)密泄露等。 入侵防護(hù)系統(tǒng)的分類 IPS 技術(shù)包括基于主機(jī)的入侵防護(hù)系統(tǒng)和基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)兩大類。 3)各種機(jī)構(gòu)（包括政府、公司等）對(duì)包括在內(nèi)的安全技術(shù)的認(rèn)識(shí)不足或者缺乏足夠熟練的安全管理員。這些挑戰(zhàn)有些來(lái)自技術(shù)方面，有些內(nèi)里來(lái)自非技術(shù)方面。 QA們經(jīng)常會(huì)發(fā)現(xiàn)代碼中的 bug，已部署的系統(tǒng)需要定期打補(bǔ)丁。 普通應(yīng)用程序加密后，也能輕易躲過(guò)防火墻的檢測(cè) 網(wǎng)絡(luò)防火墻無(wú)法看到的，不僅僅是 SSL 加密 的數(shù)據(jù)。大多數(shù)的正常行為的模型使用一種矩陣的數(shù)學(xué)模型，矩陣的數(shù)量來(lái)自于系統(tǒng)的各種指標(biāo)。此外，匹配算法的快慢，也對(duì)專家系統(tǒng)的工作效率有很大的影響。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（ Networkbased Intrusion Detection System， NIDS） 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以網(wǎng)絡(luò)包作為 分析 數(shù)據(jù)源。然而，目前尚無(wú)可靠地理論能夠說(shuō)明神經(jīng)網(wǎng)絡(luò)是如何學(xué)習(xí)范例中的內(nèi)在關(guān)系的。描述正確或是合法的模型是從對(duì)過(guò)去通過(guò)各種渠道收集到的大量歷史活動(dòng)資料的分析中得出來(lái)的。濫用檢測(cè)（ Misuse Detection）是根據(jù)已知的入侵模式特征，通過(guò)對(duì)被監(jiān)視目標(biāo)特定行為的模式匹配 10 來(lái)進(jìn)行的關(guān)于已知入侵的檢測(cè)；而異常檢測(cè)（ Anomaly Detection）則是事先以最近的歷史數(shù)據(jù)建立被監(jiān)視目標(biāo)（用戶，系統(tǒng)和網(wǎng)絡(luò)資源等）在正常情況下的行為和狀態(tài)的統(tǒng)計(jì)描述，通過(guò)檢測(cè)這些統(tǒng)計(jì)描述的當(dāng)前值是否顯著偏離了其相應(yīng)的正常情況下的統(tǒng)計(jì)描述來(lái)進(jìn)行入侵的檢測(cè)。其主要手段是分析主機(jī)操作系統(tǒng)網(wǎng)絡(luò)協(xié)議架構(gòu)，在適當(dāng)?shù)奈恢貌迦霐r截點(diǎn)，所有的網(wǎng)絡(luò)數(shù)據(jù)包通訊都要經(jīng)過(guò)這些攔截點(diǎn)，再按照根據(jù)從策略服務(wù)器傳來(lái)的安全策略制定的過(guò)濾規(guī)則（訪問(wèn)控制規(guī)則）對(duì)經(jīng)過(guò)攔截點(diǎn)的網(wǎng)絡(luò)信 息流進(jìn)行監(jiān)控和審查，過(guò)濾掉任何不符合安全規(guī)則的信息，以保護(hù)主機(jī)不受外界的非法訪問(wèn)和攻擊。 防火 墻是用一個(gè)或一組網(wǎng)絡(luò)設(shè)備（計(jì)算機(jī)系統(tǒng)或路由器等），在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制，以保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)攻擊的安全技術(shù)。無(wú)論是安全模型，還是系統(tǒng)安全等級(jí)評(píng)估標(biāo)準(zhǔn)，人們主要是從身份認(rèn)證和訪問(wèn)控制這兩個(gè)方面來(lái)保證系統(tǒng)的安全性。 (2)網(wǎng)絡(luò)監(jiān)聽(tīng)：利用網(wǎng)絡(luò)中信息的傳輸是在用戶端與服務(wù)器端之間進(jìn)行，攻擊者就可以在這兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽(tīng)，特別是局域網(wǎng)中信息的傳送采用廣播的形式，這時(shí)可以利用自己制作的抓包工具、或是利用現(xiàn)有的監(jiān)聽(tīng) 工具，如 Sniffer、 Netxray、 Tcpdump等工具就可以輕而易舉地截取包括用戶名、口令在內(nèi)的信息。但由于最初設(shè)計(jì)TCP/IP 協(xié)議的目的是為了網(wǎng)絡(luò)設(shè)備的互聯(lián)通信。目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測(cè)系統(tǒng)和防火墻技術(shù)，但是由于入侵檢測(cè)系統(tǒng)存在產(chǎn)生大量的警報(bào)（ Alert）和誤報(bào)（ False Positive）、只能被動(dòng)檢測(cè)不能主動(dòng)防御 的缺點(diǎn)，導(dǎo)致不能對(duì)網(wǎng)絡(luò)進(jìn)行全面得保護(hù)，因此急需出現(xiàn)一種嶄新的網(wǎng)絡(luò)安全體系結(jié)構(gòu)來(lái)解決這些問(wèn)題。網(wǎng)絡(luò)是一個(gè)有眾多環(huán)節(jié)構(gòu)成的復(fù)雜系統(tǒng)。常常使用 Java、 ActiveX、 JavaScript 程序來(lái)完成。網(wǎng)絡(luò)防火墻雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪問(wèn)控制技術(shù)，但是防火墻并不能阻擋所有的入侵行為。其原理是通過(guò)在操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議框架的適當(dāng)位置插入攔截點(diǎn)，讓所有的數(shù)據(jù)包都通過(guò)攔截點(diǎn)，再根據(jù)安全策略制定的過(guò)濾規(guī)則對(duì)通過(guò)的數(shù)據(jù)包進(jìn)行檢查，過(guò)濾掉不允許通過(guò)的數(shù)據(jù)包，以保護(hù)主機(jī)不受外界的非法訪問(wèn)和攻擊。 1 防火墻的功能： （ 1） 過(guò)濾不安全服務(wù)和非法用戶 網(wǎng)路入侵有許多都是通過(guò)運(yùn)行一些不安全的程序來(lái)實(shí)現(xiàn)的，這些程序有些是用戶知道的，有些是用戶不能擦覺(jué)的，它通過(guò)網(wǎng)絡(luò)悄悄地潛入你的計(jì)算機(jī)系統(tǒng)，伺機(jī)發(fā)作，實(shí)施破壞。因此，濫用檢測(cè)系統(tǒng)具備較高的檢測(cè)準(zhǔn)確性，但是，它的完整性（即檢測(cè)全部入侵行為的能力）