【正文】 則取決于其數(shù)據(jù)庫的幾時更新程度。 此類檢測技術(shù)的優(yōu)點(diǎn)在于它能夠發(fā)現(xiàn)任何企圖發(fā)掘、試探系統(tǒng)最新和未知漏洞的行為，同時在某種程度上，它較少依賴特定的操作系統(tǒng)環(huán)境。有些入侵檢測系統(tǒng)在檢測到入侵特征后還試圖做出某些響應(yīng)，以遏制或阻止對系統(tǒng)的威脅或破壞。一旦檢測到了攻擊行為， IDS的響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng)，比如報(bào)警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。與專家系統(tǒng)通常放棄處理那些不確定的中間結(jié)論的缺點(diǎn)相比，這一方法的優(yōu)點(diǎn)在于它基于完善的不確定性推理數(shù)學(xué)理論。另外檢測效率也不高，檢測時間較長。只有當(dāng)應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫中已有的特征完全匹配時，防 火墻才能識別和截獲攻擊數(shù)據(jù)。細(xì)看就會發(fā)現(xiàn)，對于實(shí)際的企業(yè)應(yīng)用來說，這些特征存在著局限性。 2)如何在造成損失前及早發(fā)現(xiàn)入侵活動，即預(yù)警技術(shù)。 在我國計(jì)算機(jī)的網(wǎng)絡(luò)的建設(shè)狀況下，基于防火墻和加密技術(shù)的安全防護(hù)固然重要，但是，發(fā)展網(wǎng)絡(luò)入侵檢測以及預(yù)警技術(shù)也同樣重要。 HIPS 可阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫等入侵行為，整體提升主機(jī)的安全水平。 通常，對應(yīng)用層的防范比內(nèi)部網(wǎng)的防范難度更大，因?yàn)檫@些應(yīng)用要允許外部的訪問。他們?yōu)槲覈行W(xué)內(nèi)部實(shí)現(xiàn)教育的資源共享、信息交流和協(xié)同工作提供了較好的范例。 （ 3） 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：如圖 41 所示， 20 圖標(biāo)題錯誤 第三階段：編寫檢測引擎，程序如下： void Preprocess(Packet *p) {PreprocessFuncNode*idx。Log,RULE_LOG,p)) return 1。} 22 break。}} if(!rule_match) 7 {return EvalHeader(rtn_idxright.)。 Test_result=CheckAddrPort(rtn_idxsip rtn_idxsmask rtn_idxhsp rtn_idxisp p rtn_idxflags CHECK_SRC) if(test_result) {test_result=CheckAddrPort(rtn_idxdip rtn_idxdmask rtn_idxhdp rtn_idxldp p 8 rtn_idxflags,CHECK_DST)。rtn_idxdmask)) {return fp_listnextRuleHeadFunc(p,rtn idx,fp_listnext)。 U_short pkt_port。} If(flagsamp。}}} /*test the rule address packet address*/ If(!(((addr==(pkt_addramp。}} Else{if(flagsamp。} If(flagsamp。} Renturn 0。 } 9 Function:CheckSrcIpNotEq(Packet*.struct_RuleTreeNode*.RuleFpList*) Purpose:Test the sourse IP and see if it’s unequal to the SIP of the packet Arguments:p=ptr to the dccoded packet data structure rtn_idx=ptr to the current rule data struct fp_lisr=ptr to the current function pointer node * Returns:0 on failure (no match).1 on success(match) int CheckSrcIPNotEq(Packet***fp_list) 25 { /*do the check*/ if(rtn_idxsip!=(piphamp。 Otn tmp=List。 endif return 1。 Case IPPROTO_ICMP。}} else{return 1。這就要求：校園網(wǎng)是一個寬帶 、具有交互功能和專業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。雖然 AIP 剛出現(xiàn)近兩年，但其發(fā)展迅速。 應(yīng)用入侵防御系統(tǒng) 今年來，網(wǎng)絡(luò)攻擊的發(fā)展趨勢是逐漸轉(zhuǎn)向高層應(yīng)用，據(jù) Gartner 分析，目前對網(wǎng)絡(luò) 的攻擊有 70%以上集中在應(yīng)用層，并且這一數(shù)字呈上升趨勢。從 IDS 到 IPS，這是必然的趨勢。 2)自動攻擊的軟件工具不斷得到改進(jìn)，使變通用戶也能夠利用它來進(jìn)行網(wǎng)絡(luò)攻擊。 這些任務(wù)，在基于標(biāo)準(zhǔn) PC 硬件上，是無法高效運(yùn)行的，雖然一些網(wǎng)絡(luò)防火墻供應(yīng)商采用的是基于 ASIC 的平臺，但進(jìn)一步研究，就能發(fā)現(xiàn)：舊的基于網(wǎng)絡(luò)的 ASIC 平臺對于新的深度檢測功能是無法支持的 3 入侵檢測系統(tǒng)不足 (1) IDS 系統(tǒng)本身還在迅速發(fā)展和變化，遠(yuǎn)未成熟 (2) 現(xiàn)有 IDS 系統(tǒng)錯報(bào)或虛警概率偏高，嚴(yán)重干擾了結(jié)果 (3) IDS 與其它安全技術(shù)的協(xié)作性不夠 (4) IDS 缺少對檢測結(jié)果作進(jìn)一步說明和分析的輔助工具 IDS 面臨的挑戰(zhàn) 目前，入侵檢測系統(tǒng)也面臨著若干先要的挑戰(zhàn)。 經(jīng)常需要增加或更新軟件模塊 。 由于網(wǎng)絡(luò)防火墻對于加密的 SSL 流中的數(shù)據(jù)是不可見的，防火墻無法迅速截獲 SSL 數(shù)據(jù)流并對其解密，因此無法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供 數(shù)據(jù)解密 的功能。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測新的入侵行為。除了知識庫的完備性外，專家系統(tǒng)還依靠條件庫的完備性，這一點(diǎn)又取決于審計(jì)記錄的完備性、實(shí)時性和易用性。這類檢測方法將基于網(wǎng)絡(luò)的入侵檢測的基本方法融入到基于主機(jī)的檢測環(huán)境中。神經(jīng)網(wǎng)絡(luò)技術(shù)通學(xué)習(xí)已有輸入 —— 輸出矢量對集合，進(jìn)而抽象出其內(nèi)在的聯(lián)系，然后得到新的輸入 —— 輸出的關(guān)系；這種技術(shù)在理論上能夠用來審計(jì)數(shù)據(jù)流中檢測入侵的痕跡。 （ 2） 異常檢測技術(shù) 又稱為基于行為（ Behavior Based）的入侵檢測技術(shù)，它是建立在如下假設(shè)基礎(chǔ)上的，即任何一種入侵 行為都能由于其偏離正常或者期望的系統(tǒng)和用戶的活動規(guī)律而被檢測出來。常用的入侵檢測技術(shù)分為兩大類，即濫用檢測和異常檢測 [6]。防火墻是一種網(wǎng)絡(luò)安全軟件，作為一個應(yīng)用程序或者服務(wù)，運(yùn)行在受保護(hù)的主機(jī)上，為主機(jī)提供網(wǎng)絡(luò)安全保護(hù)。 IDS通常架設(shè)在網(wǎng)絡(luò)重要節(jié)點(diǎn)與主機(jī)系統(tǒng)之上，可檢測網(wǎng)絡(luò)流量與內(nèi)容，或者分析網(wǎng)絡(luò)內(nèi)的信息流動。 3 網(wǎng)絡(luò)安全體系 面對越來越嚴(yán)重的網(wǎng)絡(luò)安全問題，人們制定 了一系列的安全法則和評測標(biāo)準(zhǔn)，用來構(gòu)筑一個相對穩(wěn)固的安全系統(tǒng)。 黑客常用攻擊手段 針對眾多的安全威脅和安全隱患，黑客常用的攻擊手段包括以下 7 種： （ 1） 口令入侵：利用應(yīng)用層許多協(xié) 議如 TELNET、 FTP、 HTTP、 SMTP 等，它們中多數(shù)沒有采用加密或身份認(rèn)證技術(shù)，用戶賬號與密碼信息都是以明文格式傳輸?shù)奶攸c(diǎn)實(shí)施網(wǎng)絡(luò)監(jiān)聽，也可以利用用戶的賬號（如 Email賬號）進(jìn)行暴力破解（字典破解），當(dāng)然利用系統(tǒng)管理員的失誤，復(fù)制存放 Password 的文件，進(jìn)一步利用解密算法也可以達(dá)到破解的目的。在計(jì)算機(jī)網(wǎng)絡(luò)中存在著一些重要的信息系統(tǒng)，其中存儲了大量敏感的甚至是機(jī)密的信息，如國家的軍事能源信息、政府的調(diào)控決策信息、政府的調(diào)控決策信息、科研機(jī)構(gòu)的研究技術(shù)信息和商業(yè)企業(yè)的技術(shù)經(jīng)濟(jì)信息等等；在計(jì)算機(jī)網(wǎng)絡(luò)中還存在著大量重要的應(yīng)用系統(tǒng)，如金融、證券、稅務(wù)、商務(wù)、文教等電子系統(tǒng)。通過分析多種安全防御機(jī)制的優(yōu)缺點(diǎn)和網(wǎng)絡(luò)安全的發(fā)展趨勢，在此基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了基于分層部件的分布式入侵檢測系統(tǒng)，具有良好的性能和可擴(kuò)展性。由于市場利潤，技術(shù)投入，產(chǎn)品成本，技術(shù)規(guī)范等等問題，不同供應(yīng)商提供的環(huán)節(jié)在安全性上不盡相同，使得整個系統(tǒng)的安全程度被限制在了安全等級最低的那個環(huán)節(jié)。 (4)木馬攻擊：這一攻擊常常是基 于網(wǎng)絡(luò)中的客戶機(jī) /服務(wù)器原理。 7 針對原有安全模型的缺陷，有些學(xué)者提出計(jì)算機(jī)信息系統(tǒng) 安全的管理模型應(yīng)包括 4 部分，如圖 11 所示。 論文研究的內(nèi)容 和意義 目前，一般 IDS 所共有的一個缺點(diǎn)是生成的報(bào)警和日志的數(shù)量過于龐大。因此 ，作為防火墻，應(yīng)當(dāng)能夠過濾掉所有的不安全數(shù)據(jù)，阻止它們進(jìn)入內(nèi)部網(wǎng)絡(luò)，對于允許的安全數(shù)據(jù)，則可以自出入。 可以看出，濫用入侵檢測技術(shù)的優(yōu)點(diǎn)在于具有非常低的虛警率，同時檢測的匹配條件可以進(jìn)行清楚的描述，從而有利于安全管 理人員采取清晰明確的預(yù)防保護(hù)措施。 另外，對于合法用戶超越其權(quán)限的違法行為的檢測能力大大加強(qiáng)。 （ 1） 審計(jì)系統(tǒng)的配置和存在的脆弱性 （ 2） 評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性和一致性 （ 3） 分析用戶和系統(tǒng)的活動情況 （ 4） 檢測并響應(yīng)正在進(jìn)行的或已經(jīng)實(shí)現(xiàn)的違反系統(tǒng)安全策略的入侵活動 （ 5） 收集入侵證據(jù) 在設(shè)計(jì)網(wǎng)絡(luò)入侵檢測系統(tǒng)時，要特別對 來自組織機(jī)構(gòu)內(nèi)部的入侵行為予以更多的重視。不同入侵檢測系統(tǒng)在實(shí)現(xiàn)時采用的響應(yīng)方式也可能不同，但通常都 包括通知管理 員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等 [5]?；谀Ｐ偷娜肭謾z測方法可以僅監(jiān)測一些主要的審計(jì)事件。最重要的是，這是一種“事后”的檢測，當(dāng)檢測到入侵行為時，破壞早已經(jīng)發(fā)生了。 但如今，采用常見的編碼技術(shù)，就能夠地將惡意代碼和其他攻擊命令隱藏起來，轉(zhuǎn)換成某種形式，既能欺騙前端的網(wǎng)絡(luò)安全系統(tǒng)，又能夠在后臺服務(wù)器中執(zhí)行。在多數(shù)情況下，彈性概念 15 (proofofconcept)的特征無法應(yīng)用于現(xiàn)實(shí)生活中的數(shù)據(jù)中心上。 3)網(wǎng)絡(luò)繁忙情況 下的系統(tǒng)性能問題。入侵檢測技術(shù)已經(jīng)成為當(dāng)前網(wǎng)絡(luò)安全技術(shù)領(lǐng)域內(nèi)的一個研究。在技術(shù)上， HIPS 采用獨(dú)特的服務(wù)器保護(hù)途徑，利用同包過濾、狀態(tài)包檢測和實(shí)時入侵檢測組成分層防護(hù)體系。防火墻的訪問控制策略中必須開放應(yīng)用服務(wù)對應(yīng)的端口，如 Web 的 80 端口。然而，隨著我國各地校園網(wǎng)數(shù)量的迅速增加，校園網(wǎng)之間如何實(shí)現(xiàn)教育的資源共享、信息交流和協(xié)同工作的要求越來越強(qiáng)烈。 Do_detect=1。} else{ return 1。 default。 }} return 0。 if(!test_result) {test_result=CheckAddrPort(rtn_idxdip,rtn_idxdmask,rtn_idxhdp,rtn_idxldp,p,rtn_idxflags,(CHECK_SRCIINVERSE))。} Return 0。 Int any_port_flag=0。ANY_SRC_PORT) {any_port_flag=1。mask))^(except_addr_flag))) {return 0。EXCEPT_SRC_PORT) 27 {except_port_flag=1。ANY_DST_PORT) {any_port_flag=1。} Int CheckDstPortEqual(Packet*p,struct_RuleTreeNode*rtn_idx,RuleFpList*fp_list) If((pdprtn_idxhdp)II(pdprtn_idxldp)) {return fp_listnextRuleHeadFunc(p,rtn_idx,fp_listnext)。 } /*return 0 on a failed test*/ return 0。 Case RULE_LOG。 ifdef ENABLE_RESPONSE Respond(p)。} break。} 21 else {return 0。首先，校園網(wǎng)應(yīng)為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境。通過制訂合理的安全策略， AIP 能夠?qū)阂饽_本、 Cookie 投毒、隱藏域修改、緩存溢出、參數(shù)篡改、強(qiáng)制瀏覽、 SQL 插入、已知漏洞攻擊等攻擊進(jìn)行有效的防范。 NIA公司的 McAfee IntruShield 是基于網(wǎng)絡(luò)的入侵防護(hù)解決方案，它集成了牲庫檢測、異常行為檢測、行為關(guān)聯(lián)及拒絕服務(wù)分析等技術(shù)，能夠智能地檢測出書籍的攻擊、首次發(fā)生的攻擊和 DDoS攻擊等，從深層次上有效地保護(hù)企業(yè)的網(wǎng)絡(luò)安全。相反， IPS 系統(tǒng)則沒有這種問題，它的攔截行為與其分析行為處在同一層次，能夠更敏銳地捕捉入侵的流量，并能將危害切斷在發(fā)生之前。 1)攻擊者不斷研究新的攻擊模式，同時隨著安全技術(shù)的普及，越來越多的人進(jìn)行了越來越多的入侵攻擊嘗試。 廣泛的協(xié)議性能 。由于對于整體的應(yīng)用數(shù)據(jù)流，缺乏完整的、基于會話 (Session)級別的監(jiān)控能力，因此很難預(yù)防新的未知的攻擊 應(yīng)用防護(hù)特性，只適用于簡單情況 目前的數(shù)據(jù)中心服務(wù)器，時常會發(fā)生變動，比如： 定期需要部署新的應(yīng)用程序 。這個需求，對于傳統(tǒng)的網(wǎng)絡(luò)防火墻而言，是個大問題。異常檢測的優(yōu)點(diǎn)之一為具有抽象系統(tǒng)正常行為從而檢測系統(tǒng)異常行為的能力。規(guī)則，即知識，是專家系統(tǒng)賴以判定入侵存在與否的依據(jù)。許多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向 管理 員報(bào)警。 另一種主要的非規(guī)則檢測技術(shù)是神經(jīng)網(wǎng)絡(luò)技術(shù)。與專家系統(tǒng)技術(shù)比較，相同之處是同樣要收集關(guān)于網(wǎng)絡(luò)入侵行為的各種知識，不同點(diǎn)是特征分析技術(shù)更直接的運(yùn)用收集到的各種知識，例如入侵行為可以被轉(zhuǎn)化成它們在實(shí)施過程中所產(chǎn)生的一個事件序列或某種系統(tǒng)審計(jì)文件以及網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)樣板模型。 入侵檢測系統(tǒng) 1 常用的入侵檢測技術(shù)