【正文】 p 網(wǎng)絡(luò)入侵檢測系統(tǒng)是西安交大捷普網(wǎng)絡(luò)科技有限公司自行研制開發(fā)的一套實時的網(wǎng)絡(luò)入侵檢測與響應(yīng)網(wǎng)絡(luò)入侵檢測的網(wǎng)絡(luò)安全系統(tǒng)。它可以實時監(jiān)控所有在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，檢測可疑行為，對來自網(wǎng)絡(luò)外部和內(nèi)部的攻擊都可以做出反應(yīng)，在系統(tǒng)受到危害之前發(fā)出警告，切斷攻擊方的連接。其聯(lián)機文檔提供了豐富的漏洞說明及補救措施，可以最大程度的為網(wǎng)絡(luò)系統(tǒng)提供安全保障。 jump 網(wǎng)絡(luò)入侵檢測系統(tǒng)收集了目前國內(nèi)外最新的網(wǎng)絡(luò)攻擊行為的特征數(shù)據(jù)庫，可檢測多種類型的攻擊，因而具有強大功能。同時，該系統(tǒng)工作時還具有實時性、幾乎不影響網(wǎng)絡(luò)性能等優(yōu)點，是值得信賴的網(wǎng)絡(luò)安全產(chǎn)品。 工作原理入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計、自動地收集和系統(tǒng)相關(guān)的補丁、進(jìn)行審計跟蹤識別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。由于入侵檢測和響應(yīng)密切相關(guān)，而且現(xiàn)在沒有獨立的響應(yīng)系統(tǒng)，所以決大多數(shù)的入侵檢測系統(tǒng)都具有響應(yīng)功能。 按獲得原始數(shù)據(jù)的方法可以將入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測和基于主機的入侵檢測系統(tǒng)?；谥鳈C的 ids 可監(jiān)測系統(tǒng)、事件和 window nt 下的安全記錄以及unix 環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時，ids 將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報警并向別的目標(biāo)報告，以采取措施?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的 ids 通常利用一個運行在隨機模式下網(wǎng)絡(luò)的適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。 系統(tǒng)具體功能（1）實時檢測入侵功能?？梢詫崟r地對網(wǎng)絡(luò)上的攻擊進(jìn)行監(jiān)測，一旦發(fā)現(xiàn)可疑信息，入侵檢測可準(zhǔn)確顯示其數(shù)據(jù)目標(biāo)和來源，及時向管理員告警。 （2）豐富和友好的管理界面。所有的入侵監(jiān)測系統(tǒng)提供友好的人機界面，使得管理員易于操作和管理整個入侵監(jiān)測系統(tǒng)。采用可視的管理、監(jiān)視、控制和分析操作界面，方便使用。 （3）對報警信息的檢索、查詢和統(tǒng)計。管理員通過管理中心可以對歷史記錄中引擎產(chǎn)生的各種攻擊事件的報警信息進(jìn)行檢索、查詢及統(tǒng)計。 （4）全新的離線報警方式。除了常規(guī)屏幕顯示報警信息，系統(tǒng)還可以自動將報警信息傳送到管理員的Email信箱，并同時提供聲音報警。 （5）數(shù)據(jù)的安全通信。引擎與管理中心之間的數(shù)據(jù)通信是安全加密的（ssl協(xié)議）。 （6）引擎的實時監(jiān)測與管理。在管理中心，系統(tǒng)管理員可以實時地獲取到引擎的狀態(tài)信息，并可以對引擎進(jìn)行啟動、停止等管理。 （7）入侵檢測規(guī)則的自定義。用戶可以自己定義一些入侵檢測規(guī)則，加入到引擎的規(guī)則庫中去，更加靈活地進(jìn)行入侵檢測。 （8）開放式的插件機構(gòu)。系統(tǒng)檢測能力不斷增長,包括入侵規(guī)則的自動升級和更新。 （9）斷開網(wǎng)絡(luò)功能。提供斷網(wǎng)功能，對于一些惡意的攻擊行為，系統(tǒng)可以將攻擊者，從網(wǎng)絡(luò)中清除出去。 （10）在線升級。為用戶提供可以在線升級的能力，使管理員可以在管理中心直接進(jìn)行對規(guī)則庫進(jìn)行升級。 JUMP入侵檢測系統(tǒng)探測器設(shè)置和使用1. 超級終端的安裝和設(shè)置“超級終端”是windows nt，windows 2000下的程序，是microsoft操作系統(tǒng)中的一個常用組件。它能夠通過串行或并行端口接受或發(fā)送ascii碼信息。“超級終端”具有反卷功能，此功能使用戶能夠看到已經(jīng)滾動出屏幕的已接收文本。方式1：在安裝windows 2000/nt操作系統(tǒng)時，選中“通訊”選項中“超級終端”選項。方式2：在安裝windows 2000/nt操作系統(tǒng)時沒有安裝“超級終端”，可以通過windows 2000/nt的“控制面板”的“添加/刪除程序”項安裝“超級終端”。啟動超級終端：在開始菜單中，選取程序〉附件〉通訊〉超級終端，： 新建連接輸入新建連接的名字，確定，：選擇連接的口，單擊確定，彈出端口設(shè)置窗口，單擊確定，連接成功后，超級終端出現(xiàn)username: ,輸入用戶名:admin 輸入密碼：jump,進(jìn)入jump ids 配置界面（界面顯示配置命令和幫助）。2. 探測器的配置（1） 配置探測器ip:輸入s回車，顯示“input ip address:”，輸入探測器ip地址（例如：）,回車，配置生效。（2）配置探測器掩碼：輸入m回車，顯示“input ip address:”，輸入探測器ip掩碼(例如：)回車，配置生效。（3）配置控制臺ip：輸入i回車, 顯示“input ip address:”，輸入控制臺ip地址（例如：）回車，配置生效。（4）以上配置項配置成功后，輸入r啟動引擎。（5）啟動成功后，輸入q退出配置[9]。 認(rèn)證的實現(xiàn)——SRZ06身份認(rèn)證系統(tǒng) SRZ06身份認(rèn)證系統(tǒng)結(jié)合了現(xiàn)代密碼技術(shù)和智能卡技術(shù)，采用一次一密的動態(tài)認(rèn)證口令，在各網(wǎng)絡(luò)用戶與服務(wù)器之間直接進(jìn)行身份認(rèn)證，可根據(jù)系統(tǒng)環(huán)境，選擇服務(wù)器對客戶端的單向認(rèn)證方式，或者基于挑戰(zhàn)/應(yīng)答的雙向認(rèn)證方式。該認(rèn)證系統(tǒng)既秉承了對稱密碼抗集團(tuán)破譯能力強的優(yōu)點，又采用智能卡技術(shù)解決了對稱密碼體制中最難以解決的密鑰分發(fā)問題。 SRZ06身份認(rèn)證系統(tǒng)的應(yīng)用可以提高網(wǎng)絡(luò)系統(tǒng)對用戶身份的識別以及管理能力，起到保護(hù)網(wǎng)絡(luò)資源安全，降低數(shù)據(jù)泄密風(fēng)險的作用。該產(chǎn)品既適應(yīng)于局域網(wǎng)用戶，也適用于廣域網(wǎng)用戶，能夠更為有效地防止冒名登錄事件的發(fā)生，并具有操作簡單，安全性高、認(rèn)證速度快、維護(hù)簡單等特點，且用戶一次性投入，終身無需維護(hù)。本系統(tǒng)適應(yīng)于政府、企業(yè)等需要對用戶身份進(jìn)行明確定義的網(wǎng)絡(luò)環(huán)境。 SRZ06身份認(rèn)證系統(tǒng)功能： 1. 網(wǎng)絡(luò)用戶身份認(rèn)證：在局域網(wǎng)、廣域網(wǎng)環(huán)境下識別用戶身份網(wǎng)絡(luò)用戶權(quán)限管理、行為審計：為登錄系統(tǒng)的用戶分配權(quán)限，并對用戶的上網(wǎng)情況進(jìn)行跟蹤和統(tǒng)計。 2. 數(shù)據(jù)加解密：對需要經(jīng)過網(wǎng)絡(luò)傳遞的重要數(shù)據(jù)實行機密性保護(hù)。 ：利用SRZ06智能卡及其CSP安全組件，可以實現(xiàn)Windows2000/XP下的域登錄。客戶端采用存儲在key中的數(shù)字證書進(jìn)行登錄驗證。在證書身份驗證的過程中，客戶端和服務(wù)器將互相出示證書，從而可以相互驗證身份。 4. 域安全策略的實施：如拔卡鎖定工作站。 SRZ06身份認(rèn)證系統(tǒng)的技術(shù)實現(xiàn)：1. 系統(tǒng)架構(gòu)2. 建立芯片級認(rèn)證系統(tǒng)采用工控機和加密卡來建立認(rèn)證（簽名驗證）中心，其中：加密卡與服務(wù)器的接口是采用標(biāo)準(zhǔn)PCI接口（將多塊加密卡插入工控機里）、客戶端采用基于標(biāo)準(zhǔn)USB接口的智能卡、兩種硬件設(shè)備中都采用國內(nèi)微電子芯片，芯片內(nèi)寫入對稱密碼算法、SM1算法。3. 采用組合密鑰技術(shù)采用硬件隨機數(shù)發(fā)生器產(chǎn)生用戶“密鑰種子”，保證隨機性，每個用戶的密鑰“基”（密鑰種子）都不同；客戶端用戶“密鑰種子”存放在智能卡芯片中，認(rèn)證中心的全體用戶的“密鑰種子”是以密文方式存儲在數(shù)據(jù)庫中，是用加密卡中的SM1算法和一組對稱密鑰，將全體用戶的密鑰種子加密成密文，來保證“密鑰種子”安全存儲 ；根據(jù)密鑰生成算法對密鑰種子進(jìn)行選取，組合生成密鑰，實現(xiàn)認(rèn)證、簽名密鑰一次一變，不重復(fù)使用。4. 建立基于標(biāo)識（非證書）認(rèn)證系統(tǒng) 每個用戶的標(biāo)識唯一（如：用戶號、用戶身份證號等），每個用戶標(biāo)識對應(yīng)該用戶的一組“密鑰種子”；取消數(shù)字證書，根據(jù)用戶標(biāo)識直接快速定位用戶密鑰種子，提高認(rèn)證效率。5. 建立規(guī)?；恼J(rèn)證中心 只采用少量“密鑰種子” 完成認(rèn)證協(xié)議，每個用戶的“密鑰種子”占用認(rèn)證中心資源少，在認(rèn)證中心的數(shù)據(jù)庫里建立3億條記錄，使認(rèn)證中心能管理大規(guī)模用戶（達(dá)3億人）。 6. 采用認(rèn)證過程的安全控制機制WEB服務(wù)器接受用戶認(rèn)證請求的同時，創(chuàng)建認(rèn)證生命周期T，超過此周期T則認(rèn)證失敗；禁止使用過期的或相同的控制參數(shù)進(jìn)行網(wǎng)絡(luò)身份認(rèn)證，防止黑客使用截獲的控制參數(shù)冒名頂替[10]。 數(shù)據(jù)防護(hù)的實現(xiàn) 移動數(shù)據(jù)防護(hù)的實現(xiàn) 系統(tǒng)工作模式分為單機和網(wǎng)絡(luò)兩種： 單機模式：不通過網(wǎng)絡(luò)對計算機、筆記本電腦進(jìn)行管控，由管理員定時或不定時對單機檢查。 網(wǎng)絡(luò)模式：設(shè)定內(nèi)部網(wǎng)絡(luò)中的一臺計算機為主控制段，安裝網(wǎng)絡(luò)版主控端軟件，其它計算機安裝客戶端，從而實現(xiàn)對內(nèi)部計算機的集中管控。 1. 單機系統(tǒng)管理與檢察。主要完成對非網(wǎng)絡(luò)單機的“權(quán)限設(shè)置”以及操作行為的信息采集、審計和匯總。審計信息包括：“文件操作記錄”主要記錄受檢計算機系統(tǒng)進(jìn)行文件新建、修改、刪除以及復(fù)制等操作行為，詳細(xì)記錄目標(biāo)文件和源文件具體操作時間和路徑。 2. U盤文件操作記錄：記錄U盤（移動硬盤）上的文件操作記錄。程序運行記錄，主要記錄受檢計算機“打開”“關(guān)閉”某個應(yīng)用程序、文件以及文件夾所做的操作信息。郵件日志，主要記錄受檢計算機上所發(fā)送的郵件信息。違規(guī)及其他信息，主要記錄受檢計算機“讀寫U盤”、“運行非法程序”等違規(guī)操作行為。：軟件信息主要顯示受檢計算機當(dāng)前所安裝的所有軟件信息。硬件信息：主要顯示受檢計算機當(dāng)前的硬件配置信息。版本信息：主要顯示該受檢機器的操作系統(tǒng)、系統(tǒng)客戶端軟件的版本以及機器名稱等信息。 4. 權(quán)限設(shè)置：主要對客戶端下發(fā)安全控制權(quán)限，實現(xiàn)奢靡載體管理、計算機輸入輸出管理、操作行為管理、網(wǎng)絡(luò)行為管理、綜合數(shù)據(jù)統(tǒng)計等功能。 5. 涉密電子文檔管理：對注冊計算機內(nèi)存儲的所有電子文檔（包括多媒體、照片、錄像）進(jìn)行自動登記統(tǒng)計、編號，并按密級和年度自動進(jìn)行分類管理。 裝載該系統(tǒng)后，只有注冊過的存儲介質(zhì)才可在裝有該系統(tǒng)的計算機上使用，未注冊的存儲介質(zhì)和未裝該系統(tǒng)的計算機均無法使用；注冊過的存儲介質(zhì)無法在未裝有該系統(tǒng)的計算機上使用；未注冊過的存儲介質(zhì)只有在特定計算機上（一般為安全機構(gòu)負(fù)責(zé)人使用）注冊后，才能在裝有該系統(tǒng)的計算機上使用，也只有在特定計算機上解除注冊后，才能恢復(fù)在其他計算機上使用。通過管理控制，既防止了感染了木馬程序等病毒的存儲介質(zhì)對涉密計算機的非法訪問，也杜絕了裝有涉密資料的存儲介質(zhì)在其他計算機上使用。 操作系統(tǒng)的防護(hù)在校園操作系統(tǒng)的防護(hù)中，Web服務(wù)器的操作系統(tǒng)選擇十分重要，Linux和FreeBSD是操作系統(tǒng)中完成基本安裝后比較安全的兩款操作系統(tǒng)。然而，與Windows服務(wù)器一樣，它們也可能沒有進(jìn)行安全配置就用作Web服務(wù)器，這樣，安全性上將存在比較大的風(fēng)險。當(dāng)今的通用操作系統(tǒng)都有這樣的問題，它們默認(rèn)地運行著大量的服務(wù)和應(yīng)用。完美的Web服務(wù)器系統(tǒng)應(yīng)該只有一個應(yīng)用在其中運行：這就是Web應(yīng)用本身，如IIS或Apache。我們使用netstat命令運行IIS的標(biāo)準(zhǔn)Windows 2003服務(wù)器的情況。為了保護(hù)操作系統(tǒng)的安全性，應(yīng)該修改及重新命名默認(rèn)賬戶，使用較長的口令，卸載所有未使用的應(yīng)用程序，關(guān)閉所有不需要的服務(wù)，使用擁有最低必須權(quán)限的用戶啟動Web服務(wù)器，配置允許端口，安裝防病毒程序（根據(jù)需要選擇），監(jiān)控日志文件，創(chuàng)建一種將日志文件歸檔到其他位置（不在Web服務(wù)器上）的機制，應(yīng)用所有最新的服務(wù)包和更新，將Web頁面放置在非標(biāo)準(zhǔn)的目錄或驅(qū)動器上[11]。一般來講，很多網(wǎng)絡(luò)病毒都是利用了系統(tǒng)漏洞的。對用戶來說，防范病毒入侵的最好方法就是打補丁，堵住系統(tǒng)漏洞。系統(tǒng)漏洞補丁是用來為系統(tǒng)修補錯誤或增加新功能的小程序包，它不能單獨安裝使用必須安裝在特定的系統(tǒng)環(huán)境中。但是系統(tǒng)漏洞的發(fā)現(xiàn)常常并不是由軟件開發(fā)人員先發(fā)現(xiàn)的，當(dāng)網(wǎng)上已有惡意程序在網(wǎng)上肆虐時，人們才開始想法防御。這就成了漏洞和對應(yīng)補丁的不同步。系統(tǒng)操作員有必要在補丁出來的最短時間內(nèi)給系統(tǒng)打上。當(dāng)然有些漏洞是操作者使用不當(dāng)或配置不好造成的，對這種人為的因素就有必要提高操作者的專業(yè)知識和及時更改錯誤配置。第5章 網(wǎng)絡(luò)安全防御系統(tǒng)的測試 為了系統(tǒng)的性能，我們將利用方式檢測系統(tǒng)保護(hù)網(wǎng)絡(luò)，作為一中被動防御機制與主動防御機制融合在一起的立體防御機制，它既能對來自網(wǎng)絡(luò)外部的攻擊進(jìn)行有效的監(jiān)控和攔截，又能對校園網(wǎng)絡(luò)內(nèi)部的攻擊進(jìn)行防御。 測試 測試環(huán)境為了測試網(wǎng)絡(luò)安全防御系統(tǒng)性能，配置的測試環(huán)境如下：用網(wǎng)絡(luò)1（）模擬外圍，用網(wǎng)絡(luò)2（）模擬校園網(wǎng)。網(wǎng)絡(luò)安全防御系統(tǒng)安裝在網(wǎng)絡(luò)1與網(wǎng)絡(luò)2之間。網(wǎng)絡(luò)1中主機H1（）對網(wǎng)絡(luò)2中的服務(wù)器S1的訪問就相對于網(wǎng)外用戶對校園網(wǎng)的訪問：網(wǎng)絡(luò)2中主機H2 () 對網(wǎng)絡(luò)2中服務(wù)器S1的（）的訪問就相對于網(wǎng)內(nèi)用戶對校園完的訪問。在網(wǎng)絡(luò)1中主機H1（）上配置一些后門程序?qū)W(wǎng)絡(luò)2中的服務(wù)器S1（）進(jìn)行惡意訪問，模擬外網(wǎng)用戶對校園網(wǎng)的攻擊情形。在網(wǎng)絡(luò)2中主機H2（）進(jìn)行惡意訪問，模擬內(nèi)網(wǎng)用戶對校園網(wǎng)的攻擊情形。 測試系統(tǒng)防御外部攻擊能力1. 對木馬進(jìn)行截獲目前，許多木馬不是以單一進(jìn)程的形式訪問網(wǎng)絡(luò)，而是插入到正常的進(jìn)程中將自己隱藏起來，然后開啟一個后門或不斷掃描遠(yuǎn)程計算機。 2. 監(jiān)視蠕蟲病毒對遠(yuǎn)程端口的掃描目前。很多蠕蟲病毒都帶有黑客性質(zhì)，當(dāng)他們以很隱藏的方式進(jìn)入用戶的計算機后，它們就會不斷掃描遠(yuǎn)程網(wǎng)絡(luò)計算機中某些端口來尋求某些漏洞并進(jìn)行攻擊。 測試系統(tǒng)防御內(nèi)部攻擊能力主機H2（）用掃描工具Ipexplorer對網(wǎng)絡(luò)服務(wù)器S1（）的端口進(jìn)行掃描。測試系統(tǒng)防御內(nèi)部攻擊能力[12]。 小結(jié) 本章主要介紹了一個簡化的原型系統(tǒng)，接著探討了系統(tǒng)中防火墻系統(tǒng)及入侵檢測系統(tǒng)的實現(xiàn)技術(shù)，最后敘述了對系統(tǒng)的測試情況。總 結(jié)在計算機信息化的不斷發(fā)展，針對網(wǎng)絡(luò)的新的攻擊行為也不斷涌出，其針對的目的也將是全方位的，所以那種希望依靠一種安全技術(shù)的不斷深入研究解決所有安全問題的想法是幼稚的，當(dāng)我們需要不斷的研究和發(fā)展各種安全技術(shù)，包括本文提到的防火墻，入侵技術(shù)，身份認(rèn)證，數(shù)據(jù)備份和恢復(fù)等等，但這些遠(yuǎn)遠(yuǎn)不夠的只有當(dāng)我們將所有的技術(shù)通過一個完整的網(wǎng)絡(luò)安全防御系統(tǒng)整合為一體，它們在這個系統(tǒng)中能夠彼此協(xié)作，才能發(fā)揮它們的最大威力，從全方位阻止攻擊的入侵。校園安全防御網(wǎng)絡(luò)是一種全新安全架構(gòu)，其最大特點就是具有自我防御能力、自我愈合能力和集成協(xié)同的安全機制，不論是網(wǎng)絡(luò)系統(tǒng)本身還是網(wǎng)絡(luò)資源一旦受到諸如網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊時，能夠快速反應(yīng)，發(fā)現(xiàn)攻擊并給以阻止，發(fā)現(xiàn)病毒或蠕蟲予以刪除，大大提高網(wǎng)絡(luò)安全性能。 本文也只是在網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計和實現(xiàn)上做了一些膚淺的探索，還存在許多的不足，需要在進(jìn)一步的研究中完善