【導(dǎo)讀】隨著Inter的發(fā)展，計算機網(wǎng)絡(luò)安全成為越來越受人們關(guān)注的問題。目前最流行的網(wǎng)絡(luò)安。和誤報、只能被動檢測不能主動防御的缺點，導(dǎo)致不能對網(wǎng)絡(luò)進行全面得保護，因此急需出現(xiàn)一種嶄新的網(wǎng)絡(luò)安全體系結(jié)構(gòu)來解決這些問題。通過分析多種安全防御機制的優(yōu)缺。良好的性能和可擴展性。它將入侵檢測系統(tǒng)和防火墻技術(shù)有機地結(jié)合在一起，用于實現(xiàn)對網(wǎng)絡(luò)的。參與設(shè)計了一種分布式入侵檢測系統(tǒng)，并對該系統(tǒng)的體系結(jié)構(gòu)和功能進行了全面、完整的描述。研究了snort的實現(xiàn)機制，學(xué)會如何編寫snort規(guī)則。研究了黑客攻擊的步驟，并掌握了一般攻擊的手段。研究并實現(xiàn)了報警采集與格式統(tǒng)一模塊。重點研究了報警融合模塊的實現(xiàn)原理，并實現(xiàn)了基于相似度的報警融合算法。針對局域網(wǎng)實際應(yīng)用需求，使用該分布式入侵檢測系統(tǒng)對其進行保護，取得了不錯的實驗效果。

　　

【正文】 ROTO_TCP。 if(ptcph!=NULL) {rtn_idx=ListTcpList} else {return 0。} break。 Case IPPROTO_UDP。 if(pudph!=NULL) {rtn_idx=ListUdpList。} else 6 {return 0。} break。 Case IPPROTO_ICMP。 if(picmph!=NULL) {rtn_idx=ListIcmpList。} rtn_idx=ListIcmpList。} else {return 0。} 22 break。 default。 return 0。} return EvalHeader()。} int EvalHeaderRuleTreeNode**p) {int rule_match=0。 if(rtn_idx==NULL) {return 0。} if(!rtn_idxrule_funeRuleHeadFunc(,rtn_idxrule_func)) {return EvalHeader(rtn_rd%)} else {rule_match=EvalOpts(rtn_idx)。 If(rule_match) {switch (rtn_idxtype) {case RULE_PASS。 return 1。 Case RULE ALERT。 (*LogFunc)(messager。 ifdef ENABLE_RESPONSE Respond(p)。 endif return 1。 Case RULE_LOG。 (*LogFunc)(message)。 return 1。}} if(!rule_match) 7 {return EvalHeader(rtn_idxright.)。 }} return 0。} int EvalOpts(OptTreeNode**p) {if(List==NULL) return 0。 if(Listopt_func==NULL) {FatalError(“Listopt_func was NULL on option %d!\n”, 23 Listchain_node_number)。} if(Listopt_funcOpTestFunc(opt_func)) {if(EvalOpts(List)) return 1。 else return 0。} else {/*do the appropriate followon action*/ Switch(Listtype) {case RULE_PASS。 return 1. Case RULE_ALERT。 Otn_tmp=List。 (*AlertFunc)message)。 Return 1。 Case RULE_LOG。 Otn tmp=List。 return 1。}} return 0。 } int CheckBidirectional(Packet***tp_list) {int test result=0。 Test_result=CheckAddrPort(rtn_idxsip rtn_idxsmask rtn_idxhsp rtn_idxisp p rtn_idxflags CHECK_SRC) if(test_result) {test_result=CheckAddrPort(rtn_idxdip rtn_idxdmask rtn_idxhdp rtn_idxldp p 8 rtn_idxflags,CHECK_DST)。 if(!test_result) {test_result=CheckAddrPort(rtn_idxdip,rtn_idxdmask,rtn_idxhdp,rtn_idxldp,p,rtn_idxflags,(CHECK_SRCIINVERSE))。 if(test_result) {test_result=CheckAddrPort(rtn_idxsip, rtn_idxsmask, rtn_idxhsp,rtn_idxlsp,p, rtn_idxflags,(CHECK_DSTIINVERSE))。 if(!test_result) 24 {/*no match*/ return 0}} else {return0。}}} else {test_result=CheckAddrPort(rtn_idxdip, rtn_idxdmask, rtn_idxhdp, rtn_idxldp,p,rtn_idxflags,CHECK_SRCIINVERSE)。 if(test_result) {test_result=CheckAddrPort(rtn_idxsip, rtn_idxsmask, rtn_idxhsp, rtn_idxlsp. p, rtn_idxflags,CHECK_DSTIINVERSE)。 if(!test_result) {/*no match*/ return 0。}} else{/*no match,give up and try the next rule*/ return 0。}} return1。} int CheckSrclPEqual(Packet**rtn_idx,RuleFplist*fp_list) {/*do the check*/ if(rtn_idxsip==(piphamp。rtn_idxsmask)) { /*the packet matches this to the next text*/ retutn fp listnextRuleHeadFunc(next)。 } /*return 0 on a failed test*/ return 0。 } 9 Function:CheckSrcIpNotEq(Packet*.struct_RuleTreeNode*.RuleFpList*) Purpose:Test the sourse IP and see if it’s unequal to the SIP of the packet Arguments:p=ptr to the dccoded packet data structure rtn_idx=ptr to the current rule data struct fp_lisr=ptr to the current function pointer node * Returns:0 on failure (no match).1 on success(match) int CheckSrcIPNotEq(Packet***fp_list) 25 { /*do the check*/ if(rtn_idxsip!=(piphamp。rtn_idxsmask)) { /*the packet matches this to the next text*/ retutn fp_listnextRuleHeadFunc(next)。 } /*return 0 on a failed test*/ return 0。 } Int CheckDstlPEqual(Packet**rtn_idx,RuleFpList*fp_list) {/*same as above*/ If(rtn_idxdip==(piphamp。rtn_idxdmask)) {return fp_listnextRuleHeadFunc(p,rtn idx,fp_listnext)。} Return 0。} Int ChckDstIPNotEq(Packet**rtn_idx,RuleFpList*fp_。ost) {/*same as above*/ If(rtn_idxdip!=(piph addramp。rtn_idxdmask)) {return fg listnextRuleHeadFunc(next)。} Return 0。} Int CheckSrePortEqual(Packet**rtn_idx,RuleFpList*fp_list) {if((psp=,tn_idxFsp)amp。amp。(psp=rtn_idxlsp)) {return nextRuleHeadFunc(p,rtn_idx,fp_listnext)。} Return 0。} Int CheckSrcPortNotEq(Packet*p,struct_RuleTreeNode*rtn_idx,RuleFpList*fp_list) {if((psprtn_idxhsp)II(psprtn_idxlsp)) 10 {return 0。} Int CheckDstPortEqual(Packet*p,struct_RuleTreeNode*rtn_idx,RuleFpList*fp_list) If((pdprtn_idxhdp)II(pdprtn_idxldp)) {return fp_listnextRuleHeadFunc(p,rtn_idx,fp_listnext)。} Renturn 0。} Int RuleListEnd(Packet*p,struc_RuleTreeNode*rtn_idx,RuleFpList*fp_list) {return 1。} Int OptListEnd(Packet*p,struct_OptTreeNode*otn_idx,OptFpList*fp_list) 26 {return 1。} Int CheckAddrPort(u_long addr,u_long mask,u_short hi_port,u_short lo_port,Packet*p,char flags,int mode) {u_long pkt_addr。 U_short pkt_port。 Int any_port_flag=0。 Int except_addr_flag=0。 Int except_port_flag=0。 /*set up the packet particulars*/ If((modeamp。CHECK_SRC)==CHECK_SRC) {pkt_addr=piph。 Pkt_port=psp。 If((modeamp。INVERSE)==INVERSE) {if(flagsamp。EXCEPT_DST_IP) {except_addr_flag=1。} If(flagsamp。ANY_DST_PORT) {any_port_flag=1。} If(flagsamp。EXCEPT_DST_PORT) {except_port_flag=1。}} Else {if(flagsamp。EXCEPT_SRC_IP) {except_addr_flag=1。} If(flagsamp。ANY_SRC_PORT) {any_port_flag=1。} If(flagsamp。EXCEPT_SRC_PORT) {except_port_flag=1。}}} 11 Else{pkt_addr=piph。 Pkt_port=pdp: If((modeamp。INVERSE)==INVERSE) {if(flagsamp。EXCEPT_SRC_IP) {except_addr_flag=1。} If(flagsamp。ANY_SRC_PORT) {any_port_flag=1。} If(flagsamp。EXCEPT_SRC_PORT) 27 {except_port_flag=1。}} Else{if(flagsamp。EXCEPT_DST_IP) {except_addr_flag=1。} If(flagamp。ANY_DST_PORT) {any_port_flag=1。}}} /*test the rule address packet address*/ If(!(((addr==(pkt_addramp。mask))^(except_addr_flag))) {return 0。} /*if the any port flag is up,we’re all done (success)*/ If(any_port_flag) Return 1。 /*check the packet port against the rule port*/ If((pkt_porthi_port)II(pkt_portlo_port)) {/*if the exception flag isn’t up,fail*/ If(!except_port_flag) {return 0。}} Else {/*if the exception flag is up,fail*/ If(except_port_flag) {return 0。}} /*ports and address match*/ Return 1。} 第四階段：測試、運行本系統(tǒng)并