【正文】 }} Else {/*if the exception flag is up,fail*/ If(except_port_flag) {return 0。}}} /*test the rule address packet address*/ If(!(((addr==(pkt_addramp。}} Else{if(flagsamp。} If(flagsamp。}}} 11 Else{pkt_addr=piph。} If(flagsamp。} If(flagsamp。INVERSE)==INVERSE) {if(flagsamp。 /*set up the packet particulars*/ If((modeamp。 U_short pkt_port。} Renturn 0。(psp=rtn_idxlsp)) {return nextRuleHeadFunc(p,rtn_idx,fp_listnext)。rtn_idxdmask)) {return fg listnextRuleHeadFunc(next)。rtn_idxdmask)) {return fp_listnextRuleHeadFunc(p,rtn idx,fp_listnext)。 } 9 Function:CheckSrcIpNotEq(Packet*.struct_RuleTreeNode*.RuleFpList*) Purpose:Test the sourse IP and see if it’s unequal to the SIP of the packet Arguments:p=ptr to the dccoded packet data structure rtn_idx=ptr to the current rule data struct fp_lisr=ptr to the current function pointer node * Returns:0 on failure (no match).1 on success(match) int CheckSrcIPNotEq(Packet***fp_list) 25 { /*do the check*/ if(rtn_idxsip!=(piphamp。}} return1。}}} else {test_result=CheckAddrPort(rtn_idxdip, rtn_idxdmask, rtn_idxhdp, rtn_idxldp,p,rtn_idxflags,CHECK_SRCIINVERSE)。 Test_result=CheckAddrPort(rtn_idxsip rtn_idxsmask rtn_idxhsp rtn_idxisp p rtn_idxflags CHECK_SRC) if(test_result) {test_result=CheckAddrPort(rtn_idxdip rtn_idxdmask rtn_idxhdp rtn_idxldp p 8 rtn_idxflags,CHECK_DST)。 Otn tmp=List。 Otn_tmp=List。} if(Listopt_funcOpTestFunc(opt_func)) {if(EvalOpts(List)) return 1。}} if(!rule_match) 7 {return EvalHeader(rtn_idxright.)。 endif return 1。 return 1。} int EvalHeaderRuleTreeNode**p) {int rule_match=0。} 22 break。 Case IPPROTO_ICMP。 Case IPPROTO_UDP。 if(piph==NULL) {return 0。Log,RULE_LOG,p)) return 1。}} else{return 1。Alert,RULE_ALERT,p)) {if(!EvalPacket(amp。} 5 if(!pfrag_flagamp。 （ 3） 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：如圖 41 所示， 20 圖標(biāo)題錯(cuò)誤 第三階段：編寫(xiě)檢測(cè)引擎，程序如下： void Preprocess(Packet *p) {PreprocessFuncNode*idx。這就要求：校園網(wǎng)是一個(gè)寬帶 、具有交互功能和專業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。例如：認(rèn)為網(wǎng)絡(luò)建設(shè)越 高檔越好，在建設(shè)中盲目追求高投入，對(duì)校園網(wǎng)絡(luò)建設(shè)的建設(shè)缺乏綜合規(guī)劃及開(kāi)發(fā)應(yīng)用；認(rèn)為建好了校園網(wǎng)絡(luò)，連接了 Inter，就等于實(shí)現(xiàn)了教學(xué)和辦公的自動(dòng)化和信息化，而缺乏對(duì)校園網(wǎng)絡(luò)的綜合管理、技術(shù)人員和教師的應(yīng)用培訓(xùn)，缺乏對(duì)教學(xué)資源的開(kāi)發(fā)與積累等等。 19 校園網(wǎng)總體設(shè)計(jì)方案的科學(xué)性 ，應(yīng)該體現(xiàn)在能否滿足以下基本要求方面： （ 1）整體規(guī)劃安排； （ 2）先進(jìn)性、開(kāi)放性和標(biāo)準(zhǔn)化相結(jié)合； （ 3）結(jié)構(gòu)合理，便于維護(hù)； （ 4）高效實(shí)用； （ 5）支持寬帶多媒體業(yè)務(wù)； （ 6）能夠?qū)崿F(xiàn)快速信息交流、協(xié)同工作和形象展示。他們?yōu)槲覈?guó)中小學(xué)內(nèi)部實(shí)現(xiàn)教育的資源共享、信息交流和協(xié)同工作提供了較好的范例。雖然 AIP 剛出現(xiàn)近兩年，但其發(fā)展迅速。據(jù)國(guó)外權(quán)威機(jī)構(gòu)統(tǒng)計(jì)， 97%的 Web 站點(diǎn)存在一定的應(yīng)用協(xié)議問(wèn)題。而 AIP 則能夠彌補(bǔ)防火墻和 IDS 的不足，能對(duì)特定應(yīng)用進(jìn)行有效保護(hù)。 通常，對(duì)應(yīng)用層的防范比內(nèi)部網(wǎng)的防范難度更大，因?yàn)檫@些應(yīng)用要允許外部的訪問(wèn)。 應(yīng)用入侵防御系統(tǒng) 今年來(lái)，網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)是逐漸轉(zhuǎn)向高層應(yīng)用，據(jù) Gartner 分析，目前對(duì)網(wǎng)絡(luò) 的攻擊有 70%以上集中在應(yīng)用層，并且這一數(shù)字呈上升趨勢(shì)。 NIPS 工作在網(wǎng)絡(luò)上，直接對(duì) 數(shù)據(jù)包進(jìn)行檢測(cè)和阻斷，與具體的主機(jī) /服務(wù)器操作系統(tǒng)平臺(tái)無(wú)關(guān)。 （ 2） 基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)（ NIPS) NIPS 通過(guò)檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。 HIPS 可阻斷緩沖區(qū)溢出、改變登錄口令、改寫(xiě)動(dòng)態(tài)鏈接庫(kù)等入侵行為，整體提升主機(jī)的安全水平。從 IDS 到 IPS，這是必然的趨勢(shì)。從功能上講，作為并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，絕大多數(shù) IDS一般需要與防火墻聯(lián)動(dòng)或發(fā)送 TCPreset 包來(lái)阻止攻擊。 隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高和網(wǎng)絡(luò)安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術(shù)加傳統(tǒng) IDS 的技術(shù)，已經(jīng)無(wú)法應(yīng)對(duì)一些安全威脅。 在我國(guó)計(jì)算機(jī)的網(wǎng)絡(luò)的建設(shè)狀況下，基于防火墻和加密技術(shù)的安全防護(hù)固然重要，但是，發(fā)展網(wǎng)絡(luò)入侵檢測(cè)以及預(yù)警技術(shù)也同樣重要。 2)自動(dòng)攻擊的軟件工具不斷得到改進(jìn)，使變通用戶也能夠利用它來(lái)進(jìn)行網(wǎng)絡(luò)攻擊。時(shí)至今日，在這方面所做的工作非常少。 4)入侵模式牲的準(zhǔn)確性。 2)如何在造成損失前及早發(fā)現(xiàn)入侵活動(dòng)，即預(yù)警技術(shù)。 這些任務(wù)，在基于標(biāo)準(zhǔn) PC 硬件上，是無(wú)法高效運(yùn)行的，雖然一些網(wǎng)絡(luò)防火墻供應(yīng)商采用的是基于 ASIC 的平臺(tái)，但進(jìn)一步研究，就能發(fā)現(xiàn)：舊的基于網(wǎng)絡(luò)的 ASIC 平臺(tái)對(duì)于新的深度檢測(cè)功能是無(wú)法支持的 3 入侵檢測(cè)系統(tǒng)不足 (1) IDS 系統(tǒng)本身還在迅速發(fā)展和變化，遠(yuǎn)未成熟 (2) 現(xiàn)有 IDS 系統(tǒng)錯(cuò)報(bào)或虛警概率偏高，嚴(yán)重干擾了結(jié)果 (3) IDS 與其它安全技術(shù)的協(xié)作性不夠 (4) IDS 缺少對(duì)檢測(cè)結(jié)果作進(jìn)一步說(shuō)明和分析的輔助工具 IDS 面臨的挑戰(zhàn) 目前，入侵檢測(cè)系統(tǒng)也面臨著若干先要的挑戰(zhàn)。 真正的針對(duì)所有網(wǎng)絡(luò)和應(yīng)用程序流量的深度檢測(cè)功能，需要空前的處理能力，來(lái)完成大量的計(jì)算任務(wù)，包括以下幾個(gè)方面： SSL 加密 /解密功能 。 如果使用這個(gè)規(guī)則，將對(duì)所有的應(yīng)用 程序生效。細(xì)看就會(huì)發(fā)現(xiàn)，對(duì)于實(shí)際的企業(yè)應(yīng)用來(lái)說(shuō)，這些特征存在著局限性。 經(jīng)常需要增加或更新軟件模塊 。網(wǎng)絡(luò)防火墻的防護(hù)范圍，發(fā)生了變化。基于狀態(tài)檢測(cè)的防火墻，其設(shè)計(jì)原理，是基于網(wǎng)絡(luò)層 TCP 和 IP 地址，來(lái)設(shè)置與加強(qiáng)狀態(tài)訪問(wèn)控制列表 (ACLs， Access Control Lists)。只有當(dāng)應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫(kù)中已有的特征完全匹配時(shí)，防 火墻才能識(shí)別和截獲攻擊數(shù)據(jù)。 由于網(wǎng)絡(luò)防火墻對(duì)于加密的 SSL 流中的數(shù)據(jù)是不可見(jiàn)的，防火墻無(wú)法迅速截獲 SSL 數(shù)據(jù)流并對(duì)其解密，因此無(wú)法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供 數(shù)據(jù)解密 的功能。 大量的潛在的后門(mén)防火墻不能保護(hù)節(jié)點(diǎn)系統(tǒng)上的潛在的后門(mén)。統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。另外檢測(cè)效率也不高，檢測(cè)時(shí)間較長(zhǎng)。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測(cè)新的入侵行為。近年來(lái)己有關(guān)于運(yùn)用神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)實(shí)驗(yàn)的報(bào)道，但還沒(méi)有正式的產(chǎn)品問(wèn)世。為分布式 IDS 系統(tǒng)所采用。與專家系統(tǒng)通常放棄處理那些不確定的中間結(jié)論的缺點(diǎn)相比，這一方法的優(yōu)點(diǎn)在于它基于完善的不確定性推理數(shù)學(xué)理論。除了知識(shí)庫(kù)的完備性外，專家系統(tǒng)還依靠條件庫(kù)的完備性，這一點(diǎn)又取決于審計(jì)記錄的完備性、實(shí)時(shí)性和易用性。下面給出一個(gè)中等規(guī)模的機(jī)構(gòu)設(shè)置入侵檢測(cè)系統(tǒng)的入侵檢測(cè)解決方案 [6, 7]。實(shí)際上，許多客戶在使 用 IDS時(shí)都配置了基于網(wǎng)絡(luò)的入侵檢測(cè)。一旦檢測(cè)到了攻擊行為， IDS的響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng)，比如報(bào)警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。這類檢測(cè)方法將基于網(wǎng)絡(luò)的入侵檢測(cè)的基本方法融入到基于主機(jī)的檢測(cè)環(huán)境中。 基于主機(jī)的 IDS 在發(fā)展過(guò)程 中融 入了其他技術(shù)。 3 入侵檢測(cè)的分類 現(xiàn)有的分類，大都基于信息源和 分析 方法進(jìn)行分類。有些入侵檢測(cè)系統(tǒng)在檢測(cè)到入侵特征后還試圖做出某些響應(yīng)，以遏制或阻止對(duì)系統(tǒng)的威脅或破壞。神經(jīng)網(wǎng)絡(luò)技術(shù)通學(xué)習(xí)已有輸入 —— 輸出矢量對(duì)集合，進(jìn)而抽象出其內(nèi)在的聯(lián)系，然后得到新的輸入 —— 輸出的關(guān)系；這種技術(shù)在理論上能夠用來(lái)審計(jì)數(shù)據(jù)流中檢測(cè)入侵的痕跡。在最初的模型中，系統(tǒng)計(jì)算出所有的變量的平均值，然后根據(jù)平均偏差檢測(cè)當(dāng)前行為是否超過(guò)了某一值，當(dāng)然，這樣的模型是很簡(jiǎn)單和粗糙的，無(wú)法準(zhǔn)確檢測(cè)異?；顒?dòng)。該過(guò)程將帶來(lái)兩個(gè)可能后果，其一是在線學(xué)習(xí)階段，入侵檢測(cè)系統(tǒng)無(wú)法正常工作，否則生成額外的虛報(bào)警信號(hào)。 此類檢測(cè)技術(shù)的優(yōu)點(diǎn)在于它能夠發(fā)現(xiàn)任何企圖發(fā)掘、試探系統(tǒng)最新和未知漏洞的行為，同時(shí)在某種程度上，它較少依賴特定的操作系統(tǒng)環(huán)境。 （ 2） 異常檢測(cè)技術(shù) 又稱為基于行為（ Behavior Based）的入侵檢測(cè)技術(shù)，它是建立在如下假設(shè)基礎(chǔ)上的，即任何一種入侵 行為都能由于其偏離正?；蛘咂谕南到y(tǒng)和用戶的活動(dòng)規(guī)律而被檢測(cè)出來(lái)。這里，原始的審計(jì)數(shù)據(jù)被抽象成系統(tǒng)能夠理解的事實(shí)，有利于進(jìn)一步應(yīng)用更高層次的各種分析技術(shù)。最后，檢測(cè)內(nèi)部用戶的濫用權(quán)限的活動(dòng)將變得相當(dāng)困難，因?yàn)橥ǔＴ摲N行為并未利用任何系統(tǒng)缺陷。因此，濫用檢測(cè)系統(tǒng)具備較高的檢測(cè)準(zhǔn)確性，但是，它的完整性（即檢測(cè)全部入侵行為的能力）則取決于其數(shù)據(jù)庫(kù)的幾時(shí)更新程度。常用的入侵檢測(cè)技術(shù)分為兩大類，即濫用檢測(cè)和異常檢測(cè) [6]。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判 斷規(guī)則。 （ 2） 控制訪問(wèn)特殊站點(diǎn) 一般情況下，上網(wǎng)以后可以獲得各種信息，而網(wǎng)上信息五花八門(mén)，各式各樣的內(nèi)容都有。 1 防火墻的功能： （ 1） 過(guò)濾不安全服務(wù)和非法用戶 網(wǎng)路入侵有許多都是通過(guò)運(yùn)行一些不安全的程序來(lái)實(shí)現(xiàn)的，這些程序有些是用戶知道的，有些是用戶不能擦覺(jué)的，它通過(guò)網(wǎng)絡(luò)悄悄地潛入你的計(jì)算機(jī)系統(tǒng)，伺機(jī)發(fā)作，實(shí)施破壞。防火墻是一種網(wǎng)絡(luò)安全軟件，作為一個(gè)應(yīng)用程序或者服務(wù)，運(yùn)行在受保護(hù)的主機(jī)上，為主機(jī)提供網(wǎng)絡(luò)安全保護(hù)。接著，重點(diǎn)研究了分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)和各個(gè)功能的設(shè)計(jì)實(shí)現(xiàn)，具體研究?jī)?nèi)容包括：系統(tǒng)結(jié)構(gòu)、控制臺(tái)設(shè)計(jì)、報(bào)警融合、報(bào)警響應(yīng)。由于響應(yīng)及時(shí)性不夠并且無(wú)法處理大規(guī)模高速網(wǎng)絡(luò)中大量的安全事件，該方法已經(jīng)不能夠滿足目前入侵響應(yīng)的需求。其原理是通過(guò)在操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議框架的適當(dāng)位置插入攔截點(diǎn)，讓所有的數(shù)據(jù)包都通過(guò)攔截點(diǎn)，再根據(jù)安全策略制定的過(guò)濾規(guī)則對(duì)通過(guò)的數(shù)據(jù)包進(jìn)行檢查，過(guò)濾掉不允許通過(guò)的數(shù)據(jù)包，以保護(hù)主機(jī)不受外界的非法訪問(wèn)和攻擊。 IDS通常架設(shè)在網(wǎng)絡(luò)重要節(jié)點(diǎn)與主機(jī)系統(tǒng)之上，可檢測(cè)網(wǎng)絡(luò)流量與內(nèi)容，或者分析網(wǎng)絡(luò)內(nèi)的信息流動(dòng)。安全的概念已經(jīng)不局限于信息的保護(hù)，人們需要的是對(duì)整個(gè)信息 和信息系統(tǒng)的保護(hù)和防御，從而確保它們的保密性、完整性、可用性、可控性、不可否認(rèn)性等，包括了對(duì)信息的保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)能力（ PDRR），其基本組成如圖 12所示。調(diào)查模塊將檢測(cè)模塊所獲得的數(shù)據(jù)加以分析，并確認(rèn)當(dāng)前所發(fā)生的有關(guān)入侵企圖。網(wǎng)絡(luò)防火墻雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪問(wèn)控制技術(shù)，但是防火墻并不能阻擋所有的入侵行為。 3 網(wǎng)絡(luò)安全體系 面對(duì)越來(lái)越嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題，人們制定 了一系列的安全法則和評(píng)測(cè)標(biāo)準(zhǔn)，用來(lái)構(gòu)筑一個(gè)相對(duì)穩(wěn)固的安全系統(tǒng)。常用的工具有 Smurf、 Stacheldraht、 Trinoo 等。 (5)緩沖區(qū)溢出攻擊：由于軟件編碼或是系統(tǒng)本身沒(méi)有對(duì)執(zhí)行的程序與緩 沖施加控制，使得在接受輸入的過(guò)程中，當(dāng)攻擊通過(guò)往程序的緩沖區(qū)寫(xiě)入超出其長(zhǎng)度的內(nèi)容時(shí)，系統(tǒng)會(huì)處于不穩(wěn)定狀態(tài)，利用這種不穩(wěn)定狀態(tài)，攻擊者可以通過(guò)加入代碼，在有 ROOT 權(quán)限的內(nèi)存中運(yùn)行想要的指令，從而擁有系統(tǒng)管理員的權(quán)限，控制該機(jī)。常常使用 Java、 Ac