【正文】 7． 4 項目投資評價 7． 4． 1 凈現值 7． 4． 2 內部收益率 7． 4． 3 投資回收期 7． 4． 4 項目盈虧平衡分析 7． 4． 5 項目敏感性分析 7． 5 社會效益分析 八．項目可行性研究報告編制說明 8． 1 編制單位情況 8． 2 可行性研究報告編制人員 九、項目可行性研究報告的專家論證意見 e． 。 3． 2． 2 項目的可靠性 論述 四．項目產品市場調查與競爭能力預測 4． 1 本產品的主要用途，目前主要使用領域的需求量，未來市場預測、項目產品的經濟 壽命期，目前處于壽命期的階段 4． 2 本項目產品國內主要研制單位及重要生產廠家研制、開發(fā)情況 4． 3 本項目產品的國內外市場競爭能力 五．項目實施方案 5． 1 項目開發(fā)計劃 5． 2 技術方案 5． 3 生產方案 5． 4 營銷方案 5． 5 其他問題的解決方案 六．投資預算與資金籌措 6． 1 投資預算 6． 1． 1 項目投資預算依據 6． 1． 2 項 目投資預算 6． 2 新增資金的籌措 6． 3 資金使用計劃 6． 3． 1 資金使用計劃 6． 3． 2 創(chuàng)新基金使用明細 七．經濟、社會效益分析 7． 1 產品總成本分析 (達產期 ) 7． 1． 1 產品方案和生產規(guī)模 7． 1． 2 年產品總成本 (達產期 ) 7。 從而使得防火墻、 IDS及信息數據庫之間能更迅速的更準確地進行數據傳輸，提高整個系統(tǒng)的效率。 （ 3）可擴展：無論不可預料的新型入侵檢測信息還是復雜 IDS系統(tǒng)，都可以保證描述的準確性。 同時，應建立一整套具有以下特性的入侵檢測專用描述形式及標準以適應各種入侵檢測信息的定義、傳輸以及處理： （ 1）通用性：對簡單的和復雜的入侵行為都有能力描述。數個這樣的 Agent形式的預警子模塊組合起來就形成了基于入侵檢測的全局預警模型，如圖 9 所示： 信 息 數 據 庫 模式匹配及行為模式判斷 主機 IDS 處理 行為模 式確定 數據收集器 模式庫 數據源 數據源 數據源 李蕭蕭的個人主頁 需要文檔請給我留言。 圖 8 單機上的預警子模塊 整個安全防護體系中，分布于各主機的入侵檢測系統(tǒng)模塊對所負責的主機上的信息數據進行監(jiān)控和審查，將可疑的信息和數據收集之后，交給下面的數據分析系統(tǒng)進行分析，提取這些受到懷疑的信息的特征，并將這些特征信息加以歸納和總結，然后將產生出的對這 些信息的結果提交給系統(tǒng)中的模式庫和模式匹配系統(tǒng)（模式庫存于單機子信息中）；模式匹配系統(tǒng)的任務就是根據數據分析系統(tǒng)送來的經過處理后的信息在模式庫中進行查找匹配；如果模式匹配系統(tǒng)發(fā)現信息處理系統(tǒng)送來的信息和庫中某一攻擊模式匹配，一方面，模式匹配系統(tǒng)會將入侵模式匹配的信息交給規(guī)則響應系統(tǒng)，規(guī)則響應系統(tǒng)就會根據收到的信息，在自己的規(guī)則庫進行查找，根據相應的規(guī)則作出響應動作，響應動作一方面根據需要阻止入侵行為；另一方面模式匹配系統(tǒng)還會將入侵模式匹配和報警信息提交給信息數據庫。 基于這種想法，華夏網絡提出了基于網絡入侵檢測的預警模型。通過將入侵檢測系統(tǒng)的信息采集和處理功能部分分布到多臺機器上，經本地處理后，將可疑的單機無法處理的數據傳輸給入侵檢測系統(tǒng)的中心決策系統(tǒng)，在中心決策系統(tǒng)對信息進行綜合后作出響應。這樣，在集中式模型的系統(tǒng)中，想要進行較為完全的攻擊模式的匹配就已經非常困難，更何況還要面對不斷出現的新型攻擊手段。首先，面對在大規(guī)模、異質網絡基礎上發(fā)起的復雜攻擊行為，中央控制臺的業(yè)務負荷將會達到不可承受的地步，以致于無法具有足夠能力來處理 來自四面八方的消息事件。 3． 1． 3 項目產品的技術創(chuàng)新點 傳統(tǒng)的集中式入侵檢測技術的基本模型是在網絡的不同網段中放置多個傳感器或探測器用來收集當前網絡狀態(tài)信息，然后這些信息被傳送到中央控制臺進行處理和分析，或者更進一步的情況是，這些傳感器具有某種主動性，能夠接收中央控制臺的某些命令和下載某些識別模板等。在極大的保證了系統(tǒng)的安全性、可靠性和高性能的同時，兼顧了系統(tǒng)的可用性、易用性，同時由于采用了基于 Agent的分布式的體系結構可以很容易地添加受保護主機，大大的增強了系統(tǒng)的可擴展性。 單機信息庫儲存了所對應受保護主機的狀態(tài)信息，模式信息，是各分布式 Agent 的決策依據，因為對不同的主機而言，這些信息有著很大的差別，因此設立單機信息庫是非常有必要的。 中央決策控制器負責對匯總后的信息進行分析，從而能發(fā)現單機無法發(fā)現的可能入侵（如對多個服務器的并行掃描），當確定有入侵且危害較大時，中央決策及控制器則采取緊急措施，如通過對防火墻的配置來阻斷連接，對未被入侵的主機進行屏蔽，從而防止危害的擴大，同時記錄入侵過程，可同時收集入侵證李蕭蕭的個人主頁 需要文檔請給我留言。 信息數據庫是整個系統(tǒng)的日志數據匯總中心，負責將網絡中所有的預警、故障、事務日志進行匯總，并按照統(tǒng)一的格式保存入數據庫。 主防火墻與主機防火墻的另一個重要作用在于可 過濾掉大量無用的數據，減少傳遞給入侵檢測系統(tǒng)及信息數據庫的無意義流量，這對減輕整個系統(tǒng)的負荷，防止 DOS（拒絕服務）攻擊有著重要的意義，其中主機防火墻只是邏輯上的結構，它完全可以合并在受保護主機上，從而降低系統(tǒng)的成本。 主機防火墻的功能主要為： （ 1） 因為主機防火墻是直接面向受保護主機的，因此可對它進行更具體，更有針對性的配置，從而對通過主防火墻的數據包進行再過濾，減少可能發(fā)生的攻擊，從這個意義上來說，主防火墻相當于宏觀上的調控，而主機防火墻相當于微觀上的調控。 結構闡述 防火墻系統(tǒng) 整個系統(tǒng)通過主防火墻與 Inter 相連，利用主防火墻，可對來自外部的大多數攻擊進行防范，在子網內部，有一般用戶和受保護主機，后者多為一些重要的服務器，是重點保護的對象。 整個系統(tǒng)由三大部分組成： 外圍防火墻系統(tǒng)由主防火墻和主機防火墻組成，中間為系統(tǒng)的核心，由分布式入侵檢測系統(tǒng)組成，其具體結構及工作原理將在后面的入侵檢測預警模型中進行詳細的闡述，內 層信息及綜合決策系統(tǒng)由信息數據庫、中央決策控制器及受保護主機上的單機信息庫構成。 3． 1． 2 項目產品的關鍵技術 內容 由前面的論述可以看出，任何單一的安全部件都只能實現一定程度的安全，任何單層次的結構所保障的安全也都是極其有限的，只有把他們有機的結合在一起，使他們互為依托，互相補充，才能實現系統(tǒng)的真正安全，基于此，提出了立體防御系統(tǒng)，其結構組成如圖 7所示。因此，黑客就可以知道網上的由用戶加上去的不安全（未授權）設備，然后利用這些設備訪問網絡。 二是對物理資源的未授權訪問（非法訪問）。一個進程出現了不期望的行為，可能預示著有黑客正 在入侵系統(tǒng)。每個進程執(zhí)行在具有不同權限的環(huán)境中，這種環(huán)境控制著進程可訪問的系統(tǒng)資源、程序和數據文件等。 李蕭蕭的個人主頁 需要文檔請給我留言。 (2) 目錄和文件中的不期望的改變 網絡環(huán)境中的文件系統(tǒng)包含很多軟件和數據文件，包含重要信息的文件和私有數 據文件經常是黑客關注或試圖破壞的目標。日志中記錄著在系統(tǒng)或網絡上的不尋常和不期望活動的證據， 這些證據可以顯示出有人正在入侵或己成功入侵該系統(tǒng)。通常一個完整的入侵檢測技術需要利用的數據或文件來自于以下 4 個方面 :[11] (1) 系統(tǒng)和網絡日志文件 黑客經常在系統(tǒng)日志中留下他們的蹤跡。它的特點是對已知和未知的攻擊都有一定的檢測能力，缺點是誤報率高。 基于異常的檢測技術則是先定義一組系統(tǒng)“正?！鼻闆r的數值，如 cpu 的利用率，內存利用率，文件校驗等（這類數據可以人為定義，也可以通過觀察系統(tǒng)，并用統(tǒng)計的方法得出），然后將系統(tǒng)運行的數值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。 對于基于標識的檢測技術來說，首先要定義違背安全策略的事件特征，如網絡數據包的某些頭信息，判別這類特征是否在所收集的數據中出現。 由此看出，兩種入侵檢測系統(tǒng)各有優(yōu)缺點，只有把他們有機的結合，才能取長補短，充分發(fā)揮各自的優(yōu)勢，因此，文章在參考了有關資料后， [13]提出了一個分布式入侵檢測系統(tǒng)的實現方案，這在該文的后面有較為詳細的說明。 若匹配 , IDS 就向各系統(tǒng)管理員發(fā)出入侵報警并采取相應的行動 。 基于主機的檢測系統(tǒng)：在被監(jiān)視的主機上運行，檢查這些主機上的對外流量，文件系統(tǒng)的完整性及各種活動是否合法以及是否可以接受，它能給主機提供較高程度的保護，但每臺受保護主機都需要安裝相應的軟件，且不能提供網段的整體信息。④能夠檢測到未成功的攻擊企圖 。②攻擊者轉移證據困難 。 一旦檢測到攻擊 , IDS 的響應模塊通過通知、報警以及中斷連接等方式來對攻擊行為作出反應 。 基于網絡的入侵檢測系統(tǒng)把原始的網絡數據作為數據源 。 入侵檢測的研究動態(tài) 從分類上看，入侵檢測系統(tǒng)可以分為： 基于網絡的檢測系統(tǒng)：分布在網絡上 或者是設置在被監(jiān)視的主機附近，檢查網絡通信情況以及分析是否有異常