【正文】 2)網(wǎng)絡(luò)監(jiān)聽：利用網(wǎng)絡(luò)中信息的傳輸是在用戶端與服務(wù)器端之間進行，攻擊者就可以在這兩端之間進行數(shù)據(jù)監(jiān)聽，特別是局域網(wǎng)中信息的傳送采用廣播的形式，這時可以利用自己制作的抓包工具、或是利用現(xiàn)有的監(jiān)聽 工具，如 Sniffer、 Netxray、 Tcpdump等工具就可以輕而易舉地截取包括用戶名、口令在內(nèi)的信息。這包括技術(shù)員在網(wǎng)絡(luò)配置管理上的疏忽或錯誤，網(wǎng)絡(luò)實際運行效益和安全投入成本的平衡決擇，網(wǎng)絡(luò)用戶的安全管理缺陷等等。同時，市場的激烈競爭，促使商家需要更快地推出產(chǎn)品，軟件的快速開發(fā)也增大了遺留更多隱患的可能性。即使是正常運行了很久時間的軟件，也會 在特定的情況下出現(xiàn)漏洞，例如不斷涌現(xiàn)的操作系統(tǒng)漏洞。軟件質(zhì)量難以評估是軟件的一個特征。由于網(wǎng)絡(luò)的發(fā)展，提供新網(wǎng)絡(luò)服務(wù)，增加網(wǎng)絡(luò)的開放性和互聯(lián)性等，必然將更多環(huán)節(jié)納入系統(tǒng)中，新采用的環(huán)節(jié)又增加了系統(tǒng)的復雜性，引發(fā)了網(wǎng)絡(luò)的不安定性。由于市場利潤，技術(shù)投入，產(chǎn)品成本，技術(shù)規(guī)范等等問題，不同供應(yīng)商提供的環(huán)節(jié)在安全性上不盡相同，使得整個系統(tǒng)的安全程度被限制在了安全等級最低的那個環(huán)節(jié)。 網(wǎng)絡(luò)安全隱患主 要來自于如下四個方面： （ 1） 網(wǎng)絡(luò)的復雜性。但由于最初設(shè)計TCP/IP 協(xié)議的目的是為了網(wǎng)絡(luò)設(shè)備的互聯(lián)通信。 關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測；分布式；報警融合；自動響應(yīng) 3 Research and Design of Based on Campus Network Distributed Intrusion Detection System HE Yinghong ABSTRACT With the development of the Inter, the puter work security has received more and more concern. At present the most popular work security solution is the Intrusion Detection System and the Firewall System, but the Intrusion Detection System produces a lot of Alert and False Positive, an they only can detect passively, cannot defense actively, so they cannot carry on the prehensive protection to the work. Therefore a kind of brandnew work security architecture is urgent needed to solve these problems. The author analyses the good and bad points of many kinds of security defense mechanism and the development tendency of the work security, designs and implements ponentbased hierarchical Distributed Intrusion Detection System. It has good performance and can be expanded easily. It bine the Intrusion Detection System and the Firewall together, so it can carry on the prehensive protection to the work. This article analyses the existing Intrusion Detection System and the Firewall System, designs and implements the Distributed Intrusion Detection System, obtaines the achievement as below: Take part in designing the Distributed Intrusion Detection System, and explains the architecture and function of the system explicitly. Does a research in the implementation mechanism of the snort, and masteres how to write snort rules. Does a research in the steps of hackers’attack, masteres the general means of attack. Does a research and implements the alerts gather and format unification module. Implements work munication module, uses strategy design pattern to guarantee the dynamic expansion of the encryption and decryption module, solves security problems of the Intrusion Detection System effectively. Dose a deep research in the principle of the alert fusion module, and implements based on the similarity alert fusion arithmetic. Does a deep research and implements the automatic response module, which is based on plugin mode, and implements the linkage with the firewall. Aim at the demand of the local area work security, uses this Distributed Intrusion Detection System to carry on the protection for it, and the experiment receives some good effects. KEYWORD: work security, intrusion detection, distribute, alert fusion, automatic response. 4 目 錄 1．緒論 ??????????????????????????????????? 1 1． 1 研究背景 ??????????????????????????????? 1 校園網(wǎng)現(xiàn)狀 ?????????????? ?????????????? 1 入侵檢測技術(shù)現(xiàn)狀 ????????????????????????? 1 防火墻技術(shù)現(xiàn)狀 ????????????????????????? 1 2．方案論證 ????????????????????????????????? 2 2． 1 Snort 檢測器介紹 ??????????????????????????? 2 2． 2 檢測引擎介紹 ????????????????????????????? 2 3．研究過程論述 ?????????????? ????????????????? 3 3． 1 第一階段：調(diào)研論文內(nèi)容 ??????????????????????? 3 防火墻功能 ??????????????????????????? 3 防火墻分類 ??????????????????????????? 4 防火墻不足 ??????????????????????????? 4 入侵檢測功能 ??????????????????????????? 4 入侵檢測分類 ???????? ??????????????????? 4 入侵檢測不足 ??????????????????????????? 4 分布式入侵檢測系統(tǒng)的優(yōu)勢 ?????????????????????? 4 3． 2 第二階段：模擬校園網(wǎng)的基礎(chǔ)上設(shè)計了入侵防御系統(tǒng) ??????????? 5 3． 3 第三階段：編寫檢測引擎 ??????????????????????? 5 3. 4 第四階段：測試、運行本系統(tǒng)并改進 ?????????????????? 12 4．結(jié)果分析????????????????? ??????????????? 13 5. 結(jié)論及存在的問題 ??????????????????????????? 13 參考文獻 ?????????????????????????????????? 14 致謝 ???????????????????????????????????? 15 5 基于校園網(wǎng)的分布式入侵防御系統(tǒng)研究與設(shè)計 姓名：何應(yīng)鴻 學號： 2020394109 班級：網(wǎng)絡(luò)工程 051 緒論 網(wǎng)絡(luò)安全隱患 Inter 是一個全球各種計算機網(wǎng)絡(luò)的互連系統(tǒng)，它把政府 組織、金融證券、商業(yè)企業(yè)、國防軍事等各種計算機網(wǎng)絡(luò)系統(tǒng)互相連接在了一起。 重點研究和實現(xiàn)了基于插件的報警響應(yīng)模塊，實現(xiàn)了與防火墻的聯(lián)動。 實現(xiàn)了網(wǎng)絡(luò)通信模塊，并使用 Strategy 模式保證了加密解密模塊的動態(tài)擴展，有效的解決了入侵檢測系統(tǒng)自身的安全問題。 研究了黑客攻擊的步驟，并掌握了一般攻擊的手段。 本文在深入細致地分析了現(xiàn)有入侵檢測系統(tǒng)進行了研究與設(shè)計，取得了以下工作成果： 參與設(shè)計了一種分布式入侵檢測系統(tǒng)，并對該系統(tǒng)的體系結(jié)構(gòu)和功能進行了全面、完整的描述。通過分析多種安全防御機制的優(yōu)缺點和網(wǎng)絡(luò)安全的發(fā)展趨勢，在此基礎(chǔ)上設(shè)計并實現(xiàn)了基于分層部件的分布式入侵檢測系統(tǒng)，具有良好的性能和可擴展性。 1 Foshan University 本科生畢業(yè)設(shè)計（論文） 基于校園網(wǎng)的分布式入侵防御系統(tǒng)研究與設(shè)計 學 院： 機電與信息工程學院 專 業(yè)： 網(wǎng)絡(luò)工程 學 號： 2020394109 學生姓名： 何應(yīng)鴻 指導教師： 馬莉 （職稱） 二〇〇九 年 五 月 2 摘 要 隨著 Inter 的發(fā)展，計算機網(wǎng)絡(luò)安全成為越來越受人們關(guān)注的問題。目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測系統(tǒng)和防火墻技術(shù)，但是由于入侵檢測系統(tǒng)存在產(chǎn)生大量的警報（ Alert）和誤報（ False Positive）、只能被動檢測不能主動防御 的缺點，導致不能對網(wǎng)絡(luò)進行全面得保護，因此急需出現(xiàn)一種嶄新的網(wǎng)絡(luò)安全體系結(jié)構(gòu)來解決這些問題。它將入侵檢測系統(tǒng)和防火墻技術(shù)有機地結(jié)合在一起，用于實現(xiàn)對網(wǎng)絡(luò)的全面保護和深度防御。 研究了 snort 的實現(xiàn)機制， 學會如何編寫 snort 規(guī)則。 研究并實現(xiàn)了報警采集與格式統(tǒng)一模塊。 重點研究了報警融合模塊的實現(xiàn)原理，并實現(xiàn)了基于相似度的報警融合算法。 針對局域網(wǎng)實際應(yīng)用需求，使用該分布式入侵檢測系統(tǒng)對其進行保護，取得了不錯的實驗效果。在計算機網(wǎng)絡(luò)中存在著一些重要的信息系統(tǒng)，其中存儲了大量敏感的甚至是機密的信息，如國家的軍事能源信息、政府的調(diào)控決策信息、政府的調(diào)控決策信息、科研機構(gòu)的研究技術(shù)信息和商業(yè)企業(yè)的技術(shù)經(jīng)濟信息等等；在計算機網(wǎng)絡(luò)中還存在著大量重要的應(yīng)用系統(tǒng)，如金融、證券、稅務(wù)、商務(wù)、文教等電子系統(tǒng)。協(xié)議建立在完全信任的環(huán)境下，彼此之間有很多假定的信任關(guān)系，沒有對安全問題引起足夠重視。網(wǎng)絡(luò)是一個有眾多環(huán)節(jié)構(gòu)成的復雜系統(tǒng)。 （ 2） 網(wǎng)絡(luò)的飛速發(fā)展。 （ 3） 軟件質(zhì)量問題?，F(xiàn)實中?，F(xiàn)代網(wǎng)絡(luò)已經(jīng)是軟件驅(qū)動的發(fā)展模式，對軟件的更大依賴性加大了軟件質(zhì)量對網(wǎng)絡(luò)安全的負面影響。 （ 4)其它非技術(shù)因素。 黑客常用攻擊手段 針對眾多的安全威脅和安全隱患，黑客常用的攻擊手段包括以下 7 種： （ 1） 口令入侵：利用應(yīng)用層許多協(xié) 議如 TELNET、 FTP、 HTTP、 SMTP 等，它們中多數(shù)沒有采用加密或身份認證技術(shù)，用戶賬號與密碼信息都是以明文格式傳輸?shù)奶攸c實施網(wǎng)絡(luò)監(jiān)聽，也可以