【正文】 度的不斷增長。 2)如何在造成損失前及早發(fā)現(xiàn)入侵活動，即預警技術。為了保證發(fā)揮效能，網(wǎng)絡入侵檢測系統(tǒng)必須能夠分析所有的 16 內(nèi)向數(shù)據(jù)包。 4)入侵模式牲的準確性。如何保證所采用的牲集能夠準確而又是以描述已知的各種攻擊模式（包括復雜的分階段攻擊行為）及其變種，是一個重要而敏感的問題。時至今日，在這方面所做的工作非常少。 非技術因素包括如下 3 個方面。 2)自動攻擊的軟件工具不斷得到改進，使變通用戶也能夠利用它來進行網(wǎng)絡攻擊。 我國計算機系統(tǒng)及網(wǎng)絡以國外產(chǎn)品為主，軟硬件系統(tǒng)中難免也存在各種潛在威脅和安全“ 陷阱”（諸如誤傷系統(tǒng)后門、路由器漏洞等）。 在我國計算機的網(wǎng)絡的建設狀況下，基于防火墻和加密技術的安全防護固然重要，但是，發(fā)展網(wǎng)絡入侵檢測以及預警技術也同樣重要。它的快速發(fā)展和極其潛力的應用前景需要有更多的研究和工程技術人員投身其中，在基礎技術原理的研究和工程項目開發(fā)等多個層面上同時開展工作，才有可能開發(fā)出依靠的產(chǎn)品系統(tǒng)。 隨著網(wǎng)絡攻擊技術的不斷提高和網(wǎng)絡安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術加傳統(tǒng) IDS 的技術，已經(jīng)無法應對一些安全威脅。 對于部署在數(shù)據(jù)轉發(fā)路徑上的 IPS，可以根據(jù)預先設定的安全策略，對流經(jīng)的每個報文進行深度檢測（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關聯(lián)分析等），如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡攻擊，可以根據(jù)該攻 擊的威脅級別立即采取抵御措施，這些措施包括（按照處理力度）：向管理中心告警；丟棄該報文；切斷此次應用會話；切斷此次 TCP 連接。從功能上講，作為并聯(lián)在網(wǎng)絡上的設備，絕大多數(shù) IDS一般需要與防火墻聯(lián)動或發(fā)送 TCPreset 包來阻止攻擊。 從技術上講， IDS 系統(tǒng)在識別大規(guī)模的組合 式、分布式的入侵攻擊方面，還沒有較好的方法和成熟的解決方案，誤報與漏報現(xiàn)象嚴重，用戶往往淹沒在海量的報警信息中，而漏掉真正的報警；此外， IDS只能報警而不能有效采取阻斷措施的設計理念，也不能滿足用戶對網(wǎng)絡安全日益增長的需求。從 IDS 到 IPS，這是必然的趨勢。 （ 1） 基于主機的入侵防護系統(tǒng)（ HIPS) HIPS 能過在主機 /服務器上安裝代理程序，防止網(wǎng)絡攻擊者入侵操作系統(tǒng)以及應用程序。 HIPS 可阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫等入侵行為，整體提升主機的安全水平。由于 HIPS工作在保護的主機 /服務器上，它不但能利用特征和行為規(guī)則進行檢測，阻止像緩沖區(qū)溢出之類的書籍攻擊，還能防范未知攻擊，防止針對 Web 頁面、應用和資源的任何非法訪問。 （ 2） 基于網(wǎng)絡的入侵防護系統(tǒng)（ NIPS) NIPS 通過檢測流經(jīng)的網(wǎng)絡流量，提供對網(wǎng)絡系統(tǒng)的安全保護。牲匹配是最廣泛的應用技術，具有準確率高，速度快等特點。 NIPS 工作在網(wǎng)絡上，直接對 數(shù)據(jù)包進行檢測和阻斷，與具體的主機 /服務器操作系統(tǒng)平臺無關。隨著處理器性能的提高，每一層次的交換機都有可能集成入侵防護功能。 應用入侵防御系統(tǒng) 今年來，網(wǎng)絡攻擊的發(fā)展趨勢是逐漸轉向高層應用，據(jù) Gartner 分析，目前對網(wǎng)絡 的攻擊有 70%以上集中在應用層，并且這一數(shù)字呈上升趨勢。因此，對具體應用的有效保護就顯得越發(fā)重要。 通常，對應用層的防范比內(nèi)部網(wǎng)的防范難度更大，因為這些應用要允許外部的訪問。當黑客通過這些端口發(fā)起攻擊時防火墻就無法識別和控制。而 AIP 則能夠彌補防火墻和 IDS 的不足，能對特定應用進行有效保護。能過 AIP 系統(tǒng)安全策略的控制來防止基于應用協(xié)議漏洞和設計缺陷的惡意攻擊。據(jù)國外權威機構統(tǒng)計， 97%的 Web 站點存在一定的應用協(xié)議問題。因此對于 Web 等協(xié)議， AIP 應用比較廣泛。雖然 AIP 剛出現(xiàn)近兩年，但其發(fā)展迅速。 基于校園網(wǎng)的分布式入侵防御系統(tǒng)架構與設計 校園網(wǎng)概念 校園網(wǎng)是在學校范圍內(nèi)，在一定的教育思想和理論指導下，為學校教學、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計算機 網(wǎng)絡。他們?yōu)槲覈行W內(nèi)部實現(xiàn)教育的資源共享、信息交流和協(xié)同工作提供了較好的范例。 校園網(wǎng)的設計目標是將各種不同應用的信息資源通過高性能的網(wǎng)絡設備相互連接起來，形成校園區(qū)內(nèi)部的 12020／ XPra 系統(tǒng)，對外通過路由設備接入廣域網(wǎng)。 19 校園網(wǎng)總體設計方案的科學性 ，應該體現(xiàn)在能否滿足以下基本要求方面： （ 1）整體規(guī)劃安排； （ 2）先進性、開放性和標準化相結合； （ 3）結構合理，便于維護； （ 4）高效實用； （ 5）支持寬帶多媒體業(yè)務； （ 6）能夠實現(xiàn)快速信息交流、協(xié)同工作和形象展示。目前，大多數(shù)有條件的學校已完成了校園網(wǎng)硬件工程建設。例如：認為網(wǎng)絡建設越 高檔越好，在建設中盲目追求高投入，對校園網(wǎng)絡建設的建設缺乏綜合規(guī)劃及開發(fā)應用；認為建好了校園網(wǎng)絡，連接了 Inter，就等于實現(xiàn)了教學和辦公的自動化和信息化，而缺乏對校園網(wǎng)絡的綜合管理、技術人員和教師的應用培訓，缺乏對教學資源的開發(fā)與積累等等。 概括地講，校園網(wǎng)是為學校師生提供教學、科研和綜合信息服務的 寬帶 多媒體網(wǎng)絡。這就要求：校園網(wǎng)是一個寬帶 、具有交互功能和專業(yè)性很強的局域網(wǎng)絡。如果一所學校包括多個專業(yè)學科 (或多個系 )，也可以形成多個局域網(wǎng)絡，并通過有線或無線方 式連接起來。 （ 3） 網(wǎng)絡拓撲結構：如圖 41 所示， 20 圖標題錯誤 第三階段：編寫檢測引擎，程序如下： void Preprocess(Packet *p) {PreprocessFuncNode*idx。 idx=PreprocessList。} 5 if(!pfrag_flagamp。do_detect) {Detect(p)。Alert,RULE_ALERT,p)) {if(!EvalPacket(amp。Log,RULE_LOG,p)) return 1。}} else{return 1。Pass,RULE_PASS,p}) {if(EvalPacket(amp。Log,RULE_LOG,p)) return 1。}}} return 0。 if(piph==NULL) {return 0。 if(ptcph!=NULL) {rtn_idx=ListTcpList} else {return 0。 Case IPPROTO_UDP。} else 6 {return 0。 Case IPPROTO_ICMP。} rtn_idx=ListIcmpList。} 22 break。 return 0。} int EvalHeaderRuleTreeNode**p) {int rule_match=0。} if(!rtn_idxrule_funeRuleHeadFunc(,rtn_idxrule_func)) {return EvalHeader(rtn_rd%)} else {rule_match=EvalOpts(rtn_idx)。 return 1。 (*LogFunc)(messager。 endif return 1。 (*LogFunc)(message)。}} if(!rule_match) 7 {return EvalHeader(rtn_idxright.)。} int EvalOpts(OptTreeNode**p) {if(List==NULL) return 0。} if(Listopt_funcOpTestFunc(opt_func)) {if(EvalOpts(List)) return 1。} else {/*do the appropriate followon action*/ Switch(Listtype) {case RULE_PASS。 Otn_tmp=List。 Return 1。 Otn tmp=List。}} return 0。 Test_result=CheckAddrPort(rtn_idxsip rtn_idxsmask rtn_idxhsp rtn_idxisp p rtn_idxflags CHECK_SRC) if(test_result) {test_result=CheckAddrPort(rtn_idxdip rtn_idxdmask rtn_idxhdp rtn_idxldp p 8 rtn_idxflags,CHECK_DST)。 if(test_result) {test_result=CheckAddrPort(rtn_idxsip, rtn_idxsmask, rtn_idxhsp,rtn_idxlsp,p, rtn_idxflags,(CHECK_DSTIINVERSE))。}}} else {test_result=CheckAddrPort(rtn_idxdip, rtn_idxdmask, rtn_idxhdp, rtn_idxldp,p,rtn_idxflags,CHECK_SRCIINVERSE)。 if(!test_result) {/*no match*/ return 0。}} return1。rtn_idxsmask)) { /*the packet matches this to the next text*/ retutn fp listnextRuleHeadFunc(next)。 } 9 Function:CheckSrcIpNotEq(Packet*.struct_RuleTreeNode*.RuleFpList*) Purpose:Test the sourse IP and see if it’s unequal to the SIP of the packet Arguments:p=ptr to the dccoded packet data structure rtn_idx=ptr to the current rule data struct fp_lisr=ptr to the current function pointer node * Returns:0 on failure (no match).1 on success(match) int CheckSrcIPNotEq(Packet***fp_list) 25 { /*do the check*/ if(rtn_idxsip!=(piphamp。 } /*return 0 on a failed test*/ return 0。rtn_idxdmask)) {return fp_listnextRuleHeadFunc(p,rtn idx,fp_listnext)。} Int ChckDstIPNotEq(Packet**rtn_idx,RuleFpList*fp_。rtn_idxdmask)) {return fg listnextRuleHeadFunc(next)。} Int CheckSrePortEqual(Packet**rtn_idx,RuleFpList*fp_list) {if((psp=,tn_idxFsp)amp。(psp=rtn_idxlsp)) {return nextRuleHeadFunc(p,rtn_idx,fp_listnext)。} Int CheckSrcPortNotEq(Packet*p,struct_RuleTreeNode*rtn_idx,RuleFpList*fp_list) {if((psprtn_idxhsp)II(psprtn_idxlsp)) 10 {return 0。} Renturn 0。} Int OptListEnd(Packet*p,struct_OptTreeNode*otn_idx,OptFpList*fp_list) 26 {return 1。 U_short pkt_port。 Int except_addr_flag=0。 /*set up the packet particulars*/ If((modeamp。 Pkt_port=psp。INVERSE)==INVERSE) {if(flagsamp。} If(flagsamp。} If(flagsamp。}} Else {if(flagsamp。} If(flagsamp。} If(flagsamp。}}} 11 Else{pkt_addr=piph。INVERSE)==INVERSE) {if(flagsamp。} If(flagsamp。} If(flagsamp。}} Else{if(flagsamp。} If(flagamp。}}} /*test the rule address packet address*/ If(!(((addr==(pkt_addramp。} /*if the any port flag is up,we’re all done (success)*/ If(any_port_flag) Return 1。}} Else {/*if the exception flag is up,fail*/ If(except_port_flag) {return 0。} 第四階段：測試、運行本