【正文】 和分析的輔助工具 IDS 面臨的挑戰(zhàn) 目前，入侵檢測(cè)系統(tǒng)也面臨著若干先要的挑戰(zhàn)。這些挑戰(zhàn)有些來(lái)自技術(shù)方面，有些內(nèi)里來(lái)自非技術(shù)方面。技術(shù)方面的主要挑戰(zhàn)包括： 1)網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的不斷增長(zhǎng)。在一個(gè)大型的異構(gòu)網(wǎng)絡(luò)環(huán)境中，入侵檢測(cè)系統(tǒng)所遇到的主要問(wèn)題有：如何集成并處理來(lái)自分布在網(wǎng)絡(luò)各處褓的具有不同格式的各種相關(guān)信息，如何在相互合作但是并不完全相互信任的組織之間來(lái)共享敏感的相關(guān)入侵行為信息，如何進(jìn)行管理域間合作進(jìn)程以及如何保證在局部入侵檢測(cè)系統(tǒng)失效的情況下仍能維護(hù)系統(tǒng)佤的安全等。 2)如何在造成損失前及早發(fā)現(xiàn)入侵活動(dòng)，即預(yù)警技術(shù)。 3)網(wǎng)絡(luò)繁忙情況 下的系統(tǒng)性能問(wèn)題。為了保證發(fā)揮效能，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)必須能夠分析所有的 16 內(nèi)向數(shù)據(jù)包。如果一個(gè)入侵檢測(cè)系統(tǒng)無(wú)法應(yīng)付網(wǎng)絡(luò)吞吐量的話，它就可能漏掉不少反映各族入侵活動(dòng)的特征數(shù)據(jù)，從而造成安全漏洞。 4)入侵模式牲的準(zhǔn)確性。用來(lái)描述異常入侵行為的模式牲是濫用檢測(cè)系統(tǒng)最先要的基石。如何保證所采用的牲集能夠準(zhǔn)確而又是以描述已知的各種攻擊模式（包括復(fù)雜的分階段攻擊行為）及其變種，是一個(gè)重要而敏感的問(wèn)題。 5)入侵檢測(cè)系統(tǒng)的評(píng)估。時(shí)至今日，在這方面所做的工作非常少。對(duì)入侵檢測(cè)系統(tǒng)的評(píng)估測(cè)試是一項(xiàng)復(fù)雜的工作，因?yàn)?IDS 不能在獨(dú)立環(huán)境中 檢測(cè)，首先必須建立一個(gè)實(shí)際網(wǎng)絡(luò)平臺(tái)環(huán)境，同時(shí)，還需要大量的包含各種測(cè)試入侵模式的復(fù)雜數(shù)據(jù)，這些數(shù)據(jù)還要根據(jù)不同的頭號(hào)公敵系統(tǒng)平臺(tái)和版本加以調(diào)整。 非技術(shù)因素包括如下 3 個(gè)方面。 1)攻擊者不斷研究新的攻擊模式，同時(shí)隨著安全技術(shù)的普及，越來(lái)越多的人進(jìn)行了越來(lái)越多的入侵攻擊嘗試。 2)自動(dòng)攻擊的軟件工具不斷得到改進(jìn)，使變通用戶也能夠利用它來(lái)進(jìn)行網(wǎng)絡(luò)攻擊。 3)各種機(jī)構(gòu)（包括政府、公司等）對(duì)包括在內(nèi)的安全技術(shù)的認(rèn)識(shí)不足或者缺乏足夠熟練的安全管理員。 我國(guó)計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)以國(guó)外產(chǎn)品為主，軟硬件系統(tǒng)中難免也存在各種潛在威脅和安全“ 陷阱”（諸如誤傷系統(tǒng)后門、路由器漏洞等）。因此，利用這些設(shè)備建立的網(wǎng)絡(luò)系統(tǒng)在其安全性方面得不到根本性的保障。 在我國(guó)計(jì)算機(jī)的網(wǎng)絡(luò)的建設(shè)狀況下，基于防火墻和加密技術(shù)的安全防護(hù)固然重要，但是，發(fā)展網(wǎng)絡(luò)入侵檢測(cè)以及預(yù)警技術(shù)也同樣重要。入侵檢測(cè)技術(shù)已經(jīng)成為當(dāng)前網(wǎng)絡(luò)安全技術(shù)領(lǐng)域內(nèi)的一個(gè)研究。它的快速發(fā)展和極其潛力的應(yīng)用前景需要有更多的研究和工程技術(shù)人員投身其中，在基礎(chǔ)技術(shù)原理的研究和工程項(xiàng)目開(kāi)發(fā)等多個(gè)層面上同時(shí)開(kāi)展工作，才有可能開(kāi)發(fā)出依靠的產(chǎn)品系統(tǒng)。 入侵防御技術(shù)介紹 IPS 是英文“ Intrusion Prevention System”的縮寫(xiě)，中文意思是入侵防御系統(tǒng)。 隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高和網(wǎng)絡(luò)安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術(shù)加傳統(tǒng) IDS 的技術(shù)，已經(jīng)無(wú)法應(yīng)對(duì)一些安全威脅。在這種情況下， IPS 技術(shù)應(yīng)運(yùn)而生， IPS 技術(shù)可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊，對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。 對(duì)于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的 IPS，可以根據(jù)預(yù)先設(shè)定的安全策略，對(duì)流經(jīng)的每個(gè)報(bào)文進(jìn)行深度檢測(cè)（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等），如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡(luò)攻擊，可以根據(jù)該攻 擊的威脅級(jí)別立即采取抵御措施，這些措施包括（按照處理力度）：向管理中心告警；丟棄該報(bào)文；切斷此次應(yīng)用會(huì)話；切斷此次 TCP 連接。第二階段：了解校園網(wǎng)的基本情況 ,在模擬校園網(wǎng)的基礎(chǔ)上設(shè)計(jì)了入侵防御系統(tǒng) 據(jù)國(guó)外安全廠商 NetScreen 的技術(shù)專家介紹：相對(duì)于 IDS 的被動(dòng)檢測(cè)及誤報(bào)等問(wèn)題， IPS 是一種 17 比較主動(dòng)、機(jī)智的防御系統(tǒng)。從功能上講，作為并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，絕大多數(shù) IDS一般需要與防火墻聯(lián)動(dòng)或發(fā)送 TCPreset 包來(lái)阻止攻擊。而 IPS 本身就可以阻止入侵的流量。 從技術(shù)上講， IDS 系統(tǒng)在識(shí)別大規(guī)模的組合 式、分布式的入侵攻擊方面，還沒(méi)有較好的方法和成熟的解決方案，誤報(bào)與漏報(bào)現(xiàn)象嚴(yán)重，用戶往往淹沒(méi)在海量的報(bào)警信息中，而漏掉真正的報(bào)警；此外， IDS只能報(bào)警而不能有效采取阻斷措施的設(shè)計(jì)理念，也不能滿足用戶對(duì)網(wǎng)絡(luò)安全日益增長(zhǎng)的需求。相反， IPS 系統(tǒng)則沒(méi)有這種問(wèn)題，它的攔截行為與其分析行為處在同一層次，能夠更敏銳地捕捉入侵的流量，并能將危害切斷在發(fā)生之前。從 IDS 到 IPS，這是必然的趨勢(shì)。 入侵防護(hù)系統(tǒng)的分類 IPS 技術(shù)包括基于主機(jī)的入侵防護(hù)系統(tǒng)和基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)兩大類。 （ 1） 基于主機(jī)的入侵防護(hù)系統(tǒng)（ HIPS) HIPS 能過(guò)在主機(jī) /服務(wù)器上安裝代理程序，防止網(wǎng)絡(luò)攻擊者入侵操作系統(tǒng)以及應(yīng)用程序。 HIPS可保護(hù)服務(wù)器的安全漏洞不被入侵者所利用。 HIPS 可阻斷緩沖區(qū)溢出、改變登錄口令、改寫(xiě)動(dòng)態(tài)鏈接庫(kù)等入侵行為，整體提升主機(jī)的安全水平。在技術(shù)上， HIPS 采用獨(dú)特的服務(wù)器保護(hù)途徑，利用同包過(guò)濾、狀態(tài)包檢測(cè)和實(shí)時(shí)入侵檢測(cè)組成分層防護(hù)體系。由于 HIPS工作在保護(hù)的主機(jī) /服務(wù)器上，它不但能利用特征和行為規(guī)則進(jìn)行檢測(cè)，阻止像緩沖區(qū)溢出之類的書(shū)籍攻擊，還能防范未知攻擊，防止針對(duì) Web 頁(yè)面、應(yīng)用和資源的任何非法訪問(wèn)。 NIA公司的 McAfee Entercept 是基于主機(jī)的入侵防護(hù)解決方案，它采用行為規(guī)則技術(shù)和簽名結(jié)合的辦法，為企業(yè)提供了有效地防護(hù)像“紅色代碼”、“尼姆達(dá)”等蠕蟲(chóng)病毒的攻擊。 （ 2） 基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)（ NIPS) NIPS 通過(guò)檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。在技術(shù)上， NIPS 吸取了 NIDS 的所有成熟技術(shù)，包括牲匹配、協(xié)議分析和異常檢測(cè)。牲匹配是最廣泛的應(yīng)用技術(shù)，具有準(zhǔn)確率高，速度快等特點(diǎn)?；跔顟B(tài)的牲匹配不公可以檢測(cè)攻擊行為的牲，也可以檢測(cè)當(dāng)前網(wǎng)絡(luò)的會(huì)話狀態(tài)，避免愛(ài)到欺騙攻擊。 NIPS 工作在網(wǎng)絡(luò)上，直接對(duì) 數(shù)據(jù)包進(jìn)行檢測(cè)和阻斷，與具體的主機(jī) /服務(wù)器操作系統(tǒng)平臺(tái)無(wú)關(guān)。這種實(shí)時(shí)檢測(cè)和阻斷功能很有可能出現(xiàn)在未來(lái)的交換機(jī)上。隨著處理器性能的提高，每一層次的交換機(jī)都有可能集成入侵防護(hù)功能。 NIA公司的 McAfee IntruShield 是基于網(wǎng)絡(luò)的入侵防護(hù)解決方案，它集成了牲庫(kù)檢測(cè)、異常行為檢測(cè)、行為關(guān)聯(lián)及拒絕服務(wù)分析等技術(shù)，能夠智能地檢測(cè)出書(shū)籍的攻擊、首次發(fā)生的攻擊和 DDoS攻擊等，從深層次上有效地保護(hù)企業(yè)的網(wǎng)絡(luò)安全。 應(yīng)用入侵防御系統(tǒng) 今年來(lái)，網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)是逐漸轉(zhuǎn)向高層應(yīng)用，據(jù) Gartner 分析，目前對(duì)網(wǎng)絡(luò) 的攻擊有 70%以上集中在應(yīng)用層，并且這一數(shù)字呈上升趨勢(shì)。應(yīng)用層的攻擊有可能會(huì)造成非常嚴(yán)重的后果，比如用戶賬號(hào)丟失、公司機(jī)密泄露等。因此，對(duì)具體應(yīng)用的有效保護(hù)就顯得越發(fā)重要。為了解決日 18 益突出的應(yīng)用層防護(hù)問(wèn)題， IPS 的一個(gè)更高層次的產(chǎn)品 —— 應(yīng)用防護(hù)系統(tǒng)出現(xiàn)并且得到日益廣泛的應(yīng)用。 通常，對(duì)應(yīng)用層的防范比內(nèi)部網(wǎng)的防范難度更大，因?yàn)檫@些應(yīng)用要允許外部的訪問(wèn)。防火墻的訪問(wèn)控制策略中必須開(kāi)放應(yīng)用服務(wù)對(duì)應(yīng)的端口，如 Web 的 80 端口。當(dāng)黑客通過(guò)這些端口發(fā)起攻擊時(shí)防火墻就無(wú)法識(shí)別和控制。 IDS并不是針對(duì)應(yīng)用協(xié)議進(jìn)行設(shè)計(jì)的，所 以同樣也無(wú)法檢測(cè)對(duì)相應(yīng)協(xié)議漏洞的攻擊。而 AIP 則能夠彌補(bǔ)防火墻和 IDS 的不足，能對(duì)特定應(yīng)用進(jìn)行有效保護(hù)。 AIP 是用來(lái)保護(hù)特定應(yīng)用服務(wù)（如 Web 和數(shù)據(jù)庫(kù)等應(yīng)用）的網(wǎng)絡(luò)設(shè)施，通常部署在應(yīng)用服務(wù)器這前。能過(guò) AIP 系統(tǒng)安全策略的控制來(lái)防止基于應(yīng)用協(xié)議漏洞和設(shè)計(jì)缺陷的惡意攻擊。大部分對(duì)應(yīng)用層的攻擊都是通過(guò)協(xié)議（ 80 端口）進(jìn)行。據(jù)國(guó)外權(quán)威機(jī)構(gòu)統(tǒng)計(jì)， 97%的 Web 站點(diǎn)存在一定的應(yīng)用協(xié)議問(wèn)題。雖然這些站點(diǎn)通過(guò)部署防火墻，在網(wǎng)絡(luò)層以下進(jìn)行了很好的防范，但其應(yīng)用層的漏洞仍可被利用，進(jìn)而受到入侵和攻擊。因此對(duì)于 Web 等協(xié)議， AIP 應(yīng)用比較廣泛。通過(guò)制訂合理的安全策略， AIP 能夠?qū)阂饽_本、 Cookie 投毒、隱藏域修改、緩存溢出、參數(shù)篡改、強(qiáng)制瀏覽、 SQL 插入、已知漏洞攻擊等攻擊進(jìn)行有效的防范。雖然 AIP 剛出現(xiàn)近兩年，但其發(fā)展迅速。Yankee Group 預(yù)測(cè)在未來(lái)的 5 年里， AIP 將和防火墻、 IDS 和反病毒等安全技術(shù)一起，成為網(wǎng)絡(luò)安全整體方案的重要組成部分。 基于校園網(wǎng)的分布式入侵防御系統(tǒng)架構(gòu)與設(shè)計(jì) 校園網(wǎng)概念 校園網(wǎng)是在學(xué)校范圍內(nèi)，在一定的教育思想和理論指導(dǎo)下，為學(xué)校教學(xué)、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī) 網(wǎng)絡(luò)。 在我國(guó)，近年來(lái)校園網(wǎng)建設(shè)發(fā)展迅速，到目前為止僅在我國(guó)中小學(xué)就有近 6000 所學(xué)校建設(shè)了校園網(wǎng)。他們?yōu)槲覈?guó)中小學(xué)內(nèi)部實(shí)現(xiàn)教育的資源共享、信息交流和協(xié)同工作提供了較好的范例。然而，隨著我國(guó)各地校園網(wǎng)數(shù)量的迅速增加，校園網(wǎng)之間如何實(shí)現(xiàn)教育的資源共享、信息交流和協(xié)同工作的要求越來(lái)越強(qiáng)烈。 校園網(wǎng)的設(shè)計(jì)目標(biāo)是將各種不同應(yīng)用的信息資源通過(guò)高性能的網(wǎng)絡(luò)設(shè)備相互連接起來(lái)，形成校園區(qū)內(nèi)部的 12020／ XPra 系統(tǒng)，對(duì)外通過(guò)路由設(shè)備接入廣域網(wǎng)。 進(jìn)行校園網(wǎng)總體設(shè)計(jì)： 第一，要進(jìn)行對(duì)象研究和需求調(diào)查， 明確學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的主系統(tǒng)建設(shè)的需求和條件，對(duì)學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述； 第二，在應(yīng)用奢求分析的基礎(chǔ)上，確定學(xué)校 12020／ XPra 服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開(kāi)發(fā)應(yīng)用和管理等的目標(biāo)； 第三，確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標(biāo)和學(xué)校的主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)； 第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求； 第五，規(guī)劃校園網(wǎng)建設(shè)的實(shí)施步驟。 19 校園網(wǎng)總體設(shè)計(jì)方案的科學(xué)性 ，應(yīng)該體現(xiàn)在能否滿足以下基本要求方面： （ 1）整體規(guī)劃安排； （ 2）先進(jìn)性、開(kāi)放性和標(biāo)準(zhǔn)化相結(jié)合； （ 3）結(jié)構(gòu)合理，便于維護(hù)； （ 4）高效實(shí)用； （ 5）支持寬帶多媒體業(yè)務(wù)； （ 6）能夠?qū)崿F(xiàn)快速信息交流、協(xié)同工作和形象展示。 隨著經(jīng)濟(jì)的發(fā)展和國(guó)家科教興國(guó)戰(zhàn)略的實(shí)施，校園網(wǎng)絡(luò)建設(shè)已逐步成為學(xué)校的基礎(chǔ)建設(shè)項(xiàng)目，更成為衡量一個(gè)學(xué)校教育信息化、現(xiàn)代化的重要標(biāo)志。目前，大多數(shù)有條件的學(xué)校已完成了校園網(wǎng)硬件工程建設(shè)。然后，多年來(lái)都對(duì)校園網(wǎng)的認(rèn)識(shí)不夠全面，甚至存在很大的誤區(qū)。例如：認(rèn)為網(wǎng)絡(luò)建設(shè)越 高檔越好，在建設(shè)中盲目追求高投入，對(duì)校園網(wǎng)絡(luò)建設(shè)的建設(shè)缺乏綜合規(guī)劃及開(kāi)發(fā)應(yīng)用；認(rèn)為建好了校園網(wǎng)絡(luò)，連接了 Inter，就等于實(shí)現(xiàn)了教學(xué)和辦公的自動(dòng)化和信息化，而缺乏對(duì)校園網(wǎng)絡(luò)的綜合管理、技術(shù)人員和教師的應(yīng)用培訓(xùn)，缺乏對(duì)教學(xué)資源的開(kāi)發(fā)與積累等等。所有這些，都極大地阻礙了校園網(wǎng)絡(luò)在學(xué)校管理、教育教學(xué)中所應(yīng)發(fā)揮的實(shí)際效益。 概括地講，校園網(wǎng)是為學(xué)校師生提供教學(xué)、科研和綜合信息服務(wù)的 寬帶 多媒體網(wǎng)絡(luò)。首先，校園網(wǎng)應(yīng)為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境。這就要求：校園網(wǎng)是一個(gè)寬帶 、具有交互功能和專業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。多媒體教學(xué)軟件開(kāi)發(fā)平臺(tái)、 多媒體 演示教室、教師備課系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫(kù)等，都可以在該網(wǎng)絡(luò)上運(yùn)行。如果一所學(xué)校包括多個(gè)專業(yè)學(xué)科 (或多個(gè)系 )，也可以形成多個(gè)局域網(wǎng)絡(luò)，并通過(guò)有線或無(wú)線方 式連接起來(lái)。其次，校園網(wǎng)應(yīng)具有教務(wù)、行政和總務(wù)管理功能 （ 1） 硬件環(huán)境： 一臺(tái) web 服務(wù)器，一臺(tái)數(shù)據(jù)服務(wù)器，一個(gè)由幾臺(tái) PC 組成的局域網(wǎng)；交換機(jī)等相關(guān)網(wǎng)絡(luò)設(shè)備 （ 2） 支持軟件： 操作系統(tǒng)：數(shù)據(jù)庫(kù)和 WEB 服務(wù)安裝 Windows2020 Server， PC 幾安裝 Windows XP；數(shù)據(jù)庫(kù)管理系統(tǒng)： SQLServer2020；以太網(wǎng)抓包庫(kù)： ；入侵檢測(cè)分析引擎： ； Web Server：； Inter 或以上。 （ 3） 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：如圖 41 所示， 20 圖標(biāo)題錯(cuò)誤 第三階段：編寫(xiě)檢測(cè)引擎，程序如下： void Preprocess(Packet *p) {PreprocessFuncNode*idx。 Do_detect=1。 idx=PreprocessList。 idx=idxnext。} 5 if(!pfrag_flagamp。amp。do_detect) {Detect(p)。}} int Detect(Packet *p) {if(!) {if(!EvalPacket(amp。Alert,RULE_ALERT,p)) {if(!EvalPacket(amp。Pass,RULE_PASS,p)) {if(EvalPacket(amp。Log,RULE_LOG,p)) return 1。} 21 else {return 0。}} else{return 1。}} else{ if(!EvalPacket{amp。Pass,RULE_PASS,p}) {if(EvalPacket(amp。Alert,RULE_ALERT,p)) {if(EvalPacket(amp。Log,RULE_LOG,p)) return 1。} else{ return 1。}}} return 0。} int EvalPacket(ListHead *List,int mode,Packet *p) {RuleTreeNode*rtn_idx。 if(piph==NULL) {return 0。} switch(piphip_proto) {case IPP