第一篇：入侵檢測(cè)系統(tǒng)開(kāi)發(fā)總結(jié)報(bào)告

校園網(wǎng)設(shè)計(jì)方案

目錄

第一章 某校園網(wǎng)方案.............................................................................3 1.1設(shè)計(jì)原則.......................................................................................3 第二章 某校園網(wǎng)方案設(shè)計(jì)......................................................................3 2.1校園網(wǎng)現(xiàn)網(wǎng)拓?fù)鋱D........................................................................3 2.2校園網(wǎng)設(shè)備更新方案....................................................................4 2.3骨干網(wǎng)絡(luò)設(shè)計(jì)...............................................................................7

第一章 某校園網(wǎng)方案 1.1設(shè)計(jì)原則

1.充分滿(mǎn)足現(xiàn)在以及未來(lái)3-5年內(nèi)的網(wǎng)絡(luò)需求，既要保證校園網(wǎng)能很好的為學(xué)校服務(wù)，又要保護(hù)學(xué)校的投資。

2.強(qiáng)大的安全管理措施，四分建設(shè)、六分管理，管理維護(hù)的好壞是校園網(wǎng)正常運(yùn)行的關(guān)鍵 3.在滿(mǎn)足學(xué)校的需求的前提下，建出自己的特色

1.2網(wǎng)絡(luò)建設(shè)需求

網(wǎng)絡(luò)的穩(wěn)定性要求

? 整個(gè)網(wǎng)絡(luò)需要具有高度的穩(wěn)定性，能夠滿(mǎn)足不同用戶(hù)對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)的不同要求 網(wǎng)絡(luò)高性能需求

? 整個(gè)網(wǎng)絡(luò)系統(tǒng)需要具有很高的性能，能夠滿(mǎn)足各種流媒體的無(wú)障礙傳輸，保證校園網(wǎng)各種應(yīng)用的暢通無(wú)阻

? 認(rèn)證計(jì)費(fèi)效率高，對(duì)用戶(hù)的認(rèn)證和計(jì)費(fèi)不會(huì)對(duì)網(wǎng)絡(luò)性能造成瓶頸 網(wǎng)絡(luò)安全需求

? 防止IP地址沖突 ? 非法站點(diǎn)訪(fǎng)問(wèn)過(guò)濾 ? 非法言論的準(zhǔn)確追蹤 ? 惡意攻擊的實(shí)時(shí)處理

? 記錄訪(fǎng)問(wèn)日志提供完整審計(jì) 網(wǎng)絡(luò)管理需求

? 需要方便的進(jìn)行用戶(hù)管理，包括開(kāi)戶(hù)、銷(xiāo)戶(hù)、資料修改和查詢(xún) ? 需要能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行集中的統(tǒng)一管理 ? 需要對(duì)網(wǎng)絡(luò)故障進(jìn)行快速高效的處理

第二章 某校園網(wǎng)方案設(shè)計(jì) 2.1校園網(wǎng)現(xiàn)網(wǎng)拓?fù)鋱D

整個(gè)網(wǎng)絡(luò)采用二級(jí)的網(wǎng)絡(luò)架構(gòu)：核心、接入。

核心采用一臺(tái)RG－S4909，負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)，同時(shí)為接入交換機(jī)S1926F+、內(nèi)部服務(wù)器提供百兆接口。網(wǎng)絡(luò)出口采用RG-WALL1200防火墻。原有網(wǎng)絡(luò)設(shè)備功能較少，無(wú)法進(jìn)行安全防護(hù)，已經(jīng)不能滿(mǎn)足應(yīng)用的需求。

2.2校園網(wǎng)設(shè)備更新方案

方案一：不更換核心設(shè)備

核心仍然采用銳捷網(wǎng)絡(luò)S4909交換機(jī)，在中校區(qū)增加一臺(tái)SAM服務(wù)器，部署SAM系統(tǒng)，同時(shí)東校區(qū)和西校區(qū)各用3臺(tái)S2126G替換原有S1926F+,其中匯聚交換機(jī)各采用一臺(tái)新增的S2126G，剩余的兩臺(tái)S2126G用于加強(qiáng)對(duì)關(guān)鍵機(jī)器的保護(hù)，中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺(tái)S2126G做為匯聚設(shè)備，其它交換機(jī)分別接入這兩臺(tái)交換機(jī)，從而實(shí)現(xiàn)所有匯聚層交換機(jī)都能進(jìn)行安全控制，重點(diǎn)區(qū)域在接入層進(jìn)行安全控制的網(wǎng)絡(luò)布局。

方案二：更換核心設(shè)備

核心采用一臺(tái)銳捷網(wǎng)絡(luò)面向10萬(wàn)兆平臺(tái)設(shè)計(jì)的多業(yè)務(wù)IPV6路由交換機(jī)RG-S8606，負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)。在中校區(qū)增加一臺(tái)SAM服務(wù)器，部署SAM系統(tǒng)，同時(shí)東校區(qū)和西校區(qū)各用3臺(tái)S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為匯聚設(shè)備，下接三臺(tái)S2126G實(shí)現(xiàn)安全控制，其它二層交換機(jī)分別接入相應(yīng)的S2126G。西校區(qū)匯聚采用一臺(tái)S2126G，剩余兩臺(tái)S2126G用于保護(hù)重點(diǎn)機(jī)器，其它交換機(jī)接入對(duì)應(yīng)的S2126G。中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺(tái)S2126G做為匯聚設(shè)備，其它交換機(jī)分別接入這兩臺(tái)交換機(jī)，從而實(shí)現(xiàn)所有匯聚層交換機(jī)都能進(jìn)行安全控制，重點(diǎn)區(qū)域在接入層進(jìn)行安全控制的網(wǎng)絡(luò)布局。

2.3骨干網(wǎng)絡(luò)設(shè)計(jì)

骨干網(wǎng)絡(luò)由RG-S8606構(gòu)成，核心交換機(jī)RG-S8606主要具有5特性：

1、骨干網(wǎng)帶寬設(shè)計(jì)：千兆骨干，可平滑升級(jí)到萬(wàn)兆

整個(gè)骨干網(wǎng)采用千兆雙規(guī)線(xiàn)路的設(shè)計(jì)，二條線(xiàn)路通過(guò)VRRP冗余路由協(xié)議和OSPF動(dòng)態(tài)路由協(xié)議實(shí)現(xiàn)負(fù)載分擔(dān)和冗余備份，以后，隨著網(wǎng)絡(luò)流量的增加，可以將鏈路升級(jí)到萬(wàn)兆。

2、骨干設(shè)備的安全設(shè)計(jì)：CSS安全體系架構(gòu)

3、CSS之硬件CPP CPP即CPU Protect Policy，RG-S8606采用硬件來(lái)實(shí)現(xiàn)，CPP提供管理模塊和線(xiàn)卡CPU的保護(hù)功能，對(duì)發(fā)往CPU的數(shù)據(jù)流進(jìn)行帶寬限制（總帶寬、QOS隊(duì)列帶寬、類(lèi)型報(bào)文帶寬），這樣，對(duì)于ARP攻擊的數(shù)據(jù)流、針對(duì)CPU的網(wǎng)絡(luò)攻擊和病毒數(shù)據(jù)流，RG-S8606分配給其的帶寬非常的有限，不會(huì)影響其正常工作。

由于銳捷10萬(wàn)兆產(chǎn)品RG-S8606采用硬件的方式實(shí)現(xiàn)，不影響整機(jī)的運(yùn)行效率

4、CSS之SPOH技術(shù)

現(xiàn)在的網(wǎng)絡(luò)需要更安全、需要為不同的業(yè)務(wù)提供不同的處理優(yōu)先級(jí)，這樣，大量的ACL和QOS需要部署，需要核心交換機(jī)來(lái)處理，而這些應(yīng)用屬于對(duì)交換機(jī)硬件資源消耗非常大的，核心交換機(jī)RG-S8606通過(guò)在交換機(jī)的每一個(gè)用戶(hù)端口上增加一個(gè)FFP(快速過(guò)濾處理器)，專(zhuān)門(mén)用來(lái)處理ACL和QOS，相當(dāng)于把交換機(jī)的每一個(gè)端口都變成了一臺(tái)獨(dú)立的交換機(jī)，可以保證在非常復(fù)雜的網(wǎng)絡(luò) 8 環(huán)境中核心交換機(jī)的高性能。

2.4網(wǎng)絡(luò)安全設(shè)計(jì)

2.4.1某校園網(wǎng)網(wǎng)絡(luò)安全需求分析

1、網(wǎng)絡(luò)病毒的防范

病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個(gè)特征就是用戶(hù)數(shù)比較多，會(huì)有很多的PC機(jī)缺乏有效的病毒防范手段，這樣，當(dāng)用戶(hù)在頻繁的訪(fǎng)問(wèn)INTERNET的時(shí)候，通過(guò)局域網(wǎng)共享文件的時(shí)候，通過(guò)U盤(pán)，光盤(pán)拷貝文件的時(shí)候，系統(tǒng)都會(huì)感染上病毒，當(dāng)某個(gè)學(xué)生感染上病毒后，他會(huì)向校園網(wǎng)的每一個(gè)角落發(fā)送，發(fā)送給其他用戶(hù)，發(fā)送給服務(wù)器。

病毒對(duì)校園網(wǎng)的影響：校園網(wǎng)萬(wàn)兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶(hù)正常的網(wǎng)絡(luò)訪(fǎng)問(wèn)得不到響應(yīng)，辦公平臺(tái)不能使用；資源庫(kù)、VOD不能點(diǎn)播；INTERNET上不了，學(xué)

生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的尷尬境地。

2、防止IP、MAC地址的盜用

IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶(hù)可以隨意的更改IP地址，在網(wǎng)卡屬性的高級(jí)選項(xiàng)中可以隨意的更改MAC地址。如果用戶(hù)有意無(wú)意的更改自己的IP、MAC地址，會(huì)引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶(hù)都不能使用網(wǎng)絡(luò)；如果惡意用戶(hù)發(fā)送虛假的IP、MAC的對(duì)應(yīng)關(guān)系，用戶(hù)的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶(hù)的手中，造成ARP欺騙攻擊。

IP、MAC地址的盜用對(duì)校園網(wǎng)的影響：在用戶(hù)看來(lái)，校園網(wǎng)絡(luò)是一個(gè)很不可靠是會(huì)給我?guī)?lái)很多麻煩的網(wǎng)絡(luò)，因?yàn)榇罅康腎P、MAC沖突的現(xiàn)象導(dǎo)致了用戶(hù)經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶(hù)在正常工作和學(xué)習(xí)時(shí)候，自己的電腦上會(huì)經(jīng)常彈出MAC地址沖突的對(duì)話(huà)框。由于擔(dān)心一些機(jī)密信息比如銀行卡賬戶(hù)、密碼、郵箱密碼泄漏，用戶(hù)會(huì)盡量減少網(wǎng)絡(luò)的使用，這樣，學(xué)生、老師對(duì)校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會(huì)逐漸減弱，投入幾百萬(wàn)的校園網(wǎng)也就不能充分發(fā)揮其服務(wù)于教學(xué)的作用，造成很大程度上的資源浪費(fèi)。

3、安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶(hù) 安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶(hù)原因：

? 國(guó)家的要求：2002年，朱镕基簽署了282號(hào)令，要求各大INTERNET運(yùn)營(yíng)機(jī)構(gòu)（包括高校）必須要保存60天的用戶(hù)上網(wǎng)記錄，以待相關(guān)部門(mén)審計(jì)。

? 校園網(wǎng)正常運(yùn)行的需求：如果說(shuō)不能準(zhǔn)確的定位到用戶(hù)，學(xué)生會(huì)在網(wǎng)絡(luò)中肆無(wú)忌彈進(jìn)行各種非法的活動(dòng)，會(huì)使得校園網(wǎng)變成“黑客”娛樂(lè)的天堂，更嚴(yán)重的是，如果當(dāng)某個(gè)學(xué)生在校外的某個(gè)站點(diǎn)發(fā)布了大量涉及政治的言論，這時(shí)候公安部門(mén)的網(wǎng)絡(luò)信息安全監(jiān)察科找到我們的時(shí)候，我們無(wú)法處理，學(xué)?；蛘哒f(shuō)網(wǎng)絡(luò)中心只有替學(xué)生背這個(gè)黑鍋。

4、安全事故發(fā)生時(shí)候，不能準(zhǔn)確定位到用戶(hù)的影響：

一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會(huì)上廣泛傳播，上級(jí)主管部門(mén)會(huì)對(duì)學(xué)校做出處理；同時(shí)也會(huì)大大降低學(xué)校在社會(huì)上的影響力，降低家長(zhǎng)、學(xué)生對(duì)學(xué)校的滿(mǎn)意度，對(duì)以后學(xué)生的招生也是大有影響的。

5、用戶(hù)上網(wǎng)時(shí)間的控制

無(wú)法控制學(xué)生上網(wǎng)時(shí)間的影響：如果缺乏有效的機(jī)制來(lái)限制用戶(hù)的上網(wǎng)時(shí)間，學(xué)生可能會(huì)利用一切機(jī)會(huì)上網(wǎng)，會(huì)曠課。學(xué)生家長(zhǎng)會(huì)對(duì)學(xué)校產(chǎn)生強(qiáng)烈的不滿(mǎn)，會(huì)認(rèn)為學(xué)校及其的不負(fù)責(zé)任，不是在教書(shū)育人。這對(duì)學(xué)校的聲譽(yù)以及學(xué)校的長(zhǎng)期發(fā)展是及其不利的。

6、用戶(hù)網(wǎng)絡(luò)權(quán)限的控制

在校園網(wǎng)中，不同用戶(hù)的訪(fǎng)問(wèn)權(quán)限應(yīng)該是不一樣的，比如學(xué)生應(yīng)該只能夠訪(fǎng)問(wèn)資源服務(wù)器，上網(wǎng)，不能訪(fǎng)問(wèn)辦公網(wǎng)絡(luò)、財(cái)務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶(hù)因該不能訪(fǎng)問(wèn)財(cái)務(wù)網(wǎng)絡(luò)。因此，需要對(duì)用戶(hù)網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。

7、各種網(wǎng)絡(luò)攻擊的有效屏蔽

校園網(wǎng)中常見(jiàn)的網(wǎng)絡(luò)攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務(wù)器及DHCP攻擊、竊取交換機(jī)的管理員密碼、發(fā)送大量的廣播報(bào)文，這些攻擊的存在，會(huì)擾亂網(wǎng)絡(luò)的正常運(yùn)行，降低了校園網(wǎng)的效率。

2.4.2某校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)思想 2.4.2.1安全到邊緣的設(shè)計(jì)思想

用戶(hù)在訪(fǎng)問(wèn)網(wǎng)絡(luò)的過(guò)程中，首先要經(jīng)過(guò)的就是交換機(jī)，如果我們能在用戶(hù)試圖進(jìn)入網(wǎng)絡(luò)的時(shí)候，也就是在接入層交換機(jī)上部署網(wǎng)絡(luò)安全無(wú)疑是達(dá)到更好的效果。2.4.2.2全局安全的設(shè)計(jì)思想

銳捷網(wǎng)絡(luò)提倡的是從全局的角度來(lái)把控網(wǎng)絡(luò)安全，安全不是某一個(gè)設(shè)備的事情，應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能，互相協(xié)作，形成一個(gè)全民皆兵的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)安全。

2.4.2.3全程安全的設(shè)計(jì)思想

用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為可以分為三個(gè)階段，包括訪(fǎng)問(wèn)網(wǎng)絡(luò)前、訪(fǎng)問(wèn)網(wǎng)絡(luò)的時(shí)候、訪(fǎng)問(wèn)網(wǎng)絡(luò)后。對(duì)著每一個(gè)階段，都應(yīng)該有嚴(yán)格的安全控制措施。2.4.3某校園網(wǎng)網(wǎng)絡(luò)安全方案

銳捷網(wǎng)絡(luò)結(jié)合SAM系統(tǒng)和交換機(jī)嵌入式安全防護(hù)機(jī)制設(shè)計(jì)的特點(diǎn)，從三個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)安全：事前的準(zhǔn)確身份認(rèn)證、事中的實(shí)時(shí)處理、事后的完整審計(jì)。2.4.3.1事前的身份認(rèn)證

對(duì)于每一個(gè)需要訪(fǎng)問(wèn)網(wǎng)絡(luò)的用戶(hù)，我們需要對(duì)其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶(hù)的用戶(hù)名/密碼、用戶(hù)PC的IP地址、用戶(hù)PC的MAC地址、用戶(hù)PC所在交換機(jī)的IP地址、用戶(hù)PC所在交換機(jī)的端口號(hào)、用戶(hù)被系統(tǒng)定義的允許訪(fǎng)問(wèn)網(wǎng)絡(luò)的時(shí)間，通過(guò)以上信息的綁定，可以達(dá)到如下的效果：

? 每一個(gè)用戶(hù)的身份在整個(gè)校園網(wǎng)中是唯一，避免了個(gè)人信息被盜用.? 當(dāng)安全事故發(fā)生的時(shí)候，只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息比如IP地址，就可以準(zhǔn)確定位到該用戶(hù)，便于事情的處理。

? 只有經(jīng)過(guò)網(wǎng)絡(luò)中心授權(quán)的用戶(hù)才能夠訪(fǎng)問(wèn)校園網(wǎng)，防止非法用戶(hù)的非法接入，這也切斷了惡意用戶(hù)企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。2.4.3.2網(wǎng)絡(luò)攻擊的防范

1、常見(jiàn)網(wǎng)絡(luò)病毒的防范

對(duì)于常見(jiàn)的比如沖擊波、振蕩波等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，通過(guò)部署擴(kuò)展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范，一旦某個(gè)用戶(hù)不小心感染上了這種類(lèi)型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶(hù)，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。

2、未知網(wǎng)絡(luò)病毒的防范

對(duì)于未知的網(wǎng)絡(luò)病毒，通過(guò)在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類(lèi)型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫(kù)、郵件數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。

3、防止IP地址盜用和ARP攻擊

通過(guò)對(duì)每一個(gè)ARP報(bào)文進(jìn)行深度的檢測(cè)，即檢測(cè)ARP報(bào)文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。

4、防止假冒IP、MAC發(fā)起的MAC FloodSYN Flood攻擊

通過(guò)部署IP、MAC、端口綁定和IP+MAC綁定（只需簡(jiǎn)單的一個(gè)命令就可以實(shí)現(xiàn)）。并實(shí)現(xiàn)端口反查功能，追查源IP、MAC訪(fǎng)問(wèn)，追查惡意用戶(hù)。有效的防止通過(guò)假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。

5、非法組播源的屏蔽

銳捷產(chǎn)品均支持IMGP源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口。當(dāng)IGMP源端口檢查打開(kāi)時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，同時(shí)可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢(shì)，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時(shí)IGMP源端口檢查，具有效率更高、配置更簡(jiǎn)單、更加實(shí)用的特點(diǎn)，更加適用于校園運(yùn)營(yíng)網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。

6、對(duì)DOS攻擊，掃描攻擊的屏蔽

通過(guò)在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類(lèi)攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。2.4.3.3事后的完整審計(jì)

當(dāng)用戶(hù)訪(fǎng)問(wèn)完網(wǎng)絡(luò)后，會(huì)保存有完備的用戶(hù)上網(wǎng)日志紀(jì)錄，包括某個(gè)用戶(hù)名，使用那個(gè)IP地址，MAC地址是多少，通過(guò)那一臺(tái)交換機(jī)的哪一個(gè)端口，什么時(shí)候開(kāi)始訪(fǎng)問(wèn)網(wǎng)絡(luò)，什么時(shí)候結(jié)束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過(guò)查詢(xún)?cè)撊罩?，?lái)唯一的確定該用戶(hù)的身份，便于了事情的處理。

2.5網(wǎng)絡(luò)管理設(shè)計(jì)

網(wǎng)絡(luò)管理包括設(shè)備管理、用戶(hù)管理、網(wǎng)絡(luò)故障管理 2.5.1網(wǎng)絡(luò)用戶(hù)管理

網(wǎng)絡(luò)用戶(hù)管理見(jiàn)網(wǎng)絡(luò)運(yùn)營(yíng)設(shè)計(jì)開(kāi)戶(hù)部分 2.5.2網(wǎng)絡(luò)設(shè)備管理

網(wǎng)絡(luò)設(shè)備的管理通過(guò)STARVIEW實(shí)現(xiàn)，主要提供以下功能，這些功能也是我們常見(jiàn)的解決問(wèn)題的 12 思路：

1、網(wǎng)絡(luò)現(xiàn)狀及故障的自動(dòng)發(fā)現(xiàn)和了解

STARVIEW能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對(duì)整個(gè)校園網(wǎng)了如指掌，對(duì)于用戶(hù)私自?huà)旖拥腍UB、交換機(jī)等設(shè)備能及時(shí)地發(fā)現(xiàn)，提前消除各種安全隱患。

對(duì)于網(wǎng)絡(luò)中的異常故障，比如某臺(tái)交換機(jī)的CPU利用率過(guò)高，某條鏈路上的流量負(fù)載過(guò)大，STARVIEW都可以以不同的顏色進(jìn)行顯示，方便管理員及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。

2、網(wǎng)絡(luò)流量的查看

STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進(jìn)一步的察看網(wǎng)絡(luò)中的詳細(xì)流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。

3、網(wǎng)絡(luò)故障的信息自動(dòng)報(bào)告

STARVIEW支持故障信息的自動(dòng)告警，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，會(huì)通過(guò)TRAP的方式進(jìn)行告警，13 網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。

4、設(shè)備面板管理

STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同 14 時(shí)可以很方便的登陸到設(shè)備上，進(jìn)行配置的修改，完善以及各種信息的察看。

5、RGNOS操作系統(tǒng)的批量升級(jí)

校園網(wǎng)很大的一個(gè)特點(diǎn)就是規(guī)模大，需要使用大量的接入層交換機(jī)，如果需要對(duì)這些交換機(jī)進(jìn)行升級(jí)，一臺(tái)一臺(tái)的操作，會(huì)給管理員的工作帶來(lái)很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級(jí)功能，能夠很方便的一次對(duì)所有的相同型號(hào)的交換機(jī)進(jìn)行升級(jí)，加大的較少了網(wǎng)絡(luò)管理員的工作量。

2.5.3網(wǎng)絡(luò)故障管理

隨著校園網(wǎng)用戶(hù)數(shù)的增多，尤其是宿舍網(wǎng)運(yùn)營(yíng)的開(kāi)始，用戶(hù)網(wǎng)絡(luò)故障的排除會(huì)成為校園網(wǎng)管理工作的重點(diǎn)和難點(diǎn)，傳統(tǒng)的網(wǎng)絡(luò)故障解決方式主要是這樣一個(gè)流程：

2.6流量管理系統(tǒng)設(shè)計(jì)

網(wǎng)絡(luò)中的流量情況是網(wǎng)絡(luò)是否正常的關(guān)鍵，網(wǎng)絡(luò)中大量的P2P軟件的使用，已經(jīng)對(duì)各種網(wǎng)絡(luò)業(yè)務(wù)的正常開(kāi)展產(chǎn)生了非常嚴(yán)重的影響，有的學(xué)校甚至因?yàn)镻2P軟件的泛濫，直接導(dǎo)致了網(wǎng)絡(luò)出口的癱瘓。

2.6.1方案一：傳統(tǒng)的流量管理方案

傳統(tǒng)的流量管理方案的做法很多就是簡(jiǎn)單的封堵這些P2P軟件，從而達(dá)到控制流量的目的，這有三大弊端，? 第一：這些軟件之所以有如此強(qiáng)大的生命力，是因?yàn)橛脩?hù)通過(guò)使用這些軟件的確能快速的獲取各種有用的資源，如果簡(jiǎn)單的通過(guò)禁止的方式，用戶(hù)的意見(jiàn)會(huì)非常的大，同時(shí)，各種有用的資源我們很難獲取。

? 第二：各種新型的，對(duì)網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠(yuǎn)處于被動(dòng)的局面，顯然不能從根本上解決這個(gè)問(wèn)題。

? 第三：我們無(wú)法獲取網(wǎng)絡(luò)中的流量信息，無(wú)法為校園網(wǎng)的優(yōu)化，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)故障預(yù)防和排除提供數(shù)據(jù)支撐。

2.6.2方案二：銳捷的流量管理與控制方案

銳捷網(wǎng)絡(luò)的流量管理主要通過(guò)RG-NTD+日志處理軟件+RG-SAM系統(tǒng)來(lái)實(shí)現(xiàn)。

NTD是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶(hù)提供一種流量控制和管理的方法而不單純是流量計(jì)費(fèi)，銳捷的流量管理方案有三大功能：

? 第一：為SAM系統(tǒng)對(duì)用戶(hù)進(jìn)行流量計(jì)費(fèi)提供原始數(shù)據(jù)，這是我們已經(jīng)實(shí)現(xiàn)了的功能。該功能能滿(mǎn)足不同消費(fèi)層次的用戶(hù)對(duì)帶寬的需求，經(jīng)濟(jì)條件好一點(diǎn)，可以多用點(diǎn)流量，提高了用戶(hù)的滿(mǎn)意度。而且，對(duì)于以后新出現(xiàn)的功能更加強(qiáng)大的下載軟件，都不必?fù)?dān)心用戶(hù)任意使用造成帶寬擁塞。? 第二：提供日志審計(jì)和帶寬管理功能，通過(guò)NTD、SAM、日志系統(tǒng)的結(jié)合，能夠做到基于用戶(hù)身份對(duì)用戶(hù)進(jìn)行管理，做到將用戶(hù)名、源IP、目的IP直接關(guān)聯(lián)，通過(guò)目的IP，可以直接定位到用戶(hù)名，安全事件處理起來(lái)非常的方便，同時(shí)還能提供P2P的限速，帶寬管理等功能，這一部分的功能我們會(huì)在明年4月份提供。

? 第三：能夠?qū)W(wǎng)絡(luò)中的各種流量了如指掌，可以對(duì)用戶(hù)經(jīng)常訪(fǎng)問(wèn)的資源進(jìn)行分析對(duì)比，為應(yīng)用系統(tǒng)的建設(shè)、服務(wù)器的升級(jí)改造提供數(shù)據(jù)支持；能夠及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒、惡意流量，從而進(jìn)行有效的防范，結(jié)合認(rèn)證計(jì)費(fèi)系統(tǒng)SAM，能夠捕捉到事件源頭，并于做出處理。

總體來(lái)說(shuō)，流量控制和管理和日志系統(tǒng)的整體解決方案對(duì)于校園網(wǎng)的長(zhǎng)期健康可持續(xù)發(fā)展是很有幫助的。

網(wǎng)絡(luò)防火墻設(shè)計(jì)中的問(wèn)題 方案：硬件？還是軟件？

現(xiàn)在防火墻的功能越來(lái)越多越花哨，如此多的功能必然要求系統(tǒng)有一個(gè)高效的處理能力。

防火墻從實(shí)現(xiàn)上可以分為軟件防火墻和硬件防火墻。軟件防火墻以checkpoint 公司的Firewall-I為代表，其實(shí)現(xiàn)是通過(guò) dev_add_pack的辦法加載過(guò)濾函數(shù)（Linux，其他操作系統(tǒng)沒(méi)有作分析，估計(jì)類(lèi)似），通過(guò)在操作系統(tǒng)底層做工作來(lái)實(shí)現(xiàn)防火墻的各種功能和優(yōu) 化。國(guó)內(nèi)也有一些所謂的軟件防火墻，但據(jù)了解大多是所謂“個(gè)人”防火墻，而且功能及其有限，故不在此討論范圍。

在國(guó)內(nèi)目前已通過(guò)公安部檢驗(yàn)的防火墻中，硬件防火墻占絕大多數(shù)。硬件防火墻一種是從硬件到軟件都單獨(dú)設(shè)計(jì)，典型如Netscreen防火墻不但軟件部分單獨(dú)設(shè)計(jì)，硬件部分也采用專(zhuān)門(mén)的ASIC集成電路。

另外一種就是基于PC架構(gòu)的使用經(jīng)過(guò)定制的通用操作系統(tǒng)的所謂硬件防火墻。目前國(guó)內(nèi)絕大 多數(shù)防火墻都屬于這種類(lèi)型。

雖然都號(hào)稱(chēng)硬件防火墻，國(guó)內(nèi)廠家和國(guó)外廠家還是存在著巨大區(qū)別。硬件防火墻需要在硬 件和軟件兩方面同時(shí)下功夫，國(guó)外廠家的通常做法是軟件運(yùn)算硬件化，其所設(shè)計(jì)或選用的運(yùn)行平臺(tái)本身的性能可能并不高，但它將主要的運(yùn)算程序（查表運(yùn)算是防火 墻的主要工作）做成芯片，以減少主機(jī)CPU的運(yùn)算壓力。國(guó)內(nèi)廠家的防火墻硬件平臺(tái)基本上采用通用PC系統(tǒng)或工業(yè)PC架構(gòu)（直接原因是可以節(jié)省硬件開(kāi)發(fā)成 本），在提高硬件性能方面所能做的工作僅僅是提升系統(tǒng)CPU的處理能力，增大內(nèi)存容量而已?，F(xiàn)在國(guó)內(nèi)防火墻的一個(gè)典型結(jié)構(gòu)就是：工業(yè)主板+x86+128（256）M內(nèi)存+DOC/DOM+硬盤(pán)（或不要硬盤(pán)而另增加一個(gè)日志服務(wù)器）+百兆網(wǎng)卡 這 樣一個(gè)工業(yè)PC結(jié)構(gòu)。

在軟件性能方面，國(guó)內(nèi)外廠家的差別就更大了，國(guó)外（一些著名）廠家均是采用專(zhuān)用的操 作系統(tǒng)，自行設(shè)計(jì)防火墻。而國(guó)內(nèi)所有廠家操作系統(tǒng)系統(tǒng)都是基于通用的 Linux，無(wú)一例外。各廠家的區(qū)別僅僅在于對(duì)Linux系統(tǒng)本身和防火墻部分（2.2內(nèi)核為ipchains，2.4以后內(nèi)核為netfilter）所 作的改動(dòng)量有多大。

事實(shí)上，Linux只是一個(gè)通用操作系統(tǒng)，它并沒(méi)有針對(duì)防火墻功能做什么優(yōu)化，而且 其處理大數(shù)據(jù)量通信方面的能力一直并不突出，甚至比較低下（這也是 Linux一直只是低端服務(wù)器的寵兒的重要原因，我自己認(rèn)為，在這一點(diǎn)上它還不如BSD系列，據(jù)說(shuō)國(guó)外有用BSD做防火墻的，國(guó)內(nèi)尚未見(jiàn)到）。現(xiàn)在絕大部 分廠家，甚至包括號(hào)稱(chēng)國(guó)內(nèi)最大的天融信，在軟件方面所作的工作無(wú)非也就是系統(tǒng)有針對(duì)性的裁減、防火墻部分代碼的少量改動(dòng)（絕大部分還是沒(méi)有什么改動(dòng)）和少 量的系統(tǒng)補(bǔ)丁。而且我們?cè)诜治龈鲝S家產(chǎn)品時(shí)可以注意這一點(diǎn)，如果哪個(gè)廠家對(duì)系統(tǒng)本身做了什么大的改動(dòng)，它肯定會(huì)把這個(gè)視為一個(gè)重要的賣(mài)點(diǎn)，大吹特吹，遺憾 的是似乎還沒(méi)有什么廠家有能力去做宣傳（天融信似乎有一個(gè)類(lèi)似于checkpoint的功能：開(kāi)放式的安全應(yīng)用接口 TOPSEC，但它究竟做了多少工作，還需要去仔細(xì)了解）。

目前國(guó)內(nèi)廠家也已經(jīng)認(rèn)識(shí)到這個(gè)問(wèn)題，有些在做一些底層的工作，但有明顯成效的，似乎還沒(méi)有。在此我們僅針對(duì)以L(fǎng)inux（或其他通用操作系統(tǒng)）為基礎(chǔ)的、以PC架構(gòu)為硬件載體的防火墻做討論，以下如不特別提出，均同。2．內(nèi)核和防火墻設(shè)計(jì)

現(xiàn)在有一種商業(yè)賣(mài)點(diǎn)，即所謂“建立在安全操作系統(tǒng)之上的第四代防火墻”（關(guān)于防火墻 分代的問(wèn)題，目前有很多討論，比較一致的是把包過(guò)濾防火墻稱(chēng)為第一代防火墻，把應(yīng)用型防火墻（一般結(jié)合了包過(guò)濾功能，因此也成為混合型防火墻）稱(chēng)為第二代 防火墻，有些廠家把增加了檢測(cè)通信信息、狀態(tài)檢測(cè)和應(yīng)用監(jiān)測(cè)的防火墻稱(chēng)為第三代防火墻，更有甚者在此基礎(chǔ)上提出了采用安全操作系統(tǒng)的防火墻，并把這個(gè)稱(chēng)為 第四代防火墻）。所謂安全操作系統(tǒng)，其實(shí)大多用的還是Linux，所不同的是需要做一些內(nèi)核加固和簡(jiǎn)單改造的工作，主要有以下： 取消危險(xiǎn)的系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動(dòng)（如加載一些llkm）； 限制命令執(zhí)行權(quán)限； 取消IP轉(zhuǎn)發(fā)功能； 檢查每個(gè)分組的接口； 采用隨機(jī)連接序號(hào)； 駐留分組過(guò)濾模塊； 取消動(dòng)態(tài)路由功能；

采用多個(gè)安全內(nèi)核（這個(gè)只見(jiàn)有人提出，但未見(jiàn)到實(shí)例，對(duì)此不是很清楚）。

以上諸多工作，其實(shí)基本上都沒(méi)有對(duì)內(nèi)核源碼做太大改動(dòng)，因此從個(gè)人角度來(lái)看算不上可以太夸大的地方。

對(duì)于防火墻部分，國(guó)內(nèi)大部分已經(jīng)升級(jí)到2.4內(nèi)核所支持的netfilter。netfilter已經(jīng)是一個(gè)功能比較完善的防火墻框架，它已經(jīng)支持基于狀態(tài)的監(jiān)測(cè)（通過(guò)connection track模塊實(shí)現(xiàn)）。而且netfilter是一個(gè)設(shè)計(jì)很合理的框架，可以在適當(dāng)?shù)奈恢蒙系怯浺恍┬枰奶幚砗瘮?shù)，正式代碼中已經(jīng)登記了許多處理函數(shù)，如在NF_IP_FORWARD點(diǎn)上登記了裝發(fā)的包過(guò)濾功能（包過(guò)濾等功能便是由這些正式登記的函數(shù)實(shí)現(xiàn)的）。我們也可以登記自己的處理函數(shù)，在功能上作 擴(kuò)展（如加入簡(jiǎn)單的IDS功能等等）。這一點(diǎn)是國(guó)內(nèi)廠家可以做文章的地方，至于netfilter源碼的修改，對(duì)國(guó)內(nèi)廠家來(lái)說(shuō)似乎不太現(xiàn)實(shí)。

至于采用其它防火墻模型的，目前還沒(méi)有看到（可能是netfilter已經(jīng)設(shè)計(jì)的很成功，不需要我們?cè)偃プ鎏喙ぷ鳎?/p>

3．自我保護(hù)能力（安全性）

由于防火墻的特殊功能和特殊位置，它自然是眾多攻擊者的目標(biāo)，因此它的自我包括能力在設(shè)計(jì)過(guò)程中應(yīng)該放在首要的位置。A．管理上的安全性

防火墻需要一個(gè)管理界面，而管理過(guò)程如何設(shè)計(jì)的更安全，是一個(gè)很重要的問(wèn)題。目前有兩種方案。

a．設(shè)置專(zhuān)門(mén)的服務(wù)端口

為了減少管理上的風(fēng)險(xiǎn)和降低設(shè)計(jì)上的難度，有一些防火墻（如東方龍馬）在防火墻上專(zhuān) 門(mén)添加了一個(gè)服務(wù)端口，這個(gè)端口只是用來(lái)和管理主機(jī)連接。除了專(zhuān)用的服務(wù)口外，防火墻不接受來(lái)自任何其它端口的直接訪(fǎng)問(wèn)。這樣做的顯著特點(diǎn)就是降低了設(shè)計(jì) 上的難度，由于管理通信是單獨(dú)的通道，無(wú)論是內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)還是DMZ內(nèi)主機(jī)都無(wú)法竊聽(tīng)到該通信，安全性顯然很高，而且設(shè)計(jì)時(shí)也無(wú)需考慮通信過(guò)程加密 的問(wèn)題。

然而這樣做，我們需要單獨(dú)設(shè)置一臺(tái)管理主機(jī)，顯然太過(guò)浪費(fèi)，而且這樣管理起來(lái)的靈活性也不好。

b．通信過(guò)程加密

這樣無(wú)需一個(gè)專(zhuān)門(mén)的端口，內(nèi)網(wǎng)任意一臺(tái)主機(jī)都可以在適當(dāng)?shù)那闆r下成為管理主機(jī)，管理主 機(jī)和防火墻之間采用加密的方式通信。

目前國(guó)內(nèi)有采用的是使用自定義協(xié)議、一次性口令認(rèn)證。對(duì)加密這個(gè)領(lǐng)域了解不多，不做詳 細(xì)討論。

B．對(duì)來(lái)自外部（和內(nèi)部）攻擊的反應(yīng)能力

目前常見(jiàn)的來(lái)自外部的攻擊方式主要有： a．DOS（DDOS）攻擊

（分布式）拒絕服務(wù)攻擊是目前一種很普遍的攻擊方式，在預(yù)防上也是非常困難的。目前 防火墻對(duì)于這種攻擊似乎沒(méi)有太多的解決辦法，主要是提高防火墻本身的健壯性（如增加緩沖區(qū)大?。?。在Linux內(nèi)核中有一個(gè)防止Syn flooding攻擊的選項(xiàng)：CONFIG_SYN_COOKIES，它是通過(guò)為每一個(gè)Syn建立一個(gè)緩沖（cookie）來(lái)分辨可信請(qǐng)求和不可信請(qǐng)求。另外對(duì)于ICMP攻擊，可以通過(guò)關(guān)閉ICMP 回應(yīng)來(lái)實(shí)現(xiàn)。b．IP假冒（IP spoofing）

IP假冒是指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的“信任”，從而達(dá)到對(duì)網(wǎng)絡(luò)的攻擊目的。

第一，防火墻設(shè)計(jì)上應(yīng)該知道網(wǎng)絡(luò)內(nèi)外的IP地址分配，從而丟棄所有來(lái)自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包。實(shí)際實(shí)現(xiàn)起來(lái)非常簡(jiǎn)單，只要在內(nèi)核中打開(kāi)rp_filter功能即可。

第二，防火墻將內(nèi)網(wǎng)的實(shí)際地址隱蔽起來(lái)，外網(wǎng)很難知道內(nèi)部的IP地址，攻擊難度加大。IP假冒主要來(lái)自外部，對(duì)內(nèi)網(wǎng)無(wú)需考慮此問(wèn)題（其實(shí)同時(shí)內(nèi)網(wǎng)的IP假冒情況也可以得到遏制）。c．特洛伊木馬

防火墻本身預(yù)防木馬比較簡(jiǎn)單，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。

一個(gè)需要說(shuō)明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內(nèi)網(wǎng)主機(jī) 也能防止木馬攻擊。事實(shí)上，內(nèi)網(wǎng)主機(jī)可能會(huì)透過(guò)防火墻下載執(zhí)行攜帶木馬的程序而感染。內(nèi)網(wǎng)主機(jī)的在預(yù)防木馬方面的安全性仍然需要主機(jī)自己解決（防火墻只能 在內(nèi)網(wǎng)主機(jī)感染木馬以后起一定的防范作用）。d．口令字攻擊

口令字攻擊既可能來(lái)自外部，也可能來(lái)自?xún)?nèi)部，主要是來(lái)自?xún)?nèi)部。（在管理主機(jī)與防火墻通過(guò)單獨(dú)接口通信的情況下，口令字攻擊是不存在的）

來(lái)自外部的攻擊即用窮舉的辦法猜測(cè)防火墻管理的口令字，這個(gè)很容易解決，只要不把管理部分提供給外部接口即可。

內(nèi)部的口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。嗅探指監(jiān)測(cè)網(wǎng)絡(luò)截獲管理主機(jī)給防火墻的口令字，如果口令字已加密，則解密得到口令字。目前一般采用一次性口令和禁止直接登錄防火墻的措施來(lái)防止對(duì)口令字的攻擊。e．郵件詐騙

郵件詐騙是目前越來(lái)越突出的攻擊方式。防火墻本身防止郵件詐騙非常簡(jiǎn)單，不接收任何郵件就可以了。然而象木馬攻擊一樣，內(nèi)網(wǎng)主機(jī)仍可收發(fā)郵件，郵件詐騙的危險(xiǎn)仍然存在，其解決辦法一個(gè)是內(nèi)網(wǎng)主機(jī)本身采取措施防止郵件詐騙，另一個(gè)是在防火墻上做過(guò)濾。f．對(duì)抗防火墻（anti-firewall）

目前一個(gè)網(wǎng)絡(luò)安全中一個(gè)研究的熱點(diǎn)就是對(duì)抗網(wǎng)絡(luò)安全產(chǎn)品如防火墻。一種是分析防火墻 功能和探測(cè)防火墻內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，典型的如Firewalk。另外有一些其他的網(wǎng)絡(luò)安全性分析工具本身具有雙刃性，這類(lèi)工具用于攻擊網(wǎng)絡(luò)，也可能會(huì)很有效的 探測(cè)到防火墻和內(nèi)部網(wǎng)絡(luò)的安全缺陷，典型的如SATAN和ISS公司的 Internet Security Scanner。目前對(duì)于這種探測(cè)（攻擊）手段，尚無(wú)有效的預(yù)防措施，因?yàn)榉阑饓Ρ旧硎且粋€(gè)被動(dòng)的東西，它只能靠隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和提高自身的安全性來(lái)對(duì) 抗這些攻擊。C．透明代理的采用

應(yīng)用代理防火墻一般是通過(guò)設(shè)置不同用戶(hù)的訪(fǎng)問(wèn)權(quán)限來(lái)實(shí)現(xiàn)，這樣就需要有用戶(hù)認(rèn)證體 系。以前的防火墻在訪(fǎng)問(wèn)方式上主要是要求用戶(hù)登錄進(jìn)系統(tǒng)（如果采用 sock代理的方式則需要修改客戶(hù)應(yīng)用）。透明代理的采用，可以降低系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率，從而提高了防火墻的安全性。

4．透明性

防火墻的透明性指防火墻對(duì)于用戶(hù)是透明的，在防火墻接入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)和用戶(hù)無(wú)需做任何設(shè)置和改動(dòng)，也根本意識(shí)不到防火墻的存在。

防火墻作為一個(gè)實(shí)際存在的物理設(shè)備，要想放入已存在地網(wǎng)絡(luò)中又不對(duì)網(wǎng)絡(luò)有任何影響，就必須以網(wǎng)橋的方式置入網(wǎng)絡(luò)。傳統(tǒng)方式下，防火墻安裝時(shí)，更象是一臺(tái)路由器或者網(wǎng)關(guān)，原有網(wǎng)絡(luò)拓?fù)?19 結(jié)構(gòu)往往需要改變，網(wǎng)絡(luò)設(shè)備（包括主機(jī)和路由器）的設(shè)置（IP和網(wǎng)關(guān)、DNS、路由表等等）也需要改變。但如果防火墻采用了透明模式，即采用類(lèi)似網(wǎng)橋的方式運(yùn)行，用戶(hù)將不必重新設(shè)定和修改路由，也不需要知道防 火墻的位置，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用。

透明模式最大的好處在于現(xiàn)有網(wǎng)絡(luò)無(wú)需做任何改動(dòng)，這就方便了很多客戶(hù)，再者，從透明 模式轉(zhuǎn)換到非透明模式又很容易，適用性顯然較廣。當(dāng)然，此時(shí)的防火墻僅僅起到一個(gè)防火墻的作用，其他網(wǎng)關(guān)位置的功能如NAT、VPN功能不再適用，當(dāng)然，其他功能如透明代理還可以 繼續(xù)使用。目前透明模式的實(shí)現(xiàn)上可采用ARP代理和路由技術(shù)實(shí)現(xiàn)。此時(shí)防火墻相當(dāng)于一個(gè)ARP代理的功能。內(nèi)網(wǎng)（可以仍含有路由器或子網(wǎng)，依次類(lèi)推）、防火墻、路由器的位置大致如下： 內(nèi)網(wǎng)―――――防火墻―――――路由器

（需要說(shuō)明的是，這種方式是絕大多數(shù)校園網(wǎng)級(jí)網(wǎng)絡(luò)的實(shí)現(xiàn)方式）

內(nèi)網(wǎng)主機(jī)要想實(shí)現(xiàn)透明訪(fǎng)問(wèn)，必須能夠透明的傳送內(nèi)網(wǎng)和路由器之間的ARP包，而此時(shí) 由于事實(shí)上內(nèi)網(wǎng)和路由器之間無(wú)法連通，防火墻就必須配置成一個(gè)ARP代理（ARP Proxy）在內(nèi)網(wǎng)主機(jī)和路由器之間傳遞ARP包。防火墻所要做的就是當(dāng)路由器發(fā)送ARP廣播包詢(xún)問(wèn)內(nèi)網(wǎng)內(nèi)的某一主機(jī)的硬件地址時(shí)，防火墻用和路由器相連 接口的MAC地址回送ARP包；內(nèi)網(wǎng)內(nèi)某一主機(jī)發(fā)送ARP廣播包詢(xún)問(wèn)路由器的硬件地址時(shí)，防火墻用和內(nèi)網(wǎng)相連接口的MAC地址回送ARP包，因此路由器和 內(nèi)網(wǎng)主機(jī)都認(rèn)為將數(shù)據(jù)包發(fā)給了對(duì)方，而實(shí)際上是發(fā)給了防火墻轉(zhuǎn)發(fā)。

顯然，此時(shí)防火墻還必須實(shí)現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間的數(shù)據(jù)包能夠透明的轉(zhuǎn)發(fā)。另外，防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給本身應(yīng)用層處理（此時(shí)實(shí)現(xiàn)應(yīng)用層代理、過(guò)濾等功能），此時(shí)需要端口轉(zhuǎn)發(fā)來(lái)實(shí)現(xiàn)（？這個(gè)地方不是十分清 楚，也沒(méi)找到相關(guān)資料）。透明模式和非透明模式在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上的最大區(qū)別就是：透明模式的兩塊網(wǎng)卡（與路由器相連的和與內(nèi)網(wǎng)相連的）在一個(gè)網(wǎng)段（也和子 網(wǎng)在同一個(gè)網(wǎng)段）；而非透明模式的兩塊網(wǎng)卡分別屬于兩個(gè)網(wǎng)段（內(nèi)網(wǎng)可能是內(nèi)部不可路由地址，外網(wǎng)則是合法地址）。這個(gè)過(guò)程如下：

1.用ARP代理實(shí)現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）2.用路由轉(zhuǎn)發(fā)在IP層實(shí)現(xiàn)數(shù)據(jù)包傳遞（IP層）3.用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）

前邊我們討論過(guò)透明代理，和這里所說(shuō)的防火墻的透明模式是兩個(gè)概念。透明代理主要是 為實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)可以透明的訪(fǎng)問(wèn)外網(wǎng)，而無(wú)需考慮自己是不可路由地址還是可路由地址。內(nèi)網(wǎng)主機(jī)在使用內(nèi)部網(wǎng)絡(luò)地址的情況下仍然可以使用透明代理，此時(shí)防火墻 既起到網(wǎng)關(guān)的作用又起到代理服務(wù)器的作用（顯然此時(shí)不是透明模式）。

需要澄清的一點(diǎn)是，內(nèi)外網(wǎng)地址的轉(zhuǎn)換（即NAT，透明代理也是一種特殊的地址轉(zhuǎn)換）和透明模式之間并沒(méi)有必然的聯(lián)系。透明模式下的防火墻能實(shí)現(xiàn)透明代理，非透明模式下的防火墻（此時(shí)它必然又是一個(gè)網(wǎng)關(guān)）也能實(shí)現(xiàn)透明代理。它們的共同點(diǎn)在于可以簡(jiǎn)化內(nèi)網(wǎng)客戶(hù)的設(shè)置而已。

目前國(guó)內(nèi)大多防火墻都實(shí)現(xiàn)了透明代理，但實(shí)現(xiàn)了透明模式的并不多。這些防火墻可以很明顯的從其廣告中看出來(lái)：如果哪個(gè)防火墻實(shí)現(xiàn)了透明模式，它的廣告中肯定會(huì)和透明代理區(qū)分開(kāi)而大書(shū)特書(shū)的。5．可靠性

防火墻系統(tǒng)處于網(wǎng)絡(luò)的關(guān)鍵部位，其可靠性顯然非常重要。一個(gè)故障頻頻、可靠性很差的 產(chǎn)品顯然不可能讓人放心，而且防火墻居于內(nèi)外網(wǎng)交界的關(guān)鍵位置，一旦防火墻出現(xiàn)問(wèn)題，整個(gè)內(nèi)網(wǎng)的主機(jī)都將根本無(wú)法訪(fǎng)問(wèn)外網(wǎng)，這甚至比路由器故障（路由器的 拓?fù)浣Y(jié)構(gòu)一般都是冗余設(shè)計(jì)）更讓人無(wú)法承受。

防火墻的可靠性也表現(xiàn)在兩個(gè)方面：硬件和軟件。

國(guó)外成熟廠商的防火墻產(chǎn)品硬件方面的可靠性一般較高，采用專(zhuān)門(mén)硬件架構(gòu)且不必多說(shuō)，采用PC架構(gòu)的其硬件也多是專(zhuān)門(mén)設(shè)計(jì)，系統(tǒng)各個(gè)部分從網(wǎng)絡(luò)接口到存儲(chǔ)設(shè)備（一般為電子硬盤(pán)）集成在一起（一塊板子），這樣自然提高了產(chǎn)品的可靠性。

國(guó)內(nèi)則明顯參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采用現(xiàn)成的網(wǎng)卡，DOC/DOM作為存儲(chǔ)設(shè)備。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設(shè)備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。

國(guó)內(nèi)已經(jīng)有部分廠家意識(shí)到了這個(gè)問(wèn)題，開(kāi)始自行設(shè)計(jì)硬件。但大多數(shù)廠家還是從成本的角度考慮 20 使用通用PC架構(gòu)。

另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。而國(guó)內(nèi)整個(gè)軟件行業(yè)的 可靠性體系還沒(méi)有成熟，軟件可靠性測(cè)試大多處于極其初級(jí)的水平（可靠性測(cè)試和bug測(cè)試完全是兩個(gè)概念）。一方面是可靠性體系建立不起來(lái)，一方面是為了迎 合用戶(hù)的需求和跟隨網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，多數(shù)防火墻廠商一直處于不斷的擴(kuò)充和修改中，其可靠性更不能讓人恭維。

總的來(lái)說(shuō)，如同國(guó)內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）一樣，網(wǎng)絡(luò)安全產(chǎn)品特別是防火墻的可靠性似乎還沒(méi)有引起人們的重視。6．市場(chǎng)定位

市場(chǎng)上防火墻的售價(jià)極為懸殊，從數(shù)萬(wàn)元到數(shù)十萬(wàn)元，甚至到百萬(wàn)元不等。由于用戶(hù)數(shù)量不同，用戶(hù)安全要求不同，功能要求不同，因此防火墻的價(jià)格也不盡相同。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶(hù)的要求。

總的說(shuō)來(lái)，防火墻是以用戶(hù)數(shù)量作為大的分界線(xiàn)。如checkpoint的一個(gè)報(bào)價(jià)： CheckPoint Firewall-1 4.1 25user 19000.00 CheckPoint Firewall-1 4.1 50user 31000.00 CheckPoint Firewall-1 4.1 100user 51000.00 CheckPoint Firewall-1 4.1 250user 64000.00 CheckPoint Firewall-1 4.1 無(wú)限用戶(hù) 131000.00 從用戶(hù)量上防火墻可以分為： a． 10－25用戶(hù)：

這個(gè)區(qū)間主要用戶(hù)為單一用戶(hù)、家庭、小型辦公室等小型網(wǎng)絡(luò)環(huán)境。防火墻一般為10M（針對(duì) 硬件防火墻而言），兩網(wǎng)絡(luò)接口，涵蓋防火墻基本功能：包過(guò)濾、透明模式、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測(cè)、管理、實(shí)時(shí)報(bào)警、日志。一般另有可選功能：VPN、帶寬管理等等。

這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在萬(wàn)元以上2萬(wàn)元以下（沒(méi)有VPN和帶寬管理的價(jià)格更低）。據(jù)調(diào)查，這個(gè)區(qū)間的防火墻反而種類(lèi)不多，也許是國(guó)內(nèi)廠商不屑于這個(gè)市場(chǎng)的緣故？ b． 25－100用戶(hù)

這個(gè)區(qū)間用戶(hù)主要為小型企業(yè)網(wǎng)。防火墻開(kāi)始升級(jí)到100M，三或更多網(wǎng)絡(luò)接口。VPN、帶寬管 理往往成為標(biāo)準(zhǔn)模塊。

這個(gè)區(qū)間的防火墻報(bào)價(jià)從3萬(wàn)到15萬(wàn)不等，根據(jù)功能價(jià)格有較大區(qū)別。相對(duì)來(lái)說(shuō)，這個(gè)區(qū)間上 硬件防火墻價(jià)格明顯高于軟件防火墻。

目前國(guó)內(nèi)防火墻絕大部分集中在這個(gè)區(qū)間中。c． 100－數(shù)百用戶(hù)

這個(gè)區(qū)間主要為中型企業(yè)網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這個(gè)區(qū)間的 防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。并且開(kāi)始支持雙機(jī)熱備份。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在20萬(wàn)以上。這樣的中高端 防火墻國(guó)內(nèi)較少，有也是25－100用戶(hù)的升級(jí)版，其可用性令人懷疑。d． 數(shù)百用戶(hù)以上

這個(gè)區(qū)間是高端防火墻，主要用于校園網(wǎng)、大型IDC等等。我們接觸較少，不多做討論。當(dāng)然其價(jià)格也很高端，從數(shù)十萬(wàn)到數(shù)百萬(wàn)不等。

總的來(lái)說(shuō)，防火墻的價(jià)格和用戶(hù)數(shù)量、功能模塊密切相關(guān)，在用戶(hù)數(shù)量相同的情況下，功 能越多，價(jià)格就越貴。如Netscreen的百兆防火墻： NetScreen-100f(AC Power)-帶防火墻+流量控制等功能,交流電源,沒(méi)有VPN功能報(bào)價(jià)在￥260,000而在此基礎(chǔ)上增加了128位VPN功能的報(bào)價(jià)則高出5萬(wàn)元： ￥317,500 7． 研發(fā)費(fèi)用

如同其他網(wǎng)絡(luò)安全產(chǎn)品一樣，防火墻的研發(fā)費(fèi)用也是很高的。防火墻由于技術(shù)含量較高，人員技術(shù)儲(chǔ)備要求較高，防火墻核心部分的研發(fā)必須要對(duì)操作系統(tǒng)有相當(dāng)?shù)氖煜?，所需為UNIX系統(tǒng)下開(kāi)發(fā)人員，而目前國(guó)內(nèi)真正能拿的出手的UNIX程序員數(shù) 量還是太少（遠(yuǎn)遠(yuǎn)少于Windows平臺(tái)下開(kāi)發(fā)人員），人員成本很高。

總的來(lái)說(shuō)，防火墻的研發(fā)是一個(gè)大項(xiàng)目，而且其前期定位一定要準(zhǔn)確，該做什么、不該做什么，哪些功能得實(shí)現(xiàn)，哪些功能不必實(shí)現(xiàn)、哪些功能可以在后期實(shí)現(xiàn)，一定要清楚，否則費(fèi)用會(huì)遠(yuǎn)遠(yuǎn)超出預(yù)計(jì)。

下邊對(duì)一個(gè)中小型企業(yè)級(jí)防火墻的研發(fā)費(fèi)用作個(gè)簡(jiǎn)單的估計(jì)。

研發(fā)時(shí)，防火墻可以細(xì)分為（當(dāng)然在具體操作時(shí)往往需要再具體劃分）： 內(nèi)核模塊

防火墻模塊（含狀態(tài)檢測(cè)模塊）NAT模塊 帶寬管理模塊 通信協(xié)議模塊 管理模塊

圖形用戶(hù)界面模塊（或者Web界面模塊）透明代理模塊（實(shí)質(zhì)屬于NAT模塊）

透明模式模塊（包括ARP代理子模塊、路由轉(zhuǎn)發(fā)子模塊等）各應(yīng)用代理模塊（包括URL過(guò)濾模塊）VPN模塊

流量統(tǒng)計(jì)與計(jì)費(fèi)模塊 審計(jì)模塊

其他模塊（如MAC、IP地址綁定模塊、簡(jiǎn)單的IDS、自我保護(hù)等等）

上邊把防火墻劃分為12個(gè)模塊，其中每一個(gè)模塊都有相當(dāng)?shù)墓ぷ髁恳?，除了彈性較大 的內(nèi)核模塊和防火墻模塊（它們的工作量可能異常的大，視設(shè)計(jì)目標(biāo)不同），其他模塊暫定10人周的話(huà)就需要120周（VPN的工作量也相當(dāng)大），兩個(gè)主模塊 各按20人周計(jì)算，防火墻實(shí)現(xiàn)總共需要150人周。加上前期10－ 15人周論證、定方案，后期20人周（保守?cái)?shù)字）集成、測(cè)試，前后總共需要約210人周。按每人周1200元開(kāi)發(fā)費(fèi)用（折合工資5000月，但由于有運(yùn)行 費(fèi)用、保險(xiǎn)等費(fèi)用攤分，個(gè)人工資應(yīng)遠(yuǎn)低于這個(gè)數(shù)字），開(kāi)發(fā)費(fèi)用約需25萬(wàn)。

顯然，這個(gè)數(shù)字只是一個(gè)局外人估計(jì)的下限，實(shí)際的研發(fā)應(yīng)該超出這個(gè)數(shù)字很多。8． 可升級(jí)能力（適用性）和靈活性

對(duì)用戶(hù)來(lái)說(shuō)，防火墻作為大成本投入的商品，勢(shì)必要考慮到可升級(jí)性的問(wèn)題，如果防火墻 不能升級(jí)，那它的可用性和可選擇余地勢(shì)必要大打折扣。目前國(guó)內(nèi)防火墻一般都是軟件可升級(jí)的，這是因?yàn)榇蠖鄶?shù)防火墻采用電子硬盤(pán)（少數(shù)采用磁盤(pán)），實(shí)現(xiàn)升級(jí) 功能只要很小的工作量要做。但究竟升級(jí)些什么內(nèi)容？升級(jí)周期多長(zhǎng)一次？這就涉及到一個(gè)靈活性的問(wèn)題。防火墻的靈活性主要體現(xiàn)在以下幾點(diǎn)： a． 易于升級(jí)

b． 支持大量協(xié)議

c． 易于管理（如納入通用設(shè)備管理體系（支持SNMP）而不是單列出來(lái)）d． 功能可擴(kuò)展

這里對(duì)功能可擴(kuò)展做一簡(jiǎn)單討論。一般情況下，防火墻在設(shè)計(jì)完成以后，其過(guò)濾規(guī)則都是 定死的，用戶(hù)可定制的余地很小。特別如URL過(guò)濾規(guī)則（對(duì)支持URL過(guò)濾的防火墻而言），當(dāng)前網(wǎng)絡(luò)中的漏洞是不斷發(fā)現(xiàn)的，如最近很猖獗的codered攻 擊的就是Windows機(jī)器IIS服務(wù)器的ida漏洞，而我們?nèi)绻軌蚣皶r(shí)定義過(guò)濾規(guī)則，對(duì)于“GET /default.ida”的請(qǐng)求及時(shí)過(guò)濾，那么內(nèi)網(wǎng)主機(jī)（此時(shí)一般為DMZ內(nèi)主機(jī)）的安全性就會(huì)高很多，內(nèi)網(wǎng)管理人員也不必時(shí)時(shí)密切關(guān)注網(wǎng)絡(luò)漏洞（這是 個(gè)工作量很大，既耗費(fèi)體力又容易出現(xiàn)遺漏的工作）。這樣大部分工作留給防火墻廠家來(lái)做（相應(yīng)需要有一個(gè)漏洞監(jiān)測(cè)體系），用戶(hù)肯定會(huì)滿(mǎn)意很多。另外，靈活性 一開(kāi)始也往往不是前期設(shè)計(jì)所能設(shè)計(jì)的很完美的，它需要和用戶(hù)具體實(shí)踐相配合。另外靈活性也是和具體環(huán)境密切結(jié)合的，往往需要在不同的用戶(hù)環(huán)境里考慮。

如何構(gòu)建網(wǎng)絡(luò)整體安全方案

整體的安全方案分成技術(shù)方案、服務(wù)方案以及支持方案三部分。

一、技術(shù)解決方案

安全產(chǎn)品是網(wǎng)絡(luò)安全的基石，通過(guò)在網(wǎng)絡(luò)中安裝一定的安全設(shè)備，能夠使得網(wǎng)絡(luò)的結(jié)構(gòu)更加清晰，安全性得到顯著增強(qiáng);同時(shí)能夠有效降低安全管理的難度，提高安全管理的有效性。

下面介紹在局域網(wǎng)中增加的安全設(shè)備的安裝位置以及他們的作用。

1、防火墻

安裝位置：局域網(wǎng)與路由器之間;%3Fid%3D1974 上下載Stick，其編譯起來(lái)并不麻煩，只需查看幫助即可。需要指出的是，絕大多數(shù)的IDS都是從Snort得到眾多借鑒的，建議用戶(hù)試用一下 Stick。

2．IDS漏報(bào)

和IDS誤報(bào)相比，漏報(bào)其實(shí)更危險(xiǎn)。采用IDS技術(shù)就是為了在發(fā)現(xiàn)入侵時(shí)給出告警信息。如果入侵者入侵成功而IDS尚未告警，IDS便失去存在的意義。筆者從國(guó)外網(wǎng)站上看到一篇文章，它對(duì)利用TCP連接特點(diǎn)讓 IDS做漏報(bào)進(jìn)行了詳細(xì)的描述，同時(shí)還給出一些實(shí)現(xiàn)漏報(bào)的辦法，給筆者提供了一種新思路: IDS想要防止欺騙，就要盡可能地模仿TCP/IP棧的實(shí)現(xiàn)。但是從效率和實(shí)現(xiàn)的復(fù)雜性考慮，IDS并不能很容易地做到這一點(diǎn)。

這種方法比較適合智能化的IDS，好的IDS一般為了減少誤報(bào)，會(huì)像現(xiàn)在一些高端的防火墻一樣基于狀態(tài)進(jìn)行判斷，而不是根據(jù)單個(gè)的報(bào)文進(jìn)行判斷。這樣上面談到的Stick對(duì)這種IDS一般不起作用。但是用戶(hù)應(yīng)該注意到，這種簡(jiǎn)單的IDS只是字符串匹配，一旦匹配成功，即可報(bào)警。

2001年4月，又出了一個(gè)讓IDS漏報(bào)的程序ADMmutate，據(jù)說(shuō)它可以動(dòng)態(tài)改變Shellcode。本來(lái)IDS依靠提取公開(kāi)的溢出程序的特征碼來(lái)報(bào)警，特征碼變了以后，IDS就報(bào)不出來(lái)了。但是程序還一樣起作用，服務(wù)器一樣被黑。這個(gè)程序的作者是ktwo(http: //www.ktwo.ca)，我們可以從http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz上下載該程序。用戶(hù)不妨也試試它，以檢測(cè)自己的IDS產(chǎn)品性能。不過(guò)，ADMmutate只能對(duì)依靠檢查字符串匹配告警的IDS起作用，如果IDS還依靠長(zhǎng)度和可打印字符等綜合指標(biāo)，則ADMmutate將很容易被IDS監(jiān)控到。

IDS的實(shí)現(xiàn)總是在漏報(bào)和誤報(bào)中徘徊，漏報(bào)率降低了，誤報(bào)率就會(huì)提高;同樣誤報(bào)率降低了，漏報(bào)率就會(huì)提高。一般地，IDS產(chǎn)品會(huì)在兩者中取一個(gè)折衷，并且能夠進(jìn)行調(diào)整，以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。

四、自身安全性

毫無(wú)疑問(wèn)，IDS程序本身的健壯性是衡量IDS系統(tǒng)好壞的另一個(gè)指標(biāo)。如上所述，Stick程序能讓IDS停止響應(yīng)，該IDS的健壯性就值得懷疑。

IDS的健壯性主要體現(xiàn)在兩個(gè)方面: 一是程序本身在各種網(wǎng)絡(luò)環(huán)境下都能正常工作;二是程序各個(gè)模塊之間的通信能夠不被破壞，不可仿冒。IDS用于各個(gè)模塊間遠(yuǎn)程通信和控制，如果通信被假冒，比如假冒一個(gè)停止遠(yuǎn)程探測(cè)器的命令或者假冒告警信息，都是釜底抽薪的狠招。這就需要用戶(hù)在模塊間的通信過(guò)程中引入加密和認(rèn)證的機(jī)制，并且這個(gè)加密和認(rèn)證的機(jī)制的健壯性要經(jīng)受過(guò)考驗(yàn)。如果模塊間的通信被切斷，則需要良好的恢復(fù)重傳機(jī)制。告警信息暫時(shí)沒(méi)有發(fā)送出去，并不是丟棄，而是要本地保存，在適當(dāng)?shù)臅r(shí)候再發(fā)送。

從上面的描述中我們可以看到，沒(méi)有IDS的安全防護(hù)體系是不完善的。希望本文可以幫助大家了解IDS，在網(wǎng)絡(luò)安全體系中使用IDS增強(qiáng)網(wǎng)絡(luò)的堅(jiān)固性，并為用戶(hù)選購(gòu)IDS產(chǎn)品提供參考。

關(guān)于IDS

IDS采用分布式結(jié)構(gòu)，內(nèi)含Probe(又稱(chēng)探測(cè)器或探針)，用于收集信息，一旦發(fā)現(xiàn)非法入侵便告警。根據(jù)其所處的位置不同，Probe又可以分成基于主機(jī)的和基于網(wǎng)絡(luò)的?；谥鳈C(jī)的Probe位于希望監(jiān)控的服務(wù)器上，通過(guò)收集服務(wù)器的信息來(lái)進(jìn)行分析告警?；诰W(wǎng)絡(luò)的Probe位于希望監(jiān)控服務(wù)器的同一個(gè)Hub或交換機(jī)上，通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)上到達(dá)服務(wù)器的報(bào)文來(lái)分析告警。

基于主機(jī)的Probe收集的信息準(zhǔn)確，但是占用服務(wù)器資源，尤其在繁忙的服務(wù)器上會(huì)降低服務(wù)器性能。由于它與操作系統(tǒng)相關(guān)，如果所用IDS產(chǎn)品不支持操作系統(tǒng)，就不能安裝基于主機(jī)的 42 IDS。

基于網(wǎng)絡(luò)的Probe收集的信息沒(méi)有基于主機(jī)的Probe準(zhǔn)確，并且因?yàn)槭褂昧吮O(jiān)聽(tīng)功能，對(duì)于Hub可以正常使用，對(duì)于交換機(jī)需要交換機(jī)廠商支持?；诰W(wǎng)絡(luò)的Probe一般不影響服務(wù)器的正常工作，還可以監(jiān)控多個(gè)服務(wù)器的工作。

IDS還含有一個(gè)集中監(jiān)控信息的“控制臺(tái)”，其作用是接收所有Probe的告警，遠(yuǎn)程控制所有的Probe?？刂婆_(tái)端的日志分析模塊會(huì)把Probe 的告警信息綜合后集中分析，生成入侵分析報(bào)告?？刂婆_(tái)端的響應(yīng)模塊會(huì)根據(jù)不同的響應(yīng)策略對(duì)不同的告警采取不同的行動(dòng)。連接控制臺(tái)和Probe的是通信模塊。

東軟安全助力武漢信用風(fēng)險(xiǎn)管理信息系統(tǒng) 背景介紹：

個(gè)人征信業(yè)務(wù)是通過(guò)建立聯(lián)合征信的方式，收集、整合分散在社會(huì)各方面的信用信息（數(shù)據(jù)），以市場(chǎng)化的運(yùn)作模式和公正、獨(dú)立的第三方立場(chǎng)，為社會(huì)提供信息產(chǎn)品與服務(wù)，解決社會(huì)經(jīng)濟(jì)交往中信息不對(duì)稱(chēng)問(wèn)題，降低經(jīng)濟(jì)運(yùn)行成本，規(guī)范市場(chǎng)經(jīng)濟(jì)秩序，從而推動(dòng)社會(huì)信用體系的建立。項(xiàng)目詳細(xì)描述

武漢市個(gè)人征信系統(tǒng)可以采集分布在武漢市政府部門(mén)、金融機(jī)構(gòu)、商業(yè)機(jī)構(gòu)、教育機(jī)構(gòu)以及其他機(jī)構(gòu)中的與個(gè)人信用相關(guān)的信息，并加入到武漢市個(gè)人征信數(shù)據(jù)庫(kù)中，然后根據(jù)客戶(hù)查詢(xún)請(qǐng)求，生成《個(gè)人信用報(bào)告》，對(duì)客戶(hù)提供《個(gè)人信用報(bào)告》的查詢(xún)服務(wù)。如下圖所示：

武漢個(gè)人征信項(xiàng)目是武漢市07年重點(diǎn)建設(shè)項(xiàng)目，并且武漢市全國(guó)個(gè)人征信業(yè)務(wù)若干試點(diǎn)城市之一。未來(lái)征信業(yè)務(wù)還將覆蓋到武漢市所有工商注冊(cè)企業(yè)信用記錄。初步建立完整的社會(huì)信用體系。其意義十分重大，因此對(duì)于征信業(yè)務(wù)數(shù)據(jù)的機(jī)密性、完整性、可用性等安全防護(hù)要求十分嚴(yán)格。武漢征信項(xiàng)目是全新項(xiàng)目，沒(méi)有前期經(jīng)驗(yàn)可以借鑒，本次建設(shè)內(nèi)容是建立起高起點(diǎn)的數(shù)據(jù)中心平臺(tái)：涵蓋主機(jī)系統(tǒng)、存儲(chǔ)系統(tǒng)、網(wǎng)絡(luò)平臺(tái)、安全系統(tǒng)均需整合，統(tǒng)一規(guī)劃建設(shè)。

第一階段：容納1000萬(wàn)人10個(gè)數(shù)據(jù)提供單位，在線(xiàn)查詢(xún)系統(tǒng) 300人同時(shí)在線(xiàn)交易，響應(yīng)時(shí)間不高于3秒；一期工程考慮每年對(duì)外提供100萬(wàn)人次信用報(bào)告查詢(xún)服務(wù)；未來(lái)擴(kuò)展考慮每年對(duì)外提供1000萬(wàn)人次信用報(bào)告查詢(xún)服務(wù)；同時(shí)考慮到企業(yè)征信服務(wù)需求；

第二階段：1000萬(wàn)人50個(gè)數(shù)據(jù)提供單位，在線(xiàn)查詢(xún)系統(tǒng)1000人同時(shí)在線(xiàn)交易，響應(yīng)時(shí)間不高于5秒；

第三階段：8000萬(wàn)人80個(gè)數(shù)據(jù)提供單位，在線(xiàn)查詢(xún)系統(tǒng)要求能提供 1000人同時(shí)在線(xiàn)交易能力。本次建設(shè)需完全滿(mǎn)足第一階段需求，而且要求可以通過(guò)擴(kuò)展平滑過(guò)度，以滿(mǎn)足第二、三階段的業(yè)務(wù)需求。

可以看到，本次建設(shè)對(duì)安全設(shè)備性能、擴(kuò)展性、高可靠性都有著相當(dāng)高的要求。本期部署的防火墻是保護(hù)數(shù)據(jù)中心，核心信息資產(chǎn)的最重要的安全屏障。關(guān)鍵挑戰(zhàn)：

1、性能。征信系統(tǒng)核心價(jià)值是提供個(gè)人信用信息的查詢(xún)，提供信用信息產(chǎn)品，用戶(hù)對(duì)收費(fèi)獲取的信息服務(wù)要求會(huì)很高，包括延遲、并發(fā)在線(xiàn)數(shù)等等。

2、穩(wěn)定性。產(chǎn)品應(yīng)該軟硬件穩(wěn)定可靠。

3、高可靠性。業(yè)務(wù)因?yàn)槠脚_(tái)故障引起中斷，導(dǎo)致的損失是數(shù)據(jù)加工型企業(yè)不能容忍的。

4、高擴(kuò)展性。武漢征信平臺(tái)分了三期建設(shè)，對(duì)安全網(wǎng)關(guān)設(shè)備的性能冗余提出了很高需求，直接選擇高端千兆運(yùn)營(yíng)商級(jí)產(chǎn)品才能應(yīng)對(duì)用戶(hù)業(yè)務(wù)急速擴(kuò)張帶來(lái)的性能壓力。

5、較之競(jìng)爭(zhēng)對(duì)手具備獨(dú)特優(yōu)勢(shì)功能。解決方案描述

1、模擬環(huán)境測(cè)試：在選型階段，用戶(hù)組織了多個(gè)參測(cè)品牌將產(chǎn)品置于用戶(hù)實(shí)際環(huán)境測(cè)試。參測(cè)東軟產(chǎn)品為東軟NOKIA IP391。部分防火墻部署在核心交換機(jī)與中間件服務(wù)器之間。部分用于隔離開(kāi)發(fā)網(wǎng)段與內(nèi)網(wǎng)網(wǎng)段。測(cè)試結(jié)果顯示，產(chǎn)品較之同類(lèi)參測(cè)其他品牌產(chǎn)品，在性能上有著明顯的優(yōu)勢(shì)。

2、東軟產(chǎn)品研發(fā)、生產(chǎn)均遵循國(guó)際最高標(biāo)準(zhǔn)，軟件成熟度達(dá)到CMM5，防火墻產(chǎn)品安全認(rèn)證級(jí)別達(dá)到國(guó)內(nèi)最高的EAL3級(jí)。獲得國(guó)家權(quán)威官方機(jī)構(gòu)認(rèn)證。是一款成熟穩(wěn)定的高品質(zhì)設(shè)備。用戶(hù)對(duì)此十分認(rèn)可。

3、在核心網(wǎng)中，防火墻設(shè)備采用雙機(jī)冗余VFRP協(xié)議，全面兼容核心路由HSRP和小機(jī)的熱備協(xié)議。設(shè)備部署互聯(lián)實(shí)現(xiàn)了交叉的全連接拓?fù)洹＿@樣所有來(lái)自廣域網(wǎng)或者局域網(wǎng)訪(fǎng)問(wèn)讀寫(xiě)請(qǐng)求，必須經(jīng)過(guò)東軟防火墻3-7層安全篩選和過(guò)濾，方能取得相關(guān)資源。同時(shí)還實(shí)現(xiàn)了全網(wǎng)骨干從設(shè)備級(jí)到鏈路級(jí)的全備份—雙核心路由—雙核心防護(hù)墻—小機(jī)雙機(jī)冗余。另外一臺(tái)單機(jī)防火墻部署在開(kāi)發(fā)網(wǎng)段與核心內(nèi)網(wǎng)之間，抑制開(kāi)發(fā)網(wǎng)段對(duì)核心業(yè)務(wù)網(wǎng)段潛在的不良網(wǎng)絡(luò)訪(fǎng)問(wèn)和攻擊。

4、東軟NOKIA IP391支持?jǐn)U展到8個(gè)千兆端口，為未來(lái)業(yè)務(wù)擴(kuò)展預(yù)留空間。此外，東軟防火墻支持以太網(wǎng)通道功能，提供了彈性支撐未來(lái)業(yè)務(wù)帶寬增長(zhǎng)的低成本解決方案。通過(guò)對(duì)多條物理鏈路的捆綁，可以將防火墻的多個(gè)物理以太網(wǎng)端口映射成一個(gè)邏輯端口，從而達(dá)到增加帶寬和鏈路冗余的目的，實(shí)現(xiàn)防火墻上下行鏈路帶寬從1G到2G的無(wú)縫擴(kuò)展。而這樣的性能擴(kuò)展，無(wú)需采購(gòu)配件和許可。延長(zhǎng)了設(shè)備運(yùn)營(yíng)周期，有效提高了投資消費(fèi)比，這也是用戶(hù)所看重的。

5、東軟NOKIA IP391為了提供多客戶(hù)式的托管服務(wù)，滿(mǎn)足用戶(hù)對(duì)防火墻系統(tǒng)個(gè)性化配置的需求，可以將NetEye防火墻系統(tǒng)邏輯劃分為多個(gè)虛擬系統(tǒng)(vsys)，每一個(gè)虛擬系統(tǒng)的資源和配置都是獨(dú)立的，都可以進(jìn)行用戶(hù)管理、服務(wù)配置、安全規(guī)則配置等一系列操作。目前，用戶(hù)劃分開(kāi)發(fā)網(wǎng)段安全域的另一臺(tái)東軟NOKIA IP391只使用了2個(gè)端口，還有潛在6個(gè)端口可供使用。這六個(gè)端口任意組合后，作為獨(dú)立防火墻，可以被用作網(wǎng)絡(luò)環(huán)境中其他新增安全域邊界劃分設(shè)備。用戶(hù)通過(guò)單臺(tái)防火墻的投資，換回多臺(tái)設(shè)備使用回報(bào)。實(shí)施效果

項(xiàng)目實(shí)施后，通過(guò)采用雙機(jī)冗余全連接拓?fù)浞绞剑诟咚俳粨Q骨干和高容量存儲(chǔ)設(shè)備之間，無(wú)縫嵌入高性能深度防御防火墻設(shè)備，使得武漢征信業(yè)務(wù)平臺(tái)在具備極高故障容錯(cuò)性能基礎(chǔ)上，獲得了極高的核心數(shù)據(jù)平臺(tái)應(yīng)用安全防護(hù)能力，其內(nèi)嵌自動(dòng)入侵行為檢測(cè)阻斷模塊對(duì)流行的蠕蟲(chóng)病毒、分布式DOS攻擊等威脅，提供了良好的的識(shí)別及阻斷能力。

設(shè)備采用HTTPS的WEBUI管理方式，管理員在工作中可以方便的通過(guò)任何聯(lián)網(wǎng)終端機(jī)建立安全的HTTPS加密通道以IE窗口方式登陸管理。防火墻還支持類(lèi)CISOC命令行方式管理，安全管理員經(jīng)過(guò)培訓(xùn)可以迅速精通防火墻操作，具備良好的操作便利性和較低的培訓(xùn)成本。用戶(hù)評(píng)價(jià)

用戶(hù)通過(guò)選擇了可靠的合作伙伴，選擇高品質(zhì)的高端產(chǎn)品，感受到了優(yōu)質(zhì)的產(chǎn)品服務(wù)。項(xiàng)目的良好完工，上線(xiàn)運(yùn)行，東軟的產(chǎn)品和服務(wù)經(jīng)受了試運(yùn)行階段的考驗(yàn)。以上實(shí)踐證明，用戶(hù)前期項(xiàng)目設(shè)計(jì)和產(chǎn)品選型是可行和可靠的。用戶(hù)對(duì)以太網(wǎng)通道、虛擬防火墻這樣的高端防火墻才具備的實(shí)用功能非常認(rèn)可。

第二篇：入侵檢測(cè)技術(shù)論文

目錄

第一章 緒論

1.1 入侵檢測(cè)技術(shù)的背景 1.2 程序設(shè)計(jì)的目的 第二章 入侵檢測(cè)系統(tǒng) 2.1 網(wǎng)絡(luò)入侵概述

2.2 網(wǎng)絡(luò)存在的安全隱患

2.3 網(wǎng)絡(luò)入侵與攻擊的常用手段 2.4 入侵檢測(cè)技術(shù)

2.4.1 誤用入侵檢測(cè)技術(shù) 2.4.2 異常入侵檢測(cè)技術(shù)

第三章 協(xié)議分析 3.1 協(xié)議分析簡(jiǎn)介 3.2 協(xié)議分析的優(yōu)勢(shì)

第四章 PANIDS系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn) 4.1 PANIDS系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)

4.2 系統(tǒng)基本信息讀取模塊的設(shè)計(jì)及實(shí)現(xiàn) 4.3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊的設(shè)計(jì)及實(shí)現(xiàn) 4.4 基于協(xié)議分析的入侵檢測(cè)模塊的設(shè)計(jì)及實(shí)現(xiàn) 4.4.1 數(shù)據(jù)包的分解 4.4.2 入侵檢測(cè)的實(shí)現(xiàn) 4.5 實(shí)驗(yàn)結(jié)果及結(jié)論

第五章 總結(jié)與參考文獻(xiàn)

摘要

網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，人們?cè)絹?lái)越依賴(lài)于網(wǎng)絡(luò)進(jìn)行信息的處理。因此，網(wǎng)絡(luò)安全就顯得相當(dāng)重要，隨之產(chǎn)生的各種網(wǎng)絡(luò)安全技術(shù)也得到了不斷地發(fā)展。防火墻、加密等技術(shù)，總的來(lái)說(shuō)均屬于靜態(tài)的防御技術(shù)。如果單純依靠這些技術(shù)，仍然難以保證網(wǎng)絡(luò)的安全性。入侵檢測(cè)技術(shù)是一種主動(dòng)的防御技術(shù)，它不僅能檢測(cè)未經(jīng)授權(quán)的對(duì)象入侵，而且也能監(jiān)視授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法使用。傳統(tǒng)的入侵檢測(cè)系統(tǒng)一般都采用模式匹配技術(shù)，但由于技術(shù)本身的特點(diǎn)，使其具有計(jì)算量大、檢測(cè)效率低等缺點(diǎn)，而基于協(xié)議分析的檢測(cè)技術(shù)較好的解決了這些問(wèn)題，其運(yùn)用協(xié)議的規(guī)則性及整個(gè)會(huì)話(huà)過(guò)程的上下文相關(guān)性，不僅提高了入侵檢測(cè)系統(tǒng)的速度，而且減少了漏報(bào)和誤報(bào)率。本文提出了一種基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)PANIDS的模型，在該模型中通過(guò)Winpcap捕獲數(shù)據(jù)包，并對(duì)數(shù)據(jù)包進(jìn)行協(xié)議分析，判斷其是否符合某種入侵模式，從而達(dá)到入侵檢測(cè)的目的。

關(guān)鍵詞： 入侵檢測(cè)，協(xié)議分析，PANIDS

第一章 緒論

1.1 入侵檢測(cè)技術(shù)的背景

隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)通信已經(jīng)滲透到社會(huì)經(jīng)濟(jì)、文化和科學(xué)的各個(gè)領(lǐng)域；對(duì)人類(lèi)社會(huì)的進(jìn)步和發(fā)展起著舉足輕重的作用，它正影響和改變著人們工作、學(xué)習(xí)和生活的方式。另外，Internet的發(fā)展和應(yīng)用水平也已經(jīng)成為衡量一個(gè)國(guó)家政治、經(jīng)濟(jì)、軍事、技術(shù)實(shí)力的標(biāo)志；發(fā)展網(wǎng)絡(luò)技術(shù)是國(guó)民經(jīng)濟(jì)現(xiàn)代化建設(shè)不可缺少的必要條件。網(wǎng)絡(luò)使得信息的獲取、傳遞、存儲(chǔ)、處理和利用變得更加有效、迅速，網(wǎng)絡(luò)帶給人們的便利比比皆是。然而，網(wǎng)絡(luò)在給人們的學(xué)習(xí)、生活和工作帶來(lái)巨大便利的同時(shí)也帶來(lái)了各種安全問(wèn)題。網(wǎng)絡(luò)黑客可以輕松的取走你的機(jī)密文件，竊取你的銀行存款，破壞你的企業(yè)帳目，公布你的隱私信函，篡改、干擾和毀壞你的數(shù)據(jù)庫(kù)，甚至直接破壞你的磁盤(pán)或計(jì)算機(jī)，使你的網(wǎng)絡(luò)癱瘓或者崩潰。因此，研究各種切實(shí)有效的安全技術(shù)來(lái)保障計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全，已經(jīng)成為刻不容緩的課題。伴隨著網(wǎng)絡(luò)的發(fā)展，各種網(wǎng)絡(luò)安全技術(shù)也隨之發(fā)展起來(lái)。常用的網(wǎng)絡(luò)安全技術(shù)有：數(shù)據(jù)加密、虛擬專(zhuān)用網(wǎng)絡(luò)（VPN，Virtual Private Network）、防火墻、殺毒軟件、數(shù)字簽名和身份認(rèn)證等技術(shù)。這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，對(duì)保護(hù)網(wǎng)絡(luò)的安全起到非常重要的作用，然而它們也存在不少缺陷。例如，防火墻技術(shù)雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪(fǎng)問(wèn)控制，但是它不能防止來(lái)自防火墻內(nèi)部的攻擊、不能防備最新出現(xiàn)的威脅、不能防止繞過(guò)防火墻的攻擊，入侵者可以利用脆弱性程序或系統(tǒng)漏洞繞過(guò)防火墻的訪(fǎng)問(wèn)控制來(lái)進(jìn)行非法攻擊。傳統(tǒng)的身份認(rèn)證技術(shù)，很難抵抗脆弱性口令、字典攻擊、特洛伊木馬、網(wǎng)絡(luò)窺探器以及電磁輻射等攻擊手段。虛擬專(zhuān)用網(wǎng)技術(shù)只能保證傳輸過(guò)程中的安全，并不能防御諸如拒絕服務(wù)攻擊、緩沖區(qū)溢出等常見(jiàn)的攻擊。另外，這些技術(shù)都屬于靜態(tài)安全技術(shù)的范疇；靜態(tài)安全技術(shù)的缺點(diǎn)是只能靜態(tài)和消極地防御入侵，而不能主動(dòng)檢測(cè)和跟蹤入侵。而入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)安全技術(shù)，它主動(dòng)地收集包括系統(tǒng)審計(jì)數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)包以及用戶(hù)活動(dòng)狀態(tài)等多方面的信息；然后進(jìn)行安全性分析，從而及時(shí)發(fā)現(xiàn)各種入侵并產(chǎn)生響應(yīng)。1.2 程序設(shè)計(jì)的目的

在目前的計(jì)算機(jī)安全狀態(tài)下，基于防火墻、加密技術(shù)等的安全防護(hù)固然重要；但是要根本改善系統(tǒng)的安全現(xiàn)狀，必須要發(fā)展入侵檢測(cè)技術(shù)。它已經(jīng)成為計(jì)算機(jī)安全策略中的核心技術(shù)之一。Intrusion Detection System（簡(jiǎn)稱(chēng)IDS）作為一種主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。從網(wǎng)絡(luò)安全立體縱深的多層次防御角度出發(fā)，入侵檢測(cè)理應(yīng)受到高度重視，這從國(guó)外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。在國(guó)內(nèi)，隨著上網(wǎng)關(guān)鍵部門(mén)、關(guān)鍵業(yè)務(wù)越來(lái)越多，迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品；但目前我國(guó)的入侵檢測(cè)技術(shù)還不夠成熟，處于發(fā)展和跟蹤國(guó)外技術(shù)的階段，所以對(duì)入侵檢測(cè)系統(tǒng)的研究非常重要。傳統(tǒng)的入侵檢測(cè)系統(tǒng)中一般采用傳統(tǒng)的模式匹配技術(shù),將待分析事件與入侵規(guī)則相匹配。從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始與攻擊特征字符串比較。若比較結(jié)果不同,則下移一個(gè)字節(jié)再進(jìn)行；若比較結(jié)果相同,那么就檢測(cè)到一個(gè)可 能 的攻擊。這種逐字節(jié)匹配方法具有計(jì)算負(fù)載大及探測(cè)不夠靈活兩個(gè)最根本的缺陷。面對(duì)近幾年不斷出現(xiàn)的ATM、千兆以太網(wǎng)、G比特光纖網(wǎng)等高速網(wǎng)絡(luò)應(yīng)用,實(shí)現(xiàn)實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的問(wèn)題。適應(yīng)高速網(wǎng)絡(luò)的環(huán)境，改進(jìn)檢測(cè)算法以提高運(yùn)行速度和效率是解決該問(wèn)題的一個(gè)途徑。協(xié)議分析能夠智能地”理解”協(xié)議,利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在,從而大大減少了模式匹配所需的運(yùn)算。所以說(shuō)研究基于協(xié)議分析的入侵檢測(cè)技術(shù)具有很強(qiáng)的現(xiàn)實(shí)意義。

第二章 入侵檢測(cè)系統(tǒng)

2.1 網(wǎng)絡(luò)入侵概述

網(wǎng)絡(luò)在給人們帶來(lái)便利的同時(shí)也引入了很多安全問(wèn)題。從防衛(wèi)者的角度來(lái)看，網(wǎng)絡(luò)安全的目標(biāo)可以歸結(jié)為以下幾個(gè)方面 ：（1）網(wǎng)絡(luò)服務(wù)的可用性。在需要時(shí)，網(wǎng)絡(luò)信息服務(wù)能為授權(quán)用戶(hù)提供實(shí)時(shí)有效的服務(wù)。

（2）網(wǎng)絡(luò)信息的保密性。網(wǎng)絡(luò)服務(wù)要求能防止敏感信息泄漏，只有授權(quán)用戶(hù)才能獲取服務(wù)信息。

（3）網(wǎng)絡(luò)信息的完整性。網(wǎng)絡(luò)服務(wù)必須保證服務(wù)者提供的信息內(nèi)容不能被非授權(quán)篡改。完整性是對(duì)信息的準(zhǔn)確性和可靠性的評(píng)價(jià)指標(biāo)。

（4）網(wǎng)絡(luò)信息的不可抵賴(lài)性。用戶(hù)不能否認(rèn)消息或文件的來(lái)源地，也不能否認(rèn)接受了信息或文件。

（5）網(wǎng)絡(luò)運(yùn)行的可控性。也就是網(wǎng)絡(luò)管理的可控性，包括網(wǎng)絡(luò)運(yùn)行的物理的可控性和邏輯或配置的可控性，能夠有效地控制網(wǎng)絡(luò)用戶(hù)的行為及信息的傳播范圍。

2.2 網(wǎng)絡(luò)存在的安全隱患

網(wǎng)絡(luò)入侵從根本上來(lái)說(shuō)，主要是因?yàn)榫W(wǎng)絡(luò)存在很多安全隱患，這樣才使得攻擊者有機(jī)可乘。導(dǎo)致網(wǎng)絡(luò)不安全的主要因素可以歸結(jié)為下面幾點(diǎn)：

（1）軟件的Bug。眾所周知，各種操作系統(tǒng)、協(xié)議棧、服務(wù)器守護(hù)進(jìn)程、各種應(yīng)用程序等都存在不少漏洞。可以不夸張的說(shuō)，幾乎每個(gè)互聯(lián)網(wǎng)上的軟件都或多或少的存在一些安全漏洞。這些漏洞中，最常見(jiàn)的有緩沖區(qū)溢出、競(jìng)爭(zhēng)條件（多個(gè)程序同時(shí)訪(fǎng)問(wèn)一段數(shù)據(jù)）等。

（2）系統(tǒng)配置不當(dāng)。操作系統(tǒng)的默認(rèn)配置往往照顧用戶(hù)的友好性，但是容易使用的同時(shí)也就意味著容易遭受攻擊。這類(lèi)常見(jiàn)的漏洞有：系統(tǒng)管理員配置不恰當(dāng)、系統(tǒng)本身存在后門(mén)等。

（3）脆弱性口令。大部分人為了輸入口令的時(shí)候方便簡(jiǎn)單，多數(shù)都使用自己或家人的名字、生日、門(mén)牌號(hào)、電話(huà)號(hào)碼等作為口令。攻擊者可以通過(guò)猜測(cè)口令或拿到口令文件后，利用字典攻擊等手段來(lái)輕易破解口令。

（4）信息泄漏。入侵者常用的方法之一就是竊聽(tīng)。在廣播式的局域網(wǎng)上，將網(wǎng)卡配置成”混雜”模式，就可以竊聽(tīng)到該局域網(wǎng)的所有數(shù)據(jù)包。如果在服務(wù)器上安裝竊聽(tīng)軟件就可以拿到遠(yuǎn)程用戶(hù)的帳號(hào)和口令。

（5）設(shè)計(jì)的缺陷。最典型的就是TCP/IP協(xié)議，在協(xié)議設(shè)計(jì)時(shí)并沒(méi)有考慮到安全因素。雖然現(xiàn)在已經(jīng)充分意識(shí)到了這一點(diǎn)，但是由于TCP/IP協(xié)議已經(jīng)廣泛使用，因此暫時(shí)還無(wú)法被完全代替。另外，雖然操作系統(tǒng)設(shè)計(jì)的時(shí)候考慮了很多安全因素，但是仍然無(wú)法避免地存在一些缺陷。例如，廣泛使用的Windows操作系統(tǒng)，幾乎每隔幾個(gè)月都要出一定數(shù)量的安全補(bǔ)丁，就是因?yàn)橄到y(tǒng)存在很多安全隱患。2.3 網(wǎng)絡(luò)入侵與攻擊的常用手段

長(zhǎng)期以來(lái)，黑客攻擊技術(shù)沒(méi)有成為系統(tǒng)安全研究的一個(gè)重點(diǎn)，一方面是攻擊技術(shù)很大程度上依賴(lài)于個(gè)人的經(jīng)驗(yàn)以及攻擊者之間的交流，這種交流通常都是地下的，黑客有他們自己的交流方式和行為準(zhǔn)則，這與傳統(tǒng)的學(xué)術(shù)研究領(lǐng)域不相同；另一方面，研究者還沒(méi)有充分認(rèn)識(shí)到：只有更多地了解攻擊技術(shù)，才能更好地保護(hù)系統(tǒng)的安全。下面簡(jiǎn)單介紹幾種主要的攻擊類(lèi)型。1.探測(cè)攻擊

通過(guò)掃描允許連接的服務(wù)和開(kāi)放端口，能迅速發(fā)現(xiàn)目標(biāo)主機(jī)端口的分配情況以及所提供的各項(xiàng)服務(wù)和服務(wù)程序的版本號(hào)。另外通過(guò)掃描還可以探測(cè)到系統(tǒng)的漏洞等信息。黑客找到有機(jī)可乘的服務(wù)或端口后就可以進(jìn)行攻擊了。常見(jiàn)的探測(cè)掃描程序有：SATAN、NTScan、X_Scan、Nessus等。2.網(wǎng)絡(luò)監(jiān)聽(tīng)

將網(wǎng)卡設(shè)置為混雜模式，對(duì)已流經(jīng)某個(gè)以太網(wǎng)段的所有數(shù)據(jù)包進(jìn)行監(jiān)聽(tīng)，以獲取敏感信息，如包含了”usename”或”password”等信息的數(shù)據(jù)包。常見(jiàn)的網(wǎng)絡(luò)監(jiān)聽(tīng)工具有：NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。3.解碼類(lèi)攻擊

通過(guò)各種方法獲取password文件，然后用口令猜測(cè)程序來(lái)破譯用戶(hù)帳號(hào)和密碼。常見(jiàn)的解碼工具有：Crack、LophtCrack等。

2.4 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)可以分為兩大類(lèi)：異常入侵檢測(cè)技術(shù)和誤用入侵檢測(cè)技術(shù)。下面分別介紹這兩種入侵檢測(cè)技術(shù)。2.4.1 誤用入侵檢測(cè)技術(shù)

誤用入侵檢測(cè)首先對(duì)表示特定入侵的行為模式進(jìn)行編碼，建立誤用模式庫(kù)；然后對(duì)實(shí)際檢測(cè)過(guò)程中得到的審計(jì)事件數(shù)據(jù)進(jìn)行過(guò)濾，檢查是否包含入侵特征串。誤用檢測(cè)的缺陷在于只能檢測(cè)已知的攻擊模式。常見(jiàn)的誤用入侵檢測(cè)技術(shù)有以下幾種：

1.模式匹配

模式匹配是最常用的誤用檢測(cè)技術(shù)，特點(diǎn)是原理簡(jiǎn)單、擴(kuò)展性好、檢測(cè)效率高、可以實(shí)時(shí)檢測(cè)；但是只能適用于比較簡(jiǎn)單的攻擊方式。它將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式串進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。著名的輕量級(jí)開(kāi)放源代碼入侵檢測(cè)系統(tǒng)Snort就是采用這種技術(shù)。2.專(zhuān)家系統(tǒng)

該技術(shù)根據(jù)安全專(zhuān)家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則，然后在此基礎(chǔ)上建立相應(yīng)的專(zhuān)家系統(tǒng)來(lái)自動(dòng)對(duì)所涉及的入侵行為進(jìn)行分析。該系統(tǒng)應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。專(zhuān)家系統(tǒng)方法存在一些實(shí)際問(wèn)題：處理海量數(shù)據(jù)時(shí)存在效率問(wèn)題，這是由于專(zhuān)家系統(tǒng)的推理和決策模塊通常使用解釋型語(yǔ)言來(lái)實(shí)現(xiàn)，所以執(zhí)行速度比編譯型語(yǔ)言慢；專(zhuān)家系統(tǒng)的性能完全取決于設(shè)計(jì)者的知識(shí)和技能；規(guī)則庫(kù)維護(hù)非常艱巨，更改規(guī)則時(shí)必須考慮到對(duì)知識(shí)庫(kù)中其他規(guī)則的影響等等。3.狀態(tài)遷移法

狀態(tài)遷移圖可用來(lái)描述系統(tǒng)所處的狀態(tài)和狀態(tài)之間可能的遷移。狀態(tài)遷移圖用于入侵檢測(cè)時(shí)，表示了入侵者從合法狀態(tài)遷移到最終的危害狀態(tài)所采取的一系列行動(dòng)。

在檢測(cè)未知的脆弱性時(shí)，因?yàn)闋顟B(tài)遷移法強(qiáng)調(diào)的是系統(tǒng)處于易受損的狀態(tài)而不是未知入侵的審計(jì)特征，因此這種方法更具有健壯性。而它潛在的一個(gè)弱點(diǎn)是太拘泥于預(yù)先定義的狀態(tài)遷移序列。這種模型運(yùn)行在原始審計(jì)數(shù)據(jù)的抽象層次上，它利用系統(tǒng)狀態(tài)的觀念和事件的轉(zhuǎn)變流；這就有可能提供了一種既能減少誤警率又能檢測(cè)到新的攻擊的途徑。另外，因?yàn)樯婕傲吮容^高層次的抽象，有希望把它的知識(shí)庫(kù)移植到不同的機(jī)器、網(wǎng)絡(luò)和應(yīng)用的入侵檢測(cè)上。2.4.2 異常入侵檢測(cè)技術(shù)

異常檢測(cè)是通過(guò)對(duì)系統(tǒng)異常行為的檢測(cè)來(lái)發(fā)現(xiàn)入侵。異常檢測(cè)的關(guān)鍵問(wèn)題在于正常使用模式的建立，以及如何利用該模式對(duì)當(dāng)前系統(tǒng)或用戶(hù)行為進(jìn)行比較，從而判斷出與正常模式的偏離程度。”模式”（profiles）通常使用一組系統(tǒng)的度量（metrics）來(lái)定義。度量，就是指系統(tǒng)或用戶(hù)行為在特定方面的衡量標(biāo)準(zhǔn)。每個(gè)度量都對(duì)應(yīng)于一個(gè)門(mén)限值。常用的異常檢測(cè)技術(shù)有： 1.統(tǒng)計(jì)分析

最早的異常檢測(cè)系統(tǒng)采用的是統(tǒng)計(jì)分析技術(shù)。首先，檢測(cè)器根據(jù)用戶(hù)對(duì)象的動(dòng)作為每個(gè)用戶(hù)建立一個(gè)用戶(hù)特征表，通過(guò)比較當(dāng)前特征與已存儲(chǔ)定型的以前特征，從而判斷是否異常行為。統(tǒng)計(jì)分析的優(yōu)點(diǎn)：有成熟的概率統(tǒng)計(jì)理論支持、維護(hù)方便，不需要象誤用檢測(cè)系統(tǒng)那樣不斷地對(duì)規(guī)則庫(kù)進(jìn)行更新和維護(hù)等。統(tǒng)計(jì)分析的缺點(diǎn)：大多數(shù)統(tǒng)計(jì)分析系統(tǒng)是以批處理的方式對(duì)審計(jì)記錄進(jìn)行分析的，不能提供對(duì)入侵行為的實(shí)時(shí)檢測(cè)、統(tǒng)計(jì)分析不能反映事件在時(shí)間順序上的前后相關(guān)性，而不少入侵行為都有明顯的前后相關(guān)性、門(mén)限值的確定非常棘手等。2.神經(jīng)網(wǎng)絡(luò)

這種方法對(duì)用戶(hù)行為具有學(xué)習(xí)和自適應(yīng)功能，能夠根據(jù)實(shí)際檢測(cè)到的信息有效地加以處理并做出入侵可能性的判斷。利用神經(jīng)網(wǎng)絡(luò)所具有的識(shí)別、分類(lèi)和歸納能力，可以使入侵檢測(cè)系統(tǒng)適應(yīng)用戶(hù)行為特征的可變性。從模式識(shí)別的角度來(lái)看，入侵檢測(cè)系統(tǒng)可以使用神經(jīng)網(wǎng)絡(luò)來(lái)提取用戶(hù)行為的模式特征，并以此創(chuàng)建用戶(hù)的行為特征輪廓。總之，把神經(jīng)網(wǎng)絡(luò)引入入侵檢測(cè)系統(tǒng)，能很好地解決用戶(hù)行為的動(dòng)態(tài)特征以及搜索數(shù)據(jù)的不完整性、不確定性所造成的難以精確檢測(cè)的問(wèn)題。利用神經(jīng)網(wǎng)絡(luò)檢測(cè)入侵的基本思想是用一系列信息單元（命令）訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測(cè)輸出。將神經(jīng)網(wǎng)絡(luò)應(yīng)用于攻擊模式的學(xué)習(xí)，理論上也是可行的。但目前主要應(yīng)用于系統(tǒng)行為的學(xué)習(xí)，包括用戶(hù)以及系統(tǒng)守護(hù)程序的行為。與統(tǒng)計(jì)理論相比，神經(jīng)網(wǎng)絡(luò)更好地表達(dá)了變量間的非線(xiàn)性關(guān)系，并且能自動(dòng)學(xué)習(xí)并更新。

神經(jīng)網(wǎng)絡(luò)也存在一些問(wèn)題：在不少情況下，系統(tǒng)趨向于形成某種不穩(wěn)定的網(wǎng)絡(luò)結(jié)構(gòu)，不能從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)特定的知識(shí)，這種情況目前尚不能完全確定產(chǎn)生的原因；另外，神經(jīng)網(wǎng)絡(luò)對(duì)判斷為異常的事件不會(huì)提供任何解釋或說(shuō)明信息，這導(dǎo)致了用戶(hù)無(wú)法確認(rèn)入侵的責(zé)任人，也無(wú)法判斷究竟是系統(tǒng)哪方面存在的問(wèn)題導(dǎo)致了攻擊者得以成功入侵。

前面介紹了誤用檢測(cè)和異常檢測(cè)所使用的一些常用檢測(cè)手段，在近期入侵檢測(cè)系統(tǒng)的發(fā)展過(guò)程中，研究人員提出了一些新的入侵檢測(cè)技術(shù)。這些技術(shù)不能簡(jiǎn)單地歸類(lèi)為誤用檢測(cè)或異常檢測(cè)，它們提供了一種有別于傳統(tǒng)入侵檢測(cè)視角的技術(shù)層次。這些新技術(shù)有：免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘、基于代理的檢測(cè)等等，他們提供了更具有普遍意義的分析檢測(cè)技術(shù)，或者提出了新的檢測(cè)系統(tǒng)構(gòu)架，因此無(wú)論是對(duì)誤用檢測(cè)還是對(duì)異常檢測(cè)來(lái)說(shuō)都可以得到很好的應(yīng)用。

第三章 協(xié)議分析

3.1 協(xié)議分析簡(jiǎn)介 1.以太幀協(xié)議分析

這是對(duì)以太網(wǎng)數(shù)據(jù)幀頭進(jìn)行協(xié)議分析，并把分析的結(jié)果記入Packet結(jié)構(gòu)中。分析完以太幀頭后把數(shù)據(jù)包傳送到下一級(jí)協(xié)議分析程序中。數(shù)據(jù)幀的第13和14兩個(gè)字節(jié)組成的字段是協(xié)議類(lèi)型字段。如果用十六進(jìn)制表示，那么IP協(xié)議對(duì)應(yīng)0X0800、ARP對(duì)應(yīng)0X0806、RARP對(duì)應(yīng)0X0835。2.ARP和RARP數(shù)據(jù)包協(xié)議分析

這是對(duì)ARP或RARP數(shù)據(jù)進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于ICMP協(xié)議規(guī)則集的匹配檢測(cè)模塊進(jìn)行檢測(cè)，查看是否存在ARP和RARP相關(guān)的攻擊。由于基于ARP/RARP協(xié)議的攻擊較少，所以把他們歸入ICMP協(xié)議規(guī)則集中。3.IP數(shù)據(jù)包協(xié)議分析

這是對(duì)IP 數(shù)據(jù)包進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于IP協(xié)議規(guī)則集的匹配檢測(cè)程序中進(jìn)行檢測(cè)。IP數(shù)據(jù)包首部的第一個(gè)字節(jié)的后面4個(gè)比特組成的字段標(biāo)識(shí)了IP首部的長(zhǎng)度。該字段的值乘以4就等于IP首部的長(zhǎng)度。沒(méi)有包含IP選項(xiàng)的普通IP首部長(zhǎng)度為20，如果大于20就說(shuō)明此IP數(shù)據(jù)包包含IP首部。第5和第6個(gè)字節(jié)是IP數(shù)據(jù)包的16位標(biāo)識(shí)，每一IP數(shù)據(jù)包都有唯一的標(biāo)識(shí)。該標(biāo)識(shí)在IP數(shù)據(jù)包分片重組時(shí)中起到至關(guān)重要的作用，每個(gè)分片就是通過(guò)檢查此ID號(hào)來(lái)判別是否屬于同一個(gè)IP包。第7個(gè)字節(jié)開(kāi)始的前3個(gè)比特是重要的標(biāo)志位：第一個(gè)標(biāo)志位（最高位）為保留位（該位必須為0，否則就是一個(gè)錯(cuò)誤的IP數(shù)據(jù)包），第二個(gè)標(biāo)志位DF指示該IP數(shù)據(jù)包能否分片（該位為0則表示該IP數(shù)據(jù)包可以分片，為1則不能分片），第三個(gè)標(biāo)志位MF指示該數(shù)據(jù)包是否為最后一個(gè)分片（該位為0表示此數(shù)據(jù)包是最后一個(gè)分片，為1表示不是最后一個(gè)分片）。從MF標(biāo)志位開(kāi)始的后面13個(gè)比特位記錄了分片的偏移量。分片的IP數(shù)據(jù)包，各個(gè)分片到目的端才會(huì)重組；傳輸過(guò)程中每個(gè)分片可以獨(dú)立選路。如何才能重組一個(gè)分片了的IP數(shù)據(jù)包呢？首先，16位分片ID（Fragment ID）標(biāo)識(shí)了每個(gè)IP數(shù)據(jù)包的唯一性。數(shù)據(jù)包分片后，它的每個(gè)分片具有相同的標(biāo)識(shí)。其次，通過(guò)每個(gè)分片的片偏移量可以確定每個(gè)分片的位置，再結(jié)合MF可以判斷該分片是否為最后一個(gè)分片。綜合上述信息，就可以順利的重組一個(gè)數(shù)據(jù)包。分片重組對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有重要意義。首先，有一些攻擊方法利用了操作系統(tǒng)協(xié)議棧中分片合并實(shí)現(xiàn)上的漏洞，例如著名的TearDrop攻擊就是在短時(shí)間內(nèi)發(fā)送若干偏移量有重疊的分片，目標(biāo)機(jī)接收到這樣的分片的時(shí)候就會(huì)合并分片，由于其偏移量的重疊而發(fā)生內(nèi)存錯(cuò)誤，甚至?xí)?dǎo)致協(xié)議棧的崩潰。這種攻擊手段單從一個(gè)數(shù)據(jù)包上是無(wú)法辨認(rèn)的，需要在協(xié)議分析中模擬操作系統(tǒng)的分片合并，以發(fā)現(xiàn)不合法的分片。另外，Tiny Fragment（極小分片）等攻擊方法，將攻擊信息隱藏在多個(gè)微小分片內(nèi)來(lái)繞過(guò)入侵檢測(cè)系統(tǒng)或防火墻的檢測(cè)從而達(dá)到攻擊的目的。對(duì)付這種攻擊也需要在檢測(cè)的過(guò)程中合并碎片，恢復(fù)數(shù)據(jù)包的真實(shí)面目。

IP包頭的第10個(gè)字節(jié)開(kāi)始的后面八個(gè)比特位表示了協(xié)議的類(lèi)型：其中1表示ICMP協(xié)議，2表示IGMP協(xié)議，6表示TCP協(xié)議，17表示UDP協(xié)議。（這些數(shù)字是十進(jìn)制的）。對(duì)IP數(shù)據(jù)包檢測(cè)完畢后，如果檢測(cè)到攻擊就記錄該數(shù)據(jù)包，然后重新開(kāi)始檢測(cè)一個(gè)新的原始數(shù)據(jù)包。如果沒(méi)有檢測(cè)到攻擊，則在判斷上層協(xié)議類(lèi)型之后就把數(shù)據(jù)包分流到TCP、UDP等協(xié)議分析程序中進(jìn)行進(jìn)一步協(xié)議分析。4.TCP數(shù)據(jù)包協(xié)議分析

這是對(duì)TCP數(shù)據(jù)包進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于TCP協(xié)議規(guī)則集的匹配檢測(cè)程序中進(jìn)行檢測(cè)。首先讀入TCP數(shù)據(jù)包，對(duì)TCP包頭進(jìn)行協(xié)議分析；并檢查是否有TCP選項(xiàng)，如果有的話(huà)就對(duì)TCP選項(xiàng)進(jìn)行協(xié)議分析。然后，判斷該TCP數(shù)據(jù)包是否發(fā)生分段，如果發(fā)生了分段就進(jìn)行TCP重組。再把重組后的數(shù)據(jù)包送入基于TCP協(xié)議規(guī)則集的匹配檢測(cè)程序進(jìn)行檢測(cè)。如果檢測(cè)到攻擊就記錄下該攻擊數(shù)據(jù)包，以備攻擊取證等使用。記錄數(shù)據(jù)包后又返回，重新讀取一個(gè)新的數(shù)據(jù)包。如果沒(méi)有檢測(cè)到攻擊，就把該數(shù)據(jù)包送入下一級(jí)協(xié)議分析模塊中，作進(jìn)一步的協(xié)議分析。

5.ICMP數(shù)據(jù)包協(xié)議分析

這是對(duì)ICMP數(shù)據(jù)包進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于ICMP協(xié)議規(guī)則集的匹配檢測(cè)程序中進(jìn)行檢測(cè)。ICMP報(bào)文有很多類(lèi)型，根據(jù)報(bào)文中的類(lèi)型字段和代碼字段就可以區(qū)分每一種ICMP報(bào)文類(lèi)型。6.UDP協(xié)議分析

這是對(duì)UDP數(shù)據(jù)包進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于UDP協(xié)議規(guī)則集的匹配檢測(cè)程序中進(jìn)行檢測(cè)。如果檢測(cè)到攻擊就記錄該數(shù)據(jù)包，然后返回并讀取下一個(gè)數(shù)據(jù)包。如果沒(méi)有檢測(cè)到攻擊，那么就把數(shù)據(jù)包送入基于應(yīng)用層協(xié)議規(guī)則集的檢測(cè)模塊進(jìn)行進(jìn)一步的檢測(cè)分析。應(yīng)用層協(xié)議很復(fù)雜，這里不進(jìn)行詳細(xì)討論。

3.2 協(xié)議分析的優(yōu)勢(shì)（1）提高性能：當(dāng)系統(tǒng)提升協(xié)議棧來(lái)解析每一層時(shí)，它用已獲得的知識(shí)來(lái)消除在數(shù)據(jù)包結(jié)構(gòu)中不可能出現(xiàn)的攻擊。比如4層協(xié)議是TCP，那就不用再搜索其他第四層協(xié)議如UDP上形成的攻擊。如果數(shù)據(jù)包最高層是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP（Simple Network Management Protocol），那就不用再尋找Telnet或HTTP攻擊。這樣檢測(cè)的范圍明顯縮小，而且更具有針對(duì)性；從而使得IDS系統(tǒng)性能得到明顯改善。

（2）能夠探測(cè)碎片攻擊等基于協(xié)議漏洞的攻擊：在基于協(xié)議分析的IDS中，各種協(xié)議都被解析。如果出現(xiàn)IP分片，數(shù)據(jù)包將首先被重裝；然后再對(duì)整個(gè)數(shù)據(jù)包進(jìn)行詳細(xì)分析來(lái)檢測(cè)隱藏在碎片中的潛在攻擊行為。這是采用傳統(tǒng)模式匹配技術(shù)的NIDS所無(wú)法做到的。（3）降低誤報(bào)和漏報(bào)率：協(xié)議分析能減少傳統(tǒng)模式匹配N(xiāo)IDS系統(tǒng)中常見(jiàn)的誤報(bào)和漏報(bào)現(xiàn)象。在基于協(xié)議分析的NIDS系統(tǒng)中誤報(bào)率會(huì)明顯減少，因?yàn)樗鼈冎篮兔總€(gè)協(xié)議有關(guān)的潛在攻擊的確切位置以及該位置每個(gè)字節(jié)的真正含義。例如，針對(duì)基于協(xié)議分析的IDS不但能識(shí)別簡(jiǎn)單的路徑欺騙：例如把CGI攻擊”/cgi-bin/phf”變?yōu)椤?cgi-bin/./phf”或”/cgi-binphf”；而且也能識(shí)別復(fù)雜的HEX編碼欺騙：例如”/winnt/system32/cmd.exe”，編碼后變?yōu)椤?winnt/system32/%2563md.exe”，通過(guò)協(xié)議分析%25 解碼后為‘%’，%63解碼后為‘c’，這樣就解析出了攻擊串。又如針對(duì)Unicode（UTF-8）的編碼欺騙（與ASCII字符相關(guān)的HEX編碼一直到％7f，Unicode編碼值要高于它），攻擊串編碼后得到”/winnt/system32%c0%afcmd.exe”，通過(guò)解碼可知%c0%af在Unicode中對(duì)應(yīng)/,所以解碼后就能順利還原出攻擊串。第四章 PANIDS系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)

4.1 PANIDS系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)

PANIDS系統(tǒng) 主要由系統(tǒng)基本信息讀取模塊、網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、基于協(xié)議分析的入侵檢測(cè)模塊、響應(yīng)模塊和控制管理中心等幾部分組成。4.2 系統(tǒng)基本信息讀取模塊的設(shè)計(jì)及實(shí)現(xiàn)

為了更好的顯示出本機(jī)的特性，在此PANIDS系統(tǒng)中特別增加系統(tǒng)基本信息讀取模塊。通過(guò)此模塊能顯示出主機(jī)名和本機(jī)的IP地址和所使用的Winsock的版本

在此模塊中主要用到函數(shù)gethostname()和gethostbyname()。gethostname()函數(shù)作用是獲取本地主機(jī)的主機(jī)名，其定義如下：

int PASCAL FAR gethostname(char FAR * name, int namelen);name：用于指向所獲取的主機(jī)名的緩沖區(qū)的指針。Namelen：緩沖區(qū)的大小，以字節(jié)為單位。

gethostbyname()在此模塊中是一個(gè)主要函數(shù)，該函數(shù)可以從主機(jī)名數(shù)據(jù)庫(kù)中得到對(duì)應(yīng)的”主機(jī)”。其定義如下：

#include struct hostent FAR *PASCAL FAR gethostbyname(const char FAR * addr)name：指向主機(jī)名的指針。

gethostbyname()返回對(duì)應(yīng)于給定主機(jī)名的包含主機(jī)名字和地址信息的hostent結(jié)構(gòu)指針。結(jié)構(gòu)的聲明與gethostaddr()中一致。如果沒(méi)有錯(cuò)誤發(fā)生，gethostbyname()返回如上所述的一個(gè)指向hostent結(jié)構(gòu)的指針，否則，返回一個(gè)空指針。hostent結(jié)構(gòu)的數(shù)據(jù)結(jié)構(gòu)如下： struct hostent { char *h_name;//地址的正式名稱(chēng)

char **h_aliases;//空字節(jié)-地址的預(yù)備名稱(chēng)的指針 int h_addrtype;//地址類(lèi)型，通常是AF_INET int h_length;//地址的比特長(zhǎng)度

char **h_addr_list;//零字節(jié)-主機(jī)網(wǎng)絡(luò)地址指針,網(wǎng)絡(luò)字節(jié)順序 };返回的指針指向一個(gè)由Windows Sockets實(shí)現(xiàn)分配的結(jié)構(gòu)。應(yīng)用程序不應(yīng)該試圖修改這個(gè)結(jié)構(gòu)或者釋放它的任何部分。此外，每一線(xiàn)程僅有一份這個(gè)結(jié)構(gòu)的拷貝，所以應(yīng)用程序應(yīng)該在發(fā)出其他Windows Scokets API調(diào)用前，把自己所需的信息拷貝下來(lái)。

gethostbyname()實(shí)現(xiàn)沒(méi)有必要識(shí)別傳送給它的IP地址串。對(duì)于這樣的請(qǐng)求，應(yīng)該把IP地址串當(dāng)作一個(gè)未知主機(jī)名同樣處理。如果應(yīng)用程序有IP地址串需要處理，它應(yīng)該使用inet_addr()函數(shù)把地址串轉(zhuǎn)換為IP地址，然后調(diào)用gethostbyaddr()來(lái)得到hostent結(jié)構(gòu)。4.3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊的設(shè)計(jì)及實(shí)現(xiàn) 網(wǎng)絡(luò)數(shù)據(jù)包捕獲的方法有很多，比如既可以利用原始套接字來(lái)實(shí)現(xiàn)，也可以通過(guò)Libpcap、Jpcap和WinPcap 提供的接口函數(shù)來(lái)實(shí)現(xiàn)。Libpcap、Jpcap和WinPcap是世界各地的網(wǎng)絡(luò)專(zhuān)家共同努力的結(jié)果，為開(kāi)發(fā)者提供了很多高效且與系統(tǒng)無(wú)關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包截獲接口函數(shù)；所以在性能上一般比采用普通的套接字方法要好。LibPcap是一個(gè)優(yōu)秀跨平臺(tái)的網(wǎng)絡(luò)抓包開(kāi)發(fā)工具，JPcap是它的一個(gè)Java版本。WinPcap在某種程度上可以說(shuō)它是LibPcap的一個(gè)Windows版本，因?yàn)樗鼈兊拇蟛糠纸涌诤瘮?shù)以及所采用的數(shù)據(jù)結(jié)構(gòu)都是一樣的。另外，WinPcap在某些方面進(jìn)行了優(yōu)化，還提供了發(fā)送原始數(shù)據(jù)包和統(tǒng)計(jì)網(wǎng)絡(luò)通信過(guò)程中各種信息的功能（LibPcap沒(méi)有統(tǒng)計(jì)功能），方便進(jìn)行測(cè)試；所以采用WinPcap所提供的庫(kù)函數(shù)來(lái)截獲網(wǎng)絡(luò)數(shù)據(jù)包。

Winpcap捕獲數(shù)據(jù)包的實(shí)現(xiàn)

1.網(wǎng)絡(luò)數(shù)據(jù)包捕獲的主要數(shù)據(jù)結(jié)構(gòu)(1)PACKET結(jié)構(gòu)

typedef struct _PACKET { HANDLE hEvent;OVERLAPPED OverLapped;PVOID Buffer;//這個(gè)buffer就是指向存放數(shù)據(jù)包的用戶(hù)緩沖區(qū) UINT Length;//buffer的長(zhǎng)度

DWORD ulBytesReceived;//調(diào)用PacketReceivePacket()函數(shù)所讀 //取的字節(jié)數(shù),可能包含多個(gè)數(shù)據(jù)包 BOOLEAN bIoComplete;} PACKET, *LPPACKET;其他未注釋的幾個(gè)成員,都是過(guò)時(shí)的成員,他們的存在只是為了與原來(lái)的兼容。此結(jié)構(gòu)主要用來(lái)存放從內(nèi)核中讀取的數(shù)據(jù)包。(2)pcap_file_header 結(jié)構(gòu) struct pcap_file_header{ bpf_u_int32 magic;//一個(gè)標(biāo)識(shí)號(hào)，標(biāo)識(shí)特定驅(qū)動(dòng)器產(chǎn)生的dump文件 u_short version_major;//WinPcap的主版本號(hào) u_short version_minor;//WinPcap的次版本號(hào)

bpf_int32 thiszone;//GMT時(shí)間與本地時(shí)間的校正值 bpf_u_int32 sigfigs;//精確的時(shí)間戳

bpf_u_int32 snaplen;//每個(gè)數(shù)據(jù)包需要存放到硬盤(pán)上的最大長(zhǎng)度 bpf_u_int32 linktype;//鏈路層的數(shù)據(jù)類(lèi)型 };//這個(gè)頭部共24個(gè)字節(jié)

把截獲的數(shù)據(jù)包以標(biāo)準(zhǔn)的Windump格式存放到硬盤(pán)上時(shí)，就是以這個(gè)結(jié)構(gòu) 作為文件的開(kāi)頭。(3)bpf_hdr結(jié)構(gòu) struct bpf_hdr { struct timeval bh_tstamp;//數(shù)據(jù)包捕獲的時(shí)間戳信息 UINT bh_caplen;//數(shù)據(jù)包被捕獲部分的長(zhǎng)度 UINT bh_datalen;//數(shù)據(jù)的原始長(zhǎng)度 USHORT bh_hdrlen;//此結(jié)構(gòu)的長(zhǎng)度 };從內(nèi)核中讀取數(shù)據(jù)包并存放在用戶(hù)緩沖區(qū)中時(shí)，采用此結(jié)構(gòu)來(lái)封裝所截獲的 數(shù)據(jù)包。其中timeval的結(jié)構(gòu)如下 struct timeval { long tv_sec;//以秒為單位的時(shí)間 long tv_usec;//以毫秒為單位的時(shí)間 };(4)dump_bpf_hdr結(jié)構(gòu) struct dump_bpf_hdr{ struct timeval ts;//數(shù)據(jù)包捕獲的時(shí)間戳 UINT caplen;//數(shù)據(jù)包被捕獲部分的長(zhǎng)度 UINT len;//數(shù)據(jù)包的原始長(zhǎng)度 };把數(shù)據(jù)包存放到硬盤(pán)上或者向網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)包時(shí)，都使用此結(jié)構(gòu)來(lái)封裝每一個(gè)數(shù)據(jù)包。

2.數(shù)據(jù)包捕獲的具體實(shí)現(xiàn)

在了解其數(shù)據(jù)結(jié)構(gòu)的基礎(chǔ)上，下面來(lái)分析其是如何具體實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包捕獲的。其前期的主要過(guò)程應(yīng)為：首先應(yīng)找到設(shè)備列表，然后顯示適配器列表和選擇適配器，最后通過(guò)pcap_open_live（）函數(shù)根據(jù)網(wǎng)卡名字將所選的網(wǎng)卡打開(kāi)，并設(shè)置為混雜模式。

用Winpacp捕獲數(shù)據(jù)包時(shí)，數(shù)據(jù)包捕獲的程序流程圖如圖4.3所示，其中pcap_loop()是截包的關(guān)鍵環(huán)節(jié)，它是一個(gè)循環(huán)截包函數(shù)，分析此函數(shù)的源碼可知，其內(nèi)部主要處理過(guò)程如圖4.4所示。在pcap_loop()的每次循環(huán)中，首先通過(guò)調(diào)用PacketReceivePacket()函數(shù)，從內(nèi)核緩沖區(qū)中把一組數(shù)據(jù)包讀取到用戶(hù)緩沖區(qū)。然后，根據(jù)bpf_hdr結(jié)構(gòu)提供的該數(shù)據(jù)包的定位信息，把用戶(hù)緩沖區(qū)的多個(gè)數(shù)據(jù)包逐個(gè)的提取出來(lái)，并依次送入回調(diào)函數(shù)進(jìn)行進(jìn)一步處理。通過(guò)這個(gè)過(guò)程就實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。

4.4 基于協(xié)議分析的入侵檢測(cè)模塊的設(shè)計(jì)及實(shí)現(xiàn)

此模塊是基于協(xié)議分析入侵檢測(cè)系統(tǒng)PANIDS的核心部分，下面我們重點(diǎn)討論此模塊的設(shè)計(jì)及實(shí)現(xiàn)。4.4.1 數(shù)據(jù)包的分解 當(dāng)需要發(fā)送數(shù)據(jù)時(shí)，就需要進(jìn)行封裝。封裝的過(guò)程就是把用戶(hù)數(shù)據(jù)用協(xié)議來(lái)進(jìn)行封裝，首先由應(yīng)用層協(xié)議進(jìn)行封裝，如HTTP協(xié)議。而HTTP協(xié)議是基于TCP協(xié)議的。它就被TCP協(xié)議進(jìn)行封裝，http包作為T(mén)CP數(shù)據(jù)段的數(shù)據(jù)部分。而TCP協(xié)議是基于IP協(xié)議的，所以TCP段就作為IP協(xié)議的數(shù)據(jù)部分，加上IP協(xié)議頭，就構(gòu)成了IP數(shù)據(jù)報(bào)，而IP數(shù)據(jù)報(bào)是基于以太網(wǎng)的，所以這個(gè)時(shí)候就被封裝成了以太網(wǎng)幀，這個(gè)時(shí)候就可以發(fā)送數(shù)據(jù)了。通過(guò)物理介質(zhì)進(jìn)行傳送。在這里我們所用到的是數(shù)據(jù)包的分解。分解的過(guò)程與封裝的過(guò)程恰恰相反，這個(gè)時(shí)候就需要從一個(gè)以太網(wǎng)幀中讀出用戶(hù)數(shù)據(jù)，就需要一層一層地進(jìn)行分解，首先是去掉以太網(wǎng)頭和以太網(wǎng)尾，在把剩下的部分傳遞給IP層軟件進(jìn)行分解，去掉IP頭，然后把剩下的傳遞給傳輸層，例如TCP協(xié)議，此時(shí)就去掉TCP頭，剩下應(yīng)用層協(xié)議部分?jǐn)?shù)據(jù)包了，例如HTTP協(xié)議，此時(shí)HTTP協(xié)議軟件模塊就會(huì)進(jìn)一步分解，把用戶(hù)數(shù)據(jù)給分解出來(lái)，例如是HTML代碼。這樣應(yīng)用軟件就可以操作用戶(hù)數(shù)據(jù)了，如用瀏覽器來(lái)瀏覽HTML頁(yè)面。其具體的數(shù)據(jù)包分解如下：

ethernet =(struct sniff_ethernet*)(pkt_data);ip =(struct sniff_ip*)(pkt_data + size_ethernet);tcp =(struct sniff_tcp*)(pkt_data + size_ethernet + size_ip);udp =(struct sniff_udp*)(pkt_data + size_ethernet + size_ip);icmp =(struct sniff_icmp*)(pkt_data + size_ethernet + size_ip);4.4.2 入侵檢測(cè)的實(shí)現(xiàn)

通過(guò)Winpcap捕獲數(shù)據(jù)包，數(shù)據(jù)包分解完以后就對(duì)其進(jìn)行協(xié)議分析，判斷分組是否符合某種入侵模式，如果符合，則進(jìn)行入侵告警。在本系統(tǒng)中實(shí)現(xiàn)了對(duì)多種常見(jiàn)入侵模式的檢測(cè)，采用的入侵模式包括ICMP分片、常用端口、IGMP分片、WinNuke攻擊、應(yīng)用層攻擊。1.ICMP分片

ICMP報(bào)文是TCP/IP協(xié)議中一種控制報(bào)文，它的長(zhǎng)度一般都比較小，如果出現(xiàn)ICMP報(bào)文分片，那么說(shuō)明一定出現(xiàn)了Ping of Death攻擊。

在本系統(tǒng)中ip->ip_p == 0×1，這是表示ip首部的協(xié)議類(lèi)型字段，0×1代表ICMP。

string str1 = inet_ntoa(in_addrIP);string str2 = inet_ntoa(ip->ip_src);當(dāng)(ip->ip_off > 1)&& str1!= str2時(shí)，就表認(rèn)為是Ping of Death攻擊。如果都符合，就報(bào)警（調(diào)用函數(shù)將受到攻擊的時(shí)間、攻擊名稱(chēng)以及攻擊的IP地址顯示出來(lái)）。

2.常用端口

一些攻擊特洛伊木馬、蠕蟲(chóng)病毒等都會(huì)采用一些固定端口進(jìn)行通信，那么如果在分組分析過(guò)程中發(fā)現(xiàn)出現(xiàn)了某個(gè)端口的出現(xiàn)，則可以認(rèn)為可能出現(xiàn)了某種攻擊，這里為了減少誤判，應(yīng)當(dāng)設(shè)置一個(gè)閾值，僅當(dāng)某個(gè)端口的分組出現(xiàn)超過(guò)閾值后才進(jìn)行報(bào)警。這就意味著檢測(cè)到發(fā)往某個(gè)端口的的分組超過(guò)閾值后才認(rèn)為出現(xiàn)了某種攻擊，并進(jìn)行告警。本系統(tǒng)定義了兩種端口掃描，Trojan Horse端口掃描和代理服務(wù)器端口掃描。Trojan Horse端口掃描實(shí)現(xiàn)如下：首先根據(jù)if((tcp->th_flags & TH_SYN)==TH_SYN)判斷其是否為T(mén)CP SYN報(bào)文，若是，并且端口為T(mén)rojan Horse的常用掃描端口時(shí)，最后判斷報(bào)文數(shù)是否超過(guò)閾值TrojanThreshold，如果超過(guò)的后，就被認(rèn)定為T(mén)rojan Horse端口掃描，然后報(bào)警。對(duì)代理服務(wù)器端口掃描檢測(cè)的實(shí)現(xiàn)方法和Trojan Horse端口掃描實(shí)現(xiàn)方法一樣，這里不再論述。

3.IGMP分片

IGMP（Internet Group Message Protocol）是Internet中多播組管理協(xié)議，其長(zhǎng)度也一般較小。同上ip->ip_p==0×2也是表示首部的協(xié)議類(lèi)型字段，0×2代表IGMP，本系統(tǒng)實(shí)現(xiàn)了對(duì)其兩種攻擊模式的檢測(cè)。

（1）通過(guò)if(ntohs(ip->ip_len)>1499)首先判斷其是否為分片的IGMP報(bào)文，若是，并且收到的報(bào)文數(shù)超過(guò)設(shè)定的閾值IGMPThreshold，則就最終判定其為IGMP DoS攻擊，然后報(bào)警。

（2）通過(guò)if(strcmp(mbf,mbuffer)==0||strcmp(mbf,”0.0.0.0″)==0)判斷其是否為某種特定的源地址等于目的地址或者目的地址等于0的報(bào)文，若是，并且收到的報(bào)文數(shù)超過(guò)設(shè)定的閾值LandThreshold則被判定為land DoS攻擊,然后報(bào)警。

4.WinNuke攻擊 通過(guò)if((tcp->th_flags & TH_URG)==TH_URG)判斷其是否為T(mén)CP URG報(bào)文，若是，則根據(jù)WinNuke的典型特征是使用TCP中的Ugrent指針，并使用135、137、138、139端口，因此可以利用這兩個(gè)特征加以判斷，同樣為了減少誤判，應(yīng)當(dāng)設(shè)置一個(gè)閾值。當(dāng)閾值超過(guò)設(shè)定的WinNukeThreshold時(shí)，就被最終判定為WinNuke攻擊，然后報(bào)警。5.應(yīng)用層攻擊

其是分析應(yīng)用層的數(shù)據(jù)特征，判斷是否存在入侵。在本系統(tǒng)中實(shí)現(xiàn)了對(duì)一種較為簡(jiǎn)單的應(yīng)用層攻擊的檢測(cè)。它也是屬于TCP SYN報(bào)文中的一種。主要思想是監(jiān)測(cè)報(bào)文中是否存在system32關(guān)鍵字，如果存在，則報(bào)警。

4.5 實(shí)驗(yàn)結(jié)果及結(jié)論

程序編譯成功后，執(zhí)行可執(zhí)行文件，此時(shí)系統(tǒng)已被啟動(dòng)，然后在”設(shè)置”菜單中將網(wǎng)卡設(shè)為混雜模式，點(diǎn)擊”開(kāi)始”按鈕，本系統(tǒng)開(kāi)始檢測(cè)。由實(shí)驗(yàn)結(jié)果可知，本系統(tǒng)能較好的檢測(cè)出一些典型攻擊，并能在界面上顯示出攻擊日期/時(shí)間、攻擊的類(lèi)型、攻擊源的IP地址，達(dá)到了預(yù)期的效果。

第五章 總結(jié)與參考文獻(xiàn)

入侵檢測(cè)是一種積極主動(dòng)的安全防護(hù)技術(shù)；它既能檢測(cè)未經(jīng)授權(quán)的對(duì)象入侵系統(tǒng)，又能監(jiān)視授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作。入侵檢測(cè)與防火墻、身份認(rèn)證、數(shù)據(jù)加密、數(shù)字簽名等安全技術(shù)共同構(gòu)筑了一個(gè)多層次的動(dòng)態(tài)安全體系。本文主要對(duì)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)進(jìn)行了研究和探討。首先較全面、系統(tǒng)地分析了入侵檢測(cè)技術(shù)的歷史、現(xiàn)狀和發(fā)展趨勢(shì)、了解了黑客常用的攻擊手段及其原理。然后，系統(tǒng)地闡述了入侵檢測(cè)的原理。接著講述了協(xié)議分析和模式匹配技術(shù)，最后，針對(duì)當(dāng)前典型的網(wǎng)絡(luò)入侵，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)PANIDS，實(shí)現(xiàn)了多層次的協(xié)議分析，包括基本協(xié)議的解析、協(xié)議上下文的關(guān)聯(lián)分析以及應(yīng)用層協(xié)議的分析，并取得了較為滿(mǎn)意的檢測(cè)效果。

[1] 戴英俠，連一峰，王航.系統(tǒng)安全與入侵檢測(cè)[M].北京：清華大學(xué)出版社 [2] 聶元銘，丘平.網(wǎng)絡(luò)信息安全技術(shù)[M].北京：科學(xué)出版社

[3] 董玉格，金海，趙振.攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)[M].北京：人民 郵電出版社 [4] 戴云,范平志.入侵檢測(cè)系統(tǒng)研究綜述[J].計(jì)算機(jī)工程與應(yīng)用 [5] 劉文淘.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[M].北京：電子工業(yè)出版社，

第三篇：6 飛機(jī)訂票系統(tǒng)開(kāi)發(fā)總結(jié)報(bào)告

文檔編號(hào): 版本號(hào):v1.0

開(kāi)發(fā)總結(jié)報(bào)告

項(xiàng)目名稱(chēng)

飛機(jī)訂票系統(tǒng) 項(xiàng)目負(fù)責(zé)人

何柳青 本文檔編寫(xiě)者 何柳青 項(xiàng)目開(kāi)發(fā)者

計(jì)算機(jī)081第二組

2010年12月20日 目錄

1.引言.....................................................................1

1.1.編寫(xiě)目的......................................................................................................................................1 1.2背景...............................................................................................................................................1 1.3參考資料.......................................................................................................................................1

2、實(shí)際開(kāi)發(fā)結(jié)果............................................................1

2.1 產(chǎn)品..............................................................................................................................................1 2.2 主要功能和性能..........................................................................................................................2 2.3 基本流程......................................................................................................................................2 2.4 進(jìn)度..............................................................................................................................................3

3、開(kāi)發(fā)工作評(píng)價(jià)............................................................4

3.1 對(duì)生產(chǎn)效率的評(píng)價(jià)......................................................................................................................4

3.2 對(duì)產(chǎn)品質(zhì)量的評(píng)價(jià)......................................................................................................................4 3 對(duì)技術(shù)方法的評(píng)價(jià)..........................................................................................................................4 3.4 出錯(cuò)原因的評(píng)價(jià)..........................................................................................................................4

4、經(jīng)驗(yàn)與教訓(xùn)..............................................................4

1.引言

1.1.編寫(xiě)目的

本文檔將對(duì)《飛機(jī)訂票系統(tǒng)》軟件開(kāi)發(fā)需求進(jìn)行描述，目的是讓讀者能夠了本系統(tǒng)的開(kāi)發(fā)目的，開(kāi)發(fā)方法，以及目前的硬件和軟件的情況和開(kāi)發(fā)所需資金和設(shè)備。本文檔的預(yù)期讀者是項(xiàng)目策劃、設(shè)計(jì)和評(píng)審人員。

1.2背景

本項(xiàng)目的名稱(chēng)：飛機(jī)訂票系統(tǒng)

//項(xiàng)目任務(wù)提出者：中國(guó)民航及中國(guó)國(guó)際旅游開(kāi)發(fā)公司。項(xiàng)目開(kāi)發(fā)者：何柳靑，陸銀琳，李欣純，單國(guó)英，阿依古麗 項(xiàng)目與其他軟件，系統(tǒng)的關(guān)系：

本項(xiàng)目采用客戶(hù)機(jī)/服務(wù)器原理，客戶(hù)端的程序是建立在Windows NT 系統(tǒng)上以Microsoft Visual C++為開(kāi)發(fā)軟件的應(yīng)用程序，服務(wù)器端采用Linux 為操作系統(tǒng)的工作站，是采用Oracle 8的為開(kāi)發(fā)軟件的數(shù)據(jù)庫(kù)服務(wù)程序。

1.3參考資料

《軟件工程導(dǎo)論》 清華大學(xué)出版社 張海藩 編著 《實(shí)用軟件工程》 清華大學(xué)出版社 鄭人杰 等 編著

《數(shù)據(jù)庫(kù)系統(tǒng)概論(第三版)》 高等教育出版社 薩師煊 王珊等編著 《實(shí)用軟件文檔寫(xiě)作》 清華大學(xué)出版社 肖剛等 編著 《軟件工程》第3版 人民郵電出版社 張海藩等 編著

2、實(shí)際開(kāi)發(fā)結(jié)果

2.1 產(chǎn)品

飛機(jī)訂票系統(tǒng)是典型的小型信息管理系統(tǒng)(MIS),其開(kāi)發(fā)主要包括后臺(tái)數(shù)據(jù)庫(kù)的建立和維護(hù)以及前端應(yīng)用程序的開(kāi)發(fā)兩個(gè)方面。其專(zhuān)供飛機(jī)票務(wù)公司及航空公司使用，完全按照航空公司訂票流程研制而成，符合訂票規(guī)程，為航空公司訂票工作提供便利。2.2 主要功能和性能

功能：此系統(tǒng)功能分為管理員模塊和前臺(tái)票務(wù)員模塊；管理員模塊主要負(fù)責(zé)航班信息管理，包括增加新航班、修改原有航班、刪除航班的功能；前臺(tái)票務(wù)員模塊包括乘客信息管理、訂票管理、航班查詢(xún)的功能。

性能：能夠高效而且快速的管理航班信息及訂票功能，航班查詢(xún)可在較短時(shí)間內(nèi)完成，數(shù)據(jù)能夠?qū)崟r(shí)反映到終端，以確保信息查詢(xún)的準(zhǔn)確性，方便乘客訂票，減少系統(tǒng)錯(cuò)誤。

2.3 基本流程

飛機(jī)訂票系統(tǒng)基本流程如圖1。

開(kāi)始進(jìn)入用戶(hù)登錄界面是否為后臺(tái)數(shù)據(jù)管理員NO YES是否訂票NOYES查看航班信息YESNO是否改簽NOYES查詢(xún)顯示航班信息YES是否修改退票改簽訂票修改信息NO結(jié)束

圖1.系統(tǒng)處理流程

2.4 進(jìn)度

原計(jì)劃此項(xiàng)目的完成時(shí)間為71天，實(shí)際所花時(shí)間為91天，比原計(jì)劃延遲了20天左右，其主要原因是進(jìn)入設(shè)計(jì)階段時(shí)，開(kāi)發(fā)人員技術(shù)的不成熟，花了較多時(shí)間來(lái)完成基本知識(shí)的鞏固。

3、開(kāi)發(fā)工作評(píng)價(jià)

3.1 對(duì)生產(chǎn)效率的評(píng)價(jià)

此開(kāi)發(fā)小組為五名成員組成的小隊(duì)伍，平均以每周一份文檔的生產(chǎn)效率完成此次設(shè)計(jì)工作，在設(shè)計(jì)階段，以?xún)芍芤环菸臋n的生產(chǎn)效率完成，基本符合工作計(jì)劃。

3.2 對(duì)產(chǎn)品質(zhì)量的評(píng)價(jià) 在測(cè)試中檢查出來(lái)的程序編織中的錯(cuò)誤發(fā)生率為：每千條指令中的錯(cuò)誤指令數(shù)大約在30-150范圍內(nèi)。3 對(duì)技術(shù)方法的評(píng)價(jià)

在開(kāi)發(fā)的設(shè)計(jì)階段，我們主要使用了visio畫(huà)圖工具，將理論化的程序流程轉(zhuǎn)換成比較直觀的圖形，將老師傳授的知識(shí)運(yùn)用到實(shí)踐項(xiàng)目中，讓本小組五位組員都受益匪淺。

3.4 出錯(cuò)原因的評(píng)價(jià)

在開(kāi)發(fā)過(guò)程中，由于小組成員都是初次接觸大系統(tǒng)的開(kāi)發(fā)，所以由于技術(shù)上的不成熟造成屢屢失誤，但在隊(duì)友的齊心協(xié)力下還是突破了種種困難。

4、經(jīng)驗(yàn)與教訓(xùn)

總結(jié)一下這次項(xiàng)目的設(shè)計(jì)開(kāi)發(fā)，盡管走過(guò)一些彎路，開(kāi)始時(shí)組員之間交流不多，大家對(duì)項(xiàng)目了解不夠，按照自己的理解來(lái)編寫(xiě)文檔，讓項(xiàng)目一周一個(gè)樣，后來(lái)在老師的指導(dǎo)下，組員們常常交流各自意見(jiàn)，最終明確了項(xiàng)目的方向。實(shí)施過(guò)程中，在作圖時(shí)出現(xiàn)的問(wèn)題較多，通過(guò)組內(nèi)同學(xué)討論，老師指導(dǎo)以及網(wǎng)絡(luò)查詢(xún)，最終都糾正過(guò)來(lái)，總體來(lái)說(shuō)還是比較成功的，基本完成了用戶(hù)的需求。

這次的項(xiàng)目，還是有很多地方值得讓我們思考改進(jìn)的。上課時(shí)間不長(zhǎng)，老師的指導(dǎo)有限，我們要更高效地利用上課的幾十分鐘時(shí)間，讓老師盡可能地提意見(jiàn)，組員也應(yīng)該更加積極地參與到小組討論中來(lái)，大家交換意見(jiàn)，一起來(lái)完成項(xiàng)目。

成功地完成項(xiàng)目的關(guān)鍵是組員的團(tuán)結(jié)，大家一起努力，用自己的熱情來(lái)?yè)Q取項(xiàng)目的圓滿(mǎn)成功。

第四篇：無(wú)線(xiàn)局域網(wǎng)入侵檢測(cè)協(xié)議分析論文

無(wú)線(xiàn)局域網(wǎng)入侵檢測(cè)系統(tǒng)的研究

【摘要】 自從20世紀(jì)90年代出現(xiàn)無(wú)線(xiàn)局域網(wǎng)以來(lái),由于WLAN具有多方面的優(yōu)點(diǎn),令其發(fā)展十分迅速,但在無(wú)線(xiàn)局域網(wǎng)蓬勃發(fā)展的同時(shí),安全問(wèn)題也越來(lái)越突出。本文先介紹了無(wú)線(xiàn)局域網(wǎng)的特點(diǎn)、IEEE802.11系列協(xié)議標(biāo)準(zhǔn)以及無(wú)線(xiàn)局域網(wǎng)中的固有漏洞,然后又介紹了常見(jiàn)的入侵方式,其次系統(tǒng)的介紹了入侵檢測(cè)的概念、基本原理、工作模式、分類(lèi)及發(fā)展趨勢(shì),并闡述了各種局域網(wǎng)入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù),并通過(guò)分析比較得出：無(wú)線(xiàn)局域網(wǎng)入侵檢測(cè)系統(tǒng)在設(shè)計(jì)上有別于有線(xiàn)入侵檢測(cè)系統(tǒng)。本文在深入分析了無(wú)線(xiàn)局域網(wǎng)技術(shù)以及常見(jiàn)入侵檢測(cè)技術(shù)的基礎(chǔ)上,針對(duì)無(wú)線(xiàn)局域網(wǎng)絡(luò)的特點(diǎn),提出了一個(gè)將協(xié)議分析和模式匹配相結(jié)合的無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)模型。模式匹配算法具有快速簡(jiǎn)單的優(yōu)點(diǎn),在實(shí)際應(yīng)用中最為廣泛,但計(jì)算量大,檢測(cè)準(zhǔn)確性低,通過(guò)改進(jìn)模式匹配算法,取得了較好的結(jié)果。協(xié)議分析技術(shù)可以利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在,通過(guò)層次化、格式化的無(wú)線(xiàn)網(wǎng)絡(luò)報(bào)文逐層分析,可提高檢測(cè)效率,并有效控制漏報(bào)率和誤報(bào)率。最后提出了該系統(tǒng)的框架和主要的流程步驟,對(duì)其中的關(guān)鍵模塊進(jìn)行了詳細(xì)設(shè)計(jì)。該系統(tǒng)利用Winpcap函數(shù)庫(kù)對(duì)無(wú)線(xiàn)傳輸數(shù)據(jù)進(jìn)行捕獲,然后利用解碼模塊對(duì)捕獲到...更多還原

【Abstract】 Wireless local area network has developed very rapidly since the 1990s for it’s many advantages, and at the same time, the security problem has become more and more remarkable.This paper firstly describes the characteristics of WLAN, protocol standards of IEEE802.11 series and the inherent vulnerability in the WLAN, then presents the common intrusion method, and at last, introduces the concept of intrusion detection, basic principles, work patterns, classification and trends, systematically.At...更多還原

【關(guān)鍵詞】 無(wú)線(xiàn)局域網(wǎng)； 入侵檢測(cè)； 協(xié)議分析；

【Key words】 wireless LAN； intrusion detection； protocol analysis；

【索購(gòu)全文】Q聯(lián)系Q：138113721 Q聯(lián)系Q: 139938848付費(fèi)即發(fā)

目錄 摘要 3-4 ABSTRACT 4-5 第一章 緒論 8-11

1.1 研究背景 8

1.2 無(wú)線(xiàn)入侵檢測(cè)技術(shù)研究現(xiàn)狀 8-10

1.3 本文主要研究?jī)?nèi)容和結(jié)構(gòu) 10-11 第二章 WLAN概述 11-18

2.1 WLAN標(biāo)準(zhǔn) 11-13

2.1.1 IEEE 802.11 11

2.1.2 IEEE 802.11b 11-12

2.1.3 IEEE 802.11a 12

2.1.4 IEEE 802.11g 12

2.1.5 IEEE 802.11i 12

2.1.6 IEEE 802.11n 12-13

2.2 WLAN的組成 13-14

2.3 WLAN組網(wǎng)方式 14-15

2.4 IEEE802.11協(xié)議分析 15-17

2.5 本章小結(jié) 17-18

第三章 無(wú)線(xiàn)局域網(wǎng)入侵檢測(cè)系統(tǒng) 18-28

3.1 無(wú)線(xiàn)局域網(wǎng)安全技術(shù) 18-19

3.1.1 MAC地址過(guò)濾和服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配 18

3.1.2 WEP協(xié)議 18

3.1.3 WPA技術(shù) 18-19

3.1.4 802.11i協(xié)議 19

3.2 WLAN常見(jiàn)的入侵方式 19-21

3.2.1 網(wǎng)絡(luò)竊聽(tīng) 19

3.2.2 假冒身份 19-20

3.2.3 拒絕服務(wù)攻擊 20

3.2.4 SSID猜解與誘騙 20

3.2.5 中間人攻擊 20-21

3.2.6 異常報(bào)文攻擊 21

3.2.7 重放攻擊 21

3.3 入侵檢測(cè)的概念 21-22

3.4 入侵檢測(cè)技術(shù) 22-27

3.4.1 入侵檢測(cè)的發(fā)展 22

3.4.2 入侵檢測(cè)的分類(lèi) 22-27

3.5 本章小結(jié) 27-28

第四章 基于協(xié)議分析的入侵檢測(cè)系統(tǒng)設(shè)計(jì) 28-52

4.1 模式匹配與協(xié)議分析結(jié)合的入侵檢測(cè)方法 28-29

4.2 基于協(xié)議分析技術(shù)的檢測(cè)過(guò)程 29-31

4.2.1 協(xié)議分析樹(shù)的構(gòu)建 30-31

4.3 基于協(xié)議分析技術(shù)的入侵檢測(cè)體系結(jié)構(gòu) 31-32

4.4 檢測(cè)代理關(guān)鍵模塊設(shè)計(jì) 32-49

4.4.1 數(shù)據(jù)捕獲模塊 33-37

4.4.2 預(yù)檢測(cè)模塊 37-38

4.4.3 解碼模塊 38-42

4.4.4 規(guī)則解析模塊 42-43

4.4.5 協(xié)議分析模塊 43-44

4.4.6 模式匹配算法 44-47

4.4.7 改進(jìn)的BM算法 47-49

4.5 對(duì)常見(jiàn)攻擊的檢測(cè)效果分析 49-51

4.5.1 IP 攻擊 49-50

4.5.2 ICMP 攻擊 50

4.5.3 其他攻擊 50-51

4.6 本章小結(jié) 51-52 結(jié)論 52-53 參考文獻(xiàn)

第五篇：網(wǎng)絡(luò)信息理入侵檢測(cè)技術(shù)研究論文

摘要:隨著現(xiàn)代信息技術(shù)的進(jìn)步,越來(lái)越多的企業(yè)通過(guò)計(jì)算機(jī)進(jìn)行全面信息的管理,但是在一些情況下,外部木馬等的介入會(huì)對(duì)于企業(yè)的數(shù)據(jù)儲(chǔ)存進(jìn)而造成信息泄露等,所以說(shuō)針對(duì)于現(xiàn)代企業(yè)而言,網(wǎng)絡(luò)安全工作具有十分重要的意義。在這個(gè)大前提下,企業(yè)如何處理網(wǎng)絡(luò)信息管理中的入侵檢測(cè)技術(shù)變得非常重要。本文進(jìn)行了相關(guān)分析,希望帶來(lái)幫助。

關(guān)鍵詞:網(wǎng)絡(luò)信息；管理；入侵檢測(cè)技術(shù)

在現(xiàn)代之中,一些非法分子利用木馬進(jìn)行相應(yīng)的隱藏,然后通過(guò)對(duì)于計(jì)算機(jī)植入木馬,進(jìn)行一些信息的竊取?，F(xiàn)代企業(yè)在面臨網(wǎng)絡(luò)非法分子進(jìn)行信息盜取過(guò)程之中,首先應(yīng)該對(duì)于入侵行為有著明確的認(rèn)識(shí),這就需要現(xiàn)代的入侵檢測(cè)技術(shù)了,對(duì)于入侵行為有著明確的判定,才能真正的展開(kāi)后續(xù)行動(dòng),這對(duì)現(xiàn)代網(wǎng)絡(luò)信息管理而言十分重要。

1網(wǎng)絡(luò)信息管理中入侵檢測(cè)技術(shù)概述

(1)入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)信息管理之中的作用。如果說(shuō)現(xiàn)代計(jì)算機(jī)作為系統(tǒng),那么入侵檢測(cè)技術(shù)就相當(dāng)于保安系統(tǒng),對(duì)于關(guān)鍵信息的儲(chǔ)存位置進(jìn)行定期檢查和掃描,一旦發(fā)現(xiàn)外來(lái)不明用戶(hù)杜宇關(guān)鍵信息進(jìn)行查詢(xún),便對(duì)使用用戶(hù)進(jìn)行警告,幫助用戶(hù)進(jìn)行入侵行為的相關(guān)處理,保障關(guān)鍵的信息系統(tǒng)和數(shù)據(jù)信息不會(huì)收到損壞和盜竊。入侵檢測(cè)技術(shù)同樣會(huì)對(duì)系統(tǒng)之中存在的漏洞進(jìn)行檢查和通報(bào),對(duì)于系統(tǒng)之中的漏洞而言,往往便是入侵行為發(fā)生的位置,所以針對(duì)于這些位置進(jìn)行處理,更為良好的保證整個(gè)系統(tǒng)的安全,對(duì)于現(xiàn)代企業(yè)網(wǎng)絡(luò)系統(tǒng)而言,入侵檢測(cè)技術(shù)便是保障的第二道鐵閘。

(2)現(xiàn)階段入侵檢測(cè)技術(shù)的主要流程。通常情況下,入侵檢測(cè)技主要可以分為兩個(gè)階段。第一個(gè)階段便是信息采集,主要便是對(duì)于用戶(hù)的各種信息使用行為和重要信息進(jìn)行收集,這些信息的收集主要是通過(guò)對(duì)于重點(diǎn)信息部位的使用信息進(jìn)行查詢(xún)得出的,所以說(shuō)在現(xiàn)代應(yīng)用之中,入侵檢測(cè)技術(shù)一方面應(yīng)用了現(xiàn)代的檢測(cè)技術(shù),另外一方面也對(duì)于多種信息都進(jìn)行了收集行為,保證了收集信息的準(zhǔn)確性;第二個(gè)階段便是處理相關(guān)信息,通過(guò)將收集的信息和過(guò)往的信息進(jìn)行有效對(duì)比,然后如果對(duì)比出相關(guān)錯(cuò)誤便進(jìn)行判斷,判斷使用行為是否違背了網(wǎng)絡(luò)安全管理規(guī)范,如果判斷結(jié)果為肯定,那么便可以認(rèn)定其屬于入侵行為,對(duì)于使用用戶(hù)進(jìn)行提醒,幫助用戶(hù)對(duì)于入侵行為進(jìn)行清除。

2現(xiàn)階段入侵檢測(cè)技術(shù)的使用現(xiàn)狀

(1)網(wǎng)絡(luò)信息管理中入侵檢測(cè)系統(tǒng)的問(wèn)題。入侵檢測(cè)技術(shù)作為一種網(wǎng)絡(luò)輔助軟件去,其本身在現(xiàn)階段并不是完善的,自身也存在漏洞。所以說(shuō)很多非法分子的入侵不僅僅是面對(duì)系統(tǒng)的,很多先通過(guò)入侵技術(shù)的漏洞來(lái)進(jìn)行。針對(duì)現(xiàn)階段的使用過(guò)程而言,入侵檢測(cè)技術(shù)仍然存在自身的漏洞危險(xiǎn),也存在主要使用風(fēng)險(xiǎn)。在現(xiàn)階段存在危險(xiǎn)的方面主要有兩個(gè)方面。一方面便是由于入侵檢測(cè)系統(tǒng)存在漏洞;另外一方面便是現(xiàn)代計(jì)算機(jī)技術(shù)的發(fā)展。無(wú)論是相關(guān)的檢測(cè)系統(tǒng)亦或是相關(guān)病毒,都是現(xiàn)代編程人員利用C語(yǔ)言進(jìn)行編程,伴隨著相關(guān)編程水平的不斷提高,兩種技術(shù)同樣得到了自我發(fā)展,所以說(shuō)很多hacker高手在現(xiàn)代的入侵行為之中,已經(jīng)不能以舊有的眼光來(lái)進(jìn)行相關(guān)分析。所以說(shuō)新的時(shí)期,入侵檢測(cè)技術(shù)也應(yīng)該得到自我的發(fā)展,同樣針對(duì)于應(yīng)用網(wǎng)絡(luò)的相關(guān)企業(yè)做好安全保證,保證信息技術(shù)在現(xiàn)代之中的發(fā)展。

(2)現(xiàn)階段網(wǎng)絡(luò)信息管理之中入侵檢測(cè)技術(shù)存在的問(wèn)題。網(wǎng)絡(luò)信息管理之中的入侵檢測(cè)技術(shù)在現(xiàn)代之中仍然存在問(wèn)題,同樣是兩個(gè)方面問(wèn)題。一方面是由于入侵技術(shù)自身存在漏洞,在現(xiàn)階段很多入侵檢測(cè)技術(shù)是通過(guò)對(duì)于入侵行為進(jìn)行有效的提取,將行為進(jìn)行歸納,對(duì)于行為是否符合現(xiàn)代網(wǎng)絡(luò)安全規(guī)范,然后判斷結(jié)果是否為入侵。很多時(shí)候,入侵行為往往較為隱秘,所以說(shuō)這就導(dǎo)致了相關(guān)的入侵檢測(cè)技術(shù)不能對(duì)于入侵行為進(jìn)行提取,更無(wú)從談起其是否符合網(wǎng)絡(luò)安全規(guī)范。另外一方面的問(wèn)題便是檢測(cè)速度明顯小于入侵速度,這也是在現(xiàn)階段常見(jiàn)的問(wèn)題。隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)速度已經(jīng)得到了有效的自我發(fā)展,很多入侵檢測(cè)過(guò)程之中,很多時(shí)候檢測(cè)速度小于網(wǎng)絡(luò)檢測(cè)速度,這樣的情況下,一些行為尚未進(jìn)行阻攔,便已經(jīng)達(dá)成入侵的目的了,進(jìn)而導(dǎo)致了信息的丟失,所以說(shuō)這方面的問(wèn)題同樣應(yīng)該得到改善。企業(yè)在應(yīng)用之中,也應(yīng)該注意這種速度的問(wèn)題,防止因?yàn)樗俣冗M(jìn)而造成自身信息丟失等。

3網(wǎng)絡(luò)信息管理之中入侵檢測(cè)技術(shù)的具體分類(lèi)

(1)異常檢測(cè),異常檢測(cè)顧名思義,便是對(duì)于入侵行為進(jìn)行檢測(cè),但是由于入侵的性質(zhì)未定,這就導(dǎo)致很多時(shí)候入侵檢測(cè)技術(shù)進(jìn)行了無(wú)用功?，F(xiàn)階段往往入侵檢測(cè)技術(shù)通過(guò)建立一個(gè)行為輪廓來(lái)進(jìn)行限定,如果入侵行為已經(jīng)超過(guò)了這個(gè)行為輪廓,便確定其為入侵行為。這種模式大大簡(jiǎn)化了行為判定的過(guò)程,但是由于過(guò)于簡(jiǎn)單的相應(yīng)行為也容易出現(xiàn)相關(guān)漏洞。在實(shí)際工作之中,往往非入侵行為但是在行為輪廓行為之外的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為,但是在入侵檢測(cè)技術(shù)之中被判斷為入侵行為,造成了工作的重復(fù)。所以說(shuō)在進(jìn)行行為輪廓的確定時(shí),同樣應(yīng)該由一些特征量來(lái)確定,減少檢測(cè)工作可能出現(xiàn)的失誤,進(jìn)而可以提升檢測(cè)工作的效率;另外一方面可以設(shè)置參考數(shù)值,通過(guò)參考數(shù)值的評(píng)定來(lái)進(jìn)行評(píng)判,在入侵檢測(cè)技術(shù)之中,參考數(shù)值非常重要。

(2)誤用檢測(cè),其應(yīng)用前提便是所有的入侵行為進(jìn)行識(shí)別并且進(jìn)行標(biāo)記。在一般情況下,誤用檢測(cè)便是通過(guò)攻擊方法來(lái)進(jìn)行攻擊簽名,然后再通過(guò)定義已經(jīng)完成的攻擊簽名對(duì)于入侵行為進(jìn)行相關(guān)判斷。很多行為都是通過(guò)漏洞來(lái)進(jìn)行,所以誤用檢測(cè)可以準(zhǔn)確的判斷出相應(yīng)入侵行為,不僅預(yù)防了入侵行為,還可以對(duì)于其他入侵行為進(jìn)行警示作用。這種技術(shù)在實(shí)際使用過(guò)程之中,提升了入侵檢測(cè)數(shù)的效率和準(zhǔn)確。

4結(jié)語(yǔ)

在現(xiàn)代信息技術(shù)得到發(fā)展的今天,網(wǎng)絡(luò)信息管理已經(jīng)成為了現(xiàn)代企業(yè)非常重要的組成部分。針對(duì)于網(wǎng)絡(luò)安全而言,其自身往往具有一些技術(shù)之中的漏洞,所以同樣容易引發(fā)入侵行為。針對(duì)于入侵行為,現(xiàn)代之中有著入侵檢測(cè)技術(shù),本文對(duì)于入侵檢測(cè)技術(shù)的使用進(jìn)行了分析,希望為相關(guān)人員帶來(lái)相關(guān)思考。

參考文獻(xiàn)

[1]張麗.入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)信息管理中的應(yīng)用分析[J].中國(guó)科技博覽,2014,第16期:12-12.[2]陳瑩瑩.網(wǎng)絡(luò)信息管理中入侵檢測(cè)技術(shù)的研究[J].信息通信,2013,06期:99-99.[3]張偉.計(jì)算機(jī)網(wǎng)絡(luò)信息管理系統(tǒng)中的入侵檢測(cè)技術(shù)[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2014,11期:168-169.