畢業(yè)論文科學(xué)文獻(xiàn)模板分析解析

1、附件 11：（畢業(yè)論文科學(xué)文獻(xiàn)模板）河南財(cái)經(jīng)政法大學(xué)成功學(xué)院本科生畢業(yè)論文 （ 設(shè)計(jì)）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究院系名稱 信工系姓名馬偉學(xué)號(hào)2013321107專業(yè)計(jì)算機(jī)科學(xué)與技術(shù)指導(dǎo)教師李喜艷老師2015 年 4月 2日摘要互聯(lián)網(wǎng)絡(luò)的蓬勃發(fā)展給人們的工作生活帶來極大的便利，然而，隨著現(xiàn)代化網(wǎng)絡(luò)應(yīng) 用的普及，伴隨而來的網(wǎng)絡(luò)不安全因素也給網(wǎng)絡(luò)信息安全帶來了嚴(yán)峻挑戰(zhàn)，傳統(tǒng)的網(wǎng)絡(luò) 安全技術(shù)已經(jīng)很難對(duì)付這些日益嚴(yán)重的安全威脅，所以我們就有必要去開發(fā)專門的工具 去避免這些不安全因素的攻擊，而入侵檢測(cè)技術(shù)便可以作為一種很重要的技術(shù)為我們所 用。入侵檢測(cè)是網(wǎng)絡(luò)安全領(lǐng)域中一個(gè)較新的課題，檢測(cè)引擎作為入侵檢測(cè)系統(tǒng)的

2、核心模 塊，其檢測(cè)速度快慢直接影響網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的效率，模式匹配是入侵檢測(cè)系統(tǒng)的重 要檢測(cè)方法，其性能對(duì)入侵檢測(cè)系統(tǒng)至關(guān)重要。入侵檢測(cè)系統(tǒng)按照數(shù)據(jù)分析模式來分， 可以分為異常入侵檢測(cè)和誤用入侵檢測(cè)，對(duì)于當(dāng)前基于模式匹配的誤用入侵檢測(cè)系統(tǒng)來 說，入侵檢測(cè)的檢測(cè)效率主要體現(xiàn)在模式匹配的速度，好的模式匹配算法是提高入侵檢 測(cè)速度的關(guān)鍵所在。本論文首先介紹研究了網(wǎng)絡(luò)入侵檢測(cè)的概況，然后深入的研究了 snort 的詳細(xì)信 息，包括其特點(diǎn)，結(jié)構(gòu)和其檢測(cè)流程等，論文較重點(diǎn)的配置了 snort 在 windows 下的工 作環(huán)境，做了簡單的實(shí)驗(yàn)，來展現(xiàn) snort 的 DOS下的工作過程和與 php， ac

3、id 等可圖形 顯示下的數(shù)據(jù)瀏覽與操作關(guān)鍵詞： 網(wǎng)絡(luò)安全； snort ；入侵檢測(cè)；模式匹配AbstractThe rapid development of the Internet brings great convenience to peoples work and live b ut as the popularity of modern network ,the network attendant insecurity also brings to the infor mation security challenges ,the traditional network securi

4、ty technology has difficulty to deal wit h these increasingly serious security threat ,so it is necessary to develop special tools to avoid th e insecurity of the attack ,and intrusion detection technologies can be a very important technolo gy work for usNetwork security intrusion detection is a rel

5、atively new subject ,The engine of testing is th e core module of the Intrusion Detection System ,and the detection rate of speed directly affects the efficiency of network intrusion detection systems .Pattern matching intrusion detection syste m is an important detection method and the performance

6、of intrusion detection system is essenti alThis paper first introduces the study the general network intrusion detection，Then a snort of thorough research information, including its characteristics, structure and the det ection process, and so on,The paper is the focus of the configuration snort und

7、er Windows work environment, to a simple experiment,To show the work under the DOS snort with PHP, process and acid, under the graphic display data browsing with operationKey Words: Network security; Snort;Intrusion detection ; Pattern matchingII目錄1 引言 12 入侵檢測(cè)系統(tǒng)的概述 22.1 入侵檢測(cè)系統(tǒng)的概述 22.1.1 入侵檢測(cè)的概念 22.1

8、.2 入侵檢測(cè)的發(fā)展歷史 23 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（ SNOR）T 研究 83.1 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（ SNOR）T 研究 83.1.1 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 83.1.2 單擊此處鍵入題目 94 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（ SNOR）T 實(shí)驗(yàn) 9參考文獻(xiàn) 8致謝 9III入侵檢測(cè)技術(shù)作為安全技術(shù)的一個(gè)重要領(lǐng)域，正在成為網(wǎng)絡(luò)安全研究的熱點(diǎn)，對(duì)入 侵檢測(cè)的理論研究和實(shí)際應(yīng)用中還存在著許多問題，需要我們繼續(xù)深入研究和探索，具 體來說，入侵檢測(cè)在以下方面有待繼續(xù)發(fā)展：1）如何提高入侵檢測(cè)的安全性和準(zhǔn)確性目前商用領(lǐng)域的入侵檢測(cè)系統(tǒng)主要是基于模式匹配的入侵檢測(cè)引擎。這種基于模式 匹配的入侵檢測(cè)引擎是將入侵?jǐn)?shù)據(jù)與

9、攻擊模式特征庫進(jìn)行匹配，其缺點(diǎn)是：當(dāng)網(wǎng)絡(luò)中出 現(xiàn)新的攻擊時(shí)，由于攻擊特征庫未能及時(shí)更新，或是暫時(shí)很難對(duì)這些攻擊的攻擊特進(jìn)行 總結(jié)等，從而對(duì)這些新的攻擊無法產(chǎn)生報(bào)警，造成漏報(bào)。另外，大多入侵檢測(cè)無法識(shí)別 偽裝或變形的網(wǎng)絡(luò)攻擊，也造成大量漏報(bào)和誤報(bào)。因此減少網(wǎng)絡(luò)負(fù)擔(dān)，實(shí)現(xiàn)模式特征庫 的不斷升級(jí)與擴(kuò)展，這是對(duì)基于模式匹配的入侵檢測(cè)系統(tǒng)來講，提高入侵檢測(cè)的安全性 和準(zhǔn)確性有很大幫助，從而使基于模式匹配的入侵檢測(cè)系統(tǒng)具有更廣泛的應(yīng)用前景。2）如何提高入侵檢測(cè)的檢測(cè)速度入侵檢測(cè)系統(tǒng)的檢測(cè)速度是其一項(xiàng)非常重要的指標(biāo)，隨著網(wǎng)絡(luò)數(shù)據(jù)快速增長，不僅 要求網(wǎng)絡(luò)傳輸工具技術(shù)的不斷發(fā)展，而且如果入侵檢測(cè)的處理速度不能相

10、應(yīng)提高，那么 它將會(huì)成為影響網(wǎng)絡(luò)正常運(yùn)行的一大瓶頸，從而導(dǎo)致丟包，漏報(bào)等，進(jìn)一步影響入侵檢 測(cè)系統(tǒng)的準(zhǔn)確性和有效性。在入侵檢測(cè)中，隨著百兆、甚至千兆網(wǎng)絡(luò)的大量應(yīng)用，入侵 檢測(cè)技術(shù)發(fā)展的速度已經(jīng)遠(yuǎn)遠(yuǎn)落后于網(wǎng)絡(luò)發(fā)展的速度。如何提高入侵檢測(cè)系統(tǒng)的檢測(cè)速 度是目前研究者們迫不及待的任務(wù)，如改進(jìn)其使用的核心算法，設(shè)計(jì)靈巧的檢測(cè)系統(tǒng) 等。3）如何提高入侵檢測(cè)的理論研究現(xiàn)在，入侵檢測(cè)技術(shù)研究理論在我國還不成熟，如何選擇合適的檢測(cè)技術(shù)以確保入 侵檢測(cè)的高效性還不確定，隨著計(jì)算機(jī)科學(xué)不斷向前發(fā)展，計(jì)算機(jī)科學(xué)中的各種領(lǐng)域技 術(shù)也有待進(jìn)一步完善，如網(wǎng)絡(luò)技術(shù)、系統(tǒng)工程、分布式計(jì)算、人工智能等已形成比較良 好的理論基礎(chǔ)

11、，借鑒上述技術(shù)，再把入侵檢測(cè)和網(wǎng)絡(luò)結(jié)構(gòu)、加密技術(shù)、防火墻、病毒防 護(hù)技術(shù)等結(jié)合起來，結(jié)合入侵檢測(cè)理論本身的特點(diǎn)，必將會(huì)提高、完善入侵檢測(cè)的理論 研究。4）如何規(guī)范入侵檢測(cè)產(chǎn)品的性能標(biāo)準(zhǔn)化的工作對(duì)于一項(xiàng)技術(shù)的發(fā)展非常關(guān)鍵，在某一個(gè)技術(shù)領(lǐng)域，如果沒有相應(yīng)的 標(biāo)準(zhǔn)，那么該領(lǐng)域的發(fā)展將是混亂無章的。目前對(duì)于入侵檢測(cè)產(chǎn)品尚無一個(gè)明確的國際 標(biāo)準(zhǔn)出臺(tái)，國內(nèi)也沒有，這使得各產(chǎn)品之間無法共享數(shù)據(jù)信息。盡管入侵檢測(cè)系統(tǒng)經(jīng)歷 了二十多年的發(fā)展，但產(chǎn)品規(guī)范仍處于一個(gè)無序狀態(tài)，實(shí)際上，入侵檢測(cè)還處在一個(gè)新 興的科學(xué)領(lǐng)域，如何規(guī)范入侵檢測(cè)產(chǎn)品性能，研究者們對(duì)其還是充滿信心，相信隨著科 技的繼續(xù)發(fā)展、入侵檢測(cè)理論的不斷成

12、熟，入侵檢測(cè)產(chǎn)品的標(biāo)準(zhǔn)會(huì)出現(xiàn)的，從而加快入 侵檢測(cè)技術(shù)的不斷向前發(fā)展。本次論文主要介紹了入侵檢測(cè)系統(tǒng)的概念、分類以及網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（Snort ）研究。2 入侵檢測(cè)系統(tǒng)的概述2.1 入侵檢測(cè)系統(tǒng)的概述2.1.1 入侵檢測(cè)系統(tǒng)的概述入侵檢測(cè)系統(tǒng)（ Intrusion Detection System 簡稱為 IDS）工作在計(jì)算機(jī)網(wǎng)絡(luò)系 統(tǒng)中的關(guān)鍵節(jié)點(diǎn)上，通過實(shí)時(shí)地收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的信息，來檢查是否出 現(xiàn)違反安全策略的行為和是否存在入侵的跡象，進(jìn)而達(dá)到提示入侵、預(yù)防攻擊的目的。 入侵檢測(cè)系統(tǒng)作為一種主動(dòng)防護(hù)的網(wǎng)絡(luò)安全技術(shù)，有效擴(kuò)展了系統(tǒng)維護(hù)人員的安全管理 能力，例如安全審計(jì)、監(jiān)視、攻

13、擊識(shí)別和響應(yīng)的能力。通過利用入侵檢測(cè)系統(tǒng)，可以有 效地防止或減輕來自網(wǎng)絡(luò)的威脅，它已經(jīng)成為防火墻之后的又一道安全屏障，并在各種 不同的環(huán)境中發(fā)揮關(guān)鍵作用。2.1.2 入侵檢測(cè)的發(fā)展歷史 正文：宋體，小四，段首縮從實(shí)驗(yàn)室原型研究到推出商業(yè)化產(chǎn)品、走向市場(chǎng)并獲得廣泛認(rèn)同，入侵進(jìn)檢2 測(cè)字符走，過1了.25 倍行距 20 多年的歷程。概念提出1980 年 4 月 ， JnamesP.Aderson 為 美 國 空 軍 做 了 一 份 題 為 “ Computer Security ThreatMonitoring and Sureillance ”（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān) 視）的技術(shù)報(bào)告，第一次詳細(xì)

14、的闡述了入侵檢測(cè)的概念。他提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng) 險(xiǎn)和威脅的分類方法，并將威脅分為了外部滲透、內(nèi)部滲透和不法行為三種，還提出了 利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開山之作。模型的發(fā)展1984 年-1986 年，喬治敦大學(xué)的 Dorothy Denning 和 SRI/CSL （ SRI 公司計(jì)算機(jī)科 學(xué)實(shí)驗(yàn)室）的 Peter Neumann 研究出了一種實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，取名為 IDES （入 侵檢測(cè)專家系統(tǒng)）。 該模型獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境、系統(tǒng)弱點(diǎn)以及入侵類 型，為構(gòu)建入侵系統(tǒng)提供了一個(gè)通用的框架。1988年， SRI/CSL的Teresa Lu

15、nt 等改進(jìn)了 Denning的入侵檢測(cè)模型，并研 發(fā)出了實(shí)際的 IDES 。1990 年時(shí)入侵檢測(cè)系統(tǒng)發(fā)展史上十分重要的一年。這一年，加州大學(xué)戴維斯分校 的 L.T.Heberlein 等開發(fā)出了 NSM（Network Security Monitor） 。該系統(tǒng)第一次直接將網(wǎng) 絡(luò)作為審計(jì)數(shù)據(jù)的來源，因而可以在不將審計(jì)數(shù)計(jì)轉(zhuǎn)化成統(tǒng)一的格式情況下監(jiān)控異種主 機(jī)。同時(shí)兩大陣營正式形成：基于網(wǎng)絡(luò)的 IDS 和基于主機(jī)的 IDS。1988 年的莫里斯蠕蟲事件發(fā)生后，網(wǎng)絡(luò)安全才真正引起各方重視。美國空軍、國 家安全局和能源部共同資助空軍密碼支持中心、勞倫斯利弗摩爾國家實(shí)驗(yàn)室、加州大學(xué) 戴維斯分校、

16、Haystack 實(shí)驗(yàn)室，開展對(duì)分布式入侵檢測(cè)系統(tǒng)（ DIDS ）的研究，將基于 主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)方法集成到一起。技術(shù)的進(jìn)步從 20 世紀(jì) 90 年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并 在智能化和分布式兩個(gè)方向取得了長足的進(jìn)展。目前， SRI/CSL 、普渡大學(xué)、加州戴維 斯分校、洛斯阿拉莫斯國家實(shí)驗(yàn)室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這些方面代 表了當(dāng)前的最高水平。我國也有多家企業(yè)通過最初的技術(shù)引進(jìn)，逐漸發(fā)展成自主研發(fā)。2.2 入侵檢測(cè)系統(tǒng)分類2.2.1 基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī) IDS 部署在單主機(jī)上，利用操作系統(tǒng)產(chǎn)生的日志記錄作為主要信息源，通 過對(duì)其進(jìn)行

17、審計(jì)，檢測(cè)入侵行為?；谥鳈C(jī) IDS 不對(duì)網(wǎng)絡(luò)數(shù)據(jù)包或掃描配置進(jìn)行檢查， 而是對(duì)系統(tǒng)日志提供的大量數(shù)據(jù)進(jìn)行整理。早期的系統(tǒng)多為基于主機(jī)的，主要用來檢測(cè) 內(nèi)部網(wǎng)絡(luò)的入侵攻擊。后來用分布主機(jī)代理來實(shí)現(xiàn)。其主要優(yōu)點(diǎn):信息源（0S 日志記錄 ）完備。系統(tǒng)產(chǎn)生的日志是歸類有序的。它準(zhǔn)確記錄了每個(gè)用 戶的行為序列，這樣便可以精確監(jiān)控每個(gè)用戶的行為。同時(shí)也使得 IDS 對(duì)信息源的處理 簡單、一致。對(duì)某些特定的攻擊十分有效。比如，審計(jì)日志能夠顯示出由緩沖區(qū)溢出攻 擊引起的優(yōu)先級(jí)轉(zhuǎn)移的情況，從而能夠有效的檢測(cè)緩沖區(qū)溢出攻擊。其主要缺點(diǎn):1）由于它通常作為用戶進(jìn)程運(yùn)行，依賴于具體的操作系統(tǒng)底層的支持，與系統(tǒng)的 體

18、系結(jié)構(gòu)有關(guān)，所以它無法了解發(fā)生在下層協(xié)議的入侵活動(dòng) ;2）熟練的入侵者往往可以進(jìn)入系統(tǒng)修改、刪除有關(guān)的日志記錄，從而隱藏入侵跡 象;3）HIDS 位于所監(jiān)視的每一個(gè)主機(jī)中，故占用的資源不能太多，從而大大制了所采 用的檢測(cè)方法及處理性能。2.2.2 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的 IDS 最早出現(xiàn)于 1990 年。它主要用于防御外部入侵攻擊。它通過監(jiān)控 出入網(wǎng)絡(luò)的通信數(shù)據(jù)流，依據(jù)一定規(guī)則對(duì)數(shù)據(jù)流的內(nèi)容進(jìn)行分析，從而發(fā)現(xiàn)協(xié)議攻擊、 運(yùn)行已知黑客程序的企圖和可能破壞安全策略的特征，做出入侵攻擊判斷。為了能夠捕獲入侵攻擊行為，基于網(wǎng)絡(luò) IDS 必須位于能夠看到所以數(shù)據(jù)包的位置， 這包括: 環(huán)網(wǎng)內(nèi)部、

19、安全網(wǎng)絡(luò)中緊隨防火墻之后以及其它子網(wǎng)的路由器或網(wǎng)關(guān)之后。最 佳位置便是位于 Internet 到內(nèi)部網(wǎng)絡(luò)的接入點(diǎn)。但是，同一子網(wǎng)的 2 個(gè)節(jié)點(diǎn)之間交換 數(shù)據(jù)報(bào)文并且交換數(shù)據(jù)報(bào)文不經(jīng)過 IDS，那么 IDS 可能就會(huì)忽略這些攻擊?；诰W(wǎng)絡(luò) IDS的主要優(yōu)點(diǎn) :1) 由于 NIDS 直接收集網(wǎng)絡(luò)數(shù)據(jù)包，而網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的。因此， NIDS 如目標(biāo)系 統(tǒng)的體系結(jié)構(gòu)無關(guān)，可用于監(jiān)視結(jié)構(gòu)不同的各類系統(tǒng) ;2) NIDS 使用原始網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)，因此它所收集的審計(jì)數(shù)據(jù)被篡改的可能性 很小，而且它不影響被保護(hù)系統(tǒng)的性能 ;3) NIDS 利用工作在混雜模式下的網(wǎng)卡實(shí)時(shí)監(jiān)視和分析所有的通過共享式網(wǎng)絡(luò)的傳

20、輸，能夠?qū)崟r(shí)得到目標(biāo)系統(tǒng)與外界交互的所有信息，包括一些隱蔽的端口掃描和沒有成 功的入侵嘗試?；诰W(wǎng)絡(luò) IDS的主要缺點(diǎn) :1) 缺乏終端系統(tǒng)對(duì)待定數(shù)據(jù)的處理方法等信息，使得從原始的數(shù)據(jù)包中重構(gòu)應(yīng)用 層信息很困難。因此， NIDS難以檢測(cè)發(fā)生在應(yīng)用層的攻擊 ; 而對(duì)于加密傳 輸方式進(jìn)行 的入侵， NIDS也無能為力 ;2) NIDS 只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)到不同網(wǎng)段的網(wǎng)絡(luò)包，因此在交 換式局域網(wǎng)中，它難以獲得不同交換端口的網(wǎng)絡(luò)信息 :3) 網(wǎng)絡(luò)流的數(shù)據(jù)量大， NIDS 必須對(duì)數(shù)據(jù)幀進(jìn)行解碼才能了解其中的含義。因此， NIDS的數(shù)據(jù)處理量大，而造成處理能力不足。2.3 入侵檢測(cè)技術(shù)2

21、.3.1 異常檢測(cè)異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正常 活動(dòng)的“活動(dòng)簡檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī) 律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的難題在于如何建立“活動(dòng)簡檔”以 及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行 為。2.3.2 特征檢測(cè)特征檢測(cè)這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測(cè)主體 活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來，但對(duì)新的入侵方法無能為 力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn) 來。2.4 入侵檢測(cè)系統(tǒng)主流

22、產(chǎn)品近年來，國內(nèi)外不少廠家生產(chǎn)了自己的入侵檢測(cè)產(chǎn)品。這些產(chǎn)品己經(jīng)得到了廣泛的 應(yīng)用，下面簡要介紹一下國內(nèi)外的一些產(chǎn)品。1) Cisco 公司的 Cisco Secure IDSCisco Secure IDS 以前被稱為 NetRanger，該產(chǎn)品由控制器 (Director) 、感應(yīng)器 (Sensor) 和入侵檢測(cè)模塊 IDSM(Intrusion Detection System Module) 三大組成部分 組成。感應(yīng)器分為網(wǎng)絡(luò)感應(yīng)器 (NIDS)和主機(jī)感應(yīng)器 (HIDS) 兩部分，分別負(fù)責(zé)對(duì)網(wǎng)絡(luò)信息 和主機(jī)信息的收集和分析處理?？刂破饔糜趯?duì)系統(tǒng)進(jìn)行控制和管理。Cisco Secure

23、IDS 的另一個(gè)強(qiáng)項(xiàng)是其在檢測(cè)時(shí)不僅觀察單個(gè)包的內(nèi)容，而且還 要看上下文，即從多個(gè)包中得到線索。 Cisco Secure IDS 是目前市場(chǎng)上基于網(wǎng)絡(luò)的 入侵檢測(cè)系統(tǒng)中經(jīng)受實(shí)踐考驗(yàn)最多的產(chǎn)品之一。2) ISS RealSecureISS 是最早將基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)完全集成到一個(gè)統(tǒng)一的管理框架 中的供應(yīng)商之一。 ISS RealSecure 具有方便的管理控制臺(tái)，其服務(wù)器和網(wǎng)絡(luò)感應(yīng)器 近幾年也取得了很快的發(fā)展。RealSecure 采用分布式的體系結(jié)構(gòu)、系統(tǒng)分為兩層 : 感應(yīng)器和管理器。感應(yīng)器包括 網(wǎng)絡(luò)感應(yīng)器、服務(wù)感應(yīng)器和系統(tǒng)感應(yīng)器三類。網(wǎng)絡(luò)感應(yīng)器主要是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析檢 測(cè)，服

24、務(wù)感應(yīng)器主要是負(fù)責(zé)對(duì)系統(tǒng)日志和系統(tǒng)文件信息的檢測(cè)。管理器包括控制臺(tái)、事 件收集器、事件數(shù)據(jù)庫和告警數(shù)據(jù)庫四個(gè)部分。3) “冰之眼”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) “冰之眼”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是綠盟科技開發(fā)的網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品。具有 IP 碎片 重組能力，同時(shí)具有基于特征和異常兩種檢測(cè)模式，能夠提供多種入侵保護(hù)方式，并能 與多種防火墻進(jìn)行聯(lián)動(dòng)。全自動(dòng)在線升級(jí)系統(tǒng)使其能夠和綠盟主站點(diǎn)保持規(guī)則庫的同步 更新。4) 開源入侵檢測(cè)系統(tǒng) SnortSnort 是以開放源代碼 (Open Source) 形式發(fā)行的一個(gè)高性能、跨平臺(tái)的輕量級(jí)網(wǎng) 絡(luò)入侵檢測(cè)系統(tǒng)，在網(wǎng)絡(luò)安全方面有著極高的地位，并且應(yīng)用十分廣泛。在世界著名的 專業(yè)

25、安全網(wǎng)站 進(jìn)行的 2006 年網(wǎng)絡(luò)安全工具 Topl00 評(píng)選中， Snort 名列 三甲，而在入侵檢測(cè)一類中，更是頭名狀元。2.5 入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)入侵檢測(cè)技術(shù)在不斷地發(fā)展更新，近年來入侵檢測(cè)技術(shù)沿著以下幾個(gè)方向發(fā)展 :1) 分布式入侵檢測(cè)。為了躲避檢測(cè)，越來越多的攻擊者采用分布式協(xié)同的方式發(fā) 起攻擊，傳統(tǒng)的 IDS 局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)檢測(cè)明 顯不足，不同的系統(tǒng)之間不能協(xié)同工作。為解決這一問題，需要發(fā)展分布式入侵檢測(cè)技 術(shù)與通用入侵檢測(cè)架構(gòu)。2) 智能化入侵檢測(cè)。入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能代理、神 經(jīng)網(wǎng)絡(luò)與遺傳

26、算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但這只是一些嘗試性的研究工作，需要對(duì) 智能化的 IDS 加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。3) 應(yīng)用層入侵檢測(cè)。許多入侵活動(dòng)的含義只有在應(yīng)用層才能理解。但傳統(tǒng)方法很 少涉及到應(yīng)用層，使得一些應(yīng)用系統(tǒng)內(nèi)的入侵活動(dòng)難以檢測(cè)，所以需要開發(fā)應(yīng)用層的入 侵檢測(cè)技術(shù)。4) 全面的安全防御方案。即使用安全工程風(fēng)險(xiǎn)管理的思想與方法來處理網(wǎng)絡(luò)安全 問題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、 病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估，然后提出可行的全面解 決方案。3 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) (Snort) 研究3.1 Snort 特點(diǎn)

27、Snort 是一個(gè)以開放源代碼形式發(fā)行的一個(gè)功能強(qiáng)大、跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵 檢測(cè)系統(tǒng)，最初由 Martin Roesch 編寫，并由遍布世界各地的眾多程序員共同維護(hù) 和升級(jí)。它利用 Libpcap 從網(wǎng)絡(luò)中采集數(shù)據(jù)并進(jìn)行分析，從而判斷是否存在可疑的網(wǎng)絡(luò) 活動(dòng); 就檢測(cè)模式而言，它基本上是基于誤用檢測(cè)技術(shù)，對(duì)數(shù)據(jù)進(jìn)行最直接最簡單的搜 索匹配。雖然 Snort 是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)，但是它的功能卻非常強(qiáng)大，其特點(diǎn) 如下:1) Snort 代碼短小，簡潔，而且移植性非常好。目前支持 Linux 系列， Solaris ， BSD系列， IRIX ，HP-UNIX，Windows系列等。2)

28、 Snort 具有實(shí)時(shí)流量分析和日志 IP 網(wǎng)絡(luò)數(shù)據(jù)包的能力。能夠快速檢測(cè)網(wǎng)絡(luò)攻 擊，及時(shí)發(fā)出警報(bào)。它提供的警報(bào)方式很多，比如Syslog ， Unixsocket ， WinPopup3) Snort 能夠進(jìn)行協(xié)議分析，內(nèi)容的匹配和搜索?，F(xiàn)在它能夠分析的協(xié)議有TCP、UDP、和 ICMP。將來可以支持更多 IPX、 RIP、OSPF等。它能檢測(cè)多種方式的攻擊和探 測(cè)。4) Snort 具有靈活的日志格式。支持 Tcpdump的二進(jìn)制格式，也支持 ASCll 字符 形式，也支持 XML格式的，使用數(shù)據(jù)庫輸出插件，還支持?jǐn)?shù)據(jù)庫日志格式。當(dāng)前支持的 數(shù)據(jù)庫有 Postagresql 、 Mysql

29、 ，任何 UnixODBC、 Microsoft SQL Server 、 Oracle 等。5) 使用 TCP流插件， Snort 可以對(duì) TCP包進(jìn)行重組。這種能力使得 Snort 可以對(duì) 抗“無狀態(tài)”攻擊。無狀態(tài)攻擊是指攻擊者每次只發(fā)送一個(gè)字節(jié)的數(shù)據(jù)包，逃過監(jiān)視， 然后被攻擊主機(jī)的 TCP棧會(huì)重新組合這些數(shù)據(jù)包，將攻擊數(shù)據(jù)發(fā)送給目標(biāo)端口上監(jiān)聽的 進(jìn)程，從而擺脫 IDS 的檢測(cè)。6) 使用 Spade (Statistical Packet Anomaly Detection Engine) 插件， Snort 能夠報(bào)告異常的數(shù)據(jù)包，從而對(duì)端口進(jìn)行有效的檢測(cè)。7) Snort 還具有很強(qiáng)的

30、系統(tǒng)防護(hù)能力。使用 IPTables ，IPFilter 插件可以使入侵 檢測(cè)主機(jī)和防火墻聯(lián)動(dòng)，通過 FlexResp 功能， Snort 能夠命令防火墻斷開惡意連 接。8) 擴(kuò)展性好，對(duì)于新的攻擊威脅反應(yīng)迅速。 Snort 采用了一種簡單的規(guī)則描述語 言，最基本的規(guī)則知識(shí)包含四個(gè)域 : 處理動(dòng)作、協(xié)議、方向、端口?？梢詫?duì)新的攻擊迅 速建立規(guī)則表。9) Snort 支持插件，可以使用具有特定功能的報(bào)告，檢測(cè)子系統(tǒng)插件對(duì)其進(jìn)行功 能擴(kuò)展。當(dāng)前支持的插件有 : 數(shù)據(jù)庫日志輸出插件、破碎包檢測(cè)插件、端口掃描檢測(cè)插 件、 HttpURL插件、 XML網(wǎng)頁生成插件等。以下為論文表的格式范例， 擇“插入”

31、或“刪除”來操作。依次排列。如果論文按章排列，表，則其序號(hào)為表 2-1 。表 2-1表的行、列多少可以根據(jù)需要在菜單中的“表格”中選 如果論文不是按章編排，則表按表1、表 2、表 3、則表的序號(hào)按“章號(hào) - 表號(hào)”編排，如第二章的第一個(gè) 五號(hào)，黑體，表序號(hào)相對(duì)表 左側(cè)縮進(jìn) 2 字符，表標(biāo)題名 居中，行間距為 1.25 行 表標(biāo)題名稱論文中圖的格式范例如下，其編排要求如上表。圖 2-1圖標(biāo)題名稱論文中公式的格式范例如下，其序號(hào)編排要求如上表。公式請(qǐng)用 Word 中的“公式 編輯器”編輯，你可以，然后在自定義對(duì)話框中的“命令”項(xiàng)的“類別”列表中選擇 “插入”，在“命令”列表中選擇“公式編輯器”，用

32、左鍵按住拖到上面的工具欄中。 這樣你就可以單擊上面的圖標(biāo)“ ”開始編輯公式了。另一種編輯公式的方法是在菜單中的“插入”中選擇“對(duì)象”，在“對(duì)象列表”中 向下拖動(dòng)選擇“ Microsoft 公式(或 Microsoft Equation) ”，然后單擊“確定”。a b c d 2-13 單擊此處鍵入題目 按引用的先后順序，在正文3.1 單擊此處鍵入題目 3.1.1 單擊此處鍵入題目 中進(jìn)行編號(hào)！引用單個(gè)文獻(xiàn)的標(biāo)注方式。3.1.2 單擊此處鍵入題目 德國學(xué)者 N. 克羅斯研究了瑞士巴塞爾市附近侏羅山中老第三紀(jì)斷裂對(duì)第三系 褶皺的控制 35 ；之后，他又描述了西里西亞第 3 條大型的近南北向構(gòu)造帶，

33、并提出地槽 是在不均一的塊體的基底上發(fā)展的思想 36 。李剛37，48提出莫拉德對(duì)穩(wěn)定區(qū)55-58同一處引用多篇文獻(xiàn)時(shí)，只須將各篇文獻(xiàn)的序號(hào)在方括號(hào)內(nèi)全部列出，各序號(hào)間用 “， ”。如遇連續(xù)序號(hào)，可標(biāo)注起訖序號(hào)?！翱陀^存在反映在人的意識(shí)中經(jīng)過思維活動(dòng)而產(chǎn)生的結(jié)果” 601194 ，所以，“編 輯思想”的內(nèi)涵”方針“指”引導(dǎo)事業(yè)前進(jìn)的方向和目標(biāo) 62354 。多次引用同一著者的同一文獻(xiàn) 時(shí)，在正文中標(biāo)注首次引用的文獻(xiàn)序 號(hào)，并在序號(hào)的“ ”外著錄引文頁 碼。4 單擊此處鍵入題目 以下依此類推。注意：各一級(jí)標(biāo)題應(yīng)單獨(dú)起頁。三號(hào)宋體其下空一行，以下的內(nèi)容，全部用 小四宋體， 1.25 倍行間距。參考

34、文獻(xiàn)標(biāo)示，按照 GB/T 7714-2005 文后參 考文獻(xiàn)著錄規(guī)則，采用順序編碼制。要求 15 篇以 上。原則上至少 1 篇英文文獻(xiàn)。按正文中引用的文獻(xiàn)出現(xiàn)的先后順序連續(xù)編碼參考文獻(xiàn)1 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 2 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 3 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 4 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 5 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 6 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 7 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 8 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 9 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 10 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 11 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 12 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 13 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 14 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 15 單擊此處鍵入?yún)⒖嘉墨I(xiàn) 參考文獻(xiàn)格式：

35、一、專著： 序號(hào)主要責(zé)任者.題名：其他題名信息 文獻(xiàn)類型標(biāo)志. 其他責(zé)任者.版本項(xiàng).出版 地：出版者，出版年 : 引文頁碼 .示例：1. 普通圖書1 余敏. 出版集團(tuán)研究 M. 北京：中國書籍出版社， 2001：179-193.2 PIGGOT T M. The cataloguer s way through AACR2: from document receipt to document retrieval M. London: The Library Association, 1990.2. 論文集、會(huì)議錄3 辛希孟 . 信息技術(shù)與信息服務(wù)國際研討會(huì)論文集： A 集 C. 北京：中國社會(huì)科學(xué)出 版社， 1994.3. 科技報(bào)告4 U.S. Department of Transportation Federal Highway Administration. Guidelines for handling excavat