入侵檢測系統(tǒng)與網(wǎng)絡(luò)教學(xué)平臺互動的研究

1、入侵檢測系統(tǒng)與網(wǎng)絡(luò)教學(xué)平臺互動的研究摘要目前網(wǎng)絡(luò)安全問題越來越嚴(yán)重，入侵檢測系統(tǒng)已經(jīng)被廣泛的使用，同時，依托網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)教學(xué)平臺應(yīng)運而生。本文針對學(xué)校的特殊應(yīng)用，研究并實現(xiàn)了入侵檢測系統(tǒng)與網(wǎng)絡(luò)教學(xué)平臺的互動，一方面，利用入侵檢測系統(tǒng)檢測網(wǎng)絡(luò)教學(xué)平臺訪問者的攻擊及漏洞，維護(hù)網(wǎng)絡(luò)教學(xué)平臺的正常運行；另一方面，通過將攻擊信息、系統(tǒng)漏洞、補(bǔ)救修復(fù)方法等對網(wǎng)絡(luò)教學(xué)平臺訪問者的反饋，增進(jìn)其網(wǎng)絡(luò)安全知識及意識，充分發(fā)揮教育功能。關(guān)鍵詞網(wǎng)絡(luò)教學(xué)；入侵檢測系統(tǒng)；網(wǎng)絡(luò)安全1引言網(wǎng)絡(luò)教學(xué)平臺作為一種新興的教學(xué)與學(xué)習(xí)互動的教育工具目前在各大專院校得到了普遍的應(yīng)用，大量的學(xué)生通過訪問網(wǎng)絡(luò)教學(xué)平臺進(jìn)行自學(xué)或是輔助學(xué)習(xí)。

2、但是，網(wǎng)絡(luò)教學(xué)平臺的使用者常常會發(fā)現(xiàn)網(wǎng)絡(luò)連接速度太慢，影響學(xué)習(xí)和教學(xué)，經(jīng)過調(diào)查發(fā)現(xiàn)，部分問題源于網(wǎng)絡(luò)安全，進(jìn)一步驗證了網(wǎng)絡(luò)安全問題的無處不在。而在目前網(wǎng)絡(luò)安全熱的背后，許多人對網(wǎng)絡(luò)安全的認(rèn)識還處于初級階段，并不成熟。因此，作為教育工作者，依托網(wǎng)絡(luò)教學(xué)平臺，我們實現(xiàn)了網(wǎng)絡(luò)入侵檢測系統(tǒng)與其互動，在保證網(wǎng)絡(luò)教學(xué)平臺自身安全的基礎(chǔ)上，提供給使用者網(wǎng)絡(luò)安全的解決方案，喚醒使用者對網(wǎng)絡(luò)安全的重視。2全新的安全機(jī)制無論是在個人平臺、傳統(tǒng)主從構(gòu)架，或多層次構(gòu)架，Internet平臺等，防毒軟件及防火墻都扮演了重要的角色，盡管如此，研究仍然發(fā)現(xiàn)網(wǎng)絡(luò)學(xué)習(xí)者往往個人使用電腦網(wǎng)絡(luò)警覺性不足，并且不具備相關(guān)電腦知識，還

3、是會飽受網(wǎng)絡(luò)病毒或黑客入侵的危機(jī)，有些學(xué)習(xí)者甚至不知道自己的機(jī)器已經(jīng)被黑客入侵或感染了網(wǎng)絡(luò)病毒，進(jìn)而繼續(xù)感染給網(wǎng)絡(luò)學(xué)習(xí)平臺或其他使用者的電腦上，進(jìn)而導(dǎo)致教學(xué)平臺無法正常運作。縱觀目前的網(wǎng)絡(luò)教學(xué)平臺，系統(tǒng)管理者所處理的方式都是利用防火墻及防毒軟件杜絕網(wǎng)絡(luò)的危害，屬于被動的預(yù)防或是治療。而我們的研究認(rèn)為網(wǎng)絡(luò)教學(xué)平臺除了提供網(wǎng)絡(luò)教學(xué)的服務(wù)之外，應(yīng)有義務(wù)主動的告知使用者在學(xué)習(xí)時的網(wǎng)絡(luò)情況并告知處理方法。因此建立教學(xué)平臺的網(wǎng)絡(luò)安全告知的機(jī)制是必要的，這樣，我們變以往被動的安全機(jī)制為主動防御和治療的安全機(jī)制，讓使用者了解電腦目前的狀況，解決安全問題，并從根本上喚起使用者的警覺心，加強(qiáng)網(wǎng)絡(luò)安全意識。進(jìn)而，從

4、本質(zhì)上有效的截斷病毒傳播，維護(hù)網(wǎng)絡(luò)安全。3網(wǎng)絡(luò)教學(xué)平臺的研究我國的教育問題正處于一個關(guān)鍵發(fā)展階段，隨著高等教育改革的實施和深化發(fā)展，接受高等教育的人數(shù)快速增長，怎樣提供更多的機(jī)會，普及高等教育也就迫在眉睫。為了解決這一問題，教育工作者嘗試?yán)没ヂ?lián)網(wǎng)通過網(wǎng)絡(luò)進(jìn)行教育，逐步實現(xiàn)遠(yuǎn)程教育的普及。而能夠提供這些服務(wù)的，只能是搭建網(wǎng)絡(luò)教學(xué)平臺。通常，網(wǎng)絡(luò)教學(xué)平臺都按照Browser/Server模式，一般將傳統(tǒng)的兩層體系結(jié)構(gòu)擴(kuò)展成瀏覽器WEB服務(wù)器+應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器三層體系結(jié)構(gòu)，因為這種模式采用多種標(biāo)準(zhǔn)的協(xié)議和技術(shù)，適合于任何硬件平臺和軟件環(huán)境。常見的基于Windows的網(wǎng)絡(luò)教學(xué)平臺，采用JSP與

5、SQLServer2000數(shù)據(jù)庫相結(jié)合，其體系結(jié)構(gòu)如圖1所示。圖1網(wǎng)絡(luò)教學(xué)平臺的體系結(jié)構(gòu)網(wǎng)絡(luò)教學(xué)平臺一般由教師教學(xué)系統(tǒng)、學(xué)生學(xué)習(xí)系統(tǒng)和教學(xué)管理系統(tǒng)三大模塊組成，這些模塊之間相互聯(lián)系，相互配合，構(gòu)成一個完整的網(wǎng)絡(luò)教學(xué)系統(tǒng)。系統(tǒng)功能框圖如圖2所示。由于我們計劃在真實的網(wǎng)絡(luò)教學(xué)平臺中搭建入侵檢測系統(tǒng)，選擇了學(xué)校自己建設(shè)的網(wǎng)絡(luò)教學(xué)平臺，即西安郵電學(xué)院網(wǎng)絡(luò)教學(xué)平臺。它是為教師課堂面授課程服務(wù)的網(wǎng)絡(luò)輔助教學(xué)的支撐平臺，該系統(tǒng)支持教師與學(xué)生進(jìn)行網(wǎng)上互動式教學(xué)活動，它能向?qū)W生提供網(wǎng)絡(luò)輔助學(xué)習(xí)支持功能，如選課與登錄相應(yīng)的課程、瀏覽相應(yīng)的課程輔導(dǎo)材料、網(wǎng)上提問、在線測試、討論式學(xué)習(xí)等等；它能向教師提供網(wǎng)上教學(xué)支持

6、功能，如發(fā)布選課程信息、布置作業(yè)、制作課件、網(wǎng)上答疑、在線測試、討論式學(xué)習(xí)、并永久保留各項網(wǎng)上學(xué)習(xí)痕跡和各項統(tǒng)計消息等等從而拓展教學(xué)空間，擴(kuò)大師生視野?？梢姡倚５木W(wǎng)絡(luò)教學(xué)平臺是一個典型的網(wǎng)絡(luò)教學(xué)平臺，具有很好的實踐價值。BRclear=all圖2系統(tǒng)功能框圖同時，為完成在網(wǎng)絡(luò)教學(xué)平臺中搭建入侵檢測系統(tǒng)的工作，我們對西安郵電學(xué)院網(wǎng)絡(luò)教學(xué)平臺的特點進(jìn)行了分析和研究：所有的操作都在Web頁面，簡單易懂，客戶端不用使用特殊的插件。為各種形式的教學(xué)資料提供了交流平臺，使教師和學(xué)生能夠相互交流和共享教學(xué)資料。交互工具強(qiáng)大，教師可以開辟聊天室，討論組，利用郵件，備忘錄來交流。具有個人備忘錄，博客等全面的功

7、能。4入侵檢測系統(tǒng)的研究本文的入侵監(jiān)測系統(tǒng)選用東軟的NetEyeIDS系統(tǒng)。它是東軟開發(fā)的具有自主版權(quán)的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)。采用先進(jìn)的基于網(wǎng)絡(luò)數(shù)據(jù)流實時智能分析技術(shù)判斷來自網(wǎng)絡(luò)內(nèi)部和外部的入侵企圖，進(jìn)行報警，響應(yīng)和防范。作為防火墻之后的第二道安全閘門，配合防火墻系統(tǒng)使用，全面保障網(wǎng)絡(luò)的安全，組成完整的網(wǎng)絡(luò)安全解決方案。整個系統(tǒng)采用客戶/服務(wù)器結(jié)構(gòu)，由檢測引擎和管理主機(jī)組成。主要功能模塊有：網(wǎng)絡(luò)攻擊與入侵檢測功能；多種通信協(xié)議內(nèi)容恢復(fù)功能；應(yīng)用審計和網(wǎng)絡(luò)審計功能；圖表顯示網(wǎng)絡(luò)信息功能；報表功能；實時網(wǎng)絡(luò)監(jiān)考功能；網(wǎng)絡(luò)掃描器；數(shù)據(jù)備份恢復(fù)功能；其它輔助管理工具。實踐研究得出東軟NetEye入侵檢測系

8、統(tǒng)的技術(shù)優(yōu)勢包括：以“網(wǎng)絡(luò)安全問題是一個完整的過程，而不是一個孤立的事件”為核心設(shè)計思想。有效監(jiān)控網(wǎng)絡(luò)全過程，整體保障網(wǎng)絡(luò)安全和健康。強(qiáng)大的攻擊檢測能力和優(yōu)越的性能，是功能強(qiáng)大的入侵檢測產(chǎn)品。NetEye入侵檢測系統(tǒng)獨有的網(wǎng)絡(luò)內(nèi)容恢復(fù)、應(yīng)用審計、網(wǎng)絡(luò)審計等功能，是完整的網(wǎng)絡(luò)行為錄像機(jī)。NetEye入侵檢測系統(tǒng)獨有的網(wǎng)絡(luò)實時監(jiān)控和診斷功能，是全面的網(wǎng)絡(luò)故障分析器。NetEye入侵檢測系統(tǒng)獨有的網(wǎng)絡(luò)主動掃描功能，綜合主動發(fā)現(xiàn)和被動分析功能。是靈活的網(wǎng)絡(luò)安全探測儀。綜上所述，NetEye入侵檢測系統(tǒng)是一個具有易用性、易維護(hù)性、高可用性、易部署性等特色的網(wǎng)絡(luò)安全產(chǎn)品，而且整體擁有成本最低。5互動研究及

9、設(shè)計首先明確我們設(shè)計所針對的對象：網(wǎng)絡(luò)教學(xué)平臺：西安郵電學(xué)院網(wǎng)絡(luò)教學(xué)平臺平臺環(huán)境：Linux服務(wù)器工作模式：B/S模式入侵檢測系統(tǒng)原型：NetEyeIDS系統(tǒng)平臺環(huán)境：Linux服務(wù)器工作模式：日志記錄和報警模式最終的設(shè)計目標(biāo)是：實現(xiàn)在原有的網(wǎng)絡(luò)教學(xué)平臺中搭建入侵檢測系統(tǒng)，支持對用戶和系統(tǒng)的運行狀況分析，查找非法用戶和合法用戶的越權(quán)操作，檢測系統(tǒng)配置的正確性和安全漏洞，提示管理員和用戶修補(bǔ)漏洞，對用戶的非正?；顒舆M(jìn)行統(tǒng)計分析，發(fā)現(xiàn)攻擊行為的特征，實時檢測到攻擊行為并且進(jìn)行響應(yīng)等功能。整個互動的構(gòu)架是基于CIDF模型框架模型，該模型定義：一個完整的入侵檢測系統(tǒng)分為以下組件：事件產(chǎn)生器、事件分析器

10、、響應(yīng)單元和事件數(shù)據(jù)庫。這四部分的功能如下：事件產(chǎn)生器：目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器：分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元：對分析結(jié)果做出反應(yīng)的功能單元，可以切斷連接、改變文件屬性等，也可以只是簡單的報告。事件數(shù)據(jù)庫：是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。其中，IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。在這個模型中，前三者以程序的形式出現(xiàn)，而最后一個則往往是文件或數(shù)據(jù)流的形式。為了適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，提高現(xiàn)有的網(wǎng)絡(luò)入侵檢測系統(tǒng)擴(kuò)展性、高可靠性、高勁型

11、、準(zhǔn)確性，參考CIDF模型，結(jié)合當(dāng)今的入侵檢測技術(shù)(模式匹配、統(tǒng)計模型、狀態(tài)檢測、協(xié)議分析)的需要，并最終配合網(wǎng)絡(luò)教學(xué)平臺使用，達(dá)到互動的目的，我們采用了以下的框架。BRclear=all圖4改進(jìn)后的系統(tǒng)框架針對各功能模塊的設(shè)計如下：1）數(shù)據(jù)預(yù)處理模塊該模塊完成將網(wǎng)絡(luò)中采集的數(shù)據(jù)報文按照各層協(xié)議逐一進(jìn)行分離，將數(shù)據(jù)報文轉(zhuǎn)換成程序可以識別的數(shù)據(jù)結(jié)構(gòu)。采用東軟IDS的模塊設(shè)計，將該模塊主要分為5大部分：鏈路層協(xié)議分解(PPP.FDDI等)；網(wǎng)絡(luò)層協(xié)議分解(IP協(xié)議、IPX協(xié)議、ARP協(xié)議等)；傳輸層協(xié)議分解(TCP協(xié)議、UDP協(xié)議、ICMP協(xié)議等)；IP分片重組；TCP流重組。通過該模塊的處理，原

12、始數(shù)據(jù)報文按照協(xié)議分層信息轉(zhuǎn)化成程序可識別的數(shù)據(jù)結(jié)構(gòu)。該結(jié)構(gòu)中包含有各個協(xié)議層次的信息，以及其他一些檢測所需的數(shù)據(jù)。2）入侵檢測規(guī)則庫入侵檢測規(guī)則庫是入侵檢測系統(tǒng)的支撐，該庫主要按照一種系統(tǒng)可識別的語言描述了所有已知的攻擊模型信息和適用的檢測方法。這里我們同樣繼承NetEyeIDS系統(tǒng)的規(guī)則庫模塊及規(guī)則格式的定義，因為這種規(guī)則格式，可以適應(yīng)目前匹配技術(shù)在入侵檢測系統(tǒng)的應(yīng)用，包括檢測各種類型的攻擊，檢測到攻擊后采取什么樣的措施等，并且有很好的擴(kuò)展性。而且NetEyeIDS入侵檢測規(guī)則庫中會不斷的更新升級，幾乎包含了針對目前出現(xiàn)的幾乎所有的入侵的規(guī)則表述。另外，針對具體攻擊的特征和實質(zhì)，該規(guī)則庫中

13、還有一些附加信息描述，方便了解每一種攻擊的來龍去脈，即該條規(guī)則屬于何種類型的攻擊、針對哪一類操作系統(tǒng)的什么漏洞，以及該漏洞的發(fā)現(xiàn)時間、補(bǔ)丁信息等。為我們實現(xiàn)對網(wǎng)絡(luò)平臺用戶的報警及提供相應(yīng)的支持信息，幫助其盡快完善和修復(fù)系統(tǒng)提供了可能。3）狀態(tài)檢測模塊狀態(tài)檢測技術(shù)的基本思想是通過在IDS主機(jī)上維護(hù)著一個狀態(tài)表，實現(xiàn)狀態(tài)檢測的核心就在于這個狀態(tài)表的建立和維護(hù)。在TCP/IP協(xié)議族中，IP所承載的TCP通信是面向連接的，ICMP和UDP都是無連接的，由于TCP通信包含有豐富的狀態(tài)以及狀態(tài)轉(zhuǎn)換機(jī)制。狀態(tài)檢測首先要考慮的，就是TCP通信的檢測方法，該模塊在NetEyeIDS系統(tǒng)中沒有提供給我們的，所以就

14、需要我們進(jìn)行設(shè)計，這里，我們設(shè)計該模塊的內(nèi)容包括：TCP，UDP，ICMP通信的狀態(tài)確定與提??；IDS必須維護(hù)著一張狀態(tài)表，狀態(tài)表里存儲著TCP，UDP，ICMP通信的狀態(tài)；為保證查表的準(zhǔn)確與高效，該表應(yīng)該是一個內(nèi)核態(tài)的散列(HASH)表；IDS接收的數(shù)據(jù)包將首先與狀態(tài)表相匹配；該狀態(tài)表能夠嚴(yán)格發(fā)現(xiàn)不符合狀態(tài)轉(zhuǎn)換機(jī)制的攻擊，并能夠結(jié)合統(tǒng)計方法對掃描攻擊和惡意拒絕服務(wù)攻擊進(jìn)行檢測。4）協(xié)議分析模塊這里的協(xié)議分析模塊主要指的是應(yīng)用層協(xié)議分析。同樣是原本系統(tǒng)所不支持的，因為原有IDS系統(tǒng)只是對應(yīng)用層以下的協(xié)議進(jìn)行了分析。我們設(shè)計該協(xié)議分析模塊包含各個針對具體協(xié)議處理的子模塊，即FTP協(xié)議處理摸塊、T

15、ELNET協(xié)議處理模塊、HTTP協(xié)議處理模塊、SMTP協(xié)議處理模塊、POPS協(xié)議處理模塊共5個子模塊。分別對應(yīng)網(wǎng)絡(luò)教學(xué)平臺上的應(yīng)用，如：FTP上傳下載課程資源，TELNET登陸平臺，通過WEB頁面使用平臺以及平臺的郵件服務(wù)。因為，TELNET，SMTP，POP3等協(xié)議是面向字符的協(xié)議，所以，對于從數(shù)據(jù)采集和數(shù)據(jù)預(yù)處理模塊傳送來的單個協(xié)議報文，需要協(xié)議分折模塊來進(jìn)行緩存處理，按照協(xié)議規(guī)定的命令結(jié)束方式(以回車符表示結(jié)束)，把連續(xù)的幾個協(xié)議包組織成一個可識別的完整命令，在組包的過程中，要對具體客戶端協(xié)議包中的一些特殊鍵入字符進(jìn)行相應(yīng)處理，包括協(xié)議本身命令符、空格、回退等。5）異常統(tǒng)計模塊不同于一般

16、的攻擊方式，黑客們常常還使用暴力手段或同時控制多臺機(jī)器發(fā)動惡意攻擊、對于這類攻擊，會在短時間內(nèi)產(chǎn)生大量的攻擊報文，如果仍然采用單包檢測的模式匹配技術(shù)，會產(chǎn)生大量的重復(fù)告警信息，影響系統(tǒng)的檢測效率和性能。因此，對于這類攻擊，我們設(shè)計了異常統(tǒng)計模塊來進(jìn)行檢測口。該模塊主要采用了統(tǒng)計方法，通過對這一類攻擊進(jìn)行建模，設(shè)置極限閥植等方法，將檢測數(shù)據(jù)與己有的正常行為比較，如果超出極限值，就認(rèn)為是入侵行為。簡單描述如何使用異常統(tǒng)計模塊檢測網(wǎng)絡(luò)入侵。黑客入侵任何系統(tǒng)之前，必須要做的準(zhǔn)備工作之一就是通過掃描和探測獲取目標(biāo)主機(jī)的信息，包括操作系統(tǒng)的信息(類型、版本)，開放了哪些端口和服務(wù)等。通常黑客使用的工具如：

17、PingScan，PortScan，等。使用這些工具對主機(jī)進(jìn)行掃描和探測時，采用統(tǒng)計模型，定義的通常的特征是：在單位時間內(nèi)，對同一臺目標(biāo)主機(jī)的n個端口發(fā)送異常數(shù)據(jù)包或者在單位時間內(nèi)，對n個主機(jī)的相同端口發(fā)送異常數(shù)據(jù)包。因此，在這樣的統(tǒng)計模型下，關(guān)鍵在于如何確定n的值，才能準(zhǔn)確的捕捉到入侵，而又不會對系統(tǒng)造成危害。6）模式匹配模塊模式匹配模塊是入侵檢測系統(tǒng)的主要環(huán)節(jié)。隨著黑客攻擊手段的飛速增長，針對模式匹配的攻擊特征規(guī)則越來越多，這就對模式匹配模塊的匹配速度提出了較高的要求。7）入侵響應(yīng)模塊不管是狀態(tài)檢測模塊、協(xié)議分析模塊還是模式匹配模塊，一旦發(fā)現(xiàn)入侵行為，入侵檢測系統(tǒng)立即調(diào)用入侵響應(yīng)模塊進(jìn)行實

18、時響應(yīng)。這時入侵響應(yīng)模塊會根據(jù)系統(tǒng)初始配置入侵行為的響應(yīng)設(shè)置來進(jìn)行相應(yīng)的措施。針對我們?yōu)榫W(wǎng)絡(luò)教學(xué)平臺的特殊設(shè)計，這里響應(yīng)模塊根據(jù)不同的響應(yīng)設(shè)置有劃分為8個子模塊，發(fā)現(xiàn)攻擊、防火墻聯(lián)動、阻塞攻擊、Email通知、Snmp通知警鈴?fù)ㄖ⑾⑼ㄖ?、短消息通知、文件通知。Email通知是發(fā)現(xiàn)攻擊后，發(fā)送Email給管理員和能夠定位的系統(tǒng)進(jìn)行通知；Snmp通知是發(fā)現(xiàn)攻擊后，調(diào)用Snmp代理進(jìn)行通知，以及使用網(wǎng)絡(luò)教學(xué)平臺系統(tǒng)消息和短信等方式通知。在傳統(tǒng)的單純隔斷入侵行為的基礎(chǔ)上，強(qiáng)調(diào)了對用戶提供安全防御等輔助信息，加強(qiáng)用戶的安全意識，從源頭上阻斷網(wǎng)絡(luò)上的入侵行為。8）日志記錄模塊網(wǎng)絡(luò)入侵檢測系統(tǒng)的日志記錄

19、分為兩種：攻擊日志記錄和操作日志記錄。攻擊日志記錄在入侵事件發(fā)生后，提供給網(wǎng)絡(luò)管理者必要的信息。操作日志記錄用于記錄網(wǎng)絡(luò)入侵檢測系統(tǒng)本身的狀態(tài)和控制，包括啟動、停止、負(fù)載運行等狀態(tài)和控制信息。日志提供一套全面的、獨立于操作系統(tǒng)本身的、可查詢的日志記錄，可用于事后對入侵行為的審計和追蹤。當(dāng)各種入侵檢測模塊(包括狀態(tài)檢測、協(xié)議分析、異常統(tǒng)計和模式匹配模塊)發(fā)現(xiàn)入侵后，先調(diào)用響應(yīng)模塊對該入侵進(jìn)行及時的處理，然后由響應(yīng)模塊直接調(diào)用攻擊日志記錄模塊進(jìn)行攻擊日志記錄，否則，不進(jìn)行調(diào)用；當(dāng)代理模塊對網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行控制時，由代理模塊直接調(diào)用操作日志記錄模塊進(jìn)行日志記錄。攻擊日志記錄模塊是用來記錄入侵檢測

20、系統(tǒng)檢測到的入侵行為的必要信息。6互動的實現(xiàn)先給出系統(tǒng)實現(xiàn)的網(wǎng)絡(luò)結(jié)構(gòu)圖。圖5表示了該網(wǎng)絡(luò)入侵檢測系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)。出于安全的考慮，研究初期，沒有采用直接在網(wǎng)絡(luò)教學(xué)平臺服務(wù)器上搭建系統(tǒng)的方式。但選取同樣的操作系統(tǒng)平臺，盡可能的保證日后移植的可用性。（1）安裝與配置NetEyeIDS：見操作手冊。（2）NetEyeIDS規(guī)則庫的下載和更新。此外，在實際應(yīng)用過程中，系統(tǒng)管理員可以自己設(shè)定，使NetEyeIDS自動的下載更新規(guī)則庫，保持IDS系統(tǒng)具有最新的防御能力。圖5系統(tǒng)實現(xiàn)的網(wǎng)絡(luò)結(jié)構(gòu)圖后期對前面設(shè)計中提到的各個模塊進(jìn)行完全實現(xiàn)，下面一一說明。（1）數(shù)據(jù)預(yù)處理模塊：使用NetEyeIDS原始模塊。（2）入侵檢測規(guī)則庫：使用NetEyeIDS原始模塊。（3）狀態(tài)檢測模塊：主要針對底層協(xié)議的攻擊檢測，這類攻擊數(shù)量相對較少，變化慢，大部分可以通過在防火墻