淺談入侵檢測系統(tǒng)與網(wǎng)絡(luò)教學(xué)平臺互動的研究及實現(xiàn)

1、淺談入侵檢測系統(tǒng)與網(wǎng)絡(luò)教學(xué)平臺互動的研究及實現(xiàn)    摘  要  目前網(wǎng)絡(luò)安全問題越來越嚴重，入侵檢測系統(tǒng)已經(jīng)被廣泛的使用，同時，依托網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)教學(xué)平臺應(yīng)運而生。本文針對學(xué)校的特殊應(yīng)用，研究并實現(xiàn)了入侵檢測系統(tǒng)與網(wǎng)絡(luò)教學(xué)平臺的互動，一方面，利用入侵檢測系統(tǒng)檢測網(wǎng)絡(luò)教學(xué)平臺訪問者的攻擊及漏洞，維護網(wǎng)絡(luò)教學(xué)平臺的正常運行；另一方面，通過將攻擊信息、系統(tǒng)漏洞、補救修復(fù)方法等對網(wǎng)絡(luò)教學(xué)平臺訪問者的反饋，增進其網(wǎng)絡(luò)安全知識及意識，充分發(fā)揮教育功能。    關(guān)鍵詞  網(wǎng)絡(luò)教學(xué)；入侵檢測系統(tǒng)；網(wǎng)絡(luò)安全&#

2、160; 1  引言    網(wǎng)絡(luò)教學(xué)平臺作為一種新興的教學(xué)與學(xué)習(xí)互動的教育工具目前在各大專院校得到了普遍的應(yīng)用，大量的學(xué)生通過訪問網(wǎng)絡(luò)教學(xué)平臺進行自學(xué)或是輔助學(xué)習(xí)。但是，網(wǎng)絡(luò)教學(xué)平臺的使用者常常會發(fā)現(xiàn)網(wǎng)絡(luò)連接速度太慢，影響學(xué)習(xí)和教學(xué)，經(jīng)過調(diào)查發(fā)現(xiàn)，部分問題源于網(wǎng)絡(luò)安全，進一步驗證了網(wǎng)絡(luò)安全問題的無處不在。而在目前網(wǎng)絡(luò)安全熱的背后，許多人對網(wǎng)絡(luò)安全的認識還處于初級階段，并不成熟。因此，作為教育工作者，依托網(wǎng)絡(luò)教學(xué)平臺，我們實現(xiàn)了網(wǎng)絡(luò)入侵檢測系統(tǒng)與其互動，在保證網(wǎng)絡(luò)教學(xué)平臺自身安全的基礎(chǔ)上，提供給使用者網(wǎng)絡(luò)安全的解決方案，喚醒使用者對網(wǎng)絡(luò)安全的重視。2

3、60; 全新的安全機制    無論是在個人平臺、傳統(tǒng)主從構(gòu)架，或多層次構(gòu)架，internet平臺等，防毒軟件及防火墻都扮演了重要的角色，盡管如此，研究仍然發(fā)現(xiàn)網(wǎng)絡(luò)學(xué)習(xí)者往往個人使用電腦網(wǎng)絡(luò)警覺性不足，并且不具備相關(guān)電腦知識，還是會飽受網(wǎng)絡(luò)病毒或黑客入侵的危機，有些學(xué)習(xí)者甚至不知道自己的機器已經(jīng)被黑客入侵或感染了網(wǎng)絡(luò)病毒，進而繼續(xù)感染給網(wǎng)絡(luò)學(xué)習(xí)平臺或其他使用者的電腦上，進而導(dǎo)致教學(xué)平臺無法正常運作。縱觀目前的網(wǎng)絡(luò)教學(xué)平臺，系統(tǒng)管理者所處理的方式都是利用防火墻及防毒軟件杜絕網(wǎng)絡(luò)的危害，屬于被動的預(yù)防或是治療。    而我們的研究認為網(wǎng)絡(luò)教

4、學(xué)平臺除了提供網(wǎng)絡(luò)教學(xué)的服務(wù)之外，應(yīng)有義務(wù)主動的告知使用者在學(xué)習(xí)時的網(wǎng)絡(luò)情況并告知處理方法。因此建立教學(xué)平臺的網(wǎng)絡(luò)安全告知的機制是必要的，這樣，我們變以往被動的安全機制為主動防御和治療的安全機制，讓使用者了解電腦目前的狀況，解決安全問題，并從根本上喚起使用者的警覺心，加強網(wǎng)絡(luò)安全意識。進而，從本質(zhì)上有效的截斷病毒傳播，維護網(wǎng)絡(luò)安全。3  網(wǎng)絡(luò)教學(xué)平臺的研究    我國的教育問題正處于一個關(guān)鍵發(fā)展階段，隨著高等教育改革的實施和深化發(fā)展，接受高等教育的人數(shù)快速增長，怎樣提供更多的機會，普及高等教育也就迫在眉睫。為了解決這一問題，教育工作者嘗試利用互聯(lián)網(wǎng)通過網(wǎng)

5、絡(luò)進行教育，逐步實現(xiàn)遠程教育的普及。而能夠提供這些服務(wù)的，只能是搭建網(wǎng)絡(luò)教學(xué)平臺。    通常，網(wǎng)絡(luò)教學(xué)平臺都按照browser/server模式，一般將傳統(tǒng)的兩層體系結(jié)構(gòu)擴展成瀏覽器web服務(wù)器+應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器三層體系結(jié)構(gòu)，因為這種模式采用多種標(biāo)準的協(xié)議和技術(shù)，適合于任何硬件平臺和軟件環(huán)境。    常見的基于windows的網(wǎng)絡(luò)教學(xué)平臺，采用jsp與sql server 2000 數(shù)據(jù)庫相結(jié)合，其體系結(jié)構(gòu)如圖1所示。    圖1  網(wǎng)絡(luò)教學(xué)平臺的體系結(jié)構(gòu)  

6、0;  網(wǎng)絡(luò)教學(xué)平臺一般由教師教學(xué)系統(tǒng)、學(xué)生學(xué)習(xí)系統(tǒng)和教學(xué)管理系統(tǒng)三大模塊組成，這些模塊之間相互聯(lián)系，相互配合，構(gòu)成一個完整的網(wǎng)絡(luò)教學(xué)系統(tǒng)。系統(tǒng)功能框圖如圖2所示。    由于我們計劃在真實的網(wǎng)絡(luò)教學(xué)平臺中搭建入侵檢測系統(tǒng)，選擇了學(xué)校自己建設(shè)的網(wǎng)絡(luò)教學(xué)平臺，即西安郵電學(xué)院網(wǎng)絡(luò)教學(xué)平臺。它是為教師課堂面授課程服務(wù)的網(wǎng)絡(luò)輔助教學(xué)的支撐平臺，該系統(tǒng)支持教師與學(xué)生進行網(wǎng)上互動式教學(xué)活動，它能向?qū)W生提供網(wǎng)絡(luò)輔助學(xué)習(xí)支持功能，如選課與登錄相應(yīng)的課程、瀏覽相應(yīng)的課程輔導(dǎo)材料、網(wǎng)上提問、在線測試、討論式學(xué)習(xí)等等；它能向教師提供網(wǎng)上教學(xué)支持功能，如發(fā)布選課程信息、布置作業(yè)

7、、制作課件、網(wǎng)上答疑、在線測試、討論式學(xué)習(xí)、并永久保留各項網(wǎng)上學(xué)習(xí)痕跡和各項統(tǒng)計消息等等從而拓展教學(xué)空間，擴大師生視野。可見，我校的網(wǎng)絡(luò)教學(xué)平臺是一個典型的網(wǎng)絡(luò)教學(xué)平臺，具有很好的實踐價值。    圖2  系統(tǒng)功能框圖     同時，為完成在網(wǎng)絡(luò)教學(xué)平臺中搭建入侵檢測系統(tǒng)的工作，我們對西安郵電學(xué)院網(wǎng)絡(luò)教學(xué)平臺的特點進行了分析和研究：    所有的操作都在web頁面，簡單易懂，客戶端不用使用特殊的插件。    為各種形式的教學(xué)資料提供了交流平臺，使教師和學(xué)生

8、能夠相互交流和共享教學(xué)資料。    交互工具強大，教師可以開辟聊天室，討論組，利用郵件，備忘錄來交流。    具有個人備忘錄，博客等全面的功能。4  入侵檢測系統(tǒng)的研究    本文的入侵監(jiān)測系統(tǒng)選用東軟的neteye ids系統(tǒng)。它是東軟開發(fā)的具有自主版權(quán)的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)。采用先進的基于網(wǎng)絡(luò)數(shù)據(jù)流實時智能分析技術(shù)判斷來自網(wǎng)絡(luò)內(nèi)部和外部的入侵企圖，進行報警，響應(yīng)和防范。作為防火墻之后的第二道安全閘門，配合防火墻系統(tǒng)使用，全面保障網(wǎng)絡(luò)的安全，組成完整的網(wǎng)絡(luò)安全解決方案。  &#

9、160; 整個系統(tǒng)采用客戶/服務(wù)器結(jié)構(gòu)，由檢測引擎和管理主機組成。結(jié)構(gòu)示意圖如圖3所示。    圖3  結(jié)構(gòu)示意圖     主要功能模塊有：網(wǎng)絡(luò)攻擊與入侵檢測功能；多種通信協(xié)議內(nèi)容恢復(fù)功能；應(yīng)用審計和網(wǎng)絡(luò)審計功能；圖表顯示網(wǎng)絡(luò)信息功能；報表功能；實時網(wǎng)絡(luò)監(jiān)考功能；網(wǎng)絡(luò)掃描器；數(shù)據(jù)備份恢復(fù)功能；其它輔助管理工具。    實踐研究得出東軟neteye入侵檢測系統(tǒng)的技術(shù)優(yōu)勢包括：    以“網(wǎng)絡(luò)安全問題是一個完整的過程，而不是一個孤立的事件”為核心設(shè)計思想。有效

10、監(jiān)控網(wǎng)絡(luò)全過程，整體保障網(wǎng)絡(luò)安全和健康。    強大的攻擊檢測能力和優(yōu)越的性能，是功能強大的入侵檢測產(chǎn)品。    neteye入侵檢測系統(tǒng)獨有的網(wǎng)絡(luò)內(nèi)容恢復(fù)、應(yīng)用審計、網(wǎng)絡(luò)審計等功能，是完整的網(wǎng)絡(luò)行為錄像機。    neteye入侵檢測系統(tǒng)獨有的網(wǎng)絡(luò)實時監(jiān)控和診斷功能，是全面的網(wǎng)絡(luò)故障分析器。    neteye入侵檢測系統(tǒng)獨有的網(wǎng)絡(luò)主動掃描功能，綜合主動發(fā)現(xiàn)和被動分析功能。是靈活的網(wǎng)絡(luò)安全探測儀。    綜上所述，neteye入侵檢測系統(tǒng)是一個

11、具有易用性、易維護性、高可用性、易部署性等特色的網(wǎng)絡(luò)安全產(chǎn)品，而且整體擁有成本最低。5  互動研究及設(shè)計    首先明確我們設(shè)計所針對的對象：    網(wǎng)絡(luò)教學(xué)平臺：西安郵電學(xué)院網(wǎng)絡(luò)教學(xué)平臺    平臺環(huán)境：linux服務(wù)器    工作模式：b/s模式    入侵檢測系統(tǒng)原型：net eye ids系統(tǒng)    平臺環(huán)境：linux服務(wù)器    工作模式：日志記錄和報警模式

12、0;   最終的設(shè)計目標(biāo)是：實現(xiàn)在原有的網(wǎng)絡(luò)教學(xué)平臺中搭建入侵檢測系統(tǒng)，支持對用戶和系統(tǒng)的運行狀況分析，查找非法用戶和合法用戶的越權(quán)操作，檢測系統(tǒng)配置的正確性和安全漏洞，提示管理員和用戶修補漏洞，對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)攻擊行為的特征，實時檢測到攻擊行為并且進行響應(yīng)等功能。    整個互動的構(gòu)架是基于cidf模型框架模型，該模型定義：一個完整的入侵檢測系統(tǒng)分為以下組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。    這四部分的功能如下：    事件產(chǎn)生器：目的是從整個

13、計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。    事件分析器：分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。    響應(yīng)單元：對分析結(jié)果做出反應(yīng)的功能單元，可以切斷連接、改變文件屬性等，也可以只是簡單的報告。    事件數(shù)據(jù)庫：是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。    其中，ids需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。在這個模型中，前三者以程序的形式出現(xiàn)，而最后一個則往往是文件或數(shù)據(jù)

14、流的形式。    為了適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，提高現(xiàn)有的網(wǎng)絡(luò)入侵檢測系統(tǒng)擴展性、高可靠性、高勁型、準確性，參考cidf模型，結(jié)合當(dāng)今的入侵檢測技術(shù)(模式匹配、統(tǒng)計模型、狀態(tài)檢測、協(xié)議分析)的需要，并最終配合網(wǎng)絡(luò)教學(xué)平臺使用，達到互動的目的，我們采用了以下的框架。    圖4  改進后的系統(tǒng)框架     針對各功能模塊的設(shè)計如下：    1）數(shù)據(jù)預(yù)處理模塊    該模塊完成將網(wǎng)絡(luò)中采集的數(shù)據(jù)報文按照各層協(xié)議逐一進行分離，將

15、數(shù)據(jù)報文轉(zhuǎn)換成程序可以識別的數(shù)據(jù)結(jié)構(gòu)。    采用東軟ids的模塊設(shè)計，將該模塊主要分為5大部分：    鏈路層協(xié)議分解(ppp. fddi等)；    網(wǎng)絡(luò)層協(xié)議分解(ip協(xié)議、ipx協(xié)議、arp協(xié)議等)；    傳輸層協(xié)議分解(tcp協(xié)議、udp協(xié)議、icmp協(xié)議等)；    ip分片重組；    tcp流重組。    通過該模塊的處理，原始數(shù)據(jù)報文按照協(xié)議分層信息轉(zhuǎn)化成程序可識別的

16、數(shù)據(jù)結(jié)構(gòu)。該結(jié)構(gòu)中包含有各個協(xié)議層次的信息，以及其他一些檢測所需的數(shù)據(jù)。    2）入侵檢測規(guī)則庫    入侵檢測規(guī)則庫是入侵檢測系統(tǒng)的支撐，該庫主要按照一種系統(tǒng)可識別的語言描述了所有已知的攻擊模型信息和適用的檢測方法。這里我們同樣繼承neteye ids系統(tǒng)的規(guī)則庫模塊及規(guī)則格式的定義，因為這種規(guī)則格式，可以適應(yīng)目前匹配技術(shù)在入侵檢測系統(tǒng)的應(yīng)用，包括檢測各種類型的攻擊，檢測到攻擊后采取什么樣的措施等，并且有很好的擴展性。而且neteye ids入侵檢測規(guī)則庫中會不斷的更新升級，幾乎包含了針對目前出現(xiàn)的幾乎所有的入侵的規(guī)則表述。另外，

17、針對具體攻擊的特征和實質(zhì)，該規(guī)則庫中還有一些附加信息描述，方便了解每一種攻擊的來龍去脈，即該條規(guī)則屬于何種類型的攻擊、針對哪一類操作系統(tǒng)的什么漏洞，以及該漏洞的發(fā)現(xiàn)時間、補丁信息等。為我們實現(xiàn)對網(wǎng)絡(luò)平臺用戶的報警及提供相應(yīng)的支持信息，幫助其盡快完善和修復(fù)系統(tǒng)提供了可能。    3）狀態(tài)檢測模塊    狀態(tài)檢測技術(shù)的基本思想是通過在ids主機上維護著一個狀態(tài)表，實現(xiàn)狀態(tài)檢測的核心就在于這個狀態(tài)表的建立和維護。在tcp/ip協(xié)議族中，ip所承載的tcp通信是面向連接的，icmp和udp都是無連接的，由于tcp通信包含有豐富的狀態(tài)以及狀態(tài)轉(zhuǎn)

18、換機制。狀態(tài)檢測首先要考慮的，就是tcp通信的檢測方法，該模塊在neteye ids系統(tǒng)中沒有提供給我們的，所以就需要我們進行設(shè)計，這里，我們設(shè)計該模塊的內(nèi)容包括：    tcp，udp，icmp通信的狀態(tài)確定與提??；    ids必須維護著一張狀態(tài)表，狀態(tài)表里存儲著tcp，udp，icmp通信的狀態(tài)；為保證查表的準確與高效，該表應(yīng)該是一個內(nèi)核態(tài)的散列(hash)表；    ids接收的數(shù)據(jù)包將首先與狀態(tài)表相匹配；    該狀態(tài)表能夠嚴格發(fā)現(xiàn)不符合狀態(tài)轉(zhuǎn)換機制的攻擊，并能夠結(jié)

19、合統(tǒng)計方法對掃描攻擊和惡意拒絕服務(wù)攻擊進行檢測。    4）協(xié)議分析模塊    這里的協(xié)議分析模塊主要指的是應(yīng)用層協(xié)議分析。同樣是原本系統(tǒng)所不支持的，因為原有ids系統(tǒng)只是對應(yīng)用層以下的協(xié)議進行了分析。    我們設(shè)計該協(xié)議分析模塊包含各個針對具體協(xié)議處理的子模塊，即ftp協(xié)議處理摸塊、telnet協(xié)議處理模塊、http協(xié)議處理模塊、smtp協(xié)議處理模塊、pops協(xié)議處理模塊共5個子模塊。分別對應(yīng)網(wǎng)絡(luò)教學(xué)平臺上的應(yīng)用，如：ftp上傳下載課程資源，telnet登陸平臺，通過web頁面使用平臺以及平臺的郵件服

20、務(wù)。    因為，telnet，smtp，pop3等協(xié)議是面向字符的協(xié)議，所以，對于從數(shù)據(jù)采集和數(shù)據(jù)預(yù)處理模塊傳送來的單個協(xié)議報文，需要協(xié)議分折模塊來進行緩存處理，按照協(xié)議規(guī)定的命令結(jié)束方式(以回車符表示結(jié)束)，把連續(xù)的幾個協(xié)議包組織成一個可識別的完整命令，在組包的過程中，要對具體客戶端協(xié)議包中的一些特殊鍵入字符進行相應(yīng)處理，包括協(xié)議本身命令符、空格、回退等。    5）異常統(tǒng)計模塊    不同于一般的攻擊方式，黑客們常常還使用暴力手段或同時控制多臺機器發(fā)動惡意攻擊、對于這類攻擊，會在短時間內(nèi)產(chǎn)生大量的攻

21、擊報文，如果仍然采用單包檢測的模式匹配技術(shù)，會產(chǎn)生大量的重復(fù)告警信息，影響系統(tǒng)的檢測效率和性能。因此，對于這類攻擊，我們設(shè)計了異常統(tǒng)計模塊來進行檢測口。    該模塊主要采用了統(tǒng)計方法，通過對這一類攻擊進行建模，設(shè)置極限閥植等方法，將檢測數(shù)據(jù)與己有的正常行為比較，如果超出極限值，就認為是入侵行為。簡單描述如何使用異常統(tǒng)計模塊檢測網(wǎng)絡(luò)入侵。黑客入侵任何系統(tǒng)之前，必須要做的準備工作之一就是通過掃描和探測獲取目標(biāo)主機的信息，包括操作系統(tǒng)的信息(類型、版本)，開放了哪些端口和服務(wù)等。通常黑客使用的工具如：ping scan，port scan，等。  

22、  使用這些工具對主機進行掃描和探測時，采用統(tǒng)計模型，定義的通常的特征是：在單位時間內(nèi)，對同一臺目標(biāo)主機的n個端口發(fā)送異常數(shù)據(jù)包或者在單位時間內(nèi)，對n個主機的相同端口發(fā)送異常數(shù)據(jù)包。因此，在這樣的統(tǒng)計模型下，關(guān)鍵在于如何確定n的值，才能準確的捕捉到入侵，而又不會對系統(tǒng)造成危害。    6）模式匹配模塊    模式匹配模塊是入侵檢測系統(tǒng)的主要環(huán)節(jié)。隨著黑客攻擊手段的飛速增長，針對模式匹配的攻擊特征規(guī)則越來越多，這就對模式匹配模塊的匹配速度提出了較高的要求。    7）入侵響應(yīng)模塊 

23、60;  不管是狀態(tài)檢測模塊、協(xié)議分析模塊還是模式匹配模塊，一旦發(fā)現(xiàn)入侵行為，入侵檢測系統(tǒng)立即調(diào)用入侵響應(yīng)模塊進行實時響應(yīng)。這時入侵響應(yīng)模塊會根據(jù)系統(tǒng)初始配置入侵行為的響應(yīng)設(shè)置來進行相應(yīng)的措施。    針對我們?yōu)榫W(wǎng)絡(luò)教學(xué)平臺的特殊設(shè)計，這里響應(yīng)模塊根據(jù)不同的響應(yīng)設(shè)置有劃分為8個子模塊，發(fā)現(xiàn)攻擊、防火墻聯(lián)動、阻塞攻擊、email通知、snmp通知警鈴?fù)ㄖ?、消息通知、短消息通知、文件通知。email通知是發(fā)現(xiàn)攻擊后，發(fā)送email給管理員和能夠定位的系統(tǒng)進行通知；snmp通知是發(fā)現(xiàn)攻擊后，調(diào)用snmp代理進行通知，以及使用網(wǎng)絡(luò)教學(xué)平臺系統(tǒng)消息和短信等方式通知

24、。在傳統(tǒng)的單純隔斷入侵行為的基礎(chǔ)上，強調(diào)了對用戶提供安全防御等輔助信息，加強用戶的安全意識，從源頭上阻斷網(wǎng)絡(luò)上的入侵行為。    8）日志記錄模塊    網(wǎng)絡(luò)入侵檢測系統(tǒng)的日志記錄分為兩種：攻擊日志記錄和操作日志記錄。攻擊日志記錄在入侵事件發(fā)生后，提供給網(wǎng)絡(luò)管理者必要的信息。操作日志記錄用于記錄網(wǎng)絡(luò)入侵檢測系統(tǒng)本身的狀態(tài)和控制，包括啟動、停止、負載運行等狀態(tài)和控制信息。    日志提供一套全面的、獨立于操作系統(tǒng)本身的、可查詢的日志記錄，可用于事后對入侵行為的審計和追蹤。當(dāng)各種入侵檢測模塊(包括狀態(tài)檢測、協(xié)

25、議分析、異常統(tǒng)計和模式匹配模塊)發(fā)現(xiàn)入侵后，先調(diào)用響應(yīng)模塊對該入侵進行及時的處理，然后由響應(yīng)模塊直接調(diào)用攻擊日志記錄模塊進行攻擊日志記錄，否則，不進行調(diào)用；當(dāng)代理模塊對網(wǎng)絡(luò)入侵檢測系統(tǒng)進行控制時，由代理模塊直接調(diào)用操作日志記錄模塊進行日志記錄。    攻擊日志記錄模塊是用來記錄入侵檢測系統(tǒng)檢測到的入侵行為的必要信息。6  互動的實現(xiàn)    先給出系統(tǒng)實現(xiàn)的網(wǎng)絡(luò)結(jié)構(gòu)圖。    圖5表示了該網(wǎng)絡(luò)入侵檢測系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)。    出于安全的考慮，研究初期，沒有采用直接在網(wǎng)絡(luò)

26、教學(xué)平臺服務(wù)器上搭建系統(tǒng)的方式。但選取同樣的操作系統(tǒng)平臺，盡可能的保證日后移植的可用性。    （1）安裝與配置neteye ids：見操作手冊。    （2）neteye ids規(guī)則庫的下載和更新。    此外，在實際應(yīng)用過程中，系統(tǒng)管理員可以自己設(shè)定，使neteye ids自動的下載更新規(guī)則庫，保持ids系統(tǒng)具有最新的防御能力。    圖5  系統(tǒng)實現(xiàn)的網(wǎng)絡(luò)結(jié)構(gòu)圖     后期對前面設(shè)計中提到的各個模塊進行完全實現(xiàn)，下面一

27、一說明。    （1）數(shù)據(jù)預(yù)處理模塊：使用neteye ids原始模塊。    （2）入侵檢測規(guī)則庫：使用neteye ids原始模塊。    （3）狀態(tài)檢測模塊：主要針對底層協(xié)議的攻擊檢測，這類攻擊數(shù)量相對較少，變化慢，大部分可以通過在防火墻中進行設(shè)置實現(xiàn)。目前采用有限狀態(tài)機的原理編程實現(xiàn)。    （4）協(xié)議分析模塊：由于目前網(wǎng)絡(luò)教學(xué)平臺的用戶基本上都只能通過web方式使用，故使用協(xié)議僅僅為http協(xié)議，該協(xié)議攻擊的檢測使用規(guī)則匹配就可以達到很好的效果，采用基于內(nèi)容分析和協(xié)議解析的方法實現(xiàn)。    （5）異常統(tǒng)計模塊：該模塊目前實現(xiàn)了在neteye id