答辯 136 美樂(lè)辰

1、蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院分布式入侵檢測(cè)系統(tǒng)分布式入侵檢測(cè)系統(tǒng)及其在多園區(qū)校園網(wǎng)中的應(yīng)用及其在多園區(qū)校園網(wǎng)中的應(yīng)用姓姓 名：名：XXXXXX指導(dǎo)教師：指導(dǎo)教師：XXX XXXXXX XXX工程領(lǐng)域：電子與通信工程工程領(lǐng)域：電子與通信工程所在學(xué)院：電子與信息工程學(xué)院所在學(xué)院：電子與信息工程學(xué)院2016年年5月月11日日蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院研究的背景和意義研究的背景和意義校園網(wǎng)已成為各個(gè)學(xué)校進(jìn)行教學(xué)科研、信校園網(wǎng)已成為各個(gè)學(xué)校進(jìn)行教學(xué)科研、信息交流、資源共享、文獻(xiàn)檢索等必不可少的一息交流、資源共享、文獻(xiàn)檢

2、索等必不可少的一部分。然而在享受校園網(wǎng)極大便利的同時(shí)，網(wǎng)部分。然而在享受校園網(wǎng)極大便利的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也變得越來(lái)越突出。校園網(wǎng)正面臨絡(luò)安全問(wèn)題也變得越來(lái)越突出。校園網(wǎng)正面臨著病毒侵害、黑客攻擊、內(nèi)部威脅、安全漏洞著病毒侵害、黑客攻擊、內(nèi)部威脅、安全漏洞、缺乏管理和濫用網(wǎng)絡(luò)資源等一系列的安全問(wèn)、缺乏管理和濫用網(wǎng)絡(luò)資源等一系列的安全問(wèn)題。題。蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院目前，我國(guó)大部分高校的校園網(wǎng)安全體系目前，我國(guó)大部分高校的校園網(wǎng)安全體系結(jié)構(gòu)仍然采用防火墻和網(wǎng)絡(luò)版殺毒軟件的方式結(jié)構(gòu)仍然采用防火墻和網(wǎng)絡(luò)版殺毒軟件的方式。這種方式對(duì)于來(lái)自校園網(wǎng)外部常見(jiàn)的

3、攻擊和。這種方式對(duì)于來(lái)自校園網(wǎng)外部常見(jiàn)的攻擊和各種已知病毒能起到較好的防護(hù)作用，但是對(duì)各種已知病毒能起到較好的防護(hù)作用，但是對(duì)于來(lái)自校園網(wǎng)內(nèi)部的攻擊和網(wǎng)絡(luò)蠕蟲(chóng)病毒卻效于來(lái)自校園網(wǎng)內(nèi)部的攻擊和網(wǎng)絡(luò)蠕蟲(chóng)病毒卻效果不佳。隨著攻擊者技能的日趨成熟，攻擊手果不佳。隨著攻擊者技能的日趨成熟，攻擊手段和攻擊工具的日趨復(fù)雜多樣化，這種方式已段和攻擊工具的日趨復(fù)雜多樣化，這種方式已經(jīng)無(wú)法滿足網(wǎng)絡(luò)安全的需要，部署分布式入侵經(jīng)無(wú)法滿足網(wǎng)絡(luò)安全的需要，部署分布式入侵檢測(cè)系統(tǒng)就成了校園網(wǎng)安全體系中必不可少的檢測(cè)系統(tǒng)就成了校園網(wǎng)安全體系中必不可少的重要組成部分。重要組成部分。 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息

4、工程學(xué)院電子與信息工程學(xué)院工程設(shè)計(jì)背景工程設(shè)計(jì)背景本研究課題就是以蘭州城市學(xué)院校園網(wǎng)為本研究課題就是以蘭州城市學(xué)院校園網(wǎng)為背景設(shè)計(jì)了一個(gè)分布式入侵檢測(cè)系統(tǒng)。蘭州城背景設(shè)計(jì)了一個(gè)分布式入侵檢測(cè)系統(tǒng)。蘭州城市學(xué)院校園網(wǎng)由三個(gè)校區(qū)組成：西校區(qū)、培黎市學(xué)院校園網(wǎng)由三個(gè)校區(qū)組成：西校區(qū)、培黎校區(qū)和東校區(qū)，校區(qū)之間通過(guò)租賃中國(guó)電信的校區(qū)和東校區(qū)，校區(qū)之間通過(guò)租賃中國(guó)電信的10M10M光纖進(jìn)行連接。校園網(wǎng)的管理中心設(shè)在西光纖進(jìn)行連接。校園網(wǎng)的管理中心設(shè)在西校區(qū)，其網(wǎng)絡(luò)體系結(jié)構(gòu)如下圖所示。校區(qū)，其網(wǎng)絡(luò)體系結(jié)構(gòu)如下圖所示。蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通

5、通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院系統(tǒng)物理結(jié)構(gòu)系統(tǒng)物理結(jié)構(gòu)蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院系統(tǒng)邏輯結(jié)構(gòu)系統(tǒng)邏輯結(jié)構(gòu) 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院誤用檢測(cè)子系統(tǒng)誤用檢測(cè)子系統(tǒng) 誤用檢測(cè)子系統(tǒng)用來(lái)對(duì)常規(guī)的、已知的攻誤用檢測(cè)子系統(tǒng)用來(lái)對(duì)常規(guī)的、已知的攻擊行為進(jìn)行檢測(cè)。相對(duì)于異常檢測(cè)技術(shù)，誤用擊行為進(jìn)行檢測(cè)。相對(duì)于異常檢測(cè)技術(shù)，誤用檢測(cè)技術(shù)顯得更加有效和成熟。檢測(cè)技術(shù)顯得更加有效和成熟。 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)

6、院電子與信息工程學(xué)院異常檢測(cè)子系統(tǒng)異常檢測(cè)子系統(tǒng) 異常檢測(cè)子系統(tǒng)用來(lái)對(duì)未知的、新型的攻異常檢測(cè)子系統(tǒng)用來(lái)對(duì)未知的、新型的攻擊行為進(jìn)行檢測(cè)。異常檢測(cè)系統(tǒng)檢測(cè)出的不是擊行為進(jìn)行檢測(cè)。異常檢測(cè)系統(tǒng)檢測(cè)出的不是已知的入侵行為，而是所研究的通信過(guò)程中的已知的入侵行為，而是所研究的通信過(guò)程中的異?，F(xiàn)象。異?，F(xiàn)象。蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院攻擊源追蹤子系統(tǒng)攻擊源追蹤子系統(tǒng) 攻擊源追蹤子系統(tǒng)主要用來(lái)實(shí)現(xiàn)整個(gè)系統(tǒng)攻擊源追蹤子系統(tǒng)主要用來(lái)實(shí)現(xiàn)整個(gè)系統(tǒng)的攻擊源追蹤和定位功能，即當(dāng)發(fā)現(xiàn)攻擊行為的攻擊源追蹤

7、和定位功能，即當(dāng)發(fā)現(xiàn)攻擊行為時(shí)，特別是拒絕服務(wù)攻擊或假冒源地址的分布時(shí)，特別是拒絕服務(wù)攻擊或假冒源地址的分布式拒絕服務(wù)攻擊時(shí)進(jìn)行真實(shí)源攻擊者地址的追式拒絕服務(wù)攻擊時(shí)進(jìn)行真實(shí)源攻擊者地址的追蹤。蹤。 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院管理子系統(tǒng)管理子系統(tǒng) 管理子系統(tǒng)主要用來(lái)實(shí)現(xiàn)整個(gè)分布式入侵管理子系統(tǒng)主要用來(lái)實(shí)現(xiàn)整個(gè)分布式入侵檢測(cè)系統(tǒng)的管理、維護(hù)和監(jiān)視，以友好的人機(jī)檢測(cè)系統(tǒng)的管理、維護(hù)和監(jiān)視，以友好的人機(jī)交互界面和管理員交互。交互界面和管理員交互。蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息

8、工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院誤用檢測(cè)與異常檢測(cè)的實(shí)現(xiàn)誤用檢測(cè)與異常檢測(cè)的實(shí)現(xiàn) 檢測(cè)流程檢測(cè)流程 在本系統(tǒng)中綜合應(yīng)用了誤用檢測(cè)和異常檢在本系統(tǒng)中綜合應(yīng)用了誤用檢測(cè)和異常檢測(cè)，這樣可以提高檢測(cè)的準(zhǔn)確性，其檢測(cè)流程測(cè)，這樣可以提高檢測(cè)的準(zhǔn)確性，其檢測(cè)流程如下圖所示。如下圖所示。蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院捕獲網(wǎng)絡(luò)數(shù)據(jù)包捕獲網(wǎng)絡(luò)數(shù)據(jù)包因?yàn)橐驗(yàn)镾nortSnort沒(méi)有自己的數(shù)據(jù)采集工具，所以沒(méi)有自己的數(shù)據(jù)采集工具，所以需要外部

9、的數(shù)據(jù)包捕獲程序需要外部的數(shù)據(jù)包捕獲程序WinpcapWinpcap來(lái)實(shí)現(xiàn)。來(lái)實(shí)現(xiàn)。WinpcapWinpcap是由伯克利分組捕獲庫(kù)派生而來(lái)的是由伯克利分組捕獲庫(kù)派生而來(lái)的分組捕獲庫(kù)程序，它可以在分組捕獲庫(kù)程序，它可以在WindowsWindows操作平臺(tái)操作平臺(tái)上實(shí)現(xiàn)底層包的截取和過(guò)濾。開(kāi)發(fā)上實(shí)現(xiàn)底層包的截取和過(guò)濾。開(kāi)發(fā)WinpcapWinpcap的的目的是為目的是為Win32Win32應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)底層的應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)底層的能力。能力。 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院 SnortSnort的安裝與配置的安裝與配置下載安裝下載安裝Snort

10、Snort，安裝完成后，進(jìn)入，安裝完成后，進(jìn)入SnortSnort的安裝目錄，將的安裝目錄，將SnortSnort的規(guī)則文件和配置文件的規(guī)則文件和配置文件復(fù)制到相應(yīng)目錄中，并創(chuàng)建一個(gè)日志目錄來(lái)保復(fù)制到相應(yīng)目錄中，并創(chuàng)建一個(gè)日志目錄來(lái)保存以后產(chǎn)生的報(bào)警和日志文件。存以后產(chǎn)生的報(bào)警和日志文件。為了使為了使SnortSnort能夠正常運(yùn)行，還需要對(duì)能夠正常運(yùn)行，還需要對(duì)Snort.confSnort.conf文件進(jìn)行相應(yīng)的配置，包括以下幾文件進(jìn)行相應(yīng)的配置，包括以下幾個(gè)方面：個(gè)方面： 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院(1) (1) 設(shè)置網(wǎng)絡(luò)變量設(shè)置網(wǎng)絡(luò)變量; ;

11、 (2) (2) 配置預(yù)處理程序配置預(yù)處理程序; ; (3) (3) 配置輸出插件配置輸出插件; ; (4) (4) 配置入侵規(guī)則庫(kù)。配置入侵規(guī)則庫(kù)。蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院搭建數(shù)據(jù)庫(kù)平臺(tái)搭建數(shù)據(jù)庫(kù)平臺(tái) 各個(gè)數(shù)據(jù)庫(kù)服務(wù)器主要是從入侵檢測(cè)系統(tǒng)各個(gè)數(shù)據(jù)庫(kù)服務(wù)器主要是從入侵檢測(cè)系統(tǒng)中收集報(bào)警數(shù)據(jù)，并且將它存入到對(duì)應(yīng)的數(shù)據(jù)中收集報(bào)警數(shù)據(jù)，并且將它存入到對(duì)應(yīng)的數(shù)據(jù)庫(kù)中。利用關(guān)系型數(shù)據(jù)庫(kù)對(duì)數(shù)據(jù)量相當(dāng)大的報(bào)庫(kù)中。利用關(guān)系型數(shù)據(jù)庫(kù)對(duì)數(shù)據(jù)量相當(dāng)大的報(bào)警數(shù)據(jù)進(jìn)行組織管理是最有效的方法，并且存警數(shù)據(jù)進(jìn)行組織管理是最有效的方法，并且存入關(guān)系數(shù)據(jù)庫(kù)后能對(duì)其進(jìn)行分類，查詢和按

12、優(yōu)入關(guān)系數(shù)據(jù)庫(kù)后能對(duì)其進(jìn)行分類，查詢和按優(yōu)先級(jí)組織排序等處理。先級(jí)組織排序等處理。 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院MySQLMySQL是一個(gè)快速的客戶機(jī)是一個(gè)快速的客戶機(jī)/ /服務(wù)器結(jié)構(gòu)的服務(wù)器結(jié)構(gòu)的SQLSQL數(shù)據(jù)庫(kù)管理系統(tǒng)，開(kāi)發(fā)者為瑞典數(shù)據(jù)庫(kù)管理系統(tǒng)，開(kāi)發(fā)者為瑞典MySQL ABMySQL AB公司，其功能強(qiáng)大、靈活性好、應(yīng)用編程接口公司，其功能強(qiáng)大、靈活性好、應(yīng)用編程接口豐富并且系統(tǒng)結(jié)構(gòu)精巧。豐富并且系統(tǒng)結(jié)構(gòu)精巧。 MySQLMySQL數(shù)據(jù)庫(kù)采用默認(rèn)方式安裝后，設(shè)置數(shù)據(jù)庫(kù)采用默認(rèn)方式安裝后，設(shè)置MySQLMySQL為服務(wù)方式運(yùn)行。然后啟動(dòng)為服務(wù)方式

13、運(yùn)行。然后啟動(dòng)MySQLMySQL服務(wù)，服務(wù)，進(jìn)入命令行狀態(tài)，創(chuàng)建進(jìn)入命令行狀態(tài)，創(chuàng)建SnortSnort運(yùn)行必需的存放運(yùn)行必需的存放系統(tǒng)日志的系統(tǒng)日志的SnortSnort庫(kù)和庫(kù)和Snort_archiveSnort_archive庫(kù)。同時(shí)庫(kù)。同時(shí)使用使用SnortSnort目錄下的目錄下的create_mysqlcreate_mysql腳本建立腳本建立SnortSnort運(yùn)行所需的數(shù)據(jù)表，用來(lái)存放系統(tǒng)日志運(yùn)行所需的數(shù)據(jù)表，用來(lái)存放系統(tǒng)日志和報(bào)警信息。和報(bào)警信息。 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院為了直觀地顯示數(shù)據(jù)庫(kù)的存儲(chǔ)及運(yùn)行情況為了直觀地顯示數(shù)據(jù)庫(kù)的

14、存儲(chǔ)及運(yùn)行情況，并且方便用戶對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作，還須安裝，并且方便用戶對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作，還須安裝基于基于phpphp的的MySQLMySQL數(shù)據(jù)庫(kù)管理程序數(shù)據(jù)庫(kù)管理程序phpmyadminphpmyadmin，通過(guò)它可以在圖形界面下對(duì)數(shù)據(jù)庫(kù)進(jìn)行查詢和通過(guò)它可以在圖形界面下對(duì)數(shù)據(jù)庫(kù)進(jìn)行查詢和管理，十分便利。管理，十分便利。蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院分析與管理分析與管理 在系統(tǒng)中采用了擁有圖形用戶界面的報(bào)警在系統(tǒng)中采用

15、了擁有圖形用戶界面的報(bào)警管理工具管理工具ACIDACID。 首先安裝首先安裝apacheapache并且將其作為服務(wù)方式運(yùn)并且將其作為服務(wù)方式運(yùn)行，在配置中添加行，在配置中添加apacheapache對(duì)對(duì)phpphp的支持，然后的支持，然后將將adodbadodb和和jpgraphjpgraph安裝在安裝在phpphp的目錄下，最后的目錄下，最后安裝安裝ACIDACID并修改其配置文件并修改其配置文件acid_conf.phpacid_conf.php。 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院通過(guò)上述的安裝與配置就可以進(jìn)行入侵檢通過(guò)上述的安裝與配置就可以進(jìn)行入侵

16、檢測(cè)了。測(cè)了。將將SnortSnort運(yùn)行在入侵檢測(cè)模式下，啟動(dòng)運(yùn)行在入侵檢測(cè)模式下，啟動(dòng)WebWeb服務(wù)器，在主機(jī)上通過(guò)瀏覽器來(lái)查看報(bào)警日志服務(wù)器，在主機(jī)上通過(guò)瀏覽器來(lái)查看報(bào)警日志信息，運(yùn)行信息，運(yùn)行ACIDACID，對(duì)報(bào)警事件進(jìn)行統(tǒng)計(jì)分析。，對(duì)報(bào)警事件進(jìn)行統(tǒng)計(jì)分析。蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院攻擊源追蹤的實(shí)現(xiàn)攻擊源追蹤的實(shí)現(xiàn) 在攻擊源追蹤子系統(tǒng)中，除了使用在攻擊源追蹤子系統(tǒng)中，除了使用MRTGMRTG進(jìn)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的捕獲與流量分析外，還引入了行網(wǎng)絡(luò)數(shù)據(jù)包的捕獲與流量分析外，還引

17、入了認(rèn)證服務(wù)器和智能終端。認(rèn)證服務(wù)器和智能終端。 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院認(rèn)證服務(wù)器和智能終端認(rèn)證服務(wù)器和智能終端認(rèn)證服務(wù)器其實(shí)質(zhì)是一臺(tái)安裝了認(rèn)證服務(wù)認(rèn)證服務(wù)器其實(shí)質(zhì)是一臺(tái)安裝了認(rèn)證服務(wù)端軟件的服務(wù)器，接在校園網(wǎng)的核心交換層的端軟件的服務(wù)器，接在校園網(wǎng)的核心交換層的交換機(jī)上。交換機(jī)上。智能終端是安裝在各個(gè)客戶機(jī)上的認(rèn)證軟智能終端是安裝在各個(gè)客戶機(jī)上的認(rèn)證軟件。在本系統(tǒng)中，采用與核心交換機(jī)相配套的件。在本系統(tǒng)中，采用與核心交換機(jī)相配套的H3C iNodeH3C iNode系統(tǒng)。系統(tǒng)。接入校園網(wǎng)的所有用戶，都需要先到網(wǎng)絡(luò)接入校園網(wǎng)的所有用戶，都需要先到

18、網(wǎng)絡(luò)信息中心進(jìn)行實(shí)名信息的注冊(cè)。信息中心進(jìn)行實(shí)名信息的注冊(cè)。 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院然后下載和安裝客戶端軟件，并且進(jìn)行簡(jiǎn)然后下載和安裝客戶端軟件，并且進(jìn)行簡(jiǎn)單的配置。不管是使用局域網(wǎng)還是使用單的配置。不管是使用局域網(wǎng)還是使用InternetInternet，都必須先進(jìn)行登錄認(rèn)證。，都必須先進(jìn)行登錄認(rèn)證。蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院只有通過(guò)了登錄認(rèn)證后才能使用各種網(wǎng)絡(luò)資源只有通過(guò)了登錄認(rèn)證后才能使用各種網(wǎng)絡(luò)資源。蘭蘭 州州 交交 通通 大

19、大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院通過(guò)上述策略，凡是在校園網(wǎng)中的用戶，通過(guò)上述策略，凡是在校園網(wǎng)中的用戶，都可以通過(guò)后臺(tái)對(duì)其各種活動(dòng)進(jìn)行監(jiān)控。其中都可以通過(guò)后臺(tái)對(duì)其各種活動(dòng)進(jìn)行監(jiān)控。其中包括上網(wǎng)時(shí)間、上網(wǎng)時(shí)長(zhǎng)，流入字節(jié)數(shù)，流出包括上網(wǎng)時(shí)間、上網(wǎng)時(shí)長(zhǎng)，流入字節(jié)數(shù)，流出字節(jié)數(shù)、字節(jié)數(shù)、IPIP地址、地址、NASNAS地址、地址、MACMAC地址等信息。地址等信息。當(dāng)然，下線用戶的相關(guān)信息也可以進(jìn)行查詢。當(dāng)然，下線用戶的相關(guān)信息也可以進(jìn)行查詢。在入侵檢測(cè)過(guò)程中，如果發(fā)現(xiàn)問(wèn)題，則可在入侵檢測(cè)過(guò)程中，如果發(fā)現(xiàn)問(wèn)題，則可以在這兒檢查必要的信息，進(jìn)行攻擊源的追蹤以在這兒檢查必要的信息，進(jìn)行攻擊源的

20、追蹤和做進(jìn)一步的處理。和做進(jìn)一步的處理。 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院流量監(jiān)控流量監(jiān)控在攻擊源追蹤子系統(tǒng)中，流量監(jiān)控非常重在攻擊源追蹤子系統(tǒng)中，流量監(jiān)控非常重要。在本系統(tǒng)中，選用了一臺(tái)高性能的服務(wù)器要。在本系統(tǒng)中，選用了一臺(tái)高性能的服務(wù)器安裝了安裝了MRTGMRTG，然后在需要監(jiān)控的交換機(jī)上進(jìn)行，然后在需要監(jiān)控的交換機(jī)上進(jìn)行了相關(guān)的配置，這樣就可

21、以對(duì)整個(gè)網(wǎng)絡(luò)的流量了相關(guān)的配置，這樣就可以對(duì)整個(gè)網(wǎng)絡(luò)的流量情況進(jìn)行詳細(xì)的監(jiān)控。情況進(jìn)行詳細(xì)的監(jiān)控。蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州

22、交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院結(jié)結(jié) 論論本文首先系統(tǒng)地介紹入侵檢測(cè)系統(tǒng)的相關(guān)本文首先系統(tǒng)地介紹入侵檢測(cè)系統(tǒng)的相關(guān)知識(shí)，然后通過(guò)分析校園網(wǎng)的安全現(xiàn)狀和校園

23、知識(shí)，然后通過(guò)分析校園網(wǎng)的安全現(xiàn)狀和校園網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，設(shè)計(jì)了一種分布式入侵檢網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，設(shè)計(jì)了一種分布式入侵檢測(cè)系統(tǒng)。系統(tǒng)能夠滿足校園網(wǎng)等大規(guī)模局域網(wǎng)測(cè)系統(tǒng)。系統(tǒng)能夠滿足校園網(wǎng)等大規(guī)模局域網(wǎng)的入侵檢測(cè)需要。的入侵檢測(cè)需要。蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院創(chuàng)新點(diǎn)說(shuō)明創(chuàng)新點(diǎn)說(shuō)明本系統(tǒng)綜合應(yīng)用了現(xiàn)有的入侵檢測(cè)技術(shù)，并且在本系統(tǒng)綜合應(yīng)用了現(xiàn)有的入侵檢測(cè)技術(shù)，并且在以下幾個(gè)方面有所突破和創(chuàng)新：以下幾個(gè)方面有所突破和創(chuàng)新： 全新分布式結(jié)構(gòu)設(shè)計(jì)；全新分布式結(jié)構(gòu)設(shè)計(jì)； 綜合應(yīng)用誤用檢測(cè)和異常檢測(cè)；綜合應(yīng)用誤用檢測(cè)和異常檢測(cè)； 引入了認(rèn)證服務(wù)器和智能客戶端，對(duì)攻擊源追引入了認(rèn)證服務(wù)器和智能客戶端，對(duì)攻擊源追蹤和校園網(wǎng)管理起到了支撐作用；蹤和校園網(wǎng)管理起到了支撐作用； 檢測(cè)代理、統(tǒng)計(jì)服務(wù)器、管理服務(wù)器、認(rèn)證服檢測(cè)代理、統(tǒng)計(jì)服務(wù)器、管理服務(wù)器、認(rèn)證服務(wù)器相對(duì)獨(dú)立的設(shè)計(jì)，不但提高了入侵檢測(cè)的效率，務(wù)器相對(duì)獨(dú)立的設(shè)計(jì)，不但提高了入侵檢測(cè)的效率，而且加強(qiáng)了入侵檢測(cè)系統(tǒng)本身的安全性。而且加強(qiáng)了入侵檢測(cè)系統(tǒng)本身的安全性。 蘭蘭 州州 交交 通通 大大 學(xué)學(xué)電子與信息工程學(xué)院電子與信息工程學(xué)院工作展望工作展望 分布式入侵檢測(cè)系統(tǒng)與防火墻、殺毒軟分布式入侵檢測(cè)系統(tǒng)與防火墻、殺毒軟件之間的聯(lián)動(dòng)問(wèn)題；件之間的聯(lián)動(dòng)問(wèn)題； 監(jiān)測(cè)代理之間的協(xié)同工作問(wèn)題；監(jiān)測(cè)代理之間的協(xié)同工