nids网络立体防御系统可行性研究报告.doc

《nids网络立体防御系统可行性研究报告.doc》由会员分享，可在线阅读，更多相关《nids网络立体防御系统可行性研究报告.doc（20页珍藏版）》请在三一办公上搜索。

1、目 录 一总论 11申请项目的概述 近年来, 网络攻击变得越来越普遍, 也越来越难于防范.旧的单层次的安全体系结构日益显得力不从心，通过不断分析和研究入侵检测的模型及原理，分析它们的长处以及不足，在国际上提出了一种新的安全体系结构-网络入侵检测，她使得各安全因素能够有机的结合，从而最大程度上保证了系统的安全。 同时，现在世界上每年因利用计算机网络进行犯罪所造成的直接经济损失令人吃惊。据美国ABA（American Bar Association）组织调查和专家估计，美国每年因计算机犯罪所造成的经济损失高达150亿美元。据报道，在Internet上，每天大约有4起计算机犯罪发生。计算机犯罪，作为

2、一种更为隐蔽的犯罪手段，给社会带来了很大的危害，因此网络安全问题已经成为世界各国研究的热门话题。 现代计算机系统功能日渐复杂，网络体系日渐强大，正在对社会产生巨大深远的影响，但同时由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件和其他不轨的攻击，所以使得安全问题越来越突出。对于军用的自动化指挥网络系统而言，其网上信息的安全和保密尤为重要。因此，要提高计算机网络的防御能力，加强网络的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的防御措施应

3、是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的。归结起来，针对网络安全的威胁主要有4个方面：1.实体摧毁实体摧毁是计算机网络安全面对的“硬杀伤”威胁。主要有电磁攻击、兵力破坏和火力。 2.无意失误如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。3.黑客攻击这是计算机网络所面临的最大威胁。此类攻击又可以分为2种：一种是网络攻击，以各种方式有选择地破坏对方信息的有效性和完整

4、性；另一类是网络侦察，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得对方重要的机密信息。这2种攻击均可对计算机网络造成极大的危害。网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外，软件的“后门”都是软件公司的设计编程人员为了方便而设置的，一般不为外人所知，但一旦“后门”被洞开，其造成的后果将不堪设想。网络作战的目标范围，网络作战模型包含4个层次:第1层次，实体层次的计算机网络对抗;第2层次，能量层次的计算机网络对抗;第3层次，信息层次（逻辑层次）的计算机网络对抗;第4层次，感知层次（超技术层次）的计算机网络对抗。针对不同层次对抗，

5、计算机网络防御应采取相应的对策。 网络安全问题自从其出现就受到了广泛的重视，国内外许多研究结构和研究人员都致力于这方面的研究，并且取得了一定的成果，有些技术已经形成了一套较为完整的理论体系。 从广义上讲，计算机网络安全技术主要有:2(1) 主机安全技术;(2) 身份认证技术;(3) 访问控制技术;(4) 密码技术;(5) 防火墙技术;(6) 安全管理技术;(7) 安全审计技术。传统的网络安全技术被广泛的应用，在网络安全的保护中发挥了重要的作用，但是每种技术也存在着这样或那样的安全缺陷或隐患，所以有必要对网络安全技术作进一步的分析和研究，而目前大多的网络安全产品由于基于单层次的安全体系结构，只能

6、提供一定程度的安全保护，越来越不适应现代信息社会的发展需要。基于这种情况，华夏网络提出了构建一种基于网络入侵检测的立体防御系统，即建立一套多层次的全方位的网络防御及检测体系，把各种单一的安全部分有机的结合起来，使它们互相配合、互相依托、相互促进，形成一套完整的功能,远远大于局部系统的安全系统。该系统能最大的程度提高整个网络的安全性，同时实现安全和防御的可扩展性（物理范围），可扩充性（逻辑范围），透明性及可操作性，使其适用于不同的具体应用环境，适用于不同的用户，满足用户不同要求。同时，在提供较高的安全性的同时，使系统具有很高的可用性和很好的性能。 这种新的安全体系结构主要由三大部分组成: (1)

7、防火墙系统； (2)入侵检测系统（IDS）； (3)信息及综合决策系统。 12项目的社会经济意义、目前的进展情况、申请技术创新基金的必要性 121本项目的社会经济意义 122项目目前的进展情况 123申请技术创新基金的必要性 13本企业实施项目的优势和风险 131本企业实施项目的优势 132本企业实施项目的风险 14项目计划目标 141总体目标 142经济目标 143技术、质量指标 144阶段目标 145计划新增投资来源 15主要技术、经济指标对比 二申报企业情况 21申报企业基本情况 22企业人员及开发能力论述 221企业法定代表人的基本情况 222企业人员情况 223新产品开发能力 224

8、项目技术负责人的基本情况 23企业财务经济状况 231企业财务经济状况及预测 24企业管理情况 241企业管理制度介绍 242公司质量保障体系建设 243公司荣誉 25企业发展思路 三技术可行性和成熟性分析 31项目的技术创新性论述 311项目产品的基本原理 下面是对组成系统的三大部分的基本原理进行介绍: 2.1 防火墙 古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所，这种墙因此而得名“防火墙”。现在，如果一个网络接到了Internet上，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和Inter

9、net之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的唯一关卡。这种中介系统也叫做“防火墙”或“防火墙系统”。防火墙就是一种由软件、硬件构成的系统，用来在两个网络之间实施存取控制策略。图1是防火墙在互连的网络中的位置。3尽管防火墙有各种不同的类型,但所有的防火墙都有一个共同的特征:基于源地址基础上的区分和拒绝某些访问的能力.4一般都将防火墙内的网络称为“可信赖的网络”（trusted network）,而将外部的internet称为“不可信赖的网络”（mistrustful network）. 防 火 墙分组过滤 分

10、组过滤 路由器R 应用网关 路由器R不可信赖的网络 G内联网因特网 可信赖的网络 图1 防火墙在互连网络中的位置 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进出2个方向通信的门槛。一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。代理服务器是防火墙系统中的一个服务器进程，它能够代替网络用户完成特定的TCPIP功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接2个网络的网关。 Chewick和

11、Bellovin对防火墙的定义为，5防火墙是一个由多个部件组成的集合或系统，它被放置在两个网络之间，并具有以下特性:(1) 所有的从内部到外部或从外部到内部的通信都必须经过它。(2) 只有有内部访问策略授权的通信才被允许通过。(3) 系统本身具有高可靠性。换句话说，防火墙置于内部可信网络和外部不可信网络之间，作为一个阻塞点来监视和抛弃应用层的流量以及传输层和网络层的数据包。12防火墙的确是一种重要的新型安全措施。防火墙在概念上非常简单,它可以分为:基于过滤器(filter-based)和基于代理(proxy-based)的两大类设备之一。6目前的防火墙主要有包过滤防火墙、代理防火墙2种类型，并

12、在计算机网络得到了广泛的应用。包过滤防火墙，包过滤技术是根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则相匹配，从而决定数据包能否通过，它的特点是开销小，速度快，缺点是定义数据包过滤器比较复杂，且不能理解特定服务的上下文环境。代理防火墙（应用层防火墙），代理防火墙采用代理（Proxy）技术与TCP连接的全过程，这样从内部发出的数据包经过防火墙处理后，就象来自于防火墙外部网卡一样，从而达到隐藏内部网结构的目的。其核心技术就是代理服务器技术，特点是安全性很高，缺点是对于每个中断的internet 服务，都需要提供相应的代理程序，且对于计算机的性能有一定的要求。但是，防火墙也不能解决进入

13、防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行，那个程序很可能就包含一段恶意的代码，或泄露敏感信息，或对之进行破坏。防火墙的另一个缺点是很少有防火墙制造商推出简便易用的“监狱看守”型的防火墙，大多数的产品还停留在需要网络管理员手工建立的水平上。因此有必要将它们融合，构成了一个典型的防火墙系统。 2.2 入侵检测系统（IDS） 2.2.1入侵检测系统的定义 入侵检测最早是由James Anderson于1980年提出来的，其定义是：潜在的有预谋的未经授权的访问信息和操作信息,致使系统不可靠或无法使用的企图。7从该定义可以看出，入侵检测对安全保护采取的是一种积极、主动的防御策略，而

14、传统的安全技术都是一些消极、被动的保护措施。因为，如果入侵者一旦攻破了由传统安全技术所设置的保护屏障，这些技术将完全失去作用，对系统不再提供保护，而入侵者则对系统可以进行肆无忌惮的操作，当然包括一些很具有破坏的操作。对于这些，传统的安全技术是无能为力的。但是入侵检测技术则不同，它对进入系统的访问者（包括入侵者）能进行实时的监视和检测，一旦发现访问者对系统进行非法的操作（这时访问者成为了入侵者），就会向系统管理员发出警报或者自动截断与入侵者的连接，这样就会大大提高系统的安全性。所以对入侵检测技术研究是非常必要的，并且它也是一种全新理念的网络（系统）防护技术。图2为入侵检测一般过程示意图，箭头所指

15、方向为流程方向。输入过程包括：用户或者安全管理人员定义的配置规则和作为事件检测的原始数据，对于代理监视器来讲原始数据是原始网络包；输出过程包括：系统发起的对安全事件和可疑或非法事件的响应过程。16入侵发现用户或管理员攻击特征(signatures)定义的规则 报警 报表 原始数据包 图2 入侵发现示意图 2.2.2 入侵检测系统的模型与原理 入侵检测系统（IDS,Intrusion Detection System）用来识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法行动。8入侵检测系统能够实时监控

16、网络传输，自动检测可疑行为，分析来自网络外部入侵信号和内部的非法活动。在系统受到危害之前发出警告，对攻击作出实时的响应，并提供补救措施，最大程度地保障了系统安全。9 具体说来，IDS的主要功能有以下方面:（1）监测并分析用户和系统的活动；（2）核查系统配置和漏洞；（3）评估系统关键资源和数据文件的完整性；（4）识别已知的攻击行为；（5）统计分析异常行为；（6）操作系统日志管理，并识别违反安全策略的用户活动。入侵检测系统及预警系统（Intrusion Detection & Alert System）能够从一系列的系统和网络资源中收集信息并对这些信息加以分析，以期能找到入侵（intrusion）

17、或者是滥用(misuse)的迹象，并根据这些分析结果，向用户及系统管理员报警和作出一定的处理如切断入侵检测连接等。入侵检测功能原理如图3所示： 监测用户的当前操作 用户行为数 据 库入侵检测入侵 N Y 记录证明 断开连接恢复数据 图3 入侵检测功能原理最早的入侵检测模型是由Dorothy Denning于1986年提出来的，该模型虽然与具体系统和具体输入无关，但是对此后的大部分实用系统都有很大的借鉴价值。图4表示了该通用模型的体系结构。7 审计记录、网络数据包 特征表更新 规则更新 异常记录 规则模块行为特征模块事件产生器变量阀值 图4 通用的入侵检测系统模型在该模型中，事件产生器可根据具体

18、应用环境而有所不同，一般来自审计记录、网络数据包以及其它可视行为，这些事件构成了入侵检测的基础。行为特征表是整个检测系统的核心，它包含了用于计算用户行为特征的所有变量，这些记录可根据具体采用的统计方法以及事件记录中的具体动作模式而定义，并根据匹配上的记录数据更新变量值。如果有统计变量的值达到了异常程度，行为特征表将产生异常记录，并采取一定的措施。规则模块可以由系统安全策略、入侵模式等组成，它一方面为判断是否入侵提供参考机制，另一方面为根据事件记录、异常记录以及有效日期等控制并更新其它模块的状态。在具体实现上，规则的选择与更新可能不尽相同，但一般地，行为特征模块执行基于行为的检测，而规则模块执行

19、基于知识的检测。根据入侵检测模型，入侵检测系统的原理可以分为如下两种：（1） 异常检测原理 该原理指的是根据非正常行为（系统或用户）和使用计算机资源非正常情况检测出入侵行为，如图5所示：正常行为命令、系统调用、应用异常行为类型、活动度量、CPU使用、网络连接 图 5 异常检测原理模型从图5可以看出，异常检测原理根据假设攻击与正常的（合法的）活动有很大的差异来识别攻击。异常检测首先收集一段时期正常操作活动的历史记录，再建立代表用户、主机或网络连接的正常行为轮廓，然后收集事件数据并使用一些不同的方法来决定所检测到的事件活动是否偏离了正常行为模式。 异常检测技术即假定所有入侵行为都是与正常行为不同的

20、。14如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阀值与特征的选择是异常检测技术的关键。比如,通过流量统计分析将异常时间的异常网络流量视为可疑。异常检测技术的局限是并非所有的入侵都表现为异常,而且系统的轨迹难以计算和更新。异常检测技术的核心是建立行为模型，目前主要是由以下几种方法:10(1) 统计分析异常检测。(2) 贝叶斯推理异常检测。(3) 神经网络异常检测。(4) 模式预测异常检测。(5) 数据采掘异常检测。(6) 机器学习异常检测。 （2） 误用检测原理 该原理是指根据已经知道的入侵检测方式来检测入侵。入侵者常常利用系统或应用软件中的弱

21、点或漏洞来攻击系统而这些弱点或漏洞可以编成一些模式，如果入侵者攻击方式恰好匹配上检测系统模式库中的某种方式，则入侵即被检测到了。如图6所示： 匹配 模式库 攻击者 报警 图6 误用检测模型模式检测技术即假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配的方法发现。模式发现的关键是如何表达入侵的模式,把真正的入侵与正常行为区分开来。模式检测技术优点是检测的准确度很高,并且因为检测结果有明显的参照,也为系统管理员做出相应的措施提供了方便。局限是它只能发现已知的攻击,对未知的攻击无能为力。15误用检测技术主要分为以下几种:10 (1) 专家系统误用检测。

22、(2) 特征分析误用检测。(3) 模型推理误用检测。(4) 条件概率误用检测。(5) 键盘监控误用检测。 2.2.3 入侵检测的研究动态从分类上看，入侵检测系统可以分为： 基于网络的检测系统：分布在网络上或者是设置在被监视的主机附近，检查网络通信情况以及分析是否有异常活动，它能提供网段的整个信息，由于要检测整个网段的流量，所以，它处理的信息量很大，易受到拒绝服务攻击（DOS）攻击。基于网络的入侵检测系统把原始的网络数据作为数据源。它是利用网络适配器来实时的监测,并分析通过网络进行传输的所有通信业务。一旦检测到攻击, IDS 的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。基于网

23、络的入侵检测系统的主要优点是:成本低;攻击者转移证据困难;定时的检测和响应;能够检测到未成功的攻击企图;操作系统独立。 基于主机的检测系统：在被监视的主机上运行，检查这些主机上的对外流量，文件系统的完整性及各种活动是否合法以及是否可以接受，它能给主机提供较高程度的保护，但每台受保护主机都需要安装相应的软件，且不能提供网段的整体信息。基于主机的入侵检测系统一般以系统日志、应用程序日志等审计记录文件作为数据源.一旦发现数据发生变化, IDS 就将比较新的日志记录与攻击签名是否匹配。若匹配, IDS 就向各系统管理员发出入侵报警并采取相应的行动。基于主机的入侵检测系统具有的主要优点是:非常适合于加密

24、和交换环境；近实时的检测和应答；不需要格外的硬件。 由此看出，两种入侵检测系统各有优缺点，只有把他们有机的结合，才能取长补短，充分发挥各自的优势，因此，文章在参考了有关资料后，13提出了一个分布式入侵检测系统的实现方案，这在该文的后面有较为详细的说明。 从技术上看，入侵检测又分为基于标识（signature-based）和基于异常情况（anomaly-based）的两类。对于基于标识的检测技术来说，首先要定义违背安全策略的事件特征，如网络数据包的某些头信息，判别这类特征是否在所收集的数据中出现。此方法非常类似杀毒软件，因此，它能较为准确地发现入侵，误报率低，缺点是只能发现已知的攻击和入侵，且标

25、识库需要不断的更新。 基于异常的检测技术则是先定义一组系统“正常”情况的数值，如cpu的利用率，内存利用率，文件校验等（这类数据可以人为定义，也可以通过观察系统，并用统计的方法得出），然后将系统运行的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。它的特点是对已知和未知的攻击都有一定的检测能力，缺点是误报率高。 入侵检测很大程度上依赖于收集信息的可靠性和正确性。通常一个完整的入侵检测技术需要利用的数据或文件来自于以下4 个方面:11(1) 系统和网络日志文件黑客经常在系统日志中留下他们的踪迹。因此，充分利用系统和网络日志文件信息是检测入

26、侵行为轨迹的首要条件。日志中记录着在系统或网络上的不寻常和不期望活动的证据， 这些证据可以显示出有人正在入侵或己成功入侵该系统。通过查看日志文件，能够发现成功的入侵或入侵企图， 并很快地启动相应的应急响应程序。(2) 目录和文件中的不期望的改变网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客关注或试图破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的数据，很可能就是一种入侵产生的标志和信号。(3) 程序执行中的不期望行为网络系统上的“程序执行”一般包括操作系统、网络服务、用户启动的程序和特定目的的应用，每个系统上

27、的执行程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。因此，操作执行的方式不同，调用系统资源的方式也就不同。一个进程出现了不期望的行为，可能预示着有黑客正在入侵系统。(4) 物理形式的入侵信息这包括两个方面的内容， 一是未经授权的对网络硬件的连接; 二是对物理资源的未授权访问（非法访问）。黑客会想方设法的突破网络周边的防卫， 如果他们能够在物理上访问内部网，就能安装他们自己的设备和软件。因此，黑客就可以知道网上的由用户加上去的不安全（未授权）设备，然后利用这些设备访问网络。2.3信息及综合决策系统介绍 信息及综合决策系统是数据

28、库及基于数据库的信息处理系统的结合，是整个系统的信息汇总点，也是综合信息的处理机构。 312项目产品的关键技术内容 由前面的论述可以看出，任何单一的安全部件都只能实现一定程度的安全，任何单层次的结构所保障的安全也都是极其有限的，只有把他们有机的结合在一起，使他们互为依托，互相补充，才能实现系统的真正安全，基于此，提出了立体防御系统，其结构组成如图7所示。 图7 立体防御系统结构图整个系统由三大部分组成：外围防火墙系统由主防火墙和主机防火墙组成，中间为系统的核心，由分布式入侵检测系统组成，其具体结构及工作原理将在后面的入侵检测预警模型中进行详细的阐述，内层信息及综合决策系统由信息数据库、中央决策

29、控制器及受保护主机上的单机信息库构成。由此看出，通过外围防火墙的拦截，中部分布式入侵检测系统的实时及非实时的监测，内部信息及综合决策系统的全局布局决策，使得各种安全部件能够最大程度地发挥其性能，从而使整个系统成为一个全方位、多层次的立体防御系统。3.2结构阐述3.2.1 防火墙系统整个系统通过主防火墙与Internet 相连，利用主防火墙，可对来自外部的大多数攻击进行防范，在子网内部，有一般用户和受保护主机，后者多为一些重要的服务器，是重点保护的对象。受保护服务器通过主防火墙与内部子网相连。主机防火墙的功能主要为：（1） 因为主机防火墙是直接面向受保护主机的，因此可对它进行更具体，更有针对性的

30、配置，从而对通过主防火墙的数据包进行再过滤，减少可能发生的攻击，从这个意义上来说，主防火墙相当于宏观上的调控，而主机防火墙相当于微观上的调控。（2） 防止来自内部的攻击，根据调查，大部分的攻击都来自网络内部，因此主机防火墙的设置是非常有意义的，因此，通过对主机防火墙的设置，可对不同的内部用户赋予不同的访问权限，从而大大提高系统的安全性。主防火墙与主机防火墙的另一个重要作用在于可过滤掉大量无用的数据，减少传递给入侵检测系统及信息数据库的无意义流量，这对减轻整个系统的负荷，防止DOS（拒绝服务）攻击有着重要的意义，其中主机防火墙只是逻辑上的结构，它完全可以合并在受保护主机上，从而降低系统的成本。3

31、.2.3信息及综合决策系统 如前面提到的，信息及综合决策系统由信息数据库和中央决策控制器及各受保护主机上的单机信息库组成构成。 信息数据库是整个系统的日志数据汇总中心，负责将网络中所有的预警、故障、事务日志进行汇总，并按照统一的格式保存入数据库。在网络管理员进行检查时，负责将所有的数据分类统计，并作出各种报告，以协助管理员对网络进行更为完善的配置。 中央决策控制器负责对汇总后的信息进行分析，从而能发现单机无法发现的可能入侵（如对多个服务器的并行扫描），当确定有入侵且危害较大时，中央决策及控制器则采取紧急措施，如通过对防火墙的配置来阻断连接，对未被入侵的主机进行屏蔽，从而防止危害的扩大，同时记录

32、入侵过程，可同时收集入侵证据，同时还可以根据入侵的危害及范围通过各种方式向管理员发出不同级别的报警信息；另一方面，管理员可通过它对各防火墙进行配置，对单机信息库进行更新，从而便于整个系统的维护和管理。 单机信息库储存了所对应受保护主机的状态信息，模式信息，是各分布式Agent的决策依据，因为对不同的主机而言，这些信息有着很大的差别，因此设立单机信息库是非常有必要的。 由上面分析可看出，以上各个部分紧密联系，相互配合，成为一个不可分割的整体。在极大的保证了系统的安全性、可靠性和高性能的同时，兼顾了系统的可用性、易用性，同时由于采用了基于Agent的分布式的体系结构可以很容易地添加受保护主机，大大

33、的增强了系统的可扩展性。通过对防火墙的配置和对单机信息库的更新，对Agent功能的增强，使得增加新的功能非常容易，从而保证了整个系统有着很好的可扩充性。 313项目产品的技术创新点传统的集中式入侵检测技术的基本模型是在网络的不同网段中放置多个传感器或探测器用来收集当前网络状态信息，然后这些信息被传送到中央控制台进行处理和分析，或者更进一步的情况是，这些传感器具有某种主动性，能够接收中央控制台的某些命令和下载某些识别模板等。这种集中式模型具有几个明显的缺陷。首先，面对在大规模、异质网络基础上发起的复杂攻击行为，中央控制台的业务负荷将会达到不可承受的地步，以致于无法具有足够能力来处理来自四面八方的

34、消息事件。其次，由于网络传输的时延问题，到达中央控制台的数据包中的事件消息只是反映了它刚被生成时的环境状态情况，已经不能反映可能随着时间已经改变的当前状态。这样，在集中式模型的系统中，想要进行较为完全的攻击模式的匹配就已经非常困难，更何况还要面对不断出现的新型攻击手段。华夏网络的分布式的入侵检测系统将解决这个问题。通过将入侵检测系统的信息采集和处理功能部分分布到多台机器上，经本地处理后，将可疑的单机无法处理的数据传输给入侵检测系统的中心决策系统，在中心决策系统对信息进行综合后作出响应。这样，大大减少了网络中传输的数据量，使网络负担大大减轻，同时极大地增强了系统的鲁棒性。基于这种想法，华夏网络提

35、出了基于网络入侵检测的预警模型。IDS预警系统的体系结构和实现方法如图8所示：信 息 数 据 库模式匹配及行为模式判断主机IDS处理行为模式确定数据收集器模式库数据源数据源数据源 图8 单机上的预警子模块 整个安全防护体系中，分布于各主机的入侵检测系统模块对所负责的主机上的信息数据进行监控和审查，将可疑的信息和数据收集之后，交给下面的数据分析系统进行分析，提取这些受到怀疑的信息的特征，并将这些特征信息加以归纳和总结，然后将产生出的对这些信息的结果提交给系统中的模式库和模式匹配系统（模式库存于单机子信息中）；模式匹配系统的任务就是根据数据分析系统送来的经过处理后的信息在模式库中进行查找匹配；如果

36、模式匹配系统发现信息处理系统送来的信息和库中某一攻击模式匹配，一方面，模式匹配系统会将入侵模式匹配的信息交给规则响应系统，规则响应系统就会根据收到的信息，在自己的规则库进行查找，根据相应的规则作出响应动作，响应动作一方面根据需要阻止入侵行为；另一方面模式匹配系统还会将入侵模式匹配和报警信息提交给信息数据库。 以上功能是由各主机上的Agent来完成的。数个这样的Agent形式的预警子模块组合起来就形成了基于入侵检测的全局预警模型，如图9所示：图9 基于入侵检测的全局预警模型单独看来，每个Agent都是一个独立的基于主机的入侵检测系统，而从整体看来，它又是分布式入侵检测系统的一个结点，和中央决策及

37、控制器一起完成网络入侵检测系统的功能。 同时，应建立一整套具有以下特性的入侵检测专用描述形式及标准以适应各种入侵检测信息的定义、传输以及处理：（1）通用性：对简单的和复杂的入侵行为都有能力描述。（2）可移植：适用于不同结构的IDS系统。 （3）可扩展：无论不可预料的新型入侵检测信息还是复杂IDS系统，都可以保证描述的准确性。（4）自关联：能描述简单入侵和复杂入侵之间的关系。从而使得防火墙、IDS及信息数据库之间能更迅速的更准确地进行数据传输，提高整个系统的效率。 314项目产品的技术来源、合作单位情况；项目产品知识产品产权的归属情况 315项目产品的主要技术性能指标与国内、外同类产品技术指标的

38、比较 32项目的成熟性和可靠性论述 321项目的成熟性论述 322项目的可靠性论述 四项目产品市场调查与竞争能力预测 41本产品的主要用途，目前主要使用领域的需求量，未来市场预测、项目产品的经济 寿命期，目前处于寿命期的阶段 42本项目产品国内主要研制单位及重要生产厂家研制、开发情况 43本项目产品的国内外市场竞争能力 五项目实施方案 51项目开发计划 52技术方案 53生产方案 54营销方案 55其他问题的解决方案 六投资预算与资金筹措 61投资预算 611项目投资预算依据 612项目投资预算 62新增资金的筹措 63资金使用计划 631资金使用计划 632创新基金使用明细七经济、社会效益分

39、析71产品总成本分析(达产期) 711产品方案和生产规模 712年产品总成本(达产期)7。2产品单位售价与盈利预测73经济效益分析74项目投资评价 741净现值 742内部收益率 743投资回收期 744项目盈亏平衡分析 745项目敏感性分析75社会效益分析八项目可行性研究报告编制说明81编制单位情况82可行性研究报告编制人员九、项目可行性研究报告的专家论证意见Editors note: Judson Jones is a meteorologist, journalist and photographer. He has freelanced with CNN for four years,

40、 covering severe weather from tornadoes to typhoons. Follow him on Twitter: jnjonesjr (CNN) - I will always wonder what it was like to huddle around a shortwave radio and through the crackling static from space hear the faint beeps of the worlds first satellite - Sputnik. I also missed watching Neil

41、 Armstrong step foot on the moon and the first space shuttle take off for the stars. Those events were way before my time.As a kid, I was fascinated with what goes on in the sky, and when NASA pulled the plug on the shuttle program I was heartbroken. Yet the privatized space race has renewed my chil

42、dhood dreams to reach for the stars.As a meteorologist, Ive still seen many important weather and space events, but right now, if you were sitting next to me, youd hear my foot tapping rapidly under my desk. Im anxious for the next one: a space capsule hanging from a crane in the New Mexico desert.I

43、ts like the set for a George Lucas movie floating to the edge of space.You and I will have the chance to watch a man take a leap into an unimaginable free fall from the edge of space - live.The (lack of) air up there Watch man jump from 96,000 feet Tuesday, I sat at work glued to the live stream of the Red Bull Stratos Mission. I watched the balloons positioned at different altitudes in t