基于入侵檢測的校園網(wǎng)安全探討＊

李慧芳

(長治學院計算機系，山西長治 046011)

基于入侵檢測的校園網(wǎng)安全探討＊

李慧芳

(長治學院計算機系，山西長治 046011)

隨著網(wǎng)絡技術的發(fā)展，校園網(wǎng)的安全問題日益突出.在分析存在的問題和防御措施的基礎上，提出了采用分布式和Agent技術相結合的入侵檢測技術來解決校園網(wǎng)絡安全問題.

校園網(wǎng);入侵檢測;網(wǎng)絡安全

隨著信息技術和網(wǎng)絡技術的發(fā)展，校園網(wǎng)建設如火如荼，國內(nèi)大多數(shù)高?；旧辖ǔ闪俗约旱男@網(wǎng).校園網(wǎng)不僅可以為學生學習活動、教師的教學和科研活動、學校教育教學管理提供服務，還可以作為學校與外界互動的窗口.一些人認為，校園網(wǎng)應該是一個開放式的網(wǎng)絡平臺，可以讓訪問者盡可能地共享資源，而不是人為地設置障礙，因此對安全的要求不應該過高.但是，隨著網(wǎng)絡的高速發(fā)展，網(wǎng)絡安全問題正日益突出，而且觸及面也越來越廣，早已影響到校園網(wǎng)絡的正常運行.近些年來，國內(nèi)多所高校校園網(wǎng)都遭受了網(wǎng)絡病毒不同程度的侵害，因此保證校園網(wǎng)絡的安全，如不受網(wǎng)絡黑客侵害和病毒破壞等［1，2］，就成了校園網(wǎng)建設中不可回避的緊迫問題.

入侵檢測技術(Intrusion Detection System，簡稱IDS)是近些年來出現(xiàn)的新型網(wǎng)絡安全技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術［3，4］.它能夠提供實時的入侵檢測及采取相應的防護手段，如記錄證據(jù)用于跟蹤和恢復，斷開網(wǎng)絡連接等.它能夠阻止黑客的入侵并防止病毒的蔓延.入侵檢測技術可以成為校園網(wǎng)防御非法攻擊的工具.

1 校園網(wǎng)網(wǎng)絡安全存在的主要問題

校園網(wǎng)是校園內(nèi)計算機及附屬設備互聯(lián)運行的局域網(wǎng)絡，是由計算機、網(wǎng)絡設備和軟件等構成的為學校管理和教育教學服務的集成應用系統(tǒng).它是以計算機技術、多媒體技術、現(xiàn)代網(wǎng)絡技術、因特網(wǎng)技術等為基礎建立起來的計算機網(wǎng)絡，可通過互聯(lián)實現(xiàn)校園內(nèi)部的計算機進行遠距離信息交流和信息資源共享.校園網(wǎng)網(wǎng)絡安全的目標是確保經(jīng)網(wǎng)絡傳輸?shù)男畔⒃趥鬏斶^程中沒有任何改變、丟失、增加或非法讀取.當前，校園網(wǎng)網(wǎng)絡普遍存在的安全問題主要有以下幾個方面.

1.1 病毒的侵襲

計算機病毒已經(jīng)成為校園網(wǎng)的巨大威脅，嚴重影響著學校正常的教學、管理、科研等工作.病毒瞬間就可傳遍整個網(wǎng)絡上所有登陸的計算機，破壞校園網(wǎng)的數(shù)據(jù)信息，影響校園網(wǎng)的運行速度.它是一種有很強破壞力和感染力的計算機程序.這種程序與其他程序不同，當把這種程序輸入正常工作的計算機后，會把已有的信息破壞，并且，這種程序具有再生的能力，能自動進入有關的程序進行自我復制.它像微生物一樣，可以繁殖.

目前，校園網(wǎng)環(huán)境下，計算機病毒主要有以下幾個特征:

(1)隱蔽性:病毒常附在正常程序中或磁盤的較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在.如果不經(jīng)過代碼分析，病毒程序與正常程序是不容易區(qū)別開來的.一般在沒有防護措施的情況下，計算機病毒程序取得系統(tǒng)控制權后，可以在很短的時間里傳染給大量程序.而且受到傳染后，計算機系統(tǒng)通常仍能正常運行，使用戶不會感到任何異常.

(2)傳染性:類似于人的傳染疾病，病毒程序一旦侵入到校園網(wǎng)系統(tǒng)就開始自我復制，迅速蔓延到校園網(wǎng)中的每一臺計算機.

(4)潛伏性:大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)(破壞)模塊.只有這樣它才可廣泛地傳播.

(5)寄生性:病毒是一種可直接或間接執(zhí)行的文件，是沒有文件名的秘密程序，但它的存在卻不能以獨立文件的形式存在，它必須是以附著在現(xiàn)有的硬軟件資源上的形式存在的.

1.2 黑客的攻擊

校園網(wǎng)接入因特網(wǎng)后，難免會遇到網(wǎng)絡黑客的攻擊.黑客利用攻擊技術對校園網(wǎng)系統(tǒng)進行破壞，比如:對校園網(wǎng)站的服務器發(fā)送大量垃圾信息，導致整個校園網(wǎng)絡運行緩慢甚至陷于癱瘓.目前，常見的黑客攻擊手段有:獲取口令、WWW欺騙技術、放置特洛伊木馬程序、信息炸彈、拒絕服務、網(wǎng)絡監(jiān)聽和密碼破解.

1.3 系統(tǒng)漏洞

大多數(shù)的校園網(wǎng)安裝的操作系統(tǒng)都是WINDOWS、UNIX等，這些操作系統(tǒng)都不同程度地存在安全漏洞，比如:瀏覽器漏洞、TCP/IP協(xié)議漏洞，嚴重威脅著校園網(wǎng)的安全.漏洞在補丁未被開發(fā)之前一般很難防御黑客的破壞，除非不聯(lián)網(wǎng).還有些漏洞是由于系統(tǒng)管理員配置錯誤引起的，如在網(wǎng)絡文件系統(tǒng)中，將目錄和文件以可寫的方式調(diào)出，將未加Shadow的用戶密碼文件以明碼方式存放在某一目錄下，這都會給黑客帶來可趁之機，應及時加以修正.

2 校園網(wǎng)的安全防御措施分析

校園網(wǎng)網(wǎng)絡安全是一個相當復雜的系統(tǒng)工程，要想保證校園網(wǎng)的安全，建立一個安全、可靠的網(wǎng)絡環(huán)境，就必須運用先進的網(wǎng)絡安全技術，建立完善的防御措施.

2.1 防火墻技術

為了校園網(wǎng)的安全，一個使用廣泛的技術就是防火墻技術，即在校園網(wǎng)和INTERENT之間設一個防火墻.防火墻實際上是一個或一組系統(tǒng)，可以防止外部網(wǎng)絡未授權訪問校園網(wǎng).它會根據(jù)校園網(wǎng)的安全策略，對外部網(wǎng)絡與校園網(wǎng)交流的數(shù)據(jù)進行檢查，安全的予以放行，不安全的拒之門外，在一定程度上保證校園網(wǎng)的安全.應用好防火墻并對防火墻進行正確的設置，將對校園網(wǎng)的安全起到十分重要的作用.網(wǎng)絡管理人員應當規(guī)劃設置正確的安全過濾規(guī)則，將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡地址進入路由器的IP包，建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應表，防止IP地址被盜用.防火墻存在一定的局限性，既不能保護計算機免受所有它攔截到的攻擊，又不能防御來自校園網(wǎng)內(nèi)部的攻擊.

通過上面的分析,如果IGBT發(fā)生了斷路故障,則勢必會使In的波形發(fā)生變化,將其轉換到頻域中,可以很明顯通過頻譜分量的大小將其檢測出來。根據(jù)離散傅里葉變換[5],可知在頻域中進行數(shù)據(jù)的離散化可以得到DFT變換為:

2.2 加密技術

既然網(wǎng)絡本身并不安全可靠，那么所有重要的信息全部需要進行加密處理.加密技術是一種保護數(shù)據(jù)傳輸安全的唯一實用方法和保護存儲數(shù)據(jù)安全的有效方法.為了防止學校重點部門的重要信息被截取或篡改可采用加密技術對傳播數(shù)據(jù)進行加密，使數(shù)據(jù)以密文的形式傳播，即便傳輸數(shù)據(jù)被截取，也無法獲取真實信息.網(wǎng)絡加密常用的方法有三種，分別是鏈路加密、端點加密和節(jié)點加密.

2.3 身份認證和識別

學校各部門的信息對學校有非常重要的價值，需要我們保護.身份認證和識別是校園網(wǎng)的大門，用戶的標識和鑒別是用戶進入校園網(wǎng)的第一道防線.通過驗證用戶名稱和口令，防止非法用戶訪問校園網(wǎng)數(shù)據(jù)庫以及對數(shù)據(jù)庫進行惡意操作.

3 基于入侵檢測的校園網(wǎng)網(wǎng)絡安全技術

入侵檢測是保障校園網(wǎng)安全的關鍵部件，是對防火墻等防御措施的有效補充.它能夠幫助校園網(wǎng)快速發(fā)現(xiàn)發(fā)生的攻擊.

3.1 入侵檢測的定義

入侵檢測是指通過對行為、安全日志或審計數(shù)據(jù)或其它網(wǎng)絡上可以獲得的信息進行操作，檢測對系統(tǒng)的闖入或闖入的企圖.其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持.進行入侵檢測的軟件或硬件的組合便是入侵檢測系統(tǒng).

3.2 入侵檢測系統(tǒng)的功能

入侵檢測系統(tǒng)能夠在入侵攻擊對系統(tǒng)產(chǎn)生危害前檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅逐入侵攻擊，還能夠減輕正在發(fā)生的入侵攻擊所造成的損失.一般來說，一個好的入侵檢測系統(tǒng)，應該具備以下幾個功能:

(1)檢查操作系統(tǒng)配置和漏洞，并能校驗和管理操作系統(tǒng)，判斷有無破壞安全的用戶活動;

(2)檢查其它系統(tǒng)軟件和數(shù)據(jù)文件的完整性;

(3)監(jiān)督并分析用戶和系統(tǒng)的活動;

(4)識別代表已知攻擊的活動模式和統(tǒng)計分析反常行為模式;

(5)針對已發(fā)現(xiàn)的攻擊行為作出適當反應.

3.3 IDS的發(fā)展現(xiàn)狀

目前，許多專家提出了很多有用的IDS產(chǎn)品，如:基于主機的入侵檢測系統(tǒng)、基于圖形的入侵檢測系統(tǒng)、基于狀態(tài)轉換的入侵檢測系統(tǒng)等.但這些系統(tǒng)都存在一些缺陷，主要可以概括為以下幾點:

(1)檢測能力不高.現(xiàn)有的IDS檢測方法單一，會出現(xiàn)漏報且誤報率高.檢測效率低;

(2)協(xié)同工作能力不高.應該加強與防火墻、身份認證等其他安全技術之間的溝通;

(3)抗攻擊能力差.IDS自身也成為被攻擊的對象，如何保護IDS自身的安全性是IDS的首要任務.

由于以上的這些缺陷，傳統(tǒng)的IDS產(chǎn)品已經(jīng)無法處理校園網(wǎng)遭受的各種各樣的網(wǎng)絡攻擊，需要我們采用新的技術來提高入侵檢測系統(tǒng)的服務能力.

3.4 基于分布式入侵檢測的校園網(wǎng)安全技術

綜合上述有關入侵檢測技術的探討，結合當前校園網(wǎng)存在的網(wǎng)絡安全問題，我們采用分布式技術和移動Agent技術來開發(fā)系統(tǒng).分布式技術的應用能夠解決入侵檢測的漏報和誤報率高的問題，能夠對不同的檢測環(huán)境分類并對不同的環(huán)境采用不同的檢測方法.采用多個檢測部件，每個部件采用不同的檢測方法，共同完成檢測任務.這樣既能夠提高檢測準確度，又能夠提高檢測效率.但采用分布式技術時，系統(tǒng)開銷會很高，不會根據(jù)不同網(wǎng)段的具體情況處理問題.移動A-gent技術正好可以彌補這一缺點，能夠及時發(fā)現(xiàn)安全問題，更好地保護校園網(wǎng)信息.這種新型IDS具有以下幾個特點:

(1)抗攻擊性:自身在遭受外來攻擊而出現(xiàn)問題時，能夠不受影響，迅速調(diào)整狀態(tài)，繼續(xù)為校園網(wǎng)服務;

(2)實時性:能夠在短時間內(nèi)發(fā)現(xiàn)攻擊或者攻擊的企圖，并能盡快查找出攻擊者的位置，阻止其進一步的攻擊活動，使校園網(wǎng)所遭受的破壞降低到最低限度;

(3)適應性:校園網(wǎng)絡環(huán)境復雜多樣，經(jīng)常會發(fā)生增加計算機數(shù)量、改變計算機系統(tǒng)類型等情況，當環(huán)境變化時，新型IIDS依然能夠適應環(huán)境正常工作;

(4)有效性:能夠減少漏報，降低誤報率，提高檢測效率.

4 結束語

本文從校園網(wǎng)安全存在的問題出發(fā)，分析現(xiàn)有的幾種校園網(wǎng)防御措施，提出采用分布式和Agent技術相結合的入侵檢測技術來提高校園網(wǎng)網(wǎng)絡的安全性.隨著網(wǎng)絡攻擊技術的不斷翻新，校園網(wǎng)的安全防御任務還相當艱巨，需要我們繼續(xù)努力，不斷完善校園網(wǎng)絡安全防御技術，使校園網(wǎng)絡更安全、穩(wěn)定和可靠.

［1］王珊，曾志文.校園網(wǎng)絡安全問題剖析［J］.電腦知識與技術，2009，(34):9657 －9658.

［2］孔凡士.高校校園網(wǎng)絡安全管理策略［J］.信陽師范學院學報(哲學社會科學版)，2006，(3):79 －81.

［3］楊智君，田地，馬駿曉，等.入侵檢測技術研究綜述［J］.計算機工程與設計，2006，(12):2119 －2123.

［4］李慶華，胡巍，廖翔.基于移動代理的入侵檢測系統(tǒng)［J］.計算機工程與科學，2007，(3):16 －18.

TP393

A

1008－4681(2012)02－0058－02

2011－12－15

李慧芳(1982－)，女，山西呂梁人，長治學院計算機系助教，碩士.研究方向:數(shù)據(jù)庫技術、人工智能軟件.

(責任編校:晴川)