校園信息化環(huán)境下入侵檢測系統(tǒng)應(yīng)用與研究

楊贛川

摘要：隨著高校教育信息化建設(shè)日漸成熟，校園網(wǎng)絡(luò)環(huán)境變得更為錯綜復(fù)雜，由此帶來的網(wǎng)絡(luò)安全隱患不言而喻。僅依靠防火墻技術(shù)來保衛(wèi)校園網(wǎng)絡(luò)安全顯得勢單力薄，構(gòu)建入侵檢測系統(tǒng)是校園網(wǎng)絡(luò)安全防御的另一重要手段。該文研究入侵檢測系統(tǒng)的理論、設(shè)計與實現(xiàn)，結(jié)合防火墻、入侵防御等技術(shù)，探究校園信息化環(huán)境下的全網(wǎng)絡(luò)安全預(yù)警體系。

關(guān)鍵詞：入侵檢測系統(tǒng)；IDS；網(wǎng)絡(luò)安全；防火墻

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2015）20-0053-02

自教育部頒布《教育信息化十年發(fā)展規(guī)劃（2011-2020年）》后，全國各高校信息化建設(shè)和發(fā)展如日中天。校園信息化為高校師生提供高效、快捷、便利的教學(xué)和生活服務(wù)，學(xué)校辦公、教師授課、學(xué)生學(xué)習(xí)、日常生活等都越來越離不開信息化。由此產(chǎn)生的信息化安全問題不容忽視，以前網(wǎng)絡(luò)安全措施一般是通過防火墻對校內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)進行檢測，是數(shù)據(jù)進出的安全關(guān)卡。傳統(tǒng)的網(wǎng)絡(luò)防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)都很成熟，但是已不能完全勝任當(dāng)前的復(fù)雜的網(wǎng)絡(luò)環(huán)境，今后的校園網(wǎng)絡(luò)安全技術(shù)重點應(yīng)該轉(zhuǎn)向全程安全，需要能夠主動防御的、自動預(yù)警的、動態(tài)的信息安全技術(shù)作為防火墻的有力補充，即構(gòu)建校園網(wǎng)絡(luò)入侵檢測系統(tǒng)，形成校園網(wǎng)全局網(wǎng)絡(luò)安全預(yù)警機制[1]。

1 校園信息化與入侵檢測系統(tǒng)

1.1 校園信息化的內(nèi)涵

校園信息化是在校園內(nèi)，以先進的教育思想為指導(dǎo)，以網(wǎng)絡(luò)為基礎(chǔ)，結(jié)合信息技術(shù)，針對教學(xué)、科研和管理深入開發(fā)資源共享，廣泛利用信息資源為師生提供學(xué)習(xí)交流環(huán)境，提高教育教學(xué)效率和質(zhì)量，擴展學(xué)校的管理與服務(wù)功能，實現(xiàn)教育過程全面信息化，旨在全面提高教學(xué)質(zhì)量、科研和管理水平與效率。

1.2 入侵檢測系統(tǒng)概念與分類

入侵檢測系統(tǒng)（ Intrusion Detect ion System， IDS） 是通過收集分析網(wǎng)絡(luò)或計算機系統(tǒng)中一些重要節(jié)點傳輸?shù)男畔?，發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，采取安全防御和預(yù)警措施，有效保護系統(tǒng)數(shù)據(jù)不外泄、修改和破壞，阻止外部攻擊行為，監(jiān)視校園網(wǎng)內(nèi)部用戶的未授權(quán)活動，彌補了防火墻技術(shù)的不足，是校園網(wǎng)絡(luò)的又一安全保障[2]。

入侵檢測系統(tǒng)根據(jù)檢測方法的區(qū)別可分為基于異常的IDS系統(tǒng)、基于誤用的IDS系統(tǒng)，異常入侵檢測是將可疑行為與用戶事先設(shè)置好的異常閾值做比較來判斷行為的安全性，主要有基于統(tǒng)計、神經(jīng)網(wǎng)絡(luò)、規(guī)則等檢查方法；誤用入侵檢測將人們知曉的系統(tǒng)缺陷和攻擊策略統(tǒng)計形成入侵行為規(guī)則表，然后將傳輸?shù)臄?shù)據(jù)與之匹配，匹配成功系統(tǒng)就觸發(fā)一個警告。

入侵檢測系統(tǒng)按檢測對象不同可劃分為基于網(wǎng)絡(luò)和主機兩種，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）是通過監(jiān)聽網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，使用分析網(wǎng)絡(luò)統(tǒng)計、特征匹配及網(wǎng)絡(luò)協(xié)議等方法判斷和防御網(wǎng)絡(luò)入侵；基于主機的入侵檢測系統(tǒng)（HIDS）是通過檢測主機的日志文件、審計記錄、進程狀態(tài)、CPU使用率等信息來防御網(wǎng)絡(luò)攻擊。

2 校園信息化建設(shè)中入侵檢測系統(tǒng)部署與構(gòu)建

校園網(wǎng)是學(xué)校信息化的核心支撐平臺，在學(xué)生宿舍區(qū)、教師教學(xué)區(qū)、行政辦公區(qū)、教師生活區(qū)都發(fā)揮重要的作用，信息化建設(shè)過程中入侵檢測系統(tǒng)規(guī)劃顯得尤為重要。根據(jù)校園網(wǎng)拓?fù)浣Y(jié)構(gòu)和規(guī)模的不同可分為集中式入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)。集中式入侵檢測系統(tǒng)適用于小型網(wǎng)絡(luò)，使用一臺主機處理所有入侵檢測，當(dāng)一個IDS遭到攻擊而失效校園網(wǎng)就將陷入癱瘓，這種入侵檢測系統(tǒng)是校園網(wǎng)絡(luò)瓶頸，已不適應(yīng)現(xiàn)代高速網(wǎng)絡(luò)的需求。目前大多數(shù)學(xué)校采用的是分布式檢測集中管理型的入侵檢測系統(tǒng)，具有檢測范圍全面、擴展性強、管理方便等優(yōu)點[3]，如圖（1）。

圖1 校園網(wǎng)分布式入侵檢測系統(tǒng)規(guī)劃

校園網(wǎng)分三層架構(gòu)，為核心層、匯聚層、接入層。核心層為核心交換機、防火墻、路由器等，校園各區(qū)域部署匯聚層交換機，其下安裝接入交換機，所有匯聚層交換機與核心層對接。在防火墻、核心層交換機、匯聚層交換機、接入層交換機等設(shè)備處各部署一個入侵檢測傳感器，IDS管理控制臺、數(shù)據(jù)存儲中心與核心交換機相連。傳感器將在這些區(qū)域?qū)W(wǎng)絡(luò)數(shù)據(jù)包進行捕獲和分析，對發(fā)現(xiàn)的入侵行為進行預(yù)處理，并在管理控制臺上顯示報警信息，從而幫助網(wǎng)絡(luò)管理員及時做出應(yīng)對，保障網(wǎng)絡(luò)的安全。

分布式入侵檢測系統(tǒng)是由許多分布在不同區(qū)域的子IDS系統(tǒng)組成，把數(shù)據(jù)收集、數(shù)據(jù)存儲和數(shù)據(jù)分析等功能在不同主機上運行，這種方式提高了整個入侵檢測系統(tǒng)的處理能力，有非常好的實時性和可擴展性。校園分布式入侵檢測系統(tǒng)采用樹型結(jié)構(gòu)，層次化逐級處理數(shù)據(jù)，分布在各層次的傳感器就是葉節(jié)點。葉節(jié)點負(fù)責(zé)捕獲數(shù)據(jù)包，中間節(jié)點起到承上啟下的作用，既要處理來自下一層節(jié)點的數(shù)據(jù)并逐級上傳至根節(jié)點，又要將上層節(jié)點的控制信息向下傳送。層次化結(jié)構(gòu)很好的提高了分布式入侵檢測系統(tǒng)的可靠性，解決了擴展性問題，更加符合校園網(wǎng)絡(luò)的實際需要。

3 校園信息化環(huán)境下入侵檢測技術(shù)面臨的問題

入侵檢測系統(tǒng)在校園網(wǎng)中起到了重要的作用，能夠提高網(wǎng)絡(luò)的安全性，但隨著校園信息化的飛速發(fā)展，網(wǎng)絡(luò)帶寬的不斷提升，入侵檢測系統(tǒng)應(yīng)用過程中發(fā)現(xiàn)技術(shù)方面存在一些難題[4]：

1）入侵檢測處理速度滯后于網(wǎng)絡(luò)速度的發(fā)展，導(dǎo)致高誤報率和漏報率

入侵檢測系統(tǒng)不能很好的檢查高速網(wǎng)絡(luò)環(huán)境下所有的數(shù)據(jù)包，信息量大和速度快使得入侵檢測分析的準(zhǔn)確率不高，容易產(chǎn)生漏報現(xiàn)象。網(wǎng)絡(luò)攻擊的手段日新月異，檢測規(guī)則無法識別新的攻擊技術(shù)，容易產(chǎn)生誤報現(xiàn)象。一些入侵檢測方法存在缺陷，例如異常檢測過程中采用的統(tǒng)計方法，這種方法確定閾值尤為關(guān)鍵，閾值太小會產(chǎn)生高誤報率，許多安全事件會被當(dāng)著惡意攻擊處理，閾值太大又會產(chǎn)生高漏報率，惡意攻擊不能被阻止。

2）入侵檢測系統(tǒng)能夠識別入侵行為，但阻斷入侵的能力低

校園網(wǎng)入侵檢測系統(tǒng)主要對內(nèi)部攻擊、外部攻擊和誤操作等行為進行識別，能及時發(fā)現(xiàn)入侵并采取阻斷連接的措施。要提高校園網(wǎng)的安全性，必須把入侵檢測產(chǎn)品和防火墻等網(wǎng)絡(luò)安全產(chǎn)品結(jié)合起來，配置好安全策略，共同協(xié)作發(fā)現(xiàn)攻擊并有效阻止。既能提高入侵檢測系統(tǒng)的阻斷能力，又能增強防火墻的實時反應(yīng)能力。

3）難以處理加密的數(shù)據(jù)流，系統(tǒng)結(jié)構(gòu)不同影響入侵檢測效果

目前入侵檢測系統(tǒng)的主要形式是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，加密的數(shù)據(jù)流在網(wǎng)絡(luò)傳輸中不能被IDS系統(tǒng)檢測。校園網(wǎng)入侵檢測系統(tǒng)多數(shù)采用集中收集和集中分析數(shù)據(jù)的體系結(jié)構(gòu)，許多分布式IDS系統(tǒng)采用分布式結(jié)構(gòu)收集數(shù)據(jù)，而處理和分析數(shù)據(jù)集中在一臺機器上，這種結(jié)構(gòu)和集中式分布結(jié)構(gòu)相同，在分析和檢測時容易發(fā)生單點失效現(xiàn)象，大量數(shù)據(jù)集中處理時容易產(chǎn)生數(shù)據(jù)包丟失現(xiàn)象。

4）缺乏準(zhǔn)確定位和處理機制，入侵檢測技術(shù)標(biāo)準(zhǔn)化還不成熟

網(wǎng)絡(luò)技術(shù)飛速發(fā)展，網(wǎng)絡(luò)攻擊方式也在不斷進步，分布式協(xié)同攻擊就是一種非常厲害的攻擊方式。攻擊者可以短時間發(fā)動成千上萬的服務(wù)器攻擊一個目標(biāo)主機，其破壞性和隱蔽性越來越強。入侵檢測系統(tǒng)可以識別IP地址，無法定位IP地址，無法找到攻擊的源頭。發(fā)現(xiàn)攻擊事件時，入侵檢測系統(tǒng)只能關(guān)閉服務(wù)器一些端口和網(wǎng)絡(luò)出口，這樣會影響一些正常用戶的使用，缺乏完善的響應(yīng)處理機制。各部件內(nèi)部缺乏完善的信息協(xié)同和共享機制，對網(wǎng)絡(luò)攻擊的檢查能力有一定的影響，故難以建立一種大型網(wǎng)絡(luò)的戰(zhàn)略安全預(yù)警系統(tǒng)，入侵檢測技術(shù)標(biāo)準(zhǔn)化有待完善。

4 校園信息化環(huán)境下入侵檢測系統(tǒng)發(fā)展趨勢

高校校園信息化建設(shè)的不斷完善，隨之而來的網(wǎng)絡(luò)入侵問題也層出不窮，網(wǎng)絡(luò)攻擊和防御技術(shù)都在不斷提升。人們對網(wǎng)絡(luò)安全越來越擔(dān)憂，此時對網(wǎng)絡(luò)入侵檢測系統(tǒng)的需求越來越大，促使了入侵檢測技術(shù)的不斷提高，對未來入侵檢測系統(tǒng)的發(fā)展方向有以下幾方面[5]：

1）高度協(xié)作分布式入侵檢測。最重要的是協(xié)作，不僅是同一系統(tǒng)中不同部件之間的協(xié)作，還包括與不同品牌的安全產(chǎn)品之間的協(xié)作。起到協(xié)同處理IDS系統(tǒng)的檢測信息與提取入侵攻擊信息的作用，不同的IDS系統(tǒng)之間實現(xiàn)協(xié)同工作。

2）全面安全防御入侵檢測。復(fù)雜的網(wǎng)絡(luò)環(huán)境中很難用一種技術(shù)來做到全面安全防御，故在安全防御過程中需結(jié)合網(wǎng)絡(luò)管理技術(shù)、加密通道技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)等全方面的進行評價，形成較全面的安全防御策略。

3）智能化入侵檢測。在入侵檢測系統(tǒng)中應(yīng)用遺傳算法、神經(jīng)網(wǎng)絡(luò)、模糊技術(shù)、智能代理、免疫原理等技術(shù)，提高入侵檢測的效率。使IDS系統(tǒng)智能化，具有自學(xué)習(xí)和自適應(yīng)能力。

4）高速網(wǎng)絡(luò)的大數(shù)據(jù)入侵檢測。隨著網(wǎng)絡(luò)的迅猛提速，信息量越來越大，這對現(xiàn)有的入侵檢測系統(tǒng)是一種考驗。開發(fā)處理速度更快、準(zhǔn)確率更高的入侵檢測系統(tǒng)顯得尤為重要，這也是入侵檢測系統(tǒng)的發(fā)展方向。

5）面對用戶的應(yīng)用層入侵檢測。當(dāng)前IDS系統(tǒng)主要分析網(wǎng)絡(luò)層的數(shù)據(jù)包，而很多入侵攻擊行為只有在應(yīng)用層才可以理解，IDS不能處理數(shù)據(jù)庫系統(tǒng)、Lotus Notes等應(yīng)用系統(tǒng)。應(yīng)用層的入侵行為是目前的入侵檢測系統(tǒng)檢測不出，需要研究面對用戶的應(yīng)用層入侵檢測系統(tǒng)。

5 結(jié)語

校園網(wǎng)絡(luò)安全問題是每個學(xué)校都非常重視的，但真正要把網(wǎng)絡(luò)安全防范工作做好并非易事，尤其是對網(wǎng)絡(luò)入侵和信息安全的防御不夠。以上探討了校園網(wǎng)的入侵檢測系統(tǒng)部署、存在的問題與發(fā)展方向等，對校園入侵檢測系統(tǒng)應(yīng)用做了一些研究。入侵檢測技術(shù)還不是很成熟，有待深入研究，努力向更快速、更全面、更安全、更智能化方向發(fā)展。

參考文獻：

[1] 李旸.淺談安徽省高校校園信息化建設(shè)中存在的安全威脅[J].蚌埠學(xué)院學(xué)報，2014（1）.

[2] 王棟，盧秀青.基于數(shù)字化校園網(wǎng)的入侵檢測系統(tǒng)研究[J].中國科技信息，2010（21）.

[3] 艾長春.入侵檢測技術(shù)在高校校園網(wǎng)中應(yīng)用[J].甘肅科技，2011（6）.

[4] 李劍.入侵檢測技術(shù)[M].北京：高等教育出版社， 2008.

[5] 李東靈，王健.入侵檢測系統(tǒng)研究現(xiàn)狀及發(fā)展趨勢[J].商丘職業(yè)技術(shù)學(xué)院學(xué)報，2013（5）.