入侵檢測技術(shù)在校園網(wǎng)中的應用

◆張拓 隋新

?

入侵檢測技術(shù)在校園網(wǎng)中的應用

◆張拓 隋新通訊作者

（東北師范大學人文學院 吉林 130117）

校園網(wǎng)在推進教育信息化進程中發(fā)揮著積極的作用，隨著教育信息化的不斷推進，使得高校網(wǎng)絡建設迅速發(fā)展，其規(guī)模也在不斷的擴大。然而網(wǎng)絡本身具有可開發(fā)性，這就無疑給校園網(wǎng)的安全帶來了威脅。為確保校園網(wǎng)絡及其信息系統(tǒng)的安全、穩(wěn)定、高效運行，校園網(wǎng)的安全問題不容忽視。本文將主要介紹了入侵檢測技術(shù)的相關(guān)知識及如何在校園網(wǎng)中部署入侵檢測檢測系統(tǒng)，以便提高系統(tǒng)的穩(wěn)定性能與安全性能。

校園網(wǎng)；威脅；安全；入侵檢測技術(shù)

0 引言

校園網(wǎng)不但為教學、科研和生活提供基本的網(wǎng)絡環(huán)境，同時也是信息化建設和發(fā)展的基礎(chǔ)所在，校園網(wǎng)的正常運作關(guān)系著科研，教學的是否能夠順利開展，以及學校是否能夠安全穩(wěn)定地建設。但是由于校園網(wǎng)自身存在的安全漏洞、外部威脅不斷增長、網(wǎng)絡內(nèi)接入的設備數(shù)目龐大且結(jié)構(gòu)復雜、內(nèi)部用戶安全意識薄弱、安全防范措施不足等原因，高等院校網(wǎng)絡安全狀況不容客觀，只有解決這些問題，才能使校園網(wǎng)真正服務于教學、科研和生活。

1 入侵檢測系統(tǒng)

1.1入侵檢測系統(tǒng)的作用

入侵檢測作為一種積極主動的安全防護工具，提供了對內(nèi)部攻擊、外部和誤操作的實時防護，在計算機網(wǎng)絡和系統(tǒng)受到危害之前進行報警、響應和攔截。它具有以下主要作用：

（1）通過檢測和記錄網(wǎng)絡中的安全違規(guī)行為，防止網(wǎng)絡入侵事件的發(fā)生。

（2）檢測其他安全措施未能阻止的攻擊或安全違規(guī)行為。

（3）檢測黑客在攻擊前的探測行為，預先給管理員發(fā)出報警。

（4）報告計算機系統(tǒng)或網(wǎng)絡中存在的安全威脅。

（5）提供有關(guān)攻擊信息，幫助管理員診斷網(wǎng)絡中存在的安全弱點，便于進行安全漏洞的修補。

（6）在大型復雜的計算機網(wǎng)路中部署入侵檢測系統(tǒng)，可顯著提高網(wǎng)絡安全管理的質(zhì)量。

1.2入侵檢測過程

入侵檢測過程分為四部分：信息收集、信息分析、信息存儲和結(jié)果處理。

（1）信息收集：入侵檢測過程的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為。

（2）信息分析：一般通過三種技術(shù)手段（模式匹配、統(tǒng)計分析和完整性分析）對收集到的有關(guān)系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息進行分析，試圖尋找入侵活動的特征，判斷是否發(fā)生入侵。當檢測到有入侵活動或誤操作時，產(chǎn)生一個告警并發(fā)給控制臺。

（3）信息存儲：當入侵檢測系統(tǒng)捕獲到有攻擊發(fā)生時，為了便于系統(tǒng)管理人員對攻擊信息進行查看和對攻擊行為進行分析，還需要將入侵檢測系統(tǒng)收集到的信息進行保存，這些信息通常存儲到用戶指定的日志文件中，同時存儲的信息也為攻擊保留了證據(jù)。

1.3入侵檢測系統(tǒng)部署

防火墻將內(nèi)部可信任區(qū)域與外部危險區(qū)域有效隔離，為網(wǎng)絡邊界提供保護，是抵御入侵的有效手段。入侵檢測系統(tǒng)被認為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行檢測，從而及時發(fā)現(xiàn)內(nèi)部攻擊含有的攻擊企圖、系統(tǒng)漏洞及識別網(wǎng)絡中發(fā)生的入侵行為并報警，也能發(fā)現(xiàn)內(nèi)部的惡意破壞行為，但不可以發(fā)現(xiàn)外部的攻擊。入侵檢測系統(tǒng)通過提供快速響應機制，將指令發(fā)送給防火墻，防火墻馬上關(guān)閉通訊連接，從而阻斷入侵，減少入侵攻擊所造成的損失。

校園網(wǎng)絡通過黑盾防火墻設備街區(qū)互聯(lián)網(wǎng)，在網(wǎng)絡內(nèi)部核心交換機設備上連接一臺入侵檢測系統(tǒng)主機，通過配置交換機的端口鏡像功能，使入侵檢測主機可以監(jiān)控所有來自網(wǎng)絡內(nèi)部和外部的數(shù)據(jù)流。并通過設置入侵檢測規(guī)則，完成對異常的網(wǎng)絡攻擊或入侵進行報警。黑盾防火墻通過接口GE1/01接入華為S9303核心交換機，入侵檢測主機通過接口GE1/0/2接入華為S9303核心交換機。借助本地端口鏡像功能來實現(xiàn)入侵檢測主機對防火墻進出數(shù)據(jù)流進行監(jiān)控。

入侵檢測系統(tǒng)關(guān)鍵要制定好安全策略，包括配置、記錄、審計和報告等，并根據(jù)需要改變策略。入侵檢測系統(tǒng)存在的一個主要問題是入侵檢測系統(tǒng)不會主動在攻擊前阻止這些攻擊。同時，許多入侵檢測系統(tǒng)是基于標識判斷的，它們不能檢測到新的攻擊或老式攻擊的變形，也不能對加密流量中的攻擊進行檢測。這時，必須制定一個事件響應的過程以確保一旦針對校園網(wǎng)絡的惡意企圖發(fā)生時，有一個可參照的標準。經(jīng)常利用殺毒軟件進行漏洞檢測和掃描，以確保入侵檢測系統(tǒng)和其它安全措施的執(zhí)行情況。防火墻和路由器審查應每季度完成一次，以確保配置的準確和完整。

2 總結(jié)

入侵檢測系統(tǒng)作為一種積極主動的安全防護工具，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時防護，在計算機網(wǎng)絡和系統(tǒng)受到危害之前進行報警、攔截和響應。提高了網(wǎng)絡安全系統(tǒng)的防護能力。當然，入侵檢測系統(tǒng)并不是一個防范工具，它并不能阻斷攻擊。如果入侵檢測系統(tǒng)和其他硬件（如防火墻）軟件（殺毒軟件）在功能上實現(xiàn)聯(lián)動，進行很好地配合，將大大提高網(wǎng)絡系統(tǒng)的安全性。

[1]網(wǎng)絡與信息安全基礎(chǔ)[M].北京理工大學出版社，2008.

[2]小泉修著.葉明，張巍譯.互聯(lián)網(wǎng)基礎(chǔ)（日）[M].北京:科學出版社，2004.

[3]安繼芳，李海建.網(wǎng)絡安全應用技術(shù)[M].北京:人民郵電出版社，2007.

項目支持：吉林省大學生創(chuàng)新創(chuàng)業(yè)訓練計劃創(chuàng)新訓練項目“入侵檢測技術(shù)在校園網(wǎng)絡安全中的應用研究”。項目編號：20171366200。