摘 要:入侵檢測(cè)以其低成本、低風(fēng)險(xiǎn)以及較高靈活性得到了廣泛應(yīng)用，有著廣闊的發(fā)展前景。高校網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)方案的研究和探討已經(jīng)成為網(wǎng)絡(luò)安全的防御工作的必然選擇。本文提出了高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)方案的構(gòu)思，分析了入侵檢測(cè)方案環(huán)境的發(fā)展?fàn)顩r。

關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)安全;入侵檢測(cè)

中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2012) 12-0100-01

一、入侵檢測(cè)技術(shù)在維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

(一)網(wǎng)絡(luò)入侵檢測(cè)

網(wǎng)絡(luò)入侵檢測(cè)有基于硬件和軟件的，二者的工作流程是基本相同的。需將網(wǎng)絡(luò)接口的模式設(shè)置為混雜模式，以便對(duì)流經(jīng)該網(wǎng)段的全部數(shù)據(jù)進(jìn)行實(shí)時(shí)的監(jiān)控，做出分析，再和數(shù)據(jù)庫(kù)中預(yù)定義的具備攻擊特征屬性做出比較，從而把有害的攻擊數(shù)據(jù)包識(shí)別出來(lái)，進(jìn)行響應(yīng)，并記錄日志[1]。

1.體系結(jié)構(gòu)。網(wǎng)絡(luò)入侵檢測(cè)的體系結(jié)構(gòu)通常由三大部分組成，分別為Agent、Console以及Manager。其中，Agent的作用是對(duì)網(wǎng)段以內(nèi)的數(shù)據(jù)包進(jìn)行監(jiān)視，發(fā)現(xiàn)攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送到管理器;Console的主要作用是負(fù)責(zé)收集代理處信息，顯示所受攻擊信息，把攻擊信息及相關(guān)數(shù)據(jù)發(fā)送到管理器;Manager的作用則主要是響應(yīng)配置攻擊警告信息，控制臺(tái)所發(fā)布的命令也由Manager來(lái)執(zhí)行，再把代理所發(fā)出的攻擊警告發(fā)送至控制臺(tái)。

2.工作模式。網(wǎng)絡(luò)入侵檢測(cè)，每個(gè)網(wǎng)段都部署多個(gè)入侵檢測(cè)的代理，按網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的不同，代理的連接形式也不相同。利用交換機(jī)核心芯片中的調(diào)試端口，將入侵檢測(cè)系統(tǒng)與該端口相連接。或者把它放在數(shù)據(jù)流的關(guān)鍵點(diǎn)上，就可以獲取幾乎全部的關(guān)鍵數(shù)據(jù)。

3.攻擊響應(yīng)及升級(jí)攻擊特征庫(kù)、自定義攻擊特征。入侵檢測(cè)系統(tǒng)檢測(cè)到惡意攻擊信息，響應(yīng)方式多種多樣，比如發(fā)送電子郵件、切斷會(huì)話、通知管理員、記錄日志、通知管理員、查殺進(jìn)程、啟動(dòng)觸發(fā)器以及開(kāi)始執(zhí)行預(yù)設(shè)命令、取消用戶賬號(hào)以及創(chuàng)建報(bào)告等等[2]。升級(jí)攻擊特征庫(kù)是把攻擊特征庫(kù)文件通過(guò)手動(dòng)或者自動(dòng)的形式從相關(guān)站點(diǎn)中下載下來(lái)，再利用控制臺(tái)實(shí)時(shí)添加進(jìn)攻擊特征庫(kù)。

(二)主機(jī)入侵檢測(cè)

主機(jī)入侵檢測(cè)會(huì)設(shè)置在被重點(diǎn)檢測(cè)的主機(jī)上，從而對(duì)本主機(jī)的系統(tǒng)審計(jì)日志、網(wǎng)絡(luò)實(shí)時(shí)連接等信息并做出智能化的分析與判斷。如果發(fā)展可疑情形，則入侵檢測(cè)系統(tǒng)就會(huì)有針對(duì)性的采用措施?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)可以具體實(shí)現(xiàn)以下功能:對(duì)操作系統(tǒng)及其所做的所有行為進(jìn)行全程監(jiān)控;持續(xù)評(píng)估系統(tǒng)、應(yīng)用以及數(shù)據(jù)的完整性，并進(jìn)行主動(dòng)的維護(hù);創(chuàng)建全新的安全監(jiān)控策略，實(shí)時(shí)更新;對(duì)于未經(jīng)授權(quán)的行為進(jìn)行檢測(cè)，并發(fā)出報(bào)警，同時(shí)也可以執(zhí)行預(yù)設(shè)好的響應(yīng)措施;將所有日志收集起來(lái)并加以保護(hù)，留作后用。主機(jī)入侵檢測(cè)系統(tǒng)對(duì)于主機(jī)的保護(hù)很全面細(xì)致，但要在網(wǎng)絡(luò)中全面部署則成本太高。并且主機(jī)入侵檢測(cè)系統(tǒng)工作時(shí)要占用被保護(hù)主機(jī)的CPU處理資源，所以可能會(huì)降低被保護(hù)主機(jī)的性能[3]。

二、高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)方案的問(wèn)題

(一)高校網(wǎng)絡(luò)環(huán)境入侵檢測(cè)方案

伴隨網(wǎng)絡(luò)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為不能不考慮的問(wèn)題。入侵檢測(cè)方案正是利用網(wǎng)絡(luò)平臺(tái)，通過(guò)與遠(yuǎn)程服務(wù)器交換，將終端數(shù)據(jù)庫(kù)分布實(shí)現(xiàn)入侵檢測(cè)監(jiān)控。設(shè)計(jì)應(yīng)盡量符合人的感知和認(rèn)知。多數(shù)高校網(wǎng)絡(luò)環(huán)境采用基于WEB的數(shù)據(jù)庫(kù)的轉(zhuǎn)換和數(shù)據(jù)交換監(jiān)控，數(shù)據(jù)庫(kù)相對(duì)簡(jiǎn)單，入侵檢測(cè)方式單一，但可靠性低。面對(duì)平臺(tái)和數(shù)據(jù)容量的增加，客觀上要求基于自動(dòng)檢測(cè)，要對(duì)數(shù)據(jù)庫(kù)進(jìn)行分析、聚類、糾錯(cuò)的高效網(wǎng)絡(luò)，才能處理，實(shí)現(xiàn)用戶交互，優(yōu)化平臺(tái)數(shù)據(jù)的可擴(kuò)展性[4]。

(二)高校網(wǎng)絡(luò)環(huán)境入侵檢測(cè)的關(guān)鍵點(diǎn)

高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)方案的關(guān)鍵點(diǎn)就是要充分利用高校網(wǎng)絡(luò)資源平臺(tái)，整合數(shù)據(jù)庫(kù)、角色管理的安全模型、校園無(wú)縫監(jiān)控、多方位反饋與應(yīng)對(duì)系統(tǒng)等資源，預(yù)測(cè)或?qū)崟r(shí)處理高校網(wǎng)絡(luò)入侵時(shí)間的發(fā)生。

三、高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)方案思考

(一)建立適合高校網(wǎng)絡(luò)環(huán)境的檢測(cè)系統(tǒng)平臺(tái)

高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)，可采納“云計(jì)算技術(shù)”，實(shí)現(xiàn)檢測(cè)方案系統(tǒng)。利用其高速傳輸能力，將計(jì)算、存儲(chǔ)、軟件、服務(wù)等資源從分散的個(gè)人計(jì)算機(jī)或服務(wù)器移植到互聯(lián)網(wǎng)中集中管理的大規(guī)模分布的高性能計(jì)算機(jī)、個(gè)人計(jì)算機(jī)、虛擬計(jì)算機(jī)中，從而使用戶像使用電能一樣使用這些資源。大量計(jì)算資源構(gòu)成資源池，用于動(dòng)態(tài)創(chuàng)建高度虛擬化的資源提供用戶使用。改變了資源提供商需要獨(dú)立、分散建造機(jī)房、運(yùn)營(yíng)系統(tǒng)、維護(hù)安全的困難，降低了整體的能源消耗。

(二)入侵檢測(cè)機(jī)制

入侵檢測(cè)體系結(jié)構(gòu)須依據(jù)網(wǎng)絡(luò)NIDS模塊，構(gòu)建檢測(cè)管理平臺(tái):模塊組成主要有:應(yīng)用任務(wù)模塊;入侵檢測(cè)與分析模塊;數(shù)據(jù)庫(kù)交換模塊(負(fù)責(zé)數(shù)據(jù)包的嗅探、數(shù)據(jù)包預(yù)處理過(guò)濾和固定字段的模式匹配)。實(shí)現(xiàn)實(shí)時(shí)的流量分析與入侵檢測(cè)功能。針對(duì)硬件邏輯和核心軟件邏輯采用高效的檢測(cè)策略規(guī)則。檢測(cè)模型包括三個(gè)主要流程步驟:

1.調(diào)度平臺(tái)從用戶的請(qǐng)求隊(duì)列中首先取出優(yōu)先級(jí)最高的用戶請(qǐng)求R。R讀取元數(shù)據(jù)庫(kù)，根據(jù)請(qǐng)求的硬件資源判斷是否能被當(dāng)前空閑資源滿足。如果滿足，轉(zhuǎn)向步驟2;如果不滿足，判斷是否可以通過(guò)平臺(tái)虛擬機(jī)的遷移，釋放相關(guān)資源;如果可以，則執(zhí)行遷移操作，轉(zhuǎn)步驟2;如果遷移也無(wú)法完成，則退出，并報(bào)告無(wú)法完成請(qǐng)求。

2.如果資源請(qǐng)求可以滿足，調(diào)度服務(wù)器可從存儲(chǔ)結(jié)點(diǎn)中選擇與用戶請(qǐng)求相對(duì)應(yīng)的虛擬機(jī)模板T(新建立的虛擬機(jī))或虛擬機(jī)鏡像I。

3.調(diào)度服務(wù)器將I遷入相對(duì)應(yīng)的物理機(jī)，并創(chuàng)建相對(duì)應(yīng)的虛擬機(jī)實(shí)例V。

四、總結(jié)

要提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，不但要靠技術(shù)支持，更需要依靠高校自身良好的維護(hù)與管理。高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)方案的思考，適應(yīng)高校檢測(cè)環(huán)境的發(fā)展要求，必須把握其發(fā)展方向和關(guān)鍵技術(shù)，實(shí)現(xiàn)高效入侵檢測(cè)。

參考文獻(xiàn):

[1]胥瓊丹.入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2010，11

[2]劉明.試析計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)及其安全防范[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2011，1

[3]臧露.入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究[J].信息技術(shù)，2009，6

[4]申建剛，夏國(guó)平，邱鞏強(qiáng).基于云計(jì)算技術(shù)虛擬現(xiàn)實(shí)的施工設(shè)備布置系統(tǒng)[J].計(jì)算機(jī)集成制造系統(tǒng)，2009，10