摘要：入侵檢測(cè)是一種通過某種方法完成網(wǎng)絡(luò)系統(tǒng)中入侵行為檢測(cè)和報(bào)告的技術(shù)。本文介紹入侵檢測(cè)技術(shù)的相關(guān)知識(shí)及如何在校園網(wǎng)中部署入侵檢測(cè)系統(tǒng)。

關(guān)鍵詞：入侵檢測(cè)系統(tǒng)；網(wǎng)絡(luò)安全；校園網(wǎng)絡(luò)；防火墻

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 20-0000-02

隨著互聯(lián)網(wǎng)的普及和發(fā)展，校園網(wǎng)絡(luò)在教育教學(xué)中發(fā)揮越來越大的作用，學(xué)生可以通過網(wǎng)絡(luò)學(xué)習(xí)新知識(shí)、討論問題、查閱資料、提交作業(yè)，同時(shí)學(xué)?？梢岳镁W(wǎng)絡(luò)進(jìn)行一些管理和教學(xué)工作等。網(wǎng)絡(luò)技術(shù)的發(fā)展正在改變校園內(nèi)人們學(xué)習(xí)生活的同時(shí)，校園網(wǎng)絡(luò)也面臨著受到來自校內(nèi)、外的安全威脅。如何保證校園網(wǎng)絡(luò)安全正常運(yùn)行，這就要求網(wǎng)絡(luò)管理員能夠?qū)艉推茐男袨槟軌蚣皶r(shí)地發(fā)現(xiàn)并進(jìn)行處理。

1 入侵檢測(cè)研究狀態(tài)

伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)攻擊和入侵事件與日俱增，攻擊者利用計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全弱點(diǎn)、漏洞以及不安全的配置，對(duì)網(wǎng)絡(luò)進(jìn)行攻擊和入侵。網(wǎng)絡(luò)防火墻能夠在內(nèi)、外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)，但僅僅使用防火墻的網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的，因?yàn)槿肭终呖梢詫ふ曳阑饓Φ穆┒?，繞到防火墻的背后從可能敞開的后門侵入；也可能是網(wǎng)絡(luò)內(nèi)部用戶，他的入侵行為是在防火墻內(nèi)進(jìn)行的。因此，入侵檢測(cè)作為一種新的動(dòng)態(tài)安全防御體系技術(shù)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，監(jiān)視計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，并對(duì)它們進(jìn)行分析，以尋找危及機(jī)密性、完整性、可用性或繞過安全機(jī)制的入侵行為以及誤操作的實(shí)時(shí)保護(hù)，是防火墻的合理補(bǔ)充，增強(qiáng)了系統(tǒng)防范和對(duì)付網(wǎng)絡(luò)攻擊的能力，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全體系結(jié)構(gòu)的完整性[1]。

2 入侵檢測(cè)系統(tǒng)

2.1 入侵檢測(cè)系統(tǒng)的分類

根據(jù)其監(jiān)測(cè)的對(duì)象是主機(jī)還是網(wǎng)絡(luò)分為基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：

（1）基于主機(jī)的入侵檢測(cè)系統(tǒng)：通過監(jiān)視與分析主機(jī)的審計(jì)記錄檢測(cè)入侵。實(shí)時(shí)監(jiān)視可疑的連接、系統(tǒng)日志、非法訪問的闖入等，并且提供對(duì)典型應(yīng)用的監(jiān)視。

（2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包作為分析數(shù)據(jù)源，在被監(jiān)視網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)流中尋找攻擊特征。它通常利用一個(gè)工作在混雜模式下的網(wǎng)卡來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流，使用模式匹配、統(tǒng)計(jì)分析等技術(shù)來識(shí)別攻擊行為。檢測(cè)到攻擊行為，其響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng)，如報(bào)警、切斷網(wǎng)絡(luò)連接等。

2.2 入侵檢測(cè)的內(nèi)容

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)的內(nèi)容包括：試圖闖入、成功闖入、冒充其他用戶、違反安全策略、合法用戶的泄露、獨(dú)占資源以及惡意使用。入侵檢測(cè)系統(tǒng)通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或被攻擊的跡象并對(duì)其做出反應(yīng)。有些反應(yīng)是自動(dòng)的，它包括通知網(wǎng)絡(luò)安全管理員，中止入侵者的入侵進(jìn)程、關(guān)閉計(jì)算機(jī)系統(tǒng)、斷開與互聯(lián)網(wǎng)的連接，使該用戶訪問無效，或者執(zhí)行一個(gè)準(zhǔn)備好的阻止、防范或反擊命令等[1]。

2.3 入侵檢測(cè)系統(tǒng)的作用

入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)工具，提供了對(duì)內(nèi)部攻擊、外部和誤操作的實(shí)時(shí)防護(hù)，在計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前進(jìn)行報(bào)警、響應(yīng)和攔截。它具有以下主要作用[2]：

（1）通過檢測(cè)和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，防止網(wǎng)絡(luò)入侵事件的發(fā)生。

（2）檢測(cè)其他安全措施未能阻止的攻擊或安全違規(guī)行為。

（3）檢測(cè)黑客在攻擊前的探測(cè)行為，預(yù)先給管理員發(fā)出警報(bào)。

（4）報(bào)告計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅。

（5）提供有關(guān)攻擊的信息，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點(diǎn)，便于進(jìn)行安全漏洞的修補(bǔ)。

（6）在大型復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)，可顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。

2.4 入侵檢測(cè)過程

入侵檢測(cè)過程分為四部分：信息收集、信息分析、信息存儲(chǔ)和結(jié)果處理。

（1）信息收集：入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。

（2）信息分析：一般通過三種技術(shù)手段（模式匹配、統(tǒng)計(jì)分析和完整性分析）對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息進(jìn)行分析，試圖尋找入侵活動(dòng)的特征，判斷是否發(fā)生入侵。當(dāng)檢測(cè)到有入侵活動(dòng)或誤操作時(shí)，產(chǎn)生一個(gè)告警并發(fā)給控制臺(tái)。

（3）信息存儲(chǔ)：當(dāng)入侵檢測(cè)系統(tǒng)捕獲到有攻擊發(fā)生時(shí)，為了便于系統(tǒng)管理人員對(duì)攻擊信息進(jìn)行查看和對(duì)攻擊行為進(jìn)行分析，還需要將入侵檢測(cè)系統(tǒng)收集到的信息進(jìn)行保存，這些信息通常存儲(chǔ)到用戶指定的日志文件中，同時(shí)存儲(chǔ)的信息也為攻擊保留了證據(jù)。

（4）結(jié)果處理：控制臺(tái)按照預(yù)先定義的響應(yīng)措施，自動(dòng)對(duì)檢測(cè)到的行為作出響應(yīng)，如重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性等。

2.5 入侵檢測(cè)的信息分析

（1）模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，來發(fā)現(xiàn)違背安全策略的入侵行為。一般來講，一種進(jìn)攻模式可以利用一個(gè)過程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來表示。這種檢測(cè)方法只需收集相關(guān)的數(shù)據(jù)集合就能進(jìn)行判斷，能減少系統(tǒng)占用，檢測(cè)準(zhǔn)確率和效率也相當(dāng)高。但是，該技術(shù)需要不斷進(jìn)行升級(jí)以對(duì)付不斷出現(xiàn)的攻擊手法，并且不能檢測(cè)未知攻擊手段。

（2）統(tǒng)計(jì)分析

統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。

（3）完整性分析

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。完整性分析在發(fā)現(xiàn)被更改的或被安裝木馬的應(yīng)用程序方面特別有效[3]。

3 入侵檢測(cè)系統(tǒng)部署

防火墻將內(nèi)部可信任區(qū)域與外部危險(xiǎn)區(qū)域有效隔離，為網(wǎng)絡(luò)邊界提供保護(hù)，是抵御入侵的有效手段。入侵檢測(cè)系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)防護(hù)[4]。入侵檢測(cè)系統(tǒng)監(jiān)控所有來自網(wǎng)絡(luò)內(nèi)部和外部的數(shù)據(jù)流量，同時(shí)，判斷其中是否含有攻擊企圖，可以及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞及識(shí)別網(wǎng)絡(luò)中發(fā)生的入侵行為并報(bào)警，不但可以發(fā)現(xiàn)外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。入侵檢測(cè)系統(tǒng)提供快速響應(yīng)機(jī)制，報(bào)告入侵行為，當(dāng)檢測(cè)到入侵行為發(fā)生時(shí)，立即發(fā)出一個(gè)指令給防火墻，防火墻馬上關(guān)閉通訊連接，從而阻斷入侵，減少入侵攻擊所造成的損失。

校園網(wǎng)絡(luò)通過黑盾防火墻設(shè)備接入互聯(lián)網(wǎng)，在網(wǎng)絡(luò)內(nèi)部核心交換機(jī)設(shè)備上連接一臺(tái)入侵檢測(cè)系統(tǒng)主機(jī)，通過配置交換機(jī)的端口鏡像功能，使入侵檢測(cè)主機(jī)可以監(jiān)控所有來自網(wǎng)絡(luò)內(nèi)部和外部的數(shù)據(jù)流。并通過設(shè)置入侵檢測(cè)規(guī)則，完成對(duì)異常的網(wǎng)絡(luò)攻擊或入侵進(jìn)行報(bào)警。黑盾防火墻通過接口GE1/0/1 接入華為S9303核心交換機(jī)，入侵檢測(cè)主機(jī)通過接口GE1/0/2 接入華為S9303核心交換機(jī)。借助本地端口鏡像功能來實(shí)現(xiàn)入侵檢測(cè)主機(jī)對(duì)防火墻進(jìn)出數(shù)據(jù)流進(jìn)行監(jiān)控。配置過程如下：

（1）配置各接口，使入侵檢測(cè)主機(jī)與防火墻之間路由可達(dá)。

創(chuàng)建VLAN1、2，并將接口GE1/0/1、GE1/0/2分別加入VLAN 1、2。

system-view

[Quidway] sysname S9303

[S9303] vlan batch 1 to 2

[S9303] interface GigabitEthernet 1/0/1

[S9303-GigabitEthernet1/0/1] port link-type trunk

[S9303-GigabitEthernet1/0/1] port trunk pvid vlan 1

[S9303-GigabitEthernet1/0/1] port trunk allow-pass vlan 1

[S9303-GigabitEthernet1/0/1] quit

[S9303] interface GigabitEthernet 1/0/2

[S9303-GigabitEthernet1/0/2] port link-type trunk

[S9303-GigabitEthernet1/0/2] port trunk pvid vlan 2

[S9303-GigabitEthernet1/0/2] port trunk allow-pass vlan 1 2

[S9303-GigabitEthernet1/0/2] quit

（2）在S9303 上配置端口GE1/0/2 為本地觀察接口：

[S9303] observe-port 1 interface gigabitethernet1/0/2

（3）在S9303上配置GE1/0/1 為本地鏡像接口，以監(jiān)控防火墻進(jìn)出數(shù)據(jù)流：

[S9303] interface gigabitethernet 1/0/1

[S9303-GigabitEthernet1/0/1]port-mirroring observe-port 1 both

[S9303-GigabitEthernet1/0/1] quit

入侵檢測(cè)系統(tǒng)關(guān)鍵要制定好安全策略，包括配置、記錄、審計(jì)和報(bào)告等，并跟據(jù)需要或者安全威脅而改變策略。入侵檢測(cè)系統(tǒng)存在一個(gè)主要問題是入侵檢測(cè)系統(tǒng)不會(huì)主動(dòng)在攻擊前阻止這些攻擊。同時(shí)，許多入侵檢測(cè)系統(tǒng)是基于標(biāo)識(shí)判別的，它們不能檢測(cè)到新的攻擊或老式攻擊的變形，也不能對(duì)加密流量中的攻擊進(jìn)行檢測(cè)。這時(shí)，必須制定一個(gè)事件響應(yīng)的過程以確保一旦針對(duì)校園網(wǎng)絡(luò)的惡意企圖發(fā)生時(shí)，有一個(gè)可參照的標(biāo)準(zhǔn)。經(jīng)常利用殺毒軟件進(jìn)行漏洞檢測(cè)和掃描，以確保入侵檢測(cè)系統(tǒng)和其他安全措施的執(zhí)行情況。防火墻和路由器審查應(yīng)每季度完成一次，以確保配置實(shí)用的準(zhǔn)確和完整。

4 總結(jié)

入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)工具，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)防護(hù)，在計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前進(jìn)行報(bào)警、攔截和響應(yīng)。提高了網(wǎng)絡(luò)安全體系的防護(hù)能力。當(dāng)然，入侵檢測(cè)系統(tǒng)并不是一個(gè)防范工具，它并不能阻斷攻擊。如果入侵檢測(cè)系統(tǒng)和其它硬件（如防火墻）軟件（殺毒軟件）在功能上實(shí)現(xiàn)聯(lián)動(dòng)，進(jìn)行很好地配合，將大大提高網(wǎng)絡(luò)系統(tǒng)的安全性。

參考文獻(xiàn)：

[1]網(wǎng)絡(luò)與信息安全基礎(chǔ)[M].北京理工大學(xué)出版社，2008.

[2]小泉修著.葉明，張巍譯.互聯(lián)網(wǎng)基礎(chǔ).（日）[M].北京：科學(xué)出版社，2004.

[3]入侵檢測(cè)技術(shù)方法.http：//wenku.it168.com/d_000387650.shtml

[4]安繼芳，李海建.網(wǎng)絡(luò)安全應(yīng)用技術(shù)[M].北京：人民郵電出版社，2007.

[作者簡(jiǎn)介]

謝玲莉（1980-），女，講師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)與信息安全。