張黎明　呂海杰

摘 要：本文通過網(wǎng)絡(luò)現(xiàn)狀的分析，特別是校園網(wǎng)中存在的入侵形式的描述，引入了入侵檢測技術(shù)的現(xiàn)狀為以后應(yīng)對校園網(wǎng)絡(luò)出現(xiàn)的問題指明了方向，同時也指出了入侵技術(shù)研究方面的不足，為下一步研究奠定了基礎(chǔ)。

關(guān)鍵詞：校園網(wǎng)絡(luò)；黑客攻擊；入侵技術(shù)

1 校園網(wǎng)絡(luò)安全現(xiàn)狀

隨著網(wǎng)絡(luò)應(yīng)用的普及，電子商務(wù)！電子銀行和電子政務(wù)等網(wǎng)絡(luò)服務(wù)的大力發(fā)展，網(wǎng)絡(luò)在人們?nèi)粘Ｉ钪械膽?yīng)用越來越多重要性越來越大，網(wǎng)絡(luò)攻擊也越來越嚴(yán)重。有一些人專門利用他們掌握的信息技術(shù)知識從事破壞活動，入侵他人計算機(jī)系統(tǒng)竊取！修改和破壞重要信息，給社會造成了巨大的損。隨著攻擊手段的變化，傳統(tǒng)的以身份驗證、加密、防火墻為主的靜態(tài)安全防護(hù)體系已經(jīng)越來越難以適應(yīng)日益變化的網(wǎng)絡(luò)環(huán)境，尤其是授權(quán)用戶的濫用權(quán)利行為，幾乎只有審計才能發(fā)現(xiàn)園網(wǎng)是國內(nèi)最大的網(wǎng)絡(luò)實體，如何保證校園網(wǎng)絡(luò)系統(tǒng)的安全，是擺在我們面前的最重要問題。

因此，校園網(wǎng)對入侵檢測系統(tǒng)也有著特別的需求校園網(wǎng)的特點(diǎn)是在線用戶比率高、上網(wǎng)時間長、用戶流量大、對服務(wù)器訪問量大，這種情況下，校園網(wǎng)絡(luò)面臨著許多安全方面的威脅：

（1）黑客攻擊，特別是假冒源地址的拒絕服務(wù)攻擊屢有發(fā)生攻擊者通過一些簡單的攻擊工具，就可以制造危害嚴(yán)重的網(wǎng)絡(luò)洪流，耗盡網(wǎng)絡(luò)資源或使主機(jī)系統(tǒng)資源遭到攻擊同時，攻擊者常常借助偽造源地址的方法，使網(wǎng)絡(luò)管理員對這種攻擊無可奈何。

（2）病毒和蠕蟲，在高速大容量的局域網(wǎng)絡(luò)中，各種病毒和蠕蟲，不論新舊都很容易通過有漏洞的系統(tǒng)迅速傳播擴(kuò)散"其中，特別是新出現(xiàn)的網(wǎng)絡(luò)蠕蟲，常?？梢栽诒l(fā)初期的幾個小時內(nèi)就閃電般席卷全校，造成網(wǎng)絡(luò)阻塞甚至癱瘓。

（3）濫用網(wǎng)絡(luò)資源，在校園網(wǎng)中總會出現(xiàn)濫用帶寬等資源以致影響其他用戶甚至整個網(wǎng)絡(luò)正常使用的行為如各種掃描、廣播、訪問量過大的視頻下載服務(wù)等等。入侵檢測系統(tǒng)（IntrusionDeteetionSystem，IDS）的出現(xiàn)使得我們可以主動實時地全面防范網(wǎng)絡(luò)攻擊N工DS指從網(wǎng)絡(luò)系統(tǒng)的若干節(jié)點(diǎn)中搜集信息并進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為，并做出適當(dāng)?shù)捻憫?yīng)"它既能檢測出非授權(quán)使用計算機(jī)的用戶，也能檢測出授權(quán)用戶的濫用行為。

IDS按照功能大致可劃分為主機(jī)入侵檢測（HostIDS，HIDS）網(wǎng)絡(luò)入侵檢測（NetworkIDS，NIDS）分布式入侵檢測（DistributedIDS，DIDS）其中，網(wǎng)絡(luò)入侵檢測的特點(diǎn)是成本低，實時地檢測和分析，而且可以檢測到未成功的攻擊企圖"從分析方法的角度可分為異常檢測（Anomaly DeteCtion）和誤用檢測（MISuseDeteCtion）其中誤用檢測是指定義一系列規(guī)則，符合規(guī)則的被認(rèn)為是入侵其優(yōu)點(diǎn)是誤報率低、開銷小、效率高Snort作為IDS的經(jīng)典代表，是基于網(wǎng)絡(luò)和誤用檢測的入侵檢測系統(tǒng)入侵檢測技術(shù)自20世紀(jì)80年代早起提出以來，在早期的入侵檢測系統(tǒng)中，大多數(shù)是基于主機(jī)的，但是在過去的10年間基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)占有主要地位，現(xiàn)在和未來的發(fā)展主流將是混合型和分布式形式的入侵檢測系統(tǒng)。

2 入侵檢測研究現(xiàn)狀

國外機(jī)構(gòu)早在20世紀(jì)80年代就開展了相關(guān)基礎(chǔ)理論研究工作。經(jīng)過20多年的不斷發(fā)展，從最初的一種有價值的研究想法和單純的理論模型，迅速發(fā)展出種類繁多的各種實際原型系統(tǒng)，并且在近10年內(nèi)涌現(xiàn)出許多商用入侵檢測系統(tǒng)，成為計算機(jī)安全防護(hù)領(lǐng)域內(nèi)不可缺少的一種安全防護(hù)技術(shù)。Anderson在1980年的報告“Computer Seeurity Threat Monitoring and Surveillance”中，提出必須改變現(xiàn)有的系統(tǒng)審計機(jī)制，以便為專職系統(tǒng)安全人員提供安全信息，此文被認(rèn)為是有關(guān)入侵檢測的最早論述；1984一1986年，Dorothy E.Denning和Peter G.Neumann聯(lián)合開發(fā)了一個實時IDES（Intrusion DeteCtion Expert System），IDES采用統(tǒng)計分析，異常檢測和專家系統(tǒng)的混合結(jié)構(gòu)，Delming1986年的論文“An Intrusion Deteetion Modelo”，被公認(rèn)為是入侵檢測領(lǐng)域的另一開山之作"。1987年，Dorothy Denning發(fā)表的經(jīng)典論文AnIntursion Deteetion Modelo中提出了入侵檢測的基本模型，并提出了幾種可用于入侵檢測的統(tǒng)計分析模型。Dnening的論文正式啟動了入侵檢測領(lǐng)域的研究工作，在發(fā)展的早期階段，入侵檢測還僅僅是個有趣的研究領(lǐng)域，還沒有獲得計算機(jī)用戶的足夠注意，因為，當(dāng)時的流行做法是將計算機(jī)安全的大部分預(yù)算投入到預(yù)防性的措施上，如：加密、身份驗證和訪問控制等方面，而將檢測和響應(yīng)等排斥在外。到了1996年后，才逐步出現(xiàn)了大量的商用入侵檢測系統(tǒng)。從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進(jìn)展。其中一種主要的異常檢測技術(shù)是神經(jīng)網(wǎng)絡(luò)技術(shù)，此外，如基于貝葉斯網(wǎng)絡(luò)的異常檢測方法，基于模式預(yù)測的異常檢測方法，基于數(shù)據(jù)挖掘的異常檢測方法以及基于計算機(jī)免疫學(xué)的檢測方法也相繼出現(xiàn)，對于誤用入侵檢測也有多種檢測方法，如專家系統(tǒng)（expert system），特征分析（Signature analysis），狀態(tài)轉(zhuǎn)移分析（State transition analysis）等.

入侵檢測系統(tǒng)的典型代表是ISSInc（國際互聯(lián)網(wǎng)安全系統(tǒng)公司）Rea1Secure產(chǎn)品。較為著名的商用入侵檢測產(chǎn)品還有：NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前，普渡大學(xué)、加州大學(xué)戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這些方面的研究代表了當(dāng)前的最高水平。隨著計算機(jī)系統(tǒng)軟、硬件的飛速發(fā)展，以及網(wǎng)絡(luò)技術(shù)、分布式計算！系統(tǒng)工程！人工智能等計算機(jī)新興技術(shù)與理論的不斷發(fā)展與完善，入侵檢測理論本身也處于發(fā)展變化中，但還未形成一個比較完整的理論體系。

在國內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多，更需要具有自主版權(quán)的入侵檢測產(chǎn)品。我國在這方面的研究相對晚，國內(nèi)的該類產(chǎn)品較少，但發(fā)展較快，己有總參北方所、中科網(wǎng)威、啟明星辰，H3C等公司推出產(chǎn)品。至今日入侵檢測技術(shù)仍然改變了以往被動防御的特點(diǎn)，使網(wǎng)絡(luò)管理員能夠主動地實時跟蹤各種危害系統(tǒng)安全的入侵行為并做出及時的響應(yīng)，尤其在抵御網(wǎng)絡(luò)內(nèi)部人員的破壞時更有獨(dú)到的特點(diǎn)，因而成為了防火墻之后的又一道安全防線。

隨著互聯(lián)網(wǎng)的進(jìn)一步普及和深入，入侵檢測技術(shù)有著更廣泛的發(fā)展前途和實際價值。盡管問題尚存，但希望更大，相信目前正在研究的大規(guī)模分布式入侵檢測系統(tǒng)、基于多傳感器的數(shù)據(jù)融合、基于計算機(jī)免疫技術(shù)、基于神經(jīng)網(wǎng)絡(luò)及基于遺傳算法等的新一代入侵檢測系統(tǒng)一定能夠解決目前面臨到種種問題，更好地完成抵御入侵的任務(wù)。

3 未來和展望

隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的不斷增長，如何在校園網(wǎng)多校區(qū)乃至異構(gòu)網(wǎng)絡(luò)環(huán)境下收集和處理分布在網(wǎng)絡(luò)各處的不同格式信息！如何進(jìn)行管理域間的合作以及保證在局部入侵檢測失效的情況下維持系統(tǒng)整體安全等"同時，伴隨著大量諸如高速/超高速接入手段的出現(xiàn)，如何實現(xiàn)高速/超高速網(wǎng)絡(luò)下的實時入侵檢測。降低丟包率也成為一個現(xiàn)實的問題，面對G級的網(wǎng)絡(luò)數(shù)據(jù)流量，傳統(tǒng)的軟件結(jié)構(gòu)和算法都需要重新設(shè)計；開發(fā)和設(shè)計適當(dāng)?shù)膶Ｓ糜布渤蔀檠芯糠较蛑?時至今日，入侵檢測系統(tǒng)的評估測試方面仍然不成熟，如何對入侵檢測系統(tǒng)進(jìn)行評估是一個重要而敏感的話題。

參考文獻(xiàn)

[1]董明明，鞏青歌.Snort規(guī)則集的優(yōu)化方法.計算機(jī)安全.2009.8：35-37

[2]陳欣.構(gòu)建基于snort的局域網(wǎng)入侵檢測系統(tǒng)：〔碩士學(xué)位論文〕.貴州：貴州大學(xué)計算軟件與理論，2008

[3]馬恒太，蔣建春，陳偉鋒等.基于Agent的分布式入侵檢測系統(tǒng)模型.軟件學(xué)報Vol.11，No.10，P1314一1319，2001