張黎明　呂海杰

摘 要：本文通過(guò)網(wǎng)絡(luò)現(xiàn)狀的分析，特別是校園網(wǎng)中存在的入侵形式的描述，引入了入侵檢測(cè)技術(shù)的現(xiàn)狀為以后應(yīng)對(duì)校園網(wǎng)絡(luò)出現(xiàn)的問(wèn)題指明了方向，同時(shí)也指出了入侵技術(shù)研究方面的不足，為下一步研究奠定了基礎(chǔ)。

關(guān)鍵詞：校園網(wǎng)絡(luò)；黑客攻擊；入侵技術(shù)

1 校園網(wǎng)絡(luò)安全現(xiàn)狀

隨著網(wǎng)絡(luò)應(yīng)用的普及，電子商務(wù)！電子銀行和電子政務(wù)等網(wǎng)絡(luò)服務(wù)的大力發(fā)展，網(wǎng)絡(luò)在人們?nèi)粘Ｉ钪械膽?yīng)用越來(lái)越多重要性越來(lái)越大，網(wǎng)絡(luò)攻擊也越來(lái)越嚴(yán)重。有一些人專(zhuān)門(mén)利用他們掌握的信息技術(shù)知識(shí)從事破壞活動(dòng)，入侵他人計(jì)算機(jī)系統(tǒng)竊??！修改和破壞重要信息，給社會(huì)造成了巨大的損。隨著攻擊手段的變化，傳統(tǒng)的以身份驗(yàn)證、加密、防火墻為主的靜態(tài)安全防護(hù)體系已經(jīng)越來(lái)越難以適應(yīng)日益變化的網(wǎng)絡(luò)環(huán)境，尤其是授權(quán)用戶(hù)的濫用權(quán)利行為，幾乎只有審計(jì)才能發(fā)現(xiàn)園網(wǎng)是國(guó)內(nèi)最大的網(wǎng)絡(luò)實(shí)體，如何保證校園網(wǎng)絡(luò)系統(tǒng)的安全，是擺在我們面前的最重要問(wèn)題。

因此，校園網(wǎng)對(duì)入侵檢測(cè)系統(tǒng)也有著特別的需求校園網(wǎng)的特點(diǎn)是在線用戶(hù)比率高、上網(wǎng)時(shí)間長(zhǎng)、用戶(hù)流量大、對(duì)服務(wù)器訪問(wèn)量大，這種情況下，校園網(wǎng)絡(luò)面臨著許多安全方面的威脅：

（1）黑客攻擊，特別是假冒源地址的拒絕服務(wù)攻擊屢有發(fā)生攻擊者通過(guò)一些簡(jiǎn)單的攻擊工具，就可以制造危害嚴(yán)重的網(wǎng)絡(luò)洪流，耗盡網(wǎng)絡(luò)資源或使主機(jī)系統(tǒng)資源遭到攻擊同時(shí)，攻擊者常常借助偽造源地址的方法，使網(wǎng)絡(luò)管理員對(duì)這種攻擊無(wú)可奈何。

（2）病毒和蠕蟲(chóng)，在高速大容量的局域網(wǎng)絡(luò)中，各種病毒和蠕蟲(chóng)，不論新舊都很容易通過(guò)有漏洞的系統(tǒng)迅速傳播擴(kuò)散"其中，特別是新出現(xiàn)的網(wǎng)絡(luò)蠕蟲(chóng)，常?？梢栽诒l(fā)初期的幾個(gè)小時(shí)內(nèi)就閃電般席卷全校，造成網(wǎng)絡(luò)阻塞甚至癱瘓。

（3）濫用網(wǎng)絡(luò)資源，在校園網(wǎng)中總會(huì)出現(xiàn)濫用帶寬等資源以致影響其他用戶(hù)甚至整個(gè)網(wǎng)絡(luò)正常使用的行為如各種掃描、廣播、訪問(wèn)量過(guò)大的視頻下載服務(wù)等等。入侵檢測(cè)系統(tǒng)（IntrusionDeteetionSystem，IDS）的出現(xiàn)使得我們可以主動(dòng)實(shí)時(shí)地全面防范網(wǎng)絡(luò)攻擊N工DS指從網(wǎng)絡(luò)系統(tǒng)的若干節(jié)點(diǎn)中搜集信息并進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為，并做出適當(dāng)?shù)捻憫?yīng)"它既能檢測(cè)出非授權(quán)使用計(jì)算機(jī)的用戶(hù)，也能檢測(cè)出授權(quán)用戶(hù)的濫用行為。

IDS按照功能大致可劃分為主機(jī)入侵檢測(cè)（HostIDS，HIDS）網(wǎng)絡(luò)入侵檢測(cè)（NetworkIDS，NIDS）分布式入侵檢測(cè)（DistributedIDS，DIDS）其中，網(wǎng)絡(luò)入侵檢測(cè)的特點(diǎn)是成本低，實(shí)時(shí)地檢測(cè)和分析，而且可以檢測(cè)到未成功的攻擊企圖"從分析方法的角度可分為異常檢測(cè)（Anomaly DeteCtion）和誤用檢測(cè)（MISuseDeteCtion）其中誤用檢測(cè)是指定義一系列規(guī)則，符合規(guī)則的被認(rèn)為是入侵其優(yōu)點(diǎn)是誤報(bào)率低、開(kāi)銷(xiāo)小、效率高Snort作為IDS的經(jīng)典代表，是基于網(wǎng)絡(luò)和誤用檢測(cè)的入侵檢測(cè)系統(tǒng)入侵檢測(cè)技術(shù)自20世紀(jì)80年代早起提出以來(lái)，在早期的入侵檢測(cè)系統(tǒng)中，大多數(shù)是基于主機(jī)的，但是在過(guò)去的10年間基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)占有主要地位，現(xiàn)在和未來(lái)的發(fā)展主流將是混合型和分布式形式的入侵檢測(cè)系統(tǒng)。

2 入侵檢測(cè)研究現(xiàn)狀

國(guó)外機(jī)構(gòu)早在20世紀(jì)80年代就開(kāi)展了相關(guān)基礎(chǔ)理論研究工作。經(jīng)過(guò)20多年的不斷發(fā)展，從最初的一種有價(jià)值的研究想法和單純的理論模型，迅速發(fā)展出種類(lèi)繁多的各種實(shí)際原型系統(tǒng)，并且在近10年內(nèi)涌現(xiàn)出許多商用入侵檢測(cè)系統(tǒng)，成為計(jì)算機(jī)安全防護(hù)領(lǐng)域內(nèi)不可缺少的一種安全防護(hù)技術(shù)。Anderson在1980年的報(bào)告“Computer Seeurity Threat Monitoring and Surveillance”中，提出必須改變現(xiàn)有的系統(tǒng)審計(jì)機(jī)制，以便為專(zhuān)職系統(tǒng)安全人員提供安全信息，此文被認(rèn)為是有關(guān)入侵檢測(cè)的最早論述；1984一1986年，Dorothy E.Denning和Peter G.Neumann聯(lián)合開(kāi)發(fā)了一個(gè)實(shí)時(shí)IDES（Intrusion DeteCtion Expert System），IDES采用統(tǒng)計(jì)分析，異常檢測(cè)和專(zhuān)家系統(tǒng)的混合結(jié)構(gòu)，Delming1986年的論文“An Intrusion Deteetion Modelo”，被公認(rèn)為是入侵檢測(cè)領(lǐng)域的另一開(kāi)山之作"。1987年，Dorothy Denning發(fā)表的經(jīng)典論文AnIntursion Deteetion Modelo中提出了入侵檢測(cè)的基本模型，并提出了幾種可用于入侵檢測(cè)的統(tǒng)計(jì)分析模型。Dnening的論文正式啟動(dòng)了入侵檢測(cè)領(lǐng)域的研究工作，在發(fā)展的早期階段，入侵檢測(cè)還僅僅是個(gè)有趣的研究領(lǐng)域，還沒(méi)有獲得計(jì)算機(jī)用戶(hù)的足夠注意，因?yàn)?，?dāng)時(shí)的流行做法是將計(jì)算機(jī)安全的大部分預(yù)算投入到預(yù)防性的措施上，如：加密、身份驗(yàn)證和訪問(wèn)控制等方面，而將檢測(cè)和響應(yīng)等排斥在外。到了1996年后，才逐步出現(xiàn)了大量的商用入侵檢測(cè)系統(tǒng)。從20世紀(jì)90年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)展。其中一種主要的異常檢測(cè)技術(shù)是神經(jīng)網(wǎng)絡(luò)技術(shù)，此外，如基于貝葉斯網(wǎng)絡(luò)的異常檢測(cè)方法，基于模式預(yù)測(cè)的異常檢測(cè)方法，基于數(shù)據(jù)挖掘的異常檢測(cè)方法以及基于計(jì)算機(jī)免疫學(xué)的檢測(cè)方法也相繼出現(xiàn)，對(duì)于誤用入侵檢測(cè)也有多種檢測(cè)方法，如專(zhuān)家系統(tǒng)（expert system），特征分析（Signature analysis），狀態(tài)轉(zhuǎn)移分析（State transition analysis）等.

入侵檢測(cè)系統(tǒng)的典型代表是ISSInc（國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司）Rea1Secure產(chǎn)品。較為著名的商用入侵檢測(cè)產(chǎn)品還有：NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前，普渡大學(xué)、加州大學(xué)戴維斯分校、洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這些方面的研究代表了當(dāng)前的最高水平。隨著計(jì)算機(jī)系統(tǒng)軟、硬件的飛速發(fā)展，以及網(wǎng)絡(luò)技術(shù)、分布式計(jì)算！系統(tǒng)工程！人工智能等計(jì)算機(jī)新興技術(shù)與理論的不斷發(fā)展與完善，入侵檢測(cè)理論本身也處于發(fā)展變化中，但還未形成一個(gè)比較完整的理論體系。

在國(guó)內(nèi)，隨著上網(wǎng)的關(guān)鍵部門(mén)、關(guān)鍵業(yè)務(wù)越來(lái)越多，更需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品。我國(guó)在這方面的研究相對(duì)晚，國(guó)內(nèi)的該類(lèi)產(chǎn)品較少，但發(fā)展較快，己有總參北方所、中科網(wǎng)威、啟明星辰，H3C等公司推出產(chǎn)品。至今日入侵檢測(cè)技術(shù)仍然改變了以往被動(dòng)防御的特點(diǎn)，使網(wǎng)絡(luò)管理員能夠主動(dòng)地實(shí)時(shí)跟蹤各種危害系統(tǒng)安全的入侵行為并做出及時(shí)的響應(yīng)，尤其在抵御網(wǎng)絡(luò)內(nèi)部人員的破壞時(shí)更有獨(dú)到的特點(diǎn)，因而成為了防火墻之后的又一道安全防線。

隨著互聯(lián)網(wǎng)的進(jìn)一步普及和深入，入侵檢測(cè)技術(shù)有著更廣泛的發(fā)展前途和實(shí)際價(jià)值。盡管問(wèn)題尚存，但希望更大，相信目前正在研究的大規(guī)模分布式入侵檢測(cè)系統(tǒng)、基于多傳感器的數(shù)據(jù)融合、基于計(jì)算機(jī)免疫技術(shù)、基于神經(jīng)網(wǎng)絡(luò)及基于遺傳算法等的新一代入侵檢測(cè)系統(tǒng)一定能夠解決目前面臨到種種問(wèn)題，更好地完成抵御入侵的任務(wù)。

3 未來(lái)和展望

隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的不斷增長(zhǎng)，如何在校園網(wǎng)多校區(qū)乃至異構(gòu)網(wǎng)絡(luò)環(huán)境下收集和處理分布在網(wǎng)絡(luò)各處的不同格式信息！如何進(jìn)行管理域間的合作以及保證在局部入侵檢測(cè)失效的情況下維持系統(tǒng)整體安全等"同時(shí)，伴隨著大量諸如高速/超高速接入手段的出現(xiàn)，如何實(shí)現(xiàn)高速/超高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)。降低丟包率也成為一個(gè)現(xiàn)實(shí)的問(wèn)題，面對(duì)G級(jí)的網(wǎng)絡(luò)數(shù)據(jù)流量，傳統(tǒng)的軟件結(jié)構(gòu)和算法都需要重新設(shè)計(jì)；開(kāi)發(fā)和設(shè)計(jì)適當(dāng)?shù)膶?zhuān)用硬件也成為研究方向之一"時(shí)至今日，入侵檢測(cè)系統(tǒng)的評(píng)估測(cè)試方面仍然不成熟，如何對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行評(píng)估是一個(gè)重要而敏感的話題。

參考文獻(xiàn)

[1]董明明，鞏青歌.Snort規(guī)則集的優(yōu)化方法.計(jì)算機(jī)安全.2009.8：35-37

[2]陳欣.構(gòu)建基于snort的局域網(wǎng)入侵檢測(cè)系統(tǒng)：〔碩士學(xué)位論文〕.貴州：貴州大學(xué)計(jì)算軟件與理論，2008

[3]馬恒太，蔣建春，陳偉鋒等.基于Agent的分布式入侵檢測(cè)系統(tǒng)模型.軟件學(xué)報(bào)Vol.11，No.10，P1314一1319，2001