◆張拓 隋新

?

入侵檢測技術(shù)在校園網(wǎng)中的應(yīng)用

◆張拓 隋新通訊作者

（東北師范大學(xué)人文學(xué)院 吉林 130117）

校園網(wǎng)在推進(jìn)教育信息化進(jìn)程中發(fā)揮著積極的作用，隨著教育信息化的不斷推進(jìn)，使得高校網(wǎng)絡(luò)建設(shè)迅速發(fā)展，其規(guī)模也在不斷的擴(kuò)大。然而網(wǎng)絡(luò)本身具有可開發(fā)性，這就無疑給校園網(wǎng)的安全帶來了威脅。為確保校園網(wǎng)絡(luò)及其信息系統(tǒng)的安全、穩(wěn)定、高效運(yùn)行，校園網(wǎng)的安全問題不容忽視。本文將主要介紹了入侵檢測技術(shù)的相關(guān)知識及如何在校園網(wǎng)中部署入侵檢測檢測系統(tǒng)，以便提高系統(tǒng)的穩(wěn)定性能與安全性能。

校園網(wǎng)；威脅；安全；入侵檢測技術(shù)

0 引言

校園網(wǎng)不但為教學(xué)、科研和生活提供基本的網(wǎng)絡(luò)環(huán)境，同時也是信息化建設(shè)和發(fā)展的基礎(chǔ)所在，校園網(wǎng)的正常運(yùn)作關(guān)系著科研，教學(xué)的是否能夠順利開展，以及學(xué)校是否能夠安全穩(wěn)定地建設(shè)。但是由于校園網(wǎng)自身存在的安全漏洞、外部威脅不斷增長、網(wǎng)絡(luò)內(nèi)接入的設(shè)備數(shù)目龐大且結(jié)構(gòu)復(fù)雜、內(nèi)部用戶安全意識薄弱、安全防范措施不足等原因，高等院校網(wǎng)絡(luò)安全狀況不容客觀，只有解決這些問題，才能使校園網(wǎng)真正服務(wù)于教學(xué)、科研和生活。

1 入侵檢測系統(tǒng)

1.1入侵檢測系統(tǒng)的作用

入侵檢測作為一種積極主動的安全防護(hù)工具，提供了對內(nèi)部攻擊、外部和誤操作的實(shí)時防護(hù)，在計算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前進(jìn)行報警、響應(yīng)和攔截。它具有以下主要作用：

（1）通過檢測和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，防止網(wǎng)絡(luò)入侵事件的發(fā)生。

（2）檢測其他安全措施未能阻止的攻擊或安全違規(guī)行為。

（3）檢測黑客在攻擊前的探測行為，預(yù)先給管理員發(fā)出報警。

（4）報告計算機(jī)系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅。

（5）提供有關(guān)攻擊信息，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點(diǎn)，便于進(jìn)行安全漏洞的修補(bǔ)。

（6）在大型復(fù)雜的計算機(jī)網(wǎng)路中部署入侵檢測系統(tǒng)，可顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。

1.2入侵檢測過程

入侵檢測過程分為四部分：信息收集、信息分析、信息存儲和結(jié)果處理。

（1）信息收集：入侵檢測過程的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。

（2）信息分析：一般通過三種技術(shù)手段（模式匹配、統(tǒng)計分析和完整性分析）對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息進(jìn)行分析，試圖尋找入侵活動的特征，判斷是否發(fā)生入侵。當(dāng)檢測到有入侵活動或誤操作時，產(chǎn)生一個告警并發(fā)給控制臺。

（3）信息存儲：當(dāng)入侵檢測系統(tǒng)捕獲到有攻擊發(fā)生時，為了便于系統(tǒng)管理人員對攻擊信息進(jìn)行查看和對攻擊行為進(jìn)行分析，還需要將入侵檢測系統(tǒng)收集到的信息進(jìn)行保存，這些信息通常存儲到用戶指定的日志文件中，同時存儲的信息也為攻擊保留了證據(jù)。

1.3入侵檢測系統(tǒng)部署

防火墻將內(nèi)部可信任區(qū)域與外部危險區(qū)域有效隔離，為網(wǎng)絡(luò)邊界提供保護(hù)，是抵御入侵的有效手段。入侵檢測系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行檢測，從而及時發(fā)現(xiàn)內(nèi)部攻擊含有的攻擊企圖、系統(tǒng)漏洞及識別網(wǎng)絡(luò)中發(fā)生的入侵行為并報警，也能發(fā)現(xiàn)內(nèi)部的惡意破壞行為，但不可以發(fā)現(xiàn)外部的攻擊。入侵檢測系統(tǒng)通過提供快速響應(yīng)機(jī)制，將指令發(fā)送給防火墻，防火墻馬上關(guān)閉通訊連接，從而阻斷入侵，減少入侵攻擊所造成的損失。

校園網(wǎng)絡(luò)通過黑盾防火墻設(shè)備街區(qū)互聯(lián)網(wǎng)，在網(wǎng)絡(luò)內(nèi)部核心交換機(jī)設(shè)備上連接一臺入侵檢測系統(tǒng)主機(jī)，通過配置交換機(jī)的端口鏡像功能，使入侵檢測主機(jī)可以監(jiān)控所有來自網(wǎng)絡(luò)內(nèi)部和外部的數(shù)據(jù)流。并通過設(shè)置入侵檢測規(guī)則，完成對異常的網(wǎng)絡(luò)攻擊或入侵進(jìn)行報警。黑盾防火墻通過接口GE1/01接入華為S9303核心交換機(jī)，入侵檢測主機(jī)通過接口GE1/0/2接入華為S9303核心交換機(jī)。借助本地端口鏡像功能來實(shí)現(xiàn)入侵檢測主機(jī)對防火墻進(jìn)出數(shù)據(jù)流進(jìn)行監(jiān)控。

入侵檢測系統(tǒng)關(guān)鍵要制定好安全策略，包括配置、記錄、審計和報告等，并根據(jù)需要改變策略。入侵檢測系統(tǒng)存在的一個主要問題是入侵檢測系統(tǒng)不會主動在攻擊前阻止這些攻擊。同時，許多入侵檢測系統(tǒng)是基于標(biāo)識判斷的，它們不能檢測到新的攻擊或老式攻擊的變形，也不能對加密流量中的攻擊進(jìn)行檢測。這時，必須制定一個事件響應(yīng)的過程以確保一旦針對校園網(wǎng)絡(luò)的惡意企圖發(fā)生時，有一個可參照的標(biāo)準(zhǔn)。經(jīng)常利用殺毒軟件進(jìn)行漏洞檢測和掃描，以確保入侵檢測系統(tǒng)和其它安全措施的執(zhí)行情況。防火墻和路由器審查應(yīng)每季度完成一次，以確保配置的準(zhǔn)確和完整。

2 總結(jié)

入侵檢測系統(tǒng)作為一種積極主動的安全防護(hù)工具，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時防護(hù)，在計算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前進(jìn)行報警、攔截和響應(yīng)。提高了網(wǎng)絡(luò)安全系統(tǒng)的防護(hù)能力。當(dāng)然，入侵檢測系統(tǒng)并不是一個防范工具，它并不能阻斷攻擊。如果入侵檢測系統(tǒng)和其他硬件（如防火墻）軟件（殺毒軟件）在功能上實(shí)現(xiàn)聯(lián)動，進(jìn)行很好地配合，將大大提高網(wǎng)絡(luò)系統(tǒng)的安全性。

[1]網(wǎng)絡(luò)與信息安全基礎(chǔ)[M].北京理工大學(xué)出版社，2008.

[2]小泉修著.葉明，張巍譯.互聯(lián)網(wǎng)基礎(chǔ)（日）[M].北京:科學(xué)出版社，2004.

[3]安繼芳，李海建.網(wǎng)絡(luò)安全應(yīng)用技術(shù)[M].北京:人民郵電出版社，2007.

項目支持：吉林省大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計劃創(chuàng)新訓(xùn)練項目“入侵檢測技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用研究”。項目編號：20171366200。