| 标题 | 高校校园网入侵检测分析与应用 |
| 范文 | 摘要:高校校园网作为学校的信息平台,经常会受到来自校园外部黑客以及内部学生的攻击,通过入侵防御系统实现对校园网的监控及遇到攻击时如何自动保护校园网不受影响。通过入侵检测来保障校园网信息安全的方法,对入侵检测的分类也进行相应的研究,分析了入侵检测的功能,分析了入侵检测策略制定的重要性,以及在网络中放置入侵检测设备的位置提出了一些意见和看法。 关键词:校园网 ?信息安全 ?入侵检测 0 引言 随着国内高校信息化进程的不断发展,国内高校校园网上运行的应用系统不断增加,校园的信息系统变得复杂并且庞大,甚至一些高校将非常重要的科研成果、科研课题、重要课件和技术资料都保存在校园网的文件服务器之内,如何确保校园网信息安全是所有高校的首要任务,目前高校校园网络信息安全正在遭受病毒、黑客攻击、拒绝服务攻击及各种最新产生的攻击[1],校园网使用了大量服务器、相关应用软件和数据库从而组成了校园网信息服务系统,其中包括了Web,FTP、办公自动化、邮件服务器等。这些服务器也成为了攻击的对象,而且随着学院网络出口带宽不断加大,应用服务系统逐渐增多,校园网用户数量急剧上升,和校园网相关的信息安全问也逐渐浮现出来,一些高校对信息安全的管理不重视,相关信息安全管理人员的防范意识不强,这使攻击者就有机可乘,还有一些高校缺乏保障信息系统安全的相应的硬件设备,信息安全投入资金过少,更有甚者没有预算,设备老化,破绽百出。并且如果信息系统软硬件存在漏洞的话不但会引起系统故障瘫痪,还会被一些黑客用来作为攻击的目标。应用软件的漏洞也会造成计算机信息系统的故障,还会降低系统安全性能,而网络设备如果不定期更新软件硬件也给黑客提供了攻击的机会。据不完全统计,全球几乎所有高校的服务器都受到过黑客的攻击和网站木马植入,由此可见高校信息安全已经是迫在眉睫急需处理的首要工作。入侵检测系统(IDS)可以及时发现校园网中的不安全因素,并在第一时间发出警报通知相关工作人员。当然入侵检测系统(IDS)也存在相应的不足之处就是IDS系统是以被动的方式工作只能检测攻击而不能阻止攻击[2]。 1 入侵检测分类 入侵检测(IDS)可以实现对网络里面传输的数据进行实时监视,如果网络里面出现不安全传输时将会报警,如果预先做了策略的话甚至会主动采取措施,这种设备独到之处在于可以对网络主动进行防御和防护。入侵检测主要分为以下几类。 1.1 基于主机的入侵检测技术 基于主机的入侵检测系统通过软件包的形式安装在受保护的主机,并通过提取保护系统数据的操作并执行入侵检测功能分析[3]。用于保护单个主机不被网络攻击,其主要目的是防止滥用测试攻击,关闭对关键数据访问和修改,安全配置的变化。在一开始入侵检测系统就会建立一个安全基准档案,系统文件一旦发生变化后就说明出现情况,因为该操作系统已被删除不会是随意的,并在一定程度上也能实现安全恢复功能。 1.2 基于网络的入侵检测技术 基于网络的入侵检测系统可以监控网络上所有的会话,它是一个独立的硬件设备,首先收集网络里一些可用信息,建立正常网络基准,以此作为分析网络的依据,一旦检测到入侵,响应模块提供了多种响应模式,可以采用响应、报警和通知,也可以让其直接作出动作阻止入侵,还可以发短信通知网络管理员,日志记录入侵过程。 1.3 混合型的入侵检测技术 基于网络和基于主机的入侵检测系统各有所长,伴随着网络不断的发展,网络入侵技术可以说是千奇百怪层出不穷,不再是像从前一个单一的入侵活动的行为,但实际情况显示合作的入侵,和不同类型的入侵检测系统之间需要共享优势,互补缺陷,协同测试,因此,可以结合多种入侵检测技术和方法,进行更加准确地识别和定位,让攻击者无处可躲,实现信息安全的不可抵赖性,这是形成混合的分布式入侵检测系统的目的。基于全面的网络和两种结构,基于主机的入侵检测系统的特点,可以使用网络上的数据进行检测分析,也可以使用主机系统的高级别活动来发现可能的入侵和攻击,这两种技术可以说是相辅相成的,也可以在网络入侵检测系统或是主机入侵检测系统的日志中发现异常情况。 2 入侵检测系统功能分析 基于以上的分析,如图1所示,服务于云南工商学院校园网的入侵检测系统(Intrusion Detection System,IDS)必须满足以下需求。 ■ 2.1 分布式结构 校园网用户非常多,日常网络流量非常之大,如果在入口上安装入侵检测设备会给网络带来瓶颈现象,因为数据量过大,入侵检测设备无法处理。使用分布式的体系结构就可以分散检测压力,分布式监控采集,统一的处理,在大型网络里一般都使用这种分布式的入侵检测体系架构[4]。 2.2 误用检测功能 当今入侵检测的主流技术是误用检测,一个好的误用检测系统关键是看其特征库是否完备。由于校园网环境的复杂性,这就需要特征库中包含常见攻击的种类以供误用检测使用。 2.3 异常检测功能 一旦出现未知的攻击,就必须采用异常检测功能弥补误用检测的不足,因为未知的攻击是不会出现在特征库里面的。 2.4 攻击源追踪 对于假冒源地址的分布式拒绝服务(DDoS)攻击,需要找到一种方式来定位攻击者的位置,尤其是来自校园网内部发起的攻击,要能够快速的对其定位,找到攻击者所在的物理位置。 3 入侵检测的应用 如图2所示云南工商学院选用的入侵检测设备是绿盟ICEYE-1200D-01,它主要为校园网信息安全提供了一些几个功能。 3.1 入侵检测 对缓冲区溢出、SQL注入、暴力猜测、D.o.S攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测及报警[5],并和防火墙共同实现动态防御功能。 3.2 Web安全 可以检测出互联网上一些挂马网站,并将其屏蔽,如果用户访问后被植入木马等恶意代码等,入侵检测系统将会发出警告消息,同时更新信誉库里面的信息,并进行安全日志记录。 3.3 流量分析 分析并且统计当前网络中各种数据流量大小,生成各种报表,让管理员可以一目了然的获取网络流量实时信息,根据此结果及时调整网络带宽分配,保证校园网内的关键业务能够正常使用。 3.4 上网监测 入侵检测系统对校园网内的流量实时检测,一旦发现有违规使用网络的学生可根据IP地址定位,并采取警告或关闭端口等手段保证网络带宽不被滥用。 4 结束语 云南工商学院校园网通过使用绿盟入侵检测系统,可以提升整个校园网信息安全,在信息被篡改,泄露之前就有所预警,这样就保证了校园网信息安全的完整性、可用性以及不可抵赖性。结合学校原有防火墙静态防御功能,可以进一步提升校园网信息安全使防护体系由静态到动态,由平面到立体,提升了防火墙的机动性和实时反应能力,也增强了IDS的阻断功能[6]。 参考文献: [1]刘刚.高校校园网安全问题解析[J].铜陵学院学报,2006(1):90-91. [2]尹传勇,刘寿强,蒋建勋.从IDS到IPS的主动防御体系研究[J].计算机安全,2003(9):22-24. [3]李剑,王佳楠,李春玲.一种基于Agent 的并行分布式四层入侵检测系统体系结构[J].计算机工程与应用,2008,38(17):49-51. [4]Chebrolu S,Abraham A,Thomas J P.Feature deduction and ensemble design of intrusion detection system [J].Computer & Security,2005,24(4):295-307. [5]费洪晓,戴宏伟.基于协议分析的入侵检测系统设计与实现[J].信息技术,2007(3):10-11. [6]张兴东,胡华平,况晓辉,等.防火墙与入侵捡测系统联动的研究与实现[J].计算机工程与科学,2004,26(4):22-26. 作者简介:黄海军(1977-),男,云南昆明人,讲师,硕士,主要从事网络信息安全方面的研究。 |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。