楊贛川

摘要：隨著高校教育信息化建設(shè)日漸成熟，校園網(wǎng)絡(luò)環(huán)境變得更為錯(cuò)綜復(fù)雜，由此帶來的網(wǎng)絡(luò)安全隱患不言而喻。僅依靠防火墻技術(shù)來保衛(wèi)校園網(wǎng)絡(luò)安全顯得勢(shì)單力薄，構(gòu)建入侵檢測(cè)系統(tǒng)是校園網(wǎng)絡(luò)安全防御的另一重要手段。該文研究入侵檢測(cè)系統(tǒng)的理論、設(shè)計(jì)與實(shí)現(xiàn)，結(jié)合防火墻、入侵防御等技術(shù)，探究校園信息化環(huán)境下的全網(wǎng)絡(luò)安全預(yù)警體系。

關(guān)鍵詞：入侵檢測(cè)系統(tǒng)；IDS；網(wǎng)絡(luò)安全；防火墻

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）20-0053-02

自教育部頒布《教育信息化十年發(fā)展規(guī)劃（2011-2020年）》后，全國(guó)各高校信息化建設(shè)和發(fā)展如日中天。校園信息化為高校師生提供高效、快捷、便利的教學(xué)和生活服務(wù)，學(xué)校辦公、教師授課、學(xué)生學(xué)習(xí)、日常生活等都越來越離不開信息化。由此產(chǎn)生的信息化安全問題不容忽視，以前網(wǎng)絡(luò)安全措施一般是通過防火墻對(duì)校內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測(cè)，是數(shù)據(jù)進(jìn)出的安全關(guān)卡。傳統(tǒng)的網(wǎng)絡(luò)防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)都很成熟，但是已不能完全勝任當(dāng)前的復(fù)雜的網(wǎng)絡(luò)環(huán)境，今后的校園網(wǎng)絡(luò)安全技術(shù)重點(diǎn)應(yīng)該轉(zhuǎn)向全程安全，需要能夠主動(dòng)防御的、自動(dòng)預(yù)警的、動(dòng)態(tài)的信息安全技術(shù)作為防火墻的有力補(bǔ)充，即構(gòu)建校園網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，形成校園網(wǎng)全局網(wǎng)絡(luò)安全預(yù)警機(jī)制[1]。

1 校園信息化與入侵檢測(cè)系統(tǒng)

1.1 校園信息化的內(nèi)涵

校園信息化是在校園內(nèi)，以先進(jìn)的教育思想為指導(dǎo)，以網(wǎng)絡(luò)為基礎(chǔ)，結(jié)合信息技術(shù)，針對(duì)教學(xué)、科研和管理深入開發(fā)資源共享，廣泛利用信息資源為師生提供學(xué)習(xí)交流環(huán)境，提高教育教學(xué)效率和質(zhì)量，擴(kuò)展學(xué)校的管理與服務(wù)功能，實(shí)現(xiàn)教育過程全面信息化，旨在全面提高教學(xué)質(zhì)量、科研和管理水平與效率。

1.2 入侵檢測(cè)系統(tǒng)概念與分類

入侵檢測(cè)系統(tǒng)（ Intrusion Detect ion System， IDS） 是通過收集分析網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中一些重要節(jié)點(diǎn)傳輸?shù)男畔?，發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，采取安全防御和預(yù)警措施，有效保護(hù)系統(tǒng)數(shù)據(jù)不外泄、修改和破壞，阻止外部攻擊行為，監(jiān)視校園網(wǎng)內(nèi)部用戶的未授權(quán)活動(dòng)，彌補(bǔ)了防火墻技術(shù)的不足，是校園網(wǎng)絡(luò)的又一安全保障[2]。

入侵檢測(cè)系統(tǒng)根據(jù)檢測(cè)方法的區(qū)別可分為基于異常的IDS系統(tǒng)、基于誤用的IDS系統(tǒng)，異常入侵檢測(cè)是將可疑行為與用戶事先設(shè)置好的異常閾值做比較來判斷行為的安全性，主要有基于統(tǒng)計(jì)、神經(jīng)網(wǎng)絡(luò)、規(guī)則等檢查方法；誤用入侵檢測(cè)將人們知曉的系統(tǒng)缺陷和攻擊策略統(tǒng)計(jì)形成入侵行為規(guī)則表，然后將傳輸?shù)臄?shù)據(jù)與之匹配，匹配成功系統(tǒng)就觸發(fā)一個(gè)警告。

入侵檢測(cè)系統(tǒng)按檢測(cè)對(duì)象不同可劃分為基于網(wǎng)絡(luò)和主機(jī)兩種，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）是通過監(jiān)聽網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，使用分析網(wǎng)絡(luò)統(tǒng)計(jì)、特征匹配及網(wǎng)絡(luò)協(xié)議等方法判斷和防御網(wǎng)絡(luò)入侵；基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）是通過檢測(cè)主機(jī)的日志文件、審計(jì)記錄、進(jìn)程狀態(tài)、CPU使用率等信息來防御網(wǎng)絡(luò)攻擊。

2 校園信息化建設(shè)中入侵檢測(cè)系統(tǒng)部署與構(gòu)建

校園網(wǎng)是學(xué)校信息化的核心支撐平臺(tái)，在學(xué)生宿舍區(qū)、教師教學(xué)區(qū)、行政辦公區(qū)、教師生活區(qū)都發(fā)揮重要的作用，信息化建設(shè)過程中入侵檢測(cè)系統(tǒng)規(guī)劃顯得尤為重要。根據(jù)校園網(wǎng)拓?fù)浣Y(jié)構(gòu)和規(guī)模的不同可分為集中式入侵檢測(cè)系統(tǒng)和分布式入侵檢測(cè)系統(tǒng)。集中式入侵檢測(cè)系統(tǒng)適用于小型網(wǎng)絡(luò)，使用一臺(tái)主機(jī)處理所有入侵檢測(cè)，當(dāng)一個(gè)IDS遭到攻擊而失效校園網(wǎng)就將陷入癱瘓，這種入侵檢測(cè)系統(tǒng)是校園網(wǎng)絡(luò)瓶頸，已不適應(yīng)現(xiàn)代高速網(wǎng)絡(luò)的需求。目前大多數(shù)學(xué)校采用的是分布式檢測(cè)集中管理型的入侵檢測(cè)系統(tǒng)，具有檢測(cè)范圍全面、擴(kuò)展性強(qiáng)、管理方便等優(yōu)點(diǎn)[3]，如圖（1）。

圖1 校園網(wǎng)分布式入侵檢測(cè)系統(tǒng)規(guī)劃

校園網(wǎng)分三層架構(gòu)，為核心層、匯聚層、接入層。核心層為核心交換機(jī)、防火墻、路由器等，校園各區(qū)域部署匯聚層交換機(jī)，其下安裝接入交換機(jī)，所有匯聚層交換機(jī)與核心層對(duì)接。在防火墻、核心層交換機(jī)、匯聚層交換機(jī)、接入層交換機(jī)等設(shè)備處各部署一個(gè)入侵檢測(cè)傳感器，IDS管理控制臺(tái)、數(shù)據(jù)存儲(chǔ)中心與核心交換機(jī)相連。傳感器將在這些區(qū)域?qū)W(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行捕獲和分析，對(duì)發(fā)現(xiàn)的入侵行為進(jìn)行預(yù)處理，并在管理控制臺(tái)上顯示報(bào)警信息，從而幫助網(wǎng)絡(luò)管理員及時(shí)做出應(yīng)對(duì)，保障網(wǎng)絡(luò)的安全。

分布式入侵檢測(cè)系統(tǒng)是由許多分布在不同區(qū)域的子IDS系統(tǒng)組成，把數(shù)據(jù)收集、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)分析等功能在不同主機(jī)上運(yùn)行，這種方式提高了整個(gè)入侵檢測(cè)系統(tǒng)的處理能力，有非常好的實(shí)時(shí)性和可擴(kuò)展性。校園分布式入侵檢測(cè)系統(tǒng)采用樹型結(jié)構(gòu)，層次化逐級(jí)處理數(shù)據(jù)，分布在各層次的傳感器就是葉節(jié)點(diǎn)。葉節(jié)點(diǎn)負(fù)責(zé)捕獲數(shù)據(jù)包，中間節(jié)點(diǎn)起到承上啟下的作用，既要處理來自下一層節(jié)點(diǎn)的數(shù)據(jù)并逐級(jí)上傳至根節(jié)點(diǎn)，又要將上層節(jié)點(diǎn)的控制信息向下傳送。層次化結(jié)構(gòu)很好的提高了分布式入侵檢測(cè)系統(tǒng)的可靠性，解決了擴(kuò)展性問題，更加符合校園網(wǎng)絡(luò)的實(shí)際需要。

3 校園信息化環(huán)境下入侵檢測(cè)技術(shù)面臨的問題

入侵檢測(cè)系統(tǒng)在校園網(wǎng)中起到了重要的作用，能夠提高網(wǎng)絡(luò)的安全性，但隨著校園信息化的飛速發(fā)展，網(wǎng)絡(luò)帶寬的不斷提升，入侵檢測(cè)系統(tǒng)應(yīng)用過程中發(fā)現(xiàn)技術(shù)方面存在一些難題[4]：

1）入侵檢測(cè)處理速度滯后于網(wǎng)絡(luò)速度的發(fā)展，導(dǎo)致高誤報(bào)率和漏報(bào)率

入侵檢測(cè)系統(tǒng)不能很好的檢查高速網(wǎng)絡(luò)環(huán)境下所有的數(shù)據(jù)包，信息量大和速度快使得入侵檢測(cè)分析的準(zhǔn)確率不高，容易產(chǎn)生漏報(bào)現(xiàn)象。網(wǎng)絡(luò)攻擊的手段日新月異，檢測(cè)規(guī)則無法識(shí)別新的攻擊技術(shù)，容易產(chǎn)生誤報(bào)現(xiàn)象。一些入侵檢測(cè)方法存在缺陷，例如異常檢測(cè)過程中采用的統(tǒng)計(jì)方法，這種方法確定閾值尤為關(guān)鍵，閾值太小會(huì)產(chǎn)生高誤報(bào)率，許多安全事件會(huì)被當(dāng)著惡意攻擊處理，閾值太大又會(huì)產(chǎn)生高漏報(bào)率，惡意攻擊不能被阻止。

2）入侵檢測(cè)系統(tǒng)能夠識(shí)別入侵行為，但阻斷入侵的能力低

校園網(wǎng)入侵檢測(cè)系統(tǒng)主要對(duì)內(nèi)部攻擊、外部攻擊和誤操作等行為進(jìn)行識(shí)別，能及時(shí)發(fā)現(xiàn)入侵并采取阻斷連接的措施。要提高校園網(wǎng)的安全性，必須把入侵檢測(cè)產(chǎn)品和防火墻等網(wǎng)絡(luò)安全產(chǎn)品結(jié)合起來，配置好安全策略，共同協(xié)作發(fā)現(xiàn)攻擊并有效阻止。既能提高入侵檢測(cè)系統(tǒng)的阻斷能力，又能增強(qiáng)防火墻的實(shí)時(shí)反應(yīng)能力。

3）難以處理加密的數(shù)據(jù)流，系統(tǒng)結(jié)構(gòu)不同影響入侵檢測(cè)效果

目前入侵檢測(cè)系統(tǒng)的主要形式是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，加密的數(shù)據(jù)流在網(wǎng)絡(luò)傳輸中不能被IDS系統(tǒng)檢測(cè)。校園網(wǎng)入侵檢測(cè)系統(tǒng)多數(shù)采用集中收集和集中分析數(shù)據(jù)的體系結(jié)構(gòu)，許多分布式IDS系統(tǒng)采用分布式結(jié)構(gòu)收集數(shù)據(jù)，而處理和分析數(shù)據(jù)集中在一臺(tái)機(jī)器上，這種結(jié)構(gòu)和集中式分布結(jié)構(gòu)相同，在分析和檢測(cè)時(shí)容易發(fā)生單點(diǎn)失效現(xiàn)象，大量數(shù)據(jù)集中處理時(shí)容易產(chǎn)生數(shù)據(jù)包丟失現(xiàn)象。

4）缺乏準(zhǔn)確定位和處理機(jī)制，入侵檢測(cè)技術(shù)標(biāo)準(zhǔn)化還不成熟

網(wǎng)絡(luò)技術(shù)飛速發(fā)展，網(wǎng)絡(luò)攻擊方式也在不斷進(jìn)步，分布式協(xié)同攻擊就是一種非常厲害的攻擊方式。攻擊者可以短時(shí)間發(fā)動(dòng)成千上萬的服務(wù)器攻擊一個(gè)目標(biāo)主機(jī)，其破壞性和隱蔽性越來越強(qiáng)。入侵檢測(cè)系統(tǒng)可以識(shí)別IP地址，無法定位IP地址，無法找到攻擊的源頭。發(fā)現(xiàn)攻擊事件時(shí)，入侵檢測(cè)系統(tǒng)只能關(guān)閉服務(wù)器一些端口和網(wǎng)絡(luò)出口，這樣會(huì)影響一些正常用戶的使用，缺乏完善的響應(yīng)處理機(jī)制。各部件內(nèi)部缺乏完善的信息協(xié)同和共享機(jī)制，對(duì)網(wǎng)絡(luò)攻擊的檢查能力有一定的影響，故難以建立一種大型網(wǎng)絡(luò)的戰(zhàn)略安全預(yù)警系統(tǒng)，入侵檢測(cè)技術(shù)標(biāo)準(zhǔn)化有待完善。

4 校園信息化環(huán)境下入侵檢測(cè)系統(tǒng)發(fā)展趨勢(shì)

高校校園信息化建設(shè)的不斷完善，隨之而來的網(wǎng)絡(luò)入侵問題也層出不窮，網(wǎng)絡(luò)攻擊和防御技術(shù)都在不斷提升。人們對(duì)網(wǎng)絡(luò)安全越來越擔(dān)憂，此時(shí)對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的需求越來越大，促使了入侵檢測(cè)技術(shù)的不斷提高，對(duì)未來入侵檢測(cè)系統(tǒng)的發(fā)展方向有以下幾方面[5]：

1）高度協(xié)作分布式入侵檢測(cè)。最重要的是協(xié)作，不僅是同一系統(tǒng)中不同部件之間的協(xié)作，還包括與不同品牌的安全產(chǎn)品之間的協(xié)作。起到協(xié)同處理IDS系統(tǒng)的檢測(cè)信息與提取入侵攻擊信息的作用，不同的IDS系統(tǒng)之間實(shí)現(xiàn)協(xié)同工作。

2）全面安全防御入侵檢測(cè)。復(fù)雜的網(wǎng)絡(luò)環(huán)境中很難用一種技術(shù)來做到全面安全防御，故在安全防御過程中需結(jié)合網(wǎng)絡(luò)管理技術(shù)、加密通道技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)等全方面的進(jìn)行評(píng)價(jià)，形成較全面的安全防御策略。

3）智能化入侵檢測(cè)。在入侵檢測(cè)系統(tǒng)中應(yīng)用遺傳算法、神經(jīng)網(wǎng)絡(luò)、模糊技術(shù)、智能代理、免疫原理等技術(shù)，提高入侵檢測(cè)的效率。使IDS系統(tǒng)智能化，具有自學(xué)習(xí)和自適應(yīng)能力。

4）高速網(wǎng)絡(luò)的大數(shù)據(jù)入侵檢測(cè)。隨著網(wǎng)絡(luò)的迅猛提速，信息量越來越大，這對(duì)現(xiàn)有的入侵檢測(cè)系統(tǒng)是一種考驗(yàn)。開發(fā)處理速度更快、準(zhǔn)確率更高的入侵檢測(cè)系統(tǒng)顯得尤為重要，這也是入侵檢測(cè)系統(tǒng)的發(fā)展方向。

5）面對(duì)用戶的應(yīng)用層入侵檢測(cè)。當(dāng)前IDS系統(tǒng)主要分析網(wǎng)絡(luò)層的數(shù)據(jù)包，而很多入侵攻擊行為只有在應(yīng)用層才可以理解，IDS不能處理數(shù)據(jù)庫(kù)系統(tǒng)、Lotus Notes等應(yīng)用系統(tǒng)。應(yīng)用層的入侵行為是目前的入侵檢測(cè)系統(tǒng)檢測(cè)不出，需要研究面對(duì)用戶的應(yīng)用層入侵檢測(cè)系統(tǒng)。

5 結(jié)語

校園網(wǎng)絡(luò)安全問題是每個(gè)學(xué)校都非常重視的，但真正要把網(wǎng)絡(luò)安全防范工作做好并非易事，尤其是對(duì)網(wǎng)絡(luò)入侵和信息安全的防御不夠。以上探討了校園網(wǎng)的入侵檢測(cè)系統(tǒng)部署、存在的問題與發(fā)展方向等，對(duì)校園入侵檢測(cè)系統(tǒng)應(yīng)用做了一些研究。入侵檢測(cè)技術(shù)還不是很成熟，有待深入研究，努力向更快速、更全面、更安全、更智能化方向發(fā)展。

參考文獻(xiàn)：

[1] 李旸.淺談安徽省高校校園信息化建設(shè)中存在的安全威脅[J].蚌埠學(xué)院學(xué)報(bào)，2014（1）.

[2] 王棟，盧秀青.基于數(shù)字化校園網(wǎng)的入侵檢測(cè)系統(tǒng)研究[J].中國(guó)科技信息，2010（21）.

[3] 艾長(zhǎng)春.入侵檢測(cè)技術(shù)在高校校園網(wǎng)中應(yīng)用[J].甘肅科技，2011（6）.

[4] 李劍.入侵檢測(cè)技術(shù)[M].北京：高等教育出版社， 2008.

[5] 李東靈，王健.入侵檢測(cè)系統(tǒng)研究現(xiàn)狀及發(fā)展趨勢(shì)[J].商丘職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2013（5）.