孫瑾

（寶雞文理學(xué)院計(jì)算機(jī)學(xué)院，陜西寶雞，721016）

基于IDS的校園網(wǎng)絡(luò)安全體系研究

孫瑾

（寶雞文理學(xué)院計(jì)算機(jī)學(xué)院，陜西寶雞，721016）

針對校園網(wǎng)出現(xiàn)的網(wǎng)絡(luò)不安全事件，提出一種適合高校校園網(wǎng)絡(luò)安全體系，加強(qiáng)校園網(wǎng)絡(luò)的安全運(yùn)行。對常見的幾種安全體系進(jìn)行比較分析，提出運(yùn)用入侵檢測（IDS）技術(shù)可以有效地防止安全隱患的發(fā)生，并對入侵檢測系統(tǒng)的基本構(gòu)成、體系結(jié)構(gòu)進(jìn)行了闡述。建立起基于IDS的校園網(wǎng)絡(luò)安全體系，并結(jié)合實(shí)際對IDS在校園網(wǎng)中進(jìn)行了部署，并對下一步的研究進(jìn)行了展望。

IDS；校園網(wǎng)；網(wǎng)絡(luò)安全

0 引言

近幾年來，伴隨高校數(shù)字化校園建設(shè)的不斷發(fā)展，網(wǎng)絡(luò)安全問題也隨之而來，特別是網(wǎng)絡(luò)攻擊事件層出不窮，傳統(tǒng)的技術(shù)已不能滿足校園網(wǎng)絡(luò)安全的要求，所以我們應(yīng)該考慮一種安全的網(wǎng)絡(luò)體系來保護(hù)校園網(wǎng)絡(luò)。

1 常見的幾種網(wǎng)絡(luò)安全體系

1.1 防火墻

用來指可防止外部網(wǎng)絡(luò)對被保護(hù)性網(wǎng)絡(luò)產(chǎn)生有潛在破壞的和不可預(yù)測的入侵的一系列組件，這些組件設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間侵[1]。

1.2 網(wǎng)絡(luò)隔離技術(shù)

網(wǎng)絡(luò)隔離技術(shù)是一種將網(wǎng)絡(luò)劃分為若干區(qū)域，區(qū)域之間互不交叉，同時(shí)通過對區(qū)域與區(qū)域之間進(jìn)行訪問控制來保護(hù)網(wǎng)絡(luò)信息安全的技術(shù)。

1.3 VPN技術(shù)

虛擬專用網(wǎng)，簡稱VPN，是采用因特網(wǎng)等公共網(wǎng)絡(luò)搭建的安全臨時(shí)網(wǎng)絡(luò)連接，可避免公共網(wǎng)絡(luò)的干擾，保持通信連接的穩(wěn)定性和安全性。VPN實(shí)質(zhì)為公司內(nèi)網(wǎng)的延伸，采用VPN 技術(shù)可以幫助公司分支結(jié)構(gòu)、遠(yuǎn)程用戶、供應(yīng)商和合作伙伴安全可靠地訪問公司內(nèi)網(wǎng)，并確保數(shù)據(jù)信息的安全傳輸與下載。

但是以上三種安全體系都有自己本身的局限性，例如防火墻系統(tǒng)不能對內(nèi)部病毒進(jìn)行主動(dòng)防護(hù)，VPN設(shè)備有網(wǎng)絡(luò)流量瓶頸等，綜合比較，IDS（入侵檢測系統(tǒng)）更加符合校園網(wǎng)絡(luò)安全體系的要求。

2 入侵檢測系統(tǒng)

入侵檢測技術(shù)是為了保障計(jì)算機(jī)安全而開發(fā)設(shè)計(jì)的一項(xiàng)技術(shù)，它能夠有效檢測網(wǎng)絡(luò)系統(tǒng)中存在的不符合安全規(guī)范的事件，通常將入侵檢測相關(guān)的軟件和硬件的組合體稱為入侵檢測系統(tǒng)[2]。

入侵檢測系統(tǒng)的安全策略具備一定智能特征的攻擊識別系統(tǒng)，其智能特征主要存在于特征信息的提取分析、響應(yīng)的融合和合并等方面。

3 入侵檢測系統(tǒng)的基本構(gòu)成

構(gòu)建功能完善的入侵檢測系統(tǒng)通常需要配備下述組件。

（1）事件產(chǎn)生器：該組件的功能包括采集原始數(shù)據(jù)，追蹤數(shù)據(jù)流、文件和網(wǎng)絡(luò)日志等信息，將采集的原始數(shù)據(jù)生成事件以供入侵檢測系統(tǒng)的其他組件使用。

（2）事件分析器：該組件的功能是接收并分析來自事件發(fā)生器的事件，并對事件是否為異常事件或入侵事件進(jìn)行判斷，最后顯示判斷結(jié)果。

（3）事件數(shù)據(jù)庫：該組件的功能主要是存儲各種系統(tǒng)數(shù)據(jù)，能夠接收系統(tǒng)其他組件傳輸?shù)男畔?shù)據(jù)并將其長期存儲。

（4）響應(yīng)單元：該組件是入侵檢測系統(tǒng)的進(jìn)攻武器，可根據(jù)事件分析器給出的判斷結(jié)果作出響應(yīng)，給出的響應(yīng)包括簡單報(bào)警、改變文件屬性和切斷連接等。

4 入侵檢測系統(tǒng)的體系結(jié)構(gòu)

從功能上進(jìn)行分析，該系統(tǒng)包括如下三個(gè)模塊：第一，信息收集。該模塊受到多種因素的影響，包括了待定環(huán)境以及監(jiān)視對象；第二，信息處理和通信。根據(jù)不同的信息進(jìn)行相應(yīng)的分類，并且進(jìn)行預(yù)處理，并將結(jié)果反饋給檢測判斷模塊；第三，入侵判斷和反應(yīng)[3]。通過該模塊對結(jié)果進(jìn)行判斷，檢驗(yàn)是否為入侵行為并且及時(shí)采取防范措施。

收集模塊負(fù)責(zé)收集系統(tǒng)所需數(shù)據(jù)信息，根據(jù)檢測對象來設(shè)置網(wǎng)絡(luò)包，對主機(jī)的狀態(tài)日志進(jìn)行有效的收集。在系統(tǒng)正常運(yùn)行過程中，數(shù)據(jù)量非常龐大，所以，通過此模塊實(shí)現(xiàn)對數(shù)據(jù)進(jìn)行分類和預(yù)處理等操作；通信模塊主要是負(fù)責(zé)為各個(gè)模塊之間的通信運(yùn)行提供保障，確保數(shù)據(jù)完整性，具有較高的安全性。對此種通信進(jìn)行了相應(yīng)的規(guī)定，制定了有關(guān)協(xié)議，明確采用何種傳輸方式。另外此模塊還具備加密與認(rèn)證功能；檢測模塊主要是針對數(shù)據(jù)實(shí)施檢測，當(dāng)前所應(yīng)用到的檢測方法有兩個(gè)，分別是異常檢測法與誤用檢測法，有時(shí)會結(jié)合二者來使用；數(shù)據(jù)庫模塊負(fù)責(zé)存儲檢測結(jié)果，并完成數(shù)據(jù)日志的創(chuàng)建，以進(jìn)行長期存儲為后續(xù)分析與查詢提供支持。該模塊有兩個(gè)基礎(chǔ)功能，分別是數(shù)據(jù)簡化功能與數(shù)據(jù)存儲功能；管理模塊負(fù)責(zé)管理員與系統(tǒng)間能夠正常溝通信息，可將精準(zhǔn)的檢測報(bào)告提供給管理人員，按照管理人員的指令執(zhí)行相應(yīng)的操作，均由圖形界面實(shí)現(xiàn)。

5 入侵檢測系統(tǒng)在校園網(wǎng)絡(luò)當(dāng)中的部署

通過在系統(tǒng)和網(wǎng)絡(luò)當(dāng)中安裝入侵檢測系統(tǒng)能夠有效提升安全可靠性。在校園網(wǎng)絡(luò)部署中把入侵檢測系統(tǒng)部署在外部網(wǎng)絡(luò)和防火墻間，放置在DMZ當(dāng)中，位于最外圍防火墻與ISP間的位置。此種設(shè)置能夠查看來自Internet的所有攻擊。若是TCP攻擊，那么通過防火墻與過濾路由器就可以封鎖該攻擊，此時(shí)入侵檢測系統(tǒng)無法檢測出該攻擊。主要是因?yàn)樵跈z測過程中，對于眾多不同類型進(jìn)行的檢測和字符串特征都存在一致性特征。并且在和TCP進(jìn)行三次握手后，才可以傳送字符串。檢測器位于防火墻外，雖然無法檢測攻擊，但是此處依然屬于檢測的最佳的位置。此種做法有利于站點(diǎn)的正常運(yùn)作，可以了解站點(diǎn)以及防火墻在受到何種攻擊時(shí)才能暴露。然而此種布局同樣具有一定缺陷，主要包括：第一，在防火墻內(nèi)部，無法完成用戶檢測；第二，如果入侵檢測器被暴露出來，則可能會遇到入侵[3]。需要在防火墻與路由器中間部署入侵檢測系統(tǒng)，這樣系統(tǒng)就出現(xiàn)在防火墻的內(nèi)部區(qū)域。通過此種部署，可以查看防火墻所采取的系統(tǒng)策略的正確性。一些子網(wǎng)具有較高的要求，在此種子網(wǎng)中安裝入侵檢測系統(tǒng)，可以更好的對重要環(huán)節(jié)和區(qū)域進(jìn)行保護(hù)。另外，還可以在主機(jī)上安裝以主機(jī)為基礎(chǔ)的入侵檢測系統(tǒng)，實(shí)現(xiàn)對主機(jī)的有效保護(hù)。

6 結(jié)論

入侵檢測系統(tǒng)自從部署以后，校園網(wǎng)絡(luò)攻擊事件大大降低，說明入侵檢測系統(tǒng)可以有效地防止類似事件的發(fā)生，但是這個(gè)系統(tǒng)對病毒木馬等校園內(nèi)部網(wǎng)絡(luò)的不安全事件難以防范，如何實(shí)現(xiàn)各種網(wǎng)絡(luò)安全設(shè)備的聯(lián)動(dòng)，這是現(xiàn)階段網(wǎng)絡(luò)管理者亟待解決的問題。

[1]張常有.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].成都:電子科技大學(xué)出版社，2006.9.

[2]趙釗.基于VPN技術(shù)的校園網(wǎng)絡(luò)安全體系的研究與實(shí)現(xiàn)[D].西安：西安工業(yè)大學(xué).2012.

[3]裴沛.基于一卡通模型的數(shù)字化校園的構(gòu)建研究[J].《金卡工程》2006-11-01.

The Study of Campus Network Security System Based on IDS

Sun Jin
(School of computer science, Baoji University of Arts and Sciences, Baoji Shaanxi ,721016)

study aims at some unsafe events appearing in campus network, so some new measures such as advancing the campus network operation are taken to ensure the safely operating of the campus network.After some security systems are comparatively anglicized, then Intrusion Detection System (IDS) is proved that it can guard against some security problems and prevent them. Meanwhile, this thesis will explain what the structure of IDS is and how the system works. IDS can work efficiently and some strategies are proposed to ensure safe operation of the campus network. The study also involves the potential prospects for the future development of IDS.

IDS；campus network；network security