基于免疫機制的校園網安全模型設計

孫曉樂,張軍超,高東懷

第四軍醫大學網絡中心,西安 710032

1 校園網絡存在的安全問題

網絡環境的日益復雜化使得校園網絡遭受的入侵越來越多,網絡安全問題變得愈來愈突出。當前針對網絡安全采取的技術手段主要有:部署防火墻、安全路由器、加強用戶接入認證等。這些防御手段對防止系統被非法入侵有一定的效果,但由于它們是被動方式的防御,針對性和靈活性不強,對未知攻擊的防御效果不明顯,防護措施的有效程度僅在網絡層以下[1],不能起到很好的整體防御效果。

校園網入侵檢測系統在一定程度上能有效彌補被動防御的不足,提供對內、外部攻擊和誤操作的實時保護。我中心現使用的入侵檢測系統以捕獲、協議分析等為檢測技術核心,以基于協議分析的方式支持協議自識別與協議插件技術,提供基于特征和基于原理的兩種檢測規則,監控除 DMZ區 (demilitarized zone,非軍事區)的所有流量,設備采用單級管理、集中式部署。此系統雖然能夠幫助用戶量化并定位來自內網和外網的威脅,但其在自適應性、靈活性等方面還有待改進。

傳統集中式入侵檢測系統架構是在網絡的不同網段放置一個或者多個傳感器來搜集信息,然后將這些信息傳送到控制中心進行處理和分析[2]。這樣的集中處理存在著如控制中心負荷太大、網絡傳輸時延較為嚴重、網絡性能降低等諸多問題,特別是在異構、高速的校園網絡中這些問題顯得尤為突出。……