淺談基于高校網絡環境的入侵檢測方案的有效應用

摘 要:入侵檢測以其低成本、低風險以及較高靈活性得到了廣泛應用，有著廣闊的發展前景。高校網絡環境下的入侵檢測方案的研究和探討已經成為網絡安全的防御工作的必然選擇。本文提出了高校網絡環境的入侵檢測方案的構思，分析了入侵檢測方案環境的發展狀況。

關鍵詞:計算機網絡安全;入侵檢測

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0100-01

一、入侵檢測技術在維護計算機網絡安全中的應用

(一)網絡入侵檢測

網絡入侵檢測有基于硬件和軟件的，二者的工作流程是基本相同的。需將網絡接口的模式設置為混雜模式，以便對流經該網段的全部數據進行實時的監控，做出分析，再和數據庫中預定義的具備攻擊特征屬性做出比較，從而把有害的攻擊數據包識別出來，進行響應，并記錄日志[1]。

1.體系結構。網絡入侵檢測的體系結構通常由三大部分組成，分別為Agent、Console以及Manager。其中，Agent的作用是對網段以內的數據包進行監視，發現攻擊信息并把相關的數據發送到管理器;Console的主要作用是負責收集代理處信息，顯示所受攻擊信息，把攻擊信息及相關數據發送到管理器;Manager的作用則主要是響應配置攻擊警告信息，控制臺所發布的命令也由Manager來執行，再把代理所發出的攻擊警告發送至控制臺。

2.工作模式。網絡入侵檢測，每個網段都部署多個入侵檢測的代理，按網絡拓撲結構的不同，代理的連接形式也不相同。利用交換機核心芯片中的調試端口，將入侵檢測系統與該端口相連接。或者把它放在數據流的關鍵點上，就可以獲取幾乎全部的關鍵數據。

3.攻擊響應及升級攻擊特征庫、自定義攻擊特征。入侵檢測系統檢測到惡意攻擊信息，響應方式多種多樣，比如發送電子郵件、切斷會話、通知管理員、記錄日志、通知管理員、查殺進程、啟動觸發器以及開始執行預設命令、取消用戶賬號以及創建報告等等[2]。升級攻擊特征庫是把攻擊特征庫文件通過手動或者自動的形式從相關站點中下載下來，再利用控制臺實時添加進攻擊特征庫。

(二)主機入侵檢測

主機入侵檢測會設置在被重點檢測的主機上，從而對本主機的系統審計日志、網絡實時連接等信息并做出智能化的分析與判斷。如果發展可疑情形，則入侵檢測系統就會有針對性的采用措施。基于主機的入侵檢測系統可以具體實現以下功能:對操作系統及其所做的所有行為進行全程監控;持續評估系統、應用以及數據的完整性，并進行主動的維護;創建全新的安全監控策略，實時更新;對于未經授權的行為進行檢測，并發出報警，同時也可以執行預設好的響應措施;將所有日志收集起來并加以保護，留作后用。主機入侵檢測系統對于主機的保護很全面細致，但要在網絡中全面部署則成本太高。并且主機入侵檢測系統工作時要占用被保護主機的CPU處理資源，所以可能會降低被保護主機的性能[3]。

二、高校網絡環境的入侵檢測方案的問題

(一)高校網絡環境入侵檢測方案

伴隨網絡技術的高速發展，網絡安全已經成為不能不考慮的問題。入侵檢測方案正是利用網絡平臺，通過與遠程服務器交換，將終端數據庫分布實現入侵檢測監控。設計應盡量符合人的感知和認知。多數高校網絡環境采用基于WEB的數據庫的轉換和數據交換監控，數據庫相對簡單，入侵檢測方式單一，但可靠性低。面對平臺和數據容量的增加，客觀上要求基于自動檢測，要對數據庫進行分析、聚類、糾錯的高效網絡，才能處理，實現用戶交互，優化平臺數據的可擴展性[4]。

(二)高校網絡環境入侵檢測的關鍵點

高校網絡環境的入侵檢測方案的關鍵點就是要充分利用高校網絡資源平臺，整合數據庫、角色管理的安全模型、校園無縫監控、多方位反饋與應對系統等資源，預測或實時處理高校網絡入侵時間的發生。

三、高校網絡環境的入侵檢測方案思考

(一)建立適合高校網絡環境的檢測系統平臺

高校網絡環境的入侵檢測，可采納“云計算技術”，實現檢測方案系統。利用其高速傳輸能力，將計算、存儲、軟件、服務等資源從分散的個人計算機或服務器移植到互聯網中集中管理的大規模分布的高性能計算機、個人計算機、虛擬計算機中，從而使用戶像使用電能一樣使用這些資源。大量計算資源構成資源池，用于動態創建高度虛擬化的資源提供用戶使用。改變了資源提供商需要獨立、分散建造機房、運營系統、維護安全的困難，降低了整體的能源消耗。

(二)入侵檢測機制

入侵檢測體系結構須依據網絡NIDS模塊，構建檢測管理平臺:模塊組成主要有:應用任務模塊;入侵檢測與分析模塊;數據庫交換模塊(負責數據包的嗅探、數據包預處理過濾和固定字段的模式匹配)。實現實時的流量分析與入侵檢測功能。針對硬件邏輯和核心軟件邏輯采用高效的檢測策略規則。檢測模型包括三個主要流程步驟:

1.調度平臺從用戶的請求隊列中首先取出優先級最高的用戶請求R。R讀取元數據庫，根據請求的硬件資源判斷是否能被當前空閑資源滿足。如果滿足，轉向步驟2;如果不滿足，判斷是否可以通過平臺虛擬機的遷移，釋放相關資源;如果可以，則執行遷移操作，轉步驟2;如果遷移也無法完成，則退出，并報告無法完成請求。

2.如果資源請求可以滿足，調度服務器可從存儲結點中選擇與用戶請求相對應的虛擬機模板T(新建立的虛擬機)或虛擬機鏡像I。

3.調度服務器將I遷入相對應的物理機，并創建相對應的虛擬機實例V。

四、總結

要提高計算機網絡系統的安全性，不但要靠技術支持，更需要依靠高校自身良好的維護與管理。高校網絡環境的入侵檢測方案的思考，適應高校檢測環境的發展要求，必須把握其發展方向和關鍵技術，實現高效入侵檢測。

參考文獻:

[1]胥瓊丹.入侵檢測技術在計算機網絡安全維護中的應用[J].電腦知識與技術，2010，11

[2]劉明.試析計算機網絡入侵檢測技術及其安全防范[J].計算機與網絡，2011，1

[3]臧露.入侵檢測技術在網絡安全中的應用與研究[J].信息技術，2009，6

[4]申建剛，夏國平，邱鞏強.基于云計算技術虛擬現實的施工設備布置系統[J].計算機集成制造系統，2009，10