高校校園網入侵檢測分析與應用

摘要：高校校園網作為學校的信息平臺，經常會受到來自校園外部黑客以及內部學生的攻擊，通過入侵防御系統實現對校園網的監控及遇到攻擊時如何自動保護校園網不受影響。通過入侵檢測來保障校園網信息安全的方法，對入侵檢測的分類也進行相應的研究，分析了入侵檢測的功能，分析了入侵檢測策略制定的重要性，以及在網絡中放置入侵檢測設備的位置提出了一些意見和看法。

關鍵詞：校園網 ?信息安全 ?入侵檢測

0 引言

隨著國內高校信息化進程的不斷發展，國內高校校園網上運行的應用系統不斷增加，校園的信息系統變得復雜并且龐大，甚至一些高校將非常重要的科研成果、科研課題、重要課件和技術資料都保存在校園網的文件服務器之內，如何確保校園網信息安全是所有高校的首要任務，目前高校校園網絡信息安全正在遭受病毒、黑客攻擊、拒絕服務攻擊及各種最新產生的攻擊[1]，校園網使用了大量服務器、相關應用軟件和數據庫從而組成了校園網信息服務系統，其中包括了Web，FTP、辦公自動化、郵件服務器等。這些服務器也成為了攻擊的對象，而且隨著學院網絡出口帶寬不斷加大，應用服務系統逐漸增多，校園網用戶數量急劇上升，和校園網相關的信息安全問也逐漸浮現出來，一些高校對信息安全的管理不重視，相關信息安全管理人員的防范意識不強，這使攻擊者就有機可乘，還有一些高校缺乏保障信息系統安全的相應的硬件設備，信息安全投入資金過少，更有甚者沒有預算，設備老化，破綻百出。并且如果信息系統軟硬件存在漏洞的話不但會引起系統故障癱瘓，還會被一些黑客用來作為攻擊的目標。應用軟件的漏洞也會造成計算機信息系統的故障，還會降低系統安全性能，而網絡設備如果不定期更新軟件硬件也給黑客提供了攻擊的機會。據不完全統計，全球幾乎所有高校的服務器都受到過黑客的攻擊和網站木馬植入，由此可見高校信息安全已經是迫在眉睫急需處理的首要工作。入侵檢測系統（IDS）可以及時發現校園網中的不安全因素，并在第一時間發出警報通知相關工作人員。當然入侵檢測系統（IDS）也存在相應的不足之處就是IDS系統是以被動的方式工作只能檢測攻擊而不能阻止攻擊[2]。

1 入侵檢測分類

入侵檢測（IDS）可以實現對網絡里面傳輸的數據進行實時監視，如果網絡里面出現不安全傳輸時將會報警，如果預先做了策略的話甚至會主動采取措施，這種設備獨到之處在于可以對網絡主動進行防御和防護。入侵檢測主要分為以下幾類。

1.1 基于主機的入侵檢測技術

基于主機的入侵檢測系統通過軟件包的形式安裝在受保護的主機，并通過提取保護系統數據的操作并執行入侵檢測功能分析[3]。用于保護單個主機不被網絡攻擊，其主要目的是防止濫用測試攻擊，關閉對關鍵數據訪問和修改，安全配置的變化。在一開始入侵檢測系統就會建立一個安全基準檔案，系統文件一旦發生變化后就說明出現情況，因為該操作系統已被刪除不會是隨意的，并在一定程度上也能實現安全恢復功能。

1.2 基于網絡的入侵檢測技術

基于網絡的入侵檢測系統可以監控網絡上所有的會話，它是一個獨立的硬件設備，首先收集網絡里一些可用信息，建立正常網絡基準，以此作為分析網絡的依據，一旦檢測到入侵，響應模塊提供了多種響應模式，可以采用響應、報警和通知，也可以讓其直接作出動作阻止入侵，還可以發短信通知網絡管理員，日志記錄入侵過程。

1.3 混合型的入侵檢測技術

基于網絡和基于主機的入侵檢測系統各有所長，伴隨著網絡不斷的發展，網絡入侵技術可以說是千奇百怪層出不窮，不再是像從前一個單一的入侵活動的行為，但實際情況顯示合作的入侵，和不同類型的入侵檢測系統之間需要共享優勢，互補缺陷，協同測試，因此，可以結合多種入侵檢測技術和方法，進行更加準確地識別和定位，讓攻擊者無處可躲，實現信息安全的不可抵賴性，這是形成混合的分布式入侵檢測系統的目的?；谌娴木W絡和兩種結構，基于主機的入侵檢測系統的特點，可以使用網絡上的數據進行檢測分析，也可以使用主機系統的高級別活動來發現可能的入侵和攻擊，這兩種技術可以說是相輔相成的，也可以在網絡入侵檢測系統或是主機入侵檢測系統的日志中發現異常情況。

2 入侵檢測系統功能分析

基于以上的分析，如圖1所示，服務于云南工商學院校園網的入侵檢測系統（Intrusion Detection System，IDS）必須滿足以下需求。

■

2.1 分布式結構

校園網用戶非常多，日常網絡流量非常之大，如果在入口上安裝入侵檢測設備會給網絡帶來瓶頸現象，因為數據量過大，入侵檢測設備無法處理。使用分布式的體系結構就可以分散檢測壓力，分布式監控采集，統一的處理，在大型網絡里一般都使用這種分布式的入侵檢測體系架構[4]。

2.2 誤用檢測功能

當今入侵檢測的主流技術是誤用檢測，一個好的誤用檢測系統關鍵是看其特征庫是否完備。由于校園網環境的復雜性，這就需要特征庫中包含常見攻擊的種類以供誤用檢測使用。

2.3 異常檢測功能

一旦出現未知的攻擊，就必須采用異常檢測功能彌補誤用檢測的不足，因為未知的攻擊是不會出現在特征庫里面的。

2.4 攻擊源追蹤

對于假冒源地址的分布式拒絕服務（DDoS）攻擊，需要找到一種方式來定位攻擊者的位置，尤其是來自校園網內部發起的攻擊，要能夠快速的對其定位，找到攻擊者所在的物理位置。

3 入侵檢測的應用

如圖2所示云南工商學院選用的入侵檢測設備是綠盟ICEYE-1200D-01，它主要為校園網信息安全提供了一些幾個功能。

3.1 入侵檢測

對緩沖區溢出、SQL注入、暴力猜測、D.o.S攻擊、掃描探測、蠕蟲病毒、木馬后門、間諜軟件等各類黑客攻擊和惡意流量進行實時檢測及報警[5]，并和防火墻共同實現動態防御功能。

3.2 Web安全

可以檢測出互聯網上一些掛馬網站，并將其屏蔽，如果用戶訪問后被植入木馬等惡意代碼等，入侵檢測系統將會發出警告消息，同時更新信譽庫里面的信息，并進行安全日志記錄。

3.3 流量分析

分析并且統計當前網絡中各種數據流量大小，生成各種報表，讓管理員可以一目了然的獲取網絡流量實時信息，根據此結果及時調整網絡帶寬分配，保證校園網內的關鍵業務能夠正常使用。

3.4 上網監測

入侵檢測系統對校園網內的流量實時檢測，一旦發現有違規使用網絡的學生可根據IP地址定位，并采取警告或關閉端口等手段保證網絡帶寬不被濫用。

4 結束語

云南工商學院校園網通過使用綠盟入侵檢測系統，可以提升整個校園網信息安全，在信息被篡改，泄露之前就有所預警，這樣就保證了校園網信息安全的完整性、可用性以及不可抵賴性。結合學校原有防火墻靜態防御功能，可以進一步提升校園網信息安全使防護體系由靜態到動態，由平面到立體，提升了防火墻的機動性和實時反應能力，也增強了IDS的阻斷功能[6]。

參考文獻：

[1]劉剛.高校校園網安全問題解析[J].銅陵學院學報，2006（1）：90-91.

[2]尹傳勇，劉壽強，蔣建勛.從IDS到IPS的主動防御體系研究[J].計算機安全，2003（9）：22-24.

[3]李劍，王佳楠，李春玲.一種基于Agent 的并行分布式四層入侵檢測系統體系結構[J].計算機工程與應用，2008，38（17）：49-51.

[4]Chebrolu S，Abraham A，Thomas J P.Feature deduction and ensemble design of intrusion detection system [J].Computer & Security，2005，24（4）：295-307.

[5]費洪曉，戴宏偉.基于協議分析的入侵檢測系統設計與實現[J].信息技術，2007（3）：10-11.

[6]張興東，胡華平，況曉輝，等.防火墻與入侵撿測系統聯動的研究與實現[J].計算機工程與科學，2004，26（4）：22-26.

作者簡介：黃海軍（1977-），男，云南昆明人，講師，碩士，主要從事網絡信息安全方面的研究。