摘要：高校校園網(wǎng)作為學(xué)校的信息平臺(tái)，經(jīng)常會(huì)受到來自校園外部黑客以及內(nèi)部學(xué)生的攻擊，通過入侵防御系統(tǒng)實(shí)現(xiàn)對(duì)校園網(wǎng)的監(jiān)控及遇到攻擊時(shí)如何自動(dòng)保護(hù)校園網(wǎng)不受影響。通過入侵檢測(cè)來保障校園網(wǎng)信息安全的方法，對(duì)入侵檢測(cè)的分類也進(jìn)行相應(yīng)的研究，分析了入侵檢測(cè)的功能，分析了入侵檢測(cè)策略制定的重要性，以及在網(wǎng)絡(luò)中放置入侵檢測(cè)設(shè)備的位置提出了一些意見和看法。

關(guān)鍵詞：校園網(wǎng) ?信息安全 ?入侵檢測(cè)

0 引言

隨著國(guó)內(nèi)高校信息化進(jìn)程的不斷發(fā)展，國(guó)內(nèi)高校校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)不斷增加，校園的信息系統(tǒng)變得復(fù)雜并且龐大，甚至一些高校將非常重要的科研成果、科研課題、重要課件和技術(shù)資料都保存在校園網(wǎng)的文件服務(wù)器之內(nèi)，如何確保校園網(wǎng)信息安全是所有高校的首要任務(wù)，目前高校校園網(wǎng)絡(luò)信息安全正在遭受病毒、黑客攻擊、拒絕服務(wù)攻擊及各種最新產(chǎn)生的攻擊[1]，校園網(wǎng)使用了大量服務(wù)器、相關(guān)應(yīng)用軟件和數(shù)據(jù)庫(kù)從而組成了校園網(wǎng)信息服務(wù)系統(tǒng)，其中包括了Web，F(xiàn)TP、辦公自動(dòng)化、郵件服務(wù)器等。這些服務(wù)器也成為了攻擊的對(duì)象，而且隨著學(xué)院網(wǎng)絡(luò)出口帶寬不斷加大，應(yīng)用服務(wù)系統(tǒng)逐漸增多，校園網(wǎng)用戶數(shù)量急劇上升，和校園網(wǎng)相關(guān)的信息安全問也逐漸浮現(xiàn)出來，一些高校對(duì)信息安全的管理不重視，相關(guān)信息安全管理人員的防范意識(shí)不強(qiáng)，這使攻擊者就有機(jī)可乘，還有一些高校缺乏保障信息系統(tǒng)安全的相應(yīng)的硬件設(shè)備，信息安全投入資金過少，更有甚者沒有預(yù)算，設(shè)備老化，破綻百出。并且如果信息系統(tǒng)軟硬件存在漏洞的話不但會(huì)引起系統(tǒng)故障癱瘓，還會(huì)被一些黑客用來作為攻擊的目標(biāo)。應(yīng)用軟件的漏洞也會(huì)造成計(jì)算機(jī)信息系統(tǒng)的故障，還會(huì)降低系統(tǒng)安全性能，而網(wǎng)絡(luò)設(shè)備如果不定期更新軟件硬件也給黑客提供了攻擊的機(jī)會(huì)。據(jù)不完全統(tǒng)計(jì)，全球幾乎所有高校的服務(wù)器都受到過黑客的攻擊和網(wǎng)站木馬植入，由此可見高校信息安全已經(jīng)是迫在眉睫急需處理的首要工作。入侵檢測(cè)系統(tǒng)（IDS）可以及時(shí)發(fā)現(xiàn)校園網(wǎng)中的不安全因素，并在第一時(shí)間發(fā)出警報(bào)通知相關(guān)工作人員。當(dāng)然入侵檢測(cè)系統(tǒng)（IDS）也存在相應(yīng)的不足之處就是IDS系統(tǒng)是以被動(dòng)的方式工作只能檢測(cè)攻擊而不能阻止攻擊[2]。

1 入侵檢測(cè)分類

入侵檢測(cè)（IDS）可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)里面?zhèn)鬏數(shù)臄?shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)視，如果網(wǎng)絡(luò)里面出現(xiàn)不安全傳輸時(shí)將會(huì)報(bào)警，如果預(yù)先做了策略的話甚至?xí)鲃?dòng)采取措施，這種設(shè)備獨(dú)到之處在于可以對(duì)網(wǎng)絡(luò)主動(dòng)進(jìn)行防御和防護(hù)。入侵檢測(cè)主要分為以下幾類。

1.1 基于主機(jī)的入侵檢測(cè)技術(shù)

基于主機(jī)的入侵檢測(cè)系統(tǒng)通過軟件包的形式安裝在受保護(hù)的主機(jī)，并通過提取保護(hù)系統(tǒng)數(shù)據(jù)的操作并執(zhí)行入侵檢測(cè)功能分析[3]。用于保護(hù)單個(gè)主機(jī)不被網(wǎng)絡(luò)攻擊，其主要目的是防止濫用測(cè)試攻擊，關(guān)閉對(duì)關(guān)鍵數(shù)據(jù)訪問和修改，安全配置的變化。在一開始入侵檢測(cè)系統(tǒng)就會(huì)建立一個(gè)安全基準(zhǔn)檔案，系統(tǒng)文件一旦發(fā)生變化后就說明出現(xiàn)情況，因?yàn)樵摬僮飨到y(tǒng)已被刪除不會(huì)是隨意的，并在一定程度上也能實(shí)現(xiàn)安全恢復(fù)功能。

1.2 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以監(jiān)控網(wǎng)絡(luò)上所有的會(huì)話，它是一個(gè)獨(dú)立的硬件設(shè)備，首先收集網(wǎng)絡(luò)里一些可用信息，建立正常網(wǎng)絡(luò)基準(zhǔn)，以此作為分析網(wǎng)絡(luò)的依據(jù)，一旦檢測(cè)到入侵，響應(yīng)模塊提供了多種響應(yīng)模式，可以采用響應(yīng)、報(bào)警和通知，也可以讓其直接作出動(dòng)作阻止入侵，還可以發(fā)短信通知網(wǎng)絡(luò)管理員，日志記錄入侵過程。

1.3 混合型的入侵檢測(cè)技術(shù)

基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)各有所長(zhǎng)，伴隨著網(wǎng)絡(luò)不斷的發(fā)展，網(wǎng)絡(luò)入侵技術(shù)可以說是千奇百怪層出不窮，不再是像從前一個(gè)單一的入侵活動(dòng)的行為，但實(shí)際情況顯示合作的入侵，和不同類型的入侵檢測(cè)系統(tǒng)之間需要共享優(yōu)勢(shì)，互補(bǔ)缺陷，協(xié)同測(cè)試，因此，可以結(jié)合多種入侵檢測(cè)技術(shù)和方法，進(jìn)行更加準(zhǔn)確地識(shí)別和定位，讓攻擊者無處可躲，實(shí)現(xiàn)信息安全的不可抵賴性，這是形成混合的分布式入侵檢測(cè)系統(tǒng)的目的?；谌娴木W(wǎng)絡(luò)和兩種結(jié)構(gòu)，基于主機(jī)的入侵檢測(cè)系統(tǒng)的特點(diǎn)，可以使用網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行檢測(cè)分析，也可以使用主機(jī)系統(tǒng)的高級(jí)別活動(dòng)來發(fā)現(xiàn)可能的入侵和攻擊，這兩種技術(shù)可以說是相輔相成的，也可以在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)或是主機(jī)入侵檢測(cè)系統(tǒng)的日志中發(fā)現(xiàn)異常情況。

2 入侵檢測(cè)系統(tǒng)功能分析

基于以上的分析，如圖1所示，服務(wù)于云南工商學(xué)院校園網(wǎng)的入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）必須滿足以下需求。

■

2.1 分布式結(jié)構(gòu)

校園網(wǎng)用戶非常多，日常網(wǎng)絡(luò)流量非常之大，如果在入口上安裝入侵檢測(cè)設(shè)備會(huì)給網(wǎng)絡(luò)帶來瓶頸現(xiàn)象，因?yàn)閿?shù)據(jù)量過大，入侵檢測(cè)設(shè)備無法處理。使用分布式的體系結(jié)構(gòu)就可以分散檢測(cè)壓力，分布式監(jiān)控采集，統(tǒng)一的處理，在大型網(wǎng)絡(luò)里一般都使用這種分布式的入侵檢測(cè)體系架構(gòu)[4]。

2.2 誤用檢測(cè)功能

當(dāng)今入侵檢測(cè)的主流技術(shù)是誤用檢測(cè)，一個(gè)好的誤用檢測(cè)系統(tǒng)關(guān)鍵是看其特征庫(kù)是否完備。由于校園網(wǎng)環(huán)境的復(fù)雜性，這就需要特征庫(kù)中包含常見攻擊的種類以供誤用檢測(cè)使用。

2.3 異常檢測(cè)功能

一旦出現(xiàn)未知的攻擊，就必須采用異常檢測(cè)功能彌補(bǔ)誤用檢測(cè)的不足，因?yàn)槲粗墓羰遣粫?huì)出現(xiàn)在特征庫(kù)里面的。

2.4 攻擊源追蹤

對(duì)于假冒源地址的分布式拒絕服務(wù)（DDoS）攻擊，需要找到一種方式來定位攻擊者的位置，尤其是來自校園網(wǎng)內(nèi)部發(fā)起的攻擊，要能夠快速的對(duì)其定位，找到攻擊者所在的物理位置。

3 入侵檢測(cè)的應(yīng)用

如圖2所示云南工商學(xué)院選用的入侵檢測(cè)設(shè)備是綠盟ICEYE-1200D-01，它主要為校園網(wǎng)信息安全提供了一些幾個(gè)功能。

3.1 入侵檢測(cè)

對(duì)緩沖區(qū)溢出、SQL注入、暴力猜測(cè)、D.o.S攻擊、掃描探測(cè)、蠕蟲病毒、木馬后門、間諜軟件等各類黑客攻擊和惡意流量進(jìn)行實(shí)時(shí)檢測(cè)及報(bào)警[5]，并和防火墻共同實(shí)現(xiàn)動(dòng)態(tài)防御功能。

3.2 Web安全

可以檢測(cè)出互聯(lián)網(wǎng)上一些掛馬網(wǎng)站，并將其屏蔽，如果用戶訪問后被植入木馬等惡意代碼等，入侵檢測(cè)系統(tǒng)將會(huì)發(fā)出警告消息，同時(shí)更新信譽(yù)庫(kù)里面的信息，并進(jìn)行安全日志記錄。

3.3 流量分析

分析并且統(tǒng)計(jì)當(dāng)前網(wǎng)絡(luò)中各種數(shù)據(jù)流量大小，生成各種報(bào)表，讓管理員可以一目了然的獲取網(wǎng)絡(luò)流量實(shí)時(shí)信息，根據(jù)此結(jié)果及時(shí)調(diào)整網(wǎng)絡(luò)帶寬分配，保證校園網(wǎng)內(nèi)的關(guān)鍵業(yè)務(wù)能夠正常使用。

3.4 上網(wǎng)監(jiān)測(cè)

入侵檢測(cè)系統(tǒng)對(duì)校園網(wǎng)內(nèi)的流量實(shí)時(shí)檢測(cè)，一旦發(fā)現(xiàn)有違規(guī)使用網(wǎng)絡(luò)的學(xué)生可根據(jù)IP地址定位，并采取警告或關(guān)閉端口等手段保證網(wǎng)絡(luò)帶寬不被濫用。

4 結(jié)束語

云南工商學(xué)院校園網(wǎng)通過使用綠盟入侵檢測(cè)系統(tǒng)，可以提升整個(gè)校園網(wǎng)信息安全，在信息被篡改，泄露之前就有所預(yù)警，這樣就保證了校園網(wǎng)信息安全的完整性、可用性以及不可抵賴性。結(jié)合學(xué)校原有防火墻靜態(tài)防御功能，可以進(jìn)一步提升校園網(wǎng)信息安全使防護(hù)體系由靜態(tài)到動(dòng)態(tài)，由平面到立體，提升了防火墻的機(jī)動(dòng)性和實(shí)時(shí)反應(yīng)能力，也增強(qiáng)了IDS的阻斷功能[6]。

參考文獻(xiàn)：

[1]劉剛.高校校園網(wǎng)安全問題解析[J].銅陵學(xué)院學(xué)報(bào)，2006（1）：90-91.

[2]尹傳勇，劉壽強(qiáng)，蔣建勛.從IDS到IPS的主動(dòng)防御體系研究[J].計(jì)算機(jī)安全，2003（9）：22-24.

[3]李劍，王佳楠，李春玲.一種基于Agent 的并行分布式四層入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)[J].計(jì)算機(jī)工程與應(yīng)用，2008，38（17）：49-51.

[4]Chebrolu S，Abraham A，Thomas J P.Feature deduction and ensemble design of intrusion detection system [J].Computer & Security，2005，24（4）：295-307.

[5]費(fèi)洪曉，戴宏偉.基于協(xié)議分析的入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息技術(shù)，2007（3）：10-11.

[6]張興東，胡華平，況曉輝，等.防火墻與入侵撿測(cè)系統(tǒng)聯(lián)動(dòng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與科學(xué)，2004，26（4）：22-26.

作者簡(jiǎn)介：黃海軍（1977-），男，云南昆明人，講師，碩士，主要從事網(wǎng)絡(luò)信息安全方面的研究。