入侵检测系统及其在构建校园网安全防护体系中的应用

入侵检测系统及其在构建校园网安全防护

体系中的应用

（空军工程大学 导弹学院，陕西三原 713800）

摘要：入侵检测系统是一种基于主动策略的网络安全系统，它通过监视运行系统的状态与活动，检测出非授权的和恶意的网络访问行为，产生入侵告警。文中首先对入侵检测系统进行了分析说明，接着讨论了入侵检测系统在构建校园网安全防护体系中的应用。

关键词：入侵检测；安全防护体系；校园网

中图分类号：TP393.08 文献标识码：A

Intrusion Detection System and Its Application in Constructing

Security Defence System of Campus Network

DI Bo

(The Missile Institute of the Air Force Engineering University,Sanyuan713800,China)

Abstract:Instrusion Detection System is an activity-based network security system.It finds unauthorized or malign network accessing behavior by means of monitoring the states and activities of running system,raises intrusion alert in time. This paper analyzes and illuminate IDS.Then discuss its Application in constructing security defence system of campus network

Key words: Instrusion detection;Cecurity defence system;Campus network

1．引言

经过几年的建设，国内各大中专院校的校园网已初见规模，成为教职员工和学生们进行学术交流，信息检索和通信联络的不可缺少的有力工具。但随之而来的是校园网上的安全问题越来越突出，如果不解决好这个问题，将会极大地影响网络所发挥的积极作用。

传统的安全防御手段有防火墙、加密、身份认证、访问控制、安全路由器等[1]，它们只是尽可能地使用禁止策略来进行防御，但从构建安全防御体系的角度来说，单纯防御是不够的，还应采取主动策略，而入侵检测技术正是基于主动策略的网络安全系统，是被动策略的逻辑补偿，在校园网中采用入侵检测系统，可大大加强校园网的安全性。

2．入侵检测系统

2．1 入侵检测的概念

Intrusion Detection System(入侵检测系统) 顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中获得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

2．2 入侵检测的功能

（1）监控、分析用户和系统的活动

（2）核查系统配置和漏洞

（3）评估关键系统和数据文件的完整性

（4）识别攻击的活动模式并向网管人员报警

（5）对异常活动的统计分析

（6）操作系统审计跟踪管理，识别违反政策的用户活动

（7）评估重要系统和数据文件的完整性；

2．3 入侵检测技术的分类

按入侵检测的手段来划分，入侵检测系统的入侵检测模型可以分为基于网络和基于主机两类[2]：

（1） 基于主机模型：也称基于系统的模型，通过分析系统的审计数据来发现可疑的活

动，如内存和文件的变化等。其输入数据主要来源于系统的审计日志，一般只能检测该主机上发生的入侵。

（2） 集于网络的模型：通过连接在网络上的站点捕获网上的包，并分析其是否具有已

知的攻击模式，以此来判别是否为入侵者。当这些产品发现某些可疑的现象时也一样会产生告警，而且也可能会向一个中心管理站点发出“告警”信号。

2． 4入侵检测的技术途径

入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点收集信息，这样可以尽可能扩大检测范围的因素外，而且有时候从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。

入侵检测利用的信息一般来自以下四个方面：

（1） 系统日志

黑客经常在系统日志中留下他们的踪迹，因此，充分利用系统日志是检测入侵的必要条件。日志文件中记录了各种行为类型，每种类型又包含不同的信息，很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

（2）目录以及文件中的异常改变

网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。

（3）程序执行中的异常行为

网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。

（4）物理形式的入侵信息

这包括两个方面的内容，一是未授权的对网络硬件连接；二是对物理资源的未授权访问。 第二步是数据分析。一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

（1）模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

（2） 统计分析

统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发

生。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

(3) 完整性分析

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。

3. 在校园网安全防护体系应用入侵检测系统

目前，各个学校的校园网上所采用的安全防护手段主要是防火墙，这也是防范网络攻击最常用的方法，作为一种边界安全，防火墙能有效地保护网络内部的安全，但事实证明，仅仅有防火墙是不够的，防火墙充当了外部网和内部网的一个屏障，但并不是所有的外部访问都通过防火墙的。而且，安全威胁往往来自于网络内部，例如，大学里的一些学生为了炫耀自己的技术高超，往往会用自己所学到的网络攻击方法从内部对网络进行攻击，这时防火墙便失去了作用，并且防火墙本身也极容易从外部被攻破。防火墙的目的，仅仅是充当一个看护程序的角色，被动地监视网络内外通信。入侵检测系统是安全技术的核心，是防火墙的重要补充， …… 此处隐藏：3046字，全部文档内容请下载后查看。喜欢就下载吧 ……