分布式入侵检测系统在校园网中的设计与实现.docVIP

分布式入侵检测系统在校园网中的设计与实现 　　摘要:为了使校园网安全管理更为方便,功能更易扩展,在对入侵检测技术研究基础上提出了一个适合校园网使用的分布式入侵检测框架,并实现了基于此框架的校园网分布式入侵检测系统。 　　关键词:网络安全;分布式入侵检测;代理;框架;管理决策 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)27-7651-02 　　 　　Distributed Intrusion Detection System in Campus Network Design and Implementation 　　CHEN Hao 　　(Guangdong Technical College of Water Resources and Electric Engineering, Guangzhou 510635, China) 　　Abstract: In order to make the campus network security management more convenient, easier to expand functionality. Intrusion detection technology in the study based on a campus network for the use of Distributed Intrusion Detection Framework. And the realization of this framework based on the campus network Distributed Intrusion Detection System. 　　Key words: network security; distributed intrusion detection; agent; framework; management decision-making 　　 　　伴随着各高校的扩招和快速发展,各高校组建的校园网作用日趋明显,在校园网上开展的科研课题,网络教育教学以及围绕着学校正常教学办公的各种应用系统逐渐增多,网络安全作为一个无法回避的问题呈现在各高校面前。 　　一般校园网都采用防火墙作为安全的第一道防线,属于网络安全的被动防御,用于隔离外网(互联网)和内网(校园网),对进出校园网的数据包进行一个基本的访问控制,但它对内网用户的攻击无能为力,并且对绕过防火墙的攻击也是无能为力的。而随着攻击者水平的不断提高,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。与此同时,当今的校园网络环境也变得越来越复杂,各式各样的复杂的设备,需要不断升级、补漏的系统使得网络管理员的工作不断加重,不经意的疏忽便有可能造成安全的重大隐患。 　　在这种环境下,入侵检测系统已经成为了各高校校园网安全新的热点,部署在防火墙之后的入侵检测系统,能够实时检测流经网卡的数据包,通过对捕获的大量数据包进行数据处理,匹配入侵特征库,来检测各种入侵攻击,然后报警,从而加强了网络的安全。因此愈来愈多的受到各高校的关注,而且已经开始在校园网中发挥其关键作用。 　　 　　1 校园网分布式入侵检测系统的设计 　　 　　1.1 分布式入侵检测系统的基本原理 　　分布式入侵检测系统是独立于防火墙或者安全网关的,在系统局域网内部使用安全检测系统,它采用一个软件硬件相结合的体系结构,英文为Distributional Intrusion Detection System,简称为DIDS。在分布式入侵检测系统中,策略统一由控制台定义、管理,控制台按照分发协议将策略“推”到各个Agent客户端,再由各个Agent客户端实施策略。因此分布式入侵检测系统能够解决集中式的入侵检测系统的数据分析都集中在一个检测点上进行,单一检测点的压力较大,当数据量较大时要求检测点要有较快处理速度和较大的存储能力,否则就会由于监测点不能及时处理而产生大量丢包,导致不能有效检测入侵,入侵检测系统也就形同虚设的问题。 　　1.2 校园网分布式入侵检测系统的设计目标 　　校园网环境复杂,其网络特点是用户数量大、数据信息量广、在线用户比率高、网络应用复杂,校园网内外想要攻击校内服务器的黑客很多,所以在设计时需坚持以下几条原则: 　　1) 分布式结构。由主机入侵检测系统(HIDS)、网络入侵检测系统(NIDS)、应用入侵检测系统(AIDS)组成的分布式入侵检测系统(DIDS)便于多点收集信息,跟踪分析,并在任何一处入侵检测系统(IDS)发生故障时,不影响其他设备正常工作。 　　2) 易