浅析入侵检测技术在校园网中应用及实现.docVIP

浅析入侵检测技术在校园网中应用及实现 　　摘要：入侵检测是一种通过某种方法完成网络系统中入侵行为检测和报告的技术。本文介绍入侵检测技术的相关知识及如何在校园网中部署入侵检测系统。 　　关键词：入侵检测系统；网络安全；校园网络；防火墙 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 20-0000-02 　　随着互联网的普及和发展，校园网络在教育教学中发挥越来越大的作用，学生可以通过网络学习新知识、讨论问题、查阅资料、提交作业，同时学校可以利用网络进行一些管理和教学工作等。网络技术的发展正在改变校园内人们学习生活的同时，校园网络也面临着受到来自校内、外的安全威胁。如何保证校园网络安全正常运行，这就要求网络管理员能够对攻击和破坏行为能够及时地发现并进行处理。 　　1 入侵检测研究状态 　　伴随着计算机网络技术和互联网的飞速发展，网络攻击和入侵事件与日俱增，攻击者利用计算机网络中存在的安全弱点、漏洞以及不安全的配置，对网络进行攻击和入侵。网络防火墙能够在内、外网之间提供安全的网络保护，降低了网络安全的风险，但仅仅使用防火墙的网络安全是远远不够的，因为入侵者可以寻找防火墙的漏洞，绕到防火墙的背后从可能敞开的后门侵入；也可能是网络内部用户，他的入侵行为是在防火墙内进行的。因此，入侵检测作为一种新的动态安全防御体系技术，在不影响网络性能的情况下能对网络进行检测，监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为以及误操作的实时保护，是防火墙的合理补充，增强了系统防范和对付网络攻击的能力，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全体系结构的完整性[1]。 　　2 入侵检测系统 　　2.1 入侵检测系统的分类 　　根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统： 　　（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。实时监视可疑的连接、系统日志、非法访问的闯入等，并且提供对典型应用的监视。 　　（2）基于网络的入侵检测系统：基于网络的入侵检测系统以网络数据包作为分析数据源，在被监视网络的网络数据流中寻找攻击特征。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流，使用模式匹配、统计分析等技术来识别攻击行为。检测到攻击行为，其响应模块就做出适当的响应，如报警、切断网络连接等。 　　2.2 入侵检测的内容 　　入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种检测计算机网络中违反安全策略行为的技术。入侵检测的内容包括：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄露、独占资源以及恶意使用。入侵检测系统通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象并对其做出反应。有些反应是自动的，它包括通知网络安全管理员，中止入侵者的入侵进程、关闭计算机系统、断开与互联网的连接，使该用户访问无效，或者执行一个准备好的阻止、防范或反击命令等[1]。 　　2.3 入侵检测系统的作用 　　入侵检测作为一种积极主动的安全防护工具，提供了对内部攻击、外部和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、响应和拦截。它具有以下主要作用[2]： 　　（1）通过检测和记录网络中的安全违规行为，防止网络入侵事件的发生。 　　（2）检测其他安全措施未能阻止的攻击或安全违规行为。 　　（3）检测黑客在攻击前的探测行为，预先给管理员发出警报。 　　（4）报告计算机系统或网络中存在的安全威胁。 　　（5）提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，便于进行安全漏洞的修补。 　　（6）在大型复杂的计算机网络中部署入侵检测系统，可显著提高网络安全管理的质量。 　　2.4 入侵检测过程 　　入侵检测过程分为四部分：信息收集、信息分析、信息存储和结果处理。 　　（1）信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。 　　（2）信息分析：一般通过三种技术手段（模式匹配、统计分析和完整性分析）对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析，试图寻找入侵活动的特征，判断是否发生入侵。当检测到有入侵活动或误操作时，产生一个告警并发给控制台。 　　（3）信息存储：当入侵检测系统捕获到有攻击发生时，为了便于系统管理人员对攻击信息进行查看和对攻击行为进行分析，还需要将入侵检测系统收集到的信息进行保存，这些信息通常存储到用户指定