校园信息化环境下入侵检测系统应用和研究.docVIP

校园信息化环境下入侵检测系统应用和研究 　　摘要：随着高校教育信息化建设日渐成熟，校园网络环境变得更为错综复杂，由此带来的网络安全隐患不言而喻。仅依靠防火墙技术来保卫校园网络安全显得势单力薄，构建入侵检测系统是校园网络安全防御的另一重要手段。该文研究入侵检测系统的理论、设计与实现，结合防火墙、入侵防御等技术，探究校园信息化环境下的全网络安全预警体系。 　　关键词：入侵检测系统；IDS；网络安全；防火墙 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）20-0053-02 　　自教育部颁布《教育信息化十年发展规划（2011-2020年）》后，全国各高校信息化建设和发展如日中天。校园信息化为高校师生提供高效、快捷、便利的教学和生活服务，学校办公、教师授课、学生学习、日常生活等都越来越离不开信息化。由此产生的信息化安全问题不容忽视，以前网络安全措施一般是通过防火墙对校内外网络数据进行检测，是数据进出的安全关卡。传统的网络防火墙技术、数据加密技术、身份认证技术都很成熟，但是已不能完全胜任当前的复杂的网络环境，今后的校园网络安全技术重点应该转向全程安全，需要能够主动防御的、自动预警的、动态的信息安全技术作为防火墙的有力补充，即构建校园网络入侵检测系统，形成校园网全局网络安全预警机制[1]。 　　1 校园信息化与入侵检测系统 　　1.1 校园信息化的内涵 　　校园信息化是在校园内，以先进的教育思想为指导，以网络为基础，结合信息技术，针对教学、科研和管理深入开发资源共享，广泛利用信息资源为师生提供学习交流环境，提高教育教学效率和质量，扩展学校的管理与服务功能，实现教育过程全面信息化，旨在全面提高教学质量、科研和管理水平与效率。 　　1.2 入侵检测系统概念与分类 　　入侵检测系统（ Intrusion Detect ion System， IDS） 是通过收集分析网络或计算机系统中一些重要节点传输的信息，发现是否有违反安全策略的行为和被攻击的迹象，采取安全防御和预警措施，有效保护系统数据不外泄、修改和破坏，阻止外部攻击行为，监视校园网内部用户的未授权活动，弥补了防火墙技术的不足，是校园网络的又一安全保障[2]。 　　入侵检测系统根据检测方法的区别可分为基于异常的IDS系统、基于误用的IDS系统，异常入侵检测是将可疑行为与用户事先设置好的异常阈值做比较来判断行为的安全性，主要有基于统计、神经网络、规则等检查方法；误用入侵检测将人们知晓的系统缺陷和攻击策略统计形成入侵行为规则表，然后将传输的数据与之匹配，匹配成功系统就触发一个警告。 　　入侵检测系统按检测对象不同可划分为基于网络和主机两种，基于网络的入侵检测系统（NIDS）是通过监听网络中传输的数据包，使用分析网络统计、特征匹配及网络协议等方法判断和防御网络入侵；基于主机的入侵检测系统（HIDS）是通过检测主机的日志文件、审计记录、进程状态、CPU使用率等信息来防御网络攻击。 　　2 校园信息化建设中入侵检测系统部署与构建 　　校园网是学校信息化的核心支撑平台，在学生宿舍区、教师教学区、行政办公区、教师生活区都发挥重要的作用，信息化建设过程中入侵检测系统规划显得尤为重要。根据校园网拓扑结构和规模的不同可分为集中式入侵检测系统和分布式入侵检测系统。集中式入侵检测系统适用于小型网络，使用一台主机处理所有入侵检测，当一个IDS遭到攻击而失效校园网就将陷入瘫痪，这种入侵检测系统是校园网络瓶颈，已不适应现代高速网络的需求。目前大多数学校采用的是分布式检测集中管理型的入侵检测系统，具有检测范围全面、扩展性强、管理方便等优点[3]，如图（1）。 　　 　　图1 校园网分布式入侵检测系统规划 　　校园网分三层架构，为核心层、汇聚层、接入层。核心层为核心交换机、防火墙、路由器等，校园各区域部署汇聚层交换机，其下安装接入交换机，所有汇聚层交换机与核心层对接。在防火墙、核心层交换机、汇聚层交换机、接入层交换机等设备处各部署一个入侵检测传感器，IDS管理控制台、数据存储中心与核心交换机相连。传感器将在这些区域对网络数据包进行捕获和分析，对发现的入侵行为进行预处理，并在管理控制台上显示报警信息，从而帮助网络管理员及时做出应对，保障网络的安全。 　　分布式入侵检测系统是由许多分布在不同区域的子IDS系统组成，把数据收集、数据存储和数据分析等功能在不同主机上运行，这种方式提高了整个入侵检测系统的处理能力，有非常好的实时性和可扩展性。校园分布式入侵检测系统采用树型结构，层次化逐级处理数据，分布在各层次的传感器就是叶节点。叶节点负责捕获数据包，中间节点起到承上启下的作用，既要处理来自下一层节点的数据并逐级上传至根节点，又要将上层节点的控制信息向下传送。层次