浅谈广州体育学院校园网络入侵检测技术和维护.docVIP

浅谈广州体育学院校园网络入侵检测技术和维护 　　摘 要：随着现代网络信息技术的高速发展，数字化校园网络也在不断的快速推进。校园网的网络安全也正面临对严峻的考验。本文根据校园网络目前存在的网络安全现状进行入侵检测系统技术的分析和设计，主动检测校园网网络中的隐患确保维护校园网网络安全正常运行。 　　关键词：入侵检测；校园网络；网络安全 　　中图分类号：TP393.18 　　目前，大多数的校园网络的都装置了不少安全设备和软件，在一定程度上防御了网络和系统的安全隐患，但随着现代网络的快速发展，新一轮的网络攻击又将打响，以往的安全设备大部分都是被动式的防御，安全设备无法预先或主动探测校园网络的异常变化，一旦设备或软件无法正常运行，网络将遭受到破坏甚至瘫痪。校园网的防火墙安装在校园局域网与外网之间，主要抵御外网入侵者对于网络和服务器的攻击。但它却不能抵御校园网内入侵者对于网络和服务器的攻击，现今大部分的校园网络主要的攻击都是在校园局域网内，入侵检测系统就是主动防御校园网内的攻击。 　　1 入侵检测技术概述 　　入侵检测技术是一种可实时监控网络信息传输，自动检测可疑行为，主动预防或抵御系统入侵行为，分析来自网络外部入侵信号和内部的非法行为，在系统受到危害前发出警告，对攻击做出实时的响应，并提供补救措施，最大程度地保障系统安全的安全机制。 　　入侵检测接入技术可以提供多种有效措施。例如放置在防火墙和一个服务器群之间的基于网络的入侵检测系统，就能够给该服务器群提供另外层次的保护。如监视来自互联网对服务器群的敏感数据端口的访问，可以判断防火墙是否被攻破，或者是否采取一种未知的技巧来绕过防火墙的安全机制，从而访问被保护的网络。 　　1.1 基于网络的入侵检测技术。基于网络入侵检测技术，一般放置在核心交换机处于旁路状态的入侵检测系统可实时的监控网络流量和状况，通过主动接收被监控端口的数据包，分析数据包的数据以判断网络传输是否正常，一旦出现可疑或攻击行为，入侵检测将发出警报甚至切断网络连接。入侵检测技术一般包括包嗅探器和网络监视器。它们可以抓获所有网络上能看到的包。一旦抓获了这些数据包，就可以进行如下工作：（1）可以对包进行统计。统计通过的数据包，并统计该时段内通过的数据包的总大小，包括总的开销，包的报头，可很好地知道网络的负载状况，由网络相关负载的图形化或图表呈现出来。（2）可以详细地检查包。比如抓获一系列到达WEB服务器的数据包，对数据包进行包的内容、源地址、目的地址等分析来诊断服务器的问题。 　　1.2 基于主机的入侵检测技术。基于主机的入侵检测系统运行在需要监视的系统上。它们监视系统并判断系统上的活动是否可接受。一个网络数据包已经到达它要试图进入的主机，要想准确地检测出来并进行阻止，除防火墙和网络监视器外，还可用第三道防线来阻止，即基于主机的入侵检测。基于主机的入侵检测分两种类型：（1）网络监视器。监视进来的主机的网络连接，并试图判断这些连接是否构成威胁，并可检查出网络连接端的一些试图进行的入侵类型。与基于网络的入侵检测不同，因为它只监视它所运行的主机上的网络通信，而不是通过网络的所有通信。（2）主机监视器。监视进来的连接：在数据包到达主机系统的网络层前，检查试图访问主机的数据包是否正常，这种机制试图在到达的数据包能够对主机造成破坏之前，截获该数据包而保护主机。只要体现在检测试图与未授权的TCP或UDP端口进行的连接。如果试图连接没有服务的端口，这通常表明入侵者在搜索以查找漏洞。检测进来的端口扫描。如果发现这是一个要对付的问题，就会给防火墙发出警报或者修改本地的IP配置以拒绝来自可能的入侵者主机的访问。监视登录活动：尽管网络管理者尽了最大努力，并不断检查入侵检测软件，但仍然有可能有某些入侵者采取目前都不知道的入侵攻击方法来进入系统。一个攻击者可以通过各种方法获得一个网络密码，从而有可能进入系统。查找系统上的不一般的活动的包监视器会监视尝试登录或退出一类活动，从而给系统管理员发送警告，该活动是不一般的。监视root的活动：获得要进行破坏的主机的系统超级用户或管理员的访问权限，是所有入侵者的目标。出了在特定的时间对系统进行定期维护外，对如WEB服务器或数据库服务器进行维护和在可靠地系统上对超级用户进行维护外，其他活动几乎没有或很少。但入侵者很少在固定的维护时间工作，而且他们经常在上面进行很长时间的活动。他们在该系统上执行很多不一般的操作，有时比系统管理员还要多。监视文件系统：一个入侵者入侵了一个系统，他就要改变系统的文件。例如安装一个包嗅探器或者端口扫描器，或者修改一些系统文件或程序，使得不能检测出他们在周围进行的入侵活动。在一个系统上安装软件通常包括修改系统的某些部分。这些修改通常是要修改在系统上文件或库。 　　1.3 基于