基于數(shù)字化校園網(wǎng)的入侵檢測(cè)系統(tǒng)研究_圖文

1、 - -隨著高校信息化進(jìn)程的推進(jìn)，計(jì)算機(jī)網(wǎng)絡(luò)在高校的教學(xué)、科研、管理等各個(gè)領(lǐng)域都發(fā)揮了不可或缺的重要作用。特別是隨著Internet 的普及，為我們獲得信息、傳遞信息提供了一條最便捷的途徑。隨著網(wǎng)上辦公系統(tǒng)、遠(yuǎn)程教務(wù)系統(tǒng)的使用，我們的各項(xiàng)工作都越來(lái)越依賴(lài)于網(wǎng)絡(luò)。但是，網(wǎng)絡(luò)的開(kāi)放性與互聯(lián)性為我們帶來(lái)便利的同時(shí)，也引入了很多不安全的因素，例如計(jì)算機(jī)病毒、黑客入侵等等。這些都已經(jīng)嚴(yán)重影響到了校園網(wǎng)的信息安全，甚至影響到校園網(wǎng)絡(luò)的正常使用。而在校園網(wǎng)的安全防御措施中，傳統(tǒng)的防火墻技術(shù)越來(lái)越難以獨(dú)立保障互聯(lián)網(wǎng)的安全，防火墻在明處能夠抵擋外來(lái)的攻擊，但是由于其技術(shù)的局限性，對(duì)于內(nèi)部的攻擊它無(wú)能為力。隨著攻

2、擊者網(wǎng)絡(luò)技術(shù)的日趨成熟，攻擊工具與手段也更加復(fù)雜多變，單純的防火墻策略已經(jīng)無(wú)法滿(mǎn)足需求，因此在校園網(wǎng)中使用入侵檢測(cè)系統(tǒng)（簡(jiǎn)稱(chēng)IDS ）尤為重要。對(duì)防火墻和IDS 的關(guān)系有一個(gè)經(jīng)典的比喻：防火墻相當(dāng)于門(mén)衛(wèi)，對(duì)于所有進(jìn)出大門(mén)的人員進(jìn)行檢查，IDS 相當(dāng)于閉路監(jiān)控系統(tǒng)，監(jiān)控關(guān)鍵位置如財(cái)務(wù)、庫(kù)房等地的安全狀況，被認(rèn)為是防火墻之后的第二道安全閘門(mén)。入侵檢測(cè)技術(shù)1.1入侵和入侵檢測(cè)入侵檢測(cè)誕生于1980年，James P. Anderson 在Computer Security ThreatMonitoring and Surveillance 中第一次詳細(xì)闡述了入侵檢測(cè)的概念。入侵（Intrusion

3、）是企圖進(jìn)入或?yàn)E用計(jì)算機(jī)系統(tǒng)的行為。Samha 從分類(lèi)角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)、惡意使用6種類(lèi)型?？赡軐?dǎo)致入侵的情況包括進(jìn)攻者通過(guò)互聯(lián)網(wǎng)非法訪(fǎng)問(wèn)某些系統(tǒng)、系統(tǒng)授權(quán)用戶(hù)試圖取得未經(jīng)許可的其他授權(quán)和授權(quán)用戶(hù)誤用系統(tǒng)授權(quán)等。入侵檢測(cè)ID （Intrusion Detection ）是對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。11.2入侵檢測(cè)系

4、統(tǒng)將用于入侵檢測(cè)的軟件和硬件系統(tǒng)合稱(chēng)為入侵檢測(cè)系統(tǒng)（I D S ，I n t r u s i o n Detection System）。系統(tǒng)的主要作用是監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；統(tǒng)計(jì)分析異常行為模式；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。1987年，Dorothy Denning 提出了IDS 的抽象模型，首次將入侵檢測(cè)的概念作為一種計(jì)算機(jī)系統(tǒng)安全問(wèn)題的防御措施提出，成為入侵檢測(cè)發(fā)展史上的里程碑，該模型今天仍在IDS 中得到廣泛應(yīng)用。模型的3個(gè)主要的部件是事件產(chǎn)生器（Event g e n e r a t o r ），活動(dòng)記錄器（A c t i v i t y profile

5、）和規(guī)則集（Rule set），如圖1所 示。事件產(chǎn)生器負(fù)責(zé)為模型產(chǎn)生事件，活動(dòng)記錄器保存目標(biāo)系統(tǒng)的狀態(tài)，當(dāng)事件在數(shù)據(jù)源中出現(xiàn)時(shí)，活動(dòng)記錄器中的狀態(tài)就會(huì)發(fā)生改變。規(guī)則集是一個(gè)普通的核查事件和狀態(tài)的檢查器引擎，它根據(jù)模型、規(guī)則、模式和統(tǒng)計(jì)結(jié)果來(lái)檢測(cè)入侵行為。此外，反饋也是模型的一個(gè)重要組成部分，現(xiàn)有的事件會(huì)引發(fā)系統(tǒng)的規(guī)則學(xué)習(xí)，加入新的規(guī)則或者修改已有規(guī)則。系統(tǒng)的三個(gè)子系統(tǒng)是獨(dú)立的，可以分布在不同的計(jì)算機(jī)節(jié)點(diǎn)上運(yùn)行。2入侵檢測(cè)系統(tǒng)的功能概括起來(lái)主要如下：（1）監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng)；（2）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人員報(bào)警；（3）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶(hù)違反安全策略的行為；（4

6、）異常行為模式的統(tǒng)計(jì)分析；（5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。1.3 入侵檢測(cè)技術(shù)分類(lèi)按照信息收集模塊的數(shù)據(jù)來(lái)源劃分，IDS 可以分為基于主機(jī)的IDS 和基于網(wǎng)絡(luò)的IDS 。 3主機(jī)型入侵檢測(cè)系統(tǒng)具有檢測(cè)效率高、分析代價(jià)小、速度快的優(yōu)點(diǎn)，能夠迅速準(zhǔn)確的定位入侵者，可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對(duì)入侵進(jìn)行更深的分析。但是由于HIDS 的主機(jī)代理一般安裝在所保護(hù)的主機(jī)上，必須為不同的平臺(tái)開(kāi)發(fā)不同的程序，因此費(fèi)用較高，系統(tǒng)負(fù)荷也要相應(yīng)增加。另外，主機(jī)入侵檢測(cè)系統(tǒng)除了檢測(cè)自身的主機(jī)之外，根本不檢測(cè)網(wǎng)絡(luò)上的情況，這也是它的缺陷之一。：基于數(shù)字化校園網(wǎng)的入侵檢測(cè)系統(tǒng)研究王棟盧秀青甘肅聯(lián)合大學(xué)電子信

7、息工程學(xué)院；蘭州理工大學(xué)研究生部- -基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，該系統(tǒng)通過(guò)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)，分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)，來(lái)檢測(cè)入侵行為。一般網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)?；诰W(wǎng)絡(luò)的IDS 通常利用一個(gè)運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)，它能夠檢測(cè)那些來(lái)自網(wǎng)絡(luò)的攻擊以及超過(guò)授權(quán)的非法訪(fǎng)問(wèn)。一旦攻擊被檢測(cè)到，響應(yīng)模塊按照配置對(duì)攻擊做出反應(yīng)。通常這些反應(yīng)包括發(fā)送電子郵件、尋呼、記錄日志、切斷網(wǎng)絡(luò)連接等。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)是簡(jiǎn)便，擁有成本較低，對(duì)于一個(gè)校園網(wǎng)來(lái)說(shuō)，基于網(wǎng)絡(luò)的IDS 只要在幾個(gè)關(guān)鍵訪(fǎng)問(wèn)點(diǎn)上

8、進(jìn)行策略配置，就可以觀察發(fā)往多個(gè)系統(tǒng)的網(wǎng)絡(luò)通信；它不依靠操作系統(tǒng)收集更多的信息以檢測(cè)未成功的攻擊和不良企圖就可以檢測(cè)基于主機(jī)的系統(tǒng)漏掉的攻擊。但是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只能檢查它直接連接的網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包。通常采用特征檢測(cè)的方法，只可以檢測(cè)出普通的一些攻擊，且該系統(tǒng)處理加密的會(huì)話(huà)過(guò)程比較困難。校園網(wǎng)安全解決策略根據(jù)入侵檢測(cè)技術(shù)的原理和特點(diǎn)以及目前高校校園網(wǎng)的實(shí)際情況，我們提出一種防火墻與分布式入侵檢測(cè)系統(tǒng)技術(shù)結(jié)合的設(shè)計(jì)方案。2.1防火墻部署在Internet 與校園網(wǎng)之間可部署企業(yè)級(jí)防火墻，在內(nèi)外網(wǎng)之間建立了一道安全屏障。其中WWW 、Mail 、FTP 、DNS 對(duì)外服務(wù)器連

9、接在防火墻的DMZ 區(qū)，進(jìn)行內(nèi)外網(wǎng)的隔離。內(nèi)網(wǎng)連接校園內(nèi)網(wǎng)交換機(jī)，外網(wǎng)通過(guò)路由器與Internet 連接。這樣，通過(guò)Internet 進(jìn)來(lái)的公眾用戶(hù)只能訪(fǎng)問(wèn)到對(duì)外公開(kāi)的一些服務(wù)，既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶(hù)的非法訪(fǎng)問(wèn)破壞，也可以阻止內(nèi)部用戶(hù)對(duì)外部不良資源的濫用，并能對(duì)發(fā)生在網(wǎng)絡(luò)中的事件進(jìn)行跟蹤和審計(jì)。2.2分布式入侵檢測(cè)系統(tǒng)部署分布式入侵檢測(cè)系統(tǒng)是獨(dú)立于防火墻或者安全網(wǎng)關(guān)的，在系統(tǒng)局域網(wǎng)內(nèi)部使用安全檢測(cè)系統(tǒng)，它采用一個(gè)軟硬件相結(jié)合的體系結(jié)構(gòu)，英文為D i s t r i b u t i o n a lIntrusion Detection System ，簡(jiǎn)稱(chēng)為DIDS 。最好的入侵檢測(cè)系

10、統(tǒng)也不一定能夠完全地檢測(cè)并防止任何形式的入侵和攻擊，一個(gè)基本的DIDS 的任務(wù)是當(dāng)一個(gè)入侵被檢測(cè)到，入侵者的身份很快被確認(rèn)，然后被排斥在系統(tǒng)之外，而且系統(tǒng)被破壞的地方能及時(shí)地恢復(fù)過(guò)來(lái)。DIDS 按照檢測(cè)入侵的方法可以分為兩種：一種是基于規(guī)則的DIDS ，另一種是基于統(tǒng)計(jì)的DIDS 。基于規(guī)則的DIDS 的基本思想是定義一些規(guī)則或者從以前的合法行為集合中自學(xué)習(xí)得到某些規(guī)則，對(duì)于系統(tǒng)中的某個(gè)行為用規(guī)則加以判斷，確認(rèn)此行為是否為入侵行為?；诮y(tǒng)計(jì)的DIDS 是建立對(duì)于合法用戶(hù)過(guò)去行為的分析數(shù)據(jù)庫(kù)，然后利用這些數(shù)據(jù)來(lái)確認(rèn)一個(gè)行為是否為入侵行為。DIDS 對(duì)于入侵的檢測(cè)分為防護(hù)和檢測(cè)兩個(gè)部分，通常DID

11、S 把掃描系統(tǒng)單獨(dú)作為一個(gè)系統(tǒng)模塊或者把掃描系統(tǒng)與安全網(wǎng)關(guān)結(jié)合在一起。那么可以把掃描系統(tǒng)集成到DIDS 中以便系統(tǒng)對(duì)自己的內(nèi)部網(wǎng)絡(luò)以及提供的各種服務(wù)進(jìn)行有效地掃描，發(fā)現(xiàn)常見(jiàn)漏洞。DIDS 的體系結(jié)構(gòu)有五個(gè)部分組成，分別為入侵事件組件、反映組建、分析組建、數(shù)據(jù)庫(kù)組件和目錄服務(wù)器，見(jiàn)圖2所 示。其中目錄服務(wù)器是定位其他四個(gè)方面組件的地址和使用權(quán)限，如果分析組建需要數(shù)據(jù)庫(kù)的數(shù)據(jù)，必須先查詢(xún)目錄服務(wù)器，得到其認(rèn)證和授權(quán)后才可以訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)中的數(shù)據(jù)。分布式入侵檢測(cè)系統(tǒng)由一個(gè)中心監(jiān)測(cè)工作站和分布在校園網(wǎng)中的多個(gè)被監(jiān)視主機(jī)上的監(jiān)視代理服務(wù)器組成。中心監(jiān)視工作站包括一個(gè)管理系統(tǒng)和一個(gè)專(zhuān)家系統(tǒng)，專(zhuān)家系統(tǒng)是一個(gè)數(shù)據(jù)

12、分析系統(tǒng)，對(duì)于收到的一定數(shù)量的數(shù)據(jù)根據(jù)統(tǒng)計(jì)和規(guī)則來(lái)進(jìn)行分析從而報(bào)告系統(tǒng)的安全狀況。代理服務(wù)器的功能是負(fù)責(zé)收集由當(dāng)?shù)刂鳈C(jī)的審計(jì)功能軟件提供的審計(jì)數(shù)據(jù)，把所有提取出來(lái)的審計(jì)數(shù)據(jù)送到中心監(jiān)視工作站的緩存區(qū)，然后用專(zhuān)家系統(tǒng)分析數(shù)據(jù)。管理系統(tǒng)提供安全管理和監(jiān)視主機(jī)的功能，負(fù)責(zé)控制主機(jī)的審計(jì)功能，并把專(zhuān)家系統(tǒng)做出的入侵反映決定或一般的狀態(tài)信息反饋到被監(jiān)視的主機(jī)上去，在這里被檢測(cè)的主機(jī)和中心監(jiān)視工作站是通過(guò)安全的RPC 連接通信的，RPC 的安全度通過(guò)硬件加密機(jī)制加以保證，這樣數(shù)據(jù)加密會(huì)提供很強(qiáng)的認(rèn)證機(jī)制確保數(shù)據(jù)可以再被檢測(cè)主機(jī)和中心監(jiān)視工作站之間的安全通信。4我們?cè)谶@里將IPS 防御引擎部署在防火墻的后面

13、，分析那些穿過(guò)邊界的各種網(wǎng)絡(luò)入侵行為，按照預(yù)先訂制的策略信息來(lái)控制和防御各種違規(guī)和異常行為。如圖3所示。在該圖中，我們將入侵檢測(cè)和防御系統(tǒng)和防火墻相結(jié)合，既可以降低入侵防御系統(tǒng)的分析資源開(kāi)銷(xiāo)，又可以實(shí)現(xiàn)全網(wǎng)絡(luò) 的違規(guī)控制和攻擊防御。通過(guò)這個(gè)方案，網(wǎng)絡(luò)中心能夠成功地檢測(cè)并阻斷蠕蟲(chóng)、帶寬濫用等威脅；還能夠有效抵御針對(duì)路由器、交換機(jī)、DNS 服務(wù)器等網(wǎng)絡(luò)重要基礎(chǔ)設(shè)施的攻擊。結(jié)束語(yǔ)本文研究了防火墻與分布式入侵檢測(cè)技術(shù)的設(shè)計(jì)原理和技術(shù)實(shí)現(xiàn)，討論了它們作為一個(gè)有機(jī)整體發(fā)揮安全防護(hù)功能的必要性和可行性。該系統(tǒng)以防火墻為基礎(chǔ)，聯(lián)合分布式入侵檢測(cè)技術(shù)，提供了一個(gè)立體的防護(hù)體系，動(dòng)態(tài)地適應(yīng)網(wǎng)絡(luò)的變化，將防火墻的機(jī)

14、動(dòng)性和實(shí)時(shí)反應(yīng)能力大大提高，并增強(qiáng)了入侵檢測(cè)系統(tǒng) - -方式。這樣的電子物資采購(gòu)雖然也能降低采購(gòu)成本，提高采購(gòu)效益，但由于技術(shù)本身存在的一些缺陷，例如：集成性和適應(yīng)性比較差，缺乏系統(tǒng)級(jí)的共享性、協(xié)同困難等。客觀上制約了電子物資采購(gòu)的推廣與效益的最大限度發(fā)揮。需要進(jìn)行徹底的改善。而Web Services 較好地解決了上述問(wèn)題。建立在W e b Services 基礎(chǔ)之上的電子物資采購(gòu)系統(tǒng)克服了傳統(tǒng)電子采購(gòu)系統(tǒng)的低集成性和低適應(yīng)性保證了系統(tǒng)良好的兼容性和通用性，能使系統(tǒng)上的企業(yè)實(shí)現(xiàn)協(xié)同運(yùn)作，極大地提高了物資采購(gòu)效率、縮短了物資采購(gòu)周期、降低了物資采購(gòu)成本，提升了企業(yè)之間的戰(zhàn)略合作關(guān)系。3. 2系

15、統(tǒng)功能設(shè)計(jì)電子物資采購(gòu)系統(tǒng)是一個(gè)涉及面廣、功能較復(fù)雜的系統(tǒng)。完整的電子物資采購(gòu)系統(tǒng)不僅包含訂貨系統(tǒng)和供貨系統(tǒng)兩個(gè)方面，還包括網(wǎng)上信息搜尋、網(wǎng)上交易功能。它既可以獨(dú)立于企業(yè)管理信息系統(tǒng)存在，也可以與企業(yè)的ERP 、CRM 等系統(tǒng)相互使用。一個(gè)功能完備的網(wǎng)上采購(gòu)系統(tǒng)至少應(yīng)由物資采購(gòu)訂單生成模塊、電子物資采購(gòu)模塊、物資采購(gòu)信息管理模塊、供應(yīng)商評(píng)估模塊、物資采購(gòu)合同管理模塊、電子支付模塊和報(bào)表打印模塊七個(gè)功能模塊組成。物資采購(gòu)訂單生成模塊：一個(gè)物資采購(gòu)過(guò)程是從一個(gè)物資采購(gòu)單生成開(kāi)始的。物資采購(gòu)訂單的生成要經(jīng)歷四個(gè)步驟：采購(gòu)需求申報(bào)、采購(gòu)項(xiàng)目立項(xiàng)、采購(gòu)項(xiàng)目審批、制定采購(gòu)訂單。電子物資采購(gòu)模塊：供貨方收到

16、訂貨方的采購(gòu)訂單后，供貨方的系統(tǒng)根據(jù)供貨方產(chǎn)品數(shù)據(jù)庫(kù)響應(yīng)采購(gòu)單；訂貨方可以比較多個(gè)供貨方產(chǎn)品信息得出最終選擇。常用的電子物資采購(gòu)方式主要有目錄采購(gòu)、詢(xún)比價(jià)采購(gòu)、競(jìng)價(jià)采購(gòu)、招投標(biāo)采購(gòu)等。物資采購(gòu)信息管理模塊：用來(lái)管理供應(yīng)商企業(yè)信息、供應(yīng)商產(chǎn)品信息及其他相關(guān)產(chǎn)品信息，發(fā)布采購(gòu)公告，查詢(xún)物資采購(gòu)結(jié)果。供應(yīng)商評(píng)估模塊：用來(lái)對(duì)現(xiàn)有供應(yīng)商的日常表現(xiàn)進(jìn)行定期監(jiān)督和考核。以確保供應(yīng)商的供應(yīng)質(zhì)量，同時(shí)在供應(yīng)商之間進(jìn)行比較，以便繼續(xù)同優(yōu)秀的供應(yīng)商進(jìn)行合作，淘汰績(jī)效差的供應(yīng)商。物資采購(gòu)合同管理模塊：主要涉及從合同談判、簽訂到合同審批到合同履行期間的執(zhí)行跟蹤直至合同終止的供應(yīng)商或采購(gòu)商的關(guān)于合同的所有活動(dòng)，目的是要解

17、決合同期間出現(xiàn)的任何問(wèn)題，確保供應(yīng)商履行合同規(guī)定的義務(wù)。電子支付模塊：當(dāng)網(wǎng)上采購(gòu)雙方達(dá)成協(xié)議之后，可以利用電子支付這種方便快捷的方式進(jìn)行交易。電子支付安全、快捷，不僅能夠縮短支付時(shí)間，還能夠降低支付成本。利用電子方式保存的信息可以方便快捷地實(shí)現(xiàn)搜索功能和統(tǒng)計(jì)功能，為以后企業(yè)領(lǐng)導(dǎo)的查閱、決策提供方便。報(bào)表打印模塊：報(bào)表打印模塊能方便快速、準(zhǔn)確無(wú)誤地生成領(lǐng)導(dǎo)需要查閱的各種采購(gòu)信息，并能最大限度地減少報(bào)表的數(shù)量。系統(tǒng)的實(shí)現(xiàn)基于Web Services的主動(dòng)式電子采購(gòu)系統(tǒng)是一種需要訂貨方與供應(yīng)商之間相互配合才能發(fā)揮最大效率的系統(tǒng)。訂貨方系統(tǒng)的實(shí)現(xiàn)需要利用大量的供應(yīng)商提供的Web Services，同樣供貨系統(tǒng)也是如此。訂貨方發(fā)布物資采購(gòu)單的W e b Services 的實(shí)現(xiàn)：此服務(wù)首先檢索采購(gòu)訂單數(shù)據(jù)庫(kù)，把還沒(méi)有完成的采購(gòu)訂單信息檢索出來(lái)，并發(fā)布給供應(yīng)商。訂貨方提供的供貨方基本信息修改Web Services的實(shí)現(xiàn)：此服務(wù)可以使供應(yīng)商動(dòng)態(tài)地修改自己的基本信息，如公司名稱(chēng)、公司電話(huà)、聯(lián)系人、產(chǎn)品簡(jiǎn)介等。但公司編號(hào)、公司信用等級(jí)是由訂貨方維護(hù)，供應(yīng)商只能瀏覽，無(wú)法修改。訂貨方利用供應(yīng)商提供的W e b Services 實(shí)現(xiàn)流水化電子物資采購(gòu)：實(shí)現(xiàn)流水化電子采購(gòu)需要供貨方提供一整套的Web