基于入侵检测的校园网安全探讨＊

时间：2024-08-31

李慧芳

(长治学院计算机系，山西长治 046011)

基于入侵检测的校园网安全探讨＊

李慧芳

(长治学院计算机系，山西长治 046011)

随着网络技术的发展，校园网的安全问题日益突出.在分析存在的问题和防御措施的基础上，提出了采用分布式和Agent技术相结合的入侵检测技术来解决校园网络安全问题.

校园网;入侵检测;网络安全

随着信息技术和网络技术的发展，校园网建设如火如荼，国内大多数高校基本上建成了自己的校园网.校园网不仅可以为学生学习活动、教师的教学和科研活动、学校教育教学管理提供服务，还可以作为学校与外界互动的窗口.一些人认为，校园网应该是一个开放式的网络平台，可以让访问者尽可能地共享资源，而不是人为地设置障碍，因此对安全的要求不应该过高.但是，随着网络的高速发展，网络安全问题正日益突出，而且触及面也越来越广，早已影响到校园网络的正常运行.近些年来，国内多所高校校园网都遭受了网络病毒不同程度的侵害，因此保证校园网络的安全，如不受网络黑客侵害和病毒破坏等［1，2］，就成了校园网建设中不可回避的紧迫问题.

入侵检测技术(Intrusion Detection System，简称IDS)是近些年来出现的新型网络安全技术，是一种用于检测计算机网络中违反安全策略行为的技术［3，4］.它能够提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复，断开网络连接等.它能够阻止黑客的入侵并防止病毒的蔓延.入侵检测技术可以成为校园网防御非法攻击的工具.

1 校园网网络安全存在的主要问题

校园网是校园内计算机及附属设备互联运行的局域网络，是由计算机、网络设备和软件等构成的为学校管理和教育教学服务的集成应用系统.它是以计算机技术、多媒体技术、现代网络技术、因特网技术等为基础建立起来的计算机网络，可通过互联实现校园内部的计算机进行远距离信息交流和信息资源共享.校园网网络安全的目标是确保经网络传输的信息在传输过程中没有任何改变、丢失、增加或非法读取.当前，校园网网络普遍存在的安全问题主要有以下几个方面.

1.1 病毒的侵袭

计算机病毒已经成为校园网的巨大威胁，严重影响着学校正常的教学、管理、科研等工作.病毒瞬间就可传遍整个网络上所有登陆的计算机，破坏校园网的数据信息，影响校园网的运行速度.它是一种有很强破坏力和感染力的计算机程序.这种程序与其他程序不同，当把这种程序输入正常工作的计算机后，会把已有的信息破坏，并且，这种程序具有再生的能力，能自动进入有关的程序进行自我复制.它像微生物一样，可以繁殖.

目前，校园网环境下，计算机病毒主要有以下几个特征:

(1)隐蔽性:病毒常附在正常程序中或磁盘的较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现它的存在.如果不经过代码分析，病毒程序与正常程序是不容易区别开来的.一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染给大量程序.而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常.

(2)传染性:类似于人的传染疾病，病毒程序一旦侵入到校园网系统就开始自我复制，迅速蔓延到校园网中的每一台计算机.

(4)潜伏性:大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现(破坏)模块.只有这样它才可广泛地传播.

(5)寄生性:病毒是一种可直接或间接执行的文件，是没有文件名的秘密程序，但它的存在却不能以独立文件的形式存在，它必须是以附着在现有的硬软件资源上的形式存在的.

1.2 黑客的攻击

校园网接入因特网后，难免会遇到网络黑客的攻击.黑客利用攻击技术对校园网系统进行破坏，比如:对校园网站的服务器发送大量垃圾信息，导致整个校园网络运行缓慢甚至陷于瘫痪.目前，常见的黑客攻击手段有:获取口令、WWW欺骗技术、放置特洛伊木马程序、信息炸弹、拒绝服务、网络监听和密码破解.

1.3 系统漏洞

大多数的校园网安装的操作系统都是WINDOWS、UNIX等，这些操作系统都不同程度地存在安全漏洞，比如:浏览器漏洞、TCP/IP协议漏洞，严重威胁着校园网的安全.漏洞在补丁未被开发之前一般很难防御黑客的破坏，除非不联网.还有些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可趁之机，应及时加以修正.

2 校园网的安全防御措施分析

校园网网络安全是一个相当复杂的系统工程，要想保证校园网的安全，建立一个安全、可靠的网络环境，就必须运用先进的网络安全技术，建立完善的防御措施.

2.1 防火墙技术

为了校园网的安全，一个使用广泛的技术就是防火墙技术，即在校园网和INTERENT之间设一个防火墙.防火墙实际上是一个或一组系统，可以防止外部网络未授权访问校园网.它会根据校园网的安全策略，对外部网络与校园网交流的数据进行检查，安全的予以放行，不安全的拒之门外，在一定程度上保证校园网的安全.应用好防火墙并对防火墙进行正确的设置，将对校园网的安全起到十分重要的作用.网络管理人员应当规划设置正确的安全过滤规则，将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用.防火墙存在一定的局限性，既不能保护计算机免受所有它拦截到的攻击，又不能防御来自校园网内部的攻击.

通过上面的分析,如果IGBT发生了断路故障,则势必会使In的波形发生变化,将其转换到频域中,可以很明显通过频谱分量的大小将其检测出来。根据离散傅里叶变换[5],可知在频域中进行数据的离散化可以得到DFT变换为:

2.2 加密技术

既然网络本身并不安全可靠，那么所有重要的信息全部需要进行加密处理.加密技术是一种保护数据传输安全的唯一实用方法和保护存储数据安全的有效方法.为了防止学校重点部门的重要信息被截取或篡改可采用加密技术对传播数据进行加密，使数据以密文的形式传播，即便传输数据被截取，也无法获取真实信息.网络加密常用的方法有三种，分别是链路加密、端点加密和节点加密.

2.3 身份认证和识别

学校各部门的信息对学校有非常重要的价值，需要我们保护.身份认证和识别是校园网的大门，用户的标识和鉴别是用户进入校园网的第一道防线.通过验证用户名称和口令，防止非法用户访问校园网数据库以及对数据库进行恶意操作.

3 基于入侵检测的校园网网络安全技术

入侵检测是保障校园网安全的关键部件，是对防火墙等防御措施的有效补充.它能够帮助校园网快速发现发生的攻击.

3.1 入侵检测的定义

入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测对系统的闯入或闯入的企图.其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持.进行入侵检测的软件或硬件的组合便是入侵检测系统.

3.2 入侵检测系统的功能

入侵检测系统能够在入侵攻击对系统产生危害前检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击，还能够减轻正在发生的入侵攻击所造成的损失.一般来说，一个好的入侵检测系统，应该具备以下几个功能:

(1)检查操作系统配置和漏洞，并能校验和管理操作系统，判断有无破坏安全的用户活动;

(2)检查其它系统软件和数据文件的完整性;

(3)监督并分析用户和系统的活动;

(4)识别代表已知攻击的活动模式和统计分析反常行为模式;

(5)针对已发现的攻击行为作出适当反应.

3.3 IDS的发展现状

目前，许多专家提出了很多有用的IDS产品，如:基于主机的入侵检测系统、基于图形的入侵检测系统、基于状态转换的入侵检测系统等.但这些系统都存在一些缺陷，主要可以概括为以下几点:

(1)检测能力不高.现有的IDS检测方法单一，会出现漏报且误报率高.检测效率低;

(2)协同工作能力不高.应该加强与防火墙、身份认证等其他安全技术之间的沟通;

(3)抗攻击能力差.IDS自身也成为被攻击的对象，如何保护IDS自身的安全性是IDS的首要任务.

由于以上的这些缺陷，传统的IDS产品已经无法处理校园网遭受的各种各样的网络攻击，需要我们采用新的技术来提高入侵检测系统的服务能力.

3.4 基于分布式入侵检测的校园网安全技术

综合上述有关入侵检测技术的探讨，结合当前校园网存在的网络安全问题，我们采用分布式技术和移动Agent技术来开发系统.分布式技术的应用能够解决入侵检测的漏报和误报率高的问题，能够对不同的检测环境分类并对不同的环境采用不同的检测方法.采用多个检测部件，每个部件采用不同的检测方法，共同完成检测任务.这样既能够提高检测准确度，又能够提高检测效率.但采用分布式技术时，系统开销会很高，不会根据不同网段的具体情况处理问题.移动A-gent技术正好可以弥补这一缺点，能够及时发现安全问题，更好地保护校园网信息.这种新型IDS具有以下几个特点:

(1)抗攻击性:自身在遭受外来攻击而出现问题时，能够不受影响，迅速调整状态，继续为校园网服务;

(2)实时性:能够在短时间内发现攻击或者攻击的企图，并能尽快查找出攻击者的位置，阻止其进一步的攻击活动，使校园网所遭受的破坏降低到最低限度;

(3)适应性:校园网络环境复杂多样，经常会发生增加计算机数量、改变计算机系统类型等情况，当环境变化时，新型IIDS依然能够适应环境正常工作;

(4)有效性:能够减少漏报，降低误报率，提高检测效率.