入侵检测系统及其在构建校园网安全防护体系中的应用

入侵检测系统及其在构建校园网安全防护

体系中的应用

（空军工程大学 导弹学院，陕西三原 713800）

摘要：入侵检测系统是一种基于主动策略的网络安全系统，它通过监视运行系统的状态与活动，检测出非授权的和恶意的网络访问行为，产生入侵告警。文中首先对入侵检测系统进行了分析说明，接着讨论了入侵检测系统在构建校园网安全防护体系中的应用。

关键词：入侵检测；安全防护体系；校园网

中图分类号：TP393.08 文献标识码：A

Intrusion Detection System and Its Application in Constructing

Security Defence System of Campus Network

DI Bo

(The Missile Institute of the Air Force Engineering University,Sanyuan713800,China)

Abstract:Instrusion Detection System is an activity-based network security system.It finds unauthorized or malign network accessing behavior by means of monitoring the states and activities of running system,raises intrusion alert in time. This paper analyzes and illuminate IDS.Then discuss its Application in constructing security defence system of campus network

Key words: Instrusion detection;Cecurity defence system;Campus network

1．引言

经过几年的建设，国内各大中专院校的校园网已初见规模，成为教职员工和学生们进行学术交流，信息检索和通信联络的不可缺少的有力工具。但随之而来的是校园网上的安全问题越来越突出，如果不解决好这个问题，将会极大地影响网络所发挥的积极作用。

传统的安全防御手段有防火墙、加密、身份认证、访问控制、安全路由器等[1]，它们只是尽可能地使用禁止策略来进行防御，但从构建安全防御体系的角度来说，单纯防御是不够的，还应采取主动策略，而入侵检测技术正是基于主动策略的网络安全系统，是被动策略的逻辑补偿，在校园网中采用入侵检测系统，可大大加强校园网的安全性。

2．入侵检测系统

2．1 入侵检测的概念

Intrusion Detection System(入侵检测系统) 顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中获得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

2．2 入侵检测的功能

（1）监控、分析用户和系统的活动

（2）核查系统配置和漏洞

（3）评估关键系统和数据文件的完整性

（4）识别攻击的活动模式并向网管人员报警

（5）对异常活动的统计分析

（6）操作系统审计跟踪管理，识别违反政策的用户活动

（7）评估重要系统和数据文件的完整性；

2．3 入侵检测技术的分类

按入侵检测的手段来划分，入侵检测系统的入侵检测模型可以分为基于网络和基于主机两类[2]：

（1） 基于主机模型：也称基于系统的模型，通过分析系统的审计数据来发现可疑的活

动，如内存和文件的变化等。其输入数据主要来源于系统的审计日志，一般只能检测该主机上发生的入侵。

（2） 集于网络的模型：通过连接在网络上的站点捕获网上的包，并分析其是否具有已

知的攻击模式，以此来判别是否为入侵者。当这些产品发现某些可疑的现象时也一样会产生告警，而且也可能会向一个中心管理站点发出“告警”信号。

2． 4入侵检测的技术途径

入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点收集信息，这样可以尽可能扩大检测范围的因素外，而且有时候从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。

入侵检测利用的信息一般来自以下四个方面：

（1） 系统日志

黑客经常在系统日志中留下他们的踪迹，因此，充分利用系统日志是检测入侵的必要条件。日志文件中记录了各种行为类型，每种类型又包含不同的信息，很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

（2）目录以及文件中的异常改变

网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。

（3）程序执行中的异常行为

网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。

（4）物理形式的入侵信息

这包括两个方面的内容，一是未授权的对网络硬件连接；二是对物理资源的未授权访问。 第二步是数据分析。一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

（1）模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

（2） 统计分析

统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发

生。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

(3) 完整性分析

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。

3. 在校园网安全防护体系应用入侵检测系统

目前，各个学校的校园网上所采用的安全防护手段主要是防火墙，这也是防范网络攻击最常用的方法，作为一种边界安全，防火墙能有效地保护网络内部的安全，但事实证明，仅仅有防火墙是不够的，防火墙充当了外部网和内部网的一个屏障，但并不是所有的外部访问都通过防火墙的。而且，安全威胁往往来自于网络内部，例如，大学里的一些学生为了炫耀自己的技术高超，往往会用自己所学到的网络攻击方法从内部对网络进行攻击，这时防火墙便失去了作用，并且防火墙本身也极容易从外部被攻破。防火墙的目的，仅仅是充当一个看护程序的角色，被动地监视网络内外通信。入侵检测系统是安全技术的核心，是防火墙的重要补充，它能有效的结合其它网络安全产品的性能，对网络安全进行全方位地保护，具有主动性和实时性的特点。如果在校园网中采用了入侵检测系统的话，结合其它安全防护手段，必可以极大地加强校园网的安全，更好的为教学服务。

3．1 入侵检测系统产品

在为校园网选择入侵检测防护系统时，首先要了解入侵检测系统的产品情况。经过几年的发展，入侵检测产品开始步入快速的成长期。一个入侵检测产品通常由两部分组成：传感器(Sensor)与控制台(Console)。传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。控制台主要起到中央管理的作用，商品化的产品通常提供图形界面的控制台，这些控制台基本上都支持Windows NT平台。下面介绍其中一些产品：

[2](1) Cisco公司的NetRanger

NetRanger产品分为两部分：监测网络包和发告警的传感器，以及接收并分析告警和启动对策的控制器。NetRanger以其高性能而闻名，而且它还非常易于裁剪。控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击。NetRanger的最大名声在于其是针对企业而设计的。

NetRanger在全球广域网上运行很成功。例如，它有一个路径备份(Path-doubling)功能。如果一条路径断掉了，信息可以从备份路径上传过来。它甚至能做到从一个点上监测全网或把监测权转给第三方。

NetRanger的另一个强项是其在检测问题时不仅观察单个包的内容，而且还看上下文，即从多个包中得到线索。这是很重要的一点，因为入侵者可能以字符模式存取一个端口，然后在每个包中只放一个字符。如果一个监测器只观察单个包，它就永远不会发现完整的信息。NetRanger是目前市场上基于网络的入侵检测软件中经受实践考验最多的产品之一。

但是，对于某些用户来讲，NetRanger的强项也可能正好是其不足。它被设计为集成在OpenView或NetView下，在网络运行中心（NOC）使用，其配置需要对Unix有详细的了解。NetRanger相对较昂贵，这对于一般的局域网来讲未必很适合。

(2) RealSecure 3.2

RealSecure的网络引擎几乎能够发现我们发起的每一种主流攻击方式（包括远程缓冲区溢出、拒绝服务攻击和已知的CGI漏洞等），但是不能检测到一些更隐蔽的入侵方式（如利用最近的RDS/ODBC漏洞和一些第三方CGI脚本的攻击等）。ISS还增加了一个定制选择功

能，用户可以检查数据包的负载情况，并且使用规则的表达式来搜索这些负载中的某类数据包。

RealSecure提供了简单而又有效的管理接口，这个接口在总体设计方面领先于其他竞争者。RealSecure的管理控制台使用分级树设计，因此管理员可以根据攻击类型、攻击者或目标主机等分类查看检测到的入侵数据。任何一个做过安全事故响应工作的人都会知道拥有这些数据是多么重要。有关接口任何一个部分的信息都可以通过右击相应的条目在另外一个窗口中打开。当报警提示弹出到控制台时，用户能迅速地查看到所有与之相关的信息。

RealSecure最大的不足在于它无法重组破碎的封包，这是一个较严重的缺陷。它还缺乏对管理控制台事件窗口中全部事件的清除功能。

综合来看，在检测入侵行为并且成功地阻止这些行为方面，ISS的RealSecure是基于主机检测和基于网络检测技术实现最佳集成的典范。

(3)“天眼”网络入侵侦测系统（Netpower）

Netpower是一套以监测网络入侵功能为基础，集成了在线网络入侵检测、入侵即时处理（即时报警、切断连接、暂停服务等）、离线入侵分析、入侵侦测查询、报告生成等多项功能的分布式入侵检测系统。系统不仅能及时监控网络资源运行状况，为网络管理人员及时提供网络入侵预警和防范、解决方案，还使得黑客入侵有迹可寻，为用户采取进一步行动提供强有力的技术主持，大大加强了对恶意黑客的威慑力量。

3．2 入侵检测产品选择要点

选择入侵检测系统时，要根据各自学校的具体情况，结合价铬、性能和可升级性选择满足自己需要的入侵检测系统。要考虑的要点有：

(1) 系统的价格

当然，价格是必需考虑的要点，不过，性能价格比、以及要保护系统的价值可是更重要的因素。

(2) 特征库升级与维护的费用

象反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。

(3) 对于网络入侵检测系统，最大可处理流量(包/秒 PPS)是多少

首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。

(4) 该产品是否容易被躲避

有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。

(5) 产品的可伸缩性

系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。

(6) 运行与维护系统的开销

产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。

(7) 产品支持的入侵特征数

不同厂商对检测特征库大小的计算方法都不一样，所以不能偏听一面之辞。

(8) 产品有哪些响应方法

要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很好的功能，但是，自动配置防火墙可是一个极为危险的举动。

(9) 是否支持IP碎片重组 [3]

入侵检测中，分析单个的数据包会导致许多误报和漏报，IP碎片的重组可以提高检测的精确度。而且，IP碎片是网络攻击中常用的方法，因此，IP碎片的重组还可以检测利用IP碎片的攻击。IP碎片重组的评测标准有三个性能参数：能重组的最大IP分片数；能同时重组的IP包数；能进行重组的最大IP数据包的长度。

(10) 是否支持TCP流重组。

TCP流重组是为了对完整的网络对话进行分析，它是网络入侵检测系统对应用层进行分析的基础。如检查邮件内容、附件，检查FTP传输的数据，禁止访问有害网站、判断非法HTTP请求等。

(11) 是否通过了国家权威机构的评测

主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。

4 结束语

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。在构建校园网的安全防护体系中使用防火墙等安全防护技术的同时，引入入侵检测系统，两者相辅相成，互相补充，划分防御层，为入侵者设置层层屏障，就可以最大限度地维护系统的安全。

参考文献:

[1] 网络最高安全技术指南[M].王锐,等.北京:机械工业出版社,1998

[2] Balasubramaniyan,J.S.et al.An architecture for intrusion detection using autonomous agents[C].Computer Security Applications conference, 1998.Proceedings. 14th Annual.1998.86-91

[3] S http://www.77cn.com.cnputer Immunology[J].Communication of ACM,1997,40(10):88-96.

本文来源：https://www.bwwdw.com/article/7nqi.html