浅谈入侵检测技术在校园网中的应用

摘要：入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。本文对入侵检测技术的历史、相关概念、分类和发展趋势做出一定的分析研究，对入侵检测技术的未来技术走向进行一些有效的探讨，从而通过了解入侵检测技术可以对校园中的网络改进。

关键词：入侵检测技术；网络安全；发展趋势

一、前言

随着计算机网络的飞速发展和Internet应用范围的不断扩大，人们能够方便有效地获取信息资源和与他人交流。但是，由于网络协议本身设计和实现上一些不完善的因素，随之而来的Internet入侵事件也就层出不穷。作为开放网络的组成部分，校园网络的安全也是不可忽视的。由于各种原因导致校园网既是大量攻击的发源地，也是攻击者最容易攻破的目标。当前校园网常见的风险如下：普遍存在的计算机系统的漏洞，对信息安全、系统的使用、网络的运行构成严重的威胁；计算机蠕虫、病毒泛滥。影响用户的使用、信息安全、网络运行；外来的系统入侵、攻击等恶意破坏行为，有些计算机已经被攻破，用作黑客攻击的工具：拒绝服务攻击目前越来越普遍。

二、入侵检测技术在校园网中的作用

加强校内处信息的交流，满足校区广大师生的需求，充分利用网络资源为全校教学、科研和管理服务，我们将用户的应用需求归纳为如下几个方面：

1.内部信息：向各部门规章制度、规划、计划、通知等公开信息等。

2.电子邮件：校园内部的电子邮件的发送与接收。

3.文件传输：校园内部的文本文件、图像文件、语音文件等发送与接收。

4.资源共享：文件共享、数据库共享、打印机共享。

5.导航系统：校园内部各部门web站点的导航。

6.外部通信：通过广域网或专线连接，可与国内外的合作伙伴交流信息。

7.接入因特网：接入中国电信、Internet，对外信息。

架设一个入侵监测系统(IDS)是非常必要的，处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。

IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。IDS是被动的，它监测你的网络上所有的数据包。其目的就是扑捉危险或有恶意动作的信息包。IDS是按你指定的规则运行的，记录是庞大的，所以我们必须制定合适的规则对他进行正确的配置，如果IDS没有正确的配置，其效果如同没有一样。IDS能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。

三、入侵检测技术在校园网中存在的不足

（一）防火墙位置。

防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查、防护等功能。因此，在网络拓扑上，防火墙应当处在网络的出口处和不同安全等级区域的结合点处。这些位置通常位于内部网到Internet出口链路处；主干交换机至服务器区域工作组交换机的骨干链路上；内部网与高安全等级的网的连接点；远程拨号服务器与骨干交换机或路由器之间。

（二）入侵检测位置。

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有来自高危网络区域的访问流量和需要进行统计、监视的网络报文都必须流经的链路上。IDS在交换式网络中的位置一般选择在：尽可能靠近攻击源；尽可能靠近受保护资源。这些位置通常是：

•服务器区域的交换机上；

•Internet接入路由器之后的第一台交换机上；

•重点保护网段的局域网交换机上。

（三）防火墙与IDS的结合。

谈到网络安全，人们第一个想到的就是防火墙。但随着技术的发展，网络日趋复杂，传统防火墙所暴露出来的不足和弱点引起了人们对入侵检测系统(IDS)技术的研究和开发。

首先，传统的防火墙在工作时，就像深宅大院虽有高大的院墙，却不能挡住小老鼠甚至是家贼的偷袭一样，因为入侵者可以找到防火墙背后可能敞开的后门。

其次，防火墙完全不能阻止来自内部的袭击。我们通过调查发现，70%的攻击都将来自于校园网内部，对于校园网内部个别心怀不满的教师或学生来说，防火墙形同虚设。

再者，由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于现在层出不穷的攻击技术来说是至关重要的。

第四，防火墙对于病毒也束手无策。因此，以为在 Internet入口处部署防火墙系统就足够安全的想法是不切实际的。

入侵检测系统(IDS)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如及时记录证据用于跟踪、切断网络连接，执行用户的安全策略等。

四、防火墙与IDS结合的优点改进校园网

防火墙只是一种基于策略的被动防御措施，是一种粗颗粒的防御手段，无法自动调整策略设置来阻断正在进行的攻击，也无法防范基于协议的攻击。所以，单靠防火墙是无法实现良好的安全防护性能的。

IDS能够实时分析校园网外部及校园网内部的数据通讯信息，分辨入侵企图，在校园网络系统受到危害前以各种方式发出警报，并且及时对网络入侵采取相应措施，最大限度保护校园网系统的安全。但是，单靠入侵检测系统自身，只能及时发现攻击行为，但却无法阻止和处理。

我们将二者结合起来互动运行，防火墙便可通过IDS及时发现其策略之外的攻击行为，IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。IDS与防火墙有效互动就可以实现一个较为有效的安全防护体系，可以大大提高整体防护性能，解决了传统信息安全技术的弊端、解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。防火墙和入侵检测的模型有以下好处：

1.如果能够足够迅速检测到入侵，那么就能确认入侵者，并能在破坏发生或数据损坏之前把他驱逐出系统。即使未能足够迅速地检测出入侵并加以阻止，也是越迅速地检测出入侵，越能减少破坏的危害并能更迅速地加以恢复。

2.高效的检测系统能够起到威慑作用，因此也能从一定程度上阻止入侵。

3.入侵检测系统能够收集有关入侵技术的信息。这样可以用来加强入侵阻止设施。

五、入侵检测技术的发展趋势

目前，国外一些研究机构已经开发出了应用于不同操作系统的几种典型的入侵检测系统(IDS。它们通常采用静态异常模型和规则的误用模型来检测人侵。这些1DS的检测基本是基于服务器或基于网络的=早期的1DS模型设计用来监控单一服务器，是基于主机的人侵检测系统,然而近期的更多模型则集中用于监控通过网络互连的多服务器，是基于网络的侵人检测系统近年来人侵检测技术的主要发展方向。

六、结语

人侵检测被认为是防火墙之后的第二道安全闸门，它采用的是一种主动的技术，能有效地发现入侵行为和合法用户滥用特权的行为，已经成为网络安全体系中一个重要组成分．目前入侵检测技术还处于研究和发展阶段，同样存在很多不足之处。随着网络通信技术安全性的要求越来越高，人们需要重点研究一些智能化的检测技术，同时还要研究如何将入侵检测技术和其他网络安全技术相结合来构建一个网络安全体系等等，这些都是以后入侵检测发展的主要方面。

参考文献：

[1]唐正军、李建华. 《入侵检测技术》.清华大学出版社.2004年4月.