校园网络中入侵技术的研究

摘 要：本文通过网络现状的分析，特别是校园网中存在的入侵形式的描述，引入了入侵检测技术的现状为以后应对校园网络出现的问题指明了方向，同时也指出了入侵技术研究方面的不足，为下一步研究奠定了基础。

关键词：校园网络；黑客攻击；入侵技术

1 校园网络安全现状

随着网络应用的普及，电子商务！电子银行和电子政务等网络服务的大力发展，网络在人们日常生活中的应用越来越多重要性越来越大，网络攻击也越来越严重。有一些人专门利用他们掌握的信息技术知识从事破坏活动，入侵他人计算机系统窃取！修改和破坏重要信息，给社会造成了巨大的损。随着攻击手段的变化，传统的以身份验证、加密、防火墙为主的静态安全防护体系已经越来越难以适应日益变化的网络环境，尤其是授权用户的滥用权利行为，几乎只有审计才能发现园网是国内最大的网络实体，如何保证校园网络系统的安全，是摆在我们面前的最重要问题。

因此，校园网对入侵检测系统也有着特别的需求校园网的特点是在线用户比率高、上网时间长、用户流量大、对服务器访问量大，这种情况下，校园网络面临着许多安全方面的威胁：

（1）黑客攻击，特别是假冒源地址的拒绝服务攻击屡有发生攻击者通过一些简单的攻击工具，就可以制造危害严重的网络洪流，耗尽网络资源或使主机系统资源遭到攻击同时，攻击者常常借助伪造源地址的方法，使网络管理员对这种攻击无可奈何。

（2）病毒和蠕虫，在高速大容量的局域网络中，各种病毒和蠕虫，不论新旧都很容易通过有漏洞的系统迅速传播扩散"其中，特别是新出现的网络蠕虫，常常可以在爆发初期的几个小时内就闪电般席卷全校，造成网络阻塞甚至瘫痪。

（3）滥用网络资源，在校园网中总会出现滥用带宽等资源以致影响其他用户甚至整个网络正常使用的行为如各种扫描、广播、访问量过大的视频下载服务等等。入侵检测系统（IntrusionDeteetionSystem，IDS）的出现使得我们可以主动实时地全面防范网络攻击N工DS指从网络系统的若干节点中搜集信息并进行分析，从而发现网络系统中是否有违反安全策略的行为，并做出适当的响应"它既能检测出非授权使用计算机的用户，也能检测出授权用户的滥用行为。

IDS按照功能大致可划分为主机入侵检测（HostIDS，HIDS）网络入侵检测（NetworkIDS，NIDS）分布式入侵检测（DistributedIDS，DIDS）其中，网络入侵检测的特点是成本低，实时地检测和分析，而且可以检测到未成功的攻击企图"从分析方法的角度可分为异常检测（Anomaly DeteCtion）和误用检测（MISuseDeteCtion）其中误用检测是指定义一系列规则，符合规则的被认为是入侵其优点是误报率低、开销小、效率高Snort作为IDS的经典代表，是基于网络和误用检测的入侵检测系统入侵检测技术自20世纪80年代早起提出以来，在早期的入侵检测系统中，大多数是基于主机的，但是在过去的10年间基于网络的入侵检测系统占有主要地位，现在和未来的发展主流将是混合型和分布式形式的入侵检测系统。

2 入侵检测研究现状

国外机构早在20世纪80年代就开展了相关基础理论研究工作。经过20多年的不断发展，从最初的一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种实际原型系统，并且在近10年内涌现出许多商用入侵检测系统，成为计算机安全防护领域内不可缺少的一种安全防护技术。Anderson在1980年的报告“Computer Seeurity Threat Monitoring and Surveillance”中，提出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息，此文被认为是有关入侵检测的最早论述；1984一1986年，Dorothy E.Denning和Peter G.Neumann联合开发了一个实时IDES（Intrusion DeteCtion Expert System），IDES采用统计分析，异常检测和专家系统的混合结构，Delming1986年的论文“An Intrusion Deteetion Modelo”，被公认为是入侵检测领域的另一开山之作"。1987年，Dorothy Denning发表的经典论文AnIntursion Deteetion Modelo中提出了入侵检测的基本模型，并提出了几种可用于入侵检测的统计分析模型。Dnening的论文正式启动了入侵检测领域的研究工作，在发展的早期阶段，入侵检测还仅仅是个有趣的研究领域，还没有获得计算机用户的足够注意，因为，当时的流行做法是将计算机安全的大部分预算投入到预防性的措施上，如：加密、身份验证和访问控制等方面，而将检测和响应等排斥在外。到了1996年后，才逐步出现了大量的商用入侵检测系统。从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。其中一种主要的异常检测技术是神经网络技术，此外，如基于贝叶斯网络的异常检测方法，基于模式预测的异常检测方法，基于数据挖掘的异常检测方法以及基于计算机免疫学的检测方法也相继出现，对于误用入侵检测也有多种检测方法，如专家系统（expert system），特征分析（Signature analysis），状态转移分析（State transition analysis）等.

入侵检测系统的典型代表是ISSInc（国际互联网安全系统公司）Rea1Secure产品。较为著名的商用入侵检测产品还有：NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前，普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。随着计算机系统软、硬件的飞速发展，以及网络技术、分布式计算！系统工程！人工智能等计算机新兴技术与理论的不断发展与完善，入侵检测理论本身也处于发展变化中，但还未形成一个比较完整的理论体系。

在国内，随着上网的关键部门、关键业务越来越多，更需要具有自主版权的入侵检测产品。我国在这方面的研究相对晚，国内的该类产品较少，但发展较快，己有总参北方所、中科网威、启明星辰，H3C等公司推出产品。至今日入侵检测技术仍然改变了以往被动防御的特点，使网络管理员能够主动地实时跟踪各种危害系统安全的入侵行为并做出及时的响应，尤其在抵御网络内部人员的破坏时更有独到的特点，因而成为了防火墙之后的又一道安全防线。

随着互联网的进一步普及和深入，入侵检测技术有着更广泛的发展前途和实际价值。尽管问题尚存，但希望更大，相信目前正在研究的大规模分布式入侵检测系统、基于多传感器的数据融合、基于计算机免疫技术、基于神经网络及基于遗传算法等的新一代入侵检测系统一定能够解决目前面临到种种问题，更好地完成抵御入侵的任务。

3 未来和展望

随着网络规模和复杂程度的不断增长，如何在校园网多校区乃至异构网络环境下收集和处理分布在网络各处的不同格式信息！如何进行管理域间的合作以及保证在局部入侵检测失效的情况下维持系统整体安全等"同时，伴随着大量诸如高速/超高速接入手段的出现，如何实现高速/超高速网络下的实时入侵检测。降低丢包率也成为一个现实的问题，面对G级的网络数据流量，传统的软件结构和算法都需要重新设计；开发和设计适当的专用硬件也成为研究方向之一"时至今日，入侵检测系统的评估测试方面仍然不成熟，如何对入侵检测系统进行评估是一个重要而敏感的话题。

参考文献

[1]董明明，巩青歌.Snort规则集的优化方法.计算机安全.2009.8：35-37

[2]陈欣.构建基于snort的局域网入侵检测系统：〔硕士学位论文〕.贵州：贵州大学计算软件与理论，2008

[3]马恒太，蒋建春，陈伟锋等.基于Agent的分布式入侵检测系统模型.软件学报Vol.11，No.10，P1314一1319，2001