基于校园网协作式入侵检测系统模型研究

摘要：该文通过对现有校园网络安全及入侵检测技术的分析，提出一种基于协议分析的分布式入侵检测方法，采用分布收集信息，分布处理多方协作的方式，将基于主机的IDS和基于网络的IDS结合使用，构筑面向大型网络的IDS；然后通过全局安全网络协作，收集拨号用户的信息，检查个体计算机是否存在漏洞、病毒，如果发现有就阻止其接入网络，强制其用到可信的网络修复系统或更新最新的病毒库后才可以正常接入校园网。这样通过网络和个体来确保整个校园网络的安全运行。

关键词：校园网；网络安全；入侵检测

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)31-0800-03

The Cooperative Intrusion Detection System Model Based on Campus Network

LI Ang1,2, HU Xiao-long1

(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)

Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.

Key words: campus network; network security; intrusion detection

1 网络安全形势分析

2007年，我国公共互联网网络整体上运行基本正常，但从CNCERT/CC接收和监测的各类网络安全事件情况可以看出，网络信息系统存在的安全漏洞和隐患层出不穷，利益驱使下的地下黑客产业继续发展，网络攻击的种类和数量成倍增长，终端用户和互联网企业是主要的受害者，基础网络和重要信息系统面临着严峻的安全威胁。在地下黑色产业链的推动下，网络犯罪行为趋利性表现更加明显，追求经济利益依然是主要目标。黑客往往利用仿冒网站、伪造邮件、盗号木马、后门病毒等，并结合社会工程学，窃取大量用户数据牟取暴利，包括网游账号、网银账号和密码、网银数字证书等。木马、病毒等恶意程序的制作、传播、用户信息窃取、第三方平台销赃、洗钱等各环节的流水作业构成了完善的地下黑色产业链条，为各种网络犯罪行为带来了利益驱动，加之黑客攻击手法更具隐蔽性，使得对这些网络犯罪行为的取证、追查和打击都非常困难[1]。

从IDC网络安全调查数据来看，网络的安全威胁主要来自三个方面：第一、网络的恶意破坏者，也就是我们所说的黑客，造成的正常网络服务的不可用、系统/数据的破坏；第二、无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播；第三、就是别有用心的间谍人员，通过窃取他人身份进行越权数据访问，以及偷取机密的或者他人的私密信息。其中，由于内部人员而造成的网络安全问题占到了70% 。

纵观高校校园网安全现状，我们会发现同样符合上面的规律，即安全主要来自这三方面。而其中，来自校园网内部的安全事件占到了绝大多数。这与校园网的用户是息息相关的。一方面，高校学生这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。同时网络也使得黑客工具等的获取更加的轻松。另一方面，校园网内却又存在着很多这样的用户，他们使用网络来获取资料，在网络上办公、娱乐，但是安全意识却明显薄弱，他们不愿意或者疏于安装防火墙、杀毒软件。

此外，我们的网络管理者会发现，还面临这其他一些挑战，比如：

1) 用户可以在随意接入网络，出现安全问题后无法追查到用户身份；

2) 网络病毒泛滥，网络攻击成上升趋势。安全事件从发现到控制，基本采取手工方式，难以及时控制与防范；

3) 对于未知的安全事件和网络病毒，无法控制；

4) 用户普遍安全意识不足，校方单方面的安全控制管理，难度大；

5) 现有安全设备工作分散，无法协同管理、协同工作，只能形成单点防御。各种安全设备管理复杂，对于网络的整体安全性提升有限。

6) 某些安全设备采取网络内串行部署的方式，容易造成性能瓶颈和单点故障；

7) 无法对用户的网络行为进行记录，事后审计困难；

总之，网络安全保障已经成为各相关部门的工作重点之一，我国互联网的安全态势将有所改变。

2 入侵检测概述

James Aderson在1980年使用了“威胁”概述术语，其定义与入侵含义相同。将入侵企图或威胁定义未经授权蓄意尝试访问信息、窜改信息、使系统不可靠或不能使用。Heady给出定外的入侵定义，入侵时指任何企图破坏资源的完整性、机密性及可用性的活动集合。Smaha从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。

从技术上入侵检测系统可分为异常检测型和误用检测型两大类。异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵。异常检测试图用定量方式描述可接受的行为特征，以区别非正常的、潜在入侵。误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。与异常入侵检测相反，误用入侵检测能直接检测不利的或不可接受的行为，而异常入侵检测是检查同正常行为相违背的行为。

从系统结构上分，入侵检测系统大致可以分为基于主机型、基于网络型和基于主体型三种。

基于主机入侵检测系统为早期的入侵检测系统结构、其检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机上。这种类型系统依赖于审计数据或系统日志准确性和完整性以及安全事件的定义。若入侵者设法逃避设计或进行合作入侵，则基于主机检测系统就暴露出其弱点，特别是在现在的网络环境下。单独地依靠主机设计信息进行入侵检测难以适应网络安全的需求。这主要表现，一是主机的审计信息弱点，如易受攻击，入侵者可通过通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击（域名欺骗、端口扫描等）。因此，基于网络入侵检测系统对网络安全是必要的，这种检测系统根据网络流量、协议分析、简单网络管理协议信息等数据检测入侵。主机和网络型的入侵检测系统是一个统一集中系统，但是，随着网络系统结构复杂化和大型化，系统的弱点或漏洞将趋向于分布式。另外，入侵行为不再是单一的行为，而是表现出相互协作入侵特点。入侵检测系统要求可适应性、可训练性、高效性、容错性、可扩展性等要求。不同的IDS之间也需要共享信息，协作检测。于是，美国普度大学安全研究小组提出基于主体入侵检测系统。其主要的方法是采用相互独立运行的进程组（称为自治主体）分别负责检测，通过训练这些主体，并观察系统行为，然后将这些主体认为是异常的行为标记出来，并将检测结果传送到检测中心。另外，S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。

对于入侵检测系统评估，主要性能指标有：

1) 可靠性――系统具有容错能力和可连续运行；

2) 可用性――系统开销要最小，不会严重降低网络系统性能；

3) 可测试――通过攻击可以检测系统运行；

4) 适应性――对系统来说必须是易于开发和添加新的功能，能随时适应系统环境的改变；

5) 实时性――系统能尽快地察觉入侵企图以便制止和限制破坏；

6) 准确性――检测系统具有低的误警率和漏警率；

7) 安全性――检测系统必须难于被欺骗和能够保护自身安全[4]。

3 协作式入侵检测系统模型

随着黑客入侵手段的提高，尤其是分布式、协同式、复杂模式攻击的出现和发展，传统、单一、缺乏协作的入侵检测技术已不能满足需求，要有充分的协作机制，下面就提出协作式入侵检测的基本模型。

3.1 协作式入侵检测系统由以下几个部分组成

1) 安全认证客户端(SU)。能够执行端点防护功能，并参与用户的身份认证过程。参与了合法用户的验证工作完成认证计费操作，而且还要完成安全策略接收、系统信息收集、安全漏洞上传，系统补丁接收修复等大量的工作，对系统的控制能力大大增强。

2) 安全计费服务器(SMA)。承担身份认证过程中的Radius服务器角色，负责对网络用户接入、开户，计费等系统管理工作外，还要负责与安全管理平台的联动，成为协作式入侵检测系统中非常重要的一个环节。

3) 安全管理平台(SMP)。用于制定端点防护策略、网络攻击防护防止规则，协调系统中的其他组件在网络资源面临的安全威胁进行防御，能够完成事前预防、事中处理、事后记录等三个阶段的工作。智能的提供一次配置持续防护的安全服务。

4) 安全事件解析器(SEP)。接收处理NIDS发送过来的网络攻击事件信息，处理后发送给安全管理平台，目的是屏弊不同厂家的NIDS的差异，把不同厂商、不同的入侵事件转换成统一的安全管理平台能处理的格式转发给安全管理平台，便于安全管理平台处理。

5) 入侵检测系统(IDS)。网络入侵检测设备，对网络流量进行旁路监听，检测网络攻击事件，并通过SEP向安全管理平台反馈网络攻击事件，由安全管理平台处埋这些攻击事件。一个网络中可以布暑多个IDS设备。

入侵检测系统由三个部分组成：

1) Sensor探测器，也就是我们常看到的硬件设备，它的作用是接入网络环境，接收和分析网络中的流量。

2) 控制台：提供GUI管理界面，配置和管理所有的传感器并接收事件报警、配置和管理对于不同安全事件的响应方式、生成并查看关于安全事件、系统事件的统计报告，控制台负责把安全事件信息显示在控制台上。

3) EC（Event Collector）事件收集器，它主要起以下作用：负责从sensor接收数据、收集sensor日志信息、负责把相应策略及签名发送给sensor、管理用户权限、提供对用户操作的审计，向SEP发送入侵事件等工作。EC可以和控制台安装在同一个工作站中。

3.2 协作式入侵检测系统中组件间的交互过程

1) SAM和SMP的交互过程

在协作式入侵检测系统中，SMP同SAM的关系就是，SMP连接到SAM。连接成功后，接收SAM发送的接入用户上线，下线消息。Su上线，SAM发送用户上线消息。Su下线，SAM发送用户下线消息。Su重认证，SAM发送用户上线消息。

2) JMS相关原理

SMP同SAM之间的交互是通过JMS（Java Message Service）。SAM启动JBoss自带的JMS服务器，该服务器用于接收和发送JMS消息。SAM同时也作为JMS客户端（消息生产者），负责产生JMS信息，并且发送给JMS服务器，SMP也是JMS客户端（消息消费者）。目前SAM所实现的JMS服务器是以“主题”的方式的，即有多少个JMS客户端到JMS服务器订阅JMS消息，JMS服务器就会发送给多少个JMS客户端。当然了消息生产者也可以多个。相当于JMS服务器（如SAM）是一个邮局，其它如JMS客户端（如SMP，NTD）都是订阅杂志的用户，同时SAM也作为出版商产生杂志。这样，SAM产生用户上下线消息，发送到SAM所在Jboss服务器的JMS服务器中，JMS服务器发现SMP订阅了该消息，则发送该消息给SMP。

在协作式入侵检测系统中，SMP就是JMS客户端，SAM既作为JMS消息生产者，也作为JMS服务器。当SMP启动时，SMP通过1099端口连接到SAM服务器，并且进行JMS消息的订阅，订阅成功后，即表示SMP同SAM联动成功。当用户通过su上线成功后，SAM根据JMS的格式，产生一条JMS信息，然后发送给JMS服务器，JMS服务器检查谁订阅了它的JMS消息，然后发送给所有的JMS用户。

3) SU和SMP的交互过程

间接交互：对于Su上传的端点防护HI状态（成功失败），HI配置文件更新请求，每个Su请求的响应报文，SMP下发给Su的相关命令，均通过交换机进行透传，即上传的信息都包含再SNMP Trap中，下发的信息都包含在SNMP Set报文中。交换机将Su上传的EAPOL报文封装在SNMP Trap包中，转发给SMP。交换机将SMP下发的SNMP Set报文进行解析，提取出其中包含的EAPOL报文，直接转发给Su。这样就实现了Su同SMP的间接交互，隐藏了SMP的位置。

直接交互：对于一些数据量较大的交互，无法使用EAPOL帧进行传输（帧长度限制）。因此Su从SMP上面下载HI配置文件（FTP服务，端口可指定），Su发送主机信息给SMP的主机信息收集服务（自定义TCP协议，端口5256，能够通过配置文件修改端口），都是由SU和SMP直接进行交互。

4) SMP同交换机之间的交互

交换机发送SNMP Trap报文给SMP。交换机发送的SNMP Trap都是用于转发Su上传的消息，如果没有Su，交换机不会发送任何同GSN方案相关的Trap给SMP的。

SMP发送SNMP Get和SNMP Set给交换机：a) 在用户策略同步时，会先通过SNMP Get报文从交换机获取交换机的策略情况；b) 安装删除策略时，SMP将策略相关信息发送SNMP Set报文中，发送给交换机；c) 对用户进行重人证，强制下线，获取HI状态，手动获取主机信息等命令，都是通过SNMP Set发送给交换机的，然后由交换机解释后，生成eapol报文，再发送给su，由su进行实际的操作。

5) SMP与SEP交互

SEP在收到NIDS检测到的攻击事件后（这个攻击事件是多种厂商的NIDS设备通过Syslog、UDP、SNMP等报文的形式发送到SEP的），SEP处理完这些不同厂商发现不同攻击事件的信息后，以UDP的方式发送到SMP中，完成SEP和SMP的交互过程，这是一个单向的过程，也就是说SMP只从SEP中接收数据，而不向SEP发送数据。

6) SEP与NIDS交互

首先NIDS检测到某个IP和MAC主机对网络的攻击事件，并把结果通过Syslog、UDP、SNMP等报文的形式发送到SEP（安全事件解析器），安全事件解析器SEP再把这个攻击事件通过UDP报文转发到SMP（安全管理平台）。

3.3 协作式入侵检测系统工作原理及数据流图

协作式入侵检测系统工作原理：

1) 身份认证――用户通过安全客户端进行身份认证，以确定其在该时间段、该地点是否被允许接入网络；

2) 身份信息同步――用户的身份认证信息将会从认证计费管理平台同步到安全策略平台。为整个系统提供基于用户的安全策略实施和查询；

3) 安全事件检测――用户访问网络的流量将会被镜像给入侵防御系统，该系统将会对用户的网络行为进行检测和记录；

4) 安全事件通告――用户一旦触发安全事件，入侵防御系统将自动将其通告给安全策略平台；

5) 自动告警――安全策略平台收到用户的安全事件后，将根据预定的策略对用户进行告警提示；

6) 自动阻断（隔离）――在告警提示的同时，系统将安全（阻断、隔离）策略下发到安全交换机，安全交换机将根据下发的策略对用户数据流进行阻断或对用户进行隔离；

7) 修复程序链接下发――被隔离至修复区的用户，将能够自动接收到系统发送的相关修复程序链接；

8) 自动获取并执行修复程序――安全客户端收到系统下发的修复程序连接后，将自动下载并强制运行，使用户系统恢复正常。

协作式入侵检测数据流图见图3。

4 结束语

由于各高校实力不一、校园网规模不一，出现了许多问题，其中最主要的是“有硬无软”和“重硬轻软” 。特别是人们的安全意识淡薄，虽然网络安全硬件都配备齐全，但关于网络的安全事故却不断发生，使校园网的安全面临极大的威胁。因此，随着校园网规模的不断扩大，如何确保校园网正常、高效和安全地运行是所有高校都面临的问题。该文结合高校现在实际的网络环境，充分利用各种现有设备，构建出协作式入侵检测系统，实现了“多兵种协同作战” 的全局安全设计，同时将安全结构覆盖网络传输设备（网络交换机、路由器等）和网络终端设备（用户PC、服务器等），成为一个全局化的网络安全综合体系。

参考文献：

[1] CNCERT/CC[P].网络安全工作报告,2007.

[2] 张晓芬,陈明奇,等.入侵检测系统(IDS)的发展[J].信息安全与通信保密,2002(03).

[3] Staniford-Chen S,Tung B,Schnackenberg D.The Common Intrusion Detection Framework (CIDF). The 1st Information Survivability Workshop,Orlando,FL,USA,1998.

[4] 蒋建春,马恒太,等.网络安全入侵检测:研究综述[J],软件学报,2000,11(11):1460-1466.