基于校园网的入侵检测的研究

摘要：本文对当前校园网络实际状况进行了细致分析的基础上，参照公共入侵检测框架（Common Intrusion Detection Framework ，CIDF），设计了一个分布式入侵检测原型系统的模型，并对该模型给予实现验证其可行性。

关键词：入侵检测 分布式系统 CIDF

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2013）09-0093-01

1 本文研究背景

随着校园网络规模的不断扩大和校园网应用的普及，网络设备和网络用户不断增多，校园网的网络安全问题也变得日益复杂和突出。在这种情况下，校园网络与信息的安全问题就越来越引起人们的注意，研究校园网络信息安全的入侵检测技术就显得非常重要了。

2 入侵检测系统的设计

在设计的时候，我首先考虑其应用环境。我们的应用环境是校园局域网，那么入侵检测系统的设计相对来说就变得简单些，不需要考虑可伸缩性、系统内部通信等很多问题。其次需要考虑到分析对象的问题。入侵检测系统分析的对象可以是用户，也可以是系统的服务。入侵检测系统所采集的数据，可以是系统日志、网络捕获的数据包，应用程序的日志等。而入侵检测系统只需要其中的一小部分。为了设计一个高效率的入侵检测系统，必须首先设计一个高效率的event过滤器，让入侵检测系统直接面对所需要的、经过了大量压缩后的数据。Event采集部分的设计必须要提供一个统一的接口，方便系统的模块化设计。可以有各种各样的分析算法来进行入侵行为的检测。不同的分析引擎能够解决不同的问题。

检测规则的描述对分析引擎有着很重要的影响。复杂的规则描述能清晰地表达出入侵过程的各个阶段，多个事件的前后关系，能减少系统的误报、漏报。但是复杂的规则需要保存各个阶段的很多状态信息，影响了分析引擎的处理时间，而简单的规则描述，只需要较少的分析时间和较轻的状态管理负担，在事件分析中能提供更好的可伸缩性和效率。但是简单的规则可能产生误报和漏报。这两者之间需要有一个平衡。

研究发现，攻击者在攻击一个装有入侵检测系统的网络或者计算机系统时，首先考虑到的是对付该入侵检测系统，入侵检测系统是一个有机的整体结构，任何一部分的脆弱性或是缺陷将导致整个系统的失效。对于入侵检测系统而言，它的核心部件是其数据分析部分，如果系统的分析部分失去作用，那么它就形同虚设。所以入侵检测系统在检测攻击的同时，必须首先保护好自己，能够保证自身的稳健性。

3 CIDF模型的改进

在CIDF模型中，事件产生器将捕获的数据直接送给事件分析器，这样在入侵检测系统受到拒绝服务攻击时，很容易导致事件分析器的过载，不能处理正常数据。事件产生器将捕获的数据未加筛选地送给事件数据库，将导致数据库中的数据混乱无序。同时，恶意的攻击很容易使数据库里充斥大量的无用信息和错误信息。

针对入侵检测系统的脆弱性和CIDF模型的缺陷，我研究了一种改进的CIDF模型，该模型在一定程度上改善了上述入侵检测系统自身的脆弱性和CIDF模型的缺陷。在原有模型的基础上增加了一个组件，即预处理器。预处理器位于事件产生器与上层组件之间，能够得到所有事件产生器得到的数据信息，它对数据进行预处理和过滤后，才将其他数据传送给事件分析器和事件数据库。预处理的主要目的是为了防止对入侵检测系统本身构成严重威胁的攻击，如拒绝服务攻击。预处理器相当于一个简化了的分析器，它只对拒绝服务攻击感兴趣，具有检测拒绝服务攻击的能力。预处理器采用特征分析的方式，对拒绝服务攻击进行分析、拦截和过滤，并可直接促使响应单元发生特定的响应动作，而对于其它数据包则不作处理直接交给事件分析器。

同时，在对原有CIDF模型分析的基础上，又对模型进行了适度的简化，目的是为了降低系统的复杂度。简化的部分位于事件产生器，它不再直接向事件数据库和响应单元提供原始的数据，而是只起到数据收集的作用，将功能重新清晰的划分。

由于预处理器分担了数据分析器的部分处理任务，入侵检测系统的处理能力会有所提高。预处理器的增加并不能影响系统本身的检测性能，因为我们先将产生器获得的数据包中的一部分在预处理器中预先进行了分析处理，如果检测到攻击，直接报警，这些数据包并不发送给事件分析器进行二次分析；如果未检测到攻击，数据包会发到分析器，将这些数据包与除了拒绝服务攻击之外的规则进行匹配检测，因而也不存在二次匹配的问题。

4 分布式入侵检测原型系统

针对传统分布式入侵检测系统存在的问题和缺陷，根据实际网络的特点和安全需求，研究了一个分布式入侵检测原型系统，它将不同的检测模块分布到被保护网络的不同位置，并且针对相应的数据源进行处理，在一定程度上弥补了以往入侵检测系统的不足。该检测系统宏观上分为与用户交互的管理中心子系统以及位于各个检测网络段中的检测子系统两个部分，每个部分由相应的功能模块组成，用来完成特定的系统功能，检测子系统可以根据实际的网络情况进行部署。

5 结语

最后，在设计的分布式结构中，管理中心首先负责对分布在网络中的检测子系统进行配置与管理，如配置各个检测子系统的规则库以及启动和停止检测子系统的检测分析活动等；其次，它接收各检测子系统上传来的各种数据信息，对入侵攻击行为进行响应；最后，管理中心还要把某一检测子系统上发生的入侵攻击信息所触发的响应情况，实时的送往其他各检测子系统，使系统具有全局响应能力。这种分布式结构减轻了管理中心的负担，提高了入侵检测系统的可扩展性。

参考文献

[1]潘瑜.浅谈计算机网络安全技术[J].中共太原市委党校学报，2008（06）.

[2]易琳.入侵检测技术综述[J].泸州职业技术学院学报，2006（02）.

[3]郑立亮，陈玉科著.构筑思维创新的平台[M].北京市：中国社会科学出版社，2002：148-149.