校园信息化环境下入侵检测系统应用与研究

杨赣川

摘要：随着高校教育信息化建设日渐成熟，校园网络环境变得更为错综复杂，由此带来的网络安全隐患不言而喻。仅依靠防火墙技术来保卫校园网络安全显得势单力薄，构建入侵检测系统是校园网络安全防御的另一重要手段。该文研究入侵检测系统的理论、设计与实现，结合防火墙、入侵防御等技术，探究校园信息化环境下的全网络安全预警体系。

关键词：入侵检测系统；IDS；网络安全；防火墙

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）20-0053-02

自教育部颁布《教育信息化十年发展规划（2011-2020年）》后，全国各高校信息化建设和发展如日中天。校园信息化为高校师生提供高效、快捷、便利的教学和生活服务，学校办公、教师授课、学生学习、日常生活等都越来越离不开信息化。由此产生的信息化安全问题不容忽视，以前网络安全措施一般是通过防火墙对校内外网络数据进行检测，是数据进出的安全关卡。传统的网络防火墙技术、数据加密技术、身份认证技术都很成熟，但是已不能完全胜任当前的复杂的网络环境，今后的校园网络安全技术重点应该转向全程安全，需要能够主动防御的、自动预警的、动态的信息安全技术作为防火墙的有力补充，即构建校园网络入侵检测系统，形成校园网全局网络安全预警机制[1]。

1 校园信息化与入侵检测系统

1.1 校园信息化的内涵

校园信息化是在校园内，以先进的教育思想为指导，以网络为基础，结合信息技术，针对教学、科研和管理深入开发资源共享，广泛利用信息资源为师生提供学习交流环境，提高教育教学效率和质量，扩展学校的管理与服务功能，实现教育过程全面信息化，旨在全面提高教学质量、科研和管理水平与效率。

1.2 入侵检测系统概念与分类

入侵检测系统（ Intrusion Detect ion System， IDS） 是通过收集分析网络或计算机系统中一些重要节点传输的信息，发现是否有违反安全策略的行为和被攻击的迹象，采取安全防御和预警措施，有效保护系统数据不外泄、修改和破坏，阻止外部攻击行为，监视校园网内部用户的未授权活动，弥补了防火墙技术的不足，是校园网络的又一安全保障[2]。

入侵检测系统根据检测方法的区别可分为基于异常的IDS系统、基于误用的IDS系统，异常入侵检测是将可疑行为与用户事先设置好的异常阈值做比较来判断行为的安全性，主要有基于统计、神经网络、规则等检查方法；误用入侵检测将人们知晓的系统缺陷和攻击策略统计形成入侵行为规则表，然后将传输的数据与之匹配，匹配成功系统就触发一个警告。

入侵检测系统按检测对象不同可划分为基于网络和主机两种，基于网络的入侵检测系统（NIDS）是通过监听网络中传输的数据包，使用分析网络统计、特征匹配及网络协议等方法判断和防御网络入侵；基于主机的入侵检测系统（HIDS）是通过检测主机的日志文件、审计记录、进程状态、CPU使用率等信息来防御网络攻击。

2 校园信息化建设中入侵检测系统部署与构建

校园网是学校信息化的核心支撑平台，在学生宿舍区、教师教学区、行政办公区、教师生活区都发挥重要的作用，信息化建设过程中入侵检测系统规划显得尤为重要。根据校园网拓扑结构和规模的不同可分为集中式入侵检测系统和分布式入侵检测系统。集中式入侵检测系统适用于小型网络，使用一台主机处理所有入侵检测，当一个IDS遭到攻击而失效校园网就将陷入瘫痪，这种入侵检测系统是校园网络瓶颈，已不适应现代高速网络的需求。目前大多数学校采用的是分布式检测集中管理型的入侵检测系统，具有检测范围全面、扩展性强、管理方便等优点[3]，如图（1）。

图1 校园网分布式入侵检测系统规划

校园网分三层架构，为核心层、汇聚层、接入层。核心层为核心交换机、防火墙、路由器等，校园各区域部署汇聚层交换机，其下安装接入交换机，所有汇聚层交换机与核心层对接。在防火墙、核心层交换机、汇聚层交换机、接入层交换机等设备处各部署一个入侵检测传感器，IDS管理控制台、数据存储中心与核心交换机相连。传感器将在这些区域对网络数据包进行捕获和分析，对发现的入侵行为进行预处理，并在管理控制台上显示报警信息，从而帮助网络管理员及时做出应对，保障网络的安全。

分布式入侵检测系统是由许多分布在不同区域的子IDS系统组成，把数据收集、数据存储和数据分析等功能在不同主机上运行，这种方式提高了整个入侵检测系统的处理能力，有非常好的实时性和可扩展性。校园分布式入侵检测系统采用树型结构，层次化逐级处理数据，分布在各层次的传感器就是叶节点。叶节点负责捕获数据包，中间节点起到承上启下的作用，既要处理来自下一层节点的数据并逐级上传至根节点，又要将上层节点的控制信息向下传送。层次化结构很好的提高了分布式入侵检测系统的可靠性，解决了扩展性问题，更加符合校园网络的实际需要。

3 校园信息化环境下入侵检测技术面临的问题

入侵检测系统在校园网中起到了重要的作用，能够提高网络的安全性，但随着校园信息化的飞速发展，网络带宽的不断提升，入侵检测系统应用过程中发现技术方面存在一些难题[4]：

1）入侵检测处理速度滞后于网络速度的发展，导致高误报率和漏报率

入侵检测系统不能很好的检查高速网络环境下所有的数据包，信息量大和速度快使得入侵检测分析的准确率不高，容易产生漏报现象。网络攻击的手段日新月异，检测规则无法识别新的攻击技术，容易产生误报现象。一些入侵检测方法存在缺陷，例如异常检测过程中采用的统计方法，这种方法确定阈值尤为关键，阈值太小会产生高误报率，许多安全事件会被当着恶意攻击处理，阈值太大又会产生高漏报率，恶意攻击不能被阻止。

2）入侵检测系统能够识别入侵行为，但阻断入侵的能力低

校园网入侵检测系统主要对内部攻击、外部攻击和误操作等行为进行识别，能及时发现入侵并采取阻断连接的措施。要提高校园网的安全性，必须把入侵检测产品和防火墙等网络安全产品结合起来，配置好安全策略，共同协作发现攻击并有效阻止。既能提高入侵检测系统的阻断能力，又能增强防火墙的实时反应能力。

3）难以处理加密的数据流，系统结构不同影响入侵检测效果

目前入侵检测系统的主要形式是基于网络的入侵检测系统，加密的数据流在网络传输中不能被IDS系统检测。校园网入侵检测系统多数采用集中收集和集中分析数据的体系结构，许多分布式IDS系统采用分布式结构收集数据，而处理和分析数据集中在一台机器上，这种结构和集中式分布结构相同，在分析和检测时容易发生单点失效现象，大量数据集中处理时容易产生数据包丢失现象。

4）缺乏准确定位和处理机制，入侵检测技术标准化还不成熟

网络技术飞速发展，网络攻击方式也在不断进步，分布式协同攻击就是一种非常厉害的攻击方式。攻击者可以短时间发动成千上万的服务器攻击一个目标主机，其破坏性和隐蔽性越来越强。入侵检测系统可以识别IP地址，无法定位IP地址，无法找到攻击的源头。发现攻击事件时，入侵检测系统只能关闭服务器一些端口和网络出口，这样会影响一些正常用户的使用，缺乏完善的响应处理机制。各部件内部缺乏完善的信息协同和共享机制，对网络攻击的检查能力有一定的影响，故难以建立一种大型网络的战略安全预警系统，入侵检测技术标准化有待完善。

4 校园信息化环境下入侵检测系统发展趋势

高校校园信息化建设的不断完善，随之而来的网络入侵问题也层出不穷，网络攻击和防御技术都在不断提升。人们对网络安全越来越担忧，此时对网络入侵检测系统的需求越来越大，促使了入侵检测技术的不断提高，对未来入侵检测系统的发展方向有以下几方面[5]：

1）高度协作分布式入侵检测。最重要的是协作，不仅是同一系统中不同部件之间的协作，还包括与不同品牌的安全产品之间的协作。起到协同处理IDS系统的检测信息与提取入侵攻击信息的作用，不同的IDS系统之间实现协同工作。

2）全面安全防御入侵检测。复杂的网络环境中很难用一种技术来做到全面安全防御，故在安全防御过程中需结合网络管理技术、加密通道技术、防火墙技术、入侵检测技术等全方面的进行评价，形成较全面的安全防御策略。

3）智能化入侵检测。在入侵检测系统中应用遗传算法、神经网络、模糊技术、智能代理、免疫原理等技术，提高入侵检测的效率。使IDS系统智能化，具有自学习和自适应能力。

4）高速网络的大数据入侵检测。随着网络的迅猛提速，信息量越来越大，这对现有的入侵检测系统是一种考验。开发处理速度更快、准确率更高的入侵检测系统显得尤为重要，这也是入侵检测系统的发展方向。

5）面对用户的应用层入侵检测。当前IDS系统主要分析网络层的数据包，而很多入侵攻击行为只有在应用层才可以理解，IDS不能处理数据库系统、Lotus Notes等应用系统。应用层的入侵行为是目前的入侵检测系统检测不出，需要研究面对用户的应用层入侵检测系统。

5 结语

校园网络安全问题是每个学校都非常重视的，但真正要把网络安全防范工作做好并非易事，尤其是对网络入侵和信息安全的防御不够。以上探讨了校园网的入侵检测系统部署、存在的问题与发展方向等，对校园入侵检测系统应用做了一些研究。入侵检测技术还不是很成熟，有待深入研究，努力向更快速、更全面、更安全、更智能化方向发展。

参考文献：

[1] 李旸.浅谈安徽省高校校园信息化建设中存在的安全威胁[J].蚌埠学院学报，2014（1）.

[2] 王栋，卢秀青.基于数字化校园网的入侵检测系统研究[J].中国科技信息，2010（21）.

[3] 艾长春.入侵检测技术在高校校园网中应用[J].甘肃科技，2011（6）.

[4] 李剑.入侵检测技术[M].北京：高等教育出版社， 2008.

[5] 李东灵，王健.入侵检测系统研究现状及发展趋势[J].商丘职业技术学院学报，2013（5）.