基于IDS的校园网络安全体系研究

孙瑾

（宝鸡文理学院计算机学院，陕西宝鸡，721016）

基于IDS的校园网络安全体系研究

孙瑾

（宝鸡文理学院计算机学院，陕西宝鸡，721016）

针对校园网出现的网络不安全事件，提出一种适合高校校园网络安全体系，加强校园网络的安全运行。对常见的几种安全体系进行比较分析，提出运用入侵检测（IDS）技术可以有效地防止安全隐患的发生，并对入侵检测系统的基本构成、体系结构进行了阐述。建立起基于IDS的校园网络安全体系，并结合实际对IDS在校园网中进行了部署，并对下一步的研究进行了展望。

IDS；校园网；网络安全

0 引言

近几年来，伴随高校数字化校园建设的不断发展，网络安全问题也随之而来，特别是网络攻击事件层出不穷，传统的技术已不能满足校园网络安全的要求，所以我们应该考虑一种安全的网络体系来保护校园网络。

1 常见的几种网络安全体系

1.1 防火墙

用来指可防止外部网络对被保护性网络产生有潜在破坏的和不可预测的入侵的一系列组件，这些组件设置在被保护网络和外部网络之间侵[1]。

1.2 网络隔离技术

网络隔离技术是一种将网络划分为若干区域，区域之间互不交叉，同时通过对区域与区域之间进行访问控制来保护网络信息安全的技术。

1.3 VPN技术

虚拟专用网，简称VPN，是采用因特网等公共网络搭建的安全临时网络连接，可避免公共网络的干扰，保持通信连接的稳定性和安全性。VPN实质为公司内网的延伸，采用VPN 技术可以帮助公司分支结构、远程用户、供应商和合作伙伴安全可靠地访问公司内网，并确保数据信息的安全传输与下载。

但是以上三种安全体系都有自己本身的局限性，例如防火墙系统不能对内部病毒进行主动防护，VPN设备有网络流量瓶颈等，综合比较，IDS（入侵检测系统）更加符合校园网络安全体系的要求。

2 入侵检测系统

入侵检测技术是为了保障计算机安全而开发设计的一项技术，它能够有效检测网络系统中存在的不符合安全规范的事件，通常将入侵检测相关的软件和硬件的组合体称为入侵检测系统[2]。

入侵检测系统的安全策略具备一定智能特征的攻击识别系统，其智能特征主要存在于特征信息的提取分析、响应的融合和合并等方面。

3 入侵检测系统的基本构成

构建功能完善的入侵检测系统通常需要配备下述组件。

（1）事件产生器：该组件的功能包括采集原始数据，追踪数据流、文件和网络日志等信息，将采集的原始数据生成事件以供入侵检测系统的其他组件使用。

（2）事件分析器：该组件的功能是接收并分析来自事件发生器的事件，并对事件是否为异常事件或入侵事件进行判断，最后显示判断结果。

（3）事件数据库：该组件的功能主要是存储各种系统数据，能够接收系统其他组件传输的信息数据并将其长期存储。

（4）响应单元：该组件是入侵检测系统的进攻武器，可根据事件分析器给出的判断结果作出响应，给出的响应包括简单报警、改变文件属性和切断连接等。

4 入侵检测系统的体系结构

从功能上进行分析，该系统包括如下三个模块：第一，信息收集。该模块受到多种因素的影响，包括了待定环境以及监视对象；第二，信息处理和通信。根据不同的信息进行相应的分类，并且进行预处理，并将结果反馈给检测判断模块；第三，入侵判断和反应[3]。通过该模块对结果进行判断，检验是否为入侵行为并且及时采取防范措施。

收集模块负责收集系统所需数据信息，根据检测对象来设置网络包，对主机的状态日志进行有效的收集。在系统正常运行过程中，数据量非常庞大，所以，通过此模块实现对数据进行分类和预处理等操作；通信模块主要是负责为各个模块之间的通信运行提供保障，确保数据完整性，具有较高的安全性。对此种通信进行了相应的规定，制定了有关协议，明确采用何种传输方式。另外此模块还具备加密与认证功能；检测模块主要是针对数据实施检测，当前所应用到的检测方法有两个，分别是异常检测法与误用检测法，有时会结合二者来使用；数据库模块负责存储检测结果，并完成数据日志的创建，以进行长期存储为后续分析与查询提供支持。该模块有两个基础功能，分别是数据简化功能与数据存储功能；管理模块负责管理员与系统间能够正常沟通信息，可将精准的检测报告提供给管理人员，按照管理人员的指令执行相应的操作，均由图形界面实现。

5 入侵检测系统在校园网络当中的部署

通过在系统和网络当中安装入侵检测系统能够有效提升安全可靠性。在校园网络部署中把入侵检测系统部署在外部网络和防火墙间，放置在DMZ当中，位于最外围防火墙与ISP间的位置。此种设置能够查看来自Internet的所有攻击。若是TCP攻击，那么通过防火墙与过滤路由器就可以封锁该攻击，此时入侵检测系统无法检测出该攻击。主要是因为在检测过程中，对于众多不同类型进行的检测和字符串特征都存在一致性特征。并且在和TCP进行三次握手后，才可以传送字符串。检测器位于防火墙外，虽然无法检测攻击，但是此处依然属于检测的最佳的位置。此种做法有利于站点的正常运作，可以了解站点以及防火墙在受到何种攻击时才能暴露。然而此种布局同样具有一定缺陷，主要包括：第一，在防火墙内部，无法完成用户检测；第二，如果入侵检测器被暴露出来，则可能会遇到入侵[3]。需要在防火墙与路由器中间部署入侵检测系统，这样系统就出现在防火墙的内部区域。通过此种部署，可以查看防火墙所采取的系统策略的正确性。一些子网具有较高的要求，在此种子网中安装入侵检测系统，可以更好的对重要环节和区域进行保护。另外，还可以在主机上安装以主机为基础的入侵检测系统，实现对主机的有效保护。

6 结论

入侵检测系统自从部署以后，校园网络攻击事件大大降低，说明入侵检测系统可以有效地防止类似事件的发生，但是这个系统对病毒木马等校园内部网络的不安全事件难以防范，如何实现各种网络安全设备的联动，这是现阶段网络管理者亟待解决的问题。

[1]张常有.网络安全体系结构[M].成都:电子科技大学出版社，2006.9.

[2]赵钊.基于VPN技术的校园网络安全体系的研究与实现[D].西安：西安工业大学.2012.

[3]裴沛.基于一卡通模型的数字化校园的构建研究[J].《金卡工程》2006-11-01.

The Study of Campus Network Security System Based on IDS

Sun Jin
(School of computer science, Baoji University of Arts and Sciences, Baoji Shaanxi ,721016)

study aims at some unsafe events appearing in campus network, so some new measures such as advancing the campus network operation are taken to ensure the safely operating of the campus network.After some security systems are comparatively anglicized, then Intrusion Detection System (IDS) is proved that it can guard against some security problems and prevent them. Meanwhile, this thesis will explain what the structure of IDS is and how the system works. IDS can work efficiently and some strategies are proposed to ensure safe operation of the campus network. The study also involves the potential prospects for the future development of IDS.

IDS；campus network；network security