入侵检测技术在校园网中的应用

◆张拓 隋新



入侵检测技术在校园网中的应用

◆张拓 隋新通讯作者

（东北师范大学人文学院 吉林 130117）

校园网在推进教育信息化进程中发挥着积极的作用，随着教育信息化的不断推进，使得高校网络建设迅速发展，其规模也在不断的扩大。然而网络本身具有可开发性，这就无疑给校园网的安全带来了威胁。为确保校园网络及其信息系统的安全、稳定、高效运行，校园网的安全问题不容忽视。本文将主要介绍了入侵检测技术的相关知识及如何在校园网中部署入侵检测检测系统，以便提高系统的稳定性能与安全性能。

校园网；威胁；安全；入侵检测技术

0 引言

校园网不但为教学、科研和生活提供基本的网络环境，同时也是信息化建设和发展的基础所在，校园网的正常运作关系着科研，教学的是否能够顺利开展，以及学校是否能够安全稳定地建设。但是由于校园网自身存在的安全漏洞、外部威胁不断增长、网络内接入的设备数目庞大且结构复杂、内部用户安全意识薄弱、安全防范措施不足等原因，高等院校网络安全状况不容客观，只有解决这些问题，才能使校园网真正服务于教学、科研和生活。

1 入侵检测系统

1.1入侵检测系统的作用

入侵检测作为一种积极主动的安全防护工具，提供了对内部攻击、外部和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、响应和拦截。它具有以下主要作用：

（1）通过检测和记录网络中的安全违规行为，防止网络入侵事件的发生。

（2）检测其他安全措施未能阻止的攻击或安全违规行为。

（3）检测黑客在攻击前的探测行为，预先给管理员发出报警。

（4）报告计算机系统或网络中存在的安全威胁。

（5）提供有关攻击信息，帮助管理员诊断网络中存在的安全弱点，便于进行安全漏洞的修补。

（6）在大型复杂的计算机网路中部署入侵检测系统，可显著提高网络安全管理的质量。

1.2入侵检测过程

入侵检测过程分为四部分：信息收集、信息分析、信息存储和结果处理。

（1）信息收集：入侵检测过程的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。

（2）信息分析：一般通过三种技术手段（模式匹配、统计分析和完整性分析）对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析，试图寻找入侵活动的特征，判断是否发生入侵。当检测到有入侵活动或误操作时，产生一个告警并发给控制台。

（3）信息存储：当入侵检测系统捕获到有攻击发生时，为了便于系统管理人员对攻击信息进行查看和对攻击行为进行分析，还需要将入侵检测系统收集到的信息进行保存，这些信息通常存储到用户指定的日志文件中，同时存储的信息也为攻击保留了证据。

1.3入侵检测系统部署

防火墙将内部可信任区域与外部危险区域有效隔离，为网络边界提供保护，是抵御入侵的有效手段。入侵检测系统被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下能对网络进行检测，从而及时发现内部攻击含有的攻击企图、系统漏洞及识别网络中发生的入侵行为并报警，也能发现内部的恶意破坏行为，但不可以发现外部的攻击。入侵检测系统通过提供快速响应机制，将指令发送给防火墙，防火墙马上关闭通讯连接，从而阻断入侵，减少入侵攻击所造成的损失。

校园网络通过黑盾防火墙设备街区互联网，在网络内部核心交换机设备上连接一台入侵检测系统主机，通过配置交换机的端口镜像功能，使入侵检测主机可以监控所有来自网络内部和外部的数据流。并通过设置入侵检测规则，完成对异常的网络攻击或入侵进行报警。黑盾防火墙通过接口GE1/01接入华为S9303核心交换机，入侵检测主机通过接口GE1/0/2接入华为S9303核心交换机。借助本地端口镜像功能来实现入侵检测主机对防火墙进出数据流进行监控。

入侵检测系统关键要制定好安全策略，包括配置、记录、审计和报告等，并根据需要改变策略。入侵检测系统存在的一个主要问题是入侵检测系统不会主动在攻击前阻止这些攻击。同时，许多入侵检测系统是基于标识判断的，它们不能检测到新的攻击或老式攻击的变形，也不能对加密流量中的攻击进行检测。这时，必须制定一个事件响应的过程以确保一旦针对校园网络的恶意企图发生时，有一个可参照的标准。经常利用杀毒软件进行漏洞检测和扫描，以确保入侵检测系统和其它安全措施的执行情况。防火墙和路由器审查应每季度完成一次，以确保配置的准确和完整。

2 总结

入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击、外部攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、拦截和响应。提高了网络安全系统的防护能力。当然，入侵检测系统并不是一个防范工具，它并不能阻断攻击。如果入侵检测系统和其他硬件（如防火墙）软件（杀毒软件）在功能上实现联动，进行很好地配合，将大大提高网络系统的安全性。

[1]网络与信息安全基础[M].北京理工大学出版社，2008.

[2]小泉修著.叶明，张巍译.互联网基础（日）[M].北京:科学出版社，2004.

[3]安继芳，李海建.网络安全应用技术[M].北京:人民邮电出版社，2007.

项目支持：吉林省大学生创新创业训练计划创新训练项目“入侵检测技术在校园网络安全中的应用研究”。项目编号：20171366200。