（计算机应用技术专业论文）分布式入侵检测技术在校园网中的应用研究.pdf

分布式入侵检测技术在校园网中的应用研究 摘要 随着计算机及网络技术的发展，计算机网络应用与人们的社会生活联系越来 越密切，给人们的工作与生活带来了巨大的便利，同时网络安全也成为不可忽视 的问题。校园网是学校的重要基础设施，校园网络可以方便学生学习新知识、讨 论问题、查阅资料等，同时也是学校的教学、管理、对外交流的平台。对提高学 校的管理水平和教学质量具有非常重要的意义。如何保证校园网不被攻击和破 坏，也是校园网络管理的重要任务。 校园网是基于i n t e r n e t 创建的，由于其开放性、互联性和共享性的特点， 不可避免地会受到病毒、黑客、恶意软件和不轨行为的安全威胁和攻击，校园网 数据丢失、系统被篡改、网络瘫痪的事情时有发生。单纯采用防火墙已经不能满 足网络的安全需求。防火墙是一种被动的防护技术，只能对出入数据进行控制， 难以防范内部的非法访问。因此为提高校园网网络安全，在采取防火墙等被动防 护措施以外，引入入侵检测系统进行主动防御提高网络安全是非常必要的。 校园网络由于其特殊性，容易受到大规模的攻击。且随着校园规模的扩大， 校园网内应用功能的扩展，网络流量急剧增加，就要求入侵检测系统能够在高速 网络中快速的检测入侵，降低入侵检测系统的误报和漏报率，并对检测到的入侵 行为进行实时的响应。因此本课题的目的在于针对校园网的安全问题。首先分析 入侵检测系统在校园网中的作用，并着重研究s n o r t 入侵检测系统的体系结构、 检测流程及检测规则等，并结合分布式入侵检测系统，设计以s n o r t 为核心的分 布式的入侵检测系统模型，并通过协议分析和模式匹配的检测方法提高入侵检测 系统的检测速度、准确性。最后应用在校园网中有效的提高了校园网的安全。 关键字：校园网、s n o r t 入侵检测系统、协议分析、模式匹配 i i i a b s t r a c t w it ht h ed e v e l o p m e n to ft h et e c h n o l o g yi nc o m p u t e ra n dn e t w o r k ， c o m p u t e rn e t w o r ka p p l i c a t i o n sa r eg e t t i n gc l o s e rc o n n e c t e dw i t hp e o p l e s s o c i a l1i r e s ，b r i n g i n ge n o r m o u sc o n v e n i e n c eo fw o r ka n d1i f e ：m e a n w h il e ， n e t w o r ks e c u r i t yh a sb e c o m eap o t e n t i a lp r o b l e mw h i c hc a nn o tb ei g n o r e d c a m p u sn e t w o r ki sa ni m p o r t a n ti n f r a s t r u c t u r et h a tc a nf a c il it a t e s t u d e n t st oi e a r nn e wk n o w l e d g e ，d i s c u s si s s u e s ，a c c e s st oi n f o r m a t i o n a n ds o o na n dt h a tisa ls oap l a t f o r mf o re x t e r n a le x c h a n g eo fs c h o o l s m a n a g e m e n ta n dt e a c h i n g ，i m p o s i n gg r e a ts i g n i f i c a n c eo ni m p r o v i n gs c h o o l m a n a g e m e n ta n dt e a c h i n gq u a l i t y s oi ti sa ni m p o r t a n tt a s ko fc a m p u s n e t w o r km a n a g e m e n tt om a k es u r et h ec a m p u sn e t w o r kw i11n o tb ea t t a c k e d a n dd e s t r u c t e d b a s e do nt h ei n t e r n e t ，c a m p u sn e t w o r kw i l li n e v i t a b l ys u f f e rs e c u r i t y t h r e a t sa n da t t a c k sr e s u l t i n gf r o mv i r u s e s ，h a c k e r s ，m a l i c i o u ss o f t w a r e a n dm i s c o n d u c tb e c a u s eo fi t so p e n n e s s ，c o n n e c t i v i t ya n ds h a r a b i l i t y i t u s u a l l yh a p p e n st h a tc a m p u sn e t w o r kd a t al o s e ，s y s t e mi sf a l s i f i e da n d n e t w o r ki sp a r a l y z e d t h en e e d o fn e t w o r ks e c u r i t yc a n n o tb em e ti f f i r e w a l l sa r ee m p l o y e ds i m p l y t h ef i r e w a l l sa r eap a s s i v ep r o t e c t i o n t e c h n o l o g ya n do n l yc o n t r o le g r e s sa n di n g r e s so fd a t aw h i c hc a n n o tg u a r d a g a i n s ti n n e ru n a u t h o r i z e da c c e s st oi n t e r n e t t h e r e f o r e ，b e s i d e st a k i n g s u c hp a s s i v ed e f e n s em e a s u r ea sf i r e w a l l s ，i ti sn e c e s s a r yt oa p p l y i n t r u s i o n d e t e c t i o ns y s t e m ( i d s ) t oi m p r o v et h ec a m p u sn e t w o r ks e c u r i t y b e c a u s eo fi t sp a r t i c u l a r i t y ， c a m p u sn e t w o r ki se a s yt ob ea t t a c k e d i nl a r g e s c a l e a n dw i t ht h ee x p a n s i o no fc a m p u ss c a l e ，a p p l i c a t i o n f u n c t i o nw i t h i nt h ec a m p u sa n dt h ed r a m a t i c i n c r e a s ei nn e t w o r k t r a f f i c ，i n t r u s i o nd e t e c t i o ns y s t e mi sr e q u i r e dt od e t e c ti n t r u s i o n q u i c k l yi nt h eh i g h s p e e dn e t w o r k ，t or e d u c et h er a t eo ff a l s ep o s i t i v e s a n df a l s en e g a t i v e so fi n t r u s i o nd e t e c t i o ns y s t e ma n dt or e s p o n dt ot h e i n t r u s i o n si nr e a l t i m e t h e r e f o r e ，t h i ss u b j e c ta i m sa tt h es o l u t i o no f c a m p u sn e t w o r k ss e c u r i t y f i r s to fa l l ，t h er o l eo fd i d si nc a m p u s n e t w o r kisa n a l y z e da n dt h es y s t e ms t r u c t u r ea n dt h es y s t e ms t r u c t u r e ， m e a s u r e m e n tp r o c e d u r e sa n dg a g i n gp o l i c yo fs n o r ta r em a r c a t os t u d i e d s e c o n d l y ，c o m b i n e dw i t hd i d s ，t h ed i d sm o d e lw i t hs n o r t c e n t r i cw i l lb e i v d e sig n e da n dt h es p e e da n da c c u r a c yo fd i d sw i l lb ei m p r o v e db yt h em e a n o fp r o t o c o la n a l y s i sa n dp a t t e r nm a t c h i n g f i n a l l y ，t h ea p p l i c a t i o no f c a m p u sn e t w o r kw i l li m p r o v et h es e c u r i t ye f f e c t i v e l y k e y w o r d s ：c a m p u sn e t w o r k ，s n o r ti n t r u s i o nd e t e c t i o ns y s t e m ，p r o t o c o l a n a l y s i s ，p a t t e r nm a t c h v 插图目录 图卜1 中国网民人数增长情况1 图卜2 攻击行为与对入侵者技术要求3 图3 1 通用入侵检测模型2 4 图3 2 分布式的入侵2 5 图3 3 分布式入侵检测系统模型2 6 图4 1s n o r t 数据流程示意图2 9 图4 2s n o r t 的工作流程图3 1 图4 3s n o r t 规则的基本结构3 2 图4 4s n o r t 规则头结构3 2 图5 1 我校校园网络结构图3 8 图5 2 分布式入侵检测系统的总体结构3 9 图5 3t c p i p 协议组中不同层次协议图4 l 图5 4 数据包的格式4 2 图5 5i p 数据包的格式4 2 图5 6t c p 数据包的格式4 3 图5 7 协议分析过程的流程图4 4 图6 1 校园网入侵检测部署图4 8 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据 我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的 研究成果，也不包含为获得 金筵互些太堂 或其他教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢 意。 学位论文作者签名纠彤签字日期：a 口毋扣。乡日 学位论文版权使用授权书 本学位论文作者完全了解金避三些太堂有关保留、使用学位论文的规定，有权保留并 向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权盐 王些太堂可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者虢立蟛 签字日期：。p 巧海；月。知 l 。 学位论文作者毕业后去向： 工作单位： 通讯地址： i i 导师签名： 讹睬曳 签字日期m 。7 年轴嘶 电话： 邮编： 致谢 在本文完成之际，首先我要向我的指导老师张维勇教授和徐文璞高级工程师 表示衷心的感谢和敬意。张老师和徐老师严谨的治学态度、渊博的学识、高尚的 师德、开阔的胸襟、谦逊正直的为人深深打动和影响着我。在他们的指导和帮助 下，不仅学到了很多的知识，更从他们的身上学到了许多做人的道理。整个论文 从选题到完成，在各方面都给予了大力的支持、耐心的帮助，使我能够面对各种 问题和困难，顺利地完成论文工作。 在论文的完成过程中，同时也得到了学校网络中心和我的同事们的关心和帮 助，在此表达深深的谢意。 最后，我要对所有关心我、帮助我的人致以深深的感谢。 作者：刘影 2 0 0 9 年3 月 v 1 1 1 网络安全现状 第一章绪论 近几年来，我国的计算机网络发展尤为迅速，网民规模继续呈现持续快速发 展的趋势。根据我国互联网络信息中心( c n n i c ) 第二十二次全国互联网络发展 状况统计报告n 1 显示，我国网民人数截至2 0 0 8 年6 月，已经达到2 5 3 亿人， 如图1 - 1 所示。根据美国近年来的网民增长速度估算，美国网民人数在2 0 0 8 年 6 月底不会超过2 3 亿人，因此中国网民规模已跃居世界第一位。比去年同期增 长了9 1 0 0 万人，同比增长5 6 2 。在2 0 0 8 年上半年，中国网民数量净增量为4 3 0 0 万人。我国网民身份的调查显示，学生所占的比例最大，占到3 0 ，学生网民规 模达到7 6 0 0 万人，比2 0 0 7 年1 2 月增长了1 5 5 2 万人。校园网络的建设，是促进 学生网民迅速增长的一个重要的因素。 图卜1 中国网民人数增长情况 随着网络的发展，计算机网络应用领域迅速扩大，已渗透到社会生活的各个 领域，并且各种新兴的网络应用层出不穷，如电子政务、移动通信、电子商务、 企业信息化、网络银行、网络游戏等。给人们的工作、生活、学习等带来了很大 的便利，可以足不出户地享受丰富的信息资源、方便快捷地处理日常事务。同时 也加强了人与人之间的交流，拉近了彼此的距离，改变了人们生活和学习的方式。 但是计算机网络是一把双刃剑，在给人们带来利益的同时，安全问题也一直困扰 着大家。如在利用网络购物时，银行卡等许多重要信息都通过网络进行传输、存 储和处理，方便、快捷但不可避免会受到各种主动和被动攻击，如计算机病毒、 黑客攻击、重要数据信息被泄密或篡改等，对个人造成了很大的经济损失。而政 府、军事部门、金融机构、企业由于网络的应用也会遭受频繁的攻击，这将不仅 a 0 5 0 5 o 5 0 亿& 幺 2 l l n c ； 会对企业和国家带来不可避免的巨大的经济损失，甚至将影响社会的稳定和国家 的安全。 据统计：9 9 的大公司都发生过大的入侵事件，且全球平均每2 0 秒就发生一 起i n t e r n e t 计算机系统被入侵事件。世界著名的商业网站，如y a h o o ，b u y ，e b a y ， c n n 等都曾被黑客入侵，造成巨大的经济损失。甚至连专门从事网络安全的r s a 网站也受到黑客的攻击。2 0 0 8 年度公安部举办的信息网络安全状况与计算机病 毒疫情调查活动心3 的结果显示，在发生过网络安全事件的调查对象中，屡次发生 网络安全事件( 3 次以上) 的比例为5 0 ，多次感染病毒( 3 次以上) 的比例为6 6 8 ， 说明我国互联网的网络安全仍须引起足够的重视。 网络安全从广义上讲1 ，是指网络硬件资源和信息资源的安全性。为了实现 信息快速、安全的进行交换，首先物理网络必须是可靠和安全的。物理网络的安 全是指保障网络中的各种设备如路由器、交换机等是安全可靠的。其次是信息资 源的安全性。它包括维持网络服务运行的各种软件、网络中存储和传输的数据的 安全性。从本质上讲，网络安全是指保护网络系统的硬件、软件以及系统中数据 信息，不会因为偶然或者恶意的原因而遭到破坏、篡改、泄露，系统能够持续可 靠运行，网络服务不会中断。它是涉及计算机科学、网络技术、通信技术、密码 技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。从系 统安全的角度可以把网络安全的研究内容分为两大体系：攻击和防御。攻击技术 包括：网络监听、网络扫描、网路入侵、网络后门、网络隐身。网络防御包括： 操作系统的安全设置、加密技术、防火墙技术、入侵检测技术。本文主要研究通 过入侵检测技术来保障网络的安全。 随着软件科技的进步，网络攻击和防御技术都在不断的发展。网络攻击对知 识的要求越来越低，网络上出现了越来越多的攻击工具，使攻击的手段也越来越 多样化、复杂化。如图1 - 2 所示。实线代表攻击行为，虚线代表入侵者需要掌握 的技术。c e r t c c 曾预言：攻击行为的自动化可能在因特网上引发大规模的入 侵活动n4 1 。网络安全面临着越来越严峻的考验，已逐渐成为网络社会关注的焦点 问题。 2 研执行代码攻内il 鉴于窟口的近糕挖橱 ( 针对澍览磊)ll 。特济伊木强。攻击 越一jtl i 訇、 网l 场挣 钯绝服 隧形1 高i 扫 ；函技术 分折技术 c 寸d n s 勰蠡：i 掏选的攻击 i1 分奄式的拒绝 i 服务玻南工n e = = = 盼靠式伪攻击工 l - - h - _ _ - - _ _ - - _ 一 特济伊木i 丐l 的f i 迂埔t 乇l e 眦i l 的氆嚣代玛 1 9 9 01 9 9 l1 9 9 2 l 钾i ，1 9 9 4 1 9 蛄l 钾唔1 9 9 71 9 l 钾9 2 0 0 0 图卜2 攻击行为与对入侵者技术要求 1 2 本文的研究目的和意义 随着i n t e r n e t 的迅速普及和“教育要面向现代化，面向世界指导思想的 贯彻实施，各高校都相继建成或正在建设校园网。校园网的广泛应用使学校实现 了管理的网络化和教学手段的现代化，这对于提高学校的管理水平和教学质量具 有十分重要的意义。 校园网络由于其特殊性，容易受到大规模的攻击，且随着校园规模的扩大， 校园网内应用功能的扩展，网络流量急剧增加，使得校园网络安全问题日益严重。 校园网络不仅会受到来自外部网络的攻击行为，更多的则是来自校园网内部的攻 击行为。因此要求采用入侵检测系统，通过它能够在高速网络中快速的检测入侵， 降低入侵检测系统的误报和漏报率，并对检测到的入侵行为进行实时的响应。因 此本课题的目的在于针对校园网的安全问题，首先分析入侵检测系统在校园网中 的作用，并着重研究s n o r t 入侵检测系统的体系结构、检测流程及检测规则等， 并结合分布式入侵检测系统，设计以s n o r t 为核心的分布式入侵检测系统模型， 并通过协议分析和模式匹配的检测方法提高入侵检测系统的检测速度、准确性。 然后应用在校园网中有效的提高了校园网的安全。 通过对入侵检测系统、检测效率和实时响应能力，及在校园网中的应用研究， 对提高校园网网络信息的安全、校园网的正常运行、学校的管理、对外的交流等 方面提供良好的保障，对更好的保障校园网的网络安全具有重要的意义，并对保 障类似的职业类院校的网络安全具有技术推广作用。 _ _ _ k k i 、，、一一j j 1 3 论文的组织结构 本文共分为七章。 第一章绪论 本章主要介绍网络安全的现状，课题研究的目的和意义。 第二章校园网网络安全 本章首先介绍了校园网的网络安全问题，并对校园网安全问题产生的原因进 行了分析。其次为了解决校园网的安全问题，介绍了主要采取的网络安全技术。 并阐述了常用的网络安全技术的不足，最后针对传统的网络安全技术的不足，指 出在校园网中引入入侵检测技术保障其安全的必要性。 第三章入侵检测技术 本章首先介绍了入侵检测的概念、分类及各种类型入侵检测的功能。并分析 了现在入侵检测存在的问题，以及入侵检测系统中为了检测攻击采用的主要检测 技术，此外还介绍了入侵检测的发展过程，并对入侵检测的发展趋势进行了分析 和概括。最后对分布式的入侵检测方向进行了重点分析，并分析了分布式入侵检 测的模型。 第四章s n o r t 入侵检测系统 通过对校园网安全问题和入侵检测系统的分析，采用开放源代码的s n o r t 入侵检测系统应用于校园网中。首先介绍了s n o r t 的特点及功能，并分析了s n o r t 的体系结构及各组成部分的作用。然后对s n o r t 的入侵检测流程进行了分析。最 后对s n o r t 的规则结构进行了介绍。 第五章校园网中分布式入侵检测的模型设计 通过对我校校园网结构的分析，根据分布式入侵检测系统的设计目标，设计 适合我校校园网安全问题的分布式入侵检测模型。最后对基于协议和基于模式匹 配的检测方法进行研究，通过两者的结合，提高了校园网中入侵检测的速度和实 时性。 第六章分布式入侵检测系统在校园网中的应用 通过对校园网安全问题的分析，根据网络入侵检测系统的部署原则，将入侵 检测系统应用于校园网中，通过校园网中的试运行，证明其有效的保障了校园网 的安全。 第七章总结与展望 对本文所做的工作进行了简要总结，提出下一步研究的方向。 4 2 1 校园网网络安全概述 第二章校园网网络安全 校园网络的建设自1 9 9 6 年开始，尤其是2 0 0 0 年后商业网站发展的热潮及国 家对于教育信息化的重视，使得校园网发展迅速。全国很多高校都普遍建立了自 已的校园网。我校的校园网始建于2 0 0 1 年。校园网承担着教学资源的共享、多 媒体教学、对外交流和展示的平台、重要信息的发布、各种管理信息系统、休闲 娱乐等多种角色。对院校实现管理网络化和教学手段现代化、提高学校的管理水 平和教学质量、网络信息资源共享、丰富师生业余文化生活等方面发挥了积极的 作用。但是由于互联网的开放性、互联性和共享性的特点，校园网络不可避免地 会受到病毒、黑客、恶意软件和不轨行为的安全威胁和攻击，校园网数据丢失、 系统被篡改、网络瘫痪的事情时有发生。这将直接影响到学校的正常教学活动和 学校的良好形象。且学生在我国网民身份调查的统计中显示占最大的比重，因此 营造安全的校园网网络环境非常重要。 2 1 1 校园网安全问题 校园网由于自身的特点是安全问题比较突出的地方。具体包括以下几个方 面： ( 1 ) 计算机病毒 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数 据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机 病毒包括蠕虫病毒是近年来影响计算机网络的主要威胁。病毒包括从校园网外部 传入和内部网络病毒。且由于校园网内用户众多，从而给计算机病毒的快速传播 提供便利的条件。病毒可以通过软件下载、邮件操作等进入校园网络，然后对校 园网络进行攻击，已经严重威胁了校园网内各项功能的正常使用。 ( 2 ) 计算机软件的漏洞 如操作系统漏洞、应用软件漏洞等。任何网络软件都不可能是无缺陷和无漏 洞的。且软件编程人员在设计软件时预留的“后门 ，主要为了自便而设置的， 一般不为外人所知。但一旦“后门 被发现和利用，其造成的后果将不堪设想。 据统计有8 0 的网络病毒是通过系统安全漏洞进行传播的。 ( 3 ) 计算机黑客入侵 计算机软件的漏洞及病毒的广泛传播正是黑客进行攻击的首选目标，一些人 出于好奇、逞能心理，还有一些人出于报复或其他动机，编写病毒程序或攻击他 5 人的机器或服务器。 ( 4 ) 内部用户的大量攻击行为 高等学校的学生通常是最活跃的网络用户，也是掌握技术的一个群体，对网 络新技术充满好奇，而他们接触最多的就是校园网络，对之相对熟悉了解，因此 校园网就成为其攻击尝试的场所。由于没有意识到后果的严重性，有些学生会尝 试使用网上学习到的攻击技术、网络上下载的攻击工具、甚至自己研究的各种攻 击技术攻击校园网络，对网络造成一定的影响和破坏。 ( 5 ) 拒绝服务攻击 拒绝服务攻击是一种简单但很有效的攻击方式，因此应用非常广泛且发展迅 速。它利用发送大量的合理的请求占用过多的服务资源，致使服务超载，无法响 应其他的请求，从而使合法用户无法得到服务。分步式拒绝服务攻击是拒绝服务 攻击一种形式，是一种分布、协作的大规模攻击方式，主要用于对比较大的网络 内的站点攻击。其利用攻破网络内的一些机器，并控制这些机器对一台机器发起 攻击，令人难以防备，破坏性较强。 ( 6 ) 校园网安全管理问题 由于校园网内机器众多，校园网的用户群体一般比较大，因此众多的机器由 个人所有，并自行管理和维护。这对校园网实施有效的安全管理带来很大的困难。 随着校园内的计算机应用的大范围普及，接入校园网的机器逐渐增多，当出现网 络安全问题时通常很难分清责任。更有些计算机甚至服务器系统建设完毕之后无 人管理，甚至成为攻击者攻击校园网络的工具，造成了校园网信息丢失、数据损 坏、网络被攻击、系统瘫痪等严重后果h 1 。 2 1 2 校园网安全原因分析 ( 1 ) 开放的校园网网络环境 校园网是基于i n t e r n e t 创建的，且由于教学资源共享等问题决定了校园网 络环境应该是开放的。校园网内很多服务器等资源都允许由一般用户进行访问， 安全级别很低。这为黑客攻击行为提供了较好的环境，且很容易隐藏其身份。 ( 2 ) 校园网的高带宽和大量的主机资源 高校的校园网是最早的宽带网络，其带宽达到百兆、千兆甚至万兆。校园网 的用户一般也比较多，比较密集，且上网时间比较长。正是由于高带宽和多用户 的特点，使其成为攻击者实践技术的最佳场所，且容易利用校园网内不同地点的 多台主机发起大规模的攻击，对网络安全的危害很大。 ( 3 ) 校园网内活跃的用户群体 高等学校的学生通常是最活跃的网络用户，对网络新技术充满好奇，求知欲 6 强，勇于尝试，且具有先进的专业技术，校园网络因此成为实践所学知识的最佳 场所，并以攻击结果来显示自己的能力。当然其中不乏有恶意的攻击行为。现在 的攻击行为越来越趋向于大规模、自动攻击的方向发展。攻击已经变得越来越复 杂、越来越自动化。对攻击者技术的要求越来越低，可以直接使用网络上提供了 各种攻击软件实施攻击行为。如果学生的安全意识薄弱，没有意识到因此造成的 严重后果，有些学生会尝试使用网上学习和下载的各种攻击技术实施攻击行为， 凭借其对网络内部结构的熟悉，对网络的影响和破坏比较严重。 ( 4 ) 网络安全意识 校园网内的学生基于好奇等因素对校园网进行入侵行为，没有意识到因此造 成的严重后果，从而对网络带来了安全问题。同时校园网内不少用户对计算机技 术和网络安全技术知之甚少，没有网络安全的意识，对网络入侵的行为缺乏安全 的防护措施，对攻击行为无法识别，同时没有意识到网络内部信息的重要性，对 网络内部信息无意识的泄露、未遵守操作规则或是误操作而造成的信息泄露，且 在遭到入侵时仍没有察觉，因而造成重大的损失。因此需加强网络安全的知识教 育，加强对网络安全的重要性的认识。 ( 5 ) 盗版资源泛滥 盗版软件、影视资源在校园网中普遍使用，这些软件的使用和传播占用了大 量的网络带宽，同时也给网络安全带来了一定的隐患。盗版软件中有很多的安全 漏洞，还包括软件编程人员留下的“后门 等都会被攻击者利用实施攻击。 ( 6 ) 校园网中的计算机系统管理比较复杂 校园网内主机资源丰富，但是其计算机系统的购置和管理情况非常复杂。一 般学生宿舍中的电脑都是由学生自己花钱购买、自己维护的，有的院系是统一采 购、有技术人员负责维护的，有些院系则是教师自主购买、没有专人维护的。这 种情况下要求所有的终端系统实施统一的安全政策( 比如安装防病毒软件) 是非 常困难的。由于没有统一的资产管理和设备管理，出现安全问题后通常无法分清 责任。比较典型的现象是，用户的计算机接入校园网后感染病毒，反过来这台感 染病毒的计算机又影响了校园网的运行，于是出现终端系统用户和网络管理员相 互指责的现象。更有些计算机甚至服务器系统建设完毕之后无人管理，甚至被攻 击者攻破成为攻击的跳板、变成攻击试验床也无人觉察。 ( 7 ) 有限的投入 在资金比较紧缺的情况下，学校将资金都用于购置设备方面，对网络安全方 面投入资金较少，特别是管理和维护人员方面的投入明显不足。在大多数的校园 网中，通常只有网络中心的少数工作人员，他们只能维护网络的正常运行，无暇 顾及、也没有条件管理和维护数万台计算机的安全。 7 另一方面，因为资金问题，校园网在安全方面往往没有太多的设置，特别是 高职类的院校，校园网的建设时间较短，常常只是在内部网与互联网之间放一个 防火墙就了事了，甚至什么也不放，直接面对互联网，这就给病毒、黑客提供了 充分施展身手的空间。对校园网的网络安全造成了很大的影响璐1 。 2 2 其他网络安全技术 2 2 1 各种网络安全技术及作用 校园网的网络安全问题同益严重，受到的攻击不断增加，且攻击的方法也在 不断的改进中，而网络安全技术为网络安全提供有力的保障。下面介绍保障网络 安全使用的安全技术。 ( 1 ) 防火墙技术 防火墙技术晦6 3 是保护校园网络安全使用最广泛的安全技术之一。它是建立 在现代通信网络技术和信息安全技术基础上的应用性的安全技术，是设置在内部 网络和外部网络之间的一道屏障，是在内部网络和外部网络之间的各种系统组件 的集合，是用于隔离内部网络和外部网络的所有防范措施的总称。其中被保护的 网络通常称为内部网络，其它称为外部网络。它通过制定一定的安全策略，控制 和检测内部和外部网络之间的信息交换和访问行为，阻断来自外部网络对内部网 络的威胁和入侵，并过滤不良信息，增强内部网络的安全性，是保护内部网络安 全的一道关卡。 防火墙的主要作用有以下几点： 1 ) 具有过滤进出网络的数据包，过滤掉不安全服务和非法用户的功能。 2 ) 管理进出网络的访问行为，限制他人进入内部网络。 3 ) 封堵某些用户的访问行为，限定其访问特殊站点和超出权限的访问行为。 4 ) 记录通过防火墙的信息内容和活动。 5 ) 强化网络安全策略。能将安全软件配置在防火墙上，与网络安全问题分 散到各个主机相比，由防火墙进行集中的管理更安全经济。 6 ) 对网络攻击进行检测和告警。 防火墙的种类很多，在不同的发展阶段，采用的技术也不相同。根据采用的 不同的技术，分为不同类型的防火墙。防火墙采用的技术有：包过滤技术、应用 代理技术和复合型防火墙技术口儿副。 包过滤技术 采用包过滤技术的防火墙称为“包过滤型”防火墙。网络上的数据都是以包 为单位进行传输，数据被分割成一定大小的数据包，每个数据包中都包含发送方 8 的i p 地址、接收方的i p 地址、t c p 链路状态、传输层协议等信息，每个数据包 都携带这些特定的信息在网络上进行传输。而包过滤防火墙通过在适当的位置对 网络中分包传输的数据实施有选择通过的技术。它的安全性是基于对包的i p 地 址的校验。在判断是否允许数据包通过时，防火墙读取数据包中的地址信息来判 断该数据包是否来自可信任的安全站点。一旦发现来自危险站点的数据包，该数 据包会被防火墙过滤掉，不允许它进入内部网络，从而保障了网络系统的安全。 采用包过滤技术的防火墙具有简单实用、实现成本较低、在比较简单的应用 环境下能够以较小的代价来保障系统安全的优点。但是包过滤技术防火墙的缺点 也比较明显。包过滤技术是一种基于网络层的安全技术，只能根据数据包的来源、 目标地址和端口等网络信息来判断，无法识别基于应用层恶意的入侵。 应用代理技术。 采用应用代理技术的防火墙称为“代理型 防火墙，也可以称之为代理服务 器，它的安全性高于包过滤型的防火墙，它是在应用层实现防火墙的功能，针对 每一个特定的应用进行检验。代理服务器一般不允许直接与真正的服务通信，用 户和服务之间的所有通信都通过代理服务器来完成。代理服务器位于客户机和服 务器之间，阻挡了二者之间的数据交流。对客户机来讲，代理服务器就相当于一 个真正的服务器；对服务器来讲，代理服务器就是一个真正的客户机。当客户机 需要使用服务器上的数据时，代理服务器接收客户请求并检查验证其合法性，如 其合法，代理服务器就会象一台客户机一样向服务器索取所需的数据信息，然后 再转发给客户机，它将内部系统与外界隔离开来，使得在内部系统和外界之间没 有直接的数据通道，从而从外面只能看到代理服务器而看不到任何内部资源，外 部的入侵者也就很难对内部的资源进行破坏。代理服务器只允许有代理的服务通 过，而其他所有服务都完全被封锁住。防火墙只允许被认为可信赖的服务通过， 以此保证网络系统的安全。这种防火墙的优点是安全性较高，针对应用层的入侵 十分有效，但是代理型防火墙对系统的整体性能有较大的影响，对于每项服务， 代理可能要求不同的服务器，因此代理服务器必须对客户机可能产生的所有的应 用类型逐一进行设置，增加了系统管理的复杂性。 复合型防火墙技术 采用复合型防火墙技术的防火墙称为“混合型”防火墙。由于包过滤防火墙 安全性不高，而代理服务器型的防火墙速度较慢，因而对两者的缺点进行改进， 综合两种技术的优点改进了防火墙技术，将这种防火墙称为混合型的防火墙，它 保证了一定的安全性，又使通过它的信息传输速度不至于受到太大的影响。对于 那些从内部网向外部网发出的请求，由于对内部网的安全构不成威胁，可以直接 与外部网建立连接；对于那些从外部网向内部网发出的请求，先要通过包过滤型 9 防火墙，经过安全检查确定后方可接受请求，否则就需要丢弃或做其他的处理。 当前防火墙的发展也趋向于与其他的网络安全技术相结合，从而更好的发挥各技 术的优点，以提高防火墙的灵活性和安全性。 防火墙的优点： 1 ) 防火墙能强化安全策略，阻止易受攻击的服务 防火墙为了防止网络上的不良现象的发生，通过制定和执行网络的安全策 略，仅仅允许符合规则的请求通过，过滤那些不安全的服务，拒绝可疑的访问， 降低非法攻击的风险，成为安全问题的检查点，有效的提高了网络的安全系数。 2 ) 防火墙监视i n t e r n e t 的使用 所有进出网络的消息都必须经过防火墙，防火墙收集了关于系统、网络使用 和误用的消息。 3 ) 防火墙可以控制对特殊站点的访问 在内部网络中，只有邮件服务器、w w w 服务器和f ，i p 服务器能被外部网络进 行访问而其他主机则被保护起来，防止不必要的访问。 4 ) 防火墙可以实现网段控制，增强保密性 防火墙可以用于隔离网络中不同的网段，以避免在一个网段中的问题通过网 络在整个网络中传播。 防火墙的缺点： 1 ) 防火墙防外不防内的策略，使其不能防范内部攻击 防火墙可以有效的控制外部用户通过网络获得敏感数据，但是它无法防止内 部用户偷窃数据、拷贝数据、破坏硬件和软件等。如果外部用户已经进入到防火 墙内部，就相当于网络的内部用户，防火墙也是无能为力的。 2 ) 防火墙不能防范来自防火墙以外的其他途径所进行的攻击 3 ) 防火墙不能防范i p 地址欺骗 4 ) 防火墙无法检测加密的网络流量 5 ) 防火墙一般没有实时的入侵检测的能力 6 ) 防火墙不能解决自身的安全问题 7 ) 防火墙不能防范所有的威胁 防火墙不能防范网络上的病毒，也不能消除计算机中已经存在的病毒。即没 有一个防火墙能够自动有效地防御所有的威胁。 ( 2 ) 防病毒技术 在所有计算机安全威胁中，计算机病毒是较为严重的，它不仅发生的频率高、 病毒在网上的传播速度快、造成的损失大，而且潜伏性强、覆盖面广，特别是在 广泛使用电子邮件的情况下，计算机病毒的传播非常迅速。不少学校的信息系统 1 0 都遭受过计算机病毒的侵害，造成严重的损失。计算机病毒防护是网络安全的一 个重要领域。 随着网络技术的发展，逐步从桌面杀毒发展到网关杀毒。网关防病毒是重要 的防病毒措施，它将病毒隔离在网络之外，并且能够阻止在进出网络时病毒的传 播。网关防病毒技术主要有两部分：一是如何对进出网关的数据进行查杀，另一 部分是对要查杀的数据进行检测与清除。网关防病毒技术的关键是如何对进出网 关的数据进行查杀。在网关处查杀病毒的实现可分为四种技术：基于代理服务器 的方式、基于防火墙协议还原的方式、基于邮件服务器的方式、基于信息渡船产 品的方式。基于代理服务器的方式主要是采用数据通过代理服务器时将其根据不 同协议进行还原，再利用安装在代理服务器内的扫描引擎对其进行病毒查杀的方 式。基于防火墙协议还原的方式是利用防火墙将数据包还原为不同协议的文件， 然后传送到相应的病毒扫描服务器进行查杀，扫描后再将该文件传送回防火墙并 进行数据传输。基于邮件服务器的方式是以邮件服务器为网关，在邮件服务器上 安装相应的邮件服务器版防病毒产品。通过将防病毒程序内嵌在邮件系统内，在 进出邮件转发前对邮件及其附件进行扫描并清除，从而防止病毒通过邮件网关进 入内部网络。基于信息渡船产品的方式是采用在产品内建立信息孤岛，通过高速 电子开关实现数据在信息孤岛的交换。用户只需在信息孤岛内安装防病毒模块， 就可实现对数据交换过程的病毒检测和清除h 。 ( 3 ) 加密技术 加密技术是网络中广泛使用的安全技术，主要是通过对信息进行重新编码， 使其变为难以识别的数据，从而达到隐藏信息内容，使非法用户无法获取信息真 实内容的一种技术手段。它分为加密和解密过程。数据加密就是对可读的原文( 即 明文) 经过某种算法处理使其成为不可读的一段代码( 即密文) ，并且只能在输 入相应的密钥之后才能显示出原来内容( 即明文) 。把将其转换为明文的过程称 为解密。加密算法是数据加密的核心，它本身的好坏直接影响数据加密的安全和 性能，它是网络安全最有效的技术之一。 加密技术主要分为传输加密和存储加密两方面。传输加密技术主要是对传输 中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。链 路加密是指在链路上传输的数据是加密的，而在节点中的信息是以明文的形式出 现。它用于保护通信节点间的数据，接收方是传送路径上的各台节点机，信息在 每台节点机内都要被解密和再加密，这种加密方式是由传送节点的通信口中的密 码设备或加密软件实现加密和解密的。节点加密与链路加密有相同之处，都需要 对数据进行加密和解密，每两个节点用同一个密钥加密数据。与链路加密不同的 是，在节点加密中，除了发送节点和接收节点以明文的形式出现，在中间节点则 是进行密钥的转换，即在节点处采用一个与节点机相连的密码装置，密文在该装 置中被解密并被重新加密，明文不通过节点机，避免了链路加密节点处易受攻击 的缺点。端到端加密是为数据从一端到另一端提供的加密方式。数据在发送端被 加密，只有到达接收端才能解密，中间经过的任何中间节点处都不以明文的形式 出现。在端到端加密中，除报头外的报文均以密文的形式贯穿于全部传输过程， 只是在发送端和接收端才有加、解密设备，而在中间任何节点报文均不解密。因 此中间节点上不需要有密码设备。且报文只在发送端加密，接收端解密，同时也 减少在通过中间节点时被窃取的可能性。 常用的加密技术分为对称加密技术和非对称加密技术。对称密钥算法又称传 统密码算法或单密钥体制，即发送方和接收方利用同一个密钥来进行加密和解 密。加密密钥能够从解密密钥中推算出来，反过来也成立。对称算法要求发送者 和接收者进行安全通信之前，需要协商一个密钥。对称算法的安全性取决于密钥 的安全性。对称的密钥算法有d e s 、3 d e s 、a e s 等。非对称算法也称公开密钥算 法，是用于加密和解密的是两个不同的密钥，而且解密密钥不能根据加密密钥计 算出来。有一个密钥是公开的，用于发送方对数据进行加密，称公开密钥( 简称 公钥) 。另一个密钥是不公开的，用于接收方对接收到的信息进行解密，称为私 人密钥( 简称私钥) 。常用的非对称的加密算法有r s a 、e c c 等哺1 。 ( 4 ) 身份认证技术 身份认证技术主要是对用户的身份加以鉴别、确认，从而证实是否符合或者 是否有效的过程。常用的身份认证技术有口令认证、数字签名、数字凭证等。口 令认证是系统中的每一个用户都有一个用户名和密码，当用户想进入系统时，必 须先输入用户名和密码，系统就可以检验用户的合法性。数字签名技术以加密技 术为基础，其核心是采用加密技术的加密、解密算法体制来实现对报文的数字签 名。数字凭证又称数字证书，它是网络通信中标识通信各方身份信息的系列数据， 其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交 往中用它来识别对方的身份。 ( 5 ) 访问控制技术 访问控制是提供信息安全保障的主要手段和安全机制，是实现数据保密性和 完整性机制的主要手段。访问控制根据规则确定合法用户对哪些系统资源享有什 么权限，可以进行何种类型的访问操作，限制访问者对被需要保护资源的访问权 限，防止非法用户进入系统和非法使用系统资源，从而使计算机系统在合法范围 内使用，避免网络资源被非法使用。利用访问控制技术可以使系统管理员跟踪用 户在网络中的活动，及时发现并拒绝黑客的入侵。它是维护网络系统安全、保护 网络资源的重要手段之一。 1 2 ( 6 ) 安全扫描技术与漏洞检测 安全扫描技术是通过对网络的扫描，了解网络的安全配置和运行的服务，及 时发现安全漏洞，客观评估网络风险等级。同时可以根据扫描的结果更正网络安 全漏洞和系统中的错误配置，在网络受到攻击之前进行防范。它是一种主动的防 范措施，包括基于服务器的安全扫描技术和基于网络的安全扫描技术。 漏洞检测也是对计算机系统或网络系统进行检查，发现其