入侵检测系统与网络教学平台互动的研究及实现《电脑知识与技术》.doc

入侵检测系统与网络教学平台互动的研究及实现李培李培 (1980-)，女，硕士，助教，西安邮电学院信息中心计算机基础教研室教师，该研究获得西安邮电学院中青年教师科研项目基金支持。1) (西安邮电学院 信息中心 陕西 西安 710061)摘要：网络安全问题日益严重，入侵检测系统已经被广泛的使用，同时，依托网络环境，网络教学平台应运而生。针对学校的特殊应用，研究实现了入侵检测系统与网络教学平台的互动，一方面，利用入侵检测系统检测网络教学平台访问者的攻击及漏洞，维护网络教学平台的正常运行；另一方面，通过将攻击信息、系统漏洞、补救修复方法等对网络教学平台访问者的反匮，增进其网络安全知识及意识，充分发挥教育功能。关键词：网络教学 入侵检测系统 网络安全中图法分类号: TP393文献标识码: AResearch and Implementation of Interaction between IDS and Network Teaching PlatformLI Pei（Information Center, Xian Institute of Post and Telecommunication, Xian 710049, China）Abstract:The safe of the network becomes important, intrusion detection systems have been used broadly, and network teaching platform appears based on network development. The topic of this reach lies in how to build intrusion detection system in network teaching platform and implement the interaction between them. IDS detect the attacks and leaks of the visitors to protect the normal running of platform on one side; Platform feedback the visitors with information about attack, leak and repair methods to enhance their knowledge on network security. Key Words: network teaching intrusion detection system network security 1、 引言网络教学平台作为一种新兴的教学与学习互动的教育工具目前在各大专院校得到了普遍的应用，但是，网络教学平台的使用者常常会发现速度太慢，影响学习和教学，经调查发现，部分问题源于网络安全，加之，许多人对网络安全的认识还处于初级阶段。因此，作为教育工作者，依托网络教学平台，通过实现网络入侵检测系统与其互动，保证网络教学平台自身安全的基础上，提供给使用者网络安全解决方案，唤醒使用者对网络安全的重视。2、 全新的安全机制目前的安全领域，防毒软件及防火墙扮演了重要的角色，但研究仍发现网络学习者往往使用电脑警觉性不足，且不具备相关电脑知识，还是会饱受网络病毒或黑客入侵的危机，有些学习者甚至不知道自己的机器已经被黑客入侵或感染了网络病毒，进而继续感染给网络学习平台或其他使用者的电脑上，也导致教学平台无法正常运作。而目前的网络教学平台，系统管理者都是利用防火墙及防毒软件杜绝网络的危害，属于被动的预防或是治疗。我们的研究认为网络教学平台除了提供网络教学的服务之外，应有义务主动的告知使用者在学习时的网络情况并告知处理方法。因此建立教学平台的网络安全告知的机制是必要的，我们变以往被动的安全机制为主动防御和治疗的安全机制，让使用者了解电脑目前的状况，解决安全问题，并从根本上唤起使用者的警觉心，加强网络安全意识。进而，从本质上有效的截断病毒传播，维护网络安全。3、 网络教学平台的研究通常，网络教学平台是将传统的两层体系结构扩展成浏览器WEB服务器+应用服务器数据库服务器三层体系结构，这种模式采用多种标准的协议和技术，适合于任何硬件平台和软件环境。一般由教师教学系统、学生学习系统和教学管理系统三大模块组成，系统功能框图如图1所示。图1 系统功能框图我们选择的研究对象是西安邮电学院网络教学平台。它是为教师课堂面授课程服务的网络辅助教学的支撑平台，该系统支持教师与学生进行网上互动式教学活动，它能向学生提供网络辅助学习支持功能；它能向教师提供网上教学支持功能，一个典型的网络教学平台，具有很好的实践价值。4、 入侵检测系统的研究研究的入侵监测系统选用东软的NetEye IDS系统。它采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图，进行报警，响应和防范。配合防火墙系统使用，全面保障网络的安全,组成完整的网络安全解决方案。整个系统采用客户/服务器结构，由检测引擎和管理主机组成。结构示意图如下：图2入侵检测系统结构示意图主要功能模块有：网络攻击与入侵检测功能；多种通信协议内容恢复功能；应用审计和网络审计功能；图表显示网络信息功能；报表功能；实时网络监考功能；网络扫描器；数据备份恢复功能；其它辅助管理工具。该入侵检测系统是一个具有易用性、易维护性、高可用性、易部署性等特色的网络安全产品，而且整体拥有成本最低。5、 互动研究及设计首先明确我们设计所针对的对象：网络教学平台：西安邮电学院网络教学平台平台环境：Linux服务器入侵检测系统原型：Net Eye IDS系统平台环境：Linux服务器最终的设计目标是：在原有的网络教学平台中搭建入侵检测系统，支持对用户和系统的运行状况分析，查找非法用户和合法用户的越权操作，检测系统配置的正确性和安全漏洞，提示管理员和用户修补漏洞，对用户的非正常活动进行统计分析，发现攻击行为的特征，实时检测到攻击行为并且进行响应等功能。整个互动的构架是基于CIDF模型框架模型。整体的四个部分功能如下：事件产生器:目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器:分析得到的数据，并产生分析结果。响应单元:对分析结果做出反应的功能单元，可以切断连接、改变文件属性等，也可以只是简单的报告。事件数据库:是存放各种中间和最终数据的地方的统称，可以是复杂的数据库，也可以是简单的文本文件。为了适应复杂的网络环境，提高现有的网络入侵检测系统扩展性、高可靠性、高劲型、准确性，参考CIDF模型，结合当今的入侵检测技术(模式匹配、统计模型、状态检测、协议分析)的需要，并最终配合网络教学平台使用，达到互动的目的，我们采用了以下的框架。图3 改进后的系统框架针对各功能模块的设计如下：(1)数据预处理模块该模块完成将网络中采集的数据报文按照各层协议逐一进行分离，将数据报文转换成程序可以识别的数据结构。采用东软IDS的模块设计，将该模块主要分为5大部分链路层协议分解(PPP. FDDI等)网络层协议分解(IP协议、IPX协议、ARP协议等)传输层协议分解(TCP协议、UDP协议、ICMP协议等)IP分片重组TCP流重组通过该模块的处理，原始数据报文按照协议分层信息转化成程序可识别的数据结构。该结构中包含有各个协议层次的信息，以及其他一些检测所需的数据。(2)入侵检测规则库入侵检测规则库是入侵检测系统的支撑，这里同样继承NetEye IDS系统的规则库模块及规则格式的定义，以适应目前匹配技术在入侵检测系统的应用，有很好的扩展性。而且会不断的更新升级。另外，针对具体攻击的特征和实质，该规则库中还有一些附加信息描述，方便了解每一种攻击的来龙去脉，即该条规则属于何种类型的攻击、针对哪一类操作系统的什么漏洞，以及该漏洞的发现时间、补丁信息等。为我们实现对网络平台用户的报警及提供相应的支持信息，帮助其尽快完善和修复系统提供了可能。(3)状态检测模块状态检测技术的基本思想是通过在IDS主机上维护着一个状态表，实现状态检测的核心就在于这个状态表的建立和维护。在TCP/IP协议族中，IP所承载的TCP通信是面向连接的，ICMP和UDP都是无连接的，状态检测首先要考虑的，就是TCP通信的检测方法，我们设计该模块的内容包括：1. TCP, UDP, ICMP通信的状态确定与提取;2. 状态表的维护，状态表里存储着TCP, UDP, ICMP通信的状态;为保证查表的准确与高效;3. IDS接收的数据包将首先与状态表相匹配;4. 该状态表能够严格发现不符合状态转换机制的攻击，并能够结合统计方法对扫描攻击和恶意拒绝服务攻击进行检测。(4)协议分析模块协议分析模块主要指的是应用层协议分析。我们设计该协议分析模块包含各个针对具体协议处理的子模块，即FTP协议处理摸块、TELNET协议处理模块、HTTP协议处理模块、SMTP协议处理模块、POPS协议处理模块共5个子模块。分别对应网络教学平台上的应用，如：FTP上传下载课程资源，TELNET登陆平台，通过WEB页面使用平台以及平台的邮件服务。由于TELNET, SMTP, POP3等协议是面向字符的协议，对于从数据采集和数据预处理模块传送来的单个协议报文，需要协议分折模块来进行缓存处理，按照协议规定的命令结束方式(以n车符表示结束)，把连续的几个协议包组织成一个可识别的完整命令，在组包的过程中，要对具体客户端协议包中的一些特殊键入字符进行相应处理，包括协议本身命令符、空格、回退等。(5)异常统计模块不同于一般的攻击方式，黑客们常常还使用暴力手段或同时控制多台机器发动恶意攻击、对于这类攻击，会在短时间内产生大量的攻击报文，如果仍然采用单包检测的模式匹配技术，会产生大量的重复告警信息，影响系统的检测效率和性能。因此，对于这类攻击，我们设计了异常统计模块来进行检测口该模块主要采用了统计方法，通过对这一类攻击进行建模，设置极限闽值等方法，将检测数据与己有的正常行为比较，如果超出极限值，就认为是入侵行为。(6)模式匹配模块模式匹配模块是入侵检测系统的主要环节。随着黑客攻击手段的飞速增长，针对模式匹配的攻击特征规则越来越多，这就对模式匹配模块的匹配速度提出了较高的要求。(7)入侵响应模块针对我们为网络教学平台的特殊设计，这里响应模块根据不同的响应设置有划分为8个子模块，发现攻击、防火墙联动、阻塞攻击、Email通知、Snmp通知警铃通知、消息通知、短消息通知、文件通知。Email通知是发现攻击后，发送Email给管理员和能够定位的系统进行通知；Snmp通知是发现攻击后，调用Snmp代理进行通知，以及使用网络教学平台系统消息和短信等方式通知。在传统的单纯隔断入侵行为的基础上，强调了对用户提供安全防御等辅助信息，加强用户的安全意识，从源头上阻断网络上的入侵行为。(8)日志记录模块网络入侵检测系统的日志记录分为两种:攻击日志记录和操作日志记录。攻击日志记录在入侵事件发生后，提供给网络管理者必要的信息。操作日志记录用于记录网络入侵检测系统本身的状态和控制，包括启动、停止、负载运行等状态和控制信息。提供一套全面的、独立于操作系统本身的、可查询的日志记录，可用于事后对入侵行为的审计和追踪。6、 互动的实现先给出系统实现的网络结构图西邮教学平台代理服务器代理服务器用NetEye IDS构建的入侵检测系统用NetEye IDS构建的入侵检测系统宿舍楼实验室信息中心图书馆图4系统实现的网络结构图 (1)安装与配置NetEye IDS：见操作手册。(2) NetEye IDS规则库的下载和更新在前期实际应用中，系统管理员设置NetEye IDS自动下载更新规则库，保持IDS系统具有最新的防御能力。后期对前面设计中提到的各个模块进行完全实现，下面一一说明。(1) 数据预处理模块：使用NetEye IDS原始模块(2) 入侵检测规则库：使用NetEye IDS原始模块(3) 状态检测模块：主要针对底层协议的攻击检测，这类攻击数量相对较少，变化慢，大部分可以通过在防火墙中进行设置实现。目前采用有限状态机的原理编程实现。(4) 协议分析模块：由于目前网络教学平台的用户基本上都只能通过web方式使用，故使用协议仅仅为HTTP协议，该协议攻击的检测使用规则匹配就可以达到很好的效果，采用基于内容分析和协议解析的方法实现。(5) 异常统计模块该模块目前实现了在NetEye IDS检测中个别环节添加了阈值进行重复报警限制的功能。(6) 模式匹配模块：使用NetEye IDS原始模块(7) 入侵响应模块：这里在使用NetEye IDS原始报警模块的基础上，添加了邮件报警及系统消息报警两部分功能，分别对用户和管理员进行报警。 (8)日志记录模块：使用NetEye IDS原始模块7、 结论利用NetEye IDS在网络教学平台中实现与入侵检测系统的互动，不仅无附加成本问题，而且对系统的负载也轻，实际中导入教学平台进行测试，可以提高系统的稳定性及可靠性，是每个学习者享有更安全、更良好的教学平台。另外系统的高移植性，适合于任何操作系统构成的教学平台。参考文献1