入侵检测技术研究-职业学院毕业设计机房组建工程

毕 业 设 计（论文）题目： 入侵检测技术研究 系部：_专业：_班级：_姓名：_指导教师：_山西职业技术学院24山西职业技术学院毕业设计（论文）摘 要计算机网络的发展，使信息共享日益广泛与深入，信息的共享给人们带来了极大的方便，但是信息在共享的同时也给人们带来极大的威胁，在公共的通信网络上存储、传输和共享信息，可能会被非法的入侵者窃听、截取、修改或毁坏，从而导致不可估量的损失。因此网络安全问题成为信息化建设的一个核心问题。传统的计算机网络防护一般所使用的技术有：防火墙技术、身份认证、数据加密、数字签名、安全监控等。这些技术都能够对网络的攻击有一定的防护，然而随着计算机网络的发展，以及各种攻击手段的日趋复杂化、多样化，这些传统的网络防御体系仅能够静态的，被动的进行防御，无法满足当前安全状况的需要，因此迫切需要一种能够主动防御的防御体系出现。入侵检测系统就是基于这种状况下应运而生的一种主动防御检测体系。 入侵检测系统(IDS，Intrusion Detective System)，是网络安全防护体系的重要组成部分。是一种主动的网络安全防护措施。它从系统内部和各种网络资源中主动采集信息，从中分析可能的网络入侵或攻击，最大限度地降低可能入侵的危害。随着高校信息化进程的推进，高校校园网上运行的应用系统越来越多，信息系统变得越来越庞大和复杂。随着网络用户的快速增长，计算机知识的普及和深入，校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络，作为数字化信息的最重要传输载体，如何保证其安全成为高校的一个紧迫的问题。因此本文就校园网的构架，采用先进的入侵检测技术设计相应的模型以解决校园网的安全性问题。通过对整个校园网络结构的熟悉后，经过仔细分析，结合分布式入侵检测系统，对整个校园网进行了整体结构的划分，并就此设计一个模型。该系统结构划分为:总校主控中心为一级网络结构，分校网络管理系统为二级网络结构和分支机构网络管理系统为三级网络结构。在其系统的设计中，对系统的高可靠性、可用性、性能和互联都做了充分的考虑。设计了一个三级集中管理网络安全模型，并在此基础上构建从边界防护、传输层防护，到核心主机防护的深层防御体系，以确保其校园网络系统的安全。 关键词：入侵检测;入侵检测系统（IDS）;网络安全1 绪论1.1网络安全概述随着计算机技术与通信技术的不断发展，计算机网络已经渗透到了社会经济、文化和科学的各个领域，对社会的进步和发展起着越来越重要的作用，尤其是电子商务、电子政务的迅猛发展，为网络的应用开辟了更为广阔的前景，人们的工作和生活方式也因此发生了巨大的变化，人们愈来愈依赖于网络所提供的服务。 但是，计算机和互联网是一把双刃剑，在给人们带来利益的同时，安全问题也一直困扰着大家。通常，计算机的安全主要是指如何保护计算机资源和存储在计算机系统中的重要数据。一个计算机的安全系统必须能够保护计算机使其免受入侵攻击，广义的计算机安全的定义是：主体的行为完全符合系统的期望，系统的期望表达成安全规则，也就是说主体的行为必须符合安全规则对它的要求。计算机网络安全是随着 Internet 的发展而产生的，近年来得到了普遍的关注。简单的说网络安全问题可分为两个方面：1、网络本身的安全； 2、所传输信息的安全；可以看出要想保证网络本身的安全，就需要我们从网络内部和外部两个方面来加以防预。计算机网络系统的安全威胁主要来自于黑客(Hacker)的攻击、计算机病毒(Virus)和拒绝服务攻击(Denies-Of-Service)三个方面。由于网络系统本身的缺陷以及一些人为的因素，如网络设备以及软件系统在设计上存在一些漏洞，还有一些别有用心的设计员故意开辟一些后门等，使得网络显得极其脆弱。而黑客却正好利用这些缺陷入侵全球各大网站，恶意破坏网络的正常运行、盗取机密信息、制造各种网络犯罪事件，严重干扰了人们的正常生活。 据统计，在全球范围内，由于信息系统的安全问题而造成的经济损失，每年达数亿美元，并且呈逐年上升的趋势。据 ITAA 的调查显示，美国 90%的 IT 企业对黑客攻击准备不足，其中 25%的企业直接损失在 25 万美元以上。据美国金融时报报道，现在平均每 20 秒就发生一次计算机网络入侵事件;网络入侵(攻击)轻则降低被攻击系统的可用性，使其不能提供正常的服务;重则造成关键信息失窃和系统瘫痪等。 1999 年 5 月至 6 月，美国参议院、白宫和美国陆军网络以及数十个政府网络站都被黑客攻陷。在每起黑客攻击事件中，黑客都在网页上留下一些信息，但是这些信息很快就被擦去。黑客在美国新闻署留下的信息最引人注目：“水晶，我爱你”，署名为：Zyklono 1999 年 11 月，挪威黑客组织“反编译工程大师”破解了 DVD 版权保护的解码密钥并公布在互联网上，引起震惊。而国内，由于信息化建设起步比较晚，且在建设初期几乎没有考虑到安全问题，因而安全形式更为严峻。人们面临来自计算机网络系统的安全威胁日益严重。安全问题已经成为影响网络发展、特别是商业应用的主要问题，并直接威胁着国家和社会的安全。 1.2 安全策略安全措施是对抗安全威胁所采取的方法，在计算机网络安全中，存在很多类型的安全防护措施，实现网络安全不但要靠先进的技术，而且也得靠严格的管理、法律约束和安全教育，网络安全策略是一个系统的概念，它是网络安全系统的灵魂与核心，任何可靠的网络安全系统都是建立在各种安全技术的集成的基础上的，而网络安全策略的提出，正是为了实现这种技术的集成。可以说网络安全策略是我们为了保护网络安全而制定的一系列法律。当前制定的网络安全策略主要包含五个方面的策略：1、 物理安全策略，其目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受破坏。 2、 访问控制策略，其主要任务是保证网络资源不被非法使用和访问，是网络安全防范和保护的主要策略。 3、 防火墙控制，防火墙是几年发展起来的一种保护计算机网络安全的技术性措施其按照系统管理员预先定义好的安全策略和规则控制内网和外网之间数据包的进出。当前流行的防火墙主要分为三类：包过滤防火墙、代理防火墙、双穴主机防火墙。 4、 信息加密策略，其目的主要是通过加密的方式保护网内的数据、文件、口令和控制信息，保护网上传输的数据。密码技术是网络安全最有效的技术之一。5、 网络安全管理策略，除了上述管理之外，加强网络安全管理，对于确保网络安全、可靠的运行起到很大的作用。目前，虽然使用了以上安全技术来提高信息系统的安全但由于如下原因它们却不能够完全抵御入侵者的入侵： 1、仅有防火墙的保护措施是不够的。首先防火墙可以阻断攻击，但不能消灭攻击源。“各扫自家门前雪，不管他人瓦上霜”，就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网 10M网络带宽的某站点，其日常流量中平均有 512K 左右是攻击行为。那么，即使成功设置了防火墙后，这 512K 的攻击流量依然不会有丝毫减少。其次防火墙不能抵抗最新的未设置策略的攻击漏洞就如杀毒软件与病毒一样，总是先出现病毒，杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。再次防火墙也是一个系统，也有着其硬件系统和软件，因此依然有着漏洞和 bug。所以其本身也可能受到攻击和出现软、硬件方面的故障。2、软件开发商为了抢占市场，过早推出了性能不很稳定的产品;同时软件系统日益庞大而软件工程学十分滞后的矛盾日益突出，致使许多大型软件(如服务器守护程序，客户端应用程序、操作系统等)都存在很多致命的缺陷，他们极易被黑客利用来闯入系统窃取保密信息或造成系统拒绝服务。 3、由于用户跃跃欲试设置过于简单或管理不善，易被攻破，许多基于跃跃欲试的认证系统并不安全。 4、授权用户滥用权限，危害信息安全。因此，为保证计算机系统的安全，需要一种能及时发现入侵，成功阻止网络黑客入侵，并在事后对入侵进行分析，查明系统漏洞并及时修补的网络安全技术，即入侵检测系统。入侵检测系统是一种事后处理方案，具有智能监控、实时探测、动态响应、易于配置等特点。由于入侵检测所需要的分析数据源仅是记录系统活动轨迹的审计数据，使其几乎适用于所有的计算机系统。只有通过在对网络安全防御体系和各种网络安全技术和工具的研究的基础上，制定具体的系统安全策略，通过设立多道安全防线、集成各种可靠的安全机制(如：防火墙、存取控制和认证机制、安全监控工具、漏洞扫描工具、入侵检测系统以及进行有效的安全管理、培训等)建立完善的多层安全防御体系，才能够有效地抵御来自系统内、外的入侵攻击，达到维护网络系统安全的目的。1.3 课题背景目前在网络安全方面，国内的用户对防火墙已经有了很高的认知程度，而对入侵检测系统的作用大多不是非常了解。防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道闸门。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。同时,由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能如果把放火防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门，是防火墙的必要补充，构成完整的网络安全解决方案。本论文正是在这个背景下进行选题的。本文通过对入侵检测技术和分布式网络入侵检测系统的研究和探讨，设计了一个基于分布式网络入侵检测技术的网络安全模型。2 网络安全2.1 入侵概述由于互联网络具有的共享性及开放性，使得网络上的信息存在许多的安全隐患，众所周知，互联网最初的设计主要是为了进行数据的传输，基本没有考虑到安全问题，其依赖的 TCP/IP 协议缺乏相应的安全机制，因此网络本身的缺陷，给入侵者提供了很多的便利。 2.2 网络安全防御措施任何形式的互联网服务都会导致安全方面的风险。在不同的环境和应用中，网络安全的含义侧重各不相同，其相应的安全措施也各不相同，我们必须要考虑安全保护措施可用来对付的安全威胁有多少，以及其所付出的代价多大。我们都希望尽量用最低的代价将风险降到最低程度。3 入侵检测系统3.1 入侵检测的历史入侵检测技术从产生到现在经历了 20 多年的风风雨雨，在发展上也由最初的主动防御思想，到现在具体的各种入侵检测产品的问世，其主要的发展过程就是各种入侵检测模型的变换过程。3.2 入侵检测概念的提出IDS 是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足，从某种意义上说是入侵检测是防火墙之后的第二道安全闸门。入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能，使系统管理员可以较有效地监视、审计、评估自己的系统。 由于入侵检测和响应密切相关，而且现在没有独立的响应系统，所以绝大多数的入侵检测系统都具有响应功能。“入侵”是个广义的概念，不仅包括发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务(Do S)等对计算机系统造成危害的行为。入侵行为不仅来自外部，同时也指内部用户的未授权活动。从入侵策略的角度可将入侵检测的内容分为：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源及恶意使用。 入侵检测是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS) 。3.3 入侵检测系统的分类随着入侵检测技术的发展到目前为止出现了各种的入侵检测系统，不同的入侵检测系统具有不同的特征。根据不同的标准可以进行不同的分类。根据原始数据的来源分为：基于主机的入侵检测系统，基于网络的入侵检测系统；根据检测原理分为异常检测，误用检测；根据控制策略分为：集中式入侵管理系统、等级式入侵管理系统、协作式入侵管理系统。一般情况下人们将入侵检测系统分为基于网络的入侵检测和基于主机的入侵检测系统。3.4 典型入侵检测的模型Common Intrusion Detection Framework (CIDF)阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件：事件产生器(Event generators),事件分析器(Event analyzers)、响应单元(Response units)、事件数据库(Event databases)。 CIDF 将入侵检测系统需要分析的数据统称为事件(event)，它可以是基于网络的入侵检测系统中网络中的数据包，也可以是基于主机的入侵检测系统从系统日志等其他途径得到的信息。他也对于各部件之间的信息传递格式、通信方法和标准 API 进行了标准化。 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，甚至发动对攻击者的反击，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 在现有的入侵检测系统中，经常用数据采集部分、分析部分和响应部分来分别代替事件产生器、事件分析器和响应单元这些术语。且常用日志来简单的指代事件数据库。 CIDF 标准还没有正式确立，也没有一个入侵检测商业产品完全使用该标准，但因为入侵检测系统的特殊性，其实各种入侵检测系统的模型都有很大的相似性。各种入侵检测系统各自为阵，系统之间的互操作性很差，因此各厂商都在按照 CIDF进行信息交换的标准化工作。3.5 入侵检测系统的部署入侵检测系统不同于防火墙的保护，它属于一种监听设备，由于没有跨接在任何链路上，因此无须网络流流经它便可以工作。对 IDS 的部署，唯一的要求是：IDS 应当挂接在所有来自高危网络区域的访问流量，以及需要进行统计和监视的网络报文都必须流经的链路上。在如今的网络拓扑中，已经很难找到以前的 HUB 式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS 在交换式网络中的位置一般选择在： 1、尽可能靠近攻击源； 2、尽可能靠近受保护资源； 这些位置通常是：服务器区域的交换机、Internet 接入路由器之后的第一台交换机以及重点保护网段的局域网交换机。3.6入侵检测技术发展前景 IDS 自 1980 年被提出以来，在 20 多年间得到了较快的发展。特别是近几年，由于非法入侵不断增多，网络与信息安全问题变得越来越突出。IDS 作为一种主动防御技术，越来越受到人们的关注。目前，国内外有很多家研究机构在从事 IDS的研究工作，不少厂家也开发出了 IDS 产品。但总的看来，现在对 IDS 的研究还不够深入，产品的性能也有待提高。具体说来，IDS 目前存在的主要问题有： IDS 产品的检测准确率比较低，漏报和误报比较多; 对分布式攻击和拒绝服务攻击的检测和防范能力较弱; 尚不能与其他安全部件很好地互动; 缺乏国际、国内标准; 对 IDS 产品的测试评估缺乏统一的标准和平台。 入侵检测技术还不够成熟和完善，有很大的研究、发展空间，而现存的问题就是今后入侵检测技术的主要研究方向。因此，入侵检测技术大致可朝下述五个方向发展。3.7 分布式入侵检测技术通过对传统入侵检测系统的研究，我们可以看到，各种检测方法模型和技术手段都有其局限性，没有比较通用的检测方法。随着网络系统结构复杂化和大型化，以及入侵手段与技术的“进步与发展”，许多新的入侵检测问题浮出水面，需要解决： 1、系统的弱点或漏洞分散在网络的各个主机上，这些弱点有可能被入侵者一起用来攻击网络，而依靠单一的基于主机或基于网络的入侵检测系统不会发现这些入侵行为； 2、入侵行为不再是单一的行为，入侵手段往往也不再是一种，而是表现出相互协作的入侵特点，且采用了各种数据处理技术，其破坏性和隐蔽性也越来越强。例如分布式拒绝服务攻击(DDo S)，由多台主机，遍布全国乃至全球，同时发动对某个目标进行攻击，造成目标瘫痪； 3、入侵检测所依靠的数据来源分散化，收集原始的检测数据变得困难。如交换型网络使得监听网络数据包受到限制；4、网络速度传输加快，网络流量加大，集中处理原始数据的方式往往造成检测瓶颈，从而导致漏检。 基于以上各种情况，综合主机型与网络型的分布式入侵检测系统应运而生。分布式入侵检测系统一般采用分布监视，集中管理的结构，在每个网段里放置基于网络的入侵检测引擎，同时对于重要的服务器，例如 MAIL 服务器、WEB 服务器放置基于主机的入侵检测引擎。再通过远程管理功能在一台管理站点上实现统一的管理和监控。这种分布式的入侵检测结构，采用多个检测部件，各检测部件选用不同的检测方法，协同合作，完成检测任务;结合了 HIDS 和 NIDS 这两种检测器的优点，弥补了彼此的不足，可进行更全面的入侵检测。分布式入侵检测包含有两层含义： 第一层含义是针对分布式的网络攻击的检测方法； 第二层含义是使用分布式的方法来检测分布式的攻击，其中的关键技术是检测信息的协同处理与入侵攻击的全局信息的提取。因此，可以检测分布式的攻击。 IDS 所起到的作用是安全触发器的作用，通过检测入侵事件，就可以及时阻止事件的发生和事态的扩大。网络的迅速发展使得现在的网络资源一般都是分散分布的。一般一个校区就是一个局域网，通过网关与 Internet 相连，在内部共享资源。网关成为整个局域网的安全集中点，内部机器处于同一安全层次，只要有人突破网关，攻破一台机器，就相当于攻破了整个局域网。分布式的攻击正是利用了这一点进行攻击，因此对网关的保护就显得很重要。3.8 关于分布式入侵检测系统的分析入侵检测系统是防火墙的有效补充。它通过收集、分析计算机系统、计算机网络介质上的各种有用信息帮助系统管理员发现攻击并进行响应。可以说入侵检测是防火墙之后的第二道安全闸门，它可以在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和网络误用的实时防范，从而为网络提供保护。分布式入侵检测系统具有针对分布式网络攻击的有效检测方法，避免了单机入侵检测系统的不足。同时，可以将大量监视任务分配到许多不同的结点上，使每个传感器负责检测某几种攻击。这样，通过分布式环境使入侵检测系统的负荷分配到许多结点上，可以有效地提高分布式入侵检测系统的性能。但是，如果分布式入侵检测系统配置不当，可能会成为分布式拒绝服务攻击的牺牲品。可行的分布式网络入侵检测系统解决方法有： 对边界传感器与主管传感器之间的通信使用专用的或加密的网络连接;将日志信息合并为一个日志消息进行传输；自动检测异常的内部网络流量。 本章所论述的分布式入侵检测系统的体系结构包括边界传感器、主管传感 器、中央控制台三个层次。边界传感器负责监视网络流量中的安全事件，做出攻击响应并报告给主管传感器，它们分布于网络边界，按网络规模的大小分成若干组。每个组有一个主管结点，称为主管传感器，负责收集从边界传感器传来的数据，然后利用本地规则集过滤器进行精简，再传送到中央控制台。中央控制台负责管理各个分布的入侵检测系统传感器的协同工作，分析检测结果并做出响应。这三层结构中的任意一个结点均可对攻击以不同的方式进行响应。各个组件之间的通信采用入侵警报协议，加强了分布式入侵检测系统的安全性。4 入侵检测技术在校园网络中的应用4.1 校园网概述网络的安全问题日益严重，而对于校园这片净土来说，网络的安全的问题也越来越严重。众所周知校园网最初的构架就是为了校园内部互通消息及科学研究，随着网络的普及和学校的发展，如今校园网已经不仅仅局限于承担那些简单的常规性的服务，它面临了很多其他的新服务，如网络教学系统、教务管理系统、网上办公系统等。由于大部分的校园网都是从局域网发展而来的，在安全方面一般没有实施什么防护措施，许多高校仅仅是在校园的网络中安装防火墙或防病毒软件，有些甚至什么都没有安装，直接面对互联网，然而随着入侵技术的不断发展、攻击手段与方法的不断改变，仅仅凭借防火墙或防病毒软件这种被动的、静态的安全防御体系己经无法满足当前网络安全的需要。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，任何一种攻击对于我们毫无防护的校园网来说都是非常致命的危险。而对于校园网的网络防护，应该从全方位进行防护。目前校园网络中存在的安全问题主要有：1、网络安全方面的投入严重不足，没有系统的网络安全设施配备。 大多数学校网络建设经费严重不足，所以就将有限的经费投在关键一些设备上，对于网络安全建设一直没有比较系统和全面的投入，致使校园网处在一个开放的状态，没有任何有效的安全预警手段和防范措施。 2、学校的上网场所管理较混乱。 由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统，是学校的网络管理各自为政，缺乏上网的有效监控和日志，上网用户的身份无法唯一识别，存在极大的安全隐患。 3、电子邮件系统极不完善，无任何安全管理和监控的手段。 电子邮件既是互联网必不可少的一个应用之一，同时也是病毒和垃圾的重要传播手段。目前绝大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统，不能提供自身完善的安全防护，更没有提供任何针对用户来往信件过滤、监控和管理的手段，完全不符合国家对安全邮件系统的要求，出现问题时也无法及时有效的解决。4网络病毒泛滥，造成网络性能急剧下降，很多重要数据丢失，损失不可估量。 网络病毒的肆虐传播，极大的消耗了网络资源；造成网络性能下降，单纯单机杀毒软件已经不能满足用户的需求，迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。5. 网络安全意识淡薄，没有指定完善的网络安全管理制度。 校园网络上的用户安全意识淡薄，大量的非正常访问导致网络资源的浪费，同时也为网络的安全带来了极大的安全隐患。 综上所述，校园网络安全的形势非常严峻，为解决以上安全隐患和漏洞，可以确定以下几个必须考虑的安全防护要点:网络安全隔离、网络监控措施、网络安全漏洞扫描、网络病毒的防范等。4.2 校园网络隐患分析我们对整个校园网络状况进行了总体分析后发觉：校园网整体结构凌乱，管理不集中，有的重要信息源没有得到任何的保护，在校园网络构建之前，考虑到该校已经在安全方面有部分认识，已经配置了防火墙及杀毒软件，由于网络安全的隐患仍然存在，而在资金方面已经有了部分投资，我们在设计时就应该有效的利用以前的投资，在此基础上构架一个全方位保障安全的体系结构，首先对其网络中存在的安全问题及隐患进行细致的分析，以保证提供方案的针对性与高效性。首先，该校现在的工作系统大多是基于浏览器/服务器(B/S)、客户端/服务器(C/S)模式和 Internet/Intranet 网络计算模式的分布式应用。在这样一个分布式应用的环境中，学校的数据库服务器、电子邮件服务器、WWW 服务器、文件服务器、应用服务器等等，每一个都是一个供人出入的“门户”，只要有一个“门户”没有完全保护好，一旦忘了上锁或不很牢固，“黑客”就会通过这道门进入系统，窃取或破坏所有系统资源。其次，目前该校的网络主要采用 TCP/IP 作为网络通讯协议，主要服务器为Windows2000 Server 操作系统。TCP/IP 以开放性著称，系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少，只实现了基本安全控制功能，实现时还存在一些这样那样的漏洞。实际上，从 TCP/IP 的网络层，人们很难区分合法信息流和入侵数据，拒绝服务攻击就是其中明显的例子。再次，在该校园网中存在着多种应用系统，包括 WWW、邮件系统、数据库系统等等。这些系统都可能存在一些安全隐患。从应用系统(软件)情况看，目前大多数业务系统使用单机处理教学、科研、财务、人事和文档等工作。利用 HTTP 服务器的一些漏洞，特别是在大量使用服务器脚本的系统上，利用这些可执行的脚本程序，入侵者可以很容易的获得系统的控制权。数据库系统本身也存在很多安全问题。如何保证和加强数据库系统的安全性和保密性对于该校的正常、安全运行至关重要。此外，虽然该校当前也对安全问题也做了一定的考虑，安装了防病毒软件并设计了防火墙系统，但是鉴于当前 IT 系统安全性的严重状况，这些考虑还是比较简单的防护，并没有形成一套完整的防护体系。以入侵检测系统为主，以防病毒软件、防火墙为辅这样一个多方位的安全保障体系，并在此基础上构建从边界防护、传输层防护，基于入侵检测系统的校园网络安全模型设计到核心主机防护的深层防御体系，以确保整个校园网络系统的安全。 4.3 网络隐患具体解决方案 4.3.1防火墙部署 防火墙是网络安全的屏障。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。在防火墙设置上我们按照以下原则配置来提高网络安全性: 第一，根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 IP 数据包的内容包括:协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。 第二，将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 IP 地址离开内部网络的 IP包，防止内部网络发起的对外攻击。 第三，在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表，防止 IP地址被盗用。 第四，在局域网的入口架设千兆防火墙，并实现 VPN 的功能，在校园网络入口处建立第一层的安全屏障，VPN 保证了管理员在家里或出差时能够安全接入数据中心。 第五，定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 第六，允许通过配置网卡对防火墙设置，提高防火墙管理安全性。 4.3.2架设入侵监测系统(IDS) 架设一个入侵监测系统(IDS)是非常必要的，处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。 IDS 扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。IDS 是被动的，它监测你的网络上所有的数据包。其目的就是拦截危险或有恶意动作的信息包。4.3.3部署网络版杀毒软件 最理想的状况是在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。4.4 网络模型结构设计由于该学校的网络系统包括FTP 服务器、邮件服务器、Windows98/2000/XP 等联网客户机等。而且各分校区的局域网之间的通讯都要通过充满不安全因素的公共网。经过分析我们认为这样一种网络结构采用分布式入侵检测系统较为适合，为发挥分布引擎的集中管理的优势，我们试图设计一个结合该校园网络特点的三级集中管理的网络模型。然后，在这个模型中放置防火墙、防病毒软件，以及入侵检测系统，构建从边界防护、传输层防护，到核心主机防护的深层防御体系。因为黑客在网络入侵中攻击的方式各异而且途径多种多样，因此在构建校园网络防御系统时，可以通过移动代理建立完整的防御体系，实施“分层防御，集中管理”的防御策略。4.5模型的实现分布式入侵检测系统一般分为硬件和软件两个部分，其中硬件包括入侵检测引擎和电子钥匙，软件为主控台管理软件。入侵检测系统作为安全产品，其自身的安全性是十分重要的，每个用户配有一把电子钥匙，内装有该用户的密钥和加密算法。用户在管理系统时必须插入自己的钥匙并输入正确的口令，从而有力地保证了整个入侵检测系统的安全。在安全模型的实现中，主要有：4.5.1 核心主机防护我们在核心主机上，进行了一定的优化设计，采用被屏蔽子网防火墙体系结构。被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加 两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为 Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。而在防火墙上配置上入侵检测技术可过滤掉大多数的攻击，当检测到攻击时便自动修改防火墙策略，并进行数据处理和安全恢复。4.5.2 边缘主机防护入侵检测与防火墙、防病毒软件相互结合，从而形成一个多层次、内外联动的全方位安全体系，防火墙实时截取网络数据包，若经过检测是合法的数据包，则直接通过边界防御系统，减少了入侵检测系统的匹配次数，若不是合法数据包，将数据包转向入侵检测系统重新进行匹配检测，若发现是入侵行为，则按照预先设置的检测策略进行处理，若未发现入侵，则根据防火墙设置的规则进行处理。用专家系统对入侵进行检测时，我们将将有关入侵的知识转化为 if-then 结构（也可以是复合结构），条件部分为入侵特征，then 部分是系统防范措施。以下是在 WINDOWS2000，VB6.0 环境下测试通过的对本机的木马探测及常规扫描进行监听的简单程序。Dim tmpstr As String 存放捕获的数据 Dim NOW_OUT As Integer 总共出去连接的有几个 Winsock Private Sub Command1_Click（） List Ports.Add Item txt ADDPORT.Text 把文本框中的端口增加到列表框中 End Sub Private Sub Command2_Click（） On Error Resume Next 如出错就在下一个端口重新开始监听 If Command2.Caption = 监听 Then For i = 0 To List Ports.List Count 1 如果命令框为监听，则初始化要监听的端口数量 I Load Winsock1（i + 1） 加载监听端口的 winsock1 数组控件 Winsock1（i + 1）.Local Port = List Ports.List（i） 使每一个 WINSOCK数组变量对应一个端口 Winsock1（i + 1）.Listen 监听 Next i Command2.Caption = 停止 Else For i = 1 To Winsock1.C