校园网络安全与入侵检测.doc

校园网络安全与入侵检测【摘要】随着计算机网络的发展，使信息共享日益广泛与深入，信息的共享给人们带来了极大的方便，与此同时，各校建设了数字化校园网，数字化校园网的建设将大幅度提高学校信息共享能力和资源利用效率，对提高教学，科研和管理水平，全面提升综合办学实力有着重要的意义。但是信息在共享的同时也给人们带来极大的威胁，在公共的通信网络上存储，传输和共享信息，可能会被非法的入侵者窃听，截取，修改，或毁坏。因此，校园网络的用户多，带宽较大，经常会遭受网络攻击和网络入侵。【关键词】校园网;入侵检测；网络攻击；网络安全Campus Network Security and Intrusion Detection【Abstract】With the development of computer networks so that information sharing becomes more extensive and in-depth, information sharing to bring a great convenience, at the same time, school-building campus network digital, digital campusnetworkwillbesignificantly improve information-sharing capabilities and the efficiency of resource use, to improve the teaching, research and management, to enhance the strength of an integrated school has an important significance. However, information sharing also brings great risk to the public communication network, storage, transfer and sharing of information, may be illegal intruders the interception, modification, or destruction. Therefore, multi-campus network users,Larger bandwidth, networks are often subjected to attacks and network intrusion.【Key words】Campus Network; intrusion detection; network attacks; network security1.校园网络安全的概述图1-校园网络示意图校园网络的发展改善了教育技术和网络教育应用的环境，革新了校园网络的发展改善了教育技术和网络教育应用的环境， 革新了现有的教学手段，教学方法，和教学模型，推动了信息技术和现代远程教育的发展。校园网络的普及和广泛应用，提升了学校的信息化，数字化水平；如何保证校园网络安全，有效地运行，已成为目前许多学校面临的重要课题。1.1校园网络安全的含义校园网络信息既有存储于网络节点上的信息资源 （即静态信息），又有传播于网络节点间的信息（即动态信息）。而这些静态信息和动态信息中有些是开放的（如广告、公共信息等），有些则是保密的（如私人间的通信、政府及军事部门的信息、商业机密等）。网络信息安全一般是指网络信息的机密性、完整性、可用性及真实性。网络信息的机密性是指其内容不会被未授权的第三方所知。网络信息的完整性是指信息在存储或传输时不被修改、破坏，不出现信息包的丢失、乱序等，即不能被未授权的第三方修改。信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息安全的基本因素。当前，运行于因特网上的协议（如 TCP/IP 等），能够确保信息在数据包级别的完整性，即做到在传输过程中不丢信息包，不重复接收信息包，但却无法制止未授权第三方对信息包内容的修改。网络信息的可用性包括对静态信息的可得到性和可操作性及对动态信息内容的可见性。网络信息的真实性是指信息的可信度，主要是指对信息所有者或发送者身份的确认。1.2攻击校园网络的类型一.对静态数据的攻击 对静态数据的攻击主要有以下 3 种： （1）口令猜测：通过穷举方式搜索口令空间，逐一测试，得到口令，进而非法入侵系统。 （2）IP地址欺骗：攻击者伪装成源自一台内部主机的一个外部地点传送信息包，这些信息包中包含有内部系统的源IP地址，冒名他人，窃取信息。 （3）指定路由：发送方指定一信息包到达目的站点的路由，而这条路由是经过精心设计的、绕过设有安全控制的路由。 二.对动态数据的攻击 根据对动态信息的攻击形式不同，可以将其分为主动攻击和被动攻击两种。 被动攻击主要是指攻击者监听网络上传递的信息流，从而获取信息的内容，或仅仅希望得到信息流的长度、传输频率等数据，称为流量分析。 主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据流的一部分以达到其破坏目的。主动攻击可以归纳为中断、篡改、伪造3种。中断是指阻断由发送方到接收方的信息流，使接收方无法得到该信息，这是针对信息可用性的攻击。篡改是指攻击者修改、破坏由发送方到接收方的信息流，使接收方得到错误的信息，从而破坏信息的完整性。伪造是针对信息的真实性的攻击，攻击者或者是首先记录一段发送方与接收方之间的信息流，然后在适当时间向接收方或发送方重放这段信息，或者是冒充接收方可信任的第三方，完全地伪造的一段信息流向接收方发送。1.3校园网络安全机制应具有的功能由于上述威胁的存在，因此必须采取措施对网络信息加以保护，以使受到攻击的威胁减到最小。一个网络安全系统应有如下的功能: 一.身份识别 身份识别是安全系统应具备的最基本的功能，是验证通信双方身份的有效手段。当用户向其系统请求服务时，要出示自己的身份证明咖输入UserID和Password)，而系统应具备查验用户身份证明的能力时于用户的输入，能够明确判别是否来自合法用户)。 二.存取权限控制 其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。在开放系统中，网上资源的使用应制订一些规定:一是定义哪些用户可以访问哪些资源，二是定义可以访问的用户各自具备的读、写、操作等权限。 三.数字签名 即通过一定的机制如RSA公钥加密算法)，使信息接收方能够做出咳信息是来自某一数据源且只可能来自该数据源”的判断。 四.保护数据完整性 即通过一定的机制咖加入消息摘要)，以发现信息是否被非法修改，避免用户或主机被伪信息欺骗。 五.审计追踪 即通过记录日志、对一些有关信息进行统计等手段，使系统在出现安全问题时能够追查原因。 六.密钥管理 信息加密是保障信息安全的重要途径，以密文方式在相对安全的信道上传递信息，可以让用户比较放心地使用网络。如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机会，都会对通信安全造成威胁。因此，引入密钥管理机制，对密钥的产生、存储、传递和定期更换进行有效地控制，对提高网络的安全性和抗攻击性也是非常重要的。1.4校园网络安全常用技术通常保障网络信息安全的方法有两大类:以舫火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。 一防火墙技术 图2防火墙示意图防火墙就是指设置在不同网络如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。在逻辑上它是一个限制器，也是一个分析器，能有效地监控内部网和Internet之间的活动，保证内部网络的安全。由于硬件技术的进步，基于高速Internet上的新一代防火墙，还将更加注重发挥全网的效能，安全策略会更加明晰化、合理化、规范化。目前，全球连入Internet的计算机中约有1/3是处于防火墙保护之下的。 防火墙安全保障技术主要是为了保护与Inter-net相连的企业内部网络或单独节点。它具有简单实用的特点，透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包，尽可能地对外部网络屏蔽被保护网络或节点的信息及结构，另一方面对内屏蔽外部某些危险地址，实现对内部网络的保护。 未来的防火墙技术会全面考虑网络、操作系统、应用程序、用户及数据的安全。在产品及功能上，将摆脱目前对子网或内部网管理方式的依赖，向远程上网集中管理方式发展，并逐渐具备强大的病毒扫除功能;适应IP加密的需求，开发新型安全协议，建立专用网（VPN）;推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具，特别是可疑活动的日志分析工具，这是新一代防火墙在编程技术上的革新。 二数据加密与用户授权访问控制技术 图3-数据加密与用户授权访问控制技术与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对于主动攻击，虽无法避免，但却可以有效的检测;而对于被动攻击，虽无法检测，但却可以避免，而实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法。这种变换是受称为密钥的符号串控制的。在传统的加密算法中，加密密钥与解密密钥是相同的，或者可以由其中一个推知另一个，称为对称密钥算法。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信息，也可以用它解密信息。 有了信息加密的手段，就可以对动态信息采取保护措施了。为了防止信息内容泄露，可以将被传送的信息加密，使信息以密文的形式在网络上传输。这样，攻击者即使截获了信息，也无法知道信息的内容。为了检测出攻击者是否篡改了消息内容，可以采用认证的方法，即对整个信息加密，或是由一些消息认证函数MAC函数)生成消息认证码，再对消息认证码加密，随信息一同发送。攻击者对信息的修改将导致信息与消息认证码的不一致，从而达到检测消息完整性的目的。为了检测出攻击者是否伪造信息，可以在信息中加入加密的消息认证码和时间戳，这样，若是攻击者发送自己生成的信息，将无法生成对应的消息认证码，若是攻击者重放以前的合法信息，接收方可以通过检验时间戳的方式加以识别。2入侵检测概述 入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象2.1入侵检测的分类 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统入侵检测技术的分类： 入侵检测系统所采用的技术可分为特征检测与异常检测两种。 一 特征检测 特征检测 (Signature-based detection) 又称 Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。 二 异常检测异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。2.2典型的入侵检测的模型CommonIntrusion Detection Framework (CIDF)阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:事件产生器(Eventgenerators)，事件分析器(Event analysers)、响应单兀(Response units)、事件数据库(Event databases)。 CIDF将入侵检测系统需要分析的数据统称为事件(event)，它可以是基十网络的入侵检测系统中网络中的数据包，也可以是基十主机的入侵检测系统从系统日志等其他途径得到的信息。他也对十各部件之间的信息传递格式、通信方法和标准API进行了标准化。事件产生器的目的是从整个计算环境中获得事件，并向系统得其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单兀则是对分析结果做出反应的功能单兀，它可以做出切断连接、改变文件属性等强烈反应，甚至发动对攻击者的反击，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。在现有的入侵检测系统中，经常用数据采集部分、分析部分和响应部分来分别代替事件产生器、事件分析器和响应单兀这些术语。日常用口志来简单的指代事件数据库。CIDF标准还没有正式确立，也没有一个入侵检测商业产品完全使用该标准，但因为入侵检测系统的特殊性，其实各种入侵检测系统的模型都有很大的相似性。各种入侵检测系统各自为阵，系统之间的互操作性很差，因此各厂商都在按照CIDF进行信息交换的标准化工作。CIDF提出了一个入侵检测系统的模型如图4所示，它将入侵检测系统分为以下几个单元：事件产生器(Event Generators)事件分析器(Event Analyzers)响应单兀(Response Units)时间数据库(Event Database) 图4-入侵检测系统的模型3入侵检测的系统在校园网络当中的应用3.1网络入侵检测系统工作原理网络入侵检测系统通过实时检测网络状态，把捕获的数据包进行重组、分析，成为能被识别的信息，然后根据特征库中的规则来判断是否存在网络入侵行为。网络入侵检测系统处理过程分为数据采集阶段、数据处理及过滤阶段、入侵分析及检测阶段、报告及响应阶段等四个阶段。数据采集阶段是数据审核阶段，作用是收集目标系统中引擎提供的主机通讯数据包和系统使用等情况。数据处理及过滤阶段是把采集到的信息转换为可以识别是否发生入侵的数据。入侵分析及检测阶段通过分析数据处理及过滤阶段提供的数据来判断是否发生入侵。报告及响应阶段对入侵分析及检测阶段进行的判断做出响应，如果被判断为发生入侵，系统将对其采取相应的响应措施，或者通知管理人员发生入侵，以便于采取措施。网络入侵检测系统是用检测网络数据流的办法来检测入侵的，所以它只能提供对某一局部的保护，通常把它放置在网络中的如下位置：一位于网络的非军事区，用于保护防火墙。二位于Intranet中的每个关键网段，用来检测来自内部的可疑行为。三位于防火墙里面，用来监视防火墙，以确保没有透过防火墙的有害行为。四用于监视重要的、比较敏感数据的主机。3.2网络入侵检测系统在校园网络的配置和工作流程一编写规则根据入侵检测系统所期望实现的作用，将一些规则编写至入侵检测系统特征库中。二数据采集及处理首先对收集到的数据报进行解码，然后调用预处理函数对解码后的报文进行预处理，再利用规则树对数据报进行匹配。在规则树匹配的过程中，入侵检测系统从上到下依次对规则树进行判断，从链首、链表到规则头节点，一直到规则选项节点。三入侵分析及检测入侵检测系统从网络中读取一个数据包后按照下面方式进行攻击分析及检测：从数据包的第一个字节开始提取与特征库中攻击特征串等长的一组字节比对，如果两组字节相同，则视为检测到一次攻击；如果两组字节不同，则从数据包的第二个字节开始提取与攻击特征串等长的一组字节比对。比对过程重复进行，每次后移一个字节直到数据包的每个字节都比对完毕，最后将数据包与特征库中下一个攻击特征串进行匹配。重复进行直到匹配成功，或匹配到特征库中最后一个攻击特征串依然没有结果为止，然后从网络中读取下一个数据包进行另一次检测。从上面过程可以看到，入侵分析及检测过程就是对从网络上捕获的每一个数据包和编写在特征库中的规则进行匹配的过程。如果发现存在一条规则匹配的报文，就表示检测到一个攻击，然后按照规指定的行为进行处理（如立即切断这个IP的访问请求，或发送警告等），如果搜索完所有的规则都没有找到匹配的规则，就表示数据包是正常的。四报告以及响应收集来自于入侵分析及检测模块发来的信息，显示和发出警报。为了更有效地检测校园网络系统的内部攻击和外部攻击，应在每个需要受保护的网络内安装相应的入侵检测系统。当有内部网络攻击时，入侵检测系统向网络管理人员发出报警，让网管人员及时做出反应。当有外部网络攻击时，入侵检测系统可以通过专用响应模式实现与防火墙进行联动操作，即入侵检测