基于校园网的入侵检测的研究
合集下载
基于Snort的校园网入侵检测系统的规划和设计
根 据其 采用 的分析 方法 主要 可分 为特征 检测和 异常检 测 , 目前常 见 的入 侵检测 方法 还有协 议分 析 、 统计
检测 和专 家系统技பைடு நூலகம்术 等 。
收 稿 日期 : 0 8 0 — 6 2 0 — 3 1
作 者 简 介 : 东 远 ( 9 2 )男 , 东 龙 川 人 . 关 学 院 工 程 师 刘 1 7一 . 广 韶
维普资讯
第 2 卷第 3 6 期
20 0 8年 5月
佛 山科学 技术学 院学 报 ( 自然科学 版 )
J u n lo s a ie st ( t rlS in eEd t n o r a fFo h n Unv r i Na u a ce c i o ) y i
和应用层 的监 视最 为普遍 。
( ) 侵分 析 : 侵检 测 系统 的这一 部分 的作用 在 于对 来 自信息 源的数 据 进行 深入 分 析 , 断 是 否 2入 入 判
正 有 入 侵 或 已 有 入 侵 发 生 , 传 递 结 果 给 处 理 模 块 。数 据 分 析 的 方 式 多 种 多 样 , 常 见 的 分 析 方 法 是 误 并 最
Vo . 6 NO. 12 3
M a 0 8 y 2 0
文 章 编 号 : 0 8 0 7 ( 0 8 0 — 0 0 0 10— 1 12 0 )30 3—4
基 于 S o t的 校 园 网 入 侵 检 测 系统 的 规 划 和 设 计 nr
刘东 远 , 殳松 李
( 关 学 院 计 算 中 心 . 东 韶 关 。 1 0 5 韶 广 5 0 ) 2
关键词 : 网络 安 全 ; S 入 侵 检 测 ; n r : 征 I ; D S ot特
校园网入侵检测系统(IDS)的研究与设计
的入侵检 测要 求。 系统采用代理控制 中心对各个代理 的报警统 一管理 ,各个代理 具有 一定的 自治性 ,可单独使 用 ;
系统采用 了一定的状态检查方法 ,以保证整个 系统 自身的安全 ;系统的 实验原型在 Widw 操作 系统 环境 下 实现 , nos
但 系统 的结 构 不 受 操 作 系统 所 限 。
率高 、网络应用多 、相 关 的教学 任务应 用 比较集 中。这种情
况 下 ,校 园 网络 面 临 着 许 多 安 全方 面 的威 胁 :
()黑客攻击 ,特别是 假 冒源地址 的拒绝服 务攻击 屡有 1
发生 。
()按已知入侵模式识别入侵行为,并及时发 出报警信息。 2
()对异常行 为模式进行统计分析。 3
()病 毒和蠕虫 ,在高 速大容量 的局 域 网络 中 ,各种 病 2
毒 和蠕虫 ,不论 新 旧都很容 易通过用 户下 载或有漏 洞 的系统 迅速传播扩散。 ()滥用 网络资源 ,在校 园 网中总会 出现滥用带 宽等 资 3 源 以致影 响其他用户甚至整个网络正常使用 的行为 。 在 以上 安全 威 胁 面前 ,服务 于校 园 网的 入侵 检 测 系统 (nrs nD tc o yt It i e t nSs m,I S 必 须 满足 以 下需 求 : ( ) u o ei e D) 1 分布式结构 :由分布 在网络 中的监测代 理收集 数据 ,然后汇 总统一处理结果 ,这也是 各 I S在大规模 网络 中唯一 可行 的 D 实用方 法 ; ()误用检测功能 :误用检测仍是现在 I S应用 2 D 的主流 。误用检 测系统性 能好坏 的关 键就 在其特 征库是 否完 备 ; ()异常检测功能 ; ()攻击源追踪。 3 4
d fn e u t Sp o o e n mp e n e e me h d fit so ee t n i r e d p o t e c mp s n t r n e e d s c r y i r p s d a d i lme t d n w t o so r in d tc i n o d rt a a t a u ewo k i — i nu o o t h t so ee t n r q i me t. y t m o t lc n e g n o a h u i e n g me to e p l e e c g n a e — u r in d tc i e u r o e n s S se c n r e tra e t re c nf d ma a e n f h oi , a h a e t sa c r o f i t c h t i e r e o u o o , n a e u e ln . n a d t n t e s s m h c st e sau fa c r i t o o e s r e an d g e fa t n my a d c n b s d ao e I d i o . h y t c e k h tt s o et n meh d t n u e t i e a h s ft fs se i ef An e p r n a rt tp y tm n t e W i d wss se e v rn n o a h e e b tt e sr cu e o aey o y tm t l s . x e me t l ooy e s s i p e i h n o y tm n i me t c i v , u h t t r f o t u t e s se i o mi d b e o e ai g s se h y tm Sn tl t y t p r t y tm. i e h n Ke r s I y wo d : DS:D sr u e iti t d: e u t r tc f e l b s c r y p oe t: r wal i i
分布式入侵检测系统在校园网中的应用研究
些 数据 包 。 n r 有 多 种 预 处 理 器 , 0 r g S ot  ̄fa 2
预 处 理 器把 分 片 的 数 据 包 进 行 重 组 , p s a 2 处 理 器 用 来 检 测 端 口扫 描 , o tc n 预 r AR s o f 处 理 器 可 以 检 i ARP 常 流 P p o预  ̄ J l 异 量 。 络 流 量 经 过 预 处 理 后 才 会 发 送 到 主 网 检 测 引 擎 , 测 引 擎 主 要 任 务 是 规 则 建 立 检
l i 2 圆
— 。 i 。
信息技术
分布式入侵检测 系统在校 园 网中的应用研 究
田 关 伟 ( 四川 民族 学院 四川康 定 6 6 0 ) 2 0 1
摘 要 : 侵检 测是保 障网络信 息安 全的一种 重要技 术 , 入 本文分 析 了开 源软 件sot n r ̄工作原理及 分布式体 秉, 并研 究 了在校 园 网中合理 的 部署s o t 布 式入 侵检 测 系统 。 n r分 关键 词 : 分布式 s ot 入侵捡 测 校 园网 nr 中 图分 类 号 : P 9 T 33 文 献标 识 码 : A 文章 编 号 : 6 2 3 9 ( 0 10 ( ) 0 0 — 2 1 7 - 7 12 1 ) 8b 一 0 8 0
个 重 要 手 段 , 防火 墙 功 能 有 限 , 能 够 但 不 卡通、 科研 协 作 、 公 自动 化 、 学 管 理 、 办 教 档 防 范 经 由 网 络 内 部 的 攻 击 及 数 据 驱 动 式 的 案 管理 、 书管 理 、 舍 管 理 等 信 息 管 理 系 图 宿 攻击 , 因此需 要采 用入侵检测 系统等 新的 统 在 校 园 网 中 的 构 建 , 高 校 日常 工 作 和 网 络 安 全 技 术 。 给
预 处 理 器把 分 片 的 数 据 包 进 行 重 组 , p s a 2 处 理 器 用 来 检 测 端 口扫 描 , o tc n 预 r AR s o f 处 理 器 可 以 检 i ARP 常 流 P p o预  ̄ J l 异 量 。 络 流 量 经 过 预 处 理 后 才 会 发 送 到 主 网 检 测 引 擎 , 测 引 擎 主 要 任 务 是 规 则 建 立 检
l i 2 圆
— 。 i 。
信息技术
分布式入侵检测 系统在校 园 网中的应用研 究
田 关 伟 ( 四川 民族 学院 四川康 定 6 6 0 ) 2 0 1
摘 要 : 侵检 测是保 障网络信 息安 全的一种 重要技 术 , 入 本文分 析 了开 源软 件sot n r ̄工作原理及 分布式体 秉, 并研 究 了在校 园 网中合理 的 部署s o t 布 式入 侵检 测 系统 。 n r分 关键 词 : 分布式 s ot 入侵捡 测 校 园网 nr 中 图分 类 号 : P 9 T 33 文 献标 识 码 : A 文章 编 号 : 6 2 3 9 ( 0 10 ( ) 0 0 — 2 1 7 - 7 12 1 ) 8b 一 0 8 0
个 重 要 手 段 , 防火 墙 功 能 有 限 , 能 够 但 不 卡通、 科研 协 作 、 公 自动 化 、 学 管 理 、 办 教 档 防 范 经 由 网 络 内 部 的 攻 击 及 数 据 驱 动 式 的 案 管理 、 书管 理 、 舍 管 理 等 信 息 管 理 系 图 宿 攻击 , 因此需 要采 用入侵检测 系统等 新的 统 在 校 园 网 中 的 构 建 , 高 校 日常 工 作 和 网 络 安 全 技 术 。 给
基于校园网的入侵检测系统设计及选配
不 强 和管 理制 度 不健 全 等 因 素 , 园 网 内部 也潜 校
、
校 园网安全 隐患分 析
影响 校园 网安全 的 因素大致有 : 计算 机病 毒 、
各种 网络攻 击和 管理人 员淡 薄 的安 全意 识等 。
( ) 毒 一 病
根据中华人民共和国《 病毒防止管理办法》 规
定: 一般 所称 的计算 机病 毒 , 指编制 或者 在计算 是
把 自身的一个拷贝发送给那 台机器。蠕虫在一台
影 响计算 机使 用 , 能 自我 复 制 的 一组 计 算机 指 并 令或 者程 序代码 。但 是如 今 的病 毒传 染力却 越来
越强 。随着 不 断地 演 进 , 网络 蠕虫 和 病 毒进 一 步
相 对开放 的校 园 网 内 , 总会 存 在 各种 不 同的 安全 隐患 , 问题是如 何保 证校 园 网的安全 。
互 竞李拓素
20第 (第1) 0年 1 总1期 1 期 1
基 于校 园 网 的入 侵 检 测 系统 设 计 及 选 配
秦 亮, 廖剑 华
( 饶职 业技术 学 院 , 西 上饶 3 40 ) 上 江 31 9
[ 摘要] 传统模 式的校 园网络安全依靠单一的 网络 防火墙 来实现 。随着 网络技术 的进步 , 一种基 于 防火
机器 上 只有 一个 蠕 虫 体 , 是 它却 能 保 证 自己掌 但
机 程序 中插入 的 破坏 计 算 机 功 能或 者 毁 坏数 据 ,
握机器 的控制权 , 并且在实际操作 中很难被清除,
[ 作者简 介]秦亮 (9 8)男 , 1 7一 , 讲师 ; 廖剑华 (9 2)男 , 1 6一 , 副教授。
b s do x d u es c rt d lsn w s db n a p sn t r s nt i p p r o a e nmie — s e u i mo e o u e yma ycm u ewo k .I hs a e ,c mmo e ui y i ns c r—
校园网络入侵检测系统的设计与实现
o ed fc i a p sn tok hi p p rep t tsted in m to sfrc mp sn t ok it so n t e  ̄ n c u e r ,t s a x ai e e g e d o a u ew r nr in h o m w e a h s h u
出现问题 , 往往会造成信息的丢失或破坏 , 将直接 干扰到学校 的正 常运作 , 响师生 的正常生活和 影
校园网络 自身的特点[ l 2, 这些特点包括 : 校 园 ①
学习, 因此校园网络安全越来越受重视 . 入侵检测
网的宽带资源和大量主机 资源 , 为黑客发动攻击
收 稿 日期 :07 0— 1 20 —1 流 量异常的影响, 正常 网络流量 曲线应该是趋于连 续变化的 , 即使有波动 , 起伏度也不大 , 以网络 所 流量具有一定的稳定的特征 .
13 2
期 特征 和短 期 特征 . 长期 特征 表 现 在 网 络行 为具
有一定的规律性 、 稳定性 , 而短期特征又表现出一
定 的偶然 性 、 突发 性 . 网络 行 为学 目前 还处 于 研究 与发展 中 , 某些 理论 己经得 到验证 .
常没有非常可靠的安全系统 , 很容易受到攻 击和 入侵 . 从拒绝服务攻击 的原理可 以看 出, 不管是拒 绝服务攻击阶段还是分布式拒 绝服务攻击阶段 , 都需要很高的网络带宽 . 而校 园网络的特点正好
附着现代信息技术的不断发展 , 广大师生 在 利用校园网信息资源的同时 , 也通过网络 向校园
系统通过各种技术对 校园 网络 系统进 行实时监
测, 以发现来 自系统外 的入侵者 和系统 内部 的滥 用者 , 为计算机系统提供完整 、 可用 、 可信 的主动
校园网网络安全分析与入侵检测系统的设计
洞 . 装 安 全补 丁 程 序 进 行 升 级 。 安 校 园 网服 务 器 安装 完 成 后 .就 必 须 进 行 一 些 必 要 的 安 全 特
环 境 . 种 安 全 包 括 系统 安全 问题 也 随 之 产 生 。 各
性 方 面 的 配 置 . 要 包 括 以下 各方 面 : 主 n )区分 客 户 可 访 问 部 分 和 不 可 访 问 部 分 ,使 敏感 数 据 不
对 校 内外 用 户开 放 : 2 校 园 网 安 全性 问题 . 网络 安 全 主 要 包 括线 路 传 输 的安 全 和 服 务 器 的安 全 两 个 问 ( ) 为 We 务 器 。要 检 查 H兀P 服 务 器 使用 的 A pe 2 若 b服 p l t 尤 G脚 防 题 。 中 服 务器 安全 尤 其 重 要 , 在 许 多 网 络 受 到 攻 击 和破 坏 主 和 脚 本 . 其 是 与 客 户打 交 道 的 C I 本 , 止 外 部 用 户 执行 非 其 现
要 是 服 务 器受 到攻 击 。 园 网 中提 供 的服 务 有 很 多 , 如 wWW 法 指令 : 校 诸 服务 、N D S服 务 、 i服 务 、 】 服 务 、 O 服 务 等 , 们 的 工 E ma l F[ P V D 它 ( )排除 站 点 中 的安 全 漏 洞 .主要 是 服 务器 应 用 软 件 和 操 3 作 原 理类 似 . 主要 的 区别 在 于 所 安 装 的 服务 器 软 件 不 同 。 个 作 系统 的漏 洞 : 其 各 ( )关 闭 无关 的服 务 和 帐 户 : 4 服 务 器都 是~ 个 应 用 系 统 .必 须 在 ~ 定 的 系 统 硬 件 和 软 件 的 基 ( )设 置 监 控 机 制 ,通 过 监 控 服 务 器 的受 访 内 容恶 化来 访 5 础 支持 下 才 能 工 作 . 般 来 说 。 一 系统 硬 件 视 负载 大 小 可选 择 基 于 提 U i L n x系统 的 网 络 服 务 器 . 者 选 择 基 于 Wid w T的 网 用 户 的情 况 来 加 强服 务 器 的管 理 和 控 制 。 高 系 统 安 全性 。 n /i x u 或 no s N 络 服 务 器 。选 择 的 主要 标 准 是 系 统 要 有 足 够 的 响应 速 度 和 系统 3 网络 安全 技 术 . 网络 安 全 技 术 是 伴 随着 网络 的诞 生 而 出现 的 .一 个 全方 位 的 安全 稳 定 校 园 网 的 安全 性 应 从 下 列 几 个 方 面 进 行考 虑 : 21面 临 的威 胁 .
环 境 . 种 安 全 包 括 系统 安全 问题 也 随 之 产 生 。 各
性 方 面 的 配 置 . 要 包 括 以下 各方 面 : 主 n )区分 客 户 可 访 问 部 分 和 不 可 访 问 部 分 ,使 敏感 数 据 不
对 校 内外 用 户开 放 : 2 校 园 网 安 全性 问题 . 网络 安 全 主 要 包 括线 路 传 输 的安 全 和 服 务 器 的安 全 两 个 问 ( ) 为 We 务 器 。要 检 查 H兀P 服 务 器 使用 的 A pe 2 若 b服 p l t 尤 G脚 防 题 。 中 服 务器 安全 尤 其 重 要 , 在 许 多 网 络 受 到 攻 击 和破 坏 主 和 脚 本 . 其 是 与 客 户打 交 道 的 C I 本 , 止 外 部 用 户 执行 非 其 现
要 是 服 务 器受 到攻 击 。 园 网 中提 供 的服 务 有 很 多 , 如 wWW 法 指令 : 校 诸 服务 、N D S服 务 、 i服 务 、 】 服 务 、 O 服 务 等 , 们 的 工 E ma l F[ P V D 它 ( )排除 站 点 中 的安 全 漏 洞 .主要 是 服 务器 应 用 软 件 和 操 3 作 原 理类 似 . 主要 的 区别 在 于 所 安 装 的 服务 器 软 件 不 同 。 个 作 系统 的漏 洞 : 其 各 ( )关 闭 无关 的服 务 和 帐 户 : 4 服 务 器都 是~ 个 应 用 系 统 .必 须 在 ~ 定 的 系 统 硬 件 和 软 件 的 基 ( )设 置 监 控 机 制 ,通 过 监 控 服 务 器 的受 访 内 容恶 化来 访 5 础 支持 下 才 能 工 作 . 般 来 说 。 一 系统 硬 件 视 负载 大 小 可选 择 基 于 提 U i L n x系统 的 网 络 服 务 器 . 者 选 择 基 于 Wid w T的 网 用 户 的情 况 来 加 强服 务 器 的管 理 和 控 制 。 高 系 统 安 全性 。 n /i x u 或 no s N 络 服 务 器 。选 择 的 主要 标 准 是 系 统 要 有 足 够 的 响应 速 度 和 系统 3 网络 安全 技 术 . 网络 安 全 技 术 是 伴 随着 网络 的诞 生 而 出现 的 .一 个 全方 位 的 安全 稳 定 校 园 网 的 安全 性 应 从 下 列 几 个 方 面 进 行考 虑 : 21面 临 的威 胁 .
入侵检测实验报告(两篇)2024
引言概述:入侵检测是计算机安全领域的重要研究方向之一,目的是通过监控和分析网络流量以及系统日志等数据,从中识别出异常行为和潜在的安全威胁。
本文旨在介绍一个入侵检测实验的进展和结果,此为入侵检测实验报告的第二部分。
正文内容:一、实验背景1.实验目的详细阐述实验的目的,以及为什么需要进行入侵检测实验。
2.实验环境介绍实验所用的计算机网络环境,包括操作系统、网络拓扑等。
3.实验流程概述实验的整体流程,包括数据收集、数据预处理、特征提取等步骤。
4.实验数据集介绍实验中所使用的数据集,包括数据集来源、数据集规模等。
5.实验评估指标详细阐述如何评估入侵检测算法的性能,包括准确率、召回率、F1值等指标。
二、实验方法1.数据收集详细介绍如何收集入侵检测所需的数据,包括网络流量数据和系统日志数据。
2.数据预处理阐述如何对收集到的数据进行预处理,包括数据清洗、数据标准化等步骤。
3.特征提取介绍如何从预处理后的数据中提取有用的特征,以用于后续的入侵检测分析。
4.算法选择阐述实验中选择的入侵检测算法,包括传统机器学习算法和深度学习算法。
5.模型训练与测试详细描述实验中如何将预处理后的数据用于训练和测试入侵检测模型,包括数据划分和交叉验证等。
三、实验结果1.算法性能比较详细阐述不同算法在入侵检测任务上的性能比较,包括准确率、召回率等指标的对比分析。
2.异常检测介绍实验中检测到的具体异常行为,包括网络攻击、系统漏洞等。
3.误报率分析分析实验中算法的误报率,即将正常行为错误地标记为异常行为的情况。
4.可视化展示通过可视化的方式展示实验结果,包括异常行为的时间分布、网络流量的变化趋势等。
5.实验改进与优化针对实验中出现的问题和不足,给出实验改进与优化的建议,并展望未来的研究方向。
总结:通过本次入侵检测实验,我们探索了入侵检测的实践方法和技术,通过数据收集、预处理和特征提取等步骤,以及选择合适的算法进行训练和测试,成功地识别出网络中的异常行为和潜在的安全威胁。
校园网环境中基于流量分析的入侵检测系统研究与设计
安 全 技 术
_ f I f 数 丽 日 啦术
校园网环境中基于 流量分析的入侵检测系统研究与设计
刘 昕
( 陕西省行政 学院电子设备与信 息管理 处 陕西西安 7 1 0 0 6 8 )
摘要: 互联网技术发展迅速, 政府、 企业、 高校等各单位机构都开始对 自身信息系统的安全性加大了关注力度, 信息系统安全性能的提升无疑成
针对流量 的异常检测原型系统能够按照系统功能进行划分 , 主 要有 以下五大模 块 : 流量采集模块 、 报警与相应模块 、 流量 统计模 块、 异常检 测模块和人机交互界面 。 模 块各 自功 能如下 : ( 1 ) 流量 采集模块 。 其流量 的采集点设置在局域网的总出 口, 互 联 网内被监控 的核心服务器周围 , 对能够在 采集点流通的资源数据 流量都进行采集 。 ( 2 ) 流量 统计模 块。 拆分 已经收集 到的网络 资源数 据, 然后将 其协议包 的类 型、 源头、 端 口、 目标地址 以及 标记位和大 小等信息进行统计 。 这些模块一般都是按照分钟作为时间粒度去对 网络带宽 的单播 } 单播包 比率 、 S YN( S YN+ AC K) 包 比率 、 应用层 协议包数量等进行统计并相应存储 , 然后再进行 下一 步处 理。 ( 3 ) 异 常检测模块。 一般网络流量的统计量会被该模块收集然后再对 比其 正常行为模式, 利用时间序列分析法来对单播 E 单播包比率 、 网络
一
警。
5结语 总之 , 在 面临互联 网新兴安全挑 战背景下 , 基于流量分析 的入
器, 对 其 互 联 网 和 内 部 网 之 间 的每 个 活 动 都 进 行 了高 质 量 、 高 效 的 侵检测系统在校园网 中的研究应用可以使校园网更好得抵御 外部 监控, 进而使得 内部 网络 的安全得 以保 障。 威胁和攻击 , 并且能够定期监视校 园网 内部网络流量情况 , 使得校 3入侵检测系统的功能模 块设计 园网的 内外部安全更有保 障。
_ f I f 数 丽 日 啦术
校园网环境中基于 流量分析的入侵检测系统研究与设计
刘 昕
( 陕西省行政 学院电子设备与信 息管理 处 陕西西安 7 1 0 0 6 8 )
摘要: 互联网技术发展迅速, 政府、 企业、 高校等各单位机构都开始对 自身信息系统的安全性加大了关注力度, 信息系统安全性能的提升无疑成
针对流量 的异常检测原型系统能够按照系统功能进行划分 , 主 要有 以下五大模 块 : 流量采集模块 、 报警与相应模块 、 流量 统计模 块、 异常检 测模块和人机交互界面 。 模 块各 自功 能如下 : ( 1 ) 流量 采集模块 。 其流量 的采集点设置在局域网的总出 口, 互 联 网内被监控 的核心服务器周围 , 对能够在 采集点流通的资源数据 流量都进行采集 。 ( 2 ) 流量 统计模 块。 拆分 已经收集 到的网络 资源数 据, 然后将 其协议包 的类 型、 源头、 端 口、 目标地址 以及 标记位和大 小等信息进行统计 。 这些模块一般都是按照分钟作为时间粒度去对 网络带宽 的单播 } 单播包 比率 、 S YN( S YN+ AC K) 包 比率 、 应用层 协议包数量等进行统计并相应存储 , 然后再进行 下一 步处 理。 ( 3 ) 异 常检测模块。 一般网络流量的统计量会被该模块收集然后再对 比其 正常行为模式, 利用时间序列分析法来对单播 E 单播包比率 、 网络
一
警。
5结语 总之 , 在 面临互联 网新兴安全挑 战背景下 , 基于流量分析 的入
器, 对 其 互 联 网 和 内 部 网 之 间 的每 个 活 动 都 进 行 了高 质 量 、 高 效 的 侵检测系统在校园网 中的研究应用可以使校园网更好得抵御 外部 监控, 进而使得 内部 网络 的安全得 以保 障。 威胁和攻击 , 并且能够定期监视校 园网 内部网络流量情况 , 使得校 3入侵检测系统的功能模 块设计 园网的 内外部安全更有保 障。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4分布式入侵检测原型系统
针对传统分布 式入侵检测系统存在 的问题和缺陷, 根据实 际网 络 的特点和安全需求 , 研究 了一个分布式入侵检测原型系统 , 它将 不 同的检 测模块分布到被保护网络的不 同位置, 并且针对相应的数 据源进行处理 , 在一定程度上弥补了 以往入侵检测 系统 的不足 。 该 检测系统宏观上分为与用户交互的管理中心子系统 以及位于各个 检测网络段 中的检测子系统两个部分 , 每个部分 由相 应的功能模块 组成 , 用来完成特定的系统功能 , 检测子系统可以根据 实际的网络 情 况 进 行 部署 。 5结 语 最后 , 在设计的分布式结 构中, 管理 中心首先负责对分布在网 络 中的检 测子系统进行配置与管理 , 如配置各个检测子系统的规则 库 以及启动和停止检测子系统的检测分析活动等 ; 其次 , 它接收各 检测子系统上传来 的各种数据信息 , 对入侵攻击行为进行响应 , 最 后, 管理 中心还要把某一检测子系统上发生的入侵攻击信息所触发 的响应情况 , 实时 的送往其他各检测子系统 , 使系统具 有全局响应 能力 。 这 种分布 式结构减轻 了管理 中心的负担 , 提高了入 侵检测系 统 的可扩展性 。
了一 个分 布 式入侵 检 测原 型 系统 的模 型, 并 对该模 型 给 予 实现 验证 其 可行 性 。 关键 词 : 入侵 检 测 分 布式 系统 C I DF 中图分 类号 : T P 3 9 3 . 0 8 文献标 识码 : A 文章 编号 : 1 0 0 7 — 9 4 1 6 ( 2 0 1 3 ) 0 9 — 0 0 9 3 一 O l
了。
2入 侵 检测 系 统 的设 计
在设计 的时候 , 我首先考 虑其 应用 环境 。 我们 的应用环境 是校 园局域 网, 那么入侵检测系统 的设计相对 来说就变得简单些 , 不 需 要考虑可伸 缩性 、 系 统内部通 信等很多 问题。 其次需要考虑到分析 对象 的问题 。 入侵检 测系统分 析的对象可 以是用户 , 也可 以是系 统 的服务。 入侵检测系统所采集的数据, 可 以是系统 日志、 网络捕获 的 数据包 , 应 用程序 的 日志等 。 而人 侵检测系统只需要其 中的一小部 分。 为了设计一个高 效率 的入 侵检 测系统 , 必须首先设计一个高 效 率 的e v e n t 过滤器 , 让入侵检测系统直接面对所需要 的、 经过了大量 压缩后 的数据。 E v e n t 采集部分 的设计必须要提供一个统一 的接 口, 方便系统的模块化设计 。 可以有各种各样的分析算法来进行入侵行 为的检 测。 不 同的分析 引擎 能够解决 不同的 问题 。 检测规则 的描述对分析引擎有着很重要的影响。 复杂 的规则描 述能清 晰地表达 出入 侵过程 的各个 阶段 , 多个事件的前后关系 , 能 减少系统 的误 报 、 漏 报。 但是复杂 的规则需要保 存各个阶段的很多 状态信息 , 影响了分 析引擎 的处理 时间, 而简单的规则描述 , 只需要 较少的分析时间和较轻 的状态管理负担 , 在事件分析 中能提供更好 的可伸缩性和 效率。 但是 简单的规则可能产生误报和漏报 。 这两者 之 间需 要有一个 平衡 。 研究发现 , 攻击者在攻击一个装有入 侵检测系统的网络或者计 算机系统 时, 首先考虑到的是对付该入侵 检测系统 , 入侵检测系统 是一个有机的整体结构 , 任何一部分 的脆弱性或是缺陷将导致整个 系统的失效 。 对于入侵检 测系统而言 , 它 的核心部件是其数据分析 部分 , 如果系统的分析部分失去作用 , 那么它就 形同虚设 。 所 以入侵
} 数 J 争技术
1 _ I
应 用 研 究
基于校园网的入侵检测的研究
侯 研
( 长春工业大学人文信 息学院 吉林长春 1 3 0 1 2 2 )
摘 要: 本 文对 当前 校 园 网络 实际状 况进行 了细致 分析 的基础 上, 参照公 共入侵 检 测框 架( C o m mo n I n t r u s i o n De t e c t i o n F r a me w o r k, C I DF ) , 设 计
检测系统在检测 攻击的同时 , 必 须 首先 保 护 好 自 己 , 能 够 保 证 自身 的稳健性 。
过滤 后 , 才将 其他 数据 传送 给事件分析器和事件数据库 。 预处理 的 主要 目的是为了防止对入侵检测系统本身构成严重威胁 的攻击 , 如 拒绝服务 攻击 。 预处理器相当于一个简化了的分析器 , 它只对拒绝 服务 攻击感兴趣, 具有检测 拒绝服务攻击 的能力 。 预处理器采用特 征分析 的方式 , 对拒绝服务攻击进行分析、 拦截和过滤 , 并可直接促 使响应单元发生特定的响应动作 , 而对于其它数据包则不作处理直 接交给事件分析器。 同时 , 在对原有C I D F 模型分析 的基础上 , 又对模 型进行 了适度 的简化 , 目的是为 了降低系统 的复杂度 。 简化 的部分位于事件产生 器, 它不再直接向事件 数据库和响应单元提供原始 的数据 , 而是只 起 到数据收集 的作用 , 将功能重新 清晰的划分。 由于预处理器分担 了数据分析器的部分处理任务 , 入侵检测系 统的处理能力会有所提高 。 预处理器的增加并不能影响系统本身的 检测性能 , 因为我们先将产生器获得的数据包 中的一部分在预处理 器 中预先进行 了分析处理, 如果检测到攻击 , 直接报警 , 这些数据包 并不 发送 给事件分析器进行二次分析 ; 如果未检测到攻击 , 数据包 会发到分析器 , 将这些数据包与除了拒绝服务攻击之外的规则进行 匹配 检 测 , 因而 也 不 存 在 二 次 匹 配 的 问题 。
1本文 研 究背 景
随着校园网络规模 的不断扩大和校 园网应用的普及 , 网络设备 和 网络用户不断增多 , 校园网的网络安全 问题也变得 日益复杂和突 出。 在这种情 况下, 校 园 网 络 与信 息 的 安 全 问题 就 越 来 越 引起 人 们 的注 意 , 研究校 园网络信息 安全 的入 侵检测技术就 显得非常 重要