一、前言

　　隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展和Internet應(yīng)用范圍的不斷擴(kuò)大，人們能夠方便有效地獲取信息資源和與他人交流。但是，由于網(wǎng)絡(luò)協(xié)議本身設(shè)計(jì)和實(shí)現(xiàn)上一些不完善的因素，隨之而來(lái)的Internet入侵事件也就層出不窮。作為開(kāi)放網(wǎng)絡(luò)的組成部分，校園網(wǎng)絡(luò)的安全也是不可忽視的。由于各種原因?qū)е滦@網(wǎng)既是大量攻擊的發(fā)源地，也是攻擊者最容易攻破的目標(biāo)。當(dāng)前校園網(wǎng)常見(jiàn)的風(fēng)險(xiǎn)如下：普遍存在的計(jì)算機(jī)系統(tǒng)的漏洞，對(duì)信息安全、系統(tǒng)的使用、網(wǎng)絡(luò)的運(yùn)行構(gòu)成嚴(yán)重的威脅;計(jì)算機(jī)蠕蟲(chóng)、病毒泛濫。影響用戶(hù)的使用、信息安全、網(wǎng)絡(luò)運(yùn)行;外來(lái)的系統(tǒng)入侵、攻擊等惡意破壞行為，有些計(jì)算機(jī)已經(jīng)被攻破，用作黑客攻擊的工具：拒絕服務(wù)攻擊目前越來(lái)越普遍。

　　二、入侵檢測(cè)技術(shù)在校園網(wǎng)中的作用

　　加強(qiáng)校內(nèi)處信息的交流，滿足校區(qū)廣大師生的需求，充分利用網(wǎng)絡(luò)資源為全校教學(xué)、科研和管理服務(wù)，我們將用戶(hù)的應(yīng)用需求歸納為如下幾個(gè)方面：

　　1.內(nèi)部信息發(fā)布：向各部門(mén)發(fā)布規(guī)章制度、規(guī)劃、計(jì)劃、通知等公開(kāi)信息等。

　　2.電子郵件：校園內(nèi)部的電子郵件的發(fā)送與接收。

　　3.文件傳輸：校園內(nèi)部的文本文件、圖像文件、語(yǔ)音文件等發(fā)送與接收。

　　4.資源共享：文件共享、數(shù)據(jù)庫(kù)共享、打印機(jī)共享。

　　5.導(dǎo)航系統(tǒng)：校園內(nèi)部各部門(mén)web站點(diǎn)的導(dǎo)航。

　　6.外部通信：通過(guò)廣域網(wǎng)或?qū)＞€連接，可與國(guó)內(nèi)外的合作伙伴交流信息。

　　7.接入因特網(wǎng)：接入中國(guó)電信、Internet，對(duì)外發(fā)布信息。

　　架設(shè)一個(gè)入侵監(jiān)測(cè)系統(tǒng)(IDS)是非常必要的，處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。

　　IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來(lái)過(guò)濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。IDS是被動(dòng)的，它監(jiān)測(cè)你的網(wǎng)絡(luò)上所有的數(shù)據(jù)包。其目的就是撲捉危險(xiǎn)或有惡意動(dòng)作的信息包。IDS是按你指定的規(guī)則運(yùn)行的，記錄是龐大的，所以我們必須制定合適的規(guī)則對(duì)他進(jìn)行正確的配置，如果IDS沒(méi)有正確的配置，其效果如同沒(méi)有一樣。IDS能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

　　三、入侵檢測(cè)技術(shù)在校園網(wǎng)中存在的不足

　　(一)防火墻位置。

　　防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過(guò)防火墻的時(shí)候，防火墻才能對(duì)此實(shí)行檢查、防護(hù)等功能。因此，在網(wǎng)絡(luò)拓?fù)渖?，防火墻?yīng)當(dāng)處在網(wǎng)絡(luò)的出口處和不同安全等級(jí)區(qū)域的結(jié)合點(diǎn)處。這些位置通常位于內(nèi)部網(wǎng)到Internet出口鏈路處;主干交換機(jī)至服務(wù)器區(qū)域工作組交換機(jī)的骨干鏈路上;內(nèi)部網(wǎng)與高安全等級(jí)的涉密網(wǎng)的連接點(diǎn);遠(yuǎn)程撥號(hào)服務(wù)器與骨干交換機(jī)或路由器之間。

　　(二)入侵檢測(cè)位置。

　　不同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽(tīng)設(shè)備，沒(méi)有跨接在任何鏈路上，無(wú)須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。

　　因此，對(duì)IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有來(lái)自高危網(wǎng)絡(luò)區(qū)域的訪問(wèn)流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文都必須流經(jīng)的鏈路上。IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：盡可能靠近攻擊源;盡可能靠近受保護(hù)資源。這些位置通常是：

　　•服務(wù)器區(qū)域的交換機(jī)上;

　　•Internet接入路由器之后的第一臺(tái)交換機(jī)上;

　　•重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。

　　(三)防火墻與IDS的結(jié)合。

　　談到網(wǎng)絡(luò)安全，人們第一個(gè)想到的就是防火墻。但隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)日趨復(fù)雜，傳統(tǒng)防火墻所暴露出來(lái)的不足和弱點(diǎn)引起了人們對(duì)入侵檢測(cè)系統(tǒng)(IDS)技術(shù)的研究和開(kāi)發(fā)。

　　首先，傳統(tǒng)的防火墻在工作時(shí)，就像深宅大院雖有高大的院墻，卻不能擋住小老鼠甚至是家賊的偷襲一樣，因?yàn)槿肭终呖梢哉业椒阑饓Ρ澈罂赡艹ㄩ_(kāi)的后門(mén)。

　　其次，防火墻完全不能阻止來(lái)自?xún)?nèi)部的襲擊。我們通過(guò)調(diào)查發(fā)現(xiàn)，70%的攻擊都將來(lái)自于校園網(wǎng)內(nèi)部，對(duì)于校園網(wǎng)內(nèi)部個(gè)別心懷不滿的教師或?qū)W生來(lái)說(shuō)，防火墻形同虛設(shè)。

　　再者，由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力，對(duì)于現(xiàn)在層出不窮的攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的。

　　第四，防火墻對(duì)于病毒也束手無(wú)策。因此，以為在 Internet入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實(shí)際的。

　　入侵檢測(cè)系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如及時(shí)記錄證據(jù)用于跟蹤、切斷網(wǎng)絡(luò)連接，執(zhí)行用戶(hù)的安全策略等。

　　四、防火墻與IDS結(jié)合的優(yōu)點(diǎn)改進(jìn)校園網(wǎng)

　　防火墻只是一種基于策略的被動(dòng)防御措施，是一種粗顆粒的防御手段，無(wú)法自動(dòng)調(diào)整策略設(shè)置來(lái)阻斷正在進(jìn)行的攻擊，也無(wú)法防范基于協(xié)議的攻擊。所以，單靠防火墻是無(wú)法實(shí)現(xiàn)良好的安全防護(hù)性能的。

　　IDS能夠?qū)崟r(shí)分析校園網(wǎng)外部及校園網(wǎng)內(nèi)部的數(shù)據(jù)通訊信息，分辨入侵企圖，在校園網(wǎng)絡(luò)系統(tǒng)受到危害前以各種方式發(fā)出警報(bào)，并且及時(shí)對(duì)網(wǎng)絡(luò)入侵采取相應(yīng)措施，最大限度保護(hù)校園網(wǎng)系統(tǒng)的安全。但是，單靠入侵檢測(cè)系統(tǒng)自身，只能及時(shí)發(fā)現(xiàn)攻擊行為，但卻無(wú)法阻止和處理。

　　我們將二者結(jié)合起來(lái)互動(dòng)運(yùn)行，防火墻便可通過(guò)IDS及時(shí)發(fā)現(xiàn)其策略之外的攻擊行為，IDS也可以通過(guò)防火墻對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊行為進(jìn)行阻斷。IDS與防火墻有效互動(dòng)就可以實(shí)現(xiàn)一個(gè)較為有效的安全防護(hù)體系，可以大大提高整體防護(hù)性能，解決了傳統(tǒng)信息安全技術(shù)的弊端、解決了原先防火墻的粗顆粒防御和檢測(cè)系統(tǒng)只發(fā)現(xiàn)難響應(yīng)的問(wèn)題。防火墻和入侵檢測(cè)的模型有以下好處：

　　1.如果能夠足夠迅速檢測(cè)到入侵，那么就能確認(rèn)入侵者，并能在破壞發(fā)生或數(shù)據(jù)損壞之前把他驅(qū)逐出系統(tǒng)。即使未能足夠迅速地檢測(cè)出入侵并加以阻止，也是越迅速地檢測(cè)出入侵，越能減少破壞的危害并能更迅速地加以恢復(fù)。

　　2.高效的檢測(cè)系統(tǒng)能夠起到威懾作用，因此也能從一定程度上阻止入侵。

　　3.入侵檢測(cè)系統(tǒng)能夠收集有關(guān)入侵技術(shù)的信息。這樣可以用來(lái)加強(qiáng)入侵阻止設(shè)施。

　　五、入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)

　　目前，國(guó)外一些研究機(jī)構(gòu)已經(jīng)開(kāi)發(fā)出了應(yīng)用于不同操作系統(tǒng)的幾種典型的入侵檢測(cè)系統(tǒng)(IDS。它們通常采用靜態(tài)異常模型和規(guī)則的誤用模型來(lái)檢測(cè)人侵。這些1DS的檢測(cè)基本是基于服務(wù)器或基于網(wǎng)絡(luò)的=早期的1DS模型設(shè)計(jì)用來(lái)監(jiān)控單一服務(wù)器，是基于主機(jī)的人侵檢測(cè)系統(tǒng),然而近期的更多模型則集中用于監(jiān)控通過(guò)網(wǎng)絡(luò)互連的多服務(wù)器，是基于網(wǎng)絡(luò)的侵人檢測(cè)系統(tǒng)近年來(lái)人侵檢測(cè)技術(shù)的主要發(fā)展方向。

　　六、結(jié)語(yǔ)

　　人侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，它采用的是一種主動(dòng)的技術(shù)，能有效地發(fā)現(xiàn)入侵行為和合法用戶(hù)濫用特權(quán)的行為，已經(jīng)成為網(wǎng)絡(luò)安全體系中一個(gè)重要組成分.目前入侵檢測(cè)技術(shù)還處于研究和發(fā)展階段，同樣存在很多不足之處。隨著網(wǎng)絡(luò)通信技術(shù)安全性的要求越來(lái)越高，人們需要重點(diǎn)研究一些智能化的檢測(cè)技術(shù)，同時(shí)還要研究如何將入侵檢測(cè)技術(shù)和其他網(wǎng)絡(luò)安全技術(shù)相結(jié)合來(lái)構(gòu)建一個(gè)網(wǎng)絡(luò)安全體系等等，這些都是以后入侵檢測(cè)發(fā)展的主要方面。

　　參考文獻(xiàn)：

　　[1]唐正軍、李建華. 《入侵檢測(cè)技術(shù)》.清華大學(xué)出版社.2004年4月.