摘 要:入侵检测以其低成本、低风险以及较高灵活性得到了广泛应用,有着广阔的发展前景。高校网络环境下的入侵检测方案的研究和探讨已经成为网络安全的防御工作的必然选择。本文提出了高校网络环境的入侵检测方案的构思,分析了入侵检测方案环境的发展状况。
关键词:计算机网络安全;入侵检测
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 12-0100-01
一、入侵检测技术在维护计算机网络安全中的应用
(一)网络入侵检测
网络入侵检测有基于硬件和软件的,二者的工作流程是基本相同的。需将网络接口的模式设置为混杂模式,以便对流经该网段的全部数据进行实时的监控,做出分析,再和数据库中预定义的具备攻击特征属性做出比较,从而把有害的攻击数据包识别出来,进行响应,并记录日志[1]。
1.体系结构。网络入侵检测的体系结构通常由三大部分组成,分别为Agent、Console以及Manager。其中,Agent的作用是对网段以内的数据包进行监视,发现攻击信息并把相关的数据发送到管理器;Console的主要作用是负责收集代理处信息,显示所受攻击信息,把攻击信息及相关数据发送到管理器;Manager的作用则主要是响应配置攻击警告信息,控制台所发布的命令也由Manager来执行,再把代理所发出的攻击警告发送至控制台。
2.工作模式。网络入侵检测,每个网段都部署多个入侵检测的代理,按网络拓扑结构的不同,代理的连接形式也不相同。利用交换机核心芯片中的调试端口,将入侵检测系统与该端口相连接。或者把它放在数据流的关键点上,就可以获取几乎全部的关键数据。
3.攻击响应及升级攻击特征库、自定义攻击特征。入侵检测系统检测到恶意攻击信息,响应方式多种多样,比如发送电子邮件、切断会话、通知管理员、记录日志、通知管理员、查杀进程、启动触发器以及开始执行预设命令、取消用户账号以及创建报告等等[2]。升级攻击特征库是把攻击特征库文件通过手动或者自动的形式从相关站点中下载下来,再利用控制台实时添加进攻击特征库。
(二)主机入侵检测
主机入侵检测会设置在被重点检测的主机上,从而对本主机的系统审计日志、网络实时连接等信息并做出智能化的分析与判断。如果发展可疑情形,则入侵检测系统就会有针对性的采用措施。基于主机的入侵检测系统可以具体实现以下功能:对操作系统及其所做的所有行为进行全程监控;持续评估系统、应用以及数据的完整性,并进行主动的维护;创建全新的安全监控策略,实时更新;对于未经授权的行为进行检测,并发出报警,同时也可以执行预设好的响应措施;将所有日志收集起来并加以保护,留作后用。主机入侵检测系统对于主机的保护很全面细致,但要在网络中全面部署则成本太高。并且主机入侵检测系统工作时要占用被保护主机的CPU处理资源,所以可能会降低被保护主机的性能[3]。
二、高校网络环境的入侵检测方案的问题
(一)高校网络环境入侵检测方案
伴随网络技术的高速发展,网络安全已经成为不能不考虑的问题。入侵检测方案正是利用网络平台,通过与远程服务器交换,将终端数据库分布实现入侵检测监控。设计应尽量符合人的感知和认知。多数高校网络环境采用基于WEB的数据库的转换和数据交换监控,数据库相对简单,入侵检测方式单一,但可靠性低。面对平台和数据容量的增加,客观上要求基于自动检测,要对数据库进行分析、聚类、纠错的高效网络,才能处理,实现用户交互,优化平台数据的可扩展性[4]。
(二)高校网络环境入侵检测的关键点
高校网络环境的入侵检测方案的关键点就是要充分利用高校网络资源平台,整合数据库、角色管理的安全模型、校园无缝监控、多方位反馈与应对系统等资源,预测或实时处理高校网络入侵时间的发生。
三、高校网络环境的入侵检测方案思考
(一)建立适合高校网络环境的检测系统平台
高校网络环境的入侵检测,可采纳“云计算技术”,实现检测方案系统。利用其高速传输能力,将计算、存储、软件、服务等资源从分散的个人计算机或服务器移植到互联网中集中管理的大规模分布的高性能计算机、个人计算机、虚拟计算机中,从而使用户像使用电能一样使用这些资源。大量计算资源构成资源池,用于动态创建高度虚拟化的资源提供用户使用。改变了资源提供商需要独立、分散建造机房、运营系统、维护安全的困难,降低了整体的能源消耗。
(二)入侵检测机制
入侵检测体系结构须依据网络NIDS模块,构建检测管理平台:模块组成主要有:应用任务模块;入侵检测与分析模块;数据库交换模块(负责数据包的嗅探、数据包预处理过滤和固定字段的模式匹配)。实现实时的流量分析与入侵检测功能。针对硬件逻辑和核心软件逻辑采用高效的检测策略规则。检测模型包括三个主要流程步骤:
1.调度平台从用户的请求队列中首先取出优先级最高的用户请求R。R读取元数据库,根据请求的硬件资源判断是否能被当前空闲资源满足。如果满足,转向步骤2;如果不满足,判断是否可以通过平台虚拟机的迁移,释放相关资源;如果可以,则执行迁移操作,转步骤2;如果迁移也无法完成,则退出,并报告无法完成请求。
2.如果资源请求可以满足,调度服务器可从存储结点中选择与用户请求相对应的虚拟机模板T(新建立的虚拟机)或虚拟机镜像I。
3.调度服务器将I迁入相对应的物理机,并创建相对应的虚拟机实例V。
四、总结
要提高计算机网络系统的安全性,不但要靠技术支持,更需要依靠高校自身良好的维护与管理。高校网络环境的入侵检测方案的思考,适应高校检测环境的发展要求,必须把握其发展方向和关键技术,实现高效入侵检测。
参考文献:
[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术,2010,11
[2]刘明.试析计算机网络入侵检测技术及其安全防范[J].计算机与网络,2011,1
[3]臧露.入侵检测技术在网络安全中的应用与研究[J].信息技术,2009,6
[4]申建刚,夏国平,邱巩强.基于云计算技术虚拟现实的施工设备布置系统[J].计算机集成制造系统,2009,10