校园网络安全与入侵检测

校园网络安全与入侵检测【摘要】随着计算机网络的发展，使信息共享日益广泛与深入，信息的共享给人们带来了极大的方便，与此同时，各校建设了数字化校园网，数字化校园网的建设将大幅度提高学校信息共享能力和资源利用效率，对提高教学，科研和管理水平，全面提升综合办学实力有着重要的意义。但是信息在共享的同时也给人们带来极大的威胁，在公共的通信网络上存储，传输和共享信息，可能会被非法的入侵者窃听，截取，修改，或毁坏。因此，校园网络的用户多，带宽较大，经常会遭受网络攻击和网络入侵。【关键词】校园网;入侵检测；网络攻击；网络安全CampusNetworkSecurityandIntrusionDetection【Abstract】Withthedevelopmentofcomputernetworkssothatinformationsharingbecomesmoreextensiveandin-depth,informationsharingtobringagreatconvenience,atthesametime,school-buildingcampusnetworkdigital,digitalcampusnetworkwillbesignificantlyimproveinformation-sharingcapabilitiesandtheefficiencyofresourceuse,toimprovetheteaching,researchandmanagement,toenhancethestrengthofanintegratedschoolhasanimportantsignificance.However,informationsharingalsobringsgreatrisktothepubliccommunicationnetwork,storage,transferandsharingofinformation,maybeillegalintruderstheinterception,modification,ordestruction.Therefore,multi-campusnetworkusers,Largerbandwidth,networksareoftensubjectedtoattacksandnetworkintrusion.【Keywords】CampusNetwork;intrusiondetection;networkattacks;networksecurity1.校园网络安全的概述图1-校园网络示意图校园网络的发展改善了教育技术和网络教育应用的环境，革新了校园网络的发展改善了教育技术和网络教育应用的环境，革新了现有的教学手段，教学方法，和教学模型，推动了信息技术和现代远程教育的发展。校园网络的普及和广泛应用，提升了学校的信息化，数字化水平；如何保证校园网络安全，有效地运行，已成为目前许多学校面临的重要课题。1.1校园网络安全的含义校园网络信息既有存储于网络节点上的信息资源（即静态信息），又有传播于网络节点间的信息（即动态信息）。而这些静态信息和动态信息中有些是开放的（如广告、公共信息等），有些则是保密的（如私人间的通信、政府及军事部门的信息、商业机密等）。网络信息安全一般是指网络信息的机密性、完整性、可用性及真实性。网络信息的机密性是指其内容不会被未授权的第三方所知。网络信息的完整性是指信息在存储或传输时不被修改、破坏，不出现信息包的丢失、乱序等，即不能被未授权的第三方修改。信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息安全的基本因素。当前，运行于因特网上的协议（如TCP/IP等），能够确保信息在数据包级别的完整性，即做到在传输过程中不丢信息包，不重复接收信息包，但却无法制止未授权第三方对信息包内容的修改。网络信息的可用性包括对静态信息的可得到性和可操作性及对动态信息内容的可见性。网络信息的真实性是指信息的可信度，主要是指对信息所有者或发送者身份的确认。1.2攻击校园网络的类型一.对静态数据的攻击对静态数据的攻击主要有以下3种：（1）口令猜测：通过穷举方式搜索口令空间，逐一测试，得到口令，进而非法入侵系统。（2）IP地址欺骗：攻击者伪装成源自一台内部主机的一个外部地点传送信息包，这些信息包中包含有内部系统的源IP地址，冒名他人，窃取信息。（3）指定路由：发送方指定一信息包到达目的站点的路由，而这条路由是经过精心设计的、绕过设有安全控制的路由。二.对动态数据的攻击根据对动态信息的攻击形式不同，可以将其分为主动攻击和被动攻击两种。被动攻击主要是指攻击者监听网络上传递的信息流，从而获取信息的内容，或仅仅希望得到信息流的长度、传输频率等数据，称为流量分析。主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据流的一部分以达到其破坏目的。主动攻击可以归纳为中断、篡改、伪造3种。中断是指阻断由发送方到接收方的信息流，使接收方无法得到该信息，这是针对信息可用性的攻击。篡改是指攻击者修改、破坏由发送方到接收方的信息流，使接收方得到错误的信息，从而破坏信息的完整性。伪造是针对信息的真实性的攻击，攻击者或者是首先记录一段发送方与接收方之间的信息流，然后在适当时间向接收方或发送方重放这段信息，或者是冒充接收方可信任的第三方，完全地伪造的一段信息流向接收方发送。1.3校园网络安全机制应具有的功能由于上述威胁的存在，因此必须采取措施对网络信息加以保护，以使受到攻击的威胁减到最小。一个网络安全系统应有如下的功能:一.身份识别身份识别是安全系统应具备的最基本的功能，是验证通信双方身份的有效手段。当用户向其系统请求服务时，要出示自己的身份证明咖输入UserID和Password)，而系统应具备查验用户身份证明的能力时于用户的输入，能够明确判别是否来自合法用户)。二.存取权限控制其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。在开放系统中，网上资源的使用应制订一些规定:一是定义哪些用户可以访问哪些资源，二是定义可以访问的用户各自具备的读、写、操作等权限。三.数字签名即通过一定的机制如RSA公钥加密算法)，使信息接收方能够做出咳信息是来自某一数据源且只可能来自该数据源”的判断。四.保护数据完整性即通过一定的机制咖加入消息摘要)，以发现信息是否被非法修改，避免用户或主机被伪信息欺骗。五.审计追踪即通过记录日志、对一些有关信息进行统计等手段，使系统在出现安全问题时能够追查原因。六.密钥管理信息加密是保障信息安全的重要途径，以密文方式在相对安全的信道上传递信息，可以让用户比较放心地使用网络。如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机会，都会对通信安全造成威胁。因此，引入密钥管理机制，对密钥的产生、存储、传递和定期更换进行有效地控制，对提高网络的安全性和抗攻击性也是非常重要的。1.4校园网络安全常用技术通常保障网络信息安全的方法有两大类:以舫火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。一．防火墙技术图2—防火墙示意图防火墙就是指设置在不同网络如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。在逻辑上它是一个限制器，也是一个分析器，能有效地监控内部网和Internet之间的活动，保证内部网络的安全。由于硬件技术的进步，基于高速Internet上的新一代防火墙，还将更加注重发挥全网的效能，安全策略会更加明晰化、合理化、规范化。目前，全球连入Internet的计算机中约有1/3是处于防火墙保护之下的。防火墙安全保障技术主要是为了保护与Inter-net相连的企业内部网络或单独节点。它具有简单实用的特点，透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包，尽可能地对外部网络屏蔽被保护网络或节点的信息及结构，另一方面对内屏蔽外部某些危险地址，实现对内部网络的保护。未来的防火墙技术会全面考虑网络、操作系统、应用程序、用户及数据的安全。在产品及功能上，将摆脱目前对子网或内部网管理方式的依赖，向远程上网集中管理方式发展，并逐渐具备强大的病毒扫除功能;适应IP加密的需求，开发新型安全协议，建立专用网（VPN）;推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具，特别是可疑活动的日志分析工具，这是新一代防火墙在编程技术上的革新。二．数据加密与用户授权访问控制技术图3--数据加密与用户授权访问控制技术与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对于主动攻击，虽无法避免，但却可以有效的检测;而对于被动攻击，虽无法检测，但却可以避免，而实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法。这种变换是受称为密钥的符号串控制的。在传统的加密算法中，加密密钥与解密密钥是相同的，或者可以由其中一个推知另一个，称为对称密钥算法。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信息，也可以用它解密信息。有了信息加密的手段，就可以对动态信息采取保护措施了。为了防止信息内容泄露，可以将被传送的信息加密，使信息以密文的形式在网络上传输。这样，攻击者即使截获了信息，也无法知道信息的内容。为了检测出攻击者是否篡改了消息内容，可以采用认证的方法，即对整个信息加密，或是由一些消息认证函数MAC函数)生成消息认证码，再对消息认证码加密，随信息一同发送。攻击者对信息的修改将导致信息与消息认证码的不一致，从而达到检测消息完整性的目的。为了检测出攻击者是否伪造信息，可以在信息中加入加密的消息认证码和时间戳，这样，若是攻击者发送自己生成的信息，将无法生成对应的消息认证码，若是攻击者重放以前的合法信息，接收方可以通过检验时间戳的方式加以识别。2．入侵检测概述入侵检测（IntrusionDetection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象2.1入侵检测的分类入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统入侵检测技术的分类：入侵检测系统所采用的技术可分为特征检测与异常检测两种。一．特征检测特征检测(Signature-baseddetection)又称Misusedetection，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。二．异常检测异常检测(Anomalydetection)的假设是入侵者活动异