网络技术的发展正在改变校园内人们的学习生活, 我们在享受其带来的巨大的进步与利益同时, 数据信息被窃取和针对网络设备的攻击等等潜伏着的巨大的安全威胁也随之而来。作为开放网络的组成部分, 校园网络的安全也是不可忽视的。目前, 校园网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等, 目前校园网所应用的很多安全设备都属于静态安全技术范畴, 如防火墙和系统外壳等外围保护设备。静态安全技术的缺点是需要人工来实施和维护, 不能主动跟踪入侵者。而入侵检测则属于动态安全技术, 它能够主动检测网络的易受攻击点和安全漏洞, 并且通常能够先于人工探测到危险行为。基于以上问题, 详细研究以入侵检测技术为代表的动态安全技术和以防火墙为代表的静态安全技术各自的区别和联系及它们的优缺点, 提出了将动态技术与静态技术相结合的应用能够取长补短, 弥补各自的缺点, 并结合校园网建设和管理, 在校园网络中应用ids 与原来的防火墙共同使用, 极大地提高了校园网的安全防护水平。防火墙(firewall )技术是抵抗黑客入侵和防止未授权访问的最有效手段之一, 也是目前网络系统实现网络安全策略应用最为广泛的工具之一写作论文。
防火墙是设置在被保护网络和外部网络之间的一道屏障, 以防止发生不可预测的、潜在破坏性的侵入, 可有效地保证网络安全。防火墙系统是一个静态的网络攻击防御, 同时由于其对新协议和新服务的支持不能动态的扩展, 所以很难提供个性化的服务。入侵检测系统(ids)是从计算机网络系统中的若干关键点收集信息, 并分析这些信息, 检查网络中是否有违反安全策略的行为和遭到袭击的迹象。wWW.133229.COMids 被公认为是防火墙之后的第二道安全闸门, 从网络安全立体纵深、多层次防御的角度出发, 对防范网络恶意攻击及误操作提供了主动的实时保护, 从而能够在网络系统受到危害之前拦截和响应入侵。入侵检测技术可以弥补单纯的防火墙技术暴露出明显的不足和弱点, 为网络安全提供实时的入侵检测及采取相应的防护手段。入侵检测是对防火墙的合理补充, 帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力, 提高了信息安全基础结构的完整性。由些可见, 它们在功能上可以形成互补关系。
下面将建立入侵特征库和入侵检测与防火墙的接口问题分别进行讲述。我们经过将基于异常的ids 和基于误用的ids 系统相比较之后,最后选择使用基于误用的入侵检测系统, 不仅因为这种方法的误报警率低, 而且对一些已知的常用的攻击行为特别有效。当有外来入侵者的时候, 一部分入侵由于没有获得防火墙的信任, 首先就被防火墙隔离在外, 而另一部分骗过防火墙的攻击,或者干脆是内部攻击没经过防火墙的, 再一次受到了入侵检测系统的盘查, 受到怀疑的数据包经预处理模块分检后, 送到相应的模块里去进一步检查, 当对规则树进行扫描后, 发现某些数据包与规则库中的某些攻击特征相符, 立即切断这个ip 的访问请求, 或者报警。建立入侵特征库。
1.编写规则
根据前面所说的该入侵检测系统所期望实现的作用, 因此要将一些规则编写至特征库中。规则模块包括解析规则文件、建立规则语法树、实现规则匹配的算法等。
2.入侵检测流程
单个数据报的检测流程详细的分析如下: 首先对收集到的数据报进行解码, 然后调用预处理函数对解码后的报文进行预处理, 再利用规则树对数据报进行匹配。在规则树匹配的过程中, ids 要从上到下依次对规则树进行判断, 从链首、链表到规则头节点, 一直到规则选项节点。基于规则的模式匹配是入侵检测系统的核心检测机制。入侵检测流程分成两大步: 第一步是规则的解析流程, 包括从规则文件中读取规则和在内存中组织规则; 第二步是使用这些规则进行匹配的入侵流程。
3.规则匹配流程
一个采用模式匹配技术的ids 在从网络中读取一个数据包后大致按照下面方式进行攻击检测:
( 1) 从数据包的第一个字节开始提取与特征库中第一个攻击特征串等长的一组字节与第一个攻击特征串比对, 如果两组字节相同, 则视为检测到一次攻击;如果两组字节不同, 则从数据包的第二个字节开始提取与攻击特征串等长的一组字节与攻击特征串比对。
( 2) 接着比对过程重复进行, 每次后移一个字节直到数据包的每个字节都比对完毕, 最后将数据包与特征库中下一个攻击特征串进行匹配。
( 3) 重复进行直到匹配成功或者匹配到特征库中最后一个攻击特征依然没有结果为止, 然后整体模型从网络中读取下一个数据包进行另一次检测。规则匹配的过程就是对从网络上捕获的每一条数据报文和上面描述的规则树进行匹配的过程。如果发现存在一条规则匹配的报文,就表示检测到一个攻击, 然后按照规指定的行为进行处理(如发送警告等), 如果搜索完所有的规则都没有找到匹配的规则, 就表示报文是正常的报文。
参考文献:
[ 1] 张兴东, 胡华平, 况晓辉, 陈辉忠.防火墙与入侵检测系统联动的研究与实现[ j] .计算机工程与科学
[ 2]杨琼, 杨建华, 王习平, 马斌, 基于防火墙与入侵检测联动技术的系统设计《武汉理工大学学报》2005 年07 期.
[ 3] 桂春梅,钟求喜,王怀民. 基于uml 的防火墙和入侵检测联动模型的研究[ j] . 计算机工程与科学, 2004,26(11): 22- 25.
[ 4] 高光勇, 迟乐军, 王艳春联动防火墙的主机入侵检测系统的研究