校园网环境中基于流量分析的入侵检测系统研究与设计
时间:2022-10-30 来源:博通范文网 本文已影响 人 
摘要:互联网技术发展迅速,政府、企业、高校等各单位机构都开始对自身信息系统的安全性加大了关注力度,信息系统安全性能的提升无疑成为当前形势下各高校的迫切需求。本文简单介绍了网络入侵检测系统与防火墙技术,重点提出入侵检测系统的五大功能模块设计与实现。
关键词:校园网 流量分析 入侵检测系统
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2014)01-0178-01
1 引言
互联网技术发展,科学技术进步,因此有了一个新兴产业——信息产业,其发展也非常迅速,并且逐渐成为了国家、政府、企业、教育等单位机构的重要办公平台。与此同时,巨大的安全隐患也开始呈现在人们面前,保障信息系统的安全成为各单位和部门注重的问题。入侵检测系统是一种能主动检测和识别其外部的入侵活动和异常行为等对系统的破坏与不安全访问的工具,比如故意破坏互联网信息资源、未经授权擅自泄露系统内部隐私资料等。它能对传统技术的计算机安全系统进行补充和完善,进而让互联网安全技术上升到一个新的等级。
2 网络入侵检测系统与防火墙
所谓的入侵检测系统(简称IDS),即对互联网防火墙的一种适当的补充,面对一些互联网攻击,它能保护系统,让系统管理员的防护能力与安全管理能力得以提升,并使得信息的安全基础结构得以提升。IDS收集计算机互联网中的一些热门和关键信息,对其进行分析并对其中有不安全行为或者遭到袭击的迹象因素进行检测。在不影响计算机的网络性能前提下对该网络进行检测,从而达到了对其计算机实施保护的目的。入侵检测系统功能主要有以下几点:
(1)监测并分析用户和系统的活动;(2)识别已知的攻击和行为;(3)核查系统配置和漏洞;(4)对其数据文件的完整性和系统关键资源进行评估;(5)对其异常行为进行统计分析;(6)对其系统的日志管理进行操作,对违反安全策略的用户活动进行识别。
防火墙是指设置在不同网络(如可信任的学校内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。各个网络安全域之间进行交流的唯一的一个出入口就是它,对它能够出入网络的信息流通过学校安全政策来控制,而且其自身也有着非常高的抗风险能力。它也是网络信息安全得以保障、为系统提供一些安全信息服务的基础工具。防火墙在逻辑意义上就是一个分离器、分析器、限制器,对其互联网和内部网之间的每个活动都进行了高质量、高效的监控,进而使得内部网络的安全得以保障。
3 入侵检测系统的功能模块设计
针对流量的异常检测原型系统能够按照系统功能进行划分,主要有以下五大模块:流量采集模块、报警与相应模块、流量统计模块、异常检测模块和人机交互界面。模块各自功能如下:
(1)流量采集模块。其流量的采集点设置在局域网的总出口,互联网内被监控的核心服务器周围,对能够在采集点流通的资源数据流量都进行采集。(2)流量统计模块。拆分已经收集到的网络资源数据,然后将其协议包的类型、源头、端口、目标地址以及标记位和大小等信息进行统计。这些模块一般都是按照分钟作为时间粒度去对网络带宽的单播/非单播包比率、SYN(SYN+ACK)包比率、应用层协议包数量等进行统计并相应存储,然后再进行下一步处理。(3)异常检测模块。一般网络流量的统计量会被该模块收集然后再对比其正常行为模式,利用时间序列分析法来对单播/非单播包比率、网络带宽利用率等和时间有关的统计量进行分析,然后按照时间序列分析法来制定一个ARMA模型,然后再对这些统计量进行异常检测。最后综合其异常因素,来对网络中的一些异常流量情况进行识别,以得出安全事件消息。(4)报警和响应模块。如果检测到异常流量, 首先需要报警,使系统和系统管理员可以根据情况选择不同的处理方法。然后,系统根据报警级别和安全响应策略采取两种更为主动的响应方式,即防火墙联动和主机隔离。(5)人机交互界面。以Web为基础的用户管理,再加上其信息查看、报警处理和阈值设定等功能。对系统检测出的异常,主机应该对其进行标记类型、阈值指标、统计量、异常发生时间和消息等,然后向系统管理员发送一个异常报告信息。
4 流量分析技术在入侵检测中的应用
研究蠕虫病毒、DdoS等病毒的攻击案例,能够发现其病毒等在入侵系统时一般都会有很异常的网络数据流量和服务请求的增加;因此,只要能够尽早发现这种变化和异常,就可以尽快发出警报并采取实施相应的安全保护措施。
一般情况下,服务器流量都会接受正常周期性的连接请求,而且其相同网段内数据报流量也是有着周期性的变化的;所以网络应该有随机过程进行描述,网络服务器和用户也能够对自身的特征值进行刻画;但是其也是能够随时间变化而变化的,特征值应该按照用户的行为变化进行相关调整,其用户行为的威胁程度等也应该使用大小偏差进行判断,另外被保护节点在网络中服务器也应该采用相同措施。如果在一定时间段内特征值(连接的请求数)远远超过了阈值,这样可以认为有潜在被攻击的可能性,并向学校管理人员报警。
5 结语
总之,在面临互联网新兴安全挑战背景下,基于流量分析的入侵检测系统在校园网中的研究应用可以使校园网更好得抵御外部威胁和攻击,并且能够定期监视校园网内部网络流量情况,使得校园网的内外部安全更有保障。
参考文献
[1]黄铠.可扩展并行计算技术、结构与编程[M].北京:机械工业出版社,2000.5-6.
[2]李信满,赵大哲,赵宏.基于应用的高速网络入侵检测系统研究[J].通信学报,2002(9):1-7.
[3]孙钦东,张德运,高鹏.并行入侵检测系统的负载均衡算法[J].小型微型计算机,2004(12):2215-2217.
[4]杨建召等.基于主机的入侵检测系统设计与实现[J].长春工业大学学报,2012(4):23-25.
[5]吕志军,郑涤,黄皓.高速网络下的分布式实时入侵检测系统[J].计算机研究与发展,2004(4):667-673.
