校园一卡通系统中基于聚类的入侵检测研究与实现.pdf

山东大学硕士学位论文校园一卡通系统中基于聚类的入侵检测研究与实现姓名：杨蒙山申请学位级别：硕士专业：软件工程指导教师：史清华20091010山东大学硕士学位论文摘要作为数字化校园建设的重要组成部分，校园一卡通系统是实现校园信息化的基础工程，是学校实现管理提升的重要工具。但是，在多数高等院校，由于办学规模、建设资金等方面的限制，加之缺乏统一管理，造成各个部门独立发卡，独立结算，一人多卡，给教工、学生带来极大不便，同时导致工作效率低下，资源浪费严重。高校校园网的建成，卡片应用技术的逐渐成熟，银校合作力度的逐步加大，为校园一卡通系统的发展创造了成熟条件。本文以枣庄学院一卡通系统的网络安全为研究对象，结合网络的实际情况，对一卡通系统及其网络安全进行了全面的分析。详细介绍了一卡通系统的框架结构，然后依据框架的结构依次介绍了组成该框架的各个模块，重点分析了该系统在实际应用中面临的网络安全问题。由于数据挖掘技术具有可以处理大规模的数据量，而且不需要用户提供主观的评价信息，善于发现容易被主观忽视和隐藏信息的优点。另一方面，入侵检测技术是一种动态的安全防护手段，具有能主动寻找入侵信号，给网络系统提供对外部攻击、内部攻击和误操作的安全保护的优点。本文集成数据挖掘和入侵检测技术，针对一卡通网络中应用服务器遭受黑客攻击的问题，采取“在线离线结合，误用异常互助，分类聚类兼顾”的思想，提出了一种基于主机的入侵检测系统的设计方案。本文选择一个攻击特例“口令攻击，作为实验环境，说明本系统是如何用数据挖掘算法发现攻击模式并进行入侵检测的，最后对上一章所设计的系统的性能进行了分析论证，实验证明，该系统在实际应用中面临的网络安全问题，解决的比较可靠周密。关键字：校园一卡通：网络安全；入侵检测；数据挖掘山东大学硕士学位论文A B S T R A C TA sa l li m p o r t a n tp a r to fd i g i t a lu r b a nc o n s t r u c t i o n，c a m p u ss m a r tc a r da p p l y i n gs y s t e mi sa ne s s e n t i a la n di m p o r t a n tt o o lt oi m p r o v em a n a g e m e n te f f i c i e n c y B u ti nm o s tu n i v e r s i t i e s，t h e yi n d e p e n d e n t l yg i v eo u tt h ec a r da n dd e a lw i t ha c c o u n t sd e p e n d e n t l y,f o rt h el i m i t a t i o no ft h es c a l eo fr u n n i n gas c h o o l，t h el a c ko fc o n s t r u c t i o nf u n d s，a n dt h el a c ko fu n i f i e da d m i n i s t r a t i o n I tm a k e sf a c u l t i e sa n ds t u d e n t si n c o n v e n i e n t，w h i c hl e a d st ol o ww o r k i n ge f f i c i e n c ya n ds e r i o u sr e s o u r c ew a s t e T h i sp a p e rt a k e st h en e t w o r ks e c u r i t yo fc a m p u sc a r di nZ a oZ h u a n gU n i v e r s i t ya st h er e s e a r c h i n go b j e c t A c c o r d i n gt ot h ea c t u a lc o n d i t i o no fn e t w o r k，t h i sp a p e rf i r s t l yg i v e sab r i e fi n t r o d u c t i o na b o u tt h ec a m p u sc a r ds y s t e ma n dt h en e t w o r ks e c u r i t y T h e ni ti n t r o d u c e st h ef r a m e w o r ko ft h ec a m p u sc a r ds y s t e ma n do r d i n a l l yd e s c r i b e se a c hm o d u l et h a tc o m p o s e st h ef r a m e A f t e rt h a ti ta n a l y s e st h ep r o b l e m so fn e t w o r ks e c u r i t yi n a c t u a lu s e D a t am i n i n gt e c h n o l o g yC a np r o c e s sm u l t i-d a t a sw i t h o u to b j e c t i v ea p p r a i s a li n f o r m a t i o nf r o mu s e r sa n dC a nd e t e c tt h ei n f o r m a t i o nt h a ta r eu s u a l l yi g n o r e da n dc o n c e a l e d O nt h eo t h e rh a n d，i n t r u s i o nd e t e c t i o nt e c h n o l o g yi sad y n a m i cs a f e g u a r ds y s t e m I tC a na c t i v e l yd e t e c tt h ei n t r u d i n gs i g n a l s，p r o t e c tt h en e t w o r ks y s t e mf r o mi n t e ra n do u t e ra s s a u l t sa n dm i s h a n d l i n g A i m i n ga tt h ep r o b l e mo fh a c k e ra t t a c ko nt h es e r v e ri nc a m p u sc a r dn e t w o r k，t h i se s s a yc o n b i n e sd a t am i n i n gt e c h n o l o g ya n di n t r u s i n gd e t e c t i o nt e c h n o l o g yt o g e t h e r,a d o p t st h et h i n k i n gt h a tc o m b i n e so n l i n ec l a s s i f i e dm i s u s i n gd e t e c t i o n、析mo f f l i n ec l u s t e r i n ga b n o r m a ld e t e c t i o n,a n dp u t sf o r w a r dad e v i s i n gp r o j e c to fi n t r u s i n gd e t e c t i o nt e c h n o l o g yb a s e dO i lt h eh o s tc o m p u t e r P a s s w o r da t t a c kw h i c hi sas p e c i a lc a s ea t t a c kW a sc h o s e na se x p e r i m e n te n v i r o n m e n t，i no r d e rt oe x p l a i nt h es y s t e mh o wt od i s c o v e ra t t a c km o d e la n dd e t e c ti n t r u s i o nw i t hd a t am i n i n ga l g o r i t h m F i n a l l y，t h ep e r f o r m a n c eo ft h es y s t e md e s i g n e di nt h ep r e v i o u sc h a p t e rW a sa n a l y z e da n dd e m o n s t r a t e d T h ee x p e r i m e n tr e s u l t ss h o w e dt h a tp r o b l e m so fn e t w o r ks e c u r i t yi nI I山东大学硕士学位论文p r a c t i c a la p p l i c a t i o nw e r er e l i a b l l ya n dr i g o r o u s l ys o l v e d K e y w o r d：C a m p u sC a r dS y s t e m；N e t w o r kS e c u r i t y；I n t r u s i o nD e t e c t i o n；D a t aM i n i n gI H原创性声明本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡献的个人和集体，均己在文中以明确方式标明。本声明的法律责任由本人承担。论文作者签名：逊日期：竺硷，匀 习关于学位论文使用授权的声明本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本学位论文。(保密论文在解密后应遵守此规定)论文作者签名导师签名：山东大学硕士学位论文1 1 问题的提出第1 章绪论在信息网络高速发展的今天，越来越多的信息均以数字形式进行交换和管理。伴随着智能技术的高速发展和计算机应用的普遍推广，在校园信息管理中引入校园一卡通已成为一种趋势。实际上，“校园一卡通 采用的是由一张校园卡代替多张I C 卡的做法，在校园卡中既融合了身份识别功能又融合了金融消费功能，使得校园卡能够在“一卡通网络 中作为多张卡来使用，真正实现了“一卡在手，走遍全校，一卡通用，一卡多用 的初衷。但是，随着一卡通系统应用的逐渐深入，卡系统的用户会越来越多而且可能来自地理位置不同的区域，同时卡系统的功能也会进一步扩展以融入更多的功能，这样随着系统功能的扩展和规模的扩大，一卡通系统必将出现大量的安全隐患和漏洞，给系统的正常维护运行以及网络安全的保障提出了更高的要求。本文正是根据我校一卡通系统的现状，选择了数据挖掘与入侵检测相结合的技术路线，采取“在线离线结合，误用异常互助，分类聚类兼顾 的思想，针对一卡通网络中关键的应用服务器提出了一种基于主机的入侵检测系统的设计方案。把支持度递减滑移窗递增的层次挖掘算法作为要解决的重点，并把它作为本系统中规则挖掘的核心算法，用来对数据仓库中的标准审计数据进行规则挖掘。1 2 论文的研究内容及背景本文正是以校园一卡通系统日益提高的网络安全需求为出发点开展的一系列研究工作。文中以枣庄学院一卡通网络为研究背景，通过对网络规模及网络安全的调查分析发现，我校在校园一卡通项目上选择的是增加投入换取安全减小风险的做法，采用专网搭建。在外网方面，只有通过路由器与建行的连接，没有与I n t e m e t 的山东大学硕士学位论文互联，所以在与外网隔离方面有一定的安全保障。但是，据有关调查报告显示，世界上所有的网络攻击中有高达7 0 的攻击都来自于网络内部(如内部心怀不轨的员工所进行的非法操作等)，正所谓信任是一切安全的基础，因此网络内部的安全问题是绝对不能忽视的。考虑到一卡通网络内部数据的重要性，在网络内部采取安全措施是极为有必要的。为防范内部网络黑客对数据库服务器的入侵，我们将采用基于数据挖掘的入侵检测技术，依据主机审计数据的来源，包括：事件查看器、性能日志和普报等来判断黑客的入侵情况，这也正是本文研究的关键问题。在对我校一卡通系统的网络规模及网络安全进行充分分析后，本文提出了一套有针对性的基于数据挖掘的主机入侵检测系统设计方案，选择数据挖掘与入侵检测相结合的技术路线，采取“在线离线结合，误用异常互助，分类聚类兼顾的思想，目的是保障内部网络更加安全可靠的运行。实际上，将数据挖掘技术应用到入侵检测中，是目前入侵检测领域一个比较重要的研究方向。众多实验和测试结果表明，该做法在理论上是可行的，在技术上也是可能的。数据挖掘是一种特定应用的数据分析过程，可以从包含大量冗余信息的数据中提取出尽可能多的隐藏知识，从而为作出正确的判断提供基础。将数据挖掘技术应用到入侵检测中，可以用适当的挖掘算法来对海量的安全审计数据进行智能化处理，自动系统地抽象出利于进行判断和比较的特征模型(可以是基于误用检测的特征向量模型，也可以是基于异常检测的行为描述模型)，进而自觉地维护入侵检测系统的特征模式库，这样的入侵检测系统将具备良好的自适应性和可扩展性。本文所做的正是这方面的尝试性研究。1 3 论文的研究意义论文的研究意义可以从以下几方面来叙述：首先，对于目前我校一卡通系统而言，由于本文拟解决的问题正是一卡通系统的网络安全，所设计的基于主机的入侵检测系统也正是以此为出发点的，所以论文的研究对提高一卡通系统的网络安全有一定的实际意义。其次，对于今后我校一卡通系统的发展甚至其他企业院校中的一卡通系统而言，在网络安全方面提供了一定的依据及参考。2山东大学硕士学位论文再次，对于入侵检测系统的进一步发展而言，由于本文所研究的是结合数据挖掘技术的基于主机的入侵检测系统，它一方面将数据挖掘技术运用到了基于主机的入侵检测系统中，另一方面以W i n d o w s 自带的事件查看器作为审计数据的来源，这在基于主机的入侵检测技术领域中具有一定的参考价值。最后，对于数据挖掘技术而言，本文在对多种数据挖掘算法充分理解的基础上，针对校园一卡通系统中应用服务器的审计日志提出了一种支持度递减滑移窗递增的层次挖掘算法，该算法能够较全面的对数据进行规则挖掘，对于应用在入侵检测系统中的数据挖掘算法而言有一定的参考意义。3山东大学硕士学位论文第2 章校园一卡通简介及安全问题分析2 1 校园一卡通简介2 1 1 校园一卡通的概念根据多年对各种卡的探索、研究及智能卡管理系统工程的开发与运用，有关专家总结出真正的“一卡通”概念：即“一卡一库一线。所谓“一卡，就是在同一张卡上实现对多种不同功能的统一智能管理，一张卡同时适应多种设备(含读写设备)，具备多种功能，满足多种应用。所谓“一库”，就是在同一个软件系统(一卡通软件)下操作同一个数据库(一卡通数据库)，实现卡的发行、取消、报失、消费、查询等多种功能。所谓“一线”，就是多种不同的设备挂在“一条线”(一卡通网络)上，进行不同数据的信息交换，也就是多种不同的设备都能够通过网络互联。“校园一卡通 属于“一卡通”系统应用的具体项目之一，是以I C 卡为信息载体，通过校园网络来实现金融消费功能和信息管理功能的综合系统。它以I C卡取代了学校管理中的各种个人证件和校园生活中的各种支付手段，将学生的就餐管理、图书管理、就医管理、考试管理、学分管理、机房管理、收费管理、身份管理及其他消费管理以I C 卡为媒介，来统一实现。2 1 2 校园一卡通的作用和应用范围1、校园卡在校园内可代替：(I)身份卡：学生证(工作证)、借书证、会员证、准考证、出入证等；(2)现金卡：电子钱包、电子存折、就餐卡、上机证、医疗证等。2、“校园一卡通 的应用范围：(1)管理功能(身份认证)：学生管理、教务管理、图书馆管理、机房管理、考勤管理与考试管理等。(2)消费功能(电子钱包)：(水电费、上网费、电话费、学费、上机费等)交费、4山东大学硕士学位论文(食堂)就餐；(零售商店)购物、(浴室)洗浴；(医务所)就医；(体育馆、自行车库、水房等)消费。(3)财务功能(结算中心)：学校财务中心财务集中处理及与银行的对帐处理；与银行之间的转帐功能，包括“校园通卡 与银行个人帐户间的圈存处理等。(4)自助功能(自助服务)：教职工与学生持卡自助查询电子钱包(校园帐户)余额、银行帐户余额、学生成绩、学分等信息；学生可持卡选课、电子钱包圈存、存款、取款、汇款等。2 1 3 校园卡系统现状分析自I C 卡进入我国，各大专院校甚至中专、中学几乎都有卡在使用，广大师生在得益于卡带来方便的同时，也存在不少困扰，许多学校都有多种卡在使用，这些卡系统分别从不同的厂家独立引进，并在本部门所辖范围内使用；由于各个系统的技术与规范不统一，造成了各种卡应用系统无法兼容，资源不能合理配置和共享。学生手中少则三四张卡，多则六七张卡，给用户带来了不便。学校也不能统一管理，比较混乱。为了解决这种纷繁复杂的局面，目前已陆续有许多高等院校迈入了校园一卡通的使用行列。2 1 4 校园一卡通的发展趋势校园一卡通的发展趋势可以从以下几方面进行考虑：首先，日益普及的高校校园网为一卡通系统提供了网络基础；其次，卡片应用技术(硬件和软件两方面)的逐渐成熟为一卡通系统提供了技术基础；第三，各学校混乱的卡系统对一卡通系统提出了现实需求；最后，银行方面的积极参与为银校一卡通系统的建设提供了动力支持。因此校园一卡通是今后校园卡发展的必然趋势。2 1 5 校园一卡通系统的价值校园一卡通发展的必然趋势也可以从另一个侧面来体现，那就是一卡通系统多5山东大学硕士学位论文方面的使用价值：1 减少校内执行收费和身份认证的工作人员，提高工作效率，方便广大师生的日常生活；2 减轻了系统维护人员的劳动强度，变对多种不同系统的维护为对单一统一系统的维护；3 部分自动化系统实现无人监管、自助消费的方式，可以根据需要适当延长开放时间，甚至实现2 4 小时不间断开放；4 提高对校园网设备的利用率，并在一定程度上减小了学校信息化建设的使用经费。2 2 我校一卡通网络的现状2 2 1 网络规模及功能为提高枣庄学院信息化水平，方便广大师生员工的工作、学习和生活，我校已采用“校园一卡通”网络系统。目前校园一卡通实现的功能主要有餐饮、图书借阅、上机、购水、购电、就医等，最近还新增了考勤与无线车载功能。考虑到校园网络本身的复杂性以及与互联网相连的互通性，如果将一卡通系统搭建在校园网络之上将存在过多的安全隐患，需要全面系统有针对性的安全措施来加以保护(可能涉及到V P N、防火墙、入侵检测等多种网络安全技术的复用)，这一方面给安全系统的部署提出了高要求，另一方面也增加了校园网络的负荷，影响到校园网络本身的可靠运行。因此我校选择了增加投入换取安全减小风险的做法，采用专网搭建，避开了与校园网络的设备共用，一定程度上减小了风险系数，保障了系统的可靠运行。随着学校的不断发展，校园一卡通的规模也将进一步扩大，包括逻辑上功能的扩充和物理上区域的拓展，以求逐步实现在各校区全方位多功能的互连互通，真正做到“一卡在手，走遍全校，一卡通用，一卡多用”。6山东大学硕士学位论文2 2 2 网络架构1 网络拓扑目前一卡通网络的拓扑情况由下至上依次为：终端设备由4 8 5 线路上连至上位机；上位机由4 8 5 线路连接至接入层交换机，应用服务器和数据库服务器也由4 8 5 线或光纤连接至接入层交换机；再由接入层交换机经光纤连接至汇聚层交换机再连接至中心交换机或直接连至中心交换机；与建行网络互联的路由器则连接在和应用服务器及数据库服务器相连的同一个接入层交换机上。2 网络的硬件系统一卡通网络由以下几类硬件搭建而成：(1)终端P O S 机：是读卡的终端设备，采用4 8 5 通讯线路连接，所有刷卡消费和身份识别的动作都由终端设备来完成。(2)上位机：是控制终端设备的计算机系统，由计算机、控制器、4 8 5 线组成，所有刷卡的消费记录或认证记录及相关数据的采集和上传都由这类机器完成。(3)应用服务器：是一卡通软件系统的服务器，由D E L L 服务器构成，包括一卡通的W e b 服务器和银行前置机，其中W e b 服务器是客户端与数据库的中间设备，负责一卡通系统的管理维护及上位机数据的接收处理，而银行前置机则负责银行圈存及交易处理等。(4)数据库服务器：数据库服务器是整个一卡通系统的数据核心，由两台H P 服务器构成，负责存储所有一卡通系统的相关数据。(5)交换及路由设备：交换机(包括接入层交换机、汇聚层交换机和中心交换机)负责连接内网中分散在不同地域的各类设备，路由器负责连接外网的建行服务器。3 网络的软件系统(1)上位机P O S 控制软件：7山东大学硕士学位论文运行在W i n d o w s2 0 0 0S e r v e r 操作系统上的控制软件，负责把终端设备的数据实时地显示和传输到上位机上，它必须保证正常运行，由它控制的终端设备才能工作。(2)后台应用服务：一卡通管理应用系统运行在W i n d o w s2 0 0 0S e r v e r 操作系统上的应用软件，负责卡务中心业务办理及系统设置，是一卡通系统应用功能的操作平台。中间件应用系统运行在W i n d o w s2 0 0 0S e r v e r 操作系统上的应用软件，负责与数据库及相关后台的应用实现，管理上位机数据的传输、整理、应用功能的逻辑实现、银行圈存世乎o(3)数据库系统：运行在W i n d o w s2 0 0 0S e r v e r 操作系统上的S Q L 2 0 0 0 数据库软件，负责校园卡所有用户信息及消费数据的备份、查询、添加、删除和修改等。2 3 网络安全分析如前所述，对于校园一卡通系统我校选择的是增加投入换取安全减小风险的做法，采用专网搭建。由于是专网，所以安全性相对较好，但是说到网络安全从来只有相对的概念而没有绝对的说法。下面分别从链路传输、网络结构、操作系统和应用系统四方面来对现有一卡通网络进行全面的网络安全分析。2 3 1 链路传输的安全分析一卡通的数据传输是一卡通终端通过一卡通专网先后经由4 8 5 双绞线、千兆单模光纤历经上位机和交换机传送到数据库服务器的。对于链路中传输数据的入侵方式存在两种情况：一种情况是入侵者直接到内部网上进行攻击、窃取或其它破坏；另一种情况是入侵者在传输线路上安装窃听装置，窃取网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性。针对链路风险通常采用的安全防护措施是对传8山东大学硕士学位论文输的数据加密，并通过数字签名及认证技术来保证数据在网上传输的真实性、机密性、可靠性及完整性。然而，由于在一卡通网络中传输的数据大都是用户信息及消费数据，机密性相对较低，因此这并不是保证一卡通网络安全运行所需解决的首要问题。2 3 2 网络结构的安全分析1 与外网连接的安全威胁在外网方面，一卡通网络只有通过路由器与建行的连接，没有与I n t e m e t 的互连，在考勤与图书借阅功能中存在与校园网络数据的“关联”(物理上是隔开的)，会定期将有关数据导入到一卡通系统数据库中，使得通过校园网能够访问和查询这些数据，但目前一卡通网络还不能访问校园网。这样，真正与外网有连接的就是与建行网络的连接了，而建行网络本身的安全性是毋庸置疑的，所以来自外部网段的攻击出现的可能性相对较小。通常，针对外网攻击采用的安全防护措施是加设防火墙，但根据目前网络的状况，出现外部攻击的可能性较小，所以目前可以暂不考虑部署防火墙设备来阻止来自外部的攻击。2 内部网络的安全威胁据调查在已有的网络安全攻击事件中约7 0 是来自内部网络的侵犯比如内部人员故意泄露内部网络的网络结构；安全管理员有意透露其用户名及口令；内部不怀好意人员编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去等。种种情况都可能对网络安全造成严重威胁。对于目前一卡通网络，由于用户众多，身份复杂，包括各个校区的老师、学生、员工、家属等等，所以网络内部的安全问题是目前一卡通网络安全的首要问题。正所谓信任是一切安全的基础，即使与外部网段隔离的再好，网络内部的安全问题也是绝对不能忽视的。通常，针对内部网络运用最普遍的安全防护措施就是采取入侵检测技术。入侵检测分为基于主机的入侵检测和基于网络的入侵检测，依据一卡通网络的具体情况，由于网络较简单且基本没有与外网的连接，所以应该重点考虑基于主机的9山东大学硕士学位论文入侵检测。2 3 3 操作系统的安全分析操作系统安全通常是指网络操作系统的安全。目前的操作系统无论是W i n d o w s 还是其它任何商用U N I X 操作系统，系统本身必定存在安全漏洞。这些安全漏洞都将存在重大安全隐患。对于一卡通网络，所用到的操作系统有W i n d o W S2 0 0 0S e r v e r 和S C OU N I X W A R E7 1 1，不可避免它们都会存在安全漏洞，但这种安全问题只能通过操作系统的生产厂家进行不断地完善，对于用户是很难对其加以改进的。2 3 4 应用系统的安全分析应用系统的安全涉及很多方面。应用系统是动态的、不断变化的，应用的安全性也是动态的，这就需要对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。对于一卡通网络，所涉及的应用系统有上位机控制软件、一卡通管理应用系统、中间件应用系统和S Q L 2 0 0 0 数据库系统等。同样它们的安全也应该由开发厂商来保证，用户所能做的只是按照要求进行合理的运用与维护。上述分析表明，目前的一卡通网络，在网络安全方面所需解决的首要问题应该是网络内部的安全问题，本文将紧扣这个问题，采取基于主机的入侵检测技术与数据挖掘技术相结合的路线进行研究与探讨。2 3 5 本文解决的主要问题通过对一卡通系统的链路传输、网络结构、操作系统和应用系统四方面进行全面的网络安全分析后表明，目前的一卡通网络系统，在网络安全方面所需解决的首要问题应该是网络内部的安全问题。本文将紧扣这个问题，采取基于主机的入侵检测技术与数据挖掘技术相结合的路线进行研究与探讨。1 0山东大学硕士学位论文第3 章基于数据挖掘的入侵检测技术由于本文的研究对象是枣庄学院一卡通网络的安全，通过第二章对网络安全的分析，我们知道所需解决的首要问题是网络内部的安全问题，而解决网络内部安全问题最适用的方法就是入侵检测技术，根据网络的具体情况及规模，我们进一步明确应该采用基于主机的入侵检测技术。同时，为了提高入侵检测系统的有效性、适应性和扩展性，本文考虑将数据挖掘技术结合到入侵检测技术中，来对规则库进行动态维护。因此，本文作者在进行了深入研究和实际调查，研读了大量学术前沿文献的基础上，对相关领域知识进行了深入的分析，并对一卡通系统提出了基于主机的入侵检测技术和数据挖掘技术相结合的网络安全解决方案。下面，一一进行阐述。3 1 网络安全介绍3 1 1 网络信息安全的定义网络信息安全【1 1【2】的定义有很多种，国际标准委员会I S O 定义为：“为数据处理系统采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改和泄露。我国公安部计算机管理监察司的定义是i“计算机安全是指计算机资产的安全，即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害一。针对网络信息安全的相对性，著名的网络安全公司安氏也给出了一个通俗的、动态的定义：“网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。现实中并没有一种技术可以完全消灭网络安全中的漏洞，正如P 2 D R(P o l i c y策略、P r o t e c t i o n 防护、D e t e c t i o n 检测、R e s p o n s e 响应)安全理论模型中指出的安全目标：尽可能的增大保护时间、尽量减少检测时间和响应时间。3 1 2 网络安全的目标从防卫的角度来看，网络安全的目标1 4 1 1 5 l 包括以下几个方面：山东大学硕士学位论文1 网络服务的可用性(A v a i l a b i l i t y)：无论何时，网络服务必须是可用的，如抗击拒绝服务攻击。2 网络信息的保密性(C o n f i d e n t i a l i t y)：网络服务要求能防止敏感服务信息泄服，要求只有在授权的条件下，才能获取服务信息。3 网络信息的完整性(I n t e g r i t y)：网络服务必须保证服务者提供的信息内容不能被非授权篡改，不管是有意或无意，完整性是对信息的准确性和可靠性的评价指标。4 网络信息的非否认(抗抵赖)性(N o-r e p u d i a t i o n)：用户不能否认消息或文件来源地，也不能否认接收了信息或文件。5 网络运行的可控性(C o n t r o l l a b i l i t y)：是指网络管理的可控性，包括网络运行的物理的可控性和逻辑或配置的可控性等，能够有效地控制网络用户的行为及信息的传播范围。3 1 3 网络安全技术的分类网络安全技术总体看来，可划分为两种：静态安全技术和动态安全技术。静态安全技术包括防火墙技术、V L A N 技术、加密技术和身份验证技术等。其中防火墙是静态安全技术中最常用也是最成熟的技术，设置在内外部网络之间，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽内部的信息、结构和运行状况，阻止不可预测的、潜在破坏性的侵入，来保护内部网络不受外部影响。但是防火墙只能实现网络的隔离，不能检查经过它的合法流量中是否包含恶意入侵。动态安全技术包括入侵检测技术和陷阱网络技术等。其中入侵检测是动态安全技术中最成熟也是最有代表性的技术，它通过不断检测和监控网络系统来发现新的威胁和弱点，然后反复循环反馈来及时做出有效的响应，因此能够主动检测网络的易受攻击点和安全漏洞，并且通常能够先于人工探测到危险行为。但是入侵检测只能分析数据记录对入侵做出判断并进行反馈，不能直接对其进行响应通过上述介绍，我们可以发现静态安全技术和动态安全技术各有其长处和不1 2山东大学硕士学位论文足，因此在实施网络安全策略的时候，应该结合网络的具体情况采取适当合理的安全措施，有必要时可以考虑将静态和动态两者结合起来互动运行。然而通过第二章对我校一卡通系统所作的网络安全分析，我们知道目前枣庄学院的一卡通网络是专网且基本没有与外网的连接，所以可以暂不考虑静态安全技术中的V L A N 技术与防火墙等技术，而应重点考虑动态安全技术中的入侵检测技术，尤其是基于主机的入侵检测技术。下面重点介绍入侵检测技术。3 2 入侵检测技术3 2 1 入侵检测概述在介绍入侵检测之前，我们先引出入侵的概念。入侵指的是破坏目标系统资源的完整性、机密性或可用性的一系列活动。这样入侵检测【3 l 可以简单定义为对(网络)系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性的行为。入侵检测对计算机和网络资源上的恶意使用行为进行识别和响应，它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动。入侵检测系统(I D S)是从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。I D S 所检测的入侵不包括物理入侵，而仅包括以电子方式从系统内部或者系统外部发起的，尝试或者实施对系统资源的非授权访问、操纵或破坏的行为。I D S 自动收集并分析审计数据，一旦发现入侵迹象，则采取适当措施(如报替，断开相应的连接等)，保护系统不被攻击。3 2 2 入侵检测系统的分类及原理1 入侵检测系统的分类对入侵检测系统的分类方法很多，表3，l 从不同的角度对其进行了分类。1 3山东大学硕士学位论文表3-1 入侵检测的分类分类的角度数据来源分析方法时效性分布性基于基于异常误用离线在线类型混合型集中式分布式主机网络检测检测分析分析2 入侵检测系统的原理入侵检测系统的原理【3 8 1 主要就是检测技术的原理，可以从以下两方面分析：(1)异常入侵检测原理异常检测指的是根据系统或用户的非正常行为和使用计算机资源的非正常情况检测出入侵行为。异常入侵检测假定所有入侵行为都与正常行为不同。如果建立目标系统(受监控系统)及其用户，那么理论上可以把所有与正常活动轮廓不同的系统状态视为可疑活动。对异常阀值与特征的选择是异常入侵检测的关键，预先定义固定的限制范围，如果考察的值超出了这个范围，那么就怀疑有入侵。(2)误用入侵检测原理误用入侵检测是指根据已知的入侵模式来检测入侵行为。误用检测假设所有入侵方法(及其变种)都能被精确表达为一种模式或特征，而所有已知的入侵行为都可以通过模式匹配来检测。误用入侵检测的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。(3)误用检测与异常检测的比较基于异常和基于误用两种不同的检测方法，横向比较一下其区别在于：异常检测系统试图发现一些未知的入侵行为；而误用检测系统则是标识一些己知的入侵行为。异常检测指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体的行为是否出现来检测；误用检测系统则大多是通过对一些具体的行为的判断和推理，从而检测出入侵。异常检测的主要缺陷在于误检率很高，尤其在用户数目众多或工作行为经常改变的环境中；而误用检测系统由于依据具体特征库进行判断，准确度要高很多。异常检测对具体系统的依赖性相对较小；而误用检测系统对具体的系统依赖性太强，移植性不好。1 4山东大学硕士学位论文3 2 3 基于主机的入侵检测系统当系统用于分析计算机(主机)产生的数据(例如应用程序及操作系统的事件日志)时，入侵检测就是基于主机的。与之相对的是基于网络的入侵检测，它用于处理来自网络上的数据(例如T C P I P 通信量)。尽管网络入侵检测应用得很广泛，但是主机入侵检测由于内部人员的威胁正变得越来越重要。因为目标数据源临近已通过验证的用户，所以基于主机的入侵检测对于检测内部人员的误用特别有效。主机事件日志包含的信息说明了已验证(或内部)用户访问特定文件及执行程序的情况。这种入侵检测也能提供很好的毁坏情况评估数据。如果保护得好的话，必要时事件日志可以在法庭上支持对计算机罪犯的起诉。1 基于主机的入侵检测结构基于主机的入侵检测系统【3 3 J 有两种结构：集中式结构和分布式结构。(1)集中式基于主机的入侵检测结构审计子系统命令控制台乜_审计数据目标机原始数据集中处理n7安全人员数据辨析丽收集器检测引擎岖 _ 叫丑叫固日志告警响应子系统图3-1 集中式基于主机的入侵检测结构如图3 1 所示，是集中式基于主机的入侵检测结构，所谓集中就是将多个目标机的审计数据集中在同个命令控制台的分析引擎中统一检测。图中演示了一个事件记录在该结构中的生命周期。根据集中式结构的特点，我们可以总结出它的优缺点：优点在于：对目标机的性能影响很小或没有影响，因为所有的分析都是在戳山东大学硕士学位论文控制台进行的，这就允许进行更复杂的检测。可以实现多主机联合检测，因为集中式引擎可以访问来自所有目标机的数据。如果集中的原始数据保护的好的话，必要时可以将这些数据用在起诉中。缺点在于：如果目标机的数量大或中央检测引擎速度慢的话，不能进行实时检测或实时响应。将大量原始数据集中起来会影响网络通信量。(