入侵检测系统与网络教学平台互动的研究.docx

《入侵检测系统与网络教学平台互动的研究.docx》由会员分享，可在线阅读，更多相关《入侵检测系统与网络教学平台互动的研究.docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、入侵检测系统与网络教学平台互动的研究 摘要目前网络平安问题越来越严峻，入侵检测系统已经被广泛的运用，同时，依托网络环境，网络教学平台应运而生。本文针对学校的特别应用，探讨并实现了入侵检测系统与网络教学平台的互动，一方面，利用入侵检测系统检测网络教学平台访问者的攻击及漏洞，维护网络教学平台的正常运行；另一方面，通过将攻击信息、系统漏洞、补救修复方法等对网络教学平台访问者的反馈，增进其网络平安学问及意识，充分发挥教化功能。关键词网络教学；入侵检测系统；网络平安1引言网络教学平台作为一种新兴的教学与学习互动的教化工具目前在各大专院校得到了普遍的应用，大量的学生通过访问网络教学平台进行自学或是协助学习

2、。但是，网络教学平台的运用者经常会发觉网络连接速度太慢，影响学习和教学，经过调查发觉，部分问题源于网络平安，进一步验证了网络平安问题的无处不在。而在目前网络平安热的背后，很多人对网络平安的相识还处于初级阶段，并不成熟。因此，作为教化工作者，依托网络教学平台，我们实现了网络入侵检测系统与其互动，在保证网络教学平台自身平安的基础上，供应给运用者网络平安的解决方案，唤醒运用者对网络平安的重视。2全新的平安机制无论是在个人平台、传统主从构架，或多层次构架，Internet平台等，防毒软件及防火墙都扮演了重要的角色，尽管如此，探讨仍旧发觉网络学习者往往个人运用电脑网络警觉性不足，并且不具备相关电脑学问，

3、还是会饱受网络病毒或黑客入侵的危机，有些学习者甚至不知道自己的机器已经被黑客入侵或感染了网络病毒，进而接着感染给网络学习平台或其他运用者的电脑上，进而导致教学平台无法正常运作。纵观目前的网络教学平台，系统管理者所处理的方式都是利用防火墙及防毒软件杜绝网络的危害，属于被动的预防或是治疗。而我们的探讨认为网络教学平台除了供应网络教学的服务之外，应有义务主动的告知运用者在学习时的网络状况并告知处理方法。因此建立教学平台的网络平安告知的机制是必要的，这样，我们变以往被动的平安机制为主动防卫和治疗的平安机制，让运用者了解电脑目前的状况，解决平安问题，并从根本上唤起运用者的警觉心，加强网络平安意识。进而，

4、从本质上有效的截断病毒传播，维护网络平安。3网络教学平台的探讨我国的教化问题正处于一个关键发展阶段，随着高等教化改革的实施和深化发展，接受高等教化的人数快速增长，怎样供应更多的机会，普及高等教化也就燃眉之急。为了解决这一问题，教化工作者尝试利用互联网通过网络进行教化，逐步实现远程教化的普及。而能够供应这些服务的，只能是搭建网络教学平台。通常，网络教学平台都根据Browser/Server模式，一般将传统的两层体系结构扩展成阅读器WEB服务器+应用服务器数据库服务器三层体系结构，因为这种模式采纳多种标准的协议和技术，适合于任何硬件平台和软件环境。常见的基于Windows的网络教学平台，采纳JSP

5、与SQLServer2000数据库相结合，其体系结构如图1所示。图1网络教学平台的体系结构网络教学平台一般由老师教学系统、学生学习系统和教学管理系统三大模块组成，这些模块之间相互联系，相互协作，构成一个完整的网络教学系统。系统功能框图如图2所示。由于我们安排在真实的网络教学平台中搭建入侵检测系统，选择了学校自己建设的网络教学平台，即西安邮电学院网络教学平台。它是为老师课堂面授课程服务的网络协助教学的支撑平台，该系统支持老师与学生进行网上互动式教学活动，它能向学生供应网络协助学习支持功能，如选课与登录相应的课程、阅读相应的课程辅导材料、网上提问、在线测试、探讨式学习等等；它能向老师供应网上教学支

6、持功能，如发布选课程信息、布置作业、制作课件、网上答疑、在线测试、探讨式学习、并永久保留各项网上学习痕迹和各项统计消息等等从而拓展教学空间，扩大师生视野。可见，我校的网络教学平台是一个典型的网络教学平台，具有很好的实践价值。BRclear=all图2系统功能框图同时，为完成在网络教学平台中搭建入侵检测系统的工作，我们对西安邮电学院网络教学平台的特点进行了分析和探讨：全部的操作都在Web页面，简洁易懂，客户端不用运用特别的插件。为各种形式的教学资料供应了沟通平台，使老师和学生能够相互沟通和共享教学资料。交互工具强大，老师可以开拓闲聊室，探讨组，利用邮件，备忘录来沟通。具有个人备忘录，博客等全面的

7、功能。4入侵检测系统的探讨本文的入侵监测系统选用东软的NetEyeIDS系统。它是东软开发的具有自主版权的网络入侵监测系统。采纳先进的基于网络数据流实时智能分析技术推断来自网络内部和外部的入侵企图，进行报警，响应和防范。作为防火墙之后的其次道平安闸门，协作防火墙系统运用，全面保障网络的平安，组成完整的网络平安解决方案。整个系统采纳客户/服务器结构，由检测引擎和管理主机组成。主要功能模块有：网络攻击与入侵检测功能；多种通信协议内容复原功能；应用审计和网络审计功能；图表显示网络信息功能；报表功能；实时网络监考功能；网络扫描器；数据备份复原功能；其它协助管理工具。实践探讨得出东软NetEye入侵检测

8、系统的技术优势包括：以“网络平安问题是一个完整的过程，而不是一个孤立的事务”为核心设计思想。有效监控网络全过程，整体保障网络平安和健康。强大的攻击检测实力和优越的性能，是功能强大的入侵检测产品。NetEye入侵检测系统独有的网络内容复原、应用审计、网络审计等功能，是完整的网络行为录像机。NetEye入侵检测系统独有的网络实时监控和诊断功能，是全面的网络故障分析器。NetEye入侵检测系统独有的网络主动扫描功能，综合主动发觉和被动分析功能。是敏捷的网络平安探测仪。综上所述，NetEye入侵检测系统是一个具有易用性、易维护性、高可用性、易部署性等特色的网络平安产品，而且整体拥有成本最低。5互动探讨

9、及设计首先明确我们设计所针对的对象：网络教学平台：西安邮电学院网络教学平台平台环境：Linux服务器工作模式：B/S模式入侵检测系统原型：NetEyeIDS系统平台环境：Linux服务器工作模式：日志记录和报警模式最终的设计目标是：实现在原有的网络教学平台中搭建入侵检测系统，支持对用户和系统的运行状况分析，查找非法用户和合法用户的越权操作，检测系统配置的正确性和平安漏洞，提示管理员和用户修补漏洞，对用户的非正常活动进行统计分析，发觉攻击行为的特征，实时检测到攻击行为并且进行响应等功能。整个互动的构架是基于CIDF模型框架模型，该模型定义：一个完整的入侵检测系统分为以下组件：事务产生器、事务分析

10、器、响应单元和事务数据库。这四部分的功能如下：事务产生器：目的是从整个计算环境中获得事务，并向系统的其他部分供应此事务。事务分析器：分析得到的数据，并产生分析结果。响应单元：对分析结果做出反应的功能单元，可以切断连接、变更文件属性等，也可以只是简洁的报告。事务数据库：是存放各种中间和最终数据的地方的统称，可以是困难的数据库，也可以是简洁的文本文件。其中，IDS须要分析的数据统称为事务，它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。在这个模型中，前三者以程序的形式出现，而最终一个则往往是文件或数据流的形式。为了适应困难的网络环境，提高现有的网络入侵检测系统扩展性、高牢靠性、高劲

11、型、精确性，参考CIDF模型，结合当今的入侵检测技术(模式匹配、统计模型、状态检测、协议分析)的须要，并最终协作网络教学平台运用，达到互动的目的，我们采纳了以下的框架。BRclear=all图4改进后的系统框架针对各功能模块的设计如下：1）数据预处理模块该模块完成将网络中采集的数据报文根据各层协议逐一进行分别，将数据报文转换成程序可以识别的数据结构。采纳东软IDS的模块设计，将该模块主要分为5大部分：链路层协议分解(PPP.FDDI等)；网络层协议分解(IP协议、IPX协议、ARP协议等)；传输层协议分解(TCP协议、UDP协议、ICMP协议等)；IP分片重组；TCP流重组。通过该模块的处理，

12、原始数据报文根据协议分层信息转化成程序可识别的数据结构。该结构中包含有各个协议层次的信息，以及其他一些检测所需的数据。2）入侵检测规则库入侵检测规则库是入侵检测系统的支撑，该库主要根据一种系统可识别的语言描述了全部已知的攻击模型信息和适用的检测方法。这里我们同样继承NetEyeIDS系统的规则库模块及规则格式的定义，因为这种规则格式，可以适应目前匹配技术在入侵检测系统的应用，包括检测各种类型的攻击，检测到攻击后实行什么样的措施等，并且有很好的扩展性。而且NetEyeIDS入侵检测规则库中会不断的更新升级，几乎包含了针对目前出现的几乎全部的入侵的规则表述。另外，针对详细攻击的特征和实质，该规则库

13、中还有一些附加信息描述，便利了解每一种攻击的来龙去脉，即该条规则属于何种类型的攻击、针对哪一类操作系统的什么漏洞，以及该漏洞的发觉时间、补丁信息等。为我们实现对网络平台用户的报警及供应相应的支持信息，帮助其尽快完善和修复系统供应了可能。3）状态检测模块状态检测技术的基本思想是通过在IDS主机上维护着一个状态表，实现状态检测的核心就在于这个状态表的建立和维护。在TCP/IP协议族中，IP所承载的TCP通信是面对连接的，ICMP和UDP都是无连接的，由于TCP通信包含有丰富的状态以及状态转换机制。状态检测首先要考虑的，就是TCP通信的检测方法，该模块在NetEyeIDS系统中没有供应给我们的，所以

14、就须要我们进行设计，这里，我们设计该模块的内容包括：TCP，UDP，ICMP通信的状态确定与提取；IDS必需维护着一张状态表，状态表里存储着TCP，UDP，ICMP通信的状态；为保证查表的精确与高效，该表应当是一个内核态的散列(HASH)表；IDS接收的数据包将首先与状态表相匹配；该状态表能够严格发觉不符合状态转换机制的攻击，并能够结合统计方法对扫描攻击和恶意拒绝服务攻击进行检测。4）协议分析模块这里的协议分析模块主要指的是应用层协议分析。同样是原本系统所不支持的，因为原有IDS系统只是对应用层以下的协议进行了分析。我们设计该协议分析模块包含各个针对详细协议处理的子模块，即FTP协议处理摸块、

15、TELNET协议处理模块、HTTP协议处理模块、SMTP协议处理模块、POPS协议处理模块共5个子模块。分别对应网络教学平台上的应用，如：FTP上传下载课程资源，TELNET登陆平台，通过WEB页面运用平台以及平台的邮件服务。因为，TELNET，SMTP，POP3等协议是面对字符的协议，所以，对于从数据采集和数据预处理模块传送来的单个协议报文，须要协议分折模块来进行缓存处理，根据协议规定的吩咐结束方式(以回车符表示结束)，把连续的几个协议包组织成一个可识别的完整吩咐，在组包的过程中，要对详细客户端协议包中的一些特别键入字符进行相应处理，包括协议本身吩咐符、空格、回退等。5）异样统计模块不同于一

16、般的攻击方式，黑客们经常还运用暴力手段或同时限制多台机器发动恶意攻击、对于这类攻击，会在短时间内产生大量的攻击报文，假如仍旧采纳单包检测的模式匹配技术，会产生大量的重复告警信息，影响系统的检测效率和性能。因此，对于这类攻击，我们设计了异样统计模块来进行检测口。该模块主要采纳了统计方法，通过对这一类攻击进行建模，设置极限阀植等方法，将检测数据与己有的正常行为比较，假如超出极限值，就认为是入侵行为。简洁描述如何运用异样统计模块检测网络入侵。黑客入侵任何系统之前，必需要做的打算工作之一就是通过扫描和探测获得目标主机的信息，包括操作系统的信息(类型、版本)，开放了哪些端口和服务等。通常黑客运用的工具如

17、：PingScan，PortScan，等。运用这些工具对主机进行扫描和探测时，采纳统计模型，定义的通常的特征是：在单位时间内，对同一台目标主机的n个端口发送异样数据包或者在单位时间内，对n个主机的相同端口发送异样数据包。因此，在这样的统计模型下，关键在于如何确定n的值，才能精确的捕获到入侵，而又不会对系统造成危害。6）模式匹配模块模式匹配模块是入侵检测系统的主要环节。随着黑客攻击手段的飞速增长，针对模式匹配的攻击特征规则越来越多，这就对模式匹配模块的匹配速度提出了较高的要求。7）入侵响应模块不管是状态检测模块、协议分析模块还是模式匹配模块，一旦发觉入侵行为，入侵检测系统马上调用入侵响应模块进行

18、实时响应。这时入侵响应模块会依据系统初始配置入侵行为的响应设置来进行相应的措施。针对我们为网络教学平台的特别设计，这里响应模块依据不同的响应设置有划分为8个子模块，发觉攻击、防火墙联动、堵塞攻击、Email通知、Snmp通知警铃通知、消息通知、短消息通知、文件通知。Email通知是发觉攻击后，发送Email给管理员和能够定位的系统进行通知；Snmp通知是发觉攻击后，调用Snmp代理进行通知，以及运用网络教学平台系统消息和短信等方式通知。在传统的单纯隔断入侵行为的基础上，强调了对用户供应平安防卫等协助信息，加强用户的平安意识，从源头上阻断网络上的入侵行为。8）日志记录模块网络入侵检测系统的日志记

19、录分为两种：攻击日志记录和操作日志记录。攻击日志记录在入侵事务发生后，供应给网络管理者必要的信息。操作日志记录用于记录网络入侵检测系统本身的状态和限制，包括启动、停止、负载运行等状态和限制信息。日志供应一套全面的、独立于操作系统本身的、可查询的日志记录，可用于事后对入侵行为的审计和追踪。当各种入侵检测模块(包括状态检测、协议分析、异样统计和模式匹配模块)发觉入侵后，先调用响应模块对该入侵进行刚好的处理，然后由响应模块干脆调用攻击日志记录模块进行攻击日志记录，否则，不进行调用；当代理模块对网络入侵检测系统进行限制时，由代理模块干脆调用操作日志记录模块进行日志记录。攻击日志记录模块是用来记录入侵检

20、测系统检测到的入侵行为的必要信息。6互动的实现先给出系统实现的网络结构图。图5表示了该网络入侵检测系统的网络结构。出于平安的考虑，探讨初期，没有采纳干脆在网络教学平台服务器上搭建系统的方式。但选取同样的操作系统平台，尽可能的保证日后移植的可用性。（1）安装与配置NetEyeIDS：见操作手册。（2）NetEyeIDS规则库的下载和更新。此外，在实际应用过程中，系统管理员可以自己设定，使NetEyeIDS自动的下载更新规则库，保持IDS系统具有最新的防卫实力。图5系统实现的网络结构图后期对前面设计中提到的各个模块进行完全实现，下面一一说明。（1）数据预处理模块：运用NetEyeIDS原始模块。（

21、2）入侵检测规则库：运用NetEyeIDS原始模块。（3）状态检测模块：主要针对底层协议的攻击检测，这类攻击数量相对较少，改变慢，大部分可以通过在防火墙中进行设置实现。目前采纳有限状态机的原理编程实现。（4）协议分析模块：由于目前网络教学平台的用户基本上都只能通过web方式运用，故运用协议仅仅为HTTP协议，该协议攻击的检测运用规则匹配就可以达到很好的效果，采纳基于内容分析和协议解析的方法实现。（5）异样统计模块：该模块目前实现了在NetEyeIDS检测中个别环节添加了阈值进行重复报警限制的功能。（6）模式匹配模块：运用NetEyeIDS原始模块。（7）入侵响应模块：这里在运用NetEyeID

22、S原始报警模块的基础上，添加了邮件报警及系统消息报警两部分功能，分别对用户和管理员进行报警。（8）日志记录模块：运用NetEyeIDS原始模块。结论利用NetEyeIDS在网络教学平台中实现与入侵检测系统的互动，不仅附加成本问题，而且对系统的负载也轻，实际中导入教学平台进行测试，可以提高系统的稳定性及牢靠性，是每个学习者享有更平安、更良好的教学平台。另外系统的高移植性，适合于任何操作系统构成的教学平台。在入侵检测技术发展的同时，入侵技术也在更新，一些地下组织己经将如何绕过IDS或攻击IDS系统作为探讨重点。高速网络，尤其是交换技术的发展以及通过加密信道的数据通信，使得通过共享网段侦听的网络数据采集方法显得不足，而大量的通信量对数据分析也提出了新的要求。随着信息系统对一个国家的社会生产与国民经济的影响越来越重要，信息战已逐步被各个国家重视，信息战中的主要攻击“武器”之一就是网络的入侵技术，信息战的防卫主要包括“爱护”、“检测”与“响应”，入侵检测则是其中“检测”与“响应”环节不行缺少的部分。