校园网双层入侵检测系统的设计和应用.pdfVIP

文章编号：1006--9860(2009)11一0121一04 校园网双层入侵检测系统的 设计和应用 张德时，刘解放 (盐城工学院 现代教育技术中心．江苏盐城224051) 摘要：目前高校网络内部病毒猖獗，非法攻击不断，给师生们的工作学习带来了很大的不便，采用较多的安 全技术是入侵检测技术。该项技术在解决校园网安全问题方面非常重要，但传统入侵检测系统单独采用应用层 或核心层技术对数据包捕获，均存在缺陷。本文在分析比较Windows系统网络数据包捕获机制的基础上。提出 一种基于中间层驱动技术与SPI技术相结合的双层入侵检测系统设计方法，并对其关键技术进行了实现。实验 结果表明，该校园网双层入侵检测系统的设计方法是比较有效的，并在实际应用中取得了较好的性能。 关键词：入侵检测系统；校园网；中间层驱动；网络安全 中图分类号：G434 文献标识码：A 是大量攻击的发源地，也是攻击者最容易攻破的目 一、引言 标，当前校园网常见的安全问题如下【4】： 随着网络的普及和发展。高校均组建了自己的 (1)计算机系统的漏洞，对信息安全、系统的使 校园网，通过校园网开展科研协作、网络远程教育、 用、网络的运行构成严重的威胁： 网上各种应用业务等。但随着校园网规模的不断扩 (2)用户安全意识淡薄，没有对接入网络的计算机 大和黑客攻击手法的日益多样化．高校对自己的校 采取基本的保护措施，造成文档资源流失、泄密等： 园网的网络安全的要求日益增强。校园网络面临的 (3)计算机蠕虫、木马、病毒泛滥，影响用户的使 安全问题越来越严重，仅仅依靠传统的防火墙技术 用、信息安全和网络的运行； 并不能保证校园网的安全．因为防火墙是一种被动 (4)外来的系统入侵、攻击等恶意破坏行为，有些 防御性的网络边界安全工具。对在网络内部所发生 已经被攻破的计算机，被用作黑客攻击的桥梁。其中 的攻击行为无能为力。研究表明，80％的入侵来自于 拒绝服务攻击目前越来越普遍．许多这样的攻击都 Detection 系统内部【11。而IDS(Intrusion 是针对重点高校的网站和服务器等： System，入侵 检测系统)则是一种基于主动策略的网络安全系统。 (5)内部用户的攻击行为，给校园网造成了不良 因此，有必要研究校园网下的入侵检测方法。 的影响．损害了学校网络的正常运行： 然而，传统入侵检测系统12]一般是单纯地在用户 (6)校园网内部用户对网络资源的滥用，有的校 层或核心层对数据包进行监控，这样不可能监控整 园网用户利用免费的校园网资源提供商业的或者免 个多层网络体系，很多非法入侵者就容易被漏检。用 费的视频、软件资源下载，占用了大量的网络带宽． 户层的入侵检测系统只能在Winsock层之上进行．影响了校园网的应用： 而对于网络协议栈中底层协议的数据包无法处理 (7)垃圾邮件、不良信息的传播，有的利用校园网 toDeath[31)；而核心层的入侵检测系统有一内无人管理的服务器作为中转．严重影响学校的网 (如Ping 个弱点，就是编程接口复杂，而且编写出来的软件自 络运行等等。 动化安装太困难，很容易造成整个网络瘫痪。因此， 本文所构建的双层入侵检测系统可以通过各种 研究新的校园网入侵检测技术是有必要的。 技术对校园网络系统进行实时监测．以发现来自系