当前位置:首页 >> IT/计算机 >>

校园网双层入侵检测系统的设计和应用


文章编号:1006--9860(2009)11一0121一04

校园网双层入侵检测系统的 设计和应用
张德时,刘解放
(盐城工学院 现代教育技术中心.江苏盐城224051)

摘要:目前高校网络内部病毒猖獗,非法攻击不断,给师生们的工作学习带来了很大的不便,采用较多的安 全技术是入侵检测技术。该项技术在解决校园网安全问题方面非常重要,但传统入侵检测系统单独采用应用层 或核心层技术对数据包捕获,均存在缺陷。本文在分析比较Windows系统网络数据包捕获机制的基础上。提出 一种基于中间层驱动技术与SPI技术相结合的双层入侵检测系统设计方法,并对其关键技术进行了实现。实验 结果表明,该校园网双层入侵检测系统的设计方法是比较有效的,并在实际应用中取得了较好的性能。 关键词:入侵检测系统;校园网;中间层驱动;网络安全
中图分类号:G434 文献标识码:A

一、引言

是大量攻击的发源地,也是攻击者最容易攻破的目 标,当前校园网常见的安全问题如下【4】: (1)计算机系统的漏洞,对信息安全、系统的使 用、网络的运行构成严重的威胁: (2)用户安全意识淡薄,没有对接入网络的计算机 采取基本的保护措施,造成文档资源流失、泄密等: (3)计算机蠕虫、木马、病毒泛滥,影响用户的使 用、信息安全和网络的运行; (4)外来的系统入侵、攻击等恶意破坏行为,有些 已经被攻破的计算机,被用作黑客攻击的桥梁。其中 拒绝服务攻击目前越来越普遍.许多这样的攻击都 是针对重点高校的网站和服务器等: (5)内部用户的攻击行为,给校园网造成了不良 的影响.损害了学校网络的正常运行: (6)校园网内部用户对网络资源的滥用,有的校 园网用户利用免费的校园网资源提供商业的或者免 费的视频、软件资源下载,占用了大量的网络带宽.
影响了校园网的应用:

随着网络的普及和发展。高校均组建了自己的 校园网,通过校园网开展科研协作、网络远程教育、 网上各种应用业务等。但随着校园网规模的不断扩 大和黑客攻击手法的日益多样化.高校对自己的校 园网的网络安全的要求日益增强。校园网络面临的 安全问题越来越严重,仅仅依靠传统的防火墙技术 并不能保证校园网的安全.因为防火墙是一种被动 防御性的网络边界安全工具。对在网络内部所发生 的攻击行为无能为力。研究表明,80%的入侵来自于
系统内部【11。而IDS(Intrusion

System,入侵 检测系统)则是一种基于主动策略的网络安全系统。 因此,有必要研究校园网下的入侵检测方法。
Detection

然而,传统入侵检测系统12]一般是单纯地在用户 层或核心层对数据包进行监控,这样不可能监控整 个多层网络体系,很多非法入侵者就容易被漏检。用 户层的入侵检测系统只能在Winsock层之上进行. 而对于网络协议栈中底层协议的数据包无法处理 Death[31);而核心层的入侵检测系统有一 个弱点,就是编程接口复杂,而且编写出来的软件自 动化安装太困难,很容易造成整个网络瘫痪。因此,
(如Ping
to

(7)垃圾邮件、不良信息的传播,有的利用校园网 内无人管理的服务器作为中转.严重影响学校的网 络运行等等。 本文所构建的双层入侵检测系统可以通过各种 技术对校园网络系统进行实时监测.以发现来自系 统外的入侵者和系统内部的滥用者,为计算机系统 提供完整、可控、可信的主动保护。 2.入侵检测系统分类比较 (1)基于主机、网络和分布式的入侵检测系统 按照入侵检测的数据来源和系统结构来看.入 侵检测系统可以分为基于主机的IDS(HIDS)、基于

研究新的校园网入侵检测技术是有必要的。

二、问题分析
1.校园网的安全问题 网络安全从本质上讲就是网络上信息的安全. 除了网络系统和计算机系统等软硬件环境的安全之 外,最主要的是数据信息和内容的安全性。校园网既

万   方数据

网络的IDS(NIDS)禾11分布式IDS(DIDS),如表1所示。
裹1不同入侵检测系统之间的比较 系统类型
HIDS NIDS DIDS

层驱动程序对进出网络的封包进行检查.并根据匹

数据来源 主机系统El志 优点 缺点

网络数据流

主机系统日志 和网络数据包

配规则进行第一级检测.主要完成最基本的安全设 置,如传输层及以下层协议分析,IP地址、端口检测 等.网络恶劣状况下的断网操作,以及SPI无法完成 的操作如检测ICMP数据包等。被NDIS中间层驱 动程序放行的网络数据的检测由SPI实现。主要完 成针对应用程序和Web网址的第二级检测。其安全 模型如图1所示。


确定有无攻击、适 实时检测及响应、 适合高速网络. 合加密和交换环境 系统资源消耗少 效率高 系统资源消耗大、 本身也易受到攻击 实时性差 本身组件易受 攻击

(2)异常检测和误用检测的IDS 按照人侵检测系统所采用的技术来看。入侵检 测系统可以分为误用检测与异常检测两种,如表2
所示。
表2不同入侵检测技术之间的比较 技术类型 原理 优点 缺点 误用检测 异常检测

….± ……一 WINSOCK sPI技术检测i
入侵数据

。j?。二一?一生“。…i二…一
应用层
,,’

。一,……….……一二jj』jj二j。.熏一…j—j一■…~…。…, 核心层

I竺!!望墨竺挈里!竺掣l


把现有的活动与已知的 把现有的活动与“正常”的统计 入侵特征匹配 数据进行比较 准确性高 无法检测未知入侵 可检测未知攻击 “正常”数据难以获取



入侵数据
…+



一。一…。…~一—▲~一一

图1系统模型

2.工作原理

3.数据包捕获技术比较 网络数据包的捕获技术是实现各种网络安全系 统的基础。也是实现本系统的关键技术。在Windows 平台下,捕获数据包可以在应用层和核心层实现,如 表3所示。

本系统采用基于规则与特征的入侵检测模型. 通过对接收到的原始的数据包的分析,根据攻击的 行为特征建立模型。当接收到的数据包首先通过中 间层驱动程序分析满足某种特征的攻击行为.就直 接将数据包丢弃,并向用户发送警告,如果不满足, 则送到应用层.由SPI实现再次分析,如果满足某 种特征的攻击行为.将数据包丢弃。并向用户发送警
告,如果不满足。交给用户。工作流程如图2所示。
应用程序




技术类耋、、\
windows2000 包过滤接口

特点

优点

缺点

Winsock动态链 应 接库替换 用 层 Winsock SPI

针对性强.控制粒度细

对网络协议栈底层协 议的数据包无法处理

l攻击特征设置{


针对性强,控制粒度细, 而且能完成Qos控制。 同上

扩展TC朋P协议栈,
URL过滤等

WINSOCK
SPI

URL的处理 邮件的处理

一 (,——r~

匹配攻矗 特在 E

缓冲区 、~


TDI过滤 驱动程序 核 Win2k Filter-- 心 Hook Driver 层 NDIS中间层 驱动程序

可捕获应用程序的所有 无法得到有TcpIP.sys 接收并直接处理的数 数据及进程的详细信息 据包信息 实现简单 可截获较为底层的封 包.并具有重封包、加 密、网络地址转换、过 滤、认证等操作 对Ipfih-dry.sys的依 赖性强.功能单一 针对性差,控制粒度 粗.不能灵活控制具体 应用层程序及制定相 应的策略




丢弃


一一一

用户态

f上层驱动程序

内核态

三、双层入侵检测系统设计 由上述表1、2、3的比较分析可知,传统入侵检 测系统单独采用应用层或核心层技术对数据包捕获 均存在缺陷.因此可以用两种模式结合的方法来避 免各自的缺点,同时发挥各自的优点。 1.设计思想 采用NDIS中间层驱动技术与WINSOCK
物理介质 图2工作流程 SPI

3.系统结构

技术相结合的方案,采用以下基本策略:NDIS中间

本人侵检测系统分为三个模块,结构如图3所示。

万   方数据

兰堕鳖:塑墅!!!塑:璺竺2塑翌..一.____’.一.........。.......二.__-:______:二:..二.二--二_____.兰.____.一』:.
界面模块 (IDS.EXE)
APPEDS Io CoNTRoL

网络应用 程序

间阈值和数据包的个数,都可以由Win32应用程序 设定再传递到驱动程序。设定2个读包策略如下: …1当缓冲区中存有的数据包数目达到所设定的 最小数据包个数时.采用事件通知机制通知Win32 应用程序将数据包全部读取上去。 (2)超过时间阈值并且缓冲区中有数据包时, Win32应用程序自动读取数据包。通过以上策略很 好地解决了数据包的读取问题.同时采用多包读取 策略,减少了上下文切换的时间,使系统具有较好的 效率。 2.数据包解析 在数据包解析的过程中,为提高驱动程序的效 率,要尽早丢弃非目标数据包。对于每一个数据包, 算法如下:(1)检查是否是IP协议数据包,不是则丢 弃此包;(2)进一步检查是否是TCP数据包,不是则 丢弃此包;(3)3再检查端口号是否是应用程序所设置 的端口号,不是则丢弃此包;(4)根据相应的协议,跳 转到文本的起始处,由KMP算法来循环匹配关键 词,若匹配成功则立即返回(后面的关键词不用再匹 配),丢弃此包,并构造ACK包发送给对方以欺骗对 方,然后将此包放入缓冲区:若匹配不成功则放行此 包。 五、实验及结果分析 实验的目的是将单独的用户态入侵检测、单独 的内核态入侵检测和本文的入侵检测进行对比。数 据来源于GIAC(全球信息安全认证.http://www.gi— ac.org),选取了20个正常数据集,20个异常数据集, 然后分别对这三种入侵检测系统进行测试。每种测 试均进行20次正常访问和20次攻击访问。第1次 采用用户态入侵检测,第2次采用内核态人侵检测, 第3次采用本文设计的入侵检测.模拟系统的入侵 检测结果如图4所示。
t】Misreporting。Omitted
6 5

应用层包捕模块
fAPPIDS.DLL)

DIⅣICE Io CoNTRoL



NDIS

IMD

核心层包捕获模块(KERIDS.SYS)

图3入侵检测系统结构

(1)核心层包捕获模块:它位于核心层的驱动程 序,根据定义的模式匹配规则进行操作.同时将产生 的Et志信息发送上层模块。本模块处于操作系统核
心。采用DDKts]开发。

(2)应用层包捕获模块:它处于应用层的动态链 接库,位于SPI。拦截所有基于WINSOCK的网络通 讯,根据定义的模式匹配规则进行操作,同时产生日 志信息发送上层模块。本模块采用VC6.0开发。 (3)用户界面模块:它是一个普通的应用程序,提 供用户接口。用户在此设置模式匹配规则:收集并保 存前两个模块产生的日志信息:向用户提供日志查
询功能。

网络应用程序的数据都要经过下两层的处理. IDS.EXE负责模式匹配规则设置,日志的读取,而 具体的匹配规则的实施以及安全功能的实现和日志
的生成在APPIDS.DLL和KER.IDS.SYS中。

四、关键技术 1.环形缓冲区设计 在环形缓冲区结构体设计中,有几个重要的变 量:(1)读序号和写序号:用来确定当前缓冲区中数据 包的数目;(2)读指针和写指针:用来确定需要拷贝到 Win32应用程序的缓冲区,包含多个数据包;(3)数据 包长度数组:存储每一个数据包的长度,使Win32 应用程序正确解析每一个数据包。 缓冲区是共享资源.通过事件等待机制来进行 读写,也就是向缓冲区读包和写包不能同时进行。根 据以太网的MTU(Maximum Transmission Unit。最 大传输单元)为1514B.Windows页面大小为4KB. 设定每个数据包的大小为2KB,环形缓冲区设计存 储100个包,申请的内存空间为200KB。在具体操作 环形缓冲区时.读写序号通过模存储包个数100来 记数,读写指针则是模整个缓冲区大小来记数,以实 现循环。在到达缓冲区边界(末尾)时,需要分段读或 写,也就是当前缓冲区末尾不够读写下整个数据包 的内容,需要将剩余的部分从缓冲区的头部读或写。 设置一个时间阈值(1秒)和需要读取的最小的 数据包个数(25个,为设计的总包数的1/4),对于时








卟 印啪屹 n.q






1 2



TestNO.

图4模拟系统的入侵检测结果

从测试结果看,第1、2次测试,漏报或误报数较 高;而第3次采用的本文设计模型的测试,漏报和误 报数都较低。 实验结果初步表明,大多数入侵检测系统采用

万   方数据

单一的检测策略可能会造成严重的漏报或误报,而 采用本文提出的双层检测策略,综合了各层的长处, 这样可以降低漏报率和误报率。 六、校园网双层入侵检测系统的应用 人侵检测系统通常被认为是防火墙之后的第二 道安全闸门。部署于防火墙之后。对网络活动进行实 时检测.是防火墙的延续和合理补充。在校园网络中 部署入侵检测系统,能够从计算机网络系统中的若 干关键点收集信息,并分析这些信息,查看校园网络 中是否有违反安全策略的行为和遭到袭击的迹象, 有效防御各种攻击。控制网络资源滥用。利用该系统 的日志.还可以部分分析出用户的上网行为,从而提 供对校园网内部攻击、外部攻击和误操作的处理,实 现对校园网信息的实时保护。 通常情况下校园网络被划分为多个不同子网. 每个子网有一个用于上联的交换机,各个子网汇总 到网络中心连接到高性能服务器群,高性能服务器 群放置在防火墙的DMZ区(Demilitarized Zone,非 军事区),保证内外网的安全访问。由于防护安全需 求的重点是校园网的中心服务器群和网络骨干区 域。为了安全起见,可将入侵检测探测器放置在校园 网关键子网的上联交换机和核心交换机上,如图5
所示。

攻击和误操作进行实时保护,在网络系统受到危害 之前拦截和响应入侵,从而实现入侵检测的功能。 七、结束语
防火墙技术在一定程度上改善了校园网络安全

问题,但仍然存在并且伴随一些新生的安全问题,校 园网双层入侵检测系统对校园网络安全起到增强和 补充的作用,随着入侵检测技术的发展,可以将诸如 数据发掘、专家系统和神经网络技术融人人侵探测 技术中。从而建立先进的人侵探测算法的数学模型, 并且将围绕Intemet本身、网络安全和通讯协议之 间.把无序的数据演变成有序的数据,将由人控制的 网络安全软件演变成计算机自我学习的系统,以适 应校园网的高速和高性能.更加有效地解决校园网 络的安全问题。
参考文献:
[1】谢小红.校园网下的入侵监测方法Ⅱ】.江汉石油学院学报,2003,25 (6):173—174.

【2】蒋建春,马恒太.网络安全入侵检测研究综述U】.软件学报,2000,11
(11):1460—1466. 【3】张振国,张楠.基于ICMP的网络攻击与防范Ⅱ】.微计算机信息, 2005,21(7):77—79. 【4】Zhou Qiu—xia,Liang Qi—wen.Design and implementation of
campus network
Institute intrusion

detection

systemⅡ】Joumal of Chongqing

of

technology,2007,21(12):122—125.

【5】微软公司.Windows 2000驱动程序开发大全第1卷设计指南口川.
北京:机械工业出版社.2001.

口收稿日期:2009年8月20日
责任编辑:马小强

图5校园网双层入侵检测系统的部署方式

这样系统通过检测和防护校园网络系统中重要 区域和服务器群的安全运行,既能够有效防御来自 外部的威胁对校园网重要网络区域和服务器群造成 的安全损失,提高校园网络的整体抗攻击能力,又能 够有效控制校园网络资源的滥用情况,阻止用户因 使用各种即时通讯软件、P2P下载、网络在线游戏以 及在线视频而影响网络的正常运行,并通过净化网
络流量。实现网络加速的目的,通过对校园内部网络

万   方数据

校园网双层入侵检测系统的设计和应用
作者: 作者单位: 刊名: 英文刊名: 年,卷(期): 张德时, 刘解放 盐城工学院,现代教育技术中心,江苏,盐城,224051 中国电化教育 CHINA EDUCATIONAL TECHNOLOGY 2009(11)

参考文献(5条) 1.谢小红 校园网下的入侵监测方法[期刊论文]-江汉石油学院学报 2003(06) 2.微软公司 Windows 2000驱动程序开发大全第1卷设计指南 2001 3.Zhou Qiu-xia;Liang Qi-wen Design and implementation of campus network intrusion detection system [期刊论文]-Journal of Chongqing Institute of technology 2007(12) 4.张振国;张楠 基于ICMP的网络攻击与防范[期刊论文]-微计算机信息 2005(07) 5.蒋建春;马恒太 网络安全入侵检测研究综述[期刊论文]-软件学报 2000(11)

本文链接:http://d.g.wanfangdata.com.cn/Periodical_zgdhjy200911029.aspx


相关文章:
基于Snort校园网入侵检测系统研究与应用
基于Snort 校园网入侵检测系统研究与应用 【摘要】本文分析了 Snort 的系统结构,校园网环境下的部署过程,通过规 则设置检测访问敏感站点及阻止跨站攻击,并对 Snort ...
数字化校园网中Snort入侵检测系统的设计与实现.doc
数字化校园网中Snort入侵检测系统的设计与实现.doc_专业资料。龙源期刊网 http:...安全方面的威胁,因此,将入侵检测技术应用校园网,将成为了保护校园网的一道...
基于数据挖掘的入侵检测系统在校园网的应用
基于数据挖掘的入侵检测系统校园网的应用_信息通信_工程科技_专业资料。龙源期刊网 http://www.qikan.com.cn 基于数据挖掘的入侵检测系统校园网的应 用 ...
浅析入侵检测技术在校园网中的应用及实现
检测技术在校园网应用及实现 作者:谢玲莉 来源:《计算机光盘软件与应用》2012 年第 20 期 摘要:入侵检测是一种通过某种方法完成网络系统中入侵行为检测和报告...
入侵检测系统及其在构建校园网安全防护体系中的应用
课程名称: 入侵检测技术 课程题目:入侵检测系统及其在构建校园网安全防护体系中的应用 学院名称: 信息工程学院 专业: 网络工程 班级: 110462 学号: 11046229 姓名:...
高校校园网入侵检测分析与应用
关键词:校园网 ;信息安全 ;入侵检测 0 引言 随着国内高校信息化进程的不断发展,国内高校校园网上运行的应用系统不断增加,校园 的信息系统变得复杂并且庞大,甚至...
基于snort入侵检测系统的研究--毕业设计
基于snort入侵检测系统的研究--毕业设计_计算机软件及应用_IT/计算机_专业资料。...构建基于Snort的入侵检测... 21页 2下载券 邱雨校园网安全防御系统... 51页...
校园网设计规划
标准设计并施工 2.经济性和实用性 完全出需求出发, 设计既能满足目前的应用...以上校园网网络 安全体系应用以下安全技术来实现: 1 配置防火墙和入侵检测系统 ...
22入侵检测系统的设计考虑
第14 周第 1-2 课时 2006 年 11 月 28 日 课题名称:入侵检测系统的设计考虑 课的类型:授新课 教学目标:分析入侵检测系统的设计考虑方方面面问题 教学重点:分...
入侵检测系统的技术发展及应用前景
入侵检测系统的技术发展及应用前景_信息通信_工程...1990 年,UCD 设计 的网络安全监视器标志着入侵检测...由于 90 年代因特的发展及通信和网络带 宽的...
更多相关标签: