入侵檢測技術(shù)的校園網(wǎng)絡(luò)安全模型研究論文

　　0引言

　　隨著高等教育的發(fā)展，大學(xué)重組合并，組建綜合性大學(xué)，推動著高等教育的發(fā)展。由于這些大學(xué)是多個學(xué)校合并而成，因此擁有多個校區(qū)，再加上校區(qū)的范圍大，溝通聯(lián)系非常不便�；�于此，校園網(wǎng)絡(luò)作為溝通傳播、教育教學(xué)的手段被廣泛應(yīng)用于各大高校。但由于校園網(wǎng)的技術(shù)水平不高、設(shè)備落后，然而入侵技術(shù)不斷升級，駭客入侵防不勝防，校園網(wǎng)絡(luò)的安全問題日益嚴(yán)重。構(gòu)建能夠抵御入侵技術(shù)的校園網(wǎng)安全防御模型有著重要的現(xiàn)實意義。

　　1校園網(wǎng)絡(luò)安全模型建設(shè)背景

　　1.1校園網(wǎng)絡(luò)安全問題日益突出

　　當(dāng)前校園網(wǎng)絡(luò)的安全問題日益突出，主要有以下幾方面：網(wǎng)絡(luò)安全投入不足。許多學(xué)校將建設(shè)資金投入到教學(xué)設(shè)備的購置和其他方面，對網(wǎng)絡(luò)安全方面的投入比較少，尤其是沒有配置高端的安全設(shè)備，僅僅靠安裝防御軟件是不夠的。網(wǎng)絡(luò)管理混亂。學(xué)校的校區(qū)多，在學(xué)校各個校區(qū)均是各個自己進(jìn)行網(wǎng)絡(luò)管理，沒有進(jìn)行全校的統(tǒng)一管理和監(jiān)控，上網(wǎng)用戶能使用不同的身份進(jìn)入校園網(wǎng)，使網(wǎng)絡(luò)安全隱患極大。電子郵件管理不善。駭客入侵的重要手段就是通過電子郵件進(jìn)行肉雞、病毒的傳播，用戶通過下載、瀏覽電子郵件就會將攜帶的病毒、肉雞植入電腦，駭客就能夠進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)入侵。但現(xiàn)在校園網(wǎng)郵件系統(tǒng)并沒有進(jìn)行系統(tǒng)的防護，對電子信件的過濾、防護手段非常落后，使得校園網(wǎng)安全受到威脅。網(wǎng)絡(luò)病毒泛濫。當(dāng)前隨著網(wǎng)絡(luò)犯罪技術(shù)的發(fā)展，各種垃圾信息和病毒充斥著網(wǎng)絡(luò)，再加上網(wǎng)絡(luò)本身的傳播速度極快，使得病毒的傳播更加泛濫，造成用戶數(shù)據(jù)和資料的竊取、損失，但校園網(wǎng)絡(luò)并沒有對病毒進(jìn)行有效的監(jiān)控和防御。網(wǎng)絡(luò)安全意識缺乏。由于網(wǎng)絡(luò)技術(shù)興起的時間較短，大多數(shù)學(xué)校領(lǐng)導(dǎo)和學(xué)生的網(wǎng)絡(luò)安全意識薄弱，利用校園網(wǎng)訪問各種網(wǎng)站，下載各種資源，使得無意中攜帶病毒帶入網(wǎng)絡(luò)，造成校園網(wǎng)被駭客入侵，造成大量損失。

　　1.2入侵技術(shù)不斷升級

　　隨著網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，駭客入侵技術(shù)也得到升級。當(dāng)前網(wǎng)絡(luò)攻擊和入侵的手段多種多樣，從網(wǎng)絡(luò)探測到病毒攻擊、從電子欺騙和解碼攻擊等，駭客技術(shù)得到不斷升級。通常駭客入侵的流程如圖1：

　　1.3入侵檢測技術(shù)落后

　　入侵檢測和被動防御不同，它是積極的防護技術(shù)，即使對內(nèi)外部攻擊進(jìn)行檢測，對入侵攻擊進(jìn)行攔截，保護網(wǎng)絡(luò)安全，圖2是通用性的入侵檢測模型。但是當(dāng)前校園網(wǎng)的入侵檢測技術(shù)卻非常落后，對內(nèi)外部攻擊不能進(jìn)行及時響應(yīng)和攔截，使得校園網(wǎng)絡(luò)的安全得不到保護。

　　2基于入侵檢測技術(shù)的校園網(wǎng)絡(luò)安全模型具體設(shè)計

　　該部分選取了一所典型的大學(xué)H網(wǎng)絡(luò)結(jié)構(gòu)作安全模型設(shè)計。

　　2.1案例簡介

　　大學(xué)H是四所高校合并而成，所以共有四個校區(qū)，且校區(qū)并不集中，而是分散在城市各處，形成東南西北四個校區(qū)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和教育手段的改進(jìn)，為了加強學(xué)校教學(xué)手段和教學(xué)管理，學(xué)校計劃建設(shè)覆蓋全校的網(wǎng)絡(luò)系統(tǒng)以進(jìn)行通訊管理、教育教學(xué)。當(dāng)前，大學(xué)已經(jīng)進(jìn)行了網(wǎng)絡(luò)線路的建設(shè)，采用光纖進(jìn)行小區(qū)之間的網(wǎng)絡(luò)連接。由于大學(xué)許多資料數(shù)據(jù)都屬于國家機密，因此需要重點考慮網(wǎng)絡(luò)安全，確保校園網(wǎng)絡(luò)能夠應(yīng)對入侵，實現(xiàn)安全防護。所以，大學(xué)H針對各校區(qū)之間現(xiàn)存的網(wǎng)絡(luò)結(jié)構(gòu)和體系進(jìn)行了重新設(shè)計，欲搭建一個以總校區(qū)為中心、分校區(qū)和分支機構(gòu)為輔的三級網(wǎng)絡(luò)機構(gòu)。

　　2.2安全模型具體設(shè)計

　　大學(xué)H的網(wǎng)絡(luò)系統(tǒng)是以總校區(qū)為中心，分校區(qū)和分支機構(gòu)為次的分布式網(wǎng)絡(luò)系統(tǒng)，系統(tǒng)構(gòu)成包括服務(wù)器、郵件服務(wù)器、等聯(lián)網(wǎng)客戶機等。為了保障校園網(wǎng)絡(luò)安全，基于該校的網(wǎng)絡(luò)具體實際，采用三級集中管理的網(wǎng)絡(luò)模型是最合適的，并在其中融入防火墻、防病毒軟件和入侵檢測系統(tǒng)，并搭建從邊界防護、傳輸層防護，到核心主機防護的防御體系，便于多層防護、集中控制。由于該�？偛吭谖餍�區(qū)，因此在此安裝全校的管理服務(wù)器作為網(wǎng)絡(luò)防御中心，而后在其他校區(qū)分布安裝管理服務(wù)器作為二級防御管理中心，在分支機構(gòu)安裝服務(wù)器作為三級防御中心。根據(jù)具體實際，再各級防御中心均進(jìn)行管理員設(shè)置，允許管理員進(jìn)入網(wǎng)絡(luò)進(jìn)行管理工作。通過此模型將整個學(xué)校的校園網(wǎng)建設(shè)成了有中心到四周的三級集中管理結(jié)構(gòu)。圖3總校區(qū)管理員視圖第一級：西校區(qū)總部服務(wù)器負(fù)責(zé)整個學(xué)校的網(wǎng)絡(luò)防御，進(jìn)行信息的收集和策略的制定，并直管二級服務(wù)器。并且進(jìn)行總服務(wù)器的病毒庫和殺毒引擎升級。第二級：二級服務(wù)器負(fù)責(zé)各自分校區(qū)的網(wǎng)絡(luò)安全防御，并受一級服務(wù)器管理，對下屬的分支機構(gòu)管理服務(wù)器發(fā)布命令。如圖4：圖4分校區(qū)管理員視圖第三級：三級管理服務(wù)器負(fù)責(zé)分支機構(gòu)的網(wǎng)絡(luò)防御和安全命令。如圖5：圖5分支機構(gòu)管理員視圖根據(jù)具體情況，上級管理員可以定期對下級管理員的工作進(jìn)行檢查，并能夠進(jìn)入下級管理員客戶端進(jìn)行該級網(wǎng)絡(luò)安全的維護，使整個防御體系達(dá)到統(tǒng)一和完整，便于管理控制。

　　2.3邊界防護和傳輸防護

　　防火墻是被動進(jìn)行防御的系統(tǒng)，存在著諸多不足，因此在防火墻的基礎(chǔ)上還需要進(jìn)行入侵檢測系統(tǒng)作為補充防護，針對內(nèi)外部攻擊進(jìn)行實時監(jiān)測、實時防御。它能夠主動檢測，進(jìn)行入侵者和入侵行為的檢測并進(jìn)行監(jiān)視和信息的收集，以便采取措施。在邊界防護中采用基于專家系統(tǒng)和基于人工神經(jīng)網(wǎng)絡(luò)結(jié)合的入侵檢測技術(shù)，即通過專家設(shè)置的規(guī)則，并針對所涉及的入侵行動進(jìn)行分析。再加上人工神經(jīng)網(wǎng)絡(luò)進(jìn)行實時的處理，根據(jù)不同特征進(jìn)行不同攻擊的識別，收集信息、實時檢測，主動對內(nèi)外部攻擊行為進(jìn)行檢測并記錄證據(jù)報警。在傳輸防護中，由于校區(qū)之間需要進(jìn)行信息的傳輸，因此需要校區(qū)之間不需要代理的移動，只能允許校區(qū)內(nèi)的主觀集合，但校區(qū)與校區(qū)之間的主管集合是不可以的，避免攻擊者發(fā)現(xiàn)其他校區(qū)的安全主機位置信息。

　　2.4核心主機防護

　　通常，核心主機安全防護都是采用雙網(wǎng)卡復(fù)合防火墻結(jié)構(gòu)。但在該校核心主機安全防護上進(jìn)行升級優(yōu)化，在原有雙網(wǎng)卡的基礎(chǔ)上，再額外配置一塊網(wǎng)卡，進(jìn)行內(nèi)外部網(wǎng)和DMZ，采用屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)。將核心主機放在子網(wǎng)之內(nèi)，通過兩個分組過濾路由器進(jìn)行網(wǎng)絡(luò)連接并進(jìn)行過濾，將內(nèi)外網(wǎng)分開。防火墻可以使用公開的IP地址進(jìn)行外部請求連接，內(nèi)網(wǎng)保留地址并進(jìn)行地址轉(zhuǎn)換技術(shù)，改變網(wǎng)絡(luò)地址進(jìn)行外部網(wǎng)絡(luò)訪問。還需要配備上述入侵檢測系統(tǒng)以便進(jìn)行實時防護，保證數(shù)據(jù)安全。

　　3結(jié)束語

　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)環(huán)境的復(fù)雜化，構(gòu)建綠色安全的校園網(wǎng)是當(dāng)前普遍關(guān)心的話題。在當(dāng)前的網(wǎng)絡(luò)技術(shù)下，通過數(shù)據(jù)加密和被動的防火墻防御已經(jīng)不能對抗日益更新的駭客入侵技術(shù)，只有采用入侵檢測技術(shù)、進(jìn)行主動防御才是校園網(wǎng)安全的出路所在。通過使用入侵檢測技術(shù)作為防火墻的補充防御，主動進(jìn)行入侵的檢測和防御，使校園網(wǎng)絡(luò)能夠?qū)崿F(xiàn)安全化、綠色化。對于建設(shè)現(xiàn)代化高校有重要的推動作用。

　　引用：

　　[1]李春霞，齊菊紅.校園網(wǎng)安全防御體系的相關(guān)技術(shù)及模型[J].自動化與儀器儀表，2014.

　　[2]張祎江.數(shù)字化校園網(wǎng)絡(luò)安全防范機制構(gòu)建與應(yīng)用[J].科教文匯，2013.

　　[3]楊巍.校園網(wǎng)絡(luò)信息安全模型的設(shè)計[J].福建電腦，2012.

　　[4]鐘彩虹.基于PDRR的校園網(wǎng)絡(luò)安全體系研究[J].無線互聯(lián)科技，2013.

　　[5]陳錦琪，陳曉語.校園網(wǎng)絡(luò)安全防范體系的構(gòu)建與策略[J].計算機與絡(luò)，2013.

　　[6]姚愷榮.基于校園網(wǎng)的多校區(qū)網(wǎng)絡(luò)安全設(shè)計[J].卷宗，2011.

　　[7]劉炳奇.動態(tài)網(wǎng)絡(luò)安全模型校園網(wǎng)應(yīng)用研究[J].硅谷，2010.

　　[8]林曉東.基于NS2網(wǎng)絡(luò)抵御DDoS攻擊的校園網(wǎng)安全模型設(shè)計研究[J].電腦編程技巧與維護，2015.

【入侵檢測技術(shù)的校園網(wǎng)絡(luò)安全模型研究論文】相關(guān)文章：

入侵檢測04-29

安防及入侵檢測·什么是IDS入侵檢測04-26

基于遺傳神經(jīng)網(wǎng)絡(luò)的入侵檢測研究04-28

模型槳葉標(biāo)定技術(shù)研究05-02

水泥土攪拌樁強度檢測的技術(shù)研究論文04-27

無損檢測技術(shù)及應(yīng)用研究04-30

無損檢測技術(shù)的建筑工程檢測應(yīng)用論文05-02

校園網(wǎng)絡(luò)安全論文04-28

用InSAR技術(shù)提取數(shù)字高程模型的研究04-27

基于XML的產(chǎn)品主模型技術(shù)研究04-29