《入侵检测系统与网络教学平台互动的研究及实现》由会员分享,可在线阅读,更多相关《入侵检测系统与网络教学平台互动的研究及实现(7页珍藏版)》请在金锄头文库上搜索。
1、1入侵检测系统与网络教学平台互动的研 究及实现摘 要 目前网络安全问题越来越严重,入侵检测系统已经被广泛的使用,同时,依托网络环境,网络教学平台应运而生。本文针对学校的特殊应用,研究并实现了入侵检测系统与网络教学平台的互动,一方面,利用入侵检测系统检测网络教学平台访问者的攻击及漏洞,维护网络教学平台的正常运行;另一方面,通过将攻击信息、系统漏洞、补救修复方法等对网络教学平台访问者的反馈,增进其网络安全知识及意识,充分发挥教育功能。关键词 网络教学;入侵检测系统;网络安全1 引言网络教学平台作为一种新兴的教学与学习互动的教育工具目前在各大专院校得到了普遍的应用,大量的学生通过访问网络教学平台进行
2、自学或是辅助学习。但是,网络教学平台的使用者常常会发现网络连接速度太慢,影响学习和教学,经过调查发现,部分问题源于网络安全,进一步验证了网络安全问题的无处不在。而在目前网络安全热的背后,许多人对网络安全的认识还处于初级阶段,并不成熟。因此,作为教育工作者,依托网络教学平台,我们实现了网络入侵检测系统与其互动,在保证网络教学平台自身安全的基础上,提供给使用者网络安全的解决方案,唤醒使用者对网络安全的重视。2 全新的安全机制无论是在个人平台、传统主从构架,或多层次构架,Internet 平台等,防毒软件及防火墙都扮演了重要的角色,尽管如此,研究仍然发现网络学习者往往个人使用2电脑网络警觉性不足,并
3、且不具备相关电脑知识,还是会饱受网络病毒或黑客入侵的危机,有些学习者甚至不知道自己的机器已经被黑客入侵或感染了网络病毒,进而继续感染给网络学习平台或其他使用者的电脑上,进而导致教学平台无法正常运作。纵观目前的网络教学平台,系统管理者所处理的方式都是利用防火墙及防毒软件杜绝网络的危害,属于被动的预防或是治疗。而我们的研究认为网络教学平台除了提供网络教学的服务之外,应有义务主动的告知使用者在学习时的网络情况并告知处理方法。因此建立教学平台的网络安全告知的机制是必要的,这样,我们变以往被动的安全机制为主动防御和治疗的安全机制,让使用者了解电脑目前的状况,解决安全问题,并从根本上唤起使用者的警觉心,加
4、强网络安全意识。进而,从本质上有效的截断病毒传播,维护网络安全。3 网络教学平台的研究我国的教育问题正处于一个关键发展阶段,随着高等教育改革的实施和深化发展,接受高等教育的人数快速增长,怎样提供更多的机会,普及高等教育也就迫在眉睫。为了解决这一问题,教育工作者尝试利用互联网通过网络进行教育,逐步实现远程教育的普及。而能够提供这些服务的,只能是搭建网络教学平台。通常,网络教学平台都按照 Browser/Server 模式,一般将传统的两层体系结构扩展成浏览器WEB 服务器+应用服务器数据库服务器三层体系结构,因为这种模式采用多种标准的协议和技术,适合于任何硬件平台和软件环境。常见的基于 Wind
5、ows 的网络教学平台,采用 JSP 与 SQL Server 2000 数据库相结合,其体系结构如图 1 所示。图 1 网络教学平台的体系结构3网络教学平台一般由教师教学系统、学生学习系统和教学管理系统三大模块组成,这些模块之间相互联系,相互配合,构成一个完整的网络教学系统。系统功能框图如图 2 所示。由于我们计划在真实的网络教学平台中搭建入侵检测系统,选择了学校自己建设的网络教学平台,即西安邮电学院网络教学平台。它是为教师课堂面授课程服务的网络辅助教学的支撑平台,该系统支持教师与学生进行网上互动式教学活动,它能向学生提供网络辅助学习支持功能,如选课与登录相应的课程、浏览相应的课程辅导材料、
6、网上提问、在线测试、讨论式学习等等;它能向教师提供网上教学支持功能,如发布选课程信息、布置作业、制作课件、网上答疑、在线测试、讨论式学习、并永久保留各项网上学习痕迹和各项统计消息等等从而拓展教学空间,扩大师生视野。可见,我校的网络教学平台是一个典型的网络教学平台,具有很好的实践价值。图 2 系统功能框图同时,为完成在网络教学平台中搭建入侵检测系统的工作,我们对西安邮电学院网络教学平台的特点进行了分析和研究: 所有的操作都在 Web 页面,简单易懂,客户端不用使用特殊的插件。 为各种形式的教学资料提供了交流平台,使教师和学生能够相互交流和共享教学资料。 交互工具强大,教师可以开辟聊天室,讨论组,
7、利用邮件,备忘录来交流。 具有个人备忘录,博客等全面的功能。44 入侵检测系统的研究本文的入侵监测系统选用东软的 NetEye IDS 系统。它是东软开发的具有自主版权的网络入侵监测系统。采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图,进行报警,响应和防范。作为防火墙之后的第二道安全闸门,配合防火墙系统使用,全面保障网络的安全,组成完整的网络安全解决方案。整个系统采用客户/服务器结构,由检测引擎和管理主机组成。结构示意图如图3 所示。图 3 结构示意图主要功能模块有:网络攻击与入侵检测功能;多种通信协议内容恢复功能;应用审计和网络审计功能;图表显示网络信息功能;报表功
8、能;实时网络监考功能;网络扫描器;数据备份恢复功能;其它辅助管理工具。实践研究得出东软 NetEye 入侵检测系统的技术优势包括: 以“网络安全问题是一个完整的过程,而不是一个孤立的事件”为核心设计思想。有效监控网络全过程,整体保障网络安全和健康。 强大的攻击检测能力和优越的性能,是功能强大的入侵检测产品。 NetEye 入侵检测系统独有的网络内容恢复、应用审计、网络审计等功能,是完整的网络行为录像机。 NetEye 入侵检测系统独有的网络实时监控和诊断功能,是全面的网络故障分析器。 NetEye 入侵检测系统独有的网络主动扫描功能,综合主动发现和被动分析功能。是灵活的网络安全探测仪。5综上所
9、述,NetEye 入侵检测系统是一个具有易用性、易维护性、高可用性、易部署性等特色的网络安全产品,而且整体拥有成本最低。5 互动研究及设计首先明确我们设计所针对的对象:网络教学平台:西安邮电学院网络教学平台平台环境:Linux 服务器工作模式:B/S 模式入侵检测系统原型:Net Eye IDS 系统平台环境:Linux 服务器工作模式:日志记录和报警模式最终的设计目标是:实现在原有的网络教学平台中搭建入侵检测系统,支持对用户和系统的运行状况分析,查找非法用户和合法用户的越权操作,检测系统配置的正确性和安全漏洞,提示管理员和用户修补漏洞,对用户的非正常活动进行统计分析,发现攻击行为的特征,实时
10、检测到攻击行为并且进行响应等功能。整个互动的构架是基于 CIDF 模型框架模型,该模型定义:一个完整的入侵检测系统分为以下组件:事件产生器、事件分析器、响应单元和事件数据库。这四部分的功能如下:事件产生器:目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器:分析得到的数据,并产生分析结果。响应单元:对分析结果做出反应的功能单元,可以切断连接、改变文件属性等,也可以只是简单的报告。事件数据库:是存放各种中间和最终数据的地方的统称,可以是复杂的数据库,6也可以是简单的文本文件。其中,IDS 需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志等其他途径得到的信
11、息。在这个模型中,前三者以程序的形式出现,而最后一个则往往是文件或数据流的形式。为了适应复杂的网络环境,提高现有的网络入侵检测系统扩展性、高可靠性、高劲型、准确性,参考 CIDF 模型,结合当今的入侵检测技术(模式匹配、统计模型、状态检测、协议分析)的需要,并最终配合网络教学平台使用,达到互动的目的,我们采用了以下的框架。图 4 改进后的系统框架针对各功能模块的设计如下:1)数据预处理模块该模块完成将网络中采集的数据报文按照各层协议逐一进行分离,将数据报文转换成程序可以识别的数据结构。采用东软 IDS 的模块设计,将该模块主要分为 5 大部分:链路层协议分解(PPP. FDDI 等);网络层协
12、议分解(IP 协议、IPX 协议、ARP 协议等);传输层协议分解(TCP 协议、UDP 协议、ICMP 协议等);IP 分片重组;TCP 流重组。通过该模块的处理,原始数据报文按照协议分层信息转化成程序可识别的数据7结构。该结构中包含有各个协议层次的信息,以及其他一些检测所需的数据。2)入侵检测规则库入侵检测规则库是入侵检测系统的支撑,该库主要按照一种系统可识别的语言描述了所有已知的攻击模型信息和适用的检测方法。这里我们同样继承 NetEye IDS 系统的规则库模块及规则格式的定义,因为这种规则格式,可以适应目前匹配技术在入侵检测系统的应用,包括检测各种类型的攻击,检测到攻击后采取什么样的
13、措施等,并且有很好的扩展性。而且 NetEye IDS 入侵检测规则库中会不断的更新升级,几乎包含了针对目前出现的几乎所有的入侵的规则表述。另外,针对具体攻击的特征和实质,该规则库中还有一些附加信息描述,方便了解每一种攻击的来龙去脉,即该条规则属于何种类型的攻击、针对哪一类操作系统的什么漏洞,以及该漏洞的发现时间、补丁信息等。为我们实现对网络平台用户的报警及提供相应的支持信息,帮助其尽快完善和修复系统提供了可能。3)状态检测模块状态检测技术的基本思想是通过在 IDS 主机上维护着一个状态表,实现状态检测的核心就在于这个状态表的建立和维护。在 TCP/IP 协议族中,IP 所承载的TCP 通信是
14、面向连接的,ICMP 和 UDP 都是无连接的,由于 TCP 通信包含有丰富的状态以及状态转换机制。状态检测首先要考虑的,就是 TCP 通信的检测方法,该模块在 NetEye IDS 系统中没有提供给我们的,所以就需要我们进行设计,这里,我们设计该模块的内容包括: TCP,UDP,ICMP 通信的状态确定与提取; IDS 必须维护着一张状态表,状态表里存储着 TCP,UDP,ICMP 通信的状态;为保证查表的准确与高效,该表应该是一个内核态的散列(HASH)表;8 IDS 接收的数据包将首先与状态表相匹配; 该状态表能够严格发现不符合状态转换机制的攻击,并能够结合统计方法对扫描攻击和恶意拒绝服
15、务攻击进行检测。4)协议分析模块这里的协议分析模块主要指的是应用层协议分析。同样是原本系统所不支持的,因为原有 IDS 系统只是对应用层以下的协议进行了分析。我们设计该协议分析模块包含各个针对具体协议处理的子模块,即 FTP 协议处理摸块、TELNET 协议处理模块、HTTP 协议处理模块、SMTP 协议处理模块、POPS 协议处理模块共 5 个子模块。分别对应网络教学平台上的应用,如:FTP 上传下载课程资源,TELNET 登陆平台,通过 WEB 页面使用平台以及平台的邮件服务。因为,TELNET,SMTP,POP3 等协议是面向字符的协议,所以,对于从数据采集和数据预处理模块传送来的单个协
16、议报文,需要协议分折模块来进行缓存处理,按照协议规定的命令结束方式(以回车符表示结束),把连续的几个协议包组织成一个可识别的完整命令,在组包的过程中,要对具体客户端协议包中的一些特殊键入字符进行相应处理,包括协议本身命令符、空格、回退等。5)异常统计模块不同于一般的攻击方式,黑客们常常还使用暴力手段或同时控制多台机器发动恶意攻击、对于这类攻击,会在短时间内产生大量的攻击报文,如果仍然采用单包检测的模式匹配技术,会产生大量的重复告警信息,影响系统的检测效率和性能。因此,对于这类攻击,我们设计了异常统计模块来进行检测口。该模块主要采用了统计方法,通过对这一类攻击进行建模,设置极限阀植等方法,9将检测数据与己有的正常行为比较,如果超出极限值,就认为是入侵行为。简单描述如何使用异常统计模块检测网络入侵。黑客入侵任何系统之前,必须要做的准备工作之一就是通过扫描和探测获取目标主机的信息,包括操作系统的信息(类型、版本),开放了哪些端口和服务等。通常黑客使用的工具如:Ping Scan,Port Scan,等。使用这些工具对主机进行扫描和探测时,采用统计模型,定义的通常
