《校园网络安全与入侵检测》由会员分享,可在线阅读,更多相关《校园网络安全与入侵检测(9页珍藏版)》请在金锄头文库上搜索。
1、校园网络安全与入侵检测【摘要】随着计算机网络的发展,使信息共享日益广泛与深入,信息的共享给人们带来了极 大的方便,与此同时,各校建设了数字化校园网,数字化校园网的建设将大幅度提高学校信 息共享能力和资源利用效率,对提高教学,科研和管理水平,全面提升综合办学实力有着重 要的意义。但是信息在共享的同时也给人们带来极大的威胁,在公共的通信网络上存储,传 输和共享信息,可能会被非法的入侵者窃听,截取,修改,或毁坏。因此,校园网络的用户 多,带宽较大,经常会遭受网络攻击和网络入侵。【关键词】校园网;入侵检测;网络攻击;网络安全Campus Network Security and Intrusion D
2、etection【Abstract】With the development of computer networksso that information sharing becomes more extensive and in-depth, information sharing to bring a great convenience, at the same time, school-building campus network digital, digital campusnetworkwillbesignificantly improve information-sharing
3、 capabilities and the efficiency of resource use, to improve the teaching, research and management, to enhance the strength of an integrated school has an important significance. However, information sharing also brings great risk to the public communication network, storage, transfer and sharing of
4、 information, may be illegal intruders the interception, modification, or destruction. Therefore, multi-campus network users,Larger bandwidth, networks are often subjected to attacks and network intrusion.【Key words】Campus Network; intrusion detection; network attacks; network security1.校园网络安全的概述图 1
5、-校园网络示意图校园网络的发展改善了教育技术和网络教育应用的环境,革新了校园网络的发展改善了 教育技术和网络教育应用的环境,革新了现有的教学手段,教学方法,和教学模型,推动 了信息技术和现代远程教育的发展。校园网络的普及和广泛应用,提升了学校的信息化,数 字化水平;如何保证校园网络安全,有效地运行,已成为目前许多学校面临的重要课题。1.1 校园网络安全的含义校园网络信息既有存储于网络节点上的信息资源(即静态信息),又有传播于网络节点 间的信息(即动态信息)。而这些静态信息和动态信息中有些是开放的(如广告、公共信息 等),有些则是保密的(如私人间的通信、政府及军事部门的信息、商业机密等。)网络信
6、息 安全一般是指网络信息的机密性、完整性、可用性及真实性。网络信息的机密性是指其内容 不会被未授权的第三方所知。网络信息的完整性是指信息在存储或传输时不被修改、破坏, 不出现信息包的丢失、乱序等,即不能被未授权的第三方修改。信息的完整性是信息安全的 基本要求,破坏信息的完整性是影响信息安全的基本因素。当前,运行于因特网上的协议(如 TCP/IP 等),能够确保信息在数据包级别的完整性,即做到在传输过程中不丢信息包,不重 复接收信息包,但却无法制止未授权第三方对信息包内容的修改。网络信息的可用性包括对 静态信息的可得到性和可操作性及对动态信息内容的可见性。网络信息的真实性是指信息的 可信度,主要
7、是指对信息所有者或发送者身份的确认。1.2 攻击校园网络的类型一. 对静态数据的攻击对静态数据的攻击主要有以下 3 种:(1)口令猜测:通过穷举方式搜索口令空间,逐一测试,得到口令,进而非法入侵系统(2)IP 地址欺骗:攻击者伪装成源自一台内部主机的一个外部地点传送信息包,这些信 息包中包含有内部系统的源IP地址,冒名他人,窃取信息。(3)指定路由:发送方指定一信息包到达目的站点的路由,而这条路由是经过精心设计 的、绕过设有安全控制的路由。二. 对动态数据的攻击 根据对动态信息的攻击形式不同,可以将其分为主动攻击和被动攻击两种。 被动攻击主要是指攻击者监听网络上传递的信息流,从而获取信息的内容
8、,或仅仅希望 得到信息流的长度、传输频率等数据,称为流量分析。主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据 流的一部分以达到其破坏目的。主动攻击可以归纳为中断、篡改、伪造3 种。中断是指阻断 由发送方到接收方的信息流,使接收方无法得到该信息,这是针对信息可用性的攻击。篡改 是指攻击者修改、破坏由发送方到接收方的信息流,使接收方得到错误的信息,从而破坏信 息的完整性。伪造是针对信息的真实性的攻击,攻击者或者是首先记录一段发送方与接收方 之间的信息流,然后在适当时间向接收方或发送方重放这段信息,或者是冒充接收方可信任 的第三方,完全地伪造的一段信息流向接收方发送。1
9、.3 校园网络安全机制应具有的功能由于上述威胁的存在,因此必须采取措施对网络信息加以保护,以使受到攻击的威胁减 到最小。一个网络安全系统应有如下的功能:一.身份识别 身份识别是安全系统应具备的最基本的功能,是验证通信双方身份的有效手段。当用户向 其系统请求服务时,要出示自己的身份证明咖输入UserID和Password),而系统应具备查验 用户身份证明的能力时于用户的输入,能够明确判别是否来自合法用户)。二. 存取权限控制其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。在开放系统 中,网上资源的使用应制订一些规定:一是定义哪些用户可以访问哪些资源,二是定义可以访问的 用户各
10、自具备的读、写、操作等权限。三. 数字签名即通过一定的机制如RSA公钥加密算法),使信息接收方能够做出咳信息是来自某一数据源且只可能来自该数据源”的判断。四. 保护数据完整性 即通过一定的机制咖加入消息摘要),以发现信息是否被非法修改,避免用户或主机被伪 信息欺骗。五. 审计追踪 即通过记录日志、对一些有关信息进行统计等手段,使系统在出现安全问题时能够追查 原因。六. 密钥管理 信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户比较 放心地使用网络。如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机 会,都会对通信安全造成威胁。因此,引入密钥管理机制,对
11、密钥的产生、存储、传递和定 期更换进行有效地控制,对提高网络的安全性和抗攻击性也是非常重要的。1.4 校园网络安全常用技术 通常保障网络信息安全的方法有两大类:以舫火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。防火墙技术图 2 防火墙示意图防火墙就是指设置在不同网络如可信任的企业内部网和不可信任的公共网)或网络安全 域之间的一系列部件的组合。在逻辑上它是一个限制器,也是一个分析器,能有效地监控内 部网和 Internet 之间的活动,保证内部网络的安全。由于硬件技术的进步,基于高速 Internet 上的新一代防火墙,还将更加注重发挥全网的效能,安全
12、策略会更加明晰化、合理化、规范 化。目前,全球连入 Internet 的计算机中约有 1/3 是处于防火墙保护之下的。防火墙安全保障技术主要是为了保护与Inter-net相连的企业内部网络或单独节点。它具 有简单实用的特点,透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要 求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽 被保护网络或节点的信息及结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的 保护。未来的防火墙技术会全面考虑网络、操作系统、应用程序、用户及数据的安全。在产品 及功能上,将摆脱目前对子网或内部网管理方式的依赖,向远程上网集中
13、管理方式发展,并 逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议,建立专用网(VPN); 推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的 日志分析工具,这是新一代防火墙在编程技术上的革新。二数据加密与用户授权访问控制技术喲賤字内容加幣时散学内容Y 解析的敷学内容巒许可证 图3-数据加密与用户授权访问控制技术与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放网络。用 户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。 数据加密主要用于对动态信息的保护。对于主动攻击,虽无法避免,但却可以有效的检
14、测; 而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密。数据加 密实质上是对以符号为基础的数据进行移位和置换的变换算法。这种变换是受称为密钥的符 号串控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推 知另一个,称为对称密钥算法。这样的密钥必须秘密保管,只能为授权用户所知,授权用户 既可以用该密钥加密信息,也可以用它解密信息。有了信息加密的手段,就可以对动态信息采取保护措施了。为了防止信息内容泄露,可 以将被传送的信息加密,使信息以密文的形式在网络上传输。这样,攻击者即使截获了信息, 也无法知道信息的内容。为了检测出攻击者是否篡改了消息内容,可
15、以采用认证的方法,即 对整个信息加密,或是由一些消息认证函数 MAC 函数)生成消息认证码,再对消息认证码 加密,随信息一同发送。攻击者对信息的修改将导致信息与消息认证码的不一致,从而达到 检测消息完整性的目的。为了检测出攻击者是否伪造信息,可以在信息中加入加密的消息认 证码和时间戳,这样,若是攻击者发送自己生成的信息,将无法生成对应的消息认证码,若 是攻击者重放以前的合法信息,接收方可以通过检验时间戳的方式加以识别。 2入侵检测概述入侵检测(I ntrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安 全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若
16、干关键点的信息,检查 网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地 安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之 前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况 下能对网络进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系 统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统 计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安 全策略的行为。 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理 员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的 完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否 有违反安全策略的行为和遭到袭击的迹象
