入侵檢測系統與網絡教學平臺互動的研究

1、入侵檢測系統與網絡教學平臺互動的研究摘要目前網絡安全問題越來越嚴重，入侵檢測系統已經被廣泛的使用，同時，依托網絡環(huán)境，網絡教學平臺應運而生。本文針對學校的特殊應用，研究并實現了入侵檢測系統與網絡教學平臺的互動，一方面，利用入侵檢測系統檢測網絡教學平臺訪問者的攻擊及漏洞，維護網絡教學平臺的正常運行；另一方面，通過將攻擊信息、系統漏洞、補救修復方法等對網絡教學平臺訪問者的反饋，增進其網絡安全知識及意識，充分發(fā)揮教育功能。關鍵詞網絡教學；入侵檢測系統；網絡安全1引言網絡教學平臺作為一種新興的教學與學習互動的教育工具目前在各大專院校得到了普遍的應用，大量的學生通過訪問網絡教學平臺進行自學或是輔助學習。

2、但是，網絡教學平臺的使用者常常會發(fā)現網絡連接速度太慢，影響學習和教學，經過調查發(fā)現，部分問題源于網絡安全，進一步驗證了網絡安全問題的無處不在。而在目前網絡安全熱的背后，許多人對網絡安全的認識還處于初級階段，并不成熟。因此，作為教育工作者，依托網絡教學平臺，我們實現了網絡入侵檢測系統與其互動，在保證網絡教學平臺自身安全的基礎上，提供給使用者網絡安全的解決方案，喚醒使用者對網絡安全的重視。2全新的安全機制無論是在個人平臺、傳統主從構架，或多層次構架，Internet平臺等，防毒軟件及防火墻都扮演了重要的角色，盡管如此，研究仍然發(fā)現網絡學習者往往個人使用電腦網絡警覺性不足，并且不具備相關電腦知識，還

3、是會飽受網絡病毒或黑客入侵的危機，有些學習者甚至不知道自己的機器已經被黑客入侵或感染了網絡病毒，進而繼續(xù)感染給網絡學習平臺或其他使用者的電腦上，進而導致教學平臺無法正常運作?？v觀目前的網絡教學平臺，系統管理者所處理的方式都是利用防火墻及防毒軟件杜絕網絡的危害，屬于被動的預防或是治療。而我們的研究認為網絡教學平臺除了提供網絡教學的服務之外，應有義務主動的告知使用者在學習時的網絡情況并告知處理方法。因此建立教學平臺的網絡安全告知的機制是必要的，這樣，我們變以往被動的安全機制為主動防御和治療的安全機制，讓使用者了解電腦目前的狀況，解決安全問題，并從根本上喚起使用者的警覺心，加強網絡安全意識。進而，從

4、本質上有效的截斷病毒傳播，維護網絡安全。3網絡教學平臺的研究我國的教育問題正處于一個關鍵發(fā)展階段，隨著高等教育改革的實施和深化發(fā)展，接受高等教育的人數快速增長，怎樣提供更多的機會，普及高等教育也就迫在眉睫。為了解決這一問題，教育工作者嘗試利用互聯網通過網絡進行教育，逐步實現遠程教育的普及。而能夠提供這些服務的，只能是搭建網絡教學平臺。通常，網絡教學平臺都按照Browser/Server模式，一般將傳統的兩層體系結構擴展成瀏覽器WEB服務器+應用服務器數據庫服務器三層體系結構，因為這種模式采用多種標準的協議和技術，適合于任何硬件平臺和軟件環(huán)境。常見的基于Windows的網絡教學平臺，采用JSP與

5、SQLServer2000數據庫相結合，其體系結構如圖1所示。圖1網絡教學平臺的體系結構網絡教學平臺一般由教師教學系統、學生學習系統和教學管理系統三大模塊組成，這些模塊之間相互聯系，相互配合，構成一個完整的網絡教學系統。系統功能框圖如圖2所示。由于我們計劃在真實的網絡教學平臺中搭建入侵檢測系統，選擇了學校自己建設的網絡教學平臺，即西安郵電學院網絡教學平臺。它是為教師課堂面授課程服務的網絡輔助教學的支撐平臺，該系統支持教師與學生進行網上互動式教學活動，它能向學生提供網絡輔助學習支持功能，如選課與登錄相應的課程、瀏覽相應的課程輔導材料、網上提問、在線測試、討論式學習等等；它能向教師提供網上教學支持

6、功能，如發(fā)布選課程信息、布置作業(yè)、制作課件、網上答疑、在線測試、討論式學習、并永久保留各項網上學習痕跡和各項統計消息等等從而拓展教學空間，擴大師生視野?？梢?，我校的網絡教學平臺是一個典型的網絡教學平臺，具有很好的實踐價值。BRclear=all圖2系統功能框圖同時，為完成在網絡教學平臺中搭建入侵檢測系統的工作，我們對西安郵電學院網絡教學平臺的特點進行了分析和研究：所有的操作都在Web頁面，簡單易懂，客戶端不用使用特殊的插件。為各種形式的教學資料提供了交流平臺，使教師和學生能夠相互交流和共享教學資料。交互工具強大，教師可以開辟聊天室，討論組，利用郵件，備忘錄來交流。具有個人備忘錄，博客等全面的功

7、能。4入侵檢測系統的研究本文的入侵監(jiān)測系統選用東軟的NetEyeIDS系統。它是東軟開發(fā)的具有自主版權的網絡入侵監(jiān)測系統。采用先進的基于網絡數據流實時智能分析技術判斷來自網絡內部和外部的入侵企圖，進行報警，響應和防范。作為防火墻之后的第二道安全閘門，配合防火墻系統使用，全面保障網絡的安全，組成完整的網絡安全解決方案。整個系統采用客戶/服務器結構，由檢測引擎和管理主機組成。主要功能模塊有：網絡攻擊與入侵檢測功能；多種通信協議內容恢復功能；應用審計和網絡審計功能；圖表顯示網絡信息功能；報表功能；實時網絡監(jiān)考功能；網絡掃描器；數據備份恢復功能；其它輔助管理工具。實踐研究得出東軟NetEye入侵檢測系

8、統的技術優(yōu)勢包括：以“網絡安全問題是一個完整的過程，而不是一個孤立的事件”為核心設計思想。有效監(jiān)控網絡全過程，整體保障網絡安全和健康。強大的攻擊檢測能力和優(yōu)越的性能，是功能強大的入侵檢測產品。NetEye入侵檢測系統獨有的網絡內容恢復、應用審計、網絡審計等功能，是完整的網絡行為錄像機。NetEye入侵檢測系統獨有的網絡實時監(jiān)控和診斷功能，是全面的網絡故障分析器。NetEye入侵檢測系統獨有的網絡主動掃描功能，綜合主動發(fā)現和被動分析功能。是靈活的網絡安全探測儀。綜上所述，NetEye入侵檢測系統是一個具有易用性、易維護性、高可用性、易部署性等特色的網絡安全產品，而且整體擁有成本最低。5互動研究及

9、設計首先明確我們設計所針對的對象：網絡教學平臺：西安郵電學院網絡教學平臺平臺環(huán)境：Linux服務器工作模式：B/S模式入侵檢測系統原型：NetEyeIDS系統平臺環(huán)境：Linux服務器工作模式：日志記錄和報警模式最終的設計目標是：實現在原有的網絡教學平臺中搭建入侵檢測系統，支持對用戶和系統的運行狀況分析，查找非法用戶和合法用戶的越權操作，檢測系統配置的正確性和安全漏洞，提示管理員和用戶修補漏洞，對用戶的非正?；顒舆M行統計分析，發(fā)現攻擊行為的特征，實時檢測到攻擊行為并且進行響應等功能。整個互動的構架是基于CIDF模型框架模型，該模型定義：一個完整的入侵檢測系統分為以下組件：事件產生器、事件分析器

10、、響應單元和事件數據庫。這四部分的功能如下：事件產生器：目的是從整個計算環(huán)境中獲得事件，并向系統的其他部分提供此事件。事件分析器：分析得到的數據，并產生分析結果。響應單元：對分析結果做出反應的功能單元，可以切斷連接、改變文件屬性等，也可以只是簡單的報告。事件數據庫：是存放各種中間和最終數據的地方的統稱，可以是復雜的數據庫，也可以是簡單的文本文件。其中，IDS需要分析的數據統稱為事件，它可以是網絡中的數據包，也可以是從系統日志等其他途徑得到的信息。在這個模型中，前三者以程序的形式出現，而最后一個則往往是文件或數據流的形式。為了適應復雜的網絡環(huán)境，提高現有的網絡入侵檢測系統擴展性、高可靠性、高勁型

11、、準確性，參考CIDF模型，結合當今的入侵檢測技術(模式匹配、統計模型、狀態(tài)檢測、協議分析)的需要，并最終配合網絡教學平臺使用，達到互動的目的，我們采用了以下的框架。BRclear=all圖4改進后的系統框架針對各功能模塊的設計如下：1）數據預處理模塊該模塊完成將網絡中采集的數據報文按照各層協議逐一進行分離，將數據報文轉換成程序可以識別的數據結構。采用東軟IDS的模塊設計，將該模塊主要分為5大部分：鏈路層協議分解(PPP.FDDI等)；網絡層協議分解(IP協議、IPX協議、ARP協議等)；傳輸層協議分解(TCP協議、UDP協議、ICMP協議等)；IP分片重組；TCP流重組。通過該模塊的處理，原

12、始數據報文按照協議分層信息轉化成程序可識別的數據結構。該結構中包含有各個協議層次的信息，以及其他一些檢測所需的數據。2）入侵檢測規(guī)則庫入侵檢測規(guī)則庫是入侵檢測系統的支撐，該庫主要按照一種系統可識別的語言描述了所有已知的攻擊模型信息和適用的檢測方法。這里我們同樣繼承NetEyeIDS系統的規(guī)則庫模塊及規(guī)則格式的定義，因為這種規(guī)則格式，可以適應目前匹配技術在入侵檢測系統的應用，包括檢測各種類型的攻擊，檢測到攻擊后采取什么樣的措施等，并且有很好的擴展性。而且NetEyeIDS入侵檢測規(guī)則庫中會不斷的更新升級，幾乎包含了針對目前出現的幾乎所有的入侵的規(guī)則表述。另外，針對具體攻擊的特征和實質，該規(guī)則庫中

13、還有一些附加信息描述，方便了解每一種攻擊的來龍去脈，即該條規(guī)則屬于何種類型的攻擊、針對哪一類操作系統的什么漏洞，以及該漏洞的發(fā)現時間、補丁信息等。為我們實現對網絡平臺用戶的報警及提供相應的支持信息，幫助其盡快完善和修復系統提供了可能。3）狀態(tài)檢測模塊狀態(tài)檢測技術的基本思想是通過在IDS主機上維護著一個狀態(tài)表，實現狀態(tài)檢測的核心就在于這個狀態(tài)表的建立和維護。在TCP/IP協議族中，IP所承載的TCP通信是面向連接的，ICMP和UDP都是無連接的，由于TCP通信包含有豐富的狀態(tài)以及狀態(tài)轉換機制。狀態(tài)檢測首先要考慮的，就是TCP通信的檢測方法，該模塊在NetEyeIDS系統中沒有提供給我們的，所以就

14、需要我們進行設計，這里，我們設計該模塊的內容包括：TCP，UDP，ICMP通信的狀態(tài)確定與提?。籌DS必須維護著一張狀態(tài)表，狀態(tài)表里存儲著TCP，UDP，ICMP通信的狀態(tài)；為保證查表的準確與高效，該表應該是一個內核態(tài)的散列(HASH)表；IDS接收的數據包將首先與狀態(tài)表相匹配；該狀態(tài)表能夠嚴格發(fā)現不符合狀態(tài)轉換機制的攻擊，并能夠結合統計方法對掃描攻擊和惡意拒絕服務攻擊進行檢測。4）協議分析模塊這里的協議分析模塊主要指的是應用層協議分析。同樣是原本系統所不支持的，因為原有IDS系統只是對應用層以下的協議進行了分析。我們設計該協議分析模塊包含各個針對具體協議處理的子模塊，即FTP協議處理摸塊、T

15、ELNET協議處理模塊、HTTP協議處理模塊、SMTP協議處理模塊、POPS協議處理模塊共5個子模塊。分別對應網絡教學平臺上的應用，如：FTP上傳下載課程資源，TELNET登陸平臺，通過WEB頁面使用平臺以及平臺的郵件服務。因為，TELNET，SMTP，POP3等協議是面向字符的協議，所以，對于從數據采集和數據預處理模塊傳送來的單個協議報文，需要協議分折模塊來進行緩存處理，按照協議規(guī)定的命令結束方式(以回車符表示結束)，把連續(xù)的幾個協議包組織成一個可識別的完整命令，在組包的過程中，要對具體客戶端協議包中的一些特殊鍵入字符進行相應處理，包括協議本身命令符、空格、回退等。5）異常統計模塊不同于一般

16、的攻擊方式，黑客們常常還使用暴力手段或同時控制多臺機器發(fā)動惡意攻擊、對于這類攻擊，會在短時間內產生大量的攻擊報文，如果仍然采用單包檢測的模式匹配技術，會產生大量的重復告警信息，影響系統的檢測效率和性能。因此，對于這類攻擊，我們設計了異常統計模塊來進行檢測口。該模塊主要采用了統計方法，通過對這一類攻擊進行建模，設置極限閥植等方法，將檢測數據與己有的正常行為比較，如果超出極限值，就認為是入侵行為。簡單描述如何使用異常統計模塊檢測網絡入侵。黑客入侵任何系統之前，必須要做的準備工作之一就是通過掃描和探測獲取目標主機的信息，包括操作系統的信息(類型、版本)，開放了哪些端口和服務等。通常黑客使用的工具如：

17、PingScan，PortScan，等。使用這些工具對主機進行掃描和探測時，采用統計模型，定義的通常的特征是：在單位時間內，對同一臺目標主機的n個端口發(fā)送異常數據包或者在單位時間內，對n個主機的相同端口發(fā)送異常數據包。因此，在這樣的統計模型下，關鍵在于如何確定n的值，才能準確的捕捉到入侵，而又不會對系統造成危害。6）模式匹配模塊模式匹配模塊是入侵檢測系統的主要環(huán)節(jié)。隨著黑客攻擊手段的飛速增長，針對模式匹配的攻擊特征規(guī)則越來越多，這就對模式匹配模塊的匹配速度提出了較高的要求。7）入侵響應模塊不管是狀態(tài)檢測模塊、協議分析模塊還是模式匹配模塊，一旦發(fā)現入侵行為，入侵檢測系統立即調用入侵響應模塊進行實

18、時響應。這時入侵響應模塊會根據系統初始配置入侵行為的響應設置來進行相應的措施。針對我們?yōu)榫W絡教學平臺的特殊設計，這里響應模塊根據不同的響應設置有劃分為8個子模塊，發(fā)現攻擊、防火墻聯動、阻塞攻擊、Email通知、Snmp通知警鈴通知、消息通知、短消息通知、文件通知。Email通知是發(fā)現攻擊后，發(fā)送Email給管理員和能夠定位的系統進行通知；Snmp通知是發(fā)現攻擊后，調用Snmp代理進行通知，以及使用網絡教學平臺系統消息和短信等方式通知。在傳統的單純隔斷入侵行為的基礎上，強調了對用戶提供安全防御等輔助信息，加強用戶的安全意識，從源頭上阻斷網絡上的入侵行為。8）日志記錄模塊網絡入侵檢測系統的日志記錄

19、分為兩種：攻擊日志記錄和操作日志記錄。攻擊日志記錄在入侵事件發(fā)生后，提供給網絡管理者必要的信息。操作日志記錄用于記錄網絡入侵檢測系統本身的狀態(tài)和控制，包括啟動、停止、負載運行等狀態(tài)和控制信息。日志提供一套全面的、獨立于操作系統本身的、可查詢的日志記錄，可用于事后對入侵行為的審計和追蹤。當各種入侵檢測模塊(包括狀態(tài)檢測、協議分析、異常統計和模式匹配模塊)發(fā)現入侵后，先調用響應模塊對該入侵進行及時的處理，然后由響應模塊直接調用攻擊日志記錄模塊進行攻擊日志記錄，否則，不進行調用；當代理模塊對網絡入侵檢測系統進行控制時，由代理模塊直接調用操作日志記錄模塊進行日志記錄。攻擊日志記錄模塊是用來記錄入侵檢測

20、系統檢測到的入侵行為的必要信息。6互動的實現先給出系統實現的網絡結構圖。圖5表示了該網絡入侵檢測系統的網絡結構。出于安全的考慮，研究初期，沒有采用直接在網絡教學平臺服務器上搭建系統的方式。但選取同樣的操作系統平臺，盡可能的保證日后移植的可用性。（1）安裝與配置NetEyeIDS：見操作手冊。（2）NetEyeIDS規(guī)則庫的下載和更新。此外，在實際應用過程中，系統管理員可以自己設定，使NetEyeIDS自動的下載更新規(guī)則庫，保持IDS系統具有最新的防御能力。圖5系統實現的網絡結構圖后期對前面設計中提到的各個模塊進行完全實現，下面一一說明。（1）數據預處理模塊：使用NetEyeIDS原始模塊。（2）入侵檢測規(guī)則庫：使用NetEyeIDS原始模塊。（3）狀態(tài)檢測模塊：主要針對底層協議的攻擊檢測，這類攻擊數量相對較少，變化慢，大部分可以通過在防火墻