入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)教學(xué)平臺(tái)互動(dòng)的研究及實(shí)現(xiàn)

入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)教學(xué)平臺(tái)互動(dòng)的研究及實(shí)現(xiàn)

摘要目前網(wǎng)絡(luò)安全問(wèn)題越來(lái)越嚴(yán)重，入侵檢測(cè)系統(tǒng)已經(jīng)被廣泛的使用，同時(shí)，依托網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)教學(xué)平臺(tái)應(yīng)運(yùn)而生。本文針對(duì)學(xué)校的特殊應(yīng)用，研究并實(shí)現(xiàn)了入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)教學(xué)平臺(tái)的互動(dòng)，一方面，利用入侵檢測(cè)系統(tǒng)檢測(cè)網(wǎng)絡(luò)教學(xué)平臺(tái)訪(fǎng)問(wèn)者的攻擊及漏洞，維護(hù)網(wǎng)絡(luò)教學(xué)平臺(tái)的正常運(yùn)行；另一方面，通過(guò)將攻擊信息、系統(tǒng)漏洞、補(bǔ)救修復(fù)方法等對(duì)網(wǎng)絡(luò)教學(xué)平臺(tái)訪(fǎng)問(wèn)者的反饋，增進(jìn)其網(wǎng)絡(luò)安全知識(shí)及意識(shí)，充分發(fā)揮教育功能。

關(guān)鍵詞網(wǎng)絡(luò)教學(xué)；入侵檢測(cè)系統(tǒng)；網(wǎng)絡(luò)安全1引言

網(wǎng)絡(luò)教學(xué)平臺(tái)作為一種新興的教學(xué)與學(xué)習(xí)互動(dòng)的教育工具目前在各大專(zhuān)院校得到了普遍的應(yīng)用，大量的學(xué)生通過(guò)訪(fǎng)問(wèn)網(wǎng)絡(luò)教學(xué)平臺(tái)進(jìn)行自學(xué)或是輔助學(xué)習(xí)。但是，網(wǎng)絡(luò)教學(xué)平臺(tái)的使用者常常會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)連接速度太慢，影響學(xué)習(xí)和教學(xué)，經(jīng)過(guò)調(diào)查發(fā)現(xiàn)，部分問(wèn)題源于網(wǎng)絡(luò)安全，進(jìn)一步驗(yàn)證了網(wǎng)絡(luò)安全問(wèn)題的無(wú)處不在。而在目前網(wǎng)絡(luò)安全熱的背后，許多人對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)還處于初級(jí)階段，并不成熟。因此，作為教育工作者，依托網(wǎng)絡(luò)教學(xué)平臺(tái)，我們實(shí)現(xiàn)了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)與其互動(dòng)，在保證網(wǎng)絡(luò)教學(xué)平臺(tái)自身安全的基礎(chǔ)上，提供給使用者網(wǎng)絡(luò)安全的解決方案，喚醒使用者對(duì)網(wǎng)絡(luò)安全的重視。2全新的安全機(jī)制

無(wú)論是在個(gè)人平臺(tái)、傳統(tǒng)主從構(gòu)架，或多層次構(gòu)架，Internet平臺(tái)等，防毒軟件及防火墻都扮演了重要的角色，盡管如此，研究仍然發(fā)現(xiàn)網(wǎng)絡(luò)學(xué)習(xí)者往往個(gè)人使用電腦網(wǎng)絡(luò)警覺(jué)性不足，并且不具備相關(guān)電腦知識(shí)，還是會(huì)飽受網(wǎng)絡(luò)病毒或黑客入侵的危機(jī)，有些學(xué)習(xí)者甚至不知道自己的機(jī)器已經(jīng)被黑客入侵或感染了網(wǎng)絡(luò)病毒，進(jìn)而繼續(xù)感染給網(wǎng)絡(luò)學(xué)習(xí)平臺(tái)或其他使用者的電腦上，進(jìn)而導(dǎo)致教學(xué)平臺(tái)無(wú)法正常運(yùn)作。縱觀(guān)目前的網(wǎng)絡(luò)教學(xué)平臺(tái)，系統(tǒng)管理者所處理的方式都是利用防火墻及防毒軟件杜絕網(wǎng)絡(luò)的危害，屬于被動(dòng)的預(yù)防或是治療。

而我們的研究認(rèn)為網(wǎng)絡(luò)教學(xué)平臺(tái)除了提供網(wǎng)絡(luò)教學(xué)的服務(wù)之外，應(yīng)有義務(wù)主動(dòng)的告知使用者在學(xué)習(xí)時(shí)的網(wǎng)絡(luò)情況并告知處理方法。因此建立教學(xué)平臺(tái)的網(wǎng)絡(luò)安全告知的機(jī)制是必要的，這樣，我們變以往被動(dòng)的安全機(jī)制為主動(dòng)防御和治療的安全機(jī)制，讓使用者了解電腦目前的狀況，解決安全問(wèn)題，并從根本上喚起使用者的警覺(jué)心，加強(qiáng)網(wǎng)絡(luò)安全意識(shí)。進(jìn)而，從本質(zhì)上有效的截?cái)嗖《緜鞑ィS護(hù)網(wǎng)絡(luò)安全。3網(wǎng)絡(luò)教學(xué)平臺(tái)的研究

我國(guó)的教育問(wèn)題正處于一個(gè)關(guān)鍵發(fā)展階段，隨著高等教育改革的實(shí)施和深化發(fā)展，接受高等教育的人數(shù)快速增長(zhǎng)，怎樣提供更多的機(jī)會(huì)，普及高等教育也就迫在眉睫。為了解決這一問(wèn)題，教育工作者嘗試?yán)没ヂ?lián)網(wǎng)通過(guò)網(wǎng)絡(luò)進(jìn)行教育，逐步實(shí)現(xiàn)遠(yuǎn)程教育的普及。而能夠提供這些服務(wù)的，只能是搭建網(wǎng)絡(luò)教學(xué)平臺(tái)。

通常，網(wǎng)絡(luò)教學(xué)平臺(tái)都按照Browser/Server模式，一般將傳統(tǒng)的兩層體系結(jié)構(gòu)擴(kuò)展成瀏覽器—WEB服務(wù)器+應(yīng)用服務(wù)器—數(shù)據(jù)庫(kù)服務(wù)器三層體系結(jié)構(gòu)，因?yàn)檫@種模式采用多種標(biāo)準(zhǔn)的協(xié)議和技術(shù)，適合于任何硬件平臺(tái)和軟件環(huán)境。

常見(jiàn)的基于Windows的網(wǎng)絡(luò)教學(xué)平臺(tái)，采用JSP與SQLServer2000數(shù)據(jù)庫(kù)相結(jié)合，其體系結(jié)構(gòu)如圖1所示。網(wǎng)絡(luò)教學(xué)平臺(tái)一般由教師教學(xué)系統(tǒng)、學(xué)生學(xué)習(xí)系統(tǒng)和教學(xué)管理系統(tǒng)三大模塊組成，這些模塊之間相互聯(lián)系，相互配合，構(gòu)成一個(gè)完整的網(wǎng)絡(luò)教學(xué)系統(tǒng)。系統(tǒng)功能框圖如圖2所示。

由于我們計(jì)劃在真實(shí)的網(wǎng)絡(luò)教學(xué)平臺(tái)中搭建入侵檢測(cè)系統(tǒng)，選擇了學(xué)校自己建設(shè)的網(wǎng)絡(luò)教學(xué)平臺(tái)，即西安郵電學(xué)院網(wǎng)絡(luò)教學(xué)平臺(tái)。它是為教師課堂面授課程服務(wù)的網(wǎng)絡(luò)輔助教學(xué)的支撐平臺(tái)，該系統(tǒng)支持教師與學(xué)生進(jìn)行網(wǎng)上互動(dòng)式教學(xué)活動(dòng)，它能向?qū)W生提供網(wǎng)絡(luò)輔助學(xué)習(xí)支持功能，如選課與登錄相應(yīng)的課程、瀏覽相應(yīng)的課程輔導(dǎo)材料、網(wǎng)上提問(wèn)、在線(xiàn)測(cè)試、討論式學(xué)習(xí)等等；它能向教師提供網(wǎng)上教學(xué)支持功能，如發(fā)布選課程信息、布置作業(yè)、制作課件、網(wǎng)上答疑、在線(xiàn)測(cè)試、討論式學(xué)習(xí)、并永久保留各項(xiàng)網(wǎng)上學(xué)習(xí)痕跡和各項(xiàng)統(tǒng)計(jì)消息等等從而拓展教學(xué)空間，擴(kuò)大師生視野?？梢?jiàn)，我校的網(wǎng)絡(luò)教學(xué)平臺(tái)是一個(gè)典型的網(wǎng)絡(luò)教學(xué)平臺(tái)，具有很好的實(shí)踐價(jià)值。同時(shí)，為完成在網(wǎng)絡(luò)教學(xué)平臺(tái)中搭建入侵檢測(cè)系統(tǒng)的工作，我們對(duì)西安郵電學(xué)院網(wǎng)絡(luò)教學(xué)平臺(tái)的特點(diǎn)進(jìn)行了分析和研究：

⑴所有的操作都在Web頁(yè)面，簡(jiǎn)單易懂，客戶(hù)端不用使用特殊的插件。

⑵為各種形式的教學(xué)資料提供了交流平臺(tái)，使教師和學(xué)生能夠相互交流和共享教學(xué)資料。

⑶交互工具強(qiáng)大，教師可以開(kāi)辟聊天室，討論組，利用郵件，備忘錄來(lái)交流。

⑷具有個(gè)人備忘錄，博客等全面的功能。4入侵檢測(cè)系統(tǒng)的研究

本文的入侵監(jiān)測(cè)系統(tǒng)選用東軟的NetEyeIDS系統(tǒng)。它是東軟開(kāi)發(fā)的具有自主版權(quán)的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)。采用先進(jìn)的基于網(wǎng)絡(luò)數(shù)據(jù)流實(shí)時(shí)智能分析技術(shù)判斷來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的入侵企圖，進(jìn)行報(bào)警，響應(yīng)和防范。作為防火墻之后的第二道安全閘門(mén)，配合防火墻系統(tǒng)使用，全面保障網(wǎng)絡(luò)的安全，組成完整的網(wǎng)絡(luò)安全解決方案。

整個(gè)系統(tǒng)采用客戶(hù)/服務(wù)器結(jié)構(gòu)，由檢測(cè)引擎和管理主機(jī)組成。結(jié)構(gòu)示意圖如圖3所示。主要功能模塊有：網(wǎng)絡(luò)攻擊與入侵檢測(cè)功能；多種通信協(xié)議內(nèi)容恢復(fù)功能；應(yīng)用審計(jì)和網(wǎng)絡(luò)審計(jì)功能；圖表顯示網(wǎng)絡(luò)信息功能；報(bào)表功能；實(shí)時(shí)網(wǎng)絡(luò)監(jiān)考功能；網(wǎng)絡(luò)掃描器；數(shù)據(jù)備份恢復(fù)功能；其它輔助管理工具。

實(shí)踐研究得出東軟NetEye入侵檢測(cè)系統(tǒng)的技術(shù)優(yōu)勢(shì)包括：

⑴以“網(wǎng)絡(luò)安全問(wèn)題是一個(gè)完整的過(guò)程，而不是一個(gè)孤立的事件”為核心設(shè)計(jì)思想。有效監(jiān)控網(wǎng)絡(luò)全過(guò)程，整體保障網(wǎng)絡(luò)安全和健康。

⑵強(qiáng)大的攻擊檢測(cè)能力和優(yōu)越的性能，是功能強(qiáng)大的入侵檢測(cè)產(chǎn)品。

⑶NetEye入侵檢測(cè)系統(tǒng)獨(dú)有的網(wǎng)絡(luò)內(nèi)容恢復(fù)、應(yīng)用審計(jì)、網(wǎng)絡(luò)審計(jì)等功能，是完整的網(wǎng)絡(luò)行為錄像機(jī)。

⑷NetEye入侵檢測(cè)系統(tǒng)獨(dú)有的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控和診斷功能，是全面的網(wǎng)絡(luò)故障分析器。

⑸NetEye入侵檢測(cè)系統(tǒng)獨(dú)有的網(wǎng)絡(luò)主動(dòng)掃描功能，綜合主動(dòng)發(fā)現(xiàn)和被動(dòng)分析功能。是靈活的網(wǎng)絡(luò)安全探測(cè)儀。

綜上所述，NetEye入侵檢測(cè)系統(tǒng)是一個(gè)具有易用性、易維護(hù)性、高可用性、易部署性等特色的網(wǎng)絡(luò)安全產(chǎn)品，而且整體擁有成本最低。5互動(dòng)研究及設(shè)計(jì)

首先明確我們?cè)O(shè)計(jì)所針對(duì)的對(duì)象：

網(wǎng)絡(luò)教學(xué)平臺(tái)：西安郵電學(xué)院網(wǎng)絡(luò)教學(xué)平臺(tái)

平臺(tái)環(huán)境：Linux服務(wù)器

工作模式：B/S模式

入侵檢測(cè)系統(tǒng)原型：NetEyeIDS系統(tǒng)

平臺(tái)環(huán)境：Linux服務(wù)器

工作模式：日志記錄和報(bào)警模式

最終的設(shè)計(jì)目標(biāo)是：實(shí)現(xiàn)在原有的網(wǎng)絡(luò)教學(xué)平臺(tái)中搭建入侵檢測(cè)系統(tǒng)，支持對(duì)用戶(hù)和系統(tǒng)的運(yùn)行狀況分析，查找非法用戶(hù)和合法用戶(hù)的越權(quán)操作，檢測(cè)系統(tǒng)配置的正確性和安全漏洞，提示管理員和用戶(hù)修補(bǔ)漏洞，對(duì)用戶(hù)的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)攻擊行為的特征，實(shí)時(shí)檢測(cè)到攻擊行為并且進(jìn)行響應(yīng)等功能。

整個(gè)互動(dòng)的構(gòu)架是基于CIDF模型框架模型，該模型定義：一個(gè)完整的入侵檢測(cè)系統(tǒng)分為以下組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫(kù)。

這四部分的功能如下：

事件產(chǎn)生器：目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。

事件分析器：分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。

響應(yīng)單元：對(duì)分析結(jié)果做出反應(yīng)的功能單元，可以切斷連接、改變文件屬性等，也可以只是簡(jiǎn)單的報(bào)告。

事件數(shù)據(jù)庫(kù)：是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱(chēng)，可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。

其中，IDS需要分析的數(shù)據(jù)統(tǒng)稱(chēng)為事件，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。在這個(gè)模型中，前三者以程序的形式出現(xiàn)，而最后一個(gè)則往往是文件或數(shù)據(jù)流的形式。

為了適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，提高現(xiàn)有的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)擴(kuò)展性、高可靠性、高勁型、準(zhǔn)確性，參考CIDF模型，結(jié)合當(dāng)今的入侵檢測(cè)技術(shù)(模式匹配、統(tǒng)計(jì)模型、狀態(tài)檢測(cè)、協(xié)議分析)的需要，并最終配合網(wǎng)絡(luò)教學(xué)平臺(tái)使用，達(dá)到互動(dòng)的目的，我們采用了以下的框架。后期對(duì)前面設(shè)計(jì)中提到的各個(gè)模塊進(jìn)行完全實(shí)現(xiàn)，下面一一說(shuō)明。

（1）數(shù)據(jù)預(yù)處理模塊：使用NetEyeIDS原始模塊。

（2）入侵檢測(cè)規(guī)則庫(kù)：使用NetEyeIDS原始模塊。

（3）狀態(tài)檢測(cè)模塊：主要針對(duì)底層協(xié)議的攻擊檢測(cè)，這類(lèi)攻擊數(shù)量相對(duì)較少，變化慢，大部分可以通過(guò)在防火墻中進(jìn)行設(shè)置實(shí)現(xiàn)。目前采用有限狀態(tài)機(jī)的原理編程實(shí)現(xiàn)。

（4）協(xié)議分析模塊：由于目前網(wǎng)絡(luò)教學(xué)平臺(tái)的用戶(hù)基本上都只能通過(guò)web方式使用，故使用協(xié)議僅僅為HTTP協(xié)議，該協(xié)議攻擊的檢測(cè)使用規(guī)則匹配就可以達(dá)到很好的效果，采用基于內(nèi)容分析和協(xié)議解析的方法實(shí)現(xiàn)。

（5）異常統(tǒng)計(jì)模塊：該模塊目前實(shí)現(xiàn)了在NetEyeIDS檢測(cè)中個(gè)別環(huán)節(jié)添加了閾值進(jìn)行重復(fù)報(bào)警限制的功能。

（6）模式匹配模塊：使用NetEyeIDS原始模塊。

（7）入侵響應(yīng)模塊：這里在使用NetEyeIDS原始報(bào)警模塊的基礎(chǔ)上，添加了郵件報(bào)警及系統(tǒng)消息報(bào)警兩部分功能，分別對(duì)用戶(hù)和管理員進(jìn)行報(bào)警。

（8）日志記錄模塊：使用NetEyeIDS原始模塊。７結(jié)論

利用NetEyeIDS在網(wǎng)絡(luò)教學(xué)平臺(tái)中實(shí)現(xiàn)與入侵檢測(cè)系統(tǒng)的互動(dòng)，不僅附加成本問(wèn)題，而且對(duì)系統(tǒng)的負(fù)載也輕，實(shí)際中導(dǎo)入教學(xué)平臺(tái)進(jìn)行測(cè)試，可以提高系統(tǒng)的穩(wěn)定性及可靠性，是每個(gè)學(xué)習(xí)者享有更安全、更良好的教學(xué)平臺(tái)。另外系統(tǒng)的高移植性，適合于任何操作系統(tǒng)構(gòu)成的教學(xué)平臺(tái)。

在入侵檢測(cè)技術(shù)發(fā)展的同時(shí)，入侵技術(shù)也在更新，一些地下組織己經(jīng)將如何繞過(guò)IDS或攻擊IDS系統(tǒng)作為研究重點(diǎn)。高速網(wǎng)絡(luò)，尤其是交換技術(shù)的發(fā)展以及通過(guò)加密信道的數(shù)據(jù)通信，使得通過(guò)共享網(wǎng)段偵聽(tīng)的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足，而大量的通信量對(duì)數(shù)據(jù)分析也提出了新的要求。隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來(lái)越重要，信息戰(zhàn)已逐步被各個(gè)國(guó)家重視，信息戰(zhàn)中的主要攻擊“武器”之一就是網(wǎng)絡(luò)的入侵技術(shù)，信息戰(zhàn)的防御主要包括“保護(hù)”、“檢測(cè)”與“響應(yīng)”，入侵檢測(cè)則是其中“檢測(cè)”與“響應(yīng)”環(huán)節(jié)不可缺少的部分。參考文獻(xiàn)[1]劉文濤.Linux網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng).2004年，北京：電子工業(yè)出版社[