一种校园网入侵检测系统模型的设计
2022-04-09
来源:乌哈旅游
维普资讯 http://www.cqvip.com 科技情报开发与经济 文章编号:1005-6033(2007)24-0235—03 SCI-TECH INFORMA ̄ON DEVELOPMENT&ECONOMY 2007年第17卷第24期 收稿日期:2007—05—10 种枝园网入侵检测系统模型的设计 术 一韩凌云,王再见 (安徽师范大学物电学院,安徽芜湖,241000) 摘要:分析了入侵检测系统及其通用框架,提出了一个使用代理技术的分布式入侵 检测系统模型。 关键词:校园网;入侵检测系统;分布式模型 中图分类号:TP393.8 文献标识码:A 大学校园网作为一个局域网,由于其面对的使用群体的特殊性(拥 全解决方案,能够给予网络极高的安全性,是一个非常全面的校园网整 有一定的网络知识、具有强烈的好奇心和求知欲、安全意识却相对淡 体安全解决方案。本文据此提出了一种使用代理技术的分布式人侵检测 薄),加上校园网相对企业网而言较粗放的安全管理体制和较开放的网 系统模型。 络使用环境,面临一系列的安全问题,如容易受到来自外部和内部的攻 击、病毒困扰、非授权访问等,还有很多学校存在多个分校区,它们之间 1入侵检测系统综述 的安全连接通信也是个问题。 顾国飞『l 等提出一套完整的网络安全解决方案需要从物理安全、链 1.1入侵检测系统 路安全、网络级安全、信息安全、应用安全和用户安全等6个方面综合考 人侵检测就是通过对系统数据的分析,发现非授权的网络访问和攻 虑。物理安全主要防止物理通路的损坏、物理通路的窃听、对物理通路的 击行为,然后采取报警、切断人侵线路等对抗措施。为此目的而设计的系 攻击或干扰等。链路安全需要保证通过网络链路传送的数据不被窃听, 统称为人侵检测系统(IDS)。一个简单的人侵检测系统一般使用三类信 主要对抗通信链路上的窃听、篡改、重放、流量分析等攻击。网络级的安 息:与检测人侵技术有关的长期信息(如攻击的知识库等)、与系统当前 全需要从网络架构、网络访问控制、漏洞扫盲、网络监控与人侵检测等多 工作状态有关的配置信息以及描述系统出现事件的审计信息『2]。根据获 方面加以保证。信息安全涉及信息传输安全、信息存储安全与信息审计 得原始数据的方法,人侵检测系统可以分为基于主机的人侵检测系统和 等问题。应用安全包括应用平台、应用程序的安全。用户安全考虑的是用 基于网络的人侵检测系统『3]。 户的合法性,主要是用户的身份认证和访问控制。该方案覆盖了从底层 基于主机的人侵检测系统位于目标系统中,用于保护关键应用的服 到高层,从静态被动防御到动态主动防御,从人侵事前、事中到事后,从 务器。这类系统可以精确地判断人侵事件,并可对人侵事件立即进行反 系统到桌面,从主机到网络的多方位防护,多层次、全方位、分布式的安 应。它还可针对不同操作系统的特点判断应用层的人侵事件。 基于网络的人侵检测系统使用原始网络包作为数据源,通常利用一 Sub=Recod.Substring(Data_Addr+Address—test。Len); 系型数据,为在Web上使用关系型数据库的技术特性做进一步的处理 if(Sub.IndexOf(temp2)一1) 提供了可能,算法在本人开发的图书联合检索系统中得到较好的应用。 return Sub.Substring(0,Sub.Length一1): SubMbrlndex=Sub.IndexOf(SubMember)+SubMember.eLngth; 参考文献 bool IsEnd=(Sub.IndexOf(temp2,SubMbrIndex)+2==一1): [1]王继成.基于元数据与z39.50的分布协作式Web信息检索I-J].软 if(!IsEnd) 件学报,2001,12(4):620-627. {SubMbreLn=Sub.IndexOf(temp2,SubMbrlndex)一SubMbrIndex; [2]杨晓江.JSDataCenter:基于Z39.50的联机联合编目系统I-J].情报学 Else 报,2004(4):595—599. SubMbreLn=Sub.IndexOf(temp1,SubMbrlndex)一SubMbrlndex; [3]John Kaufman.Thiru Thangarathinam,ASP.NET 2.0数据库人门经典 int Nextlndex=Sub.IndexOf(temp2,SubMbrlndex+1): [M].4版.清华大学出版社,2006:220-373. if(Nextlndex=一1)break; [4]孙伟.Web Service系统集成技术在图书联合检索中的应用[J].连 else 云港高等师范专科学校学报,2006(9):102—104. SubMbrData=Sub.Substring(SubMbrIndex,SubMbrLen);I{ (责任编辑:戚米莎) return SubMbrData;} 3结语 大学薹 墓 墓 利用本文中提供的算法可方便快捷地将传统MARC数据转换成关 苏省连云港市,222006・ The MARC Data Translation Algorithm Based on Web SUNWei ABSTRACT:This paper analyzes the traditional MARC format,and designs a translation core algorihtm from MARC to relation data。 KEY WORDS:MARC;relation data;translation algorithm 235 维普资讯 http://www.cqvip.com 韩凌云,王再见一种校园网入侵检测系统模型的设计 个运行在随机模式下的网络适配器来实时监控并分析通过网络的所有 通信业务。一旦检测到了攻击行为,入侵检测系统的响应模块就提供多 种选项以通知、报警并对攻击采取相应的反应。 1.2入侵检测系统的结构及标准化 目前,对IDS进行标准化的工作有两个组织:IETF的入侵检测工作 组(Intrusion Detection Working Group,IDGW)和通用入侵检测架构工作 组CommonIntrusionDetection Framework,CIDF),它们从各自的角度进 行标准化工作。 CIDF提出了一个通用的入侵检测系统框架,然后进行这个框架中 各个部件之间通信的协议和API的标准化,以达到不同IDS组件的通信 和管理。CIDF阐述的入侵检测系统的通用模型见图1。该入侵检测系统 分为4个组件:事件产生器、事件分析器、响应单元和事件数据库。组件 之间的交互数据称为GIDO(generalintrusion detection object)对象,被封 装到CIDF消息中进行传递。消息是用CISL(Common Intrusion Speciifcation Language,通用人侵描述语言)来描述的。 事件的存储 图1 CIDF的体系结构图 2入侵检测系统模型的设计 校园网中不仅有需要保护的内部网络,更有需要保护的重要应用服 务器,为此,校园网入侵检测系统必须采取基于主机的和基于网络相结 合的分布式入侵检测系统。本文在CIDF的基础上提出了一个采用代理 技术的分布式入侵检测系统模型。模型框图见图2。 ∞数据流 ——控制流 图2系统功能框图 该模型主要由控制台系统、响应系统、网络引擎、主机代理、数据存 储系统和CA认证系统组成。 网络引擎和主机代理属于CIDF中的事件产生器。网络引擎截获网络 中的原始数据包,并从其中寻找可能的入侵信息或其他敏感信息。主机代 理在所在主机以各种方法收集信息,包括分析日志、监视用户行为、分析系 统调用、分析该主机的网络通信等。但它们也具有数据分析功能,对于已知 的攻击,在这些部件中用模式匹配的方法来检测可以大大提高系统的处理 速度,也可以减少事件分析器的工作量及减少受网络传输的影响。 存储系统的作用是用来存储事件产生器捕获的原始数据、分析结果 等重要数据。储存的原始数据在对发现入侵者进行法律制裁时提供确凿 的证据。存储系统也是不同部件之间数据处理的共享数据库,为系统不 同部件提供各自感兴趣的数据。因此,存储系统应该提供灵活的数据维 护、处理和查询服务,同时也是一个安全的日志系统。 响应系统是对确认的入侵行为采取相应措施的子系统。响应包括消 236 本刊E-mail:bjb@mail.sxinfo.net 信息技术 极的措施,如给管理员发电子邮件、消息、传呼等;也可以采取保护性措 施,如切断入侵者的TCP连接、修改路由器的访问控制策略等;还可以采 取主动的反击策略,如对攻击者进行如DOS攻击等,但这种以毒攻毒的 方法在法律上是不许可的。 控制台是整个人侵检测系统与用户交互的界面。用户可以通过控制 台配置系统改变控制台的各个部件,也可通过控制台了解各部件的运行 情况。 CA认证系统负责整个入侵检测系统的安全通信及各模块的认证。 由于系统的各模块分散于校园网中各个不同的地方,为了保证系统自身 的安全性和完整性,它们之间的通信必须在一个安全的环境中进行。有 了专门的认证系统,就可以有效地防止仿冒和插入攻击。 系统中的各功能模块是具有特定功能的独立的应用程序、小型的系 统或是一个非独立的应用程序的功能模块。在部署时,这些模块可能各 自分布在校园网的各个不同的网点,也可以在同一台计算机上。一个典 型的部署见图3。 图3系统在校园网中的部署图 根据需要,在受保护的主机或服务器上分布有主机代理,网络代理 分布在受保护的网络中,根据网络范围大小设置一个或者多个网络代 理。因为网络代理能够检测到网络范围内的数据,所以它能够监测到涉 及多个主机的攻击。根据网络范围大小的区别,网络代理也可以组织出 层次结构,下一层的网络代理向上一层的网络代理上报。此外,主机代理 可以向多个网络代理上报,这样可以避免因为某个网络代理失效而影响 整个系统,提高可靠性。 每一个主机代理中有许多个检测代理,不同的检测代理用来监视本 机上的不同事件,在同一个主机上的所有检测代理把它们的检测结果上 报给一个主机代理。每一个主机有一个主机代理,用来检查在这个主机 上所有检测代理的运行情况,并能启动、停止和向检测代理发送命令,还 能对检测代理发来的数据进行精简处理。主机代理做出响应后,把它的 检测结果上报给一个或者多个网络代理。网络代理同时也侦听通过该网 段的报文,对信息进行综合分析,做出响应,并上报给IDS中心服务器。 3模型的特点 (1)采用分布式思想,系统具有很好的伸缩性和灵活性,适用于校园网 网络变化频繁的环境。而且,由代理的特性可知,运行和停止某个代理时, 不必重新启动系统,如果我们需要检测一种新的入侵,只需要添加并启动 能检测到它的特定代理就可以了,真正实现了入侵检测系统的动态配置。 (2)校园网中存在多种计算机平台和设备,应用代理技术可以对它 们实现应用层互操作,而且,基于代理的入侵检测系统依靠代理问的协 作可以实现多点检测跨越基于主机和基于网络的入侵检测系统的边界, 代理的移动特性也为人侵检测提供了许多新的思路。 (3)代理可以较好地应用在异构环境下,代理分布在受保护信息系 统的各个主机或服务器上,不需要为人侵检测系统构建专用网络,充分 发挥分布式系统在平衡计算和增加系统整体处理能力上的优势。 (4)代理具有自治性,使得各个代理之间的依赖性很小,单个代理实 效并不影响系统的整体工作。 4结语 当前分布式入侵检测系统日益受到人们的重视,上述模型是结合代 理技术和分布式思想的一点探索。该模型有效地解决了当前入侵检测系统 维普资讯 http://www.cqvip.com 科技情报开发与经济 文章编号:1005—6033(2007)24—0237—03 SCI—TECH INFORMATION DEvEL0PMENT&ECONOMY 2007年第17卷第24期 收稿日期:2007—05—14 基于ASP技术的馆际互借信息登记系统的实现 赵晓玲1,2 (1.武汉大学信息管理学院,湖北武汉,430072;2.暨南大学图书馆,广东广州,510632) 摘要:针对广州石牌地区6校图书馆馆际互借过程中存在的某些问题,探讨了基于 ASP技术的馆际互借信息登记系统的实现。 关键词:馆际互借;B/S结构;ASP;信息登记系统 中图分类号:G250.7 文献标识码:A 采用成熟开放的Oracle数据库系统,所有的数据全部保存在数据库中; 三是系统应具有一定的开放性、可扩展性、可移植性,要随着应用的增加 而随时拓展其功能;四是系统操作上应简洁、方便,易学易用,帮助文档 要完善、易懂,并随时可见;五是操作界面要友好,系统要易于维护。 2.2系统总体功能需求 1问题的提出 在协调采访、统筹规范、合理收藏、资源共建共享的文献资源建设方 针的指引下,馆际互借已经成为各图书馆实现文献保障、满足读者文献 信息需求的重要手段。以广州石牌地区华南理工大学、华南农业大学、华 南师范大学、暨南大学、广东职业技术师范学院、广东工业大学6所高校 图书馆为例。自1994年6月始就开展了馆际协作项目,并通过发放“通 用借书证”和“通用阅览证”的办法,实现了6校馆藏文献资源的共享,在 为教学和科研提供文献保障的同时,得到了6校师生的高度认可。据不 完全统计,至2004年底,6校图书馆共发放“通用借书证”和“通用阅览 证”6 500余个,馆际互借量达到20 393人次,同时统计结果亦表明,6校 师生对馆际互借的需求呈现逐年增加的趋势。 然而这种馆际借阅量与其他地区或国家相比还远远不够,6校的资 源仍没有得到充分利用。究其原因,除各馆资源重复建设率较高、借阅证 发放范围较小等因素限制了馆际互借活动外,馆际互借手段原始则是一 系统总体功能需求见图1。 个重要因素。虽然在OPAC系统中能同时检索到6校图书馆的馆藏信 息,但由于图书馆自动化集成系统各不相同,亦没有一个通用的系统平 台进行馆际互借请求及登记,从而使得馆际互借过程中出现催还难、查 询难、统计难、分析难等诸多问题。基于上述问题,我馆在注重实用性、易 用性原则及充分分析系统功能需求的基础上,开发了一个简洁、易操作 的馆际互借信息登记系统。 2-3 系统详细功能需求分析 系统详细功能需求分析具体如下: (1)系统分系统管理员、管理员、操作员三级用户管理,权限越来越 低,管理员只能管理本单位的操作员,操作员只能管理来本校借书的其 他5校读者,所用用户必须凭密码登录系统。 (2)管理员登录时,系统要提供增加操作员、查询操作员及统计历史 记录三项功能。 2系统需求分析描述 2.1 系统总体性能需求 (3)增加操作员时,输入相应的内容即能方便地添加操作员的信息, 包括:操作员账号、姓名、密码、学校、联系电话、E—mail等。注意:本校管 理员只能增加本校的操作员。 系统总体性能应具备如下需求:一是系统应具有高度的安全性、可 靠性、稳定性、高效性,采用流行的B/S系统架构;二是数据应安全可靠, 存在的单点失效、难以实现系统的动态配置、系统自身的安全性不高等问 题。并在6层安全体系下,和防火墙、网络病毒防护工具等共同协作,提供 对内部攻击、外部攻击和误操作的实时防护,构建和谐的校园网络。 本文为安徽省教育厅自然科学基金项目(No.2006kj077B)的阶段 性成果。 (4)查询操作员时,通过选择学校名称可查询本校的操作员信息,并 可修改或删除相应的内容,亦可查询其他学校的操作员信息,但不可作 [2]何明耘,戴冠中.分布式入侵检测体系结构研究[J].计算机工程与 应用,2001(15):5—8. [3]蒋建春,马恒太,任党恩,等 网络安全入侵检测研究综述[J]-软件 学报,2000(11):16—23. (责任编辑:胡建平) 第一作者简介:韩凌云,女,1983年9月生,2006年毕业于东北大学 参考文献 [1]顾国飞,沈建莉,王鹏,等.基于六层安全体系的校园网络整体安全 通信与信息系统专业(硕士),安徽师范大学物电学院,安徽省芜湖市, 241000. 解决方案f J]-计算机工程,2002(8):294—299. The Design of a Kind of the Intrusion Detection System Model of Campus Network HAN Ling-yun,WANG Zai-jian ABSTRACT:This paper analyzes the intrusion detection system and its general framework,and advances the distributed intrusion detection system model by using agent technology. KEY WORDS:campus network;intrusion detection system;distributed model 237