一、前言

　　隨著計算機網絡的飛速發展和Internet應用范圍的不斷擴大，人們能夠方便有效地獲取信息資源和與他人交流。但是，由于網絡協議本身設計和實現上一些不完善的因素，隨之而來的Internet入侵事件也就層出不窮。作為開放網絡的組成部分，校園網絡的安全也是不可忽視的。由于各種原因導致校園網既是大量攻擊的發源地，也是攻擊者最容易攻破的目標。當前校園網常見的風險如下：普遍存在的計算機系統的漏洞，對信息安全、系統的使用、網絡的運行構成嚴重的威脅;計算機蠕蟲、病毒泛濫。影響用戶的使用、信息安全、網絡運行;外來的系統入侵、攻擊等惡意破壞行為，有些計算機已經被攻破，用作黑客攻擊的工具：拒絕服務攻擊目前越來越普遍。

　　二、入侵檢測技術在校園網中的作用

　　加強校內處信息的交流，滿足校區廣大師生的需求，充分利用網絡資源為全校教學、科研和管理服務，我們將用戶的應用需求歸納為如下幾個方面：

　　1.內部信息發布：向各部門發布規章制度、規劃、計劃、通知等公開信息等。

　　2.電子郵件：校園內部的電子郵件的發送與接收。

　　3.文件傳輸：校園內部的文本文件、圖像文件、語音文件等發送與接收。

　　4.資源共享：文件共享、數據庫共享、打印機共享。

　　5.導航系統：校園內部各部門web站點的導航。

　　6.外部通信：通過廣域網或專線連接，可與國內外的合作伙伴交流信息。

　　7.接入因特網：接入中國電信、Internet，對外發布信息。

　　架設一個入侵監測系統(IDS)是非常必要的，處于防火墻之后對網絡活動進行實時檢測。許多情況下，由于可以記錄和禁止網絡活動，所以入侵監測系統是防火墻的延續。它們可以和你的防火墻和路由器配合工作。

　　IDS掃描當前網絡的活動，監視和記錄網絡的流量，根據定義好的規則來過濾從主機網卡到網線上的流量，提供實時報警。IDS是被動的，它監測你的網絡上所有的數據包。其目的就是撲捉危險或有惡意動作的信息包。IDS是按你指定的規則運行的，記錄是龐大的，所以我們必須制定合適的規則對他進行正確的配置，如果IDS沒有正確的配置，其效果如同沒有一樣。IDS能夠幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應)，提高了信息安全基礎結構的完整性。

　　三、入侵檢測技術在校園網中存在的不足

　　(一)防火墻位置。

　　防火墻是網絡安全的關口設備，只有在關鍵網絡流量通過防火墻的時候，防火墻才能對此實行檢查、防護等功能。因此，在網絡拓撲上，防火墻應當處在網絡的出口處和不同安全等級區域的結合點處。這些位置通常位于內部網到Internet出口鏈路處;主干交換機至服務器區域工作組交換機的骨干鏈路上;內部網與高安全等級的涉密網的連接點;遠程撥號服務器與骨干交換機或路由器之間。

　　(二)入侵檢測位置。

　　不同于防火墻，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網絡流量流經它便可以工作。

　　因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文都必須流經的鏈路上。IDS在交換式網絡中的位置一般選擇在：盡可能靠近攻擊源;盡可能靠近受保護資源。這些位置通常是：

　　•服務器區域的交換機上;

　　•Internet接入路由器之后的第一臺交換機上;

　　•重點保護網段的局域網交換機上。

　　(三)防火墻與IDS的結合。

　　談到網絡安全，人們第一個想到的就是防火墻。但隨著技術的發展，網絡日趨復雜，傳統防火墻所暴露出來的不足和弱點引起了人們對入侵檢測系統(IDS)技術的研究和開發。

　　首先，傳統的防火墻在工作時，就像深宅大院雖有高大的院墻，卻不能擋住小老鼠甚至是家賊的偷襲一樣，因為入侵者可以找到防火墻背后可能敞開的后門。

　　其次，防火墻完全不能阻止來自內部的襲擊。我們通過調查發現，70%的攻擊都將來自于校園網內部，對于校園網內部個別心懷不滿的教師或學生來說，防火墻形同虛設。

　　再者，由于性能的限制，防火墻通常不能提供實時的入侵檢測能力，對于現在層出不窮的攻擊技術來說是至關重要的。

　　第四，防火墻對于病毒也束手無策。因此，以為在 Internet入口處部署防火墻系統就足夠安全的想法是不切實際的。

　　入侵檢測系統(IDS)可以彌補防火墻的不足，為網絡安全提供實時的入侵檢測及采取相應的防護手段，如及時記錄證據用于跟蹤、切斷網絡連接，執行用戶的安全策略等。

　　四、防火墻與IDS結合的優點改進校園網

　　防火墻只是一種基于策略的被動防御措施，是一種粗顆粒的防御手段，無法自動調整策略設置來阻斷正在進行的攻擊，也無法防范基于協議的攻擊。所以，單靠防火墻是無法實現良好的安全防護性能的。

　　IDS能夠實時分析校園網外部及校園網內部的數據通訊信息，分辨入侵企圖，在校園網絡系統受到危害前以各種方式發出警報，并且及時對網絡入侵采取相應措施，最大限度保護校園網系統的安全。但是，單靠入侵檢測系統自身，只能及時發現攻擊行為，但卻無法阻止和處理。

　　我們將二者結合起來互動運行，防火墻便可通過IDS及時發現其策略之外的攻擊行為，IDS也可以通過防火墻對來自外部網絡的攻擊行為進行阻斷。IDS與防火墻有效互動就可以實現一個較為有效的安全防護體系，可以大大提高整體防護性能，解決了傳統信息安全技術的弊端、解決了原先防火墻的粗顆粒防御和檢測系統只發現難響應的問題。防火墻和入侵檢測的模型有以下好處：

　　1.如果能夠足夠迅速檢測到入侵，那么就能確認入侵者，并能在破壞發生或數據損壞之前把他驅逐出系統。即使未能足夠迅速地檢測出入侵并加以阻止，也是越迅速地檢測出入侵，越能減少破壞的危害并能更迅速地加以恢復。

　　2.高效的檢測系統能夠起到威懾作用，因此也能從一定程度上阻止入侵。

　　3.入侵檢測系統能夠收集有關入侵技術的信息。這樣可以用來加強入侵阻止設施。

　　五、入侵檢測技術的發展趨勢

　　目前，國外一些研究機構已經開發出了應用于不同操作系統的幾種典型的入侵檢測系統(IDS。它們通常采用靜態異常模型和規則的誤用模型來檢測人侵。這些1DS的檢測基本是基于服務器或基于網絡的=早期的1DS模型設計用來監控單一服務器，是基于主機的人侵檢測系統,然而近期的更多模型則集中用于監控通過網絡互連的多服務器，是基于網絡的侵人檢測系統近年來人侵檢測技術的主要發展方向。

　　六、結語

　　人侵檢測被認為是防火墻之后的第二道安全閘門，它采用的是一種主動的技術，能有效地發現入侵行為和合法用戶濫用特權的行為，已經成為網絡安全體系中一個重要組成分.目前入侵檢測技術還處于研究和發展階段，同樣存在很多不足之處。隨著網絡通信技術安全性的要求越來越高，人們需要重點研究一些智能化的檢測技術，同時還要研究如何將入侵檢測技術和其他網絡安全技術相結合來構建一個網絡安全體系等等，這些都是以后入侵檢測發展的主要方面。

　　參考文獻：

　　[1]唐正軍、李建華. 《入侵檢測技術》.清華大學出版社.2004年4月.