张小奇，蔡冠群，苏文明

随着Internet的高速发展以及教育信息化的突飞猛进，1995年12月中国教育与科研网CERNET建成并投入使用，各高校纷纷建立各自的校园网网络，并且通过CERNET与Internet连接，地区网络中心和地区主结点分别设在清华大学、北京大学、北京邮电大学、上海交通大学、西安交通大学、华中科技大学、华南理工大学、电子科技大学、东南大学、东北大学等10所高校，负责地区网的运行管理和规划建设。根据中国教育和科研网的统计，截至2017年12月，随着国内互联点的陆续开通，国内骨干网总入流量比2016年增加了48.57G，总出流量增加85G，国内互联总入流量比2016年增加了22.88G，总出流量增加21.29G。

图1入侵检测系统工作流程

计算机信息技术、计算机网络技术的飞速发展，使得校园网也在迅速地发展，校园网的应用和服务也日趋增多，在现代化教育体系中扮演的角色也越来越重要。但同时，网络安全、信息安全的问题也日趋突出，校园网的入侵攻击行为频频发生，入侵攻击行为手段不断翻新，且校园网内部中的数字资源越来越重要，因此，校园网的安全性就显得尤为重要。事实上，校园网的安全情况并不是特别乐观，针对网络的系统入侵、网页挂马、垃圾邮件、端口扫描、Dos攻击等入侵攻击行为时常发生。因此，针对校园网的网络安全、信息安全的多重、全方位的保护，就成了一个极其重要的环节。作为主动防御的入侵检测技术是传统网络安全技术的强有力的补充，研究入侵检测对于网络信息安全防御相对薄弱的校园网网络来说具有十分重要的意义和价值[1]。

1 入侵检测系统的研究

1.1 前期准备

入侵检测系统采用的是开源免费的软件，该系统是基于Snort的。Snort是一个跨平台的开源软件，所以可以选择在Linux、Windows等平台上进行安装。本系统选择的是Windows环境下来实现，并根据Windows环境为整个系统添加的其他辅助软件[2]。

为入侵检测系统添加的辅助软件，大部分都是开源软件。因其开放源代码，如果需要，可以对其进行修改，使它和其他辅助软件能够协同工作。所需辅助软件如下： WinPcap、Snort、Apache、PHP、Mysql、ACID、ADODB、JPGRAPH入侵检测系统的软件之间的工作流程如图1所示。简要的说，首先Snort通过WinPCAP将抓取的数据包送达SQL Server数据库，Apahce负责将这些数据通过WEB方式传送给管理员；入侵检测数据库分析控制台ACID可以通过Apahce访问SQL Server数据库，并将其中的数据通过图形工具JPGRAPH转换为用户容易理解的图形界面，PHP和ADODB则对该过程提供了引擎支持。

1.2 相关技术的实现

1.2.1 协议分析技术 协议分析技术是整个入侵检测系统的重要部分，需要对每一种协议进行解码并且分析的，如针对HTTP协议需要进行对HTTP进行解码，再对其进行分析是否存在对WEB站点所在的服务器进行的攻击。协议分析技术是根据TCP/IP体系结构来进行划分。

1.2.2 模式匹配技术 模式匹配技术是整个入侵检测系统的另一个重要组成部分，需要将采集的信息与系统中已有的入侵攻击行为模型进行匹配，从而来判断是否发生入侵攻击行为。

2 入侵检测系统的应用

由于入侵检测系统在数字化校园中扮演的是一个“聆听者”的角色，并不需要直接和网络设备发生通信，因此出于安全考虑，将入侵检测系统的采集器、控制台组成专用网络，这样能够更好地突出入侵检测系统的自身安全[3]。

入侵检测系统的采集器的部署位置对于入侵检测系统的检测效果尤为重要。部署采集器的原则是哪里被攻击可能性越大，哪里就应部署，通常是部署在网络中应受到保护的区域，以及需要进行统计分析的网络流量必经的网络上。在数字化校园中部署入侵检测系统时，为了全面针对校园网内各子网段以及服务器群等校园网内部进行检测，同时也可以检测校园网外部的入侵攻击行为，因此，将入侵检测系统的采集器部署在防火墙、核心交换机以及各子网段的交换机上，从而全方位的采集信息，更好地起到检测作用，提高了对入侵检测行为检测的效率，达到保障网络安全的目的。

2.1 采集器部署在防火墙上

将采集器部署在防火墙上，可以在最大范围内检测来自于校园网外部针对校园网内部的入侵攻击行为。通过防火墙上的采集器可以查看到来自互联网的各种入侵攻击行为，例如：端口扫描、WEB服务远程SQL注入攻击、ICMP-Flood淹没拒绝服务攻击等。同时，也可以让管理人员看到校园网的外部出口处于什么样的一个网络安全级别，经常受到什么样的入侵攻击行为，攻击是否成功等情况，以便及时调整网络安全方案，加强网络安全管理。

2.2 采集器部署在核心交换机上

在数字化校园内部部署采集器，最重要的位置就是核心交换机。核心交换机主要作用是高速转发通信，具有高可靠性、高性能和高吞吐量。数字化校园中所有网络数据包都必须从核心交换机上通过、转发。将采集器部署在核心交换机上，可以检测校园网内部发起的入侵攻击行为，以及渗透防火墙后进入校园网内部的外部攻击行为，对防火墙的规则设置起到一定的辅助作用。同时，核心交换机的高速转发对采集器的采集速度提出更高的要求，往往在抓取数据包会出现遗现象。在本设计部署中，部署在核心交换机上的采集器主要工作目的是保护放置在核心交换机上的各种服务器。

2.3 采集器部署在各子网段的交换机上

在数字化校园中采集器最主要的部署位置是各网段最底层的接入交换机。这些交换机往往位于网络数据包流量较大的位置，例如：计算机机房、学生宿舍、各院系办公区域等等。将采集器部署在这些交换机上是为了第一时间捕获到网络数据包，并进行分析是否存在入侵攻击行为。

在具体部署采集器时，需要注意的是为了保护采集器自身的安全性，需要在采集器上安装两块网卡，一块设置成混杂模式，用于采集网络中数据包，另一块用于和入侵检测系统的控制台进行通信。这样采集器就处于非常安全的位置，攻击者通过截获网络数据包等方法都无法对采集器进行嗅探、攻击，减少了采集器成为攻击目标的可能。

数字化校园的入侵检测系统的部署如图2所示。

图2数字化校园的入侵监测系统部署

3 系统测试与效果分析

为了更好地保障数字化校园的网络安全，在一期建设的基础上，加大了网络安全和信息安全的投入，综合使用各类安全产品和技术。通过这些网络安全技术的应用特别是入侵检测系统的使用，对校园网络中出现的ARP欺骗、SYN flooding攻击、WEB服务远程SQL注入攻击、拒绝服务攻击等问题起到很好的响应和阻截，为管理人员提供了有效的支持，为校园网络的运行维护提供了有力的保障，给用户使用数字化校园资源提供了一个更加安全的环境[4]。

在校园网络中使用入侵检测系统检测一段时间后，针对这段时间内的入侵攻击行为进行统计分析，以便找出校园网络中的薄弱环节以及网络安全隐患。典型攻击情况分析如图3。

排名事件事件次数1Traceroute ICMP/IPOPT探测网络拓扑操作397192网络未知加密数据传输280333WEB服务远程SQL注入攻击168874P2P文件共享工具142515ICMP-Flood淹没拒绝服务攻击81236SOCKS代理访问操作78347HTTP协议URL字段超长缓冲区溢出攻击7868SYN-Flood半开TCP连接淹没拒绝服务攻击8599端口扫描器PING Sweep操作613

图3典型攻击情况分析

由图3可以看出，前三位高频率事件分别为：Traceroute ICMP/IPOPT探测网络拓扑操作占33.92%，网络未知加密数据传输占23.94%、WEB服务远程SQL注入攻击占14.42%。

发现WEB服务远程SQL注入攻击共计16887次。对记录进行查询，其中大多数均为风行软件产生的问题，经查其原因是：风行软件客户端在启动后，会不定时连接风行网站以取得资讯、广告信息。连接使用TCP方式，在获取内容时使用了非法参数00%，此连接方式是封闭的客户端连接，风行软件商实际上是使用了危险的代码。此连接请求可被伪造，利用00%参数进行SQL注入攻击。

总的来说，最频繁的事件中，P2P和IM引起的事件居多。同时，通过入侵检测系统可以对整个数字化校园的流量来进行统计分析，可以看出，出口流量中HTTP协议居首位，占了总流量的60%以上，其次是P2P行为协议，例如迅雷等P2P软件，严重占用了网络带宽。

4 进一步研究

数字化校园中的网络安全是一个需要从多方位、多角度来考虑的系统工程，随着计算机网络技术快速地发展，网络安全技术也需要日益更新，做到防范于未然。由于个人经验不足、研究水平有限和研究时间有限，对入侵检测系统的研究、设计以及应用还存在不够成熟的地方，还有许多有待完善和值得继续探讨的问题，后续的工作重点包括:(1)现在网络安全产品种类越来越多，安全产品之间的关联也显得尤为重要，未来的入侵检测系统除了和传统的密码技术、防火墙技术相关联以外，还需要和行为管理、虚拟化等新兴的网络安全技术相关联、相结合，才能为网络用户提供一个良好的网络安全环境。(2)随着入侵攻击手段的多样化，对入侵检测系统的要求也越来越高。虽然现在入侵检测技术已经融合了很多智能化的检测手段，但是实现入侵检测系统的不断地自我更新、不断地自我学习以及自我完善仍是今后的主要研究方向。

5 结 语

通过在数字化校园中部署入侵检测系统，利用入侵检测系统检查入侵攻击行为、以及协议分析、流量分析等特点，有效地解决了一些网络安全问题，协助网络管理人员实时了解校园网络中存在的问题，例如大多数的网络带宽被P2P软件占用、由风行软件引起的WEB服务远程SQL注入攻击等等，及时调整网络安全策略，提前做到保护工作，将安全风险降至最低[5]。在数字化校园中使用入侵检测系统，可以说是较大地提高校园网络运行维护的管理效率，减轻了网络管理人员的工作压力，更加完善了校园网络安全体系。