校園網入侵防御系統(tǒng)的研究與設計周豐杰

1、508計算機技術與應用進展2010校園網入侵防御系統(tǒng)的研究與設計周豐杰121合肥工業(yè)大學計算機與信息學院，合肥2330992安徽電子信息職業(yè)技術學院，安徽蚌埠233000摘要:本文從加強校園網安全的重要性出發(fā)，提出在校園網中引入了入侵防御技術（IPS），最后設計了一個基于蜜罐技術的校園網入侵防御系統(tǒng)，并采用開源免費的snt_inline、filter和Honeyd加以實現(xiàn)，對高校及中小企業(yè)建立主動防御網絡安全體系有一定的參考價值。關鍵詞

2、關鍵詞:網絡安全入侵防御蜜罐技術1引言校園網已經成為高校的重要基礎設施之一，是高校教學、科研、管理的重要手段和平臺，校園網的網絡安全問題日益突出。近年來，校園網安全事件屢屢發(fā)生，導致高校的重要信息的泄密、破壞，正常網絡服務無法進行，更有甚者導致校園網癱瘓，造成無法估量的損失。校園網的安全隱患，給校園網的維護和管理帶來嚴重挑戰(zhàn)，成為校園網管理和維護中主要課題[1]。IPS(入侵防御系統(tǒng))被認為是防火墻之后的第二道安全閘門，它作為一種主動的

3、網絡安全防御技術，從網絡安全立體、多層次防御的角度出發(fā)，對防范網絡攻擊提供了主動的實時保護，能夠在網絡系統(tǒng)遭到破壞之前攔截和響應[24]。本文通過校園網入侵防御系統(tǒng)的研究與設計，有助于校園網主動防御安全體系的構建，加強校園網安全保障。2校園網入侵防御系統(tǒng)模型設計圖1校園網入侵防御系統(tǒng)的總體框架校園網入侵防御系統(tǒng)由防火墻、NIPS和蜜罐系統(tǒng)三級防御體系組成。防火墻部署在內網和外網之間，監(jiān)控內、外網之間的訪問流量，保障內網安全。NIPS部署

4、在防火墻之后，檢測網絡流量，并對攻擊進行主動防御。蜜罐作為獨立系統(tǒng)部署，一方面蜜罐是防火墻很好的補充，它能夠偽裝成被攻擊的主機和攻擊者交互，捕獲黑客的入侵活動并記錄日志，利用這些日志信息可以制定出新的安全策略，更新檢測規(guī)則和防火墻的策略，從而起到彌補誤報、漏報缺陷和完善防火墻安全策略的作用。另一方面，蜜罐吸引攻擊者對510計算機技術與應用進展2010毀壞或暴露風險的情況下可以確定入侵者的意圖、記錄下入侵者的信息。蜜罐主機以旁路的方式部署

5、在防火墻和NIPS的后面。如圖3所示為蜜罐系統(tǒng)與其他系統(tǒng)的交互圖。網絡遭受攻擊時，蜜罐系統(tǒng)與其交互，收集并記錄攻擊日志，通過發(fā)送日志消息上報日志管理模塊。日志管理模塊收集蜜罐日志并將其上報系統(tǒng)控制中心。系統(tǒng)控制中心分析日志并制定新的安全策略，及時更新檢測規(guī)則庫和防火墻的安全策略，彌補誤報、漏報的缺陷和防火墻的不足。圖3蜜罐系統(tǒng)與其他系統(tǒng)的交互圖3.3日志管理模塊的設計日志管理模塊的設計日志管理模塊主要功能是通過日志報警收集進程及時收集S

6、nt_inline、filter、Honeyd所產生的日志報警信息，并通過日志發(fā)送進程將這些信息發(fā)送給日志服務器如圖4所示，日志報警信息采用MySQL數(shù)據(jù)庫方式存儲日志服務器和其他各個模塊交互采用客戶機服務器（CS）模式。圖4日志管理系統(tǒng)設計圖圖5系統(tǒng)控制中心的設計圖3.4系統(tǒng)控制中心模塊的設計系統(tǒng)控制中心模塊的設計系統(tǒng)控制中心是整個系統(tǒng)的核心，一方面負責分析日志報警信息并制定相應的安全策略，及時更新防火墻和NIPS的策略；另一方面對防

7、火墻、NIPS、蜜罐系統(tǒng)和日志管理系統(tǒng)進行統(tǒng)一調配和集中管理。系統(tǒng)控制中心的設計如圖5所示?？梢钥闯?，系統(tǒng)控制中心由系統(tǒng)控制進程和日志分析及策略制定進程組成。日志分析和策略制定進程負責向日志服務器發(fā)出請求并獲得日志信息，分析日志信息并制定出新的安全策略，然后將新的安全策略交由系統(tǒng)控制進程響應。一方面系統(tǒng)控制進程向防火墻、NIPS和蜜罐系統(tǒng)發(fā)送控制消息進行集中控制；另一方面對防火墻和IPS的日志進行更新。系統(tǒng)控制中心的實現(xiàn)基于web服務器