li2圆— i 。 。 信息技术 分布式入侵检测系统在校园网中的应用研究 田关伟 (四川民族学院 四川康定 626001) 摘要:入侵检测是保障网络信息安全的一种重要技术,本文分析了开源软件snort ̄工作原理及分布式体秉,并研究了在校园网中合理的 部署snort分布式入侵检测系统。 关键词:分布式 snort 入侵捡测 校园网 中图分类号:TP393 文献标识码:A 文章编号:1 672-3791(2011)08(b)一0008—02 个重要手段,但防火墙功能有限,不能够 系统从计算机系统或监控网络中收集信 随着信息化建设的快速发展,校园一 一卡通、科研协作、办公自动化、教学管理、档 防范经由网络内部的攻击及数据驱动式的 息,并从这些信息中分析入侵及误用。本质 案管理、图书管理、宿舍管理等信息管理系 攻击,因此需要采用入侵检测系统等新的 上入侵检测系统分为基于主机入侵检测系 统在校园网中的构建,给高校日常工作和 网络安全技术。 统(HIDS)和基于网络的入侵检测系统 业务管理带来了方便和高效,校园网越发 (NIDS)。 显得重要,同时,网络安全问题也变得越来 1入侵检测系统 HIDS在主机的操作系统、应用程序或 越突出。 入侵是对信息系统的非授权访问或未 内核层次上对攻击进行监控,有权检查日 现今防火墙是校园网进行安全保护的 经许可在信息系统中进行操作。入侵监测 志、错误消息、服务和服务权限,以及主机 的任何可用资源,能够更好的确定攻击是 否成功,但不能够检测出针对未安装HIDS 主机的攻击。NIDS放置在网络基础设施的 关键区域,监控网络上的数据流量,对数据 包进行模式匹配运算,从而发现和检测入 侵。由于NIDS的主动性和灵活性,在安全领 域内被广泛使用。 随着高速网络的应用,网络的不断扩 充,单位时间内需检测的流量大大增加,若 不提高数据包处理能力,将会出现漏报;另 图1 外攻击手法的不断增加,特征匹配数据库 也越来越大,导致数据包检测处理速度降 辫 低,因此需要提高入侵检测系统的检测速 率和效率。而使用三层体系结构的分布式 监控防火 , 入侵监测系统(DIDS)可以解决此问题。 -l■lsnort服务琴 ■ l 2 Snort Snort是一个开放源码的网络安全解决 … 方案,功能包括数据包嗅探、数据包记录、 祈 入侵检测,由于Snort的高效、灵活,现在广 Snor ̄服务器 泛被使用为网络入侵监测系统。 二层 暇 务器 2.1 Snort内部工作 Snort主要可以分成5个组件,这些组件 在进行人侵检测是均起到关键作用,图1为 曲§t Snort在工作时的数据流程。 第一个组件是抓包装置,Snort使用一 图2 个外部抓包程序库libpcap来抓包,libpcap直 接从网卡捕获监听到的未经操作系统修改 的原始包,并输送给包解码器。包解码器建 立网络堆栈,从较低的数据链路层协议开 始,依次逐层对数据包进行解码,并送到下 一组件预处理器。预处理器在数据包进入 Snort主检测引擎以前进行解析、报警或丢 弃操作,以使主检测引擎能够正确的分析这 些数据包。Snort有多种预处理器, ̄0frag2 预处理器把分片的数据包进行重组, po rtscan2预处理器用来检测端口扫描, ARPspoof预处理器可以检i ̄lJARP异常流 量。网络流量经过预处理后才会发送到主 检测引擎,检测引擎主要任务是规则建立 和基于规则的特征检测。Snort在服务启动 时将规则库载入内部数据结构,并将流量 的各部分依次与规则进行匹配,若流量被 图3校园网拓扑图 (下转1 0页) 8 科技资讯,SCIENCE&TECHNOLOGY INFORMATION Q ] Q:塑 SCIENCE&TEOHNOLOOY INFORMATION 信息技术 为了减少高速运行列车上的小区切 比,采用泄漏电缆可以有效降低隧道内施 站出发,直至抵达目的站,用户都附着在铁 路小区网络上,发生的话务/数据流也都为 换,尽可能延长单小区的覆盖距离,采用基 铁路小区吸纳,到达火车站后,重选/切换 站+射频拉远单元的组网方式。同时为了减 至车站或周边小区,实现为用户提供优质 少铁路沿线小区位置更新的数量,沿铁路 铁路覆盖服务。 线设置线性位置区,使覆盖铁路的小区处 于同一个位置区。区间组网如图2所示。 2.1高铁车站设计方案 2.2.2相邻小区重叠区域设置 2.1.1室内布线系统 根据GSM移动通信网络建设标准, GSM通信事件中,小区重选与小区切 GSM室内信号覆盖强度一般为一75dBm,边 换需要一定的时间来完成接续工作。其中 缘值为-85dBm。为了达到室内深度覆盖的 小区重选规则中,当手机测量到邻小区C2 要求在高铁车站可以采用室内布线系统。 高于服务小区C2值且维持5s,手机将发起 室内布线系统包括天线、功分器、耦合器、 小区重选,若在跨位置区处,则邻小区C2必 射频电缆以及功率放大器等设备。通过室 须服务小区C2与CRH设置值的和并 内布线系统可以达 ̄IJGSM网络室内信号强 度要求,有效消除覆盖弱区和盲区。 2.1.2火车站的切换 由于火车站是用户进入高速铁路GSM 移动网络的出入口,因此在高铁车站切换 主要需要考虑两个方面的问题:移动大网 工难度。而从长远角度考虑,泄漏电缆的宽 频特性也为今后其他系统接入预留平台。 2.3.2隧道口的切换 为了避免用户在隧道内发生掉话等, 切换宜设置在隧道口。通过在隧道口安装 定向板状天线将隧道内信号引出,在隧道 外设置满足相邻小区切换条件的重叠覆盖 区。 与高铁专网之间的切换和高铁专网内部之 间的切换。根据火车站建筑结构特点两种 切换分别设置在火车站站前广场和火车站 站台。火车站切换区如图l所示。大网与专 网A之间存在切换关系,专网A与专网B之 间存在切换关系,大网与专网B之间不存在 高速铁路GSM移动通信网络覆盖工程 是一项复杂的系统工程,高铁特殊的无线 传输环境决定了其网络的特殊性,在具体 设计中,在着力解决覆盖深度和切换问题 且维持5S,手机发起小区重选和位置更新。 的同时应进一步考虑专网与大网之间的优 而在小区切换过程中,通常测量报告在经 化问题,减少对大网影响的同时充分利用 过设定的SAC CH窗口值平滑后,经BSC判 既有网络资源从而降低建设成本。断,将发起小区切换,而整个切换的时间取 决于sACcH的设置值,该值通常设为8。列 参考文献 ~ 车运行在两小区覆盖区域时,从A小区运 [1】王文博.移动通信原理与应用【M】.北京 行至B4,区,A4,区的信号越来越弱,B小区 邮电大学出版社出版. 的信号越来越强,切换时长为5S,则重叠区 【2】吴克非.中国铁路GSM—R移动通信系 长度为:S=V×2T,其中V是列车运行速度, 统设计指南IN】.中国铁道出版社出版. T是切换时长。按照列车最快运行速度 【3】高速铁路现网技术优化方案.中国移动 350km/h计算,则覆盖长度为972m。 广东分公司. 2.3高铁隧道设计方案 [4]高速铁路专网设计与优化.中国移动上 2.3.1泄漏电缆 .海分公司. 切换关系,这样的切换设置可以保证旅客 采用泄漏电缆进行隧道覆盖是目前比 【5】诺西、华为、京信等设备厂家技术资料. 进入车站后占用高铁信号,实现高铁车站 的切换过渡功能。 较常用的一种方式。采用泄漏电缆的优点 2.2高铁区间设计方案 是可以使信号在隧道内均匀分布。同时与 2.2.1基站+射频拉远组网 安装八木天线或板状天线等定向天线相 (上接8页) 匹配,即作为入侵数据输出。Snort入侵检测 的最终数据通过输出插件提供给用户,主 要途径是将入侵数据转储到文件或其他资 源中,通常我们使用数据库输出插件将入 侵数据记录到关系数据库中, ̄IIMySQL, PostgreSQL,Oracle等。 2.2分布式snort体系 传感器用于网络中捕获数据包,应使 用稳定、安全、高效的BSD系列操作系统,且 不要安装无关程序,避免安全漏洞。传感器 可设置双网卡,一块负责抓包,一块作管理 接口。抓包的网卡不设置IP地址,只接收网 络流量。管理接口与二层服务器和三层控 规则集的更新。ACID是用于分析和处理 Snort手机的入侵数据的主要工具。控制台 在实际工作中并不进行检测和管理数据, 因此可以使用低配置的计算机,安装win- dows系统。控制台需要有web浏览器,和 SSH客户端,在WindOWS平台可以使用 制台通信。 PuTTY等来连接Snort服务器、探测器的 放置传感器的位置决定了想要监控的 SSH服务来进行管理。 流量。如图3,传感器①放置在防火墙外,可 以探测到被防火墙阻挡的对内网的试探性 4结语 攻击,也可以探测到针对防火墙的攻击,但 Snort安装、维护和使用都比较困难,而 很多被防火墙阻塞的攻击也会产生报警, 且需要管理员编写符合自身网络的检测规 同时探测器所处位置增加了被攻击和控制 则,界面友好程度、易操作性不及商用的入 的风险。如果传感器②放在防火墙内部,只 侵检测系统,同时Snort使用的libpcap处理 对成功通过了防火墙的流量进行监控。探 的最大带宽有限。但作为一个低成本的IDS 测器③④分别放置在DMZ区和探测器④放 解决方案,合理配置和部署Snort,能够胜 置在内网服务器网段内,检测访问服务器 任中小型局域网的入侵检测任务。 的所有数据流。 3.2部署服务器 参考文献 Snort ̄务器接收来自传感器的流量, [1】Jack Koziol[著】,吴溥峰,等[译】.Snort入 出相应处理。 将入侵数据存人数据库,构建平台应优先选择 侵检测使用解决方案【M】.北京:机械工 BSD系列或Linux的操作系统。Snort ̄E务器上需 业出版社,2005. 3在校园网中部署Snort 要安装一些服务器组件:Apache+MySQL+PHP [2]唐正军.入侵检测系统导论【M】.北京: 由于各校园网网络拓扑结构不同,再 环境。Apache为系统提供WebN务,MySQL 机械工业出版社,2004. 考虑到需要监控内容的特殊性及构建成 作为入侵数据的存储数据库;OpenSSL,使 【3】Brian Caswell,等[著],宋劲松,等【译】. 本,应根据实际情况来部署Snort,才能使 传感器和服务器之间的通信加密。 Snort 2.03,侵检测fM】.国防工业出版 入侵检测系统安全高效的工作。现以我校 3.3分析员控制台 社,2004. 网络拓扑结构为例,阐述分布式Snort体系 通过分析员控制台,用户可以管理 的构建。 Snort体系中各个组件,维护Snort ̄E务器或 3.1部署传感器 服务器集群,更改传感器的配置和入侵库 Snort所依赖的libpcap在网络流量超过 百兆时会出现丢包,使Snort产生漏报,使用 多探测器的分布式Snort可以解决这一问题, 同时随着网络规模的扩大,分布式Snort体系 可以根据校园网发展的需要,方便的扩充系 统。图2是分布式Snort三层体系,传感器、服 务器、控制台完成各自的功能。第一层 的传感器负责入侵监控和数据收集,Snort就 运行在这一层上;第二层服务器接受传感器 处理的数据,将数据组织进关系数据库,并 可以以GuI形式显示数据,第三层分析控制 台为分析员使用,对入侵数据进行解释并做 0 科技资讯SCIENCE&TECHNOLOGY INFORMATION
