龙源期刊网httpwwwqika
comc
基于校园网的入侵检测系统的设计与应用
作者：张松娟李金玲来源：《电脑知识与技术》2009年第24期
摘要入侵检测是一种通过某种方法完成网络系统中入侵行为检测和报告的技术。鉴于目前校园网络环境普遍存在的安全问题的现状该文主要讨论如何在校园网中部署入侵检测系统。
关键词网络安全入侵检测系统规则中图分类号TP393文献标识码A文章编号10093044200924667102
TheApplicatio
ofI
trusio
Detectio
Systemo
CampusNetworkZHANGSo
gjua
LIJi
li
gNa
ya
gI
stituteofTech
ologyNa
ya
g473004Chi
aAbstractI
trusio
sDetectio
isatech
ologythroughthecompletio
ofthe
etworksystemi
trusio
sdetectio
a
dreporti
gAtprese
tbecauseoftheirparticulargroupsofusersa
dexisti
g
etworkstructurethesecurityofcampus
etworkhasbecomeagrowi
gco
cer
ofthepeopleThisreportmai
lydiscusshowtodeploya
IDSSystemo
thecampus
etworkKeywords
etworksecurityi
trusio
sdetectio
systemrules
随着计算机网络的快速发展网络安全日益引起了各行各业的重视校园网中上网人数众多因而发生在校园网中的各种网络安全事件也普遍发生。防火墙可以提高网络的安全度但是防火墙却只能防护外来的入侵对于来自内部的攻击却无能为力。而入侵检测系统刚好可以弥补网络中的这个缺陷。
1入侵检测系统概述
入侵检测系统IDSI
trusio
Detectio
System是一种针对网络中的入侵行为进行检测的工具根据网络攻击的特征或在系统日志下留下的痕迹结合用户权限与系统状态等信息采用通缉
f龙源期刊网httpwwwqika
comc
分析或智能分析算法等来监控系统或网络的安全状态1。入侵检测并不能阻止某些入侵但能帮助系统管理员阻止黑客的进一步攻击弥补了被动式网络安全组件的不足之处。
如图1所示在实际网络环境中入侵检测探测器一般都被放置在网络的“旁路”可以对网络中的各种数据流行为进行监控和识别一旦检测到网络入侵行为就会向IDS控制台发出警报2。
S
ort是一个著名的基于规则的开源入侵检测系统由Marti
Roesch编写并由遍布世界各地的众多程序员共同维护升级是目前最活跃的开源网络入侵检测项目。S
ort定位于轻量级的入侵检测系统已经实现了网络探测器和许多第三方的管理及日志分析工具是事实上的工业标准。
S
ort系统可以分为5个主要的组件每个组件对入侵检测都很关键。第一个是捕包装置。S
ort依赖一个外部捕包程序库libpacp来抓包。在包被以原始状态捕获后要送给包解码器。解码器是进入S
ort自身体系的第一步解码器可以完成对捕获的数据包进行逐层解r