導語：入侵檢測技術的校園網絡安全模型研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

0引言

隨著高等教育的發展，大學重組合并，組建綜合性大學，推動著高等教育的發展。由于這些大學是多個學校合并而成，因此擁有多個校區，再加上校區的范圍大，溝通聯系非常不便。基于此，校園網絡作為溝通傳播、教育教學的手段被廣泛應用于各大高校。但由于校園網的技術水平不高、設備落后，然而入侵技術不斷升級，黑客入侵防不勝防，校園網絡的安全問題日益嚴重。構建能夠抵御入侵技術的校園網安全防御模型有著重要的現實意義。

1校園網絡安全模型建設背景

1.1校園網絡安全問題日益突出

當前校園網絡的安全問題日益突出，主要有以下幾方面：網絡安全投入不足。許多學校將建設資金投入到教學設備的購置和其他方面，對網絡安全方面的投入比較少，尤其是沒有配置高端的安全設備，僅僅靠安裝防御軟件是不夠的。網絡管理混亂。學校的校區多，在學校各個校區均是各個自己進行網絡管理，沒有進行全校的統一管理和監控，上網用戶能使用不同的身份進入校園網，使網絡安全隱患極大。電子郵件管理不善。黑客入侵的重要手段就是通過電子郵件進行肉雞、病毒的傳播，用戶通過下載、瀏覽電子郵件就會將攜帶的病毒、肉雞植入電腦，黑客就能夠進行遠程網絡入侵。但現在校園網郵件系統并沒有進行系統的防護，對電子信件的過濾、防護手段非常落后，使得校園網安全受到威脅。網絡病毒泛濫。當前隨著網絡犯罪技術的發展，各種垃圾信息和病毒充斥著網絡，再加上網絡本身的傳播速度極快，使得病毒的傳播更加泛濫，造成用戶數據和資料的竊取、損失，但校園網絡并沒有對病毒進行有效的監控和防御。網絡安全意識缺乏。由于網絡技術興起的時間較短，大多數學校領導和學生的網絡安全意識薄弱，利用校園網訪問各種網站，下載各種資源，使得無意中攜帶病毒帶入網絡，造成校園網被黑客入侵，造成大量損失。

1.2入侵技術不斷升級

隨著網絡技術的不斷進步，黑客入侵技術也得到升級。當前網絡攻擊和入侵的手段多種多樣，從網絡探測到病毒攻擊、從電子欺騙和解碼攻擊等，黑客技術得到不斷升級。通常黑客入侵的流程如圖1：

1.3入侵檢測技術落后

入侵檢測和被動防御不同，它是積極的防護技術，即使對內外部攻擊進行檢測，對入侵攻擊進行攔截，保護網絡安全，圖2是通用性的入侵檢測模型。但是當前校園網的入侵檢測技術卻非常落后，對內外部攻擊不能進行及時響應和攔截，使得校園網絡的安全得不到保護。

2基于入侵檢測技術的校園網絡安全模型具體設計

該部分選取了一所典型的大學H網絡結構作安全模型設計。

2.1案例簡介

大學H是四所高校合并而成，所以共有四個校區，且校區并不集中，而是分散在城市各處，形成東南西北四個校區。隨著網絡技術的發展和教育手段的改進，為了加強學校教學手段和教學管理，學校計劃建設覆蓋全校的網絡系統以進行通訊管理、教育教學。當前，大學已經進行了網絡線路的建設，采用光纖進行小區之間的網絡連接。由于大學許多資料數據都屬于國家機密，因此需要重點考慮網絡安全，確保校園網絡能夠應對入侵，實現安全防護。所以，大學H針對各校區之間現存的網絡結構和體系進行了重新設計，欲搭建一個以總校區為中心、分校區和分支機構為輔的三級網絡機構。

2.2安全模型具體設計

大學H的網絡系統是以總校區為中心，分校區和分支機構為次的分布式網絡系統，系統構成包括服務器、郵件服務器、等聯網客戶機等。為了保障校園網絡安全，基于該校的網絡具體實際，采用三級集中管理的網絡模型是最合適的，并在其中融入防火墻、防病毒軟件和入侵檢測系統，并搭建從邊界防護、傳輸層防護，到核心主機防護的防御體系，便于多層防護、集中控制。由于該校總部在西校區，因此在此安裝全校的管理服務器作為網絡防御中心，而后在其他校區分布安裝管理服務器作為二級防御管理中心，在分支機構安裝服務器作為三級防御中心。根據具體實際，再各級防御中心均進行管理員設置，允許管理員進入網絡進行管理工作。通過此模型將整個學校的校園網建設成了有中心到四周的三級集中管理結構。圖3總校區管理員視圖第一級：西校區總部服務器負責整個學校的網絡防御，進行信息的收集和策略的制定，并直管二級服務器。并且進行總服務器的病毒庫和殺毒引擎升級。第二級：二級服務器負責各自分校區的網絡安全防御，并受一級服務器管理，對下屬的分支機構管理服務器命令。如圖4：圖4分校區管理員視圖第三級：三級管理服務器負責分支機構的網絡防御和安全命令。如圖5：圖5分支機構管理員視圖根據具體情況，上級管理員可以定期對下級管理員的工作進行檢查，并能夠進入下級管理員客戶端進行該級網絡安全的維護，使整個防御體系達到統一和完整，便于管理控制。

2.3邊界防護和傳輸防護

防火墻是被動進行防御的系統，存在著諸多不足，因此在防火墻的基礎上還需要進行入侵檢測系統作為補充防護，針對內外部攻擊進行實時監測、實時防御。它能夠主動檢測，進行入侵者和入侵行為的檢測并進行監視和信息的收集，以便采取措施。在邊界防護中采用基于專家系統和基于人工神經網絡結合的入侵檢測技術，即通過專家設置的規則，并針對所涉及的入侵行動進行分析。再加上人工神經網絡進行實時的處理，根據不同特征進行不同攻擊的識別，收集信息、實時檢測，主動對內外部攻擊行為進行檢測并記錄證據報警。在傳輸防護中，由于校區之間需要進行信息的傳輸，因此需要校區之間不需要的移動，只能允許校區內的主觀集合，但校區與校區之間的主管集合是不可以的，避免攻擊者發現其他校區的安全主機位置信息。

2.4核心主機防護

通常，核心主機安全防護都是采用雙網卡復合防火墻結構。但在該校核心主機安全防護上進行升級優化，在原有雙網卡的基礎上，再額外配置一塊網卡，進行內外部網和DMZ，采用屏蔽子網防火墻體系結構。將核心主機放在子網之內，通過兩個分組過濾路由器進行網絡連接并進行過濾，將內外網分開。防火墻可以使用公開的IP地址進行外部請求連接，內網保留地址并進行地址轉換技術，改變網絡地址進行外部網絡訪問。還需要配備上述入侵檢測系統以便進行實時防護，保證數據安全。

3結束語

隨著網絡技術的發展和網絡環境的復雜化，構建綠色安全的校園網是當前普遍關心的話題。在當前的網絡技術下，通過數據加密和被動的防火墻防御已經不能對抗日益更新的黑客入侵技術，只有采用入侵檢測技術、進行主動防御才是校園網安全的出路所在。通過使用入侵檢測技術作為防火墻的補充防御，主動進行入侵的檢測和防御，使校園網絡能夠實現安全化、綠色化。對于建設現代化高校有重要的推動作用。

作者:湯荻 胡駿 單位:湖北生物科技職業學院

引用：

[1]李春霞，齊菊紅.校園網安全防御體系的相關技術及模型[J].自動化與儀器儀表，2014.

[2]張祎江.數字化校園網絡安全防范機制構建與應用[J].科教文匯，2013.

[3]楊巍.校園網絡信息安全模型的設計[J].福建電腦，2012.

[4]鐘彩虹.基于PDRR的校園網絡安全體系研究[J].無線互聯科技，2013.

[5]陳錦琪，陳曉語.校園網絡安全防范體系的構建與策略[J].計算機與絡，2013.

[6]姚愷榮.基于校園網的多校區網絡安全設計[J].卷宗，2011.

[7]劉炳奇.動態網絡安全模型校園網應用研究[J].硅谷，2010.

[8]林曉東.基于NS2網絡抵御DDoS攻擊的校園網安全模型設計研究[J].電腦編程技巧與維護，2015.