基于校園網(wǎng)協(xié)作式入侵檢測(cè)系統(tǒng)模型研究

摘要：該文通過對(duì)現(xiàn)有校園網(wǎng)絡(luò)安全及入侵檢測(cè)技術(shù)的分析，提出一種基于協(xié)議分析的分布式入侵檢測(cè)方法，采用分布收集信息，分布處理多方協(xié)作的方式，將基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS結(jié)合使用，構(gòu)筑面向大型網(wǎng)絡(luò)的IDS；然后通過全局安全網(wǎng)絡(luò)協(xié)作，收集撥號(hào)用戶的信息，檢查個(gè)體計(jì)算機(jī)是否存在漏洞、病毒，如果發(fā)現(xiàn)有就阻止其接入網(wǎng)絡(luò)，強(qiáng)制其用到可信的網(wǎng)絡(luò)修復(fù)系統(tǒng)或更新最新的病毒庫后才可以正常接入校園網(wǎng)。這樣通過網(wǎng)絡(luò)和個(gè)體來確保整個(gè)校園網(wǎng)絡(luò)的安全運(yùn)行。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；入侵檢測(cè)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)31-0800-03

The Cooperative Intrusion Detection System Model Based on Campus Network

LI Ang1，2， HU Xiao-long1

(1.School of Information Science and Engineering， Central South University， Changsha 410075， China; 2.Modern Education Technology Center， Hunan Institute of Technology， Hengyang 421002， China)

Abstract: Through the existing analysis of network security and intrusion detection technology， this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly， processes in multilateral cooperation， and constructs the large-network IDS. Then， it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions， this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.

Key words: campus network; network security; intrusion detection

1 網(wǎng)絡(luò)安全形勢(shì)分析

2007年，我國公共互聯(lián)網(wǎng)網(wǎng)絡(luò)整體上運(yùn)行基本正常，但從CNCERT/CC接收和監(jiān)測(cè)的各類網(wǎng)絡(luò)安全事件情況可以看出，網(wǎng)絡(luò)信息系統(tǒng)存在的安全漏洞和隱患層出不窮，利益驅(qū)使下的地下黑客產(chǎn)業(yè)繼續(xù)發(fā)展，網(wǎng)絡(luò)攻擊的種類和數(shù)量成倍增長，終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者，基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)面臨著嚴(yán)峻的安全威脅。在地下黑色產(chǎn)業(yè)鏈的推動(dòng)下，網(wǎng)絡(luò)犯罪行為趨利性表現(xiàn)更加明顯，追求經(jīng)濟(jì)利益依然是主要目標(biāo)。黑客往往利用仿冒網(wǎng)站、偽造郵件、盜號(hào)木馬、后門病毒等，并結(jié)合社會(huì)工程學(xué)，竊取大量用戶數(shù)據(jù)牟取暴利，包括網(wǎng)游賬號(hào)、網(wǎng)銀賬號(hào)和密碼、網(wǎng)銀數(shù)字證書等。木馬、病毒等惡意程序的制作、傳播、用戶信息竊取、第三方平臺(tái)銷贓、洗錢等各環(huán)節(jié)的流水作業(yè)構(gòu)成了完善的地下黑色產(chǎn)業(yè)鏈條，為各種網(wǎng)絡(luò)犯罪行為帶來了利益驅(qū)動(dòng)，加之黑客攻擊手法更具隱蔽性，使得對(duì)這些網(wǎng)絡(luò)犯罪行為的取證、追查和打擊都非常困難[1]。

從IDC網(wǎng)絡(luò)安全調(diào)查數(shù)據(jù)來看，網(wǎng)絡(luò)的安全威脅主要來自三個(gè)方面：第一、網(wǎng)絡(luò)的惡意破壞者，也就是我們所說的黑客，造成的正常網(wǎng)絡(luò)服務(wù)的不可用、系統(tǒng)/數(shù)據(jù)的破壞；第二、無辜的內(nèi)部人員造成的網(wǎng)絡(luò)數(shù)據(jù)的破壞、網(wǎng)絡(luò)病毒的蔓延擴(kuò)散、木馬的傳播；第三、就是別有用心的間諜人員，通過竊取他人身份進(jìn)行越權(quán)數(shù)據(jù)訪問，以及偷取機(jī)密的或者他人的私密信息。其中，由于內(nèi)部人員而造成的網(wǎng)絡(luò)安全問題占到了70% 。

縱觀高校校園網(wǎng)安全現(xiàn)狀，我們會(huì)發(fā)現(xiàn)同樣符合上面的規(guī)律，即安全主要來自這三方面。而其中，來自校園網(wǎng)內(nèi)部的安全事件占到了絕大多數(shù)。這與校園網(wǎng)的用戶是息息相關(guān)的。一方面，高校學(xué)生這群精力充沛的年輕一族對(duì)新鮮事物有著強(qiáng)烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責(zé)任感。同時(shí)網(wǎng)絡(luò)也使得黑客工具等的獲取更加的輕松。另一方面，校園網(wǎng)內(nèi)卻又存在著很多這樣的用戶，他們使用網(wǎng)絡(luò)來獲取資料，在網(wǎng)絡(luò)上辦公、娛樂，但是安全意識(shí)卻明顯薄弱，他們不愿意或者疏于安裝防火墻、殺毒軟件。

此外，我們的網(wǎng)絡(luò)管理者會(huì)發(fā)現(xiàn)，還面臨這其他一些挑戰(zhàn)，比如：

1) 用戶可以在隨意接入網(wǎng)絡(luò)，出現(xiàn)安全問題后無法追查到用戶身份；

2) 網(wǎng)絡(luò)病毒泛濫，網(wǎng)絡(luò)攻擊成上升趨勢(shì)。安全事件從發(fā)現(xiàn)到控制，基本采取手工方式，難以及時(shí)控制與防范；

3) 對(duì)于未知的安全事件和網(wǎng)絡(luò)病毒，無法控制；

4) 用戶普遍安全意識(shí)不足，校方單方面的安全控制管理，難度大；

5) 現(xiàn)有安全設(shè)備工作分散，無法協(xié)同管理、協(xié)同工作，只能形成單點(diǎn)防御。各種安全設(shè)備管理復(fù)雜，對(duì)于網(wǎng)絡(luò)的整體安全性提升有限。

6) 某些安全設(shè)備采取網(wǎng)絡(luò)內(nèi)串行部署的方式，容易造成性能瓶頸和單點(diǎn)故障；

7) 無法對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行記錄，事后審計(jì)困難；

總之，網(wǎng)絡(luò)安全保障已經(jīng)成為各相關(guān)部門的工作重點(diǎn)之一，我國互聯(lián)網(wǎng)的安全態(tài)勢(shì)將有所改變。

2 入侵檢測(cè)概述

James Aderson在1980年使用了“威脅”概述術(shù)語，其定義與入侵含義相同。將入侵企圖或威脅定義未經(jīng)授權(quán)蓄意嘗試訪問信息、竄改信息、使系統(tǒng)不可靠或不能使用。Heady給出定外的入侵定義，入侵時(shí)指任何企圖破壞資源的完整性、機(jī)密性及可用性的活動(dòng)集合。Smaha從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)、惡意使用六種類型。

從技術(shù)上入侵檢測(cè)系統(tǒng)可分為異常檢測(cè)型和誤用檢測(cè)型兩大類。異常入侵檢測(cè)是指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源情況檢測(cè)出來的入侵。異常檢測(cè)試圖用定量方式描述可接受的行為特征，以區(qū)別非正常的、潛在入侵性行為。誤用入侵檢測(cè)是指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來檢測(cè)入侵。與異常入侵檢測(cè)相反，誤用入侵檢測(cè)能直接檢測(cè)不利的或不可接受的行為，而異常入侵檢測(cè)是檢查同正常行為相違背的行為。

從系統(tǒng)結(jié)構(gòu)上分，入侵檢測(cè)系統(tǒng)大致可以分為基于主機(jī)型、基于網(wǎng)絡(luò)型和基于主體型三種。

基于主機(jī)入侵檢測(cè)系統(tǒng)為早期的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)、其檢測(cè)的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。檢測(cè)原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測(cè)系統(tǒng)可以運(yùn)行在被檢測(cè)的主機(jī)上。這種類型系統(tǒng)依賴于審計(jì)數(shù)據(jù)或系統(tǒng)日志準(zhǔn)確性和完整性以及安全事件的定義。若入侵者設(shè)法逃避設(shè)計(jì)或進(jìn)行合作入侵，則基于主機(jī)檢測(cè)系統(tǒng)就暴露出其弱點(diǎn)，特別是在現(xiàn)在的網(wǎng)絡(luò)環(huán)境下。單獨(dú)地依靠主機(jī)設(shè)計(jì)信息進(jìn)行入侵檢測(cè)難以適應(yīng)網(wǎng)絡(luò)安全的需求。這主要表現(xiàn)，一是主機(jī)的審計(jì)信息弱點(diǎn)，如易受攻擊，入侵者可通過通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì)本身更低級(jí)的操作來逃避審計(jì)。二是不能通過分析主機(jī)審計(jì)記錄來檢測(cè)網(wǎng)絡(luò)攻擊（域名欺騙、端口掃描等）。因此，基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)安全是必要的，這種檢測(cè)系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議信息等數(shù)據(jù)檢測(cè)入侵。主機(jī)和網(wǎng)絡(luò)型的入侵檢測(cè)系統(tǒng)是一個(gè)統(tǒng)一集中系統(tǒng)，但是，隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和大型化，系統(tǒng)的弱點(diǎn)或漏洞將趨向于分布式。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵特點(diǎn)。入侵檢測(cè)系統(tǒng)要求可適應(yīng)性、可訓(xùn)練性、高效性、容錯(cuò)性、可擴(kuò)展性等要求。不同的IDS之間也需要共享信息，協(xié)作檢測(cè)。于是，美國普度大學(xué)安全研究小組提出基于主體入侵檢測(cè)系統(tǒng)。其主要的方法是采用相互獨(dú)立運(yùn)行的進(jìn)程組（稱為自治主體）分別負(fù)責(zé)檢測(cè)，通過訓(xùn)練這些主體，并觀察系統(tǒng)行為，然后將這些主體認(rèn)為是異常的行為標(biāo)記出來，并將檢測(cè)結(jié)果傳送到檢測(cè)中心。另外，S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。

對(duì)于入侵檢測(cè)系統(tǒng)評(píng)估，主要性能指標(biāo)有：

1) 可靠性——系統(tǒng)具有容錯(cuò)能力和可連續(xù)運(yùn)行；

2) 可用性——系統(tǒng)開銷要最小，不會(huì)嚴(yán)重降低網(wǎng)絡(luò)系統(tǒng)性能；

3) 可測(cè)試——通過攻擊可以檢測(cè)系統(tǒng)運(yùn)行；

4) 適應(yīng)性——對(duì)系統(tǒng)來說必須是易于開發(fā)和添加新的功能，能隨時(shí)適應(yīng)系統(tǒng)環(huán)境的改變；

5) 實(shí)時(shí)性——系統(tǒng)能盡快地察覺入侵企圖以便制止和限制破壞；

6) 準(zhǔn)確性——檢測(cè)系統(tǒng)具有低的誤警率和漏警率；

7) 安全性——檢測(cè)系統(tǒng)必須難于被欺騙和能夠保護(hù)自身安全[4]。

3 協(xié)作式入侵檢測(cè)系統(tǒng)模型

隨著黑客入侵手段的提高，尤其是分布式、協(xié)同式、復(fù)雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)、單一、缺乏協(xié)作的入侵檢測(cè)技術(shù)已不能滿足需求，要有充分的協(xié)作機(jī)制，下面就提出協(xié)作式入侵檢測(cè)的基本模型。

3.1 協(xié)作式入侵檢測(cè)系統(tǒng)由以下幾個(gè)部分組成

1) 安全認(rèn)證客戶端(SU)。能夠執(zhí)行端點(diǎn)防護(hù)功能，并參與用戶的身份認(rèn)證過程。參與了合法用戶的驗(yàn)證工作完成認(rèn)證計(jì)費(fèi)操作，而且還要完成安全策略接收、系統(tǒng)信息收集、安全漏洞上傳，系統(tǒng)補(bǔ)丁接收修復(fù)等大量的工作，對(duì)系統(tǒng)的控制能力大大增強(qiáng)。

2) 安全計(jì)費(fèi)服務(wù)器(SMA)。承擔(dān)身份認(rèn)證過程中的Radius服務(wù)器角色，負(fù)責(zé)對(duì)網(wǎng)絡(luò)用戶接入、開戶，計(jì)費(fèi)等系統(tǒng)管理工作外，還要負(fù)責(zé)與安全管理平臺(tái)的聯(lián)動(dòng)，成為協(xié)作式入侵檢測(cè)系統(tǒng)中非常重要的一個(gè)環(huán)節(jié)。

3) 安全管理平臺(tái)(SMP)。用于制定端點(diǎn)防護(hù)策略、網(wǎng)絡(luò)攻擊防護(hù)防止規(guī)則，協(xié)調(diào)系統(tǒng)中的其他組件在網(wǎng)絡(luò)資源面臨的安全威脅進(jìn)行防御，能夠完成事前預(yù)防、事中處理、事后記錄等三個(gè)階段的工作。智能的提供一次配置持續(xù)防護(hù)的安全服務(wù)。

4) 安全事件解析器(SEP)。接收處理NIDS發(fā)送過來的網(wǎng)絡(luò)攻擊事件信息，處理后發(fā)送給安全管理平臺(tái)，目的是屏弊不同廠家的NIDS的差異，把不同廠商、不同的入侵事件轉(zhuǎn)換成統(tǒng)一的安全管理平臺(tái)能處理的格式轉(zhuǎn)發(fā)給安全管理平臺(tái)，便于安全管理平臺(tái)處理。

5) 入侵檢測(cè)系統(tǒng)(IDS)。網(wǎng)絡(luò)入侵檢測(cè)設(shè)備，對(duì)網(wǎng)絡(luò)流量進(jìn)行旁路監(jiān)聽，檢測(cè)網(wǎng)絡(luò)攻擊事件，并通過SEP向安全管理平臺(tái)反饋網(wǎng)絡(luò)攻擊事件，由安全管理平臺(tái)處埋這些攻擊事件。一個(gè)網(wǎng)絡(luò)中可以布暑多個(gè)IDS設(shè)備。

入侵檢測(cè)系統(tǒng)由三個(gè)部分組成：

1) Sensor探測(cè)器，也就是我們常看到的硬件設(shè)備，它的作用是接入網(wǎng)絡(luò)環(huán)境，接收和分析網(wǎng)絡(luò)中的流量。

2) 控制臺(tái)：提供GUI管理界面，配置和管理所有的傳感器并接收事件報(bào)警、配置和管理對(duì)于不同安全事件的響應(yīng)方式、生成并查看關(guān)于安全事件、系統(tǒng)事件的統(tǒng)計(jì)報(bào)告，控制臺(tái)負(fù)責(zé)把安全事件信息顯示在控制臺(tái)上。

3) EC（Event Collector）事件收集器，它主要起以下作用：負(fù)責(zé)從sensor接收數(shù)據(jù)、收集sensor日志信息、負(fù)責(zé)把相應(yīng)策略及簽名發(fā)送給sensor、管理用戶權(quán)限、提供對(duì)用戶操作的審計(jì)，向SEP發(fā)送入侵事件等工作。EC可以和控制臺(tái)安裝在同一個(gè)工作站中。

3.2 協(xié)作式入侵檢測(cè)系統(tǒng)中組件間的交互過程

1) SAM和SMP的交互過程

在協(xié)作式入侵檢測(cè)系統(tǒng)中，SMP同SAM的關(guān)系就是，SMP連接到SAM。連接成功后，接收SAM發(fā)送的接入用戶上線，下線消息。Su上線，SAM發(fā)送用戶上線消息。Su下線，SAM發(fā)送用戶下線消息。Su重認(rèn)證，SAM發(fā)送用戶上線消息。

2) JMS相關(guān)原理

SMP同SAM之間的交互是通過JMS（Java Message Service）。SAM啟動(dòng)JBoss自帶的JMS服務(wù)器，該服務(wù)器用于接收和發(fā)送JMS消息。SAM同時(shí)也作為JMS客戶端（消息生產(chǎn)者），負(fù)責(zé)產(chǎn)生JMS信息，并且發(fā)送給JMS服務(wù)器，SMP也是JMS客戶端（消息消費(fèi)者）。目前SAM所實(shí)現(xiàn)的JMS服務(wù)器是以“主題”的方式發(fā)布的，即有多少個(gè)JMS客戶端到JMS服務(wù)器訂閱JMS消息，JMS服務(wù)器就會(huì)發(fā)送給多少個(gè)JMS客戶端。當(dāng)然了消息生產(chǎn)者也可以多個(gè)。相當(dāng)于JMS服務(wù)器（如SAM）是一個(gè)郵局，其它如JMS客戶端（如SMP，NTD）都是訂閱雜志的用戶，同時(shí)SAM也作為出版商產(chǎn)生雜志。這樣，SAM產(chǎn)生用戶上下線消息，發(fā)送到SAM所在Jboss服務(wù)器的JMS服務(wù)器中，JMS服務(wù)器發(fā)現(xiàn)SMP訂閱了該消息，則發(fā)送該消息給SMP。

在協(xié)作式入侵檢測(cè)系統(tǒng)中，SMP就是JMS客戶端，SAM既作為JMS消息生產(chǎn)者，也作為JMS服務(wù)器。當(dāng)SMP啟動(dòng)時(shí)，SMP通過1099端口連接到SAM服務(wù)器，并且進(jìn)行JMS消息的訂閱，訂閱成功后，即表示SMP同SAM聯(lián)動(dòng)成功。當(dāng)用戶通過su上線成功后，SAM根據(jù)JMS的格式，產(chǎn)生一條JMS信息，然后發(fā)送給JMS服務(wù)器，JMS服務(wù)器檢查誰訂閱了它的JMS消息，然后發(fā)送給所有的JMS用戶。

3) SU和SMP的交互過程

間接交互：對(duì)于Su上傳的端點(diǎn)防護(hù)HI狀態(tài)（成功失敗），HI配置文件更新請(qǐng)求，每個(gè)Su請(qǐng)求的響應(yīng)報(bào)文，SMP下發(fā)給Su的相關(guān)命令，均通過交換機(jī)進(jìn)行透?jìng)鳎瓷蟼鞯男畔⒍及賁NMP Trap中，下發(fā)的信息都包含在SNMP Set報(bào)文中。交換機(jī)將Su上傳的EAPOL報(bào)文封裝在SNMP Trap包中，轉(zhuǎn)發(fā)給SMP。交換機(jī)將SMP下發(fā)的SNMP Set報(bào)文進(jìn)行解析，提取出其中包含的EAPOL報(bào)文，直接轉(zhuǎn)發(fā)給Su。這樣就實(shí)現(xiàn)了Su同SMP的間接交互，隱藏了SMP的位置。

直接交互：對(duì)于一些數(shù)據(jù)量較大的交互，無法使用EAPOL幀進(jìn)行傳輸（幀長度限制）。因此Su從SMP上面下載HI配置文件（FTP服務(wù)，端口可指定），Su發(fā)送主機(jī)信息給SMP的主機(jī)信息收集服務(wù)（自定義TCP協(xié)議，端口5256，能夠通過配置文件修改端口），都是由SU和SMP直接進(jìn)行交互。

4) SMP同交換機(jī)之間的交互

交換機(jī)發(fā)送SNMP Trap報(bào)文給SMP。交換機(jī)發(fā)送的SNMP Trap都是用于轉(zhuǎn)發(fā)Su上傳的消息，如果沒有Su，交換機(jī)不會(huì)發(fā)送任何同GSN方案相關(guān)的Trap給SMP的。

SMP發(fā)送SNMP Get和SNMP Set給交換機(jī)：a) 在用戶策略同步時(shí)，會(huì)先通過SNMP Get報(bào)文從交換機(jī)獲取交換機(jī)的策略情況；b) 安裝刪除策略時(shí)，SMP將策略相關(guān)信息發(fā)送SNMP Set報(bào)文中，發(fā)送給交換機(jī)；c) 對(duì)用戶進(jìn)行重人證，強(qiáng)制下線，獲取HI狀態(tài)，手動(dòng)獲取主機(jī)信息等命令，都是通過SNMP Set發(fā)送給交換機(jī)的，然后由交換機(jī)解釋后，生成eapol報(bào)文，再發(fā)送給su，由su進(jìn)行實(shí)際的操作。

5) SMP與SEP交互

SEP在收到NIDS檢測(cè)到的攻擊事件后（這個(gè)攻擊事件是多種廠商的NIDS設(shè)備通過Syslog、UDP、SNMP等報(bào)文的形式發(fā)送到SEP的），SEP處理完這些不同廠商發(fā)現(xiàn)不同攻擊事件的信息后，以UDP的方式發(fā)送到SMP中，完成SEP和SMP的交互過程，這是一個(gè)單向的過程，也就是說SMP只從SEP中接收數(shù)據(jù)，而不向SEP發(fā)送數(shù)據(jù)。

6) SEP與NIDS交互

首先NIDS檢測(cè)到某個(gè)IP和MAC主機(jī)對(duì)網(wǎng)絡(luò)的攻擊事件，并把結(jié)果通過Syslog、UDP、SNMP等報(bào)文的形式發(fā)送到SEP（安全事件解析器），安全事件解析器SEP再把這個(gè)攻擊事件通過UDP報(bào)文轉(zhuǎn)發(fā)到SMP（安全管理平臺(tái)）。

3.3 協(xié)作式入侵檢測(cè)系統(tǒng)工作原理及數(shù)據(jù)流圖

協(xié)作式入侵檢測(cè)系統(tǒng)工作原理：

1) 身份認(rèn)證——用戶通過安全客戶端進(jìn)行身份認(rèn)證，以確定其在該時(shí)間段、該地點(diǎn)是否被允許接入網(wǎng)絡(luò)；

2) 身份信息同步——用戶的身份認(rèn)證信息將會(huì)從認(rèn)證計(jì)費(fèi)管理平臺(tái)同步到安全策略平臺(tái)。為整個(gè)系統(tǒng)提供基于用戶的安全策略實(shí)施和查詢；

3) 安全事件檢測(cè)——用戶訪問網(wǎng)絡(luò)的流量將會(huì)被鏡像給入侵防御系統(tǒng)，該系統(tǒng)將會(huì)對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行檢測(cè)和記錄；

4) 安全事件通告——用戶一旦觸發(fā)安全事件，入侵防御系統(tǒng)將自動(dòng)將其通告給安全策略平臺(tái)；

5) 自動(dòng)告警——安全策略平臺(tái)收到用戶的安全事件后，將根據(jù)預(yù)定的策略對(duì)用戶進(jìn)行告警提示；

6) 自動(dòng)阻斷（隔離）——在告警提示的同時(shí)，系統(tǒng)將安全（阻斷、隔離）策略下發(fā)到安全交換機(jī)，安全交換機(jī)將根據(jù)下發(fā)的策略對(duì)用戶數(shù)據(jù)流進(jìn)行阻斷或?qū)τ脩暨M(jìn)行隔離；

7) 修復(fù)程序鏈接下發(fā)——被隔離至修復(fù)區(qū)的用戶，將能夠自動(dòng)接收到系統(tǒng)發(fā)送的相關(guān)修復(fù)程序鏈接；

8) 自動(dòng)獲取并執(zhí)行修復(fù)程序——安全客戶端收到系統(tǒng)下發(fā)的修復(fù)程序連接后，將自動(dòng)下載并強(qiáng)制運(yùn)行，使用戶系統(tǒng)恢復(fù)正常。

協(xié)作式入侵檢測(cè)數(shù)據(jù)流圖見圖3。

4 結(jié)束語

由于各高校實(shí)力不一、校園網(wǎng)規(guī)模不一，出現(xiàn)了許多問題，其中最主要的是“有硬無軟”和“重硬輕軟” 。特別是人們的安全意識(shí)淡薄，雖然網(wǎng)絡(luò)安全硬件都配備齊全，但關(guān)于網(wǎng)絡(luò)的安全事故卻不斷發(fā)生，使校園網(wǎng)的安全面臨極大的威脅。因此，隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，如何確保校園網(wǎng)正常、高效和安全地運(yùn)行是所有高校都面臨的問題。該文結(jié)合高校現(xiàn)在實(shí)際的網(wǎng)絡(luò)環(huán)境，充分利用各種現(xiàn)有設(shè)備，構(gòu)建出協(xié)作式入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)了“多兵種協(xié)同作戰(zhàn)” 的全局安全設(shè)計(jì)，同時(shí)將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機(jī)、路由器等）和網(wǎng)絡(luò)終端設(shè)備（用戶PC、服務(wù)器等），成為一個(gè)全局化的網(wǎng)絡(luò)安全綜合體系。

參考文獻(xiàn)：

[1] CNCERT/CC[P].網(wǎng)絡(luò)安全工作報(bào)告，2007.

[2] 張曉芬，陳明奇，等.入侵檢測(cè)系統(tǒng)(IDS)的發(fā)展[J].信息安全與通信保密，2002(03).

[3] Staniford-Chen S，Tung B，Schnackenberg D.The Common Intrusion Detection Framework (CIDF). The 1st Information Survivability Workshop，Orlando，F(xiàn)L，USA，1998.

[4] 蔣建春，馬恒太，等.網(wǎng)絡(luò)安全入侵檢測(cè):研究綜述[J]，軟件學(xué)報(bào)，2000，11(11):1460-1466.