基于免疫機(jī)制的校園網(wǎng)安全模型設(shè)計(jì)

孫曉樂,張軍超,高東懷

第四軍醫(yī)大學(xué)網(wǎng)絡(luò)中心,西安 710032

1 校園網(wǎng)絡(luò)存在的安全問題

網(wǎng)絡(luò)環(huán)境的日益復(fù)雜化使得校園網(wǎng)絡(luò)遭受的入侵越來越多,網(wǎng)絡(luò)安全問題變得愈來愈突出。當(dāng)前針對(duì)網(wǎng)絡(luò)安全采取的技術(shù)手段主要有:部署防火墻、安全路由器、加強(qiáng)用戶接入認(rèn)證等。這些防御手段對(duì)防止系統(tǒng)被非法入侵有一定的效果,但由于它們是被動(dòng)方式的防御,針對(duì)性和靈活性不強(qiáng),對(duì)未知攻擊的防御效果不明顯,防護(hù)措施的有效程度僅在網(wǎng)絡(luò)層以下[1],不能起到很好的整體防御效果。

校園網(wǎng)入侵檢測(cè)系統(tǒng)在一定程度上能有效彌補(bǔ)被動(dòng)防御的不足,提供對(duì)內(nèi)、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。我中心現(xiàn)使用的入侵檢測(cè)系統(tǒng)以捕獲、協(xié)議分析等為檢測(cè)技術(shù)核心,以基于協(xié)議分析的方式支持協(xié)議自識(shí)別與協(xié)議插件技術(shù),提供基于特征和基于原理的兩種檢測(cè)規(guī)則,監(jiān)控除 DMZ區(qū) (demilitarized zone,非軍事區(qū))的所有流量,設(shè)備采用單級(jí)管理、集中式部署。此系統(tǒng)雖然能夠幫助用戶量化并定位來自內(nèi)網(wǎng)和外網(wǎng)的威脅,但其在自適應(yīng)性、靈活性等方面還有待改進(jìn)。

傳統(tǒng)集中式入侵檢測(cè)系統(tǒng)架構(gòu)是在網(wǎng)絡(luò)的不同網(wǎng)段放置一個(gè)或者多個(gè)傳感器來搜集信息,然后將這些信息傳送到控制中心進(jìn)行處理和分析[2]。這樣的集中處理存在著如控制中心負(fù)荷太大、網(wǎng)絡(luò)傳輸時(shí)延較為嚴(yán)重、網(wǎng)絡(luò)性能降低等諸多問題,特別是在異構(gòu)、高速的校園網(wǎng)絡(luò)中這些問題顯得尤為突出。……