摘 要
随着网络技术的发展,校园网网络环境变得越来越复杂,大学已经建设了自己的校园网,校园网的发展迅速导致校园网安全问题日益严重,如何提高校园网的安全性和稳定性,是各个学校需要重视的问题。现在很多的学校对校园内的局域网进行安全处理,比如设置网络防火墙、设置网络服务器、对网络端口进行加密过滤以及验证,但是这些网络数据的管理在一定程度上都比较先进,但是外部的渗透以及入侵技术也在不断地创新,学校方面也要加大对校园网数据渗透的检测和加固设计。
基于此,本文对基于渗透检测的校园网防御体系来应对日益严重的校园网安全问题进行了具体的研究。首先介绍了本文的研究背景及研究意义;然后对校园网的安全进行分析;其次,对渗透检测系统进行了具体的论述;再次,基于渗透检测的网络防御体系进行具体的模型构建,并在此基础上介绍了系统的实现,同时基于渗透检测的防御体系的模拟分析进行一定的实验;最后是本文的总结。指出应用渗透检测系统的校园网安全管理系统具有较强的安全防御功能。
关键词:校园网;渗透检测;安全防御;设计实现
1.引言
我国从20世纪末期进已经开始对互联网中的局域网进行管理和控制,互联网的信息技术以及智能化技术非常强大,所以国家对于物联网个人信息以及局域网的信息进行大量的渗透管理和检测。随着网络技术的发展,校园网网络环境变得越来越复杂,大学已经建设了自己的校园网,校园网的发展迅速导致校园网安全问题日益严重,如何提高校园网的安全性和稳定性,是各个学校需要重视的问题。通过国家数据管理委员会的调查,我国大部分的校园网内部存在电脑病毒危机、黑客入侵以及计算机内部安全问题等,还有校园网内部用户对网络资源的不规范使用也是一个主要威胁,学生正是好奇心旺盛的年纪,对新鲜事物有着强烈的好奇心,单只安全意识却明显薄弱,缺乏全面思考的责任感,不愿意或者疏于安装防火墙,杀毒软件。如果没有完善的互联网检测系统,那么校园内的网络安全问题效应会不断地扩大,对于校园的学习环境有一定的影响。
2校园网数据的安全分析
2.1校园网数据安全概况
校园网数据是校园整体交流的中心和支柱。校园网连接每个校园的子网络。校园网的出现问题,就会中断了学校的正常操作,甚至导致教育问题。同时也会造成财产损失、教育甚至个人安全,将给学校带来不可挽回的损失。作为校园信息交换的重要基础,校园网、教育、研修、外汇管理等校园网发挥着重要的作用。校园网安全直接影响到学校教育质量的结果。随着应用程序的深化,校园网上的数据急剧增加,对网络的攻击也在增加。各种各样的安全问题开始妨碍校园网的正常操作。而且还发生了网络安全事件和校园网安全问题。面临巨大的威胁。校园网一般分为以下部分:中央计算机室、教育建筑、办公楼、研究室建筑、图书馆、教职员工、学生宿舍楼等。防火墙直接连接到外部互联网,并且路由器执行NAT地址翻译。图2 -1表示校园网的基本构造。
图2-1校园网拓扑结构图
校园主要网络攻击的种类有如下几种:
(1)DHCP欺骗攻击。 DHCP攻击是对DHCP的严重攻击。 由于DHCP服务器的IP地址有限,因此网段只能分配254个IP地址。 因此,如果黑客使用工具假装请求DHCP分配,并且存在大量与该网段对应的DHCP服务器地址,导致为了数据出现紊乱。
(2)MAC洪水攻击交换机通常建立一个CAM表,主动学习客户端的MAC地址,建立交换路径,建立并维护端口和MAC地址之间的对应表。开关的尺寸不同,但凸轮工作台本身的尺寸是固定的。用一种特殊的方法去除MAC,快速填充。这是对交换机的MAC/CAM攻击。
(3)ARP 欺骗攻击。ARP在互联网中属于一种重要的结构,它涉及到网络分散以及网络互连的功能,也就是我们常见的路由器分散无线网,以及宽带网关的数据,一般网络渗透都是通过互联网的网关进行渗透,或者是通过路由器进行入侵[1]。
2.2校园网数据安全问题分析
校园应用程序的开端还可以正常运行。但是应用程序不断加深,校园里的各种数据量急剧增加,各种安全问题开始困扰互联网管理员和教学事务所。具体的网络问题主要在以下多方面体现:
(1)相互非法访问:互访问控制的子系统不是很严格,不仅在校园网系统中,网络的分类性能也是相对平均的。它可以是安全性和可用性。鉴于这一点,最科学、最不安全这是因为校园网建设的策略层次较浅,而传统的使用技术手段,防止非法访问系统的安全结构中的数据,但威胁很大但是管理比较混乱的部门。
(2)IP 地址的管理问题,包括 IP 地址非法使用、IP 地址冲突和IP 地址欺骗。
(3)网络检索和服务抗拒攻击。网络端口搜索及使用几个字缺陷的扫描软件,特别是公共电脑室,DDOS以及DOS软件多资源及大量替换功能的服务器,影响系统,学校机房的网络使用性会出现较大的问题,甚至直接造成服务器瘫痪。
(4)蠕虫病毒通过物理隔离和切换病毒。如果机房中的计算机遭遇入侵,整个建筑都会出现VLAN产的问题。同样使用无线网的管理,管理人员很难进行问题排出,只能够通过机房机器的IP地址进行相应的检查,这一部分的过程十分麻烦。
(5)学校校园网如果收到了不良信息的入侵,短时间是无法进行解决和排查的,这一些不良信息对于学校交些以及学生学习都会造成非常不好的影响,同时也会影响学校的教学秩序。
(6)路由器瓶颈。因为线是直接连接到路由器,一旦遭遇渗透或受到攻击,将会对整个校园网防火墙进行破坏。虽然之间的绝缘和外部网络的路由器,路由器可以限制的一个主要的安全隐患,虽然校园的人员可以通过路由器停止来阻断外部入侵,但是这种防御方式作用有限[2]。一旦入侵的数据直接冗余路由器和防火墙,将会对整个校园网造成不利的影响。路由器的交换机数据分析速度回影响后续病毒入侵的解决速度,所以路由器将成为一个瓶颈。
3校园网数据渗透检测系统
3.1 渗透检测技术的研究
渗透检测安全技术(IDS):电脑网络系统在各个信息收集和分析点中提供网络监控、违反规则、安全战略,提供多种功能。安全监视、监视、识别、攻击、反攻击、追踪攻击、紧急申报过程。安全防御系统是一个动态安全技术,采用静态防火墙技术,大大提高防火墙系统的安全水平,虽然知识依赖单一产品。因特网是整体安全性的载体,一定要补充校园网的防火墙。检查系统是安全产品的最佳渗透防御颁发,根据新的攻击检查系统,所有运营者对网络代码信息的出口最有侵犯性。要根据行动、网络反应来避免攻击和犯罪。
可以通过测试系统渗透。根据不同的类型不同的焦点。一般分为数据分析方法及数据源。根据数据分析分析可以分辨不同的方法,可根据此以上渗透系统的检索系统滥用不同的数据来源,可以分为主机渗透搜索系统网络搜索系统。
网络渗透检测在一定的程度上是可以对校园内部局域网的外部入侵进行阻拦,它是一个分布式校园电脑以及计算机的安全系统,具有网络渗透监控,渗透实时拦截离线渗透处理,渗透检测统计,以及形成完整的通告等多种功能。 监控网络资源的运行状态,为网络管理员提供及时的网络渗透预警和预防解决方案,使检查黑客的渗透成为可能,为用户采取进一步行动提供强大的技术支持,减少了恶意黑客的威慑力量[3]。
本次系统的设计主要是为了做到对校园网数据以及信息的渗透预防,其中包括网关的入侵、黑客的渗透、数据的泄露。因为学校网络数据的涉及群众范围比较广,覆盖的群众信息以及数据非常大,为了更好的进行校园网数据的保护,通过适当的渗透检测方式还是非常有必要的。对学校内部网络数据的渗透检测可以减少非法用户以的信息查询权限,内网中有关于异常时间的查询日志,网络管理员可以通过校园网的操作日志进行可疑人员IP的确认,并对其的网络权限进行限制。
发现内部危险:渗透检测放置在网络中,识别授权用户、性能良好用户和不满意用户之间的安全事件。网络渗透引擎可以放置在网络中心核心交换机等重要位置,主机渗透检测可以安装在重要服务器上;缓解潜在威胁:可以安装在学校网络和主机上,可以确定具体的或可疑的威胁,通过策略中断等安全产品进行协同。综合保护;从相关事件和活动的多个角度提供标准格式的具体数据。
3.2 渗透检测与防火墙相结合的防御技术的研究
渗透检测与防火墙的结合形成了一个内外联动的多层次、全方位的安全体系。防火墙对外部和内部的入侵信息进行及时的拦截。如果检测到的数据是正常没有危险的,那么可以直接避开检测系统,后续各个拦截也会对其进行放行。如果检测到的信息以及数据不合格,那么首先会改数据进行重新检测以及渗透检测,对于检测过后依旧是违法的数据实施拦截,对于检测过后没有入侵风险的数据进行开方管理。
每种网络安全设备都有其自身的优缺点。单个网络产品不能保证网络的安全。为了充分发挥各种安全产品的优势,弥补其不足,有必要加强各种安全产品的相互合作,形成全面、多层次的安全产品。网络安全系统。安全保护应是一种多层次的保护机制,包括安全策略、防病毒和防病毒软件、防火墙、渗透检测等安全产品技术解决方案,积压的安全产品要协同工作,相互学习,测试和保护整个网络,以确保网络安全,协同工作。自信、可用性和完整性[4]。
目前,渗透检测系统与防火墙之间的接口和连接是通过开放的接口实现的。换句话说,防火墙打开渗透检测系统使用的接口。当渗透检测系统检测到威胁时,相关信息通过预定的协议发送回防火墙,然后防火墙进行相应的处理。这个过程更加灵活,不会影响整个系统的性能。渗透检测系统配合防火墙预先设置对方的通信端口和IP地址。在通信之前执行身份验证,所有数据通信都需要加密。相互作用原理如图3-1所示。
图3-1 渗透检测与防火墙结合互动原理
4基于渗透检测的网络加固设计
4.1 基于渗透检测的体系模型的设计
构建了基于渗透检测的校园网安全模型,使系统能够随时主动检测外部黑客/内部网络的攻击,有效应对边界上的各种安全风险。渗透检测系统的主要技术手段是主动检测和智能识别渗透行为,并采取有效措施防止攻击。根据校园网的特点和网络安全状况,设计了一种基于渗透检测的校园网安全模型,如图4-1所示。
图4-1 基于渗透检测的校园网安全模型
校园网安全模型主要由三部分组成:渗透检测系统、防火墙系统和网络安全服务器(数据采集、分析和病毒检测)。网络骨干安全由网络渗透检测系统(NIDS)、防火墙网关和网络安全服务器组成,主机(子网)安全由主机防火墙、主机渗透检测系统(HIDS)和防病毒软件组成。
4.2 基于渗透检测的加固体系的实现
4.2.1核心主机防护的实现
在保护核心主机的基础上,对基于防火墙的系统进行了重新优化设计,如图4-2所示。在原有两张网卡的基础上,将网卡接入内部网络、Internet和DMZ,采用屏蔽子网防火墙架构。主机放置在子网中形成非军事区,通过两个包过滤路由器与外部网络和内部网络连接,将子网与Internet和内部网络分开。防火墙使用公共IP地址接收外部请求,而内部网络使用保留的IP地址,并使用NAT(网络地址转换)技术通过路由器访问外部网络。在防火墙上配置了根据上述方案设计的渗透检测系统,以过滤大部分攻击[5]。当检测到攻击时,防火墙策略会自动修改,并执行数据处理和安全恢复。
图4-2 核心主机防护的实现
4.3 校园网数据渗透检测的加固体系的模拟分析
对系统实施加固和优化主要内容是:对系统进行加固和对系统进行测试。对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足需求。每完成一个加固步骤后就要测试系统的功能性要求和安全性要求是否满足需求如果其中一方面的要求不能满足,该加固步骤就要重新进行。
本实验是基于渗透检测的防御体系的模拟分析实验采用KDDCUP99作为渗透检测数据集。KDDCUP99是用于调查和评估渗透检测系统的研究情况而采集的数据集,包括490万个连接数据,几十种攻击,共有5种攻击类型:
(1)拒绝服务DOS攻击(Denial of Service),例如ping of death, smurf, SYN Flood等;
(2)远程主机非授权访问R2L攻击(Remote to Local),例如基于字典的密码猜测和缓冲区溢出攻击;
(3)本地用户非法提升权限的攻击UZR(User to Root),如几种缓冲区溢出攻击的变种;(4)探测攻击PROBE,例如端口扫描和漏洞扫描;
(5)数据传输Data攻击。我们选取KDDCUP99数据集中“kddcup.data-10. Percent”子集,总数据集中的10%,其中包含97278个正常记录和396473个异常数据记录。
生成加固报告
加固报告是提供完成系统加固的最终报告。其中包含以下内容:
(1)加固过程的完整记录
(2)有关系统安全管理方面的建议或解决方案
(3)对加固系统安全审计结果
windows系统加固
下面以windows系统为例,从帐户口令.网络服务.两个方面进行加固的内容。
帐户口令
以最小权限原则对操作系统用户,用户组进行权限设置,删除系统多余用户.设置口令复杂性要求为用户设置强壮的口令,设置鉴别失败阈值及达到阈值所采取的措施,设置系统超时自动注销功能。
合理配置应用帐户或自建帐户权限。删除系统中多余的自建帐户。禁用Guest帐户。开启口令复杂性要求。设置令确保长度和复杂度满足安全要求。设置口令最短最长存留期。配置帐户锁定登录失败锁定次数,锁定时间。配置管理控制台超时自动锁定时间,设置屏保口令保护。禁止系统自动登录。
网络服务
关闭系统中不安全的服务,确保操作系统只开启承载业务所必需的服务和网络端口.限制能够访问本机的用户或IP地址,远程访问控制应有安全机制保证在不影响业务系统正常运行情况下停止或禁用与承载业务无关的服务。
在仿真实验中,采用两台主机对校园网进行攻击。一个位于校园网内部,另一个位于校园网外部。两个攻击主机攻击校园网中的特定攻击主机[6]。仿真结果表明,入侵检测率在99%以上,满足了入侵检测产品初步部署的预期目标。通过防火墙的联动,可以有效地检测渗透,并制定相应的防护措施。
4.2.2交换机防护的实现
根据校园网的结构,结合渗透检测系统的运行,采用了防病毒软件和防火墙技术的分级管理。校园网安全管理体系结构采用多重保护体系。开关保护实现如下图4-3所示。在整个网络中,只要存在感染和病毒传播的可能性,就会采取相应的抗病毒措施。有效快速地实现和管理整个网络的防病毒系统,充分发挥“远程安装”、“智能升级”、“远程报警”、“集中管理”、“分布式杀毒”等功能。为整个网络建立一个全面的防病毒系统。
图4-3 交换机防护的实现
5总结
基于校园网络安全管理系统的渗透检测系统,结合各种传统的安全策略和防御工具(如防火墙、防病毒软件等),将渗透检测系统的校园网络安全管理系统与灵活的策略配置相结合,方便升级管理,结合防火墙的互补性,继承了传统防火墙的优点,克服了传统防火墙的不足。它是一种合理的下一代网络安全解决方案,全面、准确、高效、稳定、安全。快速和其他功能。
但是,作为一种应用系统,本身必然存在缺陷和不足。 随着新防火墙技术和渗透检测技术的不断发展,甚至其他网络安全技术的发展,当前系统的不足将继续存在只有不断应用和学习新技术才能改善我们的网络保护。 系统可以保证网络资源的安全。
参考文献
[1]孙影.论高校网络建设中的信息安全[J].中外企业家,2019(34):230.
[2]马亮,王晓东,赖小波.智慧校园网络与信息安全防护的实施——以浙江中医药大学为例[J/OL].中国医学教育技术,2019(06):711-714[2019-12-06].
[3]韦娟,徐翠婷.大学生网络舆情管理研究[J].科技风,2019(32):195+197.
[4]杨杨.试析校园网搭建及网络安全设计[J].网络安全技术与应用,2019(11):90-91.
[5]杨会.网络安全背景下的中职学校数字化教学资源管理[J].网络安全技术与应用,2019(11):96-97.
[6]阮永颖.浅论高校大学生校园网络借贷法律问题研究[J].佳木斯职业学院学报,2019(11):67+70.
[7]刘贵锋,杨勇.新时代背景下高校智慧校园网络安全研究[J].农家参谋,2019(21):276.
[8]代一平.高职院校网络信息安全建设中存在的问题及对策[J].信息技术与信息化,2019(10):137-139.
[9]程起龙.高职院校网络安全的现状、问题及对策剖析[J].电脑知识与技术,2019,15(30):46-47.
[10]刘丽丽.网络安全中对计算机信息管理技术的运用[J].现代信息科技,2019,3(20):155-156+159.
1、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“文章版权申述”(推荐),也可以打举报电话:18735597641(电话支持时间:9:00-18:30)。
2、网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
3、本站所有内容均由合作方或网友投稿,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务。
原创文章,作者:打字小能手,如若转载,请注明出处:https://www.447766.cn/chachong/167366.html,
