广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 1930 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 在网路教学平台中建构网路入侵侦测反应系统
在网路教学平台中建构网路入侵侦测反应系统
http://mail.nhu.edu.tw/~so...5/45-06.htm

随着网路的快速发展,网路安全显得相当重要。在本研究中,我们采用Snort原理建立一套整合了网路教学平台的防护系统,藉以侦测从网路而来的入侵者。除此之外,透过网路其具备便捷性与及时性等良好性质,我们为学习者提供立即的告知及排除问题等服务,藉以增进其网路安全的知识及维持网路教学平台的正常使用。

Recently, with the fast development of Internat, the network security becomes more important. In this study, we adopt Snort’s method to establish a protective system, integrating with E-learning base, to detect invaders from Internet. Besides, though network, owning good properties such as convenience and immediateness, we serve the student with a prompt warning and trouble-shooting to improve the knowledge about the network security and maintain the availability of E-learning base.

关键词:网路教学、网路安全、入侵侦测系统
壹﹒引言
网路学习的浪潮,实现终身学习的梦想,学习者在投入网路学习的过程中,常有抱怨网路连接太慢或无法连接发生,影响了学习的意愿,经过调查,问题在于网路的安全上,因此「网路安全」也即成为所有国家努力的目标,2003年1月,于檀香山举行之OECD与APEC数位经济政策架构全球会议(The OECD-APEC Global Forum on Policy Frameworks for the Digital Economy)安全议题指出了网路安全的重要性及相关的因应政策(OECD2003);美国联邦调查局所属的关键性基础设施保护中心发布了一份题为《关于网路空间安全的国家战略》的报告,第一次明确地将网路安全提升到了关系国家安全的战略高度,第一次将网路安全综合进了关于国家安全的总体思路之中。一些国际网路安全专家认为,在目前网路安全热的背后,许多人对网路安全的认识其实还处于初级阶段,并不成熟,其中 IETF中的IP安全协定工作组主席Barbara Fraser指出网路的不安全是因为网路安全专业知识的匮乏和网路认识上的偏差,网路安全应从个人做起。因此本研究目的为开发网路入侵侦测反应系统,提供学习者网路安全的解决方案,唤醒学习者对网路安全的重视。

贰﹒发展理念
一﹒提供一个不同的安全机制
无论是在个人的作业平台、传统主从(Client/Server)架构,或多层式架构、Internet平台等,防毒软体及防火墙则扮演了重要的角色(如图1所示),微软针对网路安全则提出保护电脑的简单三步骤(如图2所示);尽管如此,研究发现网路学习者往往个人使用电脑网路警觉心不足及没有相关电脑知识,还是会饱受网路病毒或骇客入侵的危机,有些学习者甚至不知道自己已被骇客入侵或中了网路病毒,感染给网路学习平台或其他学习者电脑上,进而导致于教学平台无法正常运作之情事。综观目前的网路教学平台,系统管理者所处理的方式即利用防火墙及防毒软体杜绝网路的危害,属被动的预防及治疗。
而在此研究者认为网路教学平台除了提供网路教学的服务之外,应有义务主动的告知学习者在学习时的网路情况并告知处理方法,网路病毒及网路骇客并不可怕,可怕的事不加制止而到处蔓延,产生严重的后果。因此在教学平台的网路安全告知的机制是必要的,让学习者了解电脑目前的状况,以唤起学习者的警觉心(图3所示)。


图1 一般电脑安全架构

图2 微软提出保护电脑简单3步骤(参考自微软网站)

图3 网路告知及存取模式

二﹒Snort侦测原理
Snort是一个轻便的网路入侵侦测系统,可以立即纪录、分析网路流量针对网路上的IP封包登录进行测试等功能,能完成协议分析,内容搜寻/匹配,能用来探测多种攻击和侦测(如缓冲区溢出、CGI攻击、SMB侦测….等)。
使用Snort为入侵侦测系统主要有五个原因,第一个是负载轻:Snort 的功能虽然强大,但是它的原始码极为简洁、短小,然而来源码压缩档却只有大约110KB。第二是可移植性高:Snort 的跨平台能力效果佳,并且目前它现有支援Linux,Solaris,BSD,IRIX,HP-UX,WinY2K等系统,因此可适用于任何网路教学系统平台。第三是功能强大:它具有流量分析及分析IP网路数据封包的能力。能够迅速地侦测网路攻击。第四是扩展性能佳,对于新的攻击威胁反应迅速:Snort 能够分析的协定有TCP、UDP和ICMP。将来,可能提供对ARP、ICRP、GRE、OSPF、RIP、IPX 等协定的支持。第五是遵循公共通用许可 :Snort 遵循GPL,所以一般公司企业及个人、组织都可以免费使用它作为自己的 NIDS(网路入侵侦测系统)。

Snort的组成主要有三(如图4所示),第一为封包解码器 (packet decoder):负责封包的收集与解码;第二为侦测引擎 (detection engine):依据规则库来侦测是否为异常之封包;第三为记录/警示子系统 (logging and alerting subsystem):将异常之封包相关内容记录并以适当的格式输出。因此当封包接收后,Snort立即进行封包的解码,根据规则库来侦测,使否有不正常的封包存在,如果为是,则输出成记录档格式或记载于资料库中。

图4 Snort入侵侦测原理

三﹒反应系统架构
本系统建立采用2-Tier架构(如图5所示),共分为使用介面、处理层及实体层等三层;其使用层主要利用WEB介面及EMAIL形式告知学习者及系统管理者目前网路情况及相关解决方法;处理层主要由Snort所构成,将其所分析的封包输出至资料库中,以利程式存取及互动之用;实体层主要为储存输出有问题封包的分析资料,并根据分析资料利用资料探勘方式取出相关的资讯及解决方法。


图5 系统架构

参﹒入侵侦测系统的实际应用
本系统在确定架构后,立即应用于国立高雄师范大学特殊教育通论三学分班,网路大学主要对象为在职老师、在校生及一般社会人士,因此有相当多学习者对于网路安全仍一知半解,甚至无自我维护电脑的能力,故在此系统加入侦测模式,以提供学习者即时的电脑存取网路状态,在学习课程之余更可让学习者了解网路安全的重要性。

对系统管理者而言,使用入侵侦测能减低系统维护时的困难及答覆学习者谘询的时效性,并可让学习者了解目前网路中潜在威胁系统的病毒或木马的种类,做到立即反应的效果。下列图示为网路大学利用侦测系统所做的Web即时反应机制(图6)及信件通知机制(图7)


图6 Web告知介面

图7 Mail告知介面


肆﹒系统实测
    为验证其功能性与可行性,所参与特殊教育通论三学分班之学习者共有264位,在课程修习结束后,进行系统问卷填答,作为系统之功能性评估,其问卷结果表1所示。

表1 系统使用问卷调查结果(有效问卷数:245)

极佳

普通

极差
系统内容与显示
6
146
89
4

系统的架构及完整性
1
132
97
15

系统对学习意愿之辅助性
16
152
76
1

系统对网路安全知识之辅助性
113
116
16


系统推荐使用之意愿
37
201
7




伍﹒结论
利用Snort在网路教学平台建立入侵侦测反应系统,不仅无成本问题,对于系统的负载也很轻,经实际导入网路教学平台之系统测试,经证实可以提高系统的稳定性及可用性,让每个学习者享有更良好、更安全的学习平台;另外系统的高移植性,故适合于任何系统所建立的网路教学平台,由于其输出方式多样,如:一般系统文件、Tcpdump格式、XML格式及资料库格式,可依照特定需求来设计,由于可输出至资料库故可分析相关网路封包及使用者的相关性。
陆﹒参考文献
[1] 中国科技讯息- OECD2003年资讯系统及网路安全会议, http://www.chinainfo.gov.cn/data/...103_72053.html
[2] 中国科技讯息-美国国家科学基金会资助三千万加强网路安全, http://www.chinainfo.gov.cn/data/...103_72045.html
[3] 中山大学-网路教学概论, http://cu.nsysu.edu.tw/10...ok/a04.htm
[4] 林涛(民88):科技的迷惘。中央日报,7月6日。
[5] 特殊教育通论三学分班, http://nu.nknu....w/spc
[6] 微软资讯安全首页, http://www.microsoft.co...security/
[7] 国际专家谈网路安全 用户认识有三大误区http://www.chinabyte.com/2...8543.shtml
[8] AirSnort, http://airsnort....com/
[9] Snort FAQ, http://www.snort.or...aq.html
[10] Snort users manual , http://www.snort.org/d...ng_rules/
[11] Snort.org Web site: http://www.sn...org/
[12] The Snort drinking game , http://www.theadamsfamily.net/~e...king_game.txt
[13] The snort user’s mailing list, http://lists.sourceforge.net/l.../snort-users

回首页



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2006-12-15 21:13 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.072418 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言