在網路教學平台中建構網路入侵偵測反應系統
http://mail.nhu.edu.tw/~so...5/45-06.htm隨著網路的快速發展,網路安全顯得相當重要。在本研究中,我們採用Snort原理建立一套整合了網路教學平台的防護系統,藉以偵測從網路而來的入侵者。除此之外,透過網路其具備便捷性與及時性等良好性質,我們為學習者提供立即的告知及排除問題等服務,藉以增進其網路安全的知識及維持網路教學平台的正常使用。
Recently, with the fast development of Internat, the network security becomes more important. In this study, we adopt Snort’s method to establish a protective system, integrating with E-learning base, to detect invaders from Internet. Besides, though network, owning good properties such as convenience and immediateness, we serve the student with a prompt warning and trouble-shooting to improve the knowledge about the network security and maintain the availability of E-learning base.
關鍵詞:網路教學、網路安全、入侵偵測系統
壹﹒引言
網路學習的浪潮,實現終身學習的夢想,學習者在投入網路學習的過程中,常有抱怨網路連接太慢或無法連接發生,影響了學習的意願,經過調查,問題在於網路的安全上,因此「網路安全」也即成為所有國家努力的目標,2003年1月,於檀香山舉行之OECD與APEC數位經濟政策架構全球會議(The OECD-APEC Global Forum on Policy Frameworks for the Digital Economy)安全議題指出了網路安全的重要性及相關的因應政策(OECD2003);美國聯邦調查局所屬的關鍵性基礎設施保護中心發佈了一份題為《關於網路空間安全的國家戰略》的報告,第一次明確地將網路安全提升到了關係國家安全的戰略高度,第一次將網路安全綜合進了關於國家安全的總體思路之中。一些國際網路安全專家認為,在目前網路安全熱的背後,許多人對網路安全的認識其實還處於初級階段,並不成熟,其中 IETF中的IP安全協定工作組主席Barbara Fraser指出網路的不安全是因為網路安全專業知識的匱乏和網路認識上的偏差,網路安全應從個人做起。因此本研究目的為開發網路入侵偵測反應系統,提供學習者網路安全的解決方案,喚醒學習者對網路安全的重視。
貳﹒發展理念
一﹒提供一個不同的安全機制
無論是在個人的作業平台、傳統主從(Client/Server)架構,或多層式架構、Internet平台等,防毒軟體及防火牆則扮演了重要的角色(如圖1所示),微軟針對網路安全則提出保護電腦的簡單三步驟(如圖2所示);儘管如此,研究發現網路學習者往往個人使用電腦網路警覺心不足及沒有相關電腦知識,還是會飽受網路病毒或駭客入侵的危機,有些學習者甚至不知道自己已被駭客入侵或中了網路病毒,感染給網路學習平台或其他學習者電腦上,進而導致於教學平台無法正常運作之情事。綜觀目前的網路教學平台,系統管理者所處理的方式即利用防火牆及防毒軟體杜絕網路的危害,屬被動的預防及治療。
而在此研究者認為網路教學平台除了提供網路教學的服務之外,應有義務主動的告知學習者在學習時的網路情況並告知處理方法,網路病毒及網路駭客並不可怕,可怕的事不加制止而到處蔓延,產生嚴重的後果。因此在教學平台的網路安全告知的機制是必要的,讓學習者瞭解電腦目前的狀況,以喚起學習者的警覺心(圖3所示)。
圖1 一般電腦安全架構
圖2 微軟提出保護電腦簡單3步驟(參考自微軟網站)
圖3 網路告知及存取模式
二﹒Snort偵測原理
Snort是一個輕便的網路入侵偵測系統,可以立即紀錄、分析網路流量針對網路上的IP封包登錄進行測試等功能,能完成協議分析,內容搜尋/匹配,能用來探測多種攻擊和偵測(如緩衝區溢出、CGI攻擊、SMB偵測….等)。
使用Snort為入侵偵測系統主要有五個原因,第一個是負載輕:Snort 的功能雖然强大,但是它的原始碼極為簡潔、短小,然而來源碼壓縮檔卻只有大约110KB。第二是可移植性高:Snort 的跨平台能力效果佳,並且目前它現有支援Linux,Solaris,BSD,IRIX,HP-UX,WinY2K等系统,因此可適用於任何網路教學系統平台。第三是功能强大:它具有流量分析及分析IP網路數據封包的能力。能夠迅速地偵測網路攻擊。第四是擴展性能佳,對於新的攻擊威脅反應迅速:Snort 能夠分析的協定有TCP、UDP和ICMP。將來,可能提供對ARP、ICRP、GRE、OSPF、RIP、IPX 等協定的支持。第五是遵循公共通用許可 :Snort 遵循GPL,所以一般公司企業及個人、組織都可以免費使用它作為自己的 NIDS(網路入侵偵測系统)。
Snort的組成主要有三(如圖4所示),第一為封包解碼器 (packet decoder):負責封包的收集與解碼;第二為偵測引擎 (detection engine):依據規則庫來偵測是否為異常之封包;第三為記錄/警示子系統 (logging and alerting subsystem):將異常之封包相關內容記錄並以適當的格式輸出。因此當封包接收後,Snort立即進行封包的解碼,根據規則庫來偵測,使否有不正常的封包存在,如果為是,則輸出成記錄檔格式或記載於資料庫中。
圖4 Snort入侵偵測原理
三﹒反應系統架構
本系統建立採用2-Tier架構(如圖5所示),共分為使用介面、處理層及實體層等三層;其使用層主要利用WEB介面及EMAIL形式告知學習者及系統管理者目前網路情況及相關解決方法;處理層主要由Snort所構成,將其所分析的封包輸出至資料庫中,以利程式存取及互動之用;實體層主要為儲存輸出有問題封包的分析資料,並根據分析資料利用資料探勘方式取出相關的資訊及解決方法。
圖5 系統架構
參﹒入侵偵測系統的實際應用
本系統在確定架構後,立即應用於國立高雄師範大學特殊教育通論三學分班,網路大學主要對象為在職老師、在校生及一般社會人士,因此有相當多學習者對於網路安全仍一知半解,甚至無自我維護電腦的能力,故在此系統加入偵測模式,以提供學習者即時的電腦存取網路狀態,在學習課程之餘更可讓學習者瞭解網路安全的重要性。
對系統管理者而言,使用入侵偵測能減低系統維護時的困難及答覆學習者諮詢的時效性,並可讓學習者瞭解目前網路中潛在威脅系統的病毒或木馬的種類,做到立即反應的效果。下列圖示為網路大學利用偵測系統所做的Web即時反應機制(圖6)及信件通知機制(圖7)
圖6 Web告知介面
圖7 Mail告知介面
肆﹒系統實測
為驗證其功能性與可行性,所參與特殊教育通論三學分班之學習者共有264位,在課程修習結束後,進行系統問卷填答,作為系統之功能性評估,其問卷結果表1所示。
表1 系統使用問卷調查結果(有效問卷數:245)
極佳
佳
普通
差
極差
系統內容與顯示
6
146
89
4
系統的架構及完整性
1
132
97
15
系統對學習意願之輔助性
16
152
76
1
系統對網路安全知識之輔助性
113
116
16
系統推薦使用之意願
37
201
7
伍﹒結論
利用Snort在網路教學平台建立入侵偵測反應系統,不僅無成本問題,對於系統的負載也很輕,經實際導入網路教學平台之系統測試,經證實可以提高系統的穩定性及可用性,讓每個學習者享有更良好、更安全的學習平台;另外系統的高移植性,故適合於任何系統所建立的網路教學平台,由於其輸出方式多樣,如:一般系統文件、Tcpdump格式、XML格式及資料庫格式,可依照特定需求來設計,由於可輸出至資料庫故可分析相關網路封包及使用者的相關性。
陸﹒參考文獻
[1] 中國科技訊息- OECD2003年資訊系統及網路安全會議,
http://www.chinainfo.gov.cn/data/...103_72053.html [2] 中國科技訊息-美國國家科學基金會資助三千萬加強網路安全,
http://www.chinainfo.gov.cn/data/...103_72045.html [3] 中山大學-網路教學概論,
http://cu.nsysu.edu.tw/10...ok/a04.htm [4] 林濤(民88):科技的迷惘。中央日報,7月6日。
[5] 特殊教育通論三學分班,
http://nu.nknu....w/spc [6] 微軟資訊安全首頁,
http://www.microsoft.co...security/ [7] 國際專家談網路安全 用戶認識有三大誤區
http://www.chinabyte.com/2...8543.shtml[8] AirSnort,
http://airsnort....com/ [9] Snort FAQ,
http://www.snort.or...aq.html [10] Snort users manual ,
http://www.snort.org/d...ng_rules/ [11] Snort.org Web site:
http://www.sn...org/ [12] The Snort drinking game ,
http://www.theadamsfamily.net/~e...king_game.txt [13] The snort user’s mailing list,
http://lists.sourceforge.net/l.../snort-users 回首頁 
