基于校园网的网络安全监测与控制系统的设计
- 格式:pdf
- 大小:1.77 MB
- 文档页数:3
记录:云端与互联信息记录材料 2020年6月 第21卷第6期
2311引言
随信息技术的发展和网络的需求不断增加,各类信息
化应用系统的不断部署,网络安全管理方面面临着十分严
峻的问题。虽然许多高校已经部署了网络安全监测与控制
系统,但是目前很多高校校园网的网络安全监测与系统普
遍不够健全,面对这些网络安全问题,校园网显然很难以
应付,导致会出现安全问题还有很多,本文根据校园网情
况,分析目前校园网现状以及存在的安全威胁,根据不同
的功能需求,设计出一套安全检测与控制系统。2校园网的安全现状分析
本文以某独立民办高校研究对象,全校已经实现有线
网络和无线网络全覆盖,学校已进入教育信息化2.0阶段,
校园网用户规模庞大活跃、使用率高。校园网的安全问题
严峻。
校园网安全主要存在以下问题。
(1)校园网管理人员经验缺乏:民办学校,校园网
管理人员配备有限,管理人员可能出现经验缺乏现象,当
遇到网络安全问题,可能会无法及时处理。
(2)用户安全意识淡薄:在校师生对计算机网络没
有深入了解,在安全防范意识薄弱,容易受到攻击,即使
计算机中毒也不察觉。
(3)用户恶意破坏:部分用户有一定的网络技术,
为了满足好奇心或者成就感等,通过XSS、SQL注入等其
他攻击方法试图进行攻击校园网,扰乱校园网正常运行。
(4)网络安全设备的缺乏:网络安全设备昂贵,民
办学校一般不愿购买功能强大的设备,在网络监控和防护
容易出现缺陷。3校园网安全技术分析
3.1 访问控制技术
访问控制技术意味着防止未经授权访问资源,其过程
是校园网用户访问学校相关资源或者应用服务时,需通过
认证通过后访问服务器。目前以角色访问控制为主,不同
的用户身份拥有不同的授权访问不同内容。
3.2 网络监测技术
校园网是典型的园区局域网,有明显的时间和空间规
律,且对网络需求集中。网络流量监测是校园网网络性能
分析的基础。然而学校在校园网监控方面中依赖于Ping、Curl、Telnet等命令工具进行操作,并不够简单进行校园
网的监测管理。目前校园网主要采用基于SNMP的流量监
测技术。
采用基于SNMP的流量监测技术,不受限于网速、单
条链路,它基于TCP/IP协议。管理员可以通过SNMP技术
可以查询到设备的信息、变化值以及其网络状态,而且报
文种类少、格式简单、方便分析,容易实现。
3.3 上网行为的数据采集分析技术
校园网用户群体大,难免出现攻击校园网以及服务器
的情况。作为校园网,必须留存校园网人员的访问记录,
以便发生网络安全事件后能追溯。目前上网行为数据采集
主要分主动式和被动式采集技术。其中被动式数据采集技
术通过直接获取客户端与系统中数据库的数据交换的产生
丰富上网行为信息形式进行收集相关数据,产生的数据进
行转换与结构化,将其输入到数据库当中,最后,产生的
一系列的数据记录可以进一步分析具体的情况。具有实时
的进行数据采集、实时周期短、高效的特点。
3.4 防火墙技术
网络攻击影响校园网的稳定及安全。防火墙技术可用
于防范来自应用层的网络攻击,有效阻断非法入侵的连接
以及不合法入侵的途径,能够为校园网的安全提供保障。
一般防火墙部署方法分透明代理模式、路由代理模式、端
口镜像模式及反向代理模式。其中采用反向代理模式,能
支持对服务器进行负载均衡,也能对恶意请求以及非法攻
击进行拦截阻断,及隐藏真实的服务器地址,保证服务器
安全。4网络安全监测与控制系统的设计
本系统主要包括访问控制模块、网络流量监控模块、
上网行为监控模块和防火墙模块。
4.1 访问控制模块
客户端需要把账号和密码以及其他登录信息放入请求
主体当中,往往以post的形式将其请求发送给服务器,
服务器会查询数据库中相关数据以及请求主体的登录信息
进行比较并且判断该用户是否合法,并且是否有合法的角
色权限进行访问这些资源,以确保这些资源被应该使用的
人合理使用,防止网络资源被非法滥用。
管理人员将合法用户的信息存储至认证系统,当用户基于校园网的网络安全监测与控制系统的设计
李业谦
(中山大学南方学院 广东 广州 510970)【摘要】校园网的规模不断扩大,信息化需求不断增多,高校信息化应用系统数量也不断增多,这极大程度上提高了学校的教学、科研能力和管理水平。在信息化程度不断提高的同时也给校园网安全和应用系统信息安全均面临严峻的考验。为此,必须要有一套校园网的网络安全监测与控制系统,以保障校园网安全。本文全面分析校园网络的现状以及校园网络的安全威胁,提出包括安全策略的访问控制管理、网络流量监测、上网行为的数据分析和防火墙模块的系统来控制非法用户访问,及时能够观察流量异常情况发生,有效地保证应用系统不被恶意攻击,解决校园网存在的安全威胁,确保校园网安全。【关键词】校园网;安全监测;安全控制;系统设计【中图分类号】TP393 【文献标识码】A 【文章编号】1009-5624(2020)06-0231-03记录:云端与互联信息记录材料 2020年6月 第21卷第6期
232 的客户端访问资源时,用户首先需要通过身份认证判别身
份,身份验证通过后,通过访问控制列表,访问所在身份
资源,见图1。
图1 访问控制模块结构
身份认证:用户访问网络需要通过认证,当系统接收
到用户认证请求时,自动匹配数据库中的用户信息,查询
并匹配,若一致则通过认证,否则则返回失败。
访问控制:判断用户角色和用户信息表里角色信息,
如果符合的话则返回一个通过信息给用户。当用户访问其
他资源时,拦截器会自动拦截并且验证身份的有效性以及
角色权限[1]。
4.2 流量监控模块
校园网网络流量需求大,对网络流量数据监控,并以
图形化数据有利于更好的监控校园网情况,网络流量数据
异常能够及时发现情况。利用SNMP功能,通过采集网络
设备中数据流量作为对象进行计算。
为了更有效的能够监控到该设备的实时流量情况,通
过多线程编程的形式让线程进行数据抓取,让其每5秒读
取该设备中所有的输出以及输入数据流量,并且以图形的
形式展现出来。便于网络管理人员监控设备的状态,并及
时做出能调整设备的策略。
4.3 上网行为数据分析模块
用户访问资源,每个数据包都通过使用http请求服
务器,系统对所有的请求包通过设定的规则进行拦截,若
判断为恶意访问就将其数据包丢弃,否则允许其继续访问。
图2 采集数据系统流程图采集信息后,获取到访问者的IP地址,并且通过查
询数据库访问信息统计表中该用户的数据,并统计当前
时间1分钟含有该用户IP的数据,判断是否超过访问的
次数。正常情况下,只有恶意用户才以每秒几千次的高
速访问服务器。为此,必须要对这种大量消耗服务器资
源的访问进行拦截。本系统可以根据实际情况设定每分
钟恶意访问次数,若超出设定的访问次数将判断为恶意
攻击,拒绝服务[2],见图2。
4.4 防火墙模块
防火墙实现客户端发送数据请求服务器的时候,Web
应用防火墙通过根据相关通用攻击检测规则进行检查服务
器接收到的数据,判断请求的数据中是否含有不法请求或
者攻击,有则停止任何的恶意请求或者攻击。
本系统的防火墙是由Nginx、ModSecurity、Docker
组成。其中Nginx实现网络服务和反向代理功能;
ModSecurity实验防火墙功能、读取ModSecurityConfig
规则配置文件而DockFile构建Ngnix关联ModSecurity
的镜像,ModSecurity复制侦测与防护引擎,最后根据
Docker的配置,将镜像放进容器并启动相应的容器。
最后通过在规则配置文件进行配置规则,从而针对各
种恶意攻击进行检测,设定攻击检测规则,对url上含有
script、or字段进行拦截、文件上传以及数据传输进行约
束,并且对访问错误的信息记录在日志当中。
在策略方面主要采取非法字符的控制和非法IP地址
的控制。其中采取非法字符控制能有效的进行防御。众所
周知,在计算机网络环境当中,网络病毒有多种常见的形
式,最为主要的是一些比较混乱的字符串。可以借助该防
火墙来对非法字符进行控制,就能够实现对各种数据的保
护作用,还能够对于一些域名进行限制和拦截,便可以减
少一些病毒对计算机的入侵,从而实现对计算机的保护作
用。采取非法IP地址的控制,为网络系统的安全实行保
护作用,当一些具备恶意的IP地址与网络进行连接的时
候,很可能会给计算机传送一些恶意的软件或者数据包,
防火墙可以对此加以控制[3]。5网络安全监测与控制系统验证实验
5.1 访问控制管理功能验证
为了验证用户身份,在本地端相应的实验,当测试人
员进行输入正确用户信息和正确身份提交,可返回包含正
确信息的字符串,并提示登录成功。可以访问指定的资源;
而当输入错误信息时,系统提示信息错误,并返回到用户
登录界面中,要求输入正确信息。
为了更好区分不同用户身份,在访问控制权限管理中,
管理人员可对角色赋予权限,实现不用角色拥有不同的访
问权限。通过得出访问控制管理功能能有效的拦截非法用
户盲目或者有意识的非法访问系统,即使合法用户也仅可
访问所在权限的资源。
5.2 网络流量监控功能验证
实验采用网络流量协议SNMP的功能进行对某楼的网
络出口实验流量测试,根据实际要求,可以选择实时、按
时、按天、按月或按年查流量。假如某时间段,出现异常,记录:云端与互联信息记录材料 2020年6月 第21卷第6期
233管理人员可以马上进行分析和处理,确保网络正常,见图3。
图3 某时间段流量情况
5.3 上网行为数据分析的验证
通过旁路模式,所有的网络数据流量镜像到服务器,
由服务器对获取到校园网络访问数据,系统记录所有用户
的源地址、目标地址、访问方式、访问内容、访问时间等
相关信息,见图4。
图4 访问记录
实验设置了当用户在一分钟连续100次对某资源进行
访问时拒绝其访问的,通过实验验证,当出现这种情况时,
马上中断用户访问,并提示资源是“无法访问”。
5.4 防火墙功能验证
为了验证防火墙是否能够有效阻止恶意攻击,在未启
动防火墙模块的情况下进行实验,模拟使用XSS攻击、
SQL注入攻击、恶意上传大文件,进行测试,测试结果均
提示成功,这意味着系统并不能对恶意攻击进行拦截。图5 攻击和注入结果
当启动防火墙模块时再次模拟使用XSS攻击、SQL注
入攻击、恶意上传大文件测试,测试结果显示已被拦截,
并返回403错误。
通过查看错误日志可以查看到触犯了设定的策略而被
限制,达到对恶意攻击进行拦截的目的。6结语
本文对校园网现状进行分析,提出了网络安全检测与
控制系统的设计,系统主要实现了访问控制、流量监控、
上网行为采集及防火墙等功能。最后通过实验验证系统能
有效检测出当校园网出现安全威胁时能根据设定的策略予
以控制,达到设想目标。
下一步将继续对校园网面临网络其他安全行为进一步
分析和研究其相对应的安全解决方法。并继续完善系统的
功能部署,最终实现智能化控制与管理。
【参考文献】
[1]葛辉.网络攻击下信息物理融合系统的安全控制方法研究[D].
南京:南京邮电大学,2018.
[2]宋蕾.数据注入攻击下的信息物理系统安全控制[D].上海:
上海交通大学,2019.
[3]李业谦.网络空间安全与其攻防技术的研究[J].信息与电
脑(理论版),2019,31(22):183-185.
基金项目:中国智慧工程研究会“十三五”规划重点课程《大
数据背景下的智能学习研究》(CIL1602)总课题组(CIL1602)。