圖書館入侵檢測系統的研究實現

〔摘 要〕惡意下載事件嚴重影響了高校圖書館數據資源的正常應用。文章結合案例，針對圖書館網絡和惡意下載事件的特點，提出了基于網絡異常流量的網絡入侵檢測模式，從技術方面為高校圖書館有效防范惡意下載提出了對策。

〔關鍵詞〕網絡安全；入侵檢測系統；網絡攻擊；高校圖書館；惡意下載

〔中圖分類號〕G251 〔文獻標識碼〕C 〔文章編號〕1008-0821(2009)02-0161-03

Research on Instrusion Detection System of LibraryDou Shuqing

(Library，Tangshan College，Tangshan 063000，China)

〔Abstract〕Malicious downloading impacts heavily on the regular online information application in academic libraries in China.Based on the case research，according to the characteristic of library network and malicious downloading，this thesis provided a network intrusion detection pattern based on abnormal network flow，suggested some measures in technological angle that academic libraries may take to prevent malicious downloading.

〔Key words〕network security；intrusion detection system；IDS；network attack；academic library；malicious downloading

1 入侵檢測系統需求分析

圖書館網絡中的惡意下載通常有以下特點：(1)利用服務器不許可的方式進行數據下載，如利用專門的工具進行下載或啟用多線程進行下載等；(2)下載行為具有不良動機或將下載的大量數據用于不許可的目的；(3)數據下載的數量超過許可范圍，有些數據庫服務商明確規定不允許一次性下載某種期刊同一期半數以上的全文。

基于以上的討論，服務于圖書館的IDS系統應該滿足以下需求：(1)惡意下載檢測功能：對于惡意下載等網絡異常使用的情況，成功進行檢測。(2)攻擊源追蹤：針對入侵行為，確定攻擊者的來源，對于內部發起的攻擊，確定其物理位置。(3)攻擊響應：對檢測到的攻擊自動完成響應處理，將惡意下載行為制止。

2 系統結構設計

2.1 數據采集

要進行入侵檢測，首先需要給入侵檢測數據分析器提供一定數量的可靠數據樣本，即從網絡獲取原始數據。事件數據來源主要是網絡數據包，從網絡上獲得原始數據包的技術稱為網絡數據包嗅探，相應的軟件工具稱為網絡嗅探器，比較著名的如Linux下的Tcpdump，Windows下的windump，enthereal等。它用于竊聽流經網絡接口的信息，從而獲取用戶會話信息。原始數據包采集到之后，需要對數據進行分析，從中提取能夠代表數據特征的信息，如離散化處理和歸一化處理等，生成模式樣本。

2.2 統計分析

網絡用戶的上網時間受作息規律的影響，因而網絡流量變化具有周期性，正常網絡流量在一定時間段內趨于連續變化，網絡流量的突發性增量不會非常大。網絡流量的突發性變化(主要是網絡流量大幅增長)大多由網絡用戶的偶然性行為或突發行為引起的，這種突發行為可能就是惡意下載[3]。

統計分析模塊計算出相應的流量數據，如果當前流量比歷史平均流量高，就算出高的比例，如果該比例高出設定的報警閾值，就向解析模塊發出冗余的異常警報。通過解析模塊的綜合分析，判斷是不是真正的流量異常，以排除因其他因素引起的瞬間流量峰值，算法流程見圖1。

解析模塊對從統計分析模塊接受到的警報信息根據以下方法來判斷是否真正流量異常：收到同一對象的2個連續警報，且每個警報所報告的流量均超出警報閾值的2倍，認為流量異常；收到同一對象的5個連續警報，認為流量異常。

2.4 系統響應機制

響應模塊收集來自于解析模塊發來的信息，顯示和發出警報或進行其他處理。通常情況下，采用的響應方法有關閉當前會話；重新配置網絡資源；執行預先定義的程序或與其他安全產品(如防火墻)交互等。對于TCP會話，IDS將會向通信的兩端各發送TCP RESET包，此時通信雙方的堆棧將會把這個RESET包解釋為另一端的回應，然后停止整個通信過程。網絡攻擊源追蹤就是找到網絡攻擊事件發生的源頭。它包含兩個方面的意義：一是指獲取攻擊者IP地址，MAC地址或是認證的主機名；二是指確定攻擊者的身份。

3 圖書館入侵檢測系統的實現

開放源碼軟件Snort具有截取網絡數據報文，進行網絡數據實時分析、報警、日志的能力。它能夠進行協議分析，內容搜索、匹配，能夠用來檢測各種攻擊和探測。由于Snort源代碼完全開放和功能強大，能夠有效地監視網絡流量和檢測入侵行為，己經成為小規模網絡IDS中的首選。入侵檢測系統程序流程圖如圖2所示。

3.1 程序初始化、啟動數據包截獲

這部分的工作包括：命令行參數的解析；各種處理模塊的初始化；啟動數據包截獲和處理進程。其中用到的一些函數有：主函數main()主要完成初始化設置和啟動數據圖2 入侵檢測系統程序流程圖

包截獲和處理進程的工作；OpenPcap函數用來打開參數所指的Libpcap接口設備；ParseCmdLine函數的功能就是解析命令行開關參數，并設置相關的各種變量值；SetPktProcessor函數的功能在于根據當前所使用的不同的數據鏈路層協議，來選擇不同的數據包解析處理函數，并將其保存在全局定義的函數指針變量中。

3.2 數據包解析

在惡意下載過程中，入侵者在連續的時間內超量獲取被侵者的數據包，這些大量的數據包具有相同的地址信息。當檢測到的數據包源地址與提供數據的服務商地址相同時，即可進行重點監測。

這部分的工作就是對當前所截獲的數據包進行各種支持網絡協議的格式分析，并將分析結果存入到Pack()數據結構中。Packet結構中保存了進行協議解析所需的各種數據結構和信息，以及對當前數據結構包進行解析后的結果信息。

3.3 統計分析

從捕獲的數據包中統計分析以判斷是否存在敵意的網絡流量，當流量超過一定的值時，根據歷史流量和閾值計算其異常度的嚴重等級，如果異常度大于一定的值就認為產生入侵，發生響應[3]。

int analyze(float cspeed，float hspeed，float limen)

float increment；∥流量增加比例

int alertno；∥警報

ant serious；∥嚴重等級

incremen=(cspeed-hspeed)/hspeed；∥流量增加比例

if(increment＞limen)∥如果增加比例超過閾值，做以下處理：

{if(increment/limen)＜4)

serious=int(increment/limen)+1；

else

serious=5；

alertno++；

return serious；}

else

return 0

3.4 響應模塊

當報告有入侵發生時，系統做出響應動作，Snort中提供的響應以報警和記錄為主，包括log和alerts。

如使用上述動作定義的規則，當統計分析認為發生入侵時，系統用下列的規則產生響應：

alert tcp 60.10.10.10 any-＞192.168.1.0/24 any(resp：rstall；msg：″malicious downloading attempt″；)

3.5 網絡攻擊源追蹤

通過采集模塊獲得企圖惡意下載的數據包的地址信息。通過MAC地址獲取局域網內發動攻擊的真實IP，從而阻斷和丟棄數據包。該網絡攻擊源追蹤模塊用到了地址解析協議ARP，它的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。動態獲取局域網內IP與MAC地址關聯表有一定的時延，因此，要使得上面網絡攻擊源追蹤系統能夠準確、快速追蹤攻擊者，最好將IP+MAC綁定。

4 運行測試

測試環境搭建在互連網內，選擇某資源頻道作為攻擊目標。拓撲圖如圖3。其中攻擊目標(IP為60.2.xx.xx)與攻擊者(IP為10.10.xx.xx)通過互連網絡連接，在核心交換機上有控制中心通過網絡管理軟件進行監視。

我們用下載軟件下載某種文件來模擬檢測惡意下載事件的性能與結果。系統流量圖如圖4所 示。圖中流量的增長異常明顯，這種流量異常現象明顯表示有非正常下載類型的入侵行為發 生。控制中心可以收到報警，進行流量監測。由于在測試環境中IP與MAC地址是綁定的，所 以系統自動根據MAC地址找出真實攻擊IP，報警信息顯示正確的攻擊來源。

5 結束語

到目前為止，入侵檢測產品種類繁多，但大多集中在對入侵行為特征的檢測與分析上，基于網絡異常行為檢測的產品只占入侵檢測產品的5%左右[3]。而用于圖書館惡意下載方面的技術研究較少，本文提出了解決這一問題的研究思路和實現方法，希望能為此方面的研究工作起到拋磚引玉的作用。

參考文獻

[1]Rebecca Gurley Bace.入侵檢測[M].陳明奇，等譯.北京：人民郵電出版社，2001：5.

[2]竇淑慶.網絡傳播中的著作權問題探析[J].現代情報，2005，(1)：139-140，193.

[3]張華平.基于校園網絡的入侵檢測系統研究[D].吉林大學碩士論文.長春：吉林大學，2004.