一種分布式動態防御系統在圖書館網絡安全中的應用

張 波

河北工業大學圖書館

〔天津市紅橋區 300130〕

隨著計算機和網絡技術在圖書館日益廣泛地應用,網絡安全防御也變得越來越重要。現代高校圖書館的網絡是一個開放的、共享的、多應用并存的、以服務為本的數據密集的網絡,不僅圖書館的各項傳統業務工作,如圖書采訪、分編、流通、典藏等均由計算機代替了單一重復的手工操作,而且在計算機網絡基礎上發展起來的信息檢索、參考咨詢等業務,更是離不開計算機網絡這賴以生存的環境。網絡入侵和攻擊等事件日益頻繁,給圖書館系統的管理維護和讀者的使用訪問都帶來了極大地不便。一旦圖書館的網絡發生癱瘓,整個圖書館都將無法為讀者提供服務。對此,我們應采取相應的對策。

一、當前圖書館網絡所存在的安全威脅

(一)來自于外網的攻擊

一些未授權的非法網絡用戶,企圖非法訪問圖書館的資源或惡意破壞等不良目的,對圖書館網絡進行的攻擊,主要有拒絕服務攻擊和非授權訪問嘗試等手段,他們利用圖書館網絡所存在的漏洞或某些客戶端系統補丁不全等進行頻繁地預攻擊探測掃描。

(二)來自于內部的攻擊

相對于外部攻擊,還有很多攻擊來自于內部。例如,在圖書館局域網中,不同工作機之間頻繁地使用共享,為惡意木馬的網絡傳播提供便利條件,使網絡內滿是ARP、DDOS等網絡攻擊,甚至造成整個局域網的癱瘓。

(三)病毒的破壞

圖書館檢索機的開放和電子閱覽室提供U盤下載等服務,一旦U盤或某一臺工作機感染病毒,很容易造成工作機的交叉感染,使蠕蟲病毒或沖擊波等病毒惡意傳播,它會損壞硬盤數據、減慢網絡運行速度,甚至有可能損壞工作機的系統和硬件。

由上面分析可以看出,雖然現在大多數圖書館都裝有防火墻或者其他的一些防病毒軟件,但很多情況下并不能對攻擊者實施有效地阻斷和反擊,為了保證能夠對圖書館網絡實施有效地保護,就需要建立一個健全的網絡安全防御系統。

二、防火墻技術

防火墻是指設置在不同網絡(如可信任的單位內部網和不可信任的公共網)或網絡安全域之間的一系列部件的組合。它的基本思想是限制網絡訪問,它把網絡劃分為兩個部分:外部網絡和受保護網絡(內部網絡),防火墻放在受保護網絡與外部網絡之間,是執行訪問控制策略的防御系統。它是提供信息安全服務、實現網絡和信息安全的基礎設施,筑起網絡的第一道安全防線。

當前流行的防火墻主要有下面幾種:(1)基于包過濾的防火墻。包過濾防火墻可以根據下列變量來授權或拒絕對站點的訪問:源地址、目的地址、協議類型、端口號。(2)狀態包過濾防火墻。狀態包過濾在包過濾的基礎之上,對內部狀態表中的會話和連接進行跟蹤,并做出相應的反應。這種防火墻可以檢測出違反協議標準的反常行為,提供了比簡單包過濾更為靈活的功能。大部分的狀態包過濾防火墻用來防御DDOS攻擊,并增加了SM TP郵件保護等其他安全功能。(3)基于代理的防火墻。基于代理的防火墻與上述兩種防火墻的主要區別在于,它是在應用級而不是較低的級別上進行檢測通信。這種防火墻能理解應用協議(HTTP、FTP等),可以拒絕任何與協議不匹配的數據。現階段,處于應用層的防火墻運行速度要大大低于前兩種防火墻。另外,基于代理的防火墻也存在協議適應性問題。

防火墻技術的不足之處在于:防火墻是不同網絡或網絡安全域之間信息的唯一出入口,能根據單位的安全策略控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。但防火墻并不是保護網絡安全的靈丹妙藥,雖然它能過濾絕大部分不安全的服務和非法用戶,但在防范針對應用層的攻擊方面,就顯得力不從心,如它無法消滅攻擊源、無法防御病毒攻擊和無法阻止內部攻擊等,而且它有時也會犧牲一部分有用的服務來保障局域網的安全。

三、入侵檢測技術

入侵檢測技術是網絡安全領域為彌補防火墻的不足而研究的計算機信息安全技術,它可以對網絡或操作系統上的可疑行為做出策略反應,及時切斷資料入侵源,記錄并通過各種途徑通知網絡管理員,提高信息安全基礎結構的完整性,是防火墻的合理補充,被認為是防火墻之后的第二道安全閘門。它在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,最大幅度地保障系統安全,是安全防御體系一個重要組成部分。

入侵檢測系統按照其數據來源來看,可以分為兩類:(1)基于主機的入侵檢測系統。基于主機的入侵檢測系統主要使用操作系統的審計跟蹤日志作為輸入,某些也會主動與主機系統進行交互以獲得不存在于系統日志中的信息。其所收集的信息集中在系統調用和應用層審計上,試圖從日志判斷濫用和入侵事件的線索。(2)基于網絡的入侵檢測系統。基于網絡的入侵檢測系統是通過在計算機網絡中的某些點被動地監聽網絡上傳輸的原始流量,對獲取的網絡數據進行處理,從中獲取有用的信息,再與已知攻擊特征相匹配或與正常網絡行為原型相比較來識別攻擊事件。

根據所采用的檢測分析方法,入侵檢測系統可分為誤用檢測系統和異常檢測系統:(1)誤用入侵檢測系統。誤用入侵檢測系統是檢測網絡數據信息與事先設定的條件是否匹配,如果發現匹配的數據,即認為發生入侵或攻擊行為,系統觸發一個警告。誤用入侵檢測系統具有較高的準確性,誤報率極低。但是,誤用入侵檢測系統只能檢測系統已知攻擊,并且維護包含所有已知入侵或攻擊方法的數據庫,因此誤用入侵檢測系統對入侵或攻擊的漏報率比較高。(2)異常入侵檢測系統。異常入侵檢測系統是建立正常或合法用戶行為模型,一旦出現入侵或攻擊行為,則可以根據偏離正常或期望的系統或用戶行為而被檢測出來。描述正常或合法活動的模型是通過各種渠道收集大量歷史活動資料并分析得來的。因此,異常入侵檢測系統可以檢測系統未知攻擊,漏報率極低。但是,異常入侵檢測系統的誤報率卻極高,一旦系統或用戶活動發生變化,且該變化檢測系統尚未學習到,則檢測系統認為發生入侵,啟動報警。

當前,入侵檢測系統也存有不足之處,主要是缺乏高效網絡包捕獲與處理機制和與防火墻的聯動機制,系統缺乏可擴展性等。

四、系統的關鍵技術

(一)防火墻和入侵檢測聯動技術

當前,防火墻與入侵檢測聯動技術是研究的熱點,現有兩種方式比較適合聯動。一是通過開放接口實現互動,即防火墻或IDS產品開放一個接口供對方調用,按照一定的協議進行通信,傳輸警報。該方式比較靈活,防火墻可以行使它的第一層防御功能——訪問控制,IDS系統可以行使它的第二層防御功能——檢測入侵,丟棄惡意通信,并通知防火墻進行阻斷。該方式不影響防火墻和IDS產品的性能,對于兩個產品的自身發展比較好。但是,由于是兩個系統的配合,所以要重點考慮防火墻和IDS產品互動的安全性。第二種方式是緊密集成實現互動,即把IDS技術與防火墻技術集成到同一個硬件平臺上,在統一的操作系統管理下有序地運行。該方式實際上是把兩種產品集成起來,所有通過該硬件平臺的數據不僅要接受防火墻規則的驗證,還要被檢測判斷是否有攻擊,以達到真正的實時阻斷。本文的入侵防御中心把入侵檢測系統嵌入到防火墻中,實現兩者的緊密結合和互動。入侵檢測系統的數據來源不再源于網絡層,而是流經防火墻的數據流。所有通過的數據包不僅要接受防火墻的檢測規則的驗證,還要判斷是否是攻擊,以達到真正的實時阻斷。如果防火墻放行的數據包經IDS驗證為入侵數據包,則入侵檢測系統將有關該數據包的特定數據結構返回給防火墻,防火墻將其對應的規則添加到過濾規則中,從而使得后繼的相似攻擊包在防火墻被直接過濾。IDS對防火墻過濾規則的直接修改,使得IDS和防火墻實現了互動,從而可以彌補他們之間的不足。

(二)動態策略管理技術

動態策略管理技術在動態防御系統中,動態策略管理具體表現在:(1)在入侵防御中心里,入侵檢測可以根據檢測結果動態修改防火墻的規則策略,這樣一來,同次入侵之后的網絡封包將被防火墻過濾。而傳統的入侵檢測系統只能檢測到攻擊,寫入日志或者報警,同樣的攻擊在下次并不能被阻止,除非是管理員在看到日志后修改了防火墻或者入侵檢測的規則,這樣管理員的工作量就會大大增加。本系統中,入侵預處理在檢測到數據包是入侵包后,返回一個定義好的數據結構給防火墻模塊,里面包含了數據包的各個字段信息以及入侵類別,防火墻由此數據結構來修改其過濾規則。(2)用戶可以根據需要動態地修改防火墻的規則。本系統定義了一些有關系統內部進程的過濾規則,用戶可以根據需要在界面上添加、修改或者刪除過濾規則,規則隨后會被傳到底層的防火墻模塊中,并被應用于匹配比較。(3)用戶可以根據入侵檢測的日志自動地在界面上修改防火墻的策略,因為入侵檢測系統分成兩部分實現。一是在底層驅動實現的入侵檢測預處理,當入侵檢測預處理檢測到入侵時會通知防火墻修改規則,防火墻會自動修改自己的過濾規則;另一部分是在上層應用層實現的檢測引擎檢測,如果發現入侵,會報警同時記入日志文件中。用戶可以根據日志文件中的記錄來修改防火墻規則。

(三)系統的開發環境和控制臺架構

為了保證系統具有良好的通用性,系統采用JAVA語言作為開發環境,控制臺基于B/S(Brow ser/Server)架構。Brow ser端只用實現極少部分功能,而大部分事務邏輯都在Server端執行。基于瘦客戶端(Thin Client)的思想,簡化客戶端需要的維護,只對策略管理中心端進行維護和升級,提高了軟件開發的效率。

系統中采用了J2EE的開發體系。所以,也采用了相關的B/S模式開發環境。通過B/S各組件完成B/S模式的運行環境。用戶訪問JSP文件以執行控制臺功能。JSP文件被Tomcat解釋后成為JAVA虛擬機語言。解釋后的腳本由服務器端的JVM運行。Java腳本對數據庫的訪問是通過JDBC的My SQL驅動實現的。

五、系統的搭建

通過上面對圖書館存在的網絡威脅分析,結合當前圖書館的網絡現狀,我們可以建立一個綜合防火墻訪問控制和入侵檢測系統的網絡數據包檢測功能,緊密實現兩安全系統的互動互利,對受保護網絡進行更為完善的保護的入侵防御系統。

為了測試系統的功能及性能,我們接下來在真實網絡環境中對系統進行搭建和測試。首先搭建安全網絡外的測試系統平臺,即:攻擊客戶端Window s XP操作系統及網卡;部署有攻擊平臺,并可與防火墻服務器通信。然后組建環境在安全網絡內的部分即四套系統:(1)防火墻服務器。Linux Red Hat5操作系統,雙網卡。作為局域網網關,部署有圖書館的防火墻,并運行防火墻聯動模塊。(2)入侵檢測探測器一。Linux Red Hat 5操作系統,雙網卡。部署基于網絡誤用的入侵檢測探測器和基于主機誤用的入侵檢測探測器,一個網卡可以與系統三通信,另一個網卡可以設置為混雜模式。(3)入侵檢測探測器二。Window s XP操作系統,雙網卡。部署基于網絡異常的入侵檢測探測器,一個網卡可以與系統三通信,另一個網卡可以設置為混雜模式。(4)策略管理中心服務器。W indow s2000 Server Professional操作系統,網卡部署有策略管理中心模塊,開啟服務控制模塊,部署W EB服務器。最后選擇一個客戶端,即Window s XP操作系統,網卡。安裝有IE 6瀏覽器并可登陸策略管理中心的W EB服務器。

通過搭建后的實際測試我們可以發現,系統能比較有效地檢測出發生在網絡中的攻擊,對攻擊進行實時報警,同時將報警信息保存到數據庫中,并對攻擊進行實時響應,向防火墻中添加控制規則,從而通過動態防御及時有效地阻斷攻擊。管理點將收到的入侵報警作為日志數據,記錄在控制臺的本地數據庫中。根據這些日志數據庫中的數據,系統管理員可以查看詳細的攻擊信息,或者進行入侵統計分析,制定并適時地調整系統安全策略。

六、結束語

圖書館的網絡安全工作是一項需要持之以恒不斷完善的工作,它與整個圖書館的發展建設有著密不可分的聯系。網絡安全技術的發展日新月異,我們必須與時俱進,緊跟計算機網絡技術的發展不斷地提高自身的技術水平,不斷地增強人員與設備投入,才能在最大程度上保證圖書館網絡的穩定,為現代圖書館各項業務的開展提供有力的安全保障。

[1]崔健雙,李鐵克.網絡信息系統安全研究現狀及熱點分析[J].計算機工程與應用,2005,(35):180～184.

[2]李瑩.小型分布式入侵檢測系統的構建[J].安陽工學院學報,2005,(6):111～116.

[3]袁亮環.分布式N IDS在圖書館網絡安全保障中的應用[J].圖書館學研究,2007,(4):31～33.

[4]秦拯,龔發根,張大方,等.分布式入侵檢測系統中告警相關的研究和實現[J].計算機工程與應用,2005,(4):63～65.

[5]隆毅.分布式入侵檢測系統在圖書館網絡安全中的應用[J].情報探索,2007,(12):64～66.

[6]張云鵬,胡飛,馬春燕.基于P2DR模型的分布式入侵檢測系統設計與實現[J].計算機工程與應用,2005,(35):141～144.