大型銀行管理系統中入侵跟蹤系統設計

龔尚福 張珂

摘 要： 在檢測銀行管理系統中的入侵攻擊過程中，銀行管理系統體系龐大，需要采集全部滿足特征的記錄并對其進行分析，效率較低。在此設計并實現一種適用于銀行管理體系的新一代入侵跟蹤系統，該系統由基礎數據層、適配層、邏輯層以及視圖層構成。入侵跟蹤系統的工作流程包括用戶需求輸入、檢索入侵跟蹤流程信息、輸出入侵跟蹤流程信息以及組裝入侵跟蹤流程圖。在新一代系統中，引入融合模式匹配和協議分析對銀行管理系統中的入侵攻擊進行檢測，該方法極大地降低了正常數據的分析難度，增強檢測準確性。實驗結果表明，所設計的入侵跟蹤系統，在對大型銀行管理系統中不同入侵攻擊類型進行跟蹤檢測的過程中，具有較高的檢測速率和精度。

關鍵詞： 銀行管理系統； 入侵跟蹤； 特征記錄采集； 入侵攻擊類型檢測

中圖分類號： TN915?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2016）06?0001?04

Design of invasion tracking system in large bank management system

GONG Shangfu， ZHANG Ke

（College of computer science and technology， Xian University of Science and Technology， Xian 710054， China）

Abstract： During detection of intrusion attack to bank management system， if the bank management system is large， all the records satisfying features need to be collected and analyzed. Therefore， the efficiency is low. A new generation of invasion tracking system suitable for bank management system was design and implemented. The system consists of basic data layer， adaptive layer， logic layer and view layer. The workflow of the invasion tracking system includes users demand input， retrieve of invasion tracking process information， output of tracking process information and assembly of invasion tracking flow chart. The fusion of pattern matching and protocol analysis method to detect intrusion attack in banks management system is introduced into the new generation system. The method greatly reduces the difficulty of the normal data analysis， and enhance the detection accuracy. The experimental results indicate that the designed invasion tracking system has high detection speed and high accuracy in the process of tracking detection of different intrusion attack types in large bank management system.

Keywords： bank management system； invasion tracking； feature record acquisition； invasion attack?type detection

0 引 言

隨著全球信息化的快速發展，銀行業信息安全成為關系國家穩定和人們財產安全的重大問題。入侵者在缺乏安全保護的銀行管理系統中，會竊取銀行用戶隱私、破壞用戶數據，給銀行管理和用戶財產造成巨大的經濟損失[1?2]。因此，尋求高質量的入侵檢測模型，成為銀行管理人員研究的重點方向[3?5]。入侵跟蹤系統能夠呈現銀行管理系統程序入侵檢測流程流轉信息和流程相關節點信息，便于管理人員采集所需信息的工作信息，進而對銀行管理系統入侵檢測流程進行調控，及時發現入侵檢測過程中存在的問題，增強入侵檢測質量，確保銀行管理系統的安全性。

當前存在較多入侵跟蹤模型，但都存在一定的問題。如文獻[6]分析的層次化的入侵檢測可對不同攻擊進行分類操作，并且合理規劃了攻擊特征庫以及安全方案，提高了入侵檢測效率，但是檢測精度較低。文獻[7]提出了規范化的入侵檢測系統Snort，其對網絡協議的數據包進行規范化操作，對數據包實行協議解析后，再完成數據的特征匹配，實現入侵檢測，但是會導致檢測效率降低。文獻[8]提出的融合模式匹配和特征檢索方法的入侵檢測模型，但是存在檢測效率低和消耗資源大的弊端。文獻[9]中的流量分析統計的入侵檢測模型，能夠及時發現系統中的入侵事件，但是該種方法具在耗時長的缺陷。

1 大型銀行管理系統中入侵跟蹤系統設計

為了解決上述分析方法存在的弊端，本文設計了大型銀行管理系統的入侵跟蹤系統，該系統由基礎數據層、適配層、邏輯層和視圖層構成。入侵跟蹤系統的工作流程包括用戶需求輸入、檢索入侵跟蹤流程信息、輸出入侵跟蹤流程信息以及組裝入侵跟蹤流程圖。融合模式匹配和協議分析方法對銀行管理系統中的入侵攻擊進行檢測，并給出了將數據包調入入侵跟蹤系統的代碼。

1.1 系統的邏輯結構規劃

入侵跟蹤系統是銀行安全流程管理的一部分，可對銀行管理系統中存在的入侵攻擊進行實時跟蹤和檢測，對于確保銀行系統的安全性，具有重要作用。新一代面向銀行管理系統的入侵跟蹤系統設計方法，由基礎數據層、適配層、邏輯層以及視圖層構成。總體結構如圖1所示。

入侵跟蹤系統以跟蹤的入侵特征為基礎，采集該入侵特征對應的入侵流程模板文件。銀行用戶通過nieNet進程設計器，定義銀行管理系統的入侵跟蹤檢測業務流程模板后，應將該流程模塊存儲到FileNet CE（Content Engine，內容引擎）內。調用入侵檢測流程接口可采集到銀行管理系統入侵檢測流程流轉歷史信息。調用接口過程中，應塑造同BPM平臺的連接對象，基于連接對象實現平臺接口的調用。

圖1所示的銀行管理系統入侵跟蹤系統中，銀行管理系統中的入侵檢測業務控制中心包括適配層、邏輯層以及視圖層：

（1） 網絡入侵跟蹤適配層。規劃銀行管理系統的入侵跟蹤系統過程中，需要為每個入侵檢測流程引擎產品提供相應的適配層，同時對外提供統一的適配接口。適配層附屬于邏輯層，其為邏輯層的底層支撐，適配層能夠采集銀行管理系統入侵檢測流程適配規劃模塊以及通過流程控制平臺設置合理的入侵檢測流程模型。

（2） 邏輯層。邏輯層為銀行管理系統數據抽象的中間層，其可對數據庫數據總體的邏輯結構進行描述，可將采集到的銀行管理系統入侵檢測流程模板數據以及流程狀態數據，按照入侵檢測業務需求，組成領域模型。入侵檢測流程模板完成信息檢索后，將變換成入侵檢測流程模板模型；而入侵檢測流程實例完成信息檢索后，變換成入侵檢測流程狀態模型，融合入侵檢測流程模板模型以及入侵檢測流程狀態模型，可獲取銀行管理系統入侵檢測流程跟蹤模型，并將該模型反饋給視圖層。

（3） 視圖層。視圖層由模型層和保持層構成。保持層可將適配層中的數據持續存儲到內存中；模型層可將數據變換成入侵檢測流程跟蹤數據模型。視圖層可向應用層反饋最終的銀行管理系統入侵跟蹤檢測結果，并將結果向用戶呈現。視圖層還可將邏輯層反饋的入侵檢測流程模型信息變換成視圖層的入侵檢測流程模型信息，同時繪制成流程圖傳輸給用戶。

1.2 入侵跟蹤系統的跟蹤過程

本文設計的銀行管理系統入侵跟蹤系統的工作流程為：用戶需求輸入、檢索入侵跟蹤流程信息、輸出入侵跟蹤流程信息、組裝入侵跟蹤流程圖。用戶采用視圖層流程對頁面輸入流程ID以及關聯節點名稱提出檢索服務要求；銀行管理系統入侵跟蹤系統，基于流程ID以及節點名稱，對入侵檢測流程模板信息和入侵檢測流程實例狀態信息進行檢索，并基于檢索到的信息，分別組裝成入侵檢測模板模型和入侵檢測流程狀態模型；入侵跟蹤模型，對視圖層進行變換分析，可獲取入侵檢測流程跟蹤的數據模型，再基于該數據模型獲取視圖層模型，參照視圖層模型的結構以及數據，組裝成銀行管理系統入侵檢測流程跟蹤頁面，同時將該頁面呈現給用戶。銀行管理系統的入侵跟蹤系統，采用FileNet流程引擎和業務流程管理平臺中的入侵檢測流程服務端，采用適配器解析以及入侵檢測流程服務接口調用，采集到入侵檢測流程模板信息和入侵檢測流程狀態信息，同時可依據銀行管理系統的入侵檢測業務需求采集有價值信息，并通過JSPlumb插件將信息繪制成流程圖呈現給管理人員。

1.3 基于協議分析的入侵檢測模型

檢測銀行管理系統中的入侵攻擊過程中，需要采集全部滿足特征的記錄并對其進行分析，大大提高檢測難度。引入融合模式匹配和協議分析，降低了正常數據的分析難度，增強銀行管理系統入侵攻擊檢測準確性。該模型主要有數據包采集模塊、預操作模塊、基于協議分析的匹配檢測模塊、規范解析模塊和存儲模塊等，其結構圖如圖2所示。

（1） 數據包采集模塊。數據包采集模塊從銀行管理系統中采集初始數據包，同時將采集到的數據包傳輸到預操作模塊進行操作。

（2） 數據預操作模塊。數據預操作模塊可實現初始數據的篩選以及關鍵特征的解析，進而塑造協議分析匹配檢測模塊操作時，需要采集的特征量。基于相關的協議信息特征，數據預操作模塊參考協議格式，完成銀行管理系統數據的預操作，并面向協議規范采集特征量，再對特征量實施HTTP解碼、IP協議的數據選項研究以及重組等操作。

（3） 協議分析的檢測模塊。協議分析模塊采集預操作模塊中的數據包信息，對數據包內的二進制報文段進行操作，并且實現數據包信息的協議解碼操作。協議分析主要面向數據鏈路層采集的數據包，參照協議結構過濾數據包不同層協議中報文首部，將首部的關鍵詞分割成不同的類型，同時存儲分割結果，為數據檢索提供服務。依據銀行管理系統的功能函數，分析報文部的協議標注，獲取采集數據的上層協議，并參照協議種類采集關鍵字段的特征，收獲可能是攻擊行為的特征碼，并通過模式匹配手段完成規范匹配分析，最終通過存儲功能模塊將關鍵信息保存在數據庫中。協議分析模塊融合協議分析和模式匹配手段，對銀行管理系統中的攻擊特征進行跟蹤定位，實現銀行管理系統入侵的有效檢測。

（4） 協議規范解析模塊。協議規范解析模塊主要完成存儲在規范庫中的規范的解析，采集內存中的數據，并將數據反饋給匹配檢測模塊。

（5） 存儲模塊。存儲模塊可存儲銀行管理系統的入侵跟蹤系統檢測的事件，為后續分析提供可靠的依據，并保存匹配規范，通過有效的字段特征，描述不同攻擊類型的典型特征狀態。

本文入侵跟蹤系統基于銀行管理系統協議劃分攻擊特征的種類，再基于協議分析和匹配對攻擊特征進行分析，進而依據匹配程度對銀行管理系統中的攻擊信息進行跟蹤。

2 關鍵跟蹤代碼設計

本文設計的入侵跟蹤系統，在銀行管理系統存在異常情況下，采集到的數據包用“.hat”格式進行存儲。并采用操作模塊完成數據包的篩選。需要將數據包調入入侵跟蹤系統中，并采用assume Pouch.qi文件完成跟蹤操作，調用過程操作代碼如下：

3 實驗分析

為了驗證本文方法的有效性，需要進行相關的實驗分析。實驗面向某銀行管理系統中的ARP和sYNFlooding入侵攻擊進行跟蹤監測分析，本文方法檢測的有效率結果如表1所示。

分析表1可得，對銀行管理系統入侵攻擊數據包檢測時，需要采集全部滿足特征的記錄并分析其過程，導致入侵檢測難度增加。而本文方法融合模式匹配和協議分析，極大降低了正常數據的分析難度，增強檢測準確性。從表1中的檢測有效率82.46%和78.13%可以看出，本文方法在檢測銀行管理系統中入侵數據具有較低的檢測誤報率。同時依據上述檢測過程可得，本文方法對ARP攻擊是從500條記錄中采集了127條記錄， 而從sYNFlooding攻擊類型中采集了159條記錄，極大地降低了檢測時間，確保匹配的區域明顯縮小，提高檢測速率。實驗對比分析了本文方法和半監督聚類方法下的銀行管理系統入侵結果，將實驗銀行管理系統的運行數據隨機分成4個檢測集，兩種方法4個檢測集的入侵跟蹤結果如表2所示。分析表2 可以看出，本文方法對4個檢測集中的入侵跟蹤效率始終高于半監督聚類方法，并且本文方法對已知攻擊的入侵跟蹤效率高于未知攻擊。本文方法比半監督聚類方法具有更低的時間和空間復雜度。

4 結 語

本文面向大規模銀行管理系統，設計了入侵跟蹤系統，該模塊由基礎數據層、適配層、邏輯層以及視圖層構成。入侵跟蹤系統的工作流程包括用戶需求輸入、檢索入侵跟蹤流程信息、輸出入侵跟蹤流程信息以及組裝入侵跟蹤流程圖。融合模式匹配和協議分析方法對銀行管理系統中的入侵攻擊進行檢測。該方法極大降低了正常數據的分析難度，增強檢測的準確性。該方法模型主要由數據包采集模塊、預操作模塊、基于協議分析的匹配檢測模塊、規范解析模塊、存儲模塊等組成。給出了將數據包調入入侵跟蹤系統以及入侵檢測漏洞掃描XML 樣例的代碼。實驗結果表明，所設計的入侵跟蹤系統，對大型銀行管理系統中不同入侵攻擊類型進行跟蹤檢測過程中，具有較高的檢測速率和精度。

參考文獻

[1] 許萌，趙成龍.基于Flex技術的無線應用系統平臺設計[J].電子世界，2013（22）：136?137.

[2] 張東亮.基于Flex的RIA限時登陸驗證模塊的實現[J].科技傳播，2013（1）：210?212.

[3] Oracle. Account NI streamlines sales invoicing and gains efficiency for Northern Ireland's civil service [EB/OL]. [2014?01?16]. http：//www.oracIe.com/us/corporate/customers/customersearch/ccount?ni?1?unified?bpm?ss?1905793.

[4] 劉勃然.21世紀初美國網絡安全戰略探析[D].長春：吉林大學，2013.

[5] 林龍成，陳波，郭向民.傳統網絡安全防御面臨的新威脅：APT攻擊[J].信息安全與技術，2013（3）：20?25.

[6] 宮春科.網戰呈現新特點：“離線攻擊”[N].解放軍報，2013?03?21（12）.

[7] 付霖宇，程永茂，曹建，等.基于PC104 總線的數字無線電信號監測系統研究[J].電聲技術，2013，37（12）：79?82.

[8] 劉萬增，陳軍，金舒平，等.空間曲線長度計算與精度評價模型[J].測繪通報，2013（2）：38?40.

[9] 楊有振，王書華.中國上市商業銀行系統性風險溢出效應分析：基于CoVaR 技術的分位數估計[J].山西財經大學學報，2013（7）：24?33.