機場入侵檢測與計算機網絡安全問題的探討

◆涂宇飛 金柏杉

(成都雙流機場股份有限公司 四川 610202）

機場入侵檢測與計算機網絡安全問題的探討

◆涂宇飛 金柏杉

(成都雙流機場股份有限公司 四川 610202）

隨著我國機場建設步伐的加快，對機場計算機網絡安全提出更高的要求。然而從當前機場機場網絡安全情況看，仍存在網絡入侵問題，極大程度上威脅機場計算機網絡的整體安全，甚至影響機場其他方面的運維管理。對此情況，便考慮引入入侵檢測技術，將其融入機場計算機網絡系統中，保證系統安全可靠運行。本次研究將對計算機入侵檢測技術做簡單介紹，并結合當前機場計算機網絡常見的入侵方式，提出如何在機場計算機網絡安全中應用入侵檢測技術。

機場；計算機網絡安全；入侵檢測技術

0 前言

計算機網絡技術發展背景下，為機場的整體運維管理提供極大便利。但值得注意的是，由于網絡環境本身有開放性特點，加之黑客技術的不斷發展，導致許多門戶網站面臨網絡入侵問題。以機場應用服務器、數據庫服務器等為例，并未真正實現與內部網的物理隔絕，可能出現內部攻擊或信息竊取等情況，影響機場的整體安全管理工作，如何解決機場計算機網絡安全問題成為當下機場建設中需考慮的主要內容。因此，本文對機場計算機網絡安全問題與入侵檢測技術的應用研究，具有十分重要的意義。

1 入侵檢測技術相關概述

關于入侵檢測，其主要指在收集計算機系統中數據信息或文件的基礎上加以分析，判斷是否有被攻擊現象或與安全策略背離行為，若存在影像系統可用性、完整性與機密性行為，及時做報警與阻斷處理。對于入侵檢測中的分析技術，一般可細化為完整性分析、異常檢測與模式匹配等方法。以完整性分析為例，運用中強調對網絡內文件屬性、文件目錄與文件內容分析，是否存在被更改情況。而異常檢測方法，主要在收集某一段網絡操作或網絡內的歷史數據，進行“活動簡報”的構建，然后與當前網絡活動狀況對比，分析是否有偏離正常行為模式情況，得到入侵檢測分析結果。另外，對于地模式匹配，實現機理表現為對網絡中的數據包檢測，分析可以數據包以及其中的字節，可有效檢測攻擊特征。若從機場計算機網絡安全角度出發，將入侵檢測技術應用，主要以主機系統檢測、網絡檢測兩種方式為主。其中在主機系統檢測中，強調對操作系統、應用程序等事件日志分析，且選擇其他如端口調用、系統調用等記錄為依據，在此基礎上與數據庫中數據對比，判斷有無攻擊情況。而另外一種網絡入侵檢測，則需在掃描網絡后做可疑分組，根據數據庫內已知的有攻擊特征數據，分析可疑分組中數據信息的異常。將這種入侵檢測技術引入機場計算機網絡安全管理中，能夠及時發現入侵攻擊行為，對保證機場計算機系統穩定可靠運行可發揮重要作用[1]。

2 機場計算機網絡入侵方式分析

所謂網絡入侵，實質為利用某種可調試、編寫計算機程序的技巧，對網絡文件或信息數據等進行非法獲取，這種入侵內部網的行為便稱之為網絡入侵。從近年來機場信息化建設看，取得較多成就，在計算機系統建設上逐漸成熟，但網絡入侵問題仍屢見不鮮，不僅影響計算機網絡系統的穩定運行，更影響機場其他管理工作，如調度、指揮等。從當前機場計算機系統網絡入侵的常見方式看，主要表現為以下幾方面：

（1）病毒攻擊。該供給方式主要表現為通過復制計算機程序，對特定系統資源目標進行破壞，如FPT文件下載、WWW瀏覽與電子郵件等，均是病毒攻擊的主要目標，這種病毒有明顯的潛伏性、繁殖性、隱蔽性與傳染性等特點。

（2）身份攻擊。對于機場計算機系統，登錄中要求確定用戶身份，有具體的訪問權限。而身份攻擊方式則針對這種情況選擇漏洞攻擊、口令攻擊或信息收集攻擊等方式，獲取用戶帳號，在此基礎上非法收集與篡改主機系統中價值信息[2]。

（3）防火墻攻擊。盡管機場計算機系統均設置防火墻，對防止網絡入侵可起到一定的作用，但由于防火墻設計本身有一定的缺陷，加之網絡攻擊技術的不斷發展，更易出現對防火墻攻擊行為，如為解決防火墻認證問題，借助FTP-pasv繞過實現攻擊，或采取TCP序號協同攻擊方法等，這些均為機場計算機網絡安全帶來較大威脅。

（4）拒絕服務攻擊。該入侵模式亦被稱之為 DoS，主要指以報文形式向網絡系統中發送，使整個網絡服務器內有過多信息充斥，消耗過多網絡帶寬與系統資源，最終出現系統高負荷運轉甚至癱瘓，有無響應、死機等表現[3]。

3 機場計算機網絡安全問題解決中入侵檢測技術的應用分析

本次研究中主要結合當前機場計算機系統的安全情況，提出網絡入侵檢測系統的構建，具體構建中主要考慮引入入侵檢測系統IDS的，其由多層體系結構構成，包含Manager、Console、Agent等部分，其中用于信息收集與顯示的為 Console，而對各網段網絡數據包的監視則通過Agent實現，最后由Manager做報警、日志的統一管理。將該系統應用于機場計算機網絡安全管理中，實現內容如下幾方面。

3.1 機場網絡安全信息收集

信息收集是機場計算機網絡系統入侵檢測的基本前提。而信息收集過程實質為對數據源的獲取，這種數據源可細化為四種類型，如物理形式入侵信息、程序執行行為、目錄與文件變化、系統與網絡日志文件等。具體收集中，要求將一個或多個IDS代理部署于各網段內，或直接將IDS系統與交換機核心芯片處的調試端口進行連接，這樣便可獲取數據流。另外，收集入侵檢測信息中，需著重分析多個來源不一致的對象，標識為入侵或可疑行為。事實上，對于機場整個計算機網絡系統，一旦有入侵行為出現，系統中便會有異常數據，這些數據本身與系統原有的數據不同，所以信息收集中應考慮對這部分數據孤立，以此形成數據群，這樣可有針對性的做入侵分析。因此，當前機場計算機網絡入侵檢測系統構建中，在信息收集方面可選用基于孤立點挖掘方法。

3.2 網絡安全信息分析與響應

在系統完成信息收集后，便需做信息的分析。分析中可用的手段主要以異常發現、模式匹配等為主，能夠對與安全策略相悖的行為發現，然后向管理器發送。需注意的是，系統設計中，要求設計人員充分認識系統漏洞、異常行為與各種網絡協議，能夠根據可能出現的入侵行為制定針對性的安全策略，構建異常檢測模型，使系統能夠自動實現異常行為的辨別分析。對于機場計算機系統，目前常用的入侵檢測手段以網絡探測引擎為主，其與傳感器功能相似，通過旁路偵聽模式，對網絡中所有數據包進行動態監視，識別異常行為。另外，本次研究中所提及的IDS，其可對入侵行為給予響應，如利用網絡引擎發出告警，或以 SNMP trap、E-mail等形式告知控制臺或管理員，以此達到及時發現異常信息、及時處理的目的。

3.3 防火墻技術的配合應用

作為計算機系統中常用的安全機制，防火墻應用下側重于對網絡層、應用層訪問控制，一般難以有效監控內部網絡。對此，考慮機場計算機系統設計中，將防火墻、入侵檢測技術聯合應用，如入侵檢測系統或防火墻設置一個可用于對方使用的接口，雙方之間構建固定的通信協議，可共同發揮入侵檢測作用。考慮到部分非授權行為可能繞過防火墻入侵，此時需利用入侵檢測系統對該類行為判斷并給出響應，及時做入侵行為應對處理[4]。

4 結論

計算機網絡安全問題是當前機場計算機系統建設中需考慮的主要內容。從當前機場計算機網絡入侵行為看，包含較多方式，如病毒攻擊、身份攻擊、防火墻攻擊以及拒絕服務攻擊等，需行之有效的入侵檢測技術，主要通過入侵檢測系統的設計，完成信息的收集、分析與處理，并注意與防火墻技術的配合，以此提高機場計算機網絡安全性。

[1] 吳卉男．計算機網絡安全中入侵檢測系統的研究與設計[J]．通訊世界，2016．

[2] 宋焱宏．探討計算機網絡入侵檢測應用免疫機制的效果[J]．電腦知識與技術，2015．

[3] 李文強．計算機網絡安全中入侵檢測技術應用分析[J]．電腦編程技巧與維護，2016．

[4] 唐君，楊云．基于多模式匹配算法的計算機網絡入侵檢測研究[J]．科技通報，2014．