淺談入侵檢測系統(tǒng)的電子應(yīng)用

(淄博職業(yè)學(xué)院 山東 淄博 255000)

淺談入侵檢測系統(tǒng)的電子應(yīng)用

任艷

(淄博職業(yè)學(xué)院山東淄博255000)

近年來，電子商務(wù)的發(fā)展已逐步放慢了腳步，其中安全問題是阻礙其發(fā)展的主要原因之一。可以預(yù)見，要邁入真正意義的電子商務(wù)時代，安全問題必須解決。本文選擇這一課題進(jìn)行探索性研究，有著重要的實際意義。本文提出了入侵檢測系統(tǒng)在電子商務(wù)安全中的應(yīng)用，提出了電子商務(wù)的正確安全觀念,并進(jìn)一步指出解決 電子商務(wù)安全問題尚需努力的方向。

電子商務(wù)；入侵檢測；網(wǎng)絡(luò)安全

一、引言

入侵檢測是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。

特征選擇是根據(jù)給定的準(zhǔn)則從一組特征中挑選出一些最有效的特征以降低特征空間維數(shù)，無用的、冗余的以及最少使用的特征將被從特征集合中刪除。特征選擇的主要目標(biāo)是在保證一定的檢測精度的前提下，盡可能地減少用于分類的特征數(shù)量，以提高檢測算法的效率。

二、電子商務(wù)的安全性

電子商務(wù)從安全和信任關(guān)系來看，在傳統(tǒng)交易過程中，買賣雙方是面對面的，因此很容易保證交易過 程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系的，彼此遠(yuǎn) 隔千山萬水，由于英特網(wǎng)既不安全，也不可信，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困 難。電子商務(wù)交易雙方(銷售者和消費者)都面臨不同的安全威脅。

電子商務(wù)系統(tǒng)的安全體系結(jié)構(gòu)主要包括：

H1.支持服務(wù)層。包括密碼服務(wù)、通信、歸檔、用戶接口和訪問控制等模塊，它 提供了實現(xiàn)安全服務(wù)的安全通信服務(wù)。

H2.傳輸層。傳輸層發(fā)送、接收、組織商業(yè)活動所需的封裝數(shù)據(jù)條，實現(xiàn)客戶和服務(wù)器之間根據(jù)規(guī)定的安 全角色來傳遞信息。數(shù)據(jù)條的基本類型為：簽名文本、證書、收據(jù)、已簽名的陳述、信息、數(shù)字化的商品、訪問某種服務(wù)所需的信息、獲得物理商品所需的信息、電子錢。傳輸層包括 付款模塊、文檔服務(wù)模塊和證書服務(wù)模塊。

H3.交換層。交換層提供封裝數(shù)據(jù)的公平交換服務(wù)。所謂公平是指，A和B同意進(jìn)行交換，則A收到B的封裝 數(shù)據(jù)條的充要條件是B收到A的封裝數(shù)據(jù)條。

H4.商務(wù)層。商務(wù)層提供了商業(yè)方案，如“郵購零售”、“在線銷售信息”等。

三、入侵檢測系統(tǒng)的結(jié)構(gòu)

為提高系統(tǒng)對新型變種攻擊的適應(yīng)性，用BP人工神經(jīng)網(wǎng)絡(luò)技術(shù)構(gòu)造入侵檢測系統(tǒng)[4，8]，如圖1。

圖1 基于BP 神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)框架

本模型主要由數(shù)據(jù)采集與預(yù)處理、入侵識別兩大部分組成，具體包括數(shù)據(jù)采集、預(yù)處理、訓(xùn)練數(shù)據(jù)庫、待檢數(shù)據(jù)、特征選擇、多類神經(jīng)網(wǎng)絡(luò)訓(xùn)練器/識別器等模塊。數(shù)據(jù)采集模塊通過在防火墻后設(shè)置探針來偵聽網(wǎng)絡(luò)中的數(shù)據(jù)包，并將其重組成TCP 連接。預(yù)處理模塊則包括重組TCP 連接的特征提取、特征的數(shù)值化和歸一化。由于采集到的數(shù)據(jù)的維數(shù)比較高，因此要對其進(jìn)行壓縮，此處使用特征選擇模塊。經(jīng)過特征選擇以后，訓(xùn)練數(shù)據(jù)的維數(shù)降低了，從而可以使多類神經(jīng)網(wǎng)絡(luò)訓(xùn)練器的訓(xùn)練時間和效果都得到很大的提高。由多類神經(jīng)網(wǎng)絡(luò)訓(xùn)練器和多類神經(jīng)網(wǎng)絡(luò)識別器構(gòu)成的多類神經(jīng)網(wǎng)絡(luò)分類器可以對TCP 連接進(jìn)行多分類。分類后，如果TCP 連接正常，則該連接直接送到內(nèi)網(wǎng);如果TCP 連接異常，則要對TCP 連接進(jìn)一步做出是何種入侵的判斷，從而通知系統(tǒng)做出相應(yīng)的反應(yīng)。該模型中選擇神經(jīng)網(wǎng)絡(luò)作為分類器的原因是神經(jīng)網(wǎng)絡(luò)可以進(jìn)行多分類，且分類性能可以滿足要求。如果在該模型中選擇支撐向量機(SVM)作為分類器，就只能進(jìn)行二分類，且要在支撐向量機分類器之后再串連其它的多分類器進(jìn)一步地分類。

四、系統(tǒng)實現(xiàn)

第一是數(shù)據(jù)捕獲及預(yù)處理。入侵檢測系統(tǒng)將網(wǎng)卡設(shè)置為混雜工作模式，在該模式下，網(wǎng)卡可接受所有的網(wǎng)絡(luò)分組，不管分組是否是自身的目的地址，都使用網(wǎng)絡(luò)嗅探的方法進(jìn)行采集。數(shù)據(jù)捕獲完成后，按用戶需求進(jìn)程分析、過濾。分析以太網(wǎng)和TCP/IP 等包頭中的信息，如數(shù)據(jù)長度、源IP 地址、目的IP 地址、協(xié)議類型、源端口、目的端口等。選擇用戶感興趣的網(wǎng)絡(luò)時間表。進(jìn)行應(yīng)用協(xié)議的解釋，把原數(shù)據(jù)轉(zhuǎn)化成用戶可理解的方式輸出。捕獲后所得數(shù)據(jù)包經(jīng)解析后存放在特定的數(shù)據(jù)結(jié)構(gòu)中，該數(shù)據(jù)不能作為神經(jīng)網(wǎng)絡(luò)輸入，須對其抽象化，最終形成數(shù)字化結(jié)果輸入神經(jīng)網(wǎng)絡(luò)。因TCP/IP 協(xié)議定義各種報文的組成格式，在捕獲到主機及網(wǎng)絡(luò)數(shù)據(jù)報文后，通過協(xié)議可對數(shù)據(jù)報文進(jìn)行分析，按特征提取要求，提取該數(shù)據(jù)包的相關(guān)信息，如端口號、報文頭部長度、數(shù)據(jù)段內(nèi)容等。而這些信息描述該數(shù)據(jù)包的特征向量，該向量被提交給神經(jīng)網(wǎng)絡(luò)分類模塊，并作為該模塊輸入，并對向量分析處理，得出是否有攻擊行為的結(jié)論。

第二是神經(jīng)網(wǎng)絡(luò)分類模塊實現(xiàn)。對BP 神經(jīng)網(wǎng)絡(luò)，在實現(xiàn)分類模型時，需考慮以下幾點：(1)中間層(隱層)數(shù)的選取。(2)輸入層和輸出層維數(shù)。(3)隱含層神經(jīng)元數(shù)。(4)權(quán)值初始化。(5)訓(xùn)練樣本的選取。在入侵檢測系統(tǒng)中，先獲取典型網(wǎng)絡(luò)攻擊行為樣本作為學(xué)習(xí)樣本庫，并應(yīng)用這些樣本對神經(jīng)網(wǎng)絡(luò)分類引擎進(jìn)行訓(xùn)練。再以權(quán)值形式存儲這些攻擊行為的特征模式。神經(jīng)網(wǎng)絡(luò)分類引擎實際工作時，可對捕獲的網(wǎng)絡(luò)數(shù)據(jù)流分析處理，判定是否惡意攻擊。若發(fā)現(xiàn)新型未知攻擊時，將反饋給樣本訓(xùn)練庫。

五、結(jié)束語

在我國，電子商務(wù)的安全問題已經(jīng)是導(dǎo)致電子商務(wù)發(fā)展滯后的不爭的事實。相反，由于發(fā)達(dá)國家在電子商務(wù)方面起步較早，在電子商務(wù)經(jīng)營中，對其安全問題非常重視，并且網(wǎng)絡(luò)功能的利用比較全面，這就使他們可以在劇烈的競爭中得到保護(hù)。從而能夠生存下來并發(fā)展壯大。鑒于這種情況，我國應(yīng)該首先在思想上清醒地認(rèn)識到網(wǎng)絡(luò)安全與國家安全息息相關(guān)。對網(wǎng)絡(luò)安全問題國家要成立專門的領(lǐng)導(dǎo)協(xié)調(diào)機構(gòu)，以超常規(guī)的速度組織人，財，物予以進(jìn)行研發(fā)，建立安全可靠，高效有序的信息網(wǎng)絡(luò)系統(tǒng)，以保障電子商務(wù)系統(tǒng)安全，防范金融風(fēng)險，避免經(jīng)濟動蕩，以及保障國家政治穩(wěn)定和維護(hù)國家安全，為保衛(wèi)共和國的安全筑起一道電子的鋼鐵長城。其次認(rèn)清網(wǎng)絡(luò)信息系統(tǒng)安全問題的根本原因，并且急需建立健全社會化信用體系。最后要解決電子商務(wù)立法的滯后問題，通過授予知識產(chǎn)權(quán)保護(hù)的形式對電子商務(wù)中的創(chuàng)新經(jīng)營進(jìn)行保護(hù)無疑是對我國電子商務(wù)發(fā)展的一種促進(jìn)。筆者寫作本文的 目的就是希望能引起各界對此問題的重視，使我國電子商務(wù)管理的安全問題得到重視，得以解決，為我國電子商務(wù)的發(fā)展鋪平道路。

[1]楊義先，鈕心忻編著.入侵檢測理論與技術(shù)[M].高等教育出版社，2006.

[2]胡桃 呂廷杰 尹濤 電子商務(wù)及其在電信行業(yè)中的應(yīng)用[M],浙江大學(xué)出版社，2005.

[3]尚建成 《電子商務(wù)基礎(chǔ) 》 高等教育出版社出版，2006