淺談入侵檢測(cè)系統(tǒng)的電子應(yīng)用

(淄博職業(yè)學(xué)院 山東 淄博 255000)

淺談入侵檢測(cè)系統(tǒng)的電子應(yīng)用

任艷

(淄博職業(yè)學(xué)院山東淄博255000)

近年來(lái)，電子商務(wù)的發(fā)展已逐步放慢了腳步，其中安全問(wèn)題是阻礙其發(fā)展的主要原因之一。可以預(yù)見(jiàn)，要邁入真正意義的電子商務(wù)時(shí)代，安全問(wèn)題必須解決。本文選擇這一課題進(jìn)行探索性研究，有著重要的實(shí)際意義。本文提出了入侵檢測(cè)系統(tǒng)在電子商務(wù)安全中的應(yīng)用，提出了電子商務(wù)的正確安全觀念,并進(jìn)一步指出解決 電子商務(wù)安全問(wèn)題尚需努力的方向。

電子商務(wù)；入侵檢測(cè)；網(wǎng)絡(luò)安全

一、引言

入侵檢測(cè)是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。

特征選擇是根據(jù)給定的準(zhǔn)則從一組特征中挑選出一些最有效的特征以降低特征空間維數(shù)，無(wú)用的、冗余的以及最少使用的特征將被從特征集合中刪除。特征選擇的主要目標(biāo)是在保證一定的檢測(cè)精度的前提下，盡可能地減少用于分類的特征數(shù)量，以提高檢測(cè)算法的效率。

二、電子商務(wù)的安全性

電子商務(wù)從安全和信任關(guān)系來(lái)看，在傳統(tǒng)交易過(guò)程中，買(mǎi)賣(mài)雙方是面對(duì)面的，因此很容易保證交易過(guò) 程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中，買(mǎi)賣(mài)雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系的，彼此遠(yuǎn) 隔千山萬(wàn)水，由于英特網(wǎng)既不安全，也不可信，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困 難。電子商務(wù)交易雙方(銷(xiāo)售者和消費(fèi)者)都面臨不同的安全威脅。

電子商務(wù)系統(tǒng)的安全體系結(jié)構(gòu)主要包括：

H1.支持服務(wù)層。包括密碼服務(wù)、通信、歸檔、用戶接口和訪問(wèn)控制等模塊，它 提供了實(shí)現(xiàn)安全服務(wù)的安全通信服務(wù)。

H2.傳輸層。傳輸層發(fā)送、接收、組織商業(yè)活動(dòng)所需的封裝數(shù)據(jù)條，實(shí)現(xiàn)客戶和服務(wù)器之間根據(jù)規(guī)定的安 全角色來(lái)傳遞信息。數(shù)據(jù)條的基本類型為：簽名文本、證書(shū)、收據(jù)、已簽名的陳述、信息、數(shù)字化的商品、訪問(wèn)某種服務(wù)所需的信息、獲得物理商品所需的信息、電子錢(qián)。傳輸層包括 付款模塊、文檔服務(wù)模塊和證書(shū)服務(wù)模塊。

H3.交換層。交換層提供封裝數(shù)據(jù)的公平交換服務(wù)。所謂公平是指，A和B同意進(jìn)行交換，則A收到B的封裝 數(shù)據(jù)條的充要條件是B收到A的封裝數(shù)據(jù)條。

H4.商務(wù)層。商務(wù)層提供了商業(yè)方案，如“郵購(gòu)零售”、“在線銷(xiāo)售信息”等。

三、入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

為提高系統(tǒng)對(duì)新型變種攻擊的適應(yīng)性，用BP人工神經(jīng)網(wǎng)絡(luò)技術(shù)構(gòu)造入侵檢測(cè)系統(tǒng)[4，8]，如圖1。

圖1 基于BP 神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)框架

本模型主要由數(shù)據(jù)采集與預(yù)處理、入侵識(shí)別兩大部分組成，具體包括數(shù)據(jù)采集、預(yù)處理、訓(xùn)練數(shù)據(jù)庫(kù)、待檢數(shù)據(jù)、特征選擇、多類神經(jīng)網(wǎng)絡(luò)訓(xùn)練器/識(shí)別器等模塊。數(shù)據(jù)采集模塊通過(guò)在防火墻后設(shè)置探針來(lái)偵聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)包，并將其重組成TCP 連接。預(yù)處理模塊則包括重組TCP 連接的特征提取、特征的數(shù)值化和歸一化。由于采集到的數(shù)據(jù)的維數(shù)比較高，因此要對(duì)其進(jìn)行壓縮，此處使用特征選擇模塊。經(jīng)過(guò)特征選擇以后，訓(xùn)練數(shù)據(jù)的維數(shù)降低了，從而可以使多類神經(jīng)網(wǎng)絡(luò)訓(xùn)練器的訓(xùn)練時(shí)間和效果都得到很大的提高。由多類神經(jīng)網(wǎng)絡(luò)訓(xùn)練器和多類神經(jīng)網(wǎng)絡(luò)識(shí)別器構(gòu)成的多類神經(jīng)網(wǎng)絡(luò)分類器可以對(duì)TCP 連接進(jìn)行多分類。分類后，如果TCP 連接正常，則該連接直接送到內(nèi)網(wǎng);如果TCP 連接異常，則要對(duì)TCP 連接進(jìn)一步做出是何種入侵的判斷，從而通知系統(tǒng)做出相應(yīng)的反應(yīng)。該模型中選擇神經(jīng)網(wǎng)絡(luò)作為分類器的原因是神經(jīng)網(wǎng)絡(luò)可以進(jìn)行多分類，且分類性能可以滿足要求。如果在該模型中選擇支撐向量機(jī)(SVM)作為分類器，就只能進(jìn)行二分類，且要在支撐向量機(jī)分類器之后再串連其它的多分類器進(jìn)一步地分類。

四、系統(tǒng)實(shí)現(xiàn)

第一是數(shù)據(jù)捕獲及預(yù)處理。入侵檢測(cè)系統(tǒng)將網(wǎng)卡設(shè)置為混雜工作模式，在該模式下，網(wǎng)卡可接受所有的網(wǎng)絡(luò)分組，不管分組是否是自身的目的地址，都使用網(wǎng)絡(luò)嗅探的方法進(jìn)行采集。數(shù)據(jù)捕獲完成后，按用戶需求進(jìn)程分析、過(guò)濾。分析以太網(wǎng)和TCP/IP 等包頭中的信息，如數(shù)據(jù)長(zhǎng)度、源IP 地址、目的IP 地址、協(xié)議類型、源端口、目的端口等。選擇用戶感興趣的網(wǎng)絡(luò)時(shí)間表。進(jìn)行應(yīng)用協(xié)議的解釋，把原數(shù)據(jù)轉(zhuǎn)化成用戶可理解的方式輸出。捕獲后所得數(shù)據(jù)包經(jīng)解析后存放在特定的數(shù)據(jù)結(jié)構(gòu)中，該數(shù)據(jù)不能作為神經(jīng)網(wǎng)絡(luò)輸入，須對(duì)其抽象化，最終形成數(shù)字化結(jié)果輸入神經(jīng)網(wǎng)絡(luò)。因TCP/IP 協(xié)議定義各種報(bào)文的組成格式，在捕獲到主機(jī)及網(wǎng)絡(luò)數(shù)據(jù)報(bào)文后，通過(guò)協(xié)議可對(duì)數(shù)據(jù)報(bào)文進(jìn)行分析，按特征提取要求，提取該數(shù)據(jù)包的相關(guān)信息，如端口號(hào)、報(bào)文頭部長(zhǎng)度、數(shù)據(jù)段內(nèi)容等。而這些信息描述該數(shù)據(jù)包的特征向量，該向量被提交給神經(jīng)網(wǎng)絡(luò)分類模塊，并作為該模塊輸入，并對(duì)向量分析處理，得出是否有攻擊行為的結(jié)論。

第二是神經(jīng)網(wǎng)絡(luò)分類模塊實(shí)現(xiàn)。對(duì)BP 神經(jīng)網(wǎng)絡(luò)，在實(shí)現(xiàn)分類模型時(shí)，需考慮以下幾點(diǎn)：(1)中間層(隱層)數(shù)的選取。(2)輸入層和輸出層維數(shù)。(3)隱含層神經(jīng)元數(shù)。(4)權(quán)值初始化。(5)訓(xùn)練樣本的選取。在入侵檢測(cè)系統(tǒng)中，先獲取典型網(wǎng)絡(luò)攻擊行為樣本作為學(xué)習(xí)樣本庫(kù)，并應(yīng)用這些樣本對(duì)神經(jīng)網(wǎng)絡(luò)分類引擎進(jìn)行訓(xùn)練。再以權(quán)值形式存儲(chǔ)這些攻擊行為的特征模式。神經(jīng)網(wǎng)絡(luò)分類引擎實(shí)際工作時(shí)，可對(duì)捕獲的網(wǎng)絡(luò)數(shù)據(jù)流分析處理，判定是否惡意攻擊。若發(fā)現(xiàn)新型未知攻擊時(shí)，將反饋給樣本訓(xùn)練庫(kù)。

五、結(jié)束語(yǔ)

在我國(guó)，電子商務(wù)的安全問(wèn)題已經(jīng)是導(dǎo)致電子商務(wù)發(fā)展滯后的不爭(zhēng)的事實(shí)。相反，由于發(fā)達(dá)國(guó)家在電子商務(wù)方面起步較早，在電子商務(wù)經(jīng)營(yíng)中，對(duì)其安全問(wèn)題非常重視，并且網(wǎng)絡(luò)功能的利用比較全面，這就使他們可以在劇烈的競(jìng)爭(zhēng)中得到保護(hù)。從而能夠生存下來(lái)并發(fā)展壯大。鑒于這種情況，我國(guó)應(yīng)該首先在思想上清醒地認(rèn)識(shí)到網(wǎng)絡(luò)安全與國(guó)家安全息息相關(guān)。對(duì)網(wǎng)絡(luò)安全問(wèn)題國(guó)家要成立專門(mén)的領(lǐng)導(dǎo)協(xié)調(diào)機(jī)構(gòu)，以超常規(guī)的速度組織人，財(cái)，物予以進(jìn)行研發(fā)，建立安全可靠，高效有序的信息網(wǎng)絡(luò)系統(tǒng)，以保障電子商務(wù)系統(tǒng)安全，防范金融風(fēng)險(xiǎn)，避免經(jīng)濟(jì)動(dòng)蕩，以及保障國(guó)家政治穩(wěn)定和維護(hù)國(guó)家安全，為保衛(wèi)共和國(guó)的安全筑起一道電子的鋼鐵長(zhǎng)城。其次認(rèn)清網(wǎng)絡(luò)信息系統(tǒng)安全問(wèn)題的根本原因，并且急需建立健全社會(huì)化信用體系。最后要解決電子商務(wù)立法的滯后問(wèn)題，通過(guò)授予知識(shí)產(chǎn)權(quán)保護(hù)的形式對(duì)電子商務(wù)中的創(chuàng)新經(jīng)營(yíng)進(jìn)行保護(hù)無(wú)疑是對(duì)我國(guó)電子商務(wù)發(fā)展的一種促進(jìn)。筆者寫(xiě)作本文的 目的就是希望能引起各界對(duì)此問(wèn)題的重視，使我國(guó)電子商務(wù)管理的安全問(wèn)題得到重視，得以解決，為我國(guó)電子商務(wù)的發(fā)展鋪平道路。

[1]楊義先，鈕心忻編著.入侵檢測(cè)理論與技術(shù)[M].高等教育出版社，2006.

[2]胡桃 呂廷杰 尹濤 電子商務(wù)及其在電信行業(yè)中的應(yīng)用[M],浙江大學(xué)出版社，2005.

[3]尚建成 《電子商務(wù)基礎(chǔ) 》 高等教育出版社出版，2006