入侵檢測技術在氣象信息網絡中的應用

◆李 珍

?

入侵檢測技術在氣象信息網絡中的應用

◆李 珍

(陜西省氣象信息中心 陜西 710014)

隨著氣象現代化、信息化的飛速發展，氣象部門信息安全管理、維護信息安全的形勢日益嚴峻，網絡安全問題日益突出。本文簡要介紹了網絡入侵檢測技術的概念、功能和分類，并通過分析已部署設備的入侵檢測結果，提出了網絡安全防護方面的建議。

信息安全；入侵檢測；網絡安全防護

0 引言

隨著計算機網絡技術的日益發展，氣象信息網絡得到極大的發展，計算機網絡的普及應用已經滲透到氣象業務運行的各個層面，但同時氣象信息網絡的發展也面臨著許多安全隱患。可以利用計算機網絡技術的不僅僅是正常的氣象業務系統，還有可能是非法的程序。為了能夠及時發現并報告網絡未經授權或異常的行為，在氣象信息網絡中采用入侵檢測技術能夠提高網絡的安全防護能力。

1 入侵檢測技術

1.1 入侵檢測

入侵檢測（Intrusion Detection）是對入侵行為的監測，它通過手機和分析計算機網絡或計算機系統中關于關鍵點的信息，檢查網絡或業務系統中是否存在違反安全策略的行為[1]。入侵檢測系統（Intrusion Detection System，簡稱IDS）是對計算機和網絡資源的不正常使用進行識別的系統，它的目的是監測和發現可能存在的網絡未經授權或異常的行為，包括來自外部的攻擊行為和內部用戶的未經授權的異常行為。

1.2 入侵檢測的功能

入侵檢測實現的功能主要有：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反應已知進攻的活動模式并向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為[2]。

1.3 入侵檢測的分類

根據所采用的監測模型，將入侵檢測分為3類：

（1）異常檢測：在異常檢測中，觀察到的不是已知的入侵行為，而是所研究的通信過程中的異常現象，它通過檢測系統的行為或使用情況的變化來完成[3]。

（2）特征檢測：基于已知的系統缺陷和入侵模式，根據入侵過程模型及它在被觀察系統中留下的蹤跡來定義某些特征的行為是非法的，然后將觀察對象與之進行比較以做出判別[4]。

（3）啟發式特征檢測：在做出決策之前，既分析系統的正常行為，同時還觀察可疑的入侵行為。

2 入侵檢測系統在陜西氣象信息網絡中的應用

2.1 方正入侵檢測系統

在陜西省氣象局的核心交換機上部署的是方正入侵檢測系統。方正入侵檢測系統提供中文圖形界面的管理中心軟件，網絡入侵檢測引擎為集成化的硬、軟件平臺，一個管理中心可以同時管理多個引擎，入侵檢測系統能夠實現分布式集中管理的部署方式，形成統一協調管理的多層分級管理結構，支持IP碎片重組、TCP流重組，采用基于回話的監測方式，能夠對SSL回話進行分析，具有蠕蟲監測功能，具備報警與響應、監控、報表等功能。

2.2 檢測結果分析

通過分析一段時期內的入侵檢測結果，可以看出省局網絡平均每天受到2357929次網絡入侵攻擊，其中68.99%的網絡入侵或攻擊的風險級別為中等，較高或高風險級別的網絡入侵分為530474次和199215次。不管從數量上還是風險等級上看，省局互聯網面臨的網絡風險還是很大的，網絡安全防護面臨嚴峻考驗。

如圖1，通過實時在線檢測分析可以看出，省局網絡受到的網絡入侵的事件類型主要有：DoS、掃描、后門、代碼攻擊、監控和有害站點，前四種類型所占比例分別為：88.8%、3.0%、0.1%和8.1%，后兩種類型的數量較少，兩者總和僅占全部網絡入侵事件的0.007%。

其中所占比例最大的是DOS（Denial of Service）入侵，是通過網絡協議的缺陷進行攻擊，從而耗盡被攻擊對象的網絡資源，使得被攻擊對象的網絡或業務系統無法正常地提供服務甚至崩潰。

圖1 實時在線監測圖

從以上對網絡入侵檢測情況的分析，可以看出網絡入侵事件對氣象業務的正常運行影響很大。因此，為了有效地防范網絡入侵，要采取較系統的網絡入侵防護措施：不僅要在省局互聯網的出口安裝網絡防火墻；還應通過上網行為管理實時監測省局各網絡用戶的上網行為；同時，對內部網絡上的各種網絡訪問都進行監管；經常利用網絡漏洞掃描器對網絡設備進行自動的安全漏洞檢測和分析；堅決杜絕瀏覽或安裝帶有網絡入侵安全隱患的網站和應用軟件；各地市也要進行相應的網絡病毒和入侵的防護，及時查殺病毒，從Internet、郵件、文件服務器和用戶終端四個方面來切斷病毒來源。

通過入侵檢測系統對省局網絡受到網絡入侵進行統計分析，位于前10位的入侵事件如圖2。

通過對受到網絡入侵進行統計分析，在網絡入侵事件中最多的是BitTorrent文件傳輸監控，造成的原因是BitTorrent協議中存在的安全隱患，即BitTorrent協議將與文件內容息息相關的Torrent文件以明文方式分發給用戶，但并不關心文件的來源和安全性，如果文件被劫持篡改，軟件并不能檢測出來。由此可見，使用BitTorrent軟件下載數據對網絡安全具有較大的威脅，如果網絡用戶能夠盡量避免使用BitTorrent軟件下載數據，網絡入侵的事件將大大減少，對網絡安全的威脅也相應降低。考慮到BitTorrent協議存在漏洞，導致的網絡入侵事件很多，信息中心將根據實際情況在必要時限制該協議的應用。

圖2 網絡入侵事件前10

通過分析網絡入侵事件的服務類型可以發現，造成網絡入侵最多的是IP服務，即通過IPC連接即WindowsNT及以上系統中特有的遠程網絡登錄功能。為了有效減少通過IP服務的網絡入侵事件，應盡量避免在計算機上使用系統默認共享和遠程登錄服務。

圖3 入侵服務類型前10

3 結束語

通過檢測和分析可以看出陜西省氣象局的網絡入侵事件發生率較高，網絡中存在一定的安全漏洞。為了有效地防范網絡入侵，不僅要在網絡中增加網絡安全防護設備，同時應進一步規范各網絡用戶的上網行為，并盡量避免使用BitTorrent軟件下載數據和在計算機上使用系統默認共享和遠程登錄服務等，以減少網絡中存在的漏洞，盡可能避免網絡入侵事件的發生。

[1]薛靜鋒，寧宇鵬，閻慧.入侵檢測技術[M].北京:機械工業出版社，2004.

[2]王福生.圖書館網絡中的入侵檢測系統[J].現代情報，2007.

[3]趙夏麗，李崢.高校圖書館網絡入侵檢測技術的應用[J].內蒙古科技與經濟，2012.