圖書(shū)館網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)及應(yīng)用

馬佳立

（榆林學(xué)院陜西榆林719000）

在現(xiàn)代圖書(shū)館信息化建設(shè)不斷深入的過(guò)程中，人們也將眼光放到了圖書(shū)館網(wǎng)絡(luò)安全事態(tài)方面，圖書(shū)館網(wǎng)絡(luò)保護(hù)網(wǎng)絡(luò)的發(fā)展能夠使圖書(shū)館工作正常的開(kāi)展，其不僅能夠?qū)D書(shū)館中核心數(shù)據(jù)及資源安全性進(jìn)行保證，還能夠有效保證圖書(shū)館對(duì)公眾和教學(xué)、科研提供可靠的信息服務(wù)。在實(shí)現(xiàn)圖書(shū)館網(wǎng)絡(luò)圖侵檢測(cè)系統(tǒng)的設(shè)計(jì)過(guò)程中，占據(jù)主要地位的就是防火墻系統(tǒng)、防治網(wǎng)絡(luò)病毒及入侵檢測(cè)系統(tǒng)，等多種網(wǎng)絡(luò)安全基礎(chǔ)。防火墻具有較為強(qiáng)大的功能，但是其對(duì)于內(nèi)部主機(jī)之間的攻擊行為和網(wǎng)絡(luò)內(nèi)部主動(dòng)連接無(wú)法進(jìn)行有效的阻止。除了防火墻，第二道網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)指的就是入侵檢測(cè)系統(tǒng)，其能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的外部、內(nèi)部及錯(cuò)誤操作等事件的處理。圖書(shū)館屬于公共信息集散地，其更多的是使用網(wǎng)絡(luò)技術(shù)為大眾提供文獻(xiàn)及信息等服務(wù)，以此就表示了網(wǎng)絡(luò)安全在圖書(shū)館安全管理工作中的重要性，并且網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)也是保證網(wǎng)絡(luò)安全管理工作的主要技術(shù)保障。基于此，本文就針對(duì)圖書(shū)館，實(shí)現(xiàn)了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)。

1 圖書(shū)館網(wǎng)絡(luò)入侵系統(tǒng)的功能

目前，各個(gè)院校都已經(jīng)創(chuàng)建了滿(mǎn)足自身需求的校園網(wǎng)絡(luò)，并且校園網(wǎng)絡(luò)也被不斷的普及，為學(xué)校校園管理及教學(xué)、學(xué)生的學(xué)習(xí)及日常生活帶來(lái)了方便[1]。圖書(shū)館是校園網(wǎng)絡(luò)中尤為重要的組成部分，其支撐著全校教學(xué)及科研工作的主要責(zé)任，但是在校園網(wǎng)絡(luò)安全中并不是絕對(duì)安全的，最開(kāi)始的黑客就是在校園網(wǎng)絡(luò)中逐漸成長(zhǎng)。一般的入侵檢測(cè)系統(tǒng)只能夠單一或者一組用戶(hù)行為，通過(guò)微觀的角度對(duì)入侵事件進(jìn)行檢測(cè)，并沒(méi)有從宏觀的角度對(duì)拒絕服務(wù)攻擊導(dǎo)致的網(wǎng)絡(luò)流量異常實(shí)現(xiàn)分析，本文所設(shè)計(jì)的系統(tǒng)就是從拒絕服務(wù)攻擊導(dǎo)致的網(wǎng)絡(luò)流量異常變化進(jìn)行設(shè)計(jì)的。原型系統(tǒng)的設(shè)計(jì)要以網(wǎng)絡(luò)行為學(xué)為基礎(chǔ)，網(wǎng)絡(luò)行為學(xué)表示網(wǎng)絡(luò)主要包括網(wǎng)絡(luò)流量行為，其具有短期和長(zhǎng)期的特點(diǎn)。長(zhǎng)期特點(diǎn)表示網(wǎng)絡(luò)行為具有穩(wěn)定性、規(guī)律性，短期特征具有突發(fā)性及偶然性[2]。本文系統(tǒng)的設(shè)計(jì)主要是根據(jù)規(guī)律和假設(shè)實(shí)現(xiàn)，圖1為圖書(shū)館網(wǎng)絡(luò)入侵系統(tǒng)的設(shè)計(jì)框架。

圖1 圖書(shū)館網(wǎng)絡(luò)入侵系統(tǒng)的設(shè)計(jì)框架

2 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型

目前有多種入侵檢測(cè)系統(tǒng)，但是效率并不高，并且較為混亂。本文使用入侵檢測(cè)機(jī)制和傳統(tǒng)入侵檢測(cè)系統(tǒng)模型并不同，本文使用的機(jī)制通過(guò)自主運(yùn)行的并行程序，其能夠以獨(dú)立及其他程序?yàn)榛A(chǔ)實(shí)現(xiàn)運(yùn)行，此程序?yàn)樽灾鞔韀3]。圖2為自主代理入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)。

文中說(shuō)描述的代理指的是能夠自主運(yùn)行的實(shí)體，其能夠加入或者退出系統(tǒng)，不同代理能夠在運(yùn)行過(guò)程中動(dòng)態(tài)配置，不需要重新啟動(dòng)系統(tǒng)。每個(gè)代理能夠在連續(xù)變化的過(guò)程中對(duì)計(jì)算機(jī)系統(tǒng)中的異常入侵和誤用入侵進(jìn)行檢測(cè)。如果一個(gè)檢測(cè)系統(tǒng)能夠分為多個(gè)不同功能的實(shí)體，那么每個(gè)實(shí)體就是一個(gè)小代理，以此就實(shí)現(xiàn)了共同運(yùn)行的多個(gè)入侵檢測(cè)系統(tǒng)自主代理[4]。

圖2 自主代理入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

網(wǎng)絡(luò)層的主要目的就是接受從系統(tǒng)主機(jī)和網(wǎng)絡(luò)到本層分類(lèi)器中傳輸?shù)膶徲?jì)數(shù)據(jù)，之后分類(lèi)器根據(jù)相應(yīng)的原則實(shí)現(xiàn)審計(jì)數(shù)據(jù)的分類(lèi)，最后傳輸?shù)酱碇袑?shí)現(xiàn)代理。入侵檢測(cè)系統(tǒng)不需要了解攻擊使用哪種特定的系統(tǒng)漏洞或者使用哪種技術(shù)方法，只要寸照代表某種攻擊的信息就可以，從而有效提供啊了檢測(cè)系統(tǒng)效率[5]。

代理層是系統(tǒng)的核心，其能夠?qū)崿F(xiàn)審計(jì)內(nèi)容計(jì)算，計(jì)算之后每個(gè)代理都具有一個(gè)壞抑制，此表示主題管理系統(tǒng)是否處于威脅中。系統(tǒng)中的多個(gè)代理能夠同時(shí)運(yùn)行，這就是本文所設(shè)計(jì)的并行性。

分析層能夠?qū)?jiǎn)單懷疑值平均值進(jìn)行計(jì)算，異常入侵檢測(cè)為定期實(shí)現(xiàn)的，代理層中的代理定期從系統(tǒng)日志中對(duì)主機(jī)和網(wǎng)絡(luò)行為進(jìn)行統(tǒng)計(jì)，通過(guò)學(xué)習(xí)方式和系統(tǒng)中模式進(jìn)行對(duì)比，如果發(fā)現(xiàn)異常的行為，就會(huì)對(duì)管理層進(jìn)行報(bào)警[6]。

管理層屬于整個(gè)系統(tǒng)中的決策部分，系統(tǒng)能夠接受分析層的報(bào)告，并且通過(guò)最終的管理員實(shí)現(xiàn)處理，每個(gè)主機(jī)管理層都具有最終的信息，之后結(jié)合信息并且分析，以此對(duì)系統(tǒng)入侵進(jìn)行檢測(cè)。

3 系統(tǒng)的詳細(xì)設(shè)計(jì)

統(tǒng)計(jì)分析層為本文研究網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)核心，其模塊的核心就是統(tǒng)計(jì)分析算法，以下就對(duì)此種算法進(jìn)行分析：

3.1 統(tǒng)計(jì)分析算法

將一天分為二十四段，相應(yīng)的時(shí)間段保留自身的歷史輪廊，在結(jié)束一段時(shí)間之后，使用此時(shí)間段收集的正常流量數(shù)據(jù)實(shí)現(xiàn)相應(yīng)歷史輪廊的更新，而且還能夠在短時(shí)間內(nèi)更新歷史平均流量，如果在這個(gè)過(guò)程中流量數(shù)據(jù)出現(xiàn)異常，那么這個(gè)值就是歷史平均流量值使用之后的對(duì)象歷史。在計(jì)算流量數(shù)據(jù)之后，如果現(xiàn)在流量比歷史流量高，那么表示其比例也比較高，如果此比例高于報(bào)警閉值，那么模塊就會(huì)自動(dòng)報(bào)警，通過(guò)解析模塊對(duì)其是否為流量異常進(jìn)行判斷，從而排除由于其他原因?qū)е碌牧髁糠逯礫7]。圖3為統(tǒng)計(jì)分析算法的流程。

圖3 統(tǒng)計(jì)分析算法的流程

3.2 解析算法

解析算法模塊從統(tǒng)計(jì)分析模塊中得到警報(bào)信息，之后對(duì)是否為流量異常進(jìn)行判斷，具體的方法為：接收同一個(gè)對(duì)象中的連續(xù)警報(bào)，而且警報(bào)流量高于閾值，那么表示此流浪出現(xiàn)異常[8]。

3.3 數(shù)據(jù)結(jié)構(gòu)

3.3.1 對(duì)象歷史輪廊

其中包括對(duì)象的歷史數(shù)據(jù)，而且也是判斷異常的前提和基礎(chǔ)。圖4為對(duì)象輪廊的數(shù)據(jù)結(jié)構(gòu)，歷史的平均流量及流量使用浮點(diǎn)數(shù)組表示，其中n表示歷史流量中的數(shù)據(jù)量。是簡(jiǎn)單表示為整數(shù)，對(duì)象標(biāo)識(shí)作為字符串表示。

圖4 對(duì)象輪廊的數(shù)據(jù)結(jié)構(gòu)

3.3.2 收集的數(shù)據(jù)信息

表1為收集的數(shù)據(jù)信息，編號(hào)的字段為三十二位的無(wú)符號(hào)長(zhǎng)整數(shù)，利用常用時(shí)間形式對(duì)生成的時(shí)間字段進(jìn)行表示，利用浮點(diǎn)數(shù)表示平均的流量字段，能夠展現(xiàn)使用過(guò)程中的平均流量，對(duì)象標(biāo)識(shí)指的是檢測(cè)的對(duì)象，其屬于字符串[9]。

表1 收集的數(shù)據(jù)信息

3.3.3 警報(bào)消息

表2屬于警報(bào)消息結(jié)構(gòu)，其生成時(shí)間和警報(bào)生成時(shí)間相同，一般表示為常用時(shí)間。增比量通過(guò)浮點(diǎn)數(shù)表示，其中具有警報(bào)異常流量及歷史的平均流量比，閾值屬于浮點(diǎn)數(shù)，其主要包括某個(gè)對(duì)象的閾值。異常的流量值也是浮點(diǎn)數(shù)，其主要指的是警報(bào)的異常的流量。對(duì)象標(biāo)識(shí)指的是使用字符串進(jìn)行檢測(cè)的對(duì)象[10-11]。

表2 警報(bào)消息的結(jié)構(gòu)

4 系統(tǒng)的實(shí)現(xiàn)

4.1 數(shù)據(jù)的收集

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中對(duì)于網(wǎng)絡(luò)傳送包實(shí)現(xiàn)有效監(jiān)聽(tīng)是現(xiàn)代入侵技術(shù)的主要技術(shù)，只要對(duì)數(shù)據(jù)包實(shí)現(xiàn)高校數(shù)據(jù)包的獲取，網(wǎng)絡(luò)管理人員才能夠全面分析捕獲的數(shù)據(jù)，以此實(shí)現(xiàn)可靠的網(wǎng)絡(luò)安全管理。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)就是利用對(duì)檢測(cè)網(wǎng)絡(luò)狀態(tài)獲得數(shù)據(jù)包實(shí)現(xiàn)數(shù)據(jù)包的分析和重組，使其能夠被使用人員識(shí)別，并且判斷是否成為網(wǎng)絡(luò)入侵，收集檢測(cè)系統(tǒng)中的數(shù)據(jù)。一般網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)系統(tǒng)使用的數(shù)據(jù)收集方式為以太網(wǎng)和網(wǎng)絡(luò)適配器相互結(jié)合的模式，以此得到網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包[12-13]。圖5為數(shù)據(jù)收集的結(jié)構(gòu)，圖6為數(shù)據(jù)包捕獲的流程。

圖5 數(shù)據(jù)收集的結(jié)構(gòu)

圖6 數(shù)據(jù)包捕獲的流程

4.2 系統(tǒng)的評(píng)價(jià)

以下對(duì)系統(tǒng)進(jìn)行檢測(cè)，得出效果從而對(duì)系統(tǒng)進(jìn)行評(píng)價(jià)。表3為截止到2015年10月4日的數(shù)據(jù)包平均流量，為了能夠便于計(jì)算和作圖，都取100的整數(shù)倍。通過(guò)表3得到圖7和圖8，圖7為數(shù)據(jù)包的歷史平均流量，圖8為數(shù)據(jù)包的攻擊響應(yīng)。在本次實(shí)驗(yàn)中，對(duì)于數(shù)據(jù)包實(shí)現(xiàn)檢測(cè)，數(shù)據(jù)包的歷史平均流量為每秒23210.5包，在程序運(yùn)行一段時(shí)間之后，使用相關(guān)工具進(jìn)行測(cè)試，表示攻擊之后的數(shù)據(jù)包流量增加到10000包每秒[14-15]。

表3 截止到2015年10月4日的數(shù)據(jù)包平均流量

圖7 數(shù)據(jù)包的歷史平均流量

通過(guò)檢測(cè)可以看出來(lái)，本文所設(shè)計(jì)的網(wǎng)絡(luò)入侵系統(tǒng)是非常成功的，其能夠在短時(shí)間內(nèi)發(fā)現(xiàn)入侵行為，并且入侵系統(tǒng)能夠滿(mǎn)足不同環(huán)境的需求，在網(wǎng)絡(luò)容量、平臺(tái)、計(jì)算機(jī)系統(tǒng)類(lèi)型等發(fā)生變化之后還能夠正常工作[16]。

圖8 數(shù)據(jù)包的攻擊響應(yīng)

5 結(jié)束語(yǔ)

在現(xiàn)代計(jì)算機(jī)研究過(guò)程中，網(wǎng)絡(luò)安全的研究備受重視，其中入侵檢測(cè)能夠有效解決網(wǎng)絡(luò)中的安全問(wèn)題[17]。但是在計(jì)算機(jī)不斷發(fā)展的過(guò)程中，網(wǎng)絡(luò)安全涉及到的范圍也不斷擴(kuò)大，所以就需要一個(gè)更加完善、精準(zhǔn)及高校的入侵檢測(cè)系統(tǒng)[18]。本文設(shè)計(jì)了基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，并且對(duì)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)進(jìn)行了分析，之后檢驗(yàn)了系統(tǒng)，表示此系統(tǒng)能夠滿(mǎn)足現(xiàn)代圖書(shū)館網(wǎng)絡(luò)需求，滿(mǎn)足預(yù)期的需求。