入侵检测系统在图书馆网络安全中的应用研究,本文主要内容关键词为:网络安全论文,检测系统论文,图书馆论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
【分类号】G250.72
随着图书馆自动化和数字化水平的不断提高,图书馆的各项工作对网络的依赖程度越来越高,对网络安全的要求也与日俱增,网络安全就成为一个重大问题。为了确保图书馆网络安全,必须建立一整套的安全防护体系,进行多层次、多手段的检测和防护。入侵检测系统就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并及时报警。
1 入侵检测系统概述
1.1 什么是入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测系统(Intrusion Detective System,IDS),是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击的误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测受到了人们的高度重视。
一个成功的入侵检测系统不但可以使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,而且还能为网络安全策略的制定提供指南。更为重要的是,它应该便于管理、配置简单,从而使非专业人员也能非常容易地对网络实施安全保护。
1.2 入侵检测系统的功能
(1)监视用户和系统的运行状况,查找非法用户和合法用户的越权操作。
(2)检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞。
(3)对用户的非正常活动进行统计分析,发现入侵行为的规律。
(4)检查系统程序和数据的一致性与正确性。如计算和比较文件系统的校验和能够实时对检测到的入侵行为进行反应。
(5)评估重要系统和数据文件的完整性。
(6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
1.3 入侵检测系统的组成
通用入侵检测框架(The Common Intrusion Detection Framework,CIDF)将一个入侵检测系统分为四个组件:事件产生器(Event generators)、事件分析器(Event analyzers)、响应单元(Response units)和事件数据库(Event databases)。
事件产生器的目的是从整个计算环境中获得事件,并向系统的其它部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
1.4 入侵检测系统的分类
根据输入数据的来源入侵检测系统可以分为3类:基于网络的入侵检测系统(Network-based IDS,简称NIDS)、基于主机的入侵检测系统(Host—based IDS,简称HIDS)和分布式入侵检测系统(Distributed IDS,DIDS)。
基于主机的入侵检测系统:其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵。
基于网络的入侵检测系统:其数据来源于网络的信息流,能够检测该网段上发生的网络入侵。
分布式入侵检测系统:是一种分布于网络环境的入侵检测系统,用来监视与网络相连的主机及网络自身。其关键技术是检测信息的协同处理与入侵攻击的全局信息的提取。采用上述两种数据来源的分布式入侵检测系统,能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,一般为分布式结构,由多个部件组成。
1.5 入侵检测的过程
从总体来说,入侵检测系统可以分为两个部分:收集系统和非系统中的信息然后对收集到的数据进行分析,并采取相应措施。
(1)信息收集
信息收集包括收集系统、网络、数据及用户活动的状态和行为,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息。这除了尽可能扩大检测范围的因素外,还有一个就是对来自不同源的信息进行特征分析之后比较得出问题所在的因素。
入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,有必要利用真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、记录文件和其它工具。黑客对系统的修改可能使系统功能失常但看起来跟正常的一样。这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。入侵检测利用的信息一般来自以下三个方面。
系统和网络日志文件:黑客经常在系统日志文件中留下他们的踪迹,因此,可以充分利用系统和网络日志文件信息。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
非正常的目录和文件改变:网络环境中的文件系统包含很多软件和数据文件,他们经常是黑客修改或破坏的目标。目录和文件中非正常改变<修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。
非正常的程序执行:网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用,例如Web服务器。每个在系统上执行的程序由一到多个进程来实现。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。
(2)信息分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过下列技术手段进行分析:模式匹配、统计分析、完整性分析和专家系统。
模式匹配:模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样。检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
统计分析:统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登录的,突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
完整性分析:完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性。完整性分析利用强有力的加密机制,能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面的扫描检查。
专家系统:用专家系统对入侵进行检测,经常是针对有特征入侵行为,是较为智能的方法。专家系统主要是运用规则进行分析,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为If—then结构(也可以是复合结构),If部分为入侵特征,Then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
2 入侵检测系统在图书馆的实现
图书馆计算机应用系统大体可以划分为以下几类:
(1)图书馆集成管理系统;
(2)镜像或在线数据库检索系统,如清华全文期刊、中文科技期刊(VIP)等;
(3)电子图书镜像检索系统;
(4)全文博、硕士论文数据库,馆藏特色文献数据库检索系统;
(5)VDO点播系统;
(6)电子阅览室管理系统;
(7)WWW、FTP、DNS等Internet服务系统;
(8)办公自动化及其它应用系统等。
根据图书馆的网络应用分析,不同图书馆所采用的入侵检测系统根据具体的网络应用也有所区别,本文中图书馆的入侵检测系统作者选择了一套基于网络的分布式入侵检测系统,它主要由入侵检测引擎和管理控制台两部分组成。如图1所示:
图1 入侵检测系统
2.1 入侵检测引擎
入侵检测引擎为专用硬件设备,一个检测引擎可以保护一个网段。检测引擎有两个以太网接口:数据捕获口和查询管理口。
检测引擎的数据捕获口接在被保护网段上,它以隐身模式从网络线路上获取数据,然后调用相应的处理模块进行分析处理,如果发现异常事件,则调用报警器,由其根据预定义的处理规则,决定调用相应的响应模块。响应模块可以采取多种手段向系统管理员或被攻击主机报警,也可以主动切断发生攻击的连接。
查询管理口接在管理主机可以访问的网络上,它是管理控制台和引擎进行通信的接口。检测引擎应该采用模块化的设计结构,要具有很好的可扩展性。引擎包含的功能模块应该有包捕获模块、虚拟机模块、攻击特征库、过滤器模块、智能分析模块、记录器模块、报警模块、磁盘管理模块等。
检测引擎要具有在线升级功能,升级包括攻击特征库的更新和软件程序的更新。
检测引擎的接入对被保护网络是透明的,它对被保护网络的任何流量和请求均不做反应,不影响被保护网络的性能。
2.2 管理控制台
管理控制台是对检测引擎进行配置、管理和数据查询的软件程序,它可以安装在内网的管理员主机(Windows 2000/NT操作系统)上。入侵检测机制能够对网络系统各主要运营环节进行实时入侵检测,以便在防范措施失效时能及时发现或识别攻击者的企图或系统资源被误用、滥用的行为。当实时入侵检测系统发现异常时,网络系统应及时做出适当的响应。
(1)监听、检测发生在内网之间的连接和攻击(入侵检测引擎放在防火墙之内)在这种情况下,只有穿透了防火墙的攻击才能被入侵检测系统监听到,管理员可以清楚地看到哪些攻击真正对自己的网络构成了威胁。如果入侵检测系统检测到了本应该被防火墙过滤掉的攻击,就可以判断防火墙的配置存在失误。监听、检测内网中发生的所有连接和攻击时引擎的安装方式如图2所示:
图2
(2)监听、检测外网对内网的攻击
在这种情况下,入侵检测系统能接收到防火墙外网口的所有信息,管理员可以清楚地看到所有来自Internet的攻击,当与防火墙联动时,防火墙可以动态阻断发生攻击的连接。用于监听、检测外网对内网所做的攻击时引擎的安装方式。如图3所示。
图3
3 结语
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。入侵检测技术作为安全审计中的核心技术之一,是网络安全防护的重要组成部分。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。入侵检测作为一种主动防御技术,弥补了传统安全技术的不足。入侵检测作为系统安全技术的重要组成部分,日益受到各国政府及学者的重视,对于作为信息资源的重要中心的图书馆,更应该加强对此的研究和应用,以保障图书馆网络和信息资源的安全。
标签:入侵检测系统论文; 防火墙论文; 入侵检测技术论文; 网络安全论文; 网络安全防护论文; 网络攻击论文; 网络行为论文; 用户行为论文; 用户分析论文; 专家系统论文; ids入侵检测论文;