□文/馮 雪 陳連安

（河北金融學(xué)院 河北·保定）

前言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)重，單一的集中式的入侵檢測(cè)系統(tǒng)已不能滿(mǎn)足網(wǎng)絡(luò)安全發(fā)展的需要，分布式入侵檢測(cè)系統(tǒng)應(yīng)運(yùn)而生。通過(guò)管理端對(duì)局域網(wǎng)絡(luò)各個(gè)位置的Agent客戶(hù)端進(jìn)行統(tǒng)一部署策略和實(shí)時(shí)監(jiān)控，加強(qiáng)了網(wǎng)絡(luò)的安全。由于數(shù)字化語(yǔ)音室信息系統(tǒng)具有Web訪問(wèn)的功能，容易被攻擊。在數(shù)字化語(yǔ)音室信息系統(tǒng)的安全防御體系中，數(shù)據(jù)保密、數(shù)據(jù)完整性、訪問(wèn)控制、系統(tǒng)認(rèn)證等安全功能，如果只是依賴(lài)一種網(wǎng)絡(luò)安全產(chǎn)品和信息安全技術(shù)是不可能實(shí)現(xiàn)的。可以利用那些信息安全的新產(chǎn)品和技術(shù)，如針對(duì)網(wǎng)絡(luò)的網(wǎng)絡(luò)審計(jì)系統(tǒng)、動(dòng)態(tài)防御的入侵檢測(cè)系統(tǒng)、靜態(tài)防御的防火墻等，對(duì)那些重要的安全部件進(jìn)行有效的結(jié)合和聯(lián)動(dòng)，這樣可以滿(mǎn)足網(wǎng)絡(luò)安全領(lǐng)域研究的需要，也是實(shí)現(xiàn)系統(tǒng)安全管理的需要。而建立一個(gè)智能化的實(shí)時(shí)入侵識(shí)別和響應(yīng)系統(tǒng)，能在網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)實(shí)時(shí)的入侵檢測(cè)，全面檢測(cè)可能的入侵行為，發(fā)現(xiàn)入侵時(shí)，及時(shí)阻斷入侵行為，就顯得尤為重要。

一、數(shù)字化語(yǔ)音室的特點(diǎn)及遇到的威脅

數(shù)字化語(yǔ)音室采用了TCP/IP網(wǎng)絡(luò)協(xié)議，通過(guò)數(shù)字控制信號(hào)控制數(shù)字文本信號(hào)、聲音信號(hào)、圖像信號(hào)來(lái)實(shí)現(xiàn)課堂教學(xué)、獨(dú)立學(xué)習(xí)、網(wǎng)絡(luò)化考試功能，可進(jìn)行文字、語(yǔ)音視頻輸入，VOD、AOD點(diǎn)播等教學(xué)功能。按其系統(tǒng)結(jié)構(gòu)分為三大部分：服務(wù)器控制系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)傳輸系統(tǒng)、用戶(hù)語(yǔ)音終端系統(tǒng)。按其網(wǎng)絡(luò)結(jié)構(gòu)可以把數(shù)字化語(yǔ)音室信息系統(tǒng)劃分為兩個(gè)大類(lèi)：第一類(lèi)是以太網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)數(shù)字化網(wǎng)絡(luò)語(yǔ)音室；第二類(lèi)是以太網(wǎng)和互聯(lián)網(wǎng)混合結(jié)構(gòu)的語(yǔ)音室。數(shù)字化語(yǔ)音室信息系統(tǒng)以計(jì)算機(jī)網(wǎng)絡(luò)為主體，采用TCP/IP網(wǎng)絡(luò)協(xié)議，利用流媒體技術(shù)，通過(guò)數(shù)字控制信號(hào)控制，使顯示部分和聲音部分以數(shù)字信號(hào)形式在以太計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)進(jìn)行傳輸。從網(wǎng)絡(luò)安全環(huán)境平臺(tái)和安全業(yè)務(wù)這兩方面進(jìn)行考慮，由于數(shù)字化語(yǔ)音室信息系統(tǒng)的具有Web訪問(wèn)的功能，所以容易被攻擊，如何在發(fā)現(xiàn)入侵時(shí)，阻斷入侵行為顯得尤為重要。這就需要我們借助通過(guò)分布式入侵檢測(cè)系統(tǒng)保證網(wǎng)絡(luò)安全。

二、分布式入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì)

入侵檢測(cè)系統(tǒng)分為3種：主機(jī)型、網(wǎng)絡(luò)型、分布式入侵檢測(cè)系統(tǒng)，針對(duì)入侵檢測(cè)系統(tǒng)無(wú)法同時(shí)對(duì)付來(lái)自網(wǎng)絡(luò)內(nèi)部或網(wǎng)絡(luò)外部的攻擊，分布式的入侵檢測(cè)系統(tǒng)逐步取代了集中式的入侵檢測(cè)系統(tǒng)。它的優(yōu)勢(shì)體現(xiàn)在以下幾個(gè)方面：①分布式的入侵檢測(cè)系統(tǒng)能夠在較大的范圍內(nèi)進(jìn)行檢測(cè)；②能夠通過(guò)對(duì)系統(tǒng)日志、記錄進(jìn)行實(shí)時(shí)的監(jiān)控達(dá)到檢測(cè)可疑行為的目的；③面對(duì)分布化的系統(tǒng)攻擊行為，能夠防御協(xié)同的攻擊行為；④能夠采用不同的檢測(cè)算法、進(jìn)行協(xié)同處理來(lái)提高檢測(cè)準(zhǔn)確性；⑤現(xiàn)在網(wǎng)絡(luò)的傳輸速度很快，面對(duì)蜂擁而至的數(shù)據(jù)包，通過(guò)分布化的處理數(shù)據(jù)包，有效控制了檢測(cè)瓶頸，防止了系統(tǒng)的漏測(cè)。

三、分布式入侵檢測(cè)系統(tǒng)的構(gòu)成及工作原理

（一）針對(duì)分布式入侵檢測(cè)系統(tǒng)的研究，可以從服務(wù)器端和客戶(hù)端兩個(gè)方面進(jìn)行綜合考慮。它的構(gòu)成：在服務(wù)器端采用C/S結(jié)構(gòu)，對(duì)其進(jìn)行正確配置后，能夠達(dá)到對(duì)局域網(wǎng)內(nèi)各個(gè)位置客戶(hù)機(jī)進(jìn)行控制，實(shí)現(xiàn)對(duì)掃描、DoS、特洛伊木馬等攻擊進(jìn)行有效檢測(cè)，達(dá)到加強(qiáng)網(wǎng)絡(luò)安全的目的。服務(wù)器端主要由以下3個(gè)模塊構(gòu)成：身份認(rèn)證模塊、與客戶(hù)機(jī)通信模塊、全局策略設(shè)置模塊。身份認(rèn)證模塊主要是對(duì)登錄管理端的管理員用戶(hù)進(jìn)行一個(gè)身份認(rèn)證，認(rèn)證信息匹配則允許其對(duì)數(shù)據(jù)庫(kù)的操作。與客戶(hù)機(jī)通信模塊主要完成與客戶(hù)機(jī)的通信，與客戶(hù)端建立鏈接后，可以根據(jù)全局配置策略向客戶(hù)機(jī)下達(dá)命令。全局策略模塊主要是從控制臺(tái)進(jìn)行整個(gè)系統(tǒng)的全局策略的設(shè)置。當(dāng)客戶(hù)端發(fā)現(xiàn)入侵以后，馬上將入侵事件上報(bào)服務(wù)器端，同時(shí)也會(huì)發(fā)送郵件進(jìn)行報(bào)警。這樣，從服務(wù)器端就可以對(duì)整個(gè)局域網(wǎng)絡(luò)進(jìn)行一個(gè)實(shí)時(shí)監(jiān)控。

客戶(hù)端的設(shè)計(jì)分為捕包分析、系統(tǒng)進(jìn)程、記錄日志、報(bào)警、與服務(wù)器端通信等幾個(gè)模塊。捕包分析模塊將捕獲的數(shù)據(jù)包交給包分析引擎，它將數(shù)據(jù)包初步解析成IP包和ARP包，然后將IP包進(jìn)一步解析成TCP包、UDP包、ICMP包。然后將捕獲的數(shù)據(jù)包寫(xiě)進(jìn)一個(gè)隊(duì)列中，通過(guò)與入侵?jǐn)?shù)據(jù)庫(kù)的特征相結(jié)合的辦法來(lái)檢測(cè)各類(lèi)掃描攻擊和DoS攻擊。系統(tǒng)進(jìn)程模塊通過(guò)Windows進(jìn)程與端口的關(guān)聯(lián)，匹配系統(tǒng)正常進(jìn)程數(shù)據(jù)庫(kù)，通過(guò)比較提取出系統(tǒng)可疑進(jìn)程，然后匹配木馬常用端口數(shù)據(jù)庫(kù)，檢測(cè)木馬。記錄日志模塊主要是對(duì)將網(wǎng)卡設(shè)為混雜模式而捕獲的網(wǎng)絡(luò)數(shù)據(jù)包解析后寫(xiě)入日志數(shù)據(jù)庫(kù)中。寫(xiě)入日志記錄數(shù)據(jù)庫(kù)的數(shù)據(jù)，可以進(jìn)一步為數(shù)據(jù)處理服務(wù)。報(bào)警模塊包括兩個(gè)方面，一是通過(guò)SMTP協(xié)議發(fā)送報(bào)警郵件到指定郵箱；二是將入侵事件寫(xiě)入遠(yuǎn)程服務(wù)器端數(shù)據(jù)庫(kù)。與服務(wù)器端通信模塊主要是與服務(wù)器端建立連接，相互之間通過(guò)消息進(jìn)行通訊，發(fā)現(xiàn)入侵事件，寫(xiě)入遠(yuǎn)程服務(wù)器端數(shù)據(jù)庫(kù)。

（二）基于移動(dòng)代理的分布式入侵檢測(cè)系統(tǒng)工作原理分析

1、多線(xiàn)程捕獲網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行協(xié)議分析，匹配入侵特征庫(kù)檢測(cè)掃描攻擊、DoS攻擊。Winpcap為win32應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)底層的能力，通過(guò)監(jiān)聽(tīng)共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)包，幫助以太網(wǎng)數(shù)據(jù)流監(jiān)視軟件功能的實(shí)現(xiàn)。但它不能用于QoS調(diào)度程序或個(gè)人防火墻，它能優(yōu)化處理數(shù)據(jù)包。在程序中建立一個(gè)公共的數(shù)據(jù)包緩沖池，這個(gè)緩沖池是一個(gè)LILO的隊(duì)列。于是在程序中使用3個(gè)線(xiàn)程進(jìn)行操作：一個(gè)線(xiàn)程只進(jìn)行捕獲操作；另一個(gè)線(xiàn)程只進(jìn)行過(guò)濾操作，檢查其是否滿(mǎn)足過(guò)濾條件，如果不滿(mǎn)足則將其刪除出隊(duì)列；第3個(gè)線(xiàn)程進(jìn)行數(shù)據(jù)包處理操作。

2、通過(guò)Windows系統(tǒng)進(jìn)程與端口映射結(jié)合木馬端口庫(kù)來(lái)檢測(cè)特洛伊木馬。端口使用IP地址和端口作為套接字，定位主機(jī)中的進(jìn)程，使得兩臺(tái)計(jì)算機(jī)能夠找到對(duì)方的進(jìn)程進(jìn)而進(jìn)行通信。通過(guò)對(duì)Windows系統(tǒng)進(jìn)程與端口的關(guān)聯(lián)映射，匹配系統(tǒng)正常進(jìn)程的數(shù)據(jù)庫(kù)，通過(guò)比較，發(fā)現(xiàn)可疑進(jìn)程后終止其運(yùn)行，達(dá)到檢測(cè)木馬的目的。

3、檢測(cè)到入侵攻擊后報(bào)警。一方面向指定郵箱發(fā)送郵件；另一方面把檢測(cè)到的入侵信息寫(xiě)入遠(yuǎn)程服務(wù)器端數(shù)據(jù)庫(kù)。

4、主動(dòng)連接服務(wù)器端。本系統(tǒng)客戶(hù)端參考特洛伊木馬中的“反彈連接”技術(shù)，把它應(yīng)用到DIDS中，本系統(tǒng)客戶(hù)端一經(jīng)上線(xiàn)，馬上主動(dòng)到指定郵箱讀取郵件，從郵件內(nèi)容獲得本系統(tǒng)管理端IP地址，進(jìn)行主動(dòng)連接，從而方便了服務(wù)器端管理。

根據(jù)數(shù)字化語(yǔ)音室信息系統(tǒng)的結(jié)構(gòu)特點(diǎn)、安全需求，以及系統(tǒng)中存在的安全風(fēng)險(xiǎn)，運(yùn)用分布式入侵檢測(cè)系統(tǒng)的設(shè)計(jì)方案來(lái)確保數(shù)字化語(yǔ)音室信息系統(tǒng)安全，有效地阻止掃描攻擊、DoS攻擊。