徐翔?。ㄔ颇蠋煼洞髮W文理學院信息工程學院，昆明650222）

小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)構建研究

徐翔俊
（云南師范大學文理學院信息工程學院，昆明650222）

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，網(wǎng)絡安全形勢日益嚴峻。在廣泛采用的分布式應用環(huán)境中，以往簡單的部署入侵檢測已不能有效地保護企業(yè)的網(wǎng)絡安全。尤其在小型商務企業(yè)中，對網(wǎng)絡基礎設施的投入有限，管理和維護技術較為薄弱。針對小型商貿(mào)企業(yè)提出層次化入侵檢測系統(tǒng)的構建策略，并以實際案例進行構建，利用OPNETModeler進行的網(wǎng)絡仿真測試，驗證小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的可行性及其科學性。

網(wǎng)絡安全；入侵檢測系統(tǒng)；小型商貿(mào)企業(yè)；仿真測試

0　引言

目前，黑客經(jīng)常利用網(wǎng)絡的開放性攻擊一些商務網(wǎng)站，導致一些企業(yè)的網(wǎng)站服務不能正常使用，貿(mào)易和商務交流無法正常進行，給企業(yè)造成較大損失。所以電子商務企業(yè)最關心網(wǎng)絡系統(tǒng)安全的問題，這除了與網(wǎng)絡固有的開放性、共享性特點有關外，還與企業(yè)對入侵檢測系統(tǒng)的部署的重視程度不高有關。目前，中小企業(yè)占我國企業(yè)總體85%左右，但由于技術和專業(yè)人員的匱乏，中小企業(yè)對網(wǎng)絡通常缺乏警惕性，對網(wǎng)絡安全疏于管理與維護，往往在受到攻擊造成損失后才會關注網(wǎng)絡安全及管理。

傳統(tǒng)的網(wǎng)絡安全技術如用戶授權與認證、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)備份等已經(jīng)不能滿足目前網(wǎng)絡安全的需要，為了保障網(wǎng)絡系統(tǒng)安全，必須構建完善的安全防護體系，進行多層次、多手段的檢測和防護。在網(wǎng)絡安全系統(tǒng)中，通過數(shù)據(jù)和行為模式來判斷其是否有效地入侵檢測系統(tǒng)，是簡單易實現(xiàn)的網(wǎng)絡安全系統(tǒng)，同時可以按照一定的安全策略建立相應的安全輔助系統(tǒng)。從目前高速發(fā)展的電子商務來看，入侵檢測系統(tǒng)還應具有識別入侵者和識別入侵行為、檢測和監(jiān)視已成功的突破、為對抗入侵及時提供重要信息等特點，同時需要在原有的基礎上增加對未知入侵行為的防御、對已知入侵行為的遏阻。

本文主要針對小型商務企業(yè)入侵檢測系統(tǒng)的構建進行探討和分析，以某文化傳播有限公司為實際案例對象，通過對入侵檢測技術的探討與研究部署，分析該公司現(xiàn)有的網(wǎng)絡環(huán)境與現(xiàn)有入侵檢測系統(tǒng)部署，在總結(jié)某文化傳播有限公司以往所受到攻擊的案例上得出現(xiàn)有入侵檢測系統(tǒng)的缺陷，對該公司現(xiàn)有的入侵檢測系統(tǒng)部署進行改進和總結(jié)經(jīng)驗，為今后小型企業(yè)的網(wǎng)絡安全技術的開發(fā)和應用提供一定的參考。

1　構建小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的策略

1.1入侵檢測系統(tǒng)概述

入侵檢測系統(tǒng)（Intrusion Detection System，IDS），是一種對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。而IDS在應對自身被攻擊時，對其他傳輸?shù)臋z測也會被抑制。目前常用的有基于主機的入侵檢測系統(tǒng)（Host-based IDS, HIDS）、基于網(wǎng)絡的入侵檢測系統(tǒng)（Network Based IDS, NIDS）和分布式入侵檢測系統(tǒng)（Distributed IDS,DIDS）。

HIDS比較適用于較小網(wǎng)絡規(guī)模且網(wǎng)絡之間沒有完全互聯(lián)的網(wǎng)絡環(huán)境，主要用于對運行關鍵應用程序的服務器的保護。通過監(jiān)控與分析主機的審計記錄和日志文件來檢測入侵。

NIDS采用原始的網(wǎng)絡數(shù)據(jù)包作為數(shù)據(jù)源并收集和實時分析整個網(wǎng)絡中流動的數(shù)據(jù)包，從而檢測是否存在入侵行為。主要通過將網(wǎng)卡設置為混雜模式以監(jiān)聽網(wǎng)絡上所有分組并收集數(shù)據(jù)，分析可疑行為，實時監(jiān)控網(wǎng)絡關鍵路徑的信息。NIDS通常部署在比較重要的網(wǎng)段內(nèi)，對流經(jīng)的每個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行分析。

DIDS一般指部署在大規(guī)模網(wǎng)絡環(huán)境下的入侵檢測系統(tǒng)，用來檢測整個網(wǎng)絡環(huán)境的安全狀態(tài)，包括網(wǎng)絡本身和其中的主機系統(tǒng)?；竟δ転闄z測系統(tǒng)的I/O數(shù)據(jù)是否滿足安全策略、數(shù)據(jù)集中顯示與分析、全局預警機制、分布式的管理和維護。突出優(yōu)點為可以進行多點檢測克服了普通入侵檢測系統(tǒng)只能檢測單一的網(wǎng)絡出入口的弱點，同時可以將日志進行統(tǒng)一管理、統(tǒng)一分析，更易于分析網(wǎng)絡中存在的安全事件。因此，分布式入侵檢測系統(tǒng)的全局與預警機制可以保證各個控制中心較好地協(xié)同工作，一旦某點發(fā)現(xiàn)異常，全網(wǎng)戒備，有效地阻斷網(wǎng)絡攻擊事件。

1.2小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的構建策略

無論是基于主機還是基于網(wǎng)絡的入侵檢測系統(tǒng)，其功能都集中單一，難以滿足現(xiàn)代商貿(mào)企業(yè)的需求，而分布式功能雖然強大，對于大多數(shù)中小型商貿(mào)企業(yè)來說系統(tǒng)投入過大。本文研究重點為如何根據(jù)小型商貿(mào)公司實際網(wǎng)絡狀況、業(yè)務需求和發(fā)展方向后，結(jié)合以上的IDS系統(tǒng)各取所長，構建滿足企業(yè)需求的綜合性的層次化入侵檢測系統(tǒng)來保障企業(yè)的網(wǎng)絡系統(tǒng)安全。本文基于對某文化傳播有限公司進行層次化入侵檢測系統(tǒng)的構建分析，提出構建小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的策略如下：

（1）自頂向下層次化調(diào)整或重新構建企業(yè)網(wǎng)絡結(jié)構，可以方便實現(xiàn)有效的網(wǎng)絡管理，便于網(wǎng)絡維護，為構建層次化入侵檢測系統(tǒng)奠定網(wǎng)絡基礎；

（2）增加核心路由器的管理服務器，同時設置Snort監(jiān)測點對主干網(wǎng)絡的數(shù)據(jù)進行入侵檢測，利用管理服務器對Snort監(jiān)測點的反饋信息進行及時響應和處理；

（3）把網(wǎng)絡劃分為若干子網(wǎng)，每個子網(wǎng)設置獨立的網(wǎng)絡防火墻，增加配套的網(wǎng)絡管理服務器和Snort監(jiān)測點。這樣不但可以有效地對企業(yè)內(nèi)網(wǎng)進行規(guī)劃，合理分配企業(yè)網(wǎng)絡的內(nèi)網(wǎng)資源，高效進行內(nèi)網(wǎng)管理，還可以通過檢測子網(wǎng)數(shù)據(jù)，有效防止企業(yè)網(wǎng)絡內(nèi)部的相互攻擊，有效提高入侵檢測的效能；

（4）子網(wǎng)管理服務器和核心管理服務器之間利用管理軟件，構建入侵檢測反饋響應機制，定期進行日志信息的交流，更新核心路由器路由規(guī)則，以及防火墻的檢測規(guī)則。

2　小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的構建

為了探討小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的構建方法，闡述實施小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的策略，本文以某文化傳播有限公司為例進行分析和探討其層次化入侵檢測系統(tǒng)的構建。

某文化傳播有限公司是一家以自由創(chuàng)新為核心理念的動漫制作發(fā)行及廣告設計代理的綜合性公司。公司原有的入侵檢測部署拓撲圖如圖1所示，網(wǎng)絡總體采用分布式拓撲結(jié)構，與Modem相連的中心控制臺、內(nèi)網(wǎng)防火墻和DMZ防火墻構成三個中心節(jié)點。中心控制臺位于外網(wǎng)，監(jiān)控整個網(wǎng)絡的流量通信狀況。內(nèi)網(wǎng)防火墻負責保護公司日常工作業(yè)務的安全，內(nèi)外都部署有Snort傳感器進行實時流量分析并協(xié)助中心控制臺的監(jiān)控，DMZ防火墻主要是對進入服務器群的訪問流量進行監(jiān)控，由于服務器只提供訪問業(yè)務，結(jié)合防火墻的安全策略和Snort輔助監(jiān)控。

利用小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的策略，對某文化傳播有限公司的入侵檢測進行層次化入侵檢測系統(tǒng)構建，提出基于Snort的IDS層次化部署如下圖2所示。

新構建的公司局域網(wǎng)采用的是層次化構建方式，對IDS的部署有很好的借鑒作用。由于公司網(wǎng)絡擴展后網(wǎng)絡寬帶和網(wǎng)絡流量會日益加重，傳統(tǒng)的IDS在處理這種高速網(wǎng)絡數(shù)據(jù)時，往往出現(xiàn)丟包率過大，誤報率高等特點，同時大量的報警信息處理工作也會給網(wǎng)絡管理人員帶來很多麻煩，于是提出分布式層次化的IDS布局，因此公司的IDS點的部署也采用分布式層次化的部署方案，其中主中心控制臺上（CT1）IDS點的部署對Snort的安裝為內(nèi)嵌模式，但不作為正常的網(wǎng)橋使用，不提供數(shù)據(jù)包轉(zhuǎn)發(fā)功能，類似于網(wǎng)卡的混雜模式的工作方式，即過濾經(jīng)過Router的異常數(shù)據(jù)。

圖1　某文化傳播有限公司原有的入侵檢測系統(tǒng)布置示意圖

圖2　某文化傳播有限公司基于Snort的IDS層次化部署

具體的部署分析：IDS是基于Snort的部署，整個網(wǎng)絡主要分為基于主機的IDS部署和基于網(wǎng)絡IDS部署。局域網(wǎng)的層次化主要體現(xiàn)在自上而下的結(jié)構布置：中心路由器Router負載整個公司網(wǎng)絡數(shù)據(jù)進出的調(diào)度。中心控制臺（CT1）與之相連，中心控制臺區(qū)域部署主機IDS和網(wǎng)絡IDS，擔負整個網(wǎng)絡和路由器的負載的數(shù)據(jù)量的收集和分析。往下是兩子網(wǎng)防火墻，防火墻外部都部署IDS，兩子控制臺CT2和CT3分別和各自相鄰的防火墻連接，分別監(jiān)控各自防火墻的狀態(tài)及下屬子網(wǎng)內(nèi)部網(wǎng)絡狀態(tài)。每個IDS監(jiān)測點除了負責各自網(wǎng)段的監(jiān)控任務外還對捕獲的異常信息反饋給中心控制臺（CT1），中心控制臺根據(jù)收到的異常信息類型指派監(jiān)測點采取相應的措施。

3　仿真測試驗證及數(shù)據(jù)分析

為了驗證針對某文化傳播有限公司構建的層次化入侵檢測系統(tǒng)的網(wǎng)絡性能，本文簡化了網(wǎng)絡拓撲結(jié)構，利用仿真實驗使用的OPNETModeler 14.5，通過一個簡化后的網(wǎng)絡拓撲結(jié)構圖來進行測試整個以太網(wǎng)的流量信息，主要針對網(wǎng)絡延遲、網(wǎng)絡中心路由器Router的性能、服務器群的網(wǎng)絡性能、數(shù)據(jù)庫服務器性能等方面進行仿真測試。

（1）網(wǎng)絡延時

圖3的上圖為原有網(wǎng)絡延時，下圖為進行層次化入侵檢測系統(tǒng)構建后的網(wǎng)絡延時。從圖中可以看出，整個網(wǎng)絡的延時高峰時達到0.4微秒，構建后的網(wǎng)絡延時只是接近0.4微秒，網(wǎng)絡延時的突發(fā)性和整個網(wǎng)絡的延時有所降低。雖然網(wǎng)絡進行了新的層次化入侵檢測系統(tǒng)構建，在用戶數(shù)量級訪問量增加的情況下，網(wǎng)絡延時并沒有的增加。因此，進行層次化入侵檢測系統(tǒng)構建后的網(wǎng)絡擴展性能依然保持良好，可以提供穩(wěn)定的網(wǎng)絡性能。

圖3　網(wǎng)絡構建前后的延時曲線

（2）網(wǎng)絡中心路由器Router的性能

圖4和圖5的上圖為原有網(wǎng)絡延時，下圖為進行層次化入侵檢測系統(tǒng)構建后的網(wǎng)絡延時。從圖中可以看出，構建后的網(wǎng)絡結(jié)構及更換高性能的路由器后，網(wǎng)絡擁擠情況明顯減少，擴展后網(wǎng)絡中對擁擠數(shù)據(jù)包的接受處理速度接近于零，處理擁擠數(shù)據(jù)包的效率提高很大，使得發(fā)送擁擠數(shù)據(jù)包的速度更平穩(wěn)，對路由器負擔減少，增強了網(wǎng)絡對數(shù)據(jù)處理的能力，提高了網(wǎng)絡的可靠性。

（3）服務器群的網(wǎng)絡性能

圖6為原有ServerGroup負載測試數(shù)據(jù)線，圖7為構建后ServerGroup負載測試數(shù)據(jù)線走勢圖。從圖可以看出，構建后的整個ServerGroup領域的數(shù)據(jù)承載量的峰值和穩(wěn)定下來后的均值都有很大的增加，這和公司實際業(yè)務的增加有關，同時也是增加了一定的網(wǎng)絡監(jiān)測和控制點后，網(wǎng)絡負載會有一定的增加。同時也說明網(wǎng)絡安全保障是以增加網(wǎng)絡負載為代價的。

圖4　Router接收Traffic數(shù)據(jù)包對比圖

圖5　Router發(fā)送Traffic數(shù)據(jù)包對比圖

圖6　原ServerGroup網(wǎng)絡負載圖

圖7　構建后ServerGroup網(wǎng)絡負載圖

（4）數(shù)據(jù)庫服務器性能

本文采集的服務器的運行性能是Probability Density數(shù)據(jù)，反映的是服務器處理數(shù)據(jù)量的幾率分布及數(shù)據(jù)庫整體承受最大的數(shù)據(jù)訪問量的分布。

圖8　構建前后數(shù)據(jù)庫服務器性能對比圖

圖8中上下曲線分別為構建前后服務器運行性能的Probability Density曲線圖。從圖中可以很容易地看出，構建后的Probability Density曲線波動比構建前的大，原有的Database服務器所承受數(shù)據(jù)訪問量最大值剛好超過100,000kpbs,而構建后服務器承受最大的數(shù)據(jù)訪問量可達到1,400,00kbps，這與公司整體業(yè)務工作量的增加相關，雖然峰值數(shù)據(jù)訪問量增加，但是服務器整體處理數(shù)據(jù)的時間減少。在公司服務器群負載量增加的情況下服務器的綜合性能表現(xiàn)得更好，并未出現(xiàn)由于公司業(yè)務的增加而有所下降的情況。

4　結(jié)語

通過利用OPNET仿真軟件對某文化傳播有限公司構建的層次化入侵檢測系統(tǒng)前后的網(wǎng)絡性能進行仿真測試，從網(wǎng)絡延遲、網(wǎng)絡中心路由器Router的性能、服務器群的網(wǎng)絡性能、數(shù)據(jù)庫服務器性能等方面的測試數(shù)據(jù)可以看出，層次化入侵檢測系統(tǒng)增加的網(wǎng)絡負載由于使用了層次化的合理規(guī)劃而沒有出現(xiàn)劇增情況，增加的網(wǎng)絡負載可以通過改善網(wǎng)絡設備的性能來消化。而層次化的構建方便網(wǎng)絡監(jiān)測和管理、維護，較大提高入侵檢測系統(tǒng)的監(jiān)測和預警處理性能，同時增加的網(wǎng)絡構建成本主要為網(wǎng)絡層次化構建及網(wǎng)絡主要設備的性能升級更換，這就極大降低了安全構建的成本。因此，本文提出的小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的構建策略是可行的，可為今后相關的中小型企業(yè)構建入侵檢測系統(tǒng)提供參考依據(jù)。

[1]駱珍，裴昌幸，朱暢華等.DDoS攻擊的技術分析與防御策略[M].電子科技出版社，2006（12）:74～78

[2]董曉梅,于戈等.分布式入侵檢測與響應協(xié)作模型研究[J].計算機工程，2006(6):151～153

[3]胡昌振.網(wǎng)絡入侵檢測原理與技術(第2版),北京理工大學出版社,2010-06-01.96～108

[4]許佳，馮登國，蘇璞睿.基于動態(tài)對等網(wǎng)層次結(jié)構的網(wǎng)絡預警模型研究[J].計算機研究與發(fā)展,2010，47(9):42～45

[5]陳敏.OPNET網(wǎng)絡仿真[M].北京：清華大學出版社,2004:24～42

Network Security;Intrusion Detection System;Small Business Enterprises;Simulation Test

Research on the Building of Hierarchical Intrusion Detection System of Small Business Enterprise

XU Xiang-jun
（Institute of Information Engineering,College of Arts and Sciences,Yunnan Normal University，Kunming 650222）

With the rapid development of Internet,network security is becomingmore and more serious.In the environment of widely adopted of distributed application,the past simple deploying intrusion detection can not effectively protect the enterprise network security.Especially in the small business enterprise,the investment in network infrastructure is limited,management and maintenance technology isweak. In view of the small business enterprise,puts forward the construction strategy of hierarchical intrusion detection system,and with the actual case to build,uses OPNETModeler network simulation to test,verifies the feasibility of the small business enterprise hierarchical intrusion detection system and its scientific nature.Provides a reference for future research.

1007-1423（2015）15-0044-05

10.3969/j.issn.1007-1423.2015.15.012

徐翔?。?972-），男，云南昆明人，碩士，講師，研究方向為通信與信息工程、計算機教育研究、學生創(chuàng)新創(chuàng)業(yè)研究等

2015-04-16

2015-05-07