龔尚福 張珂

摘 要： 在檢測銀行管理系統(tǒng)中的入侵攻擊過程中，銀行管理系統(tǒng)體系龐大，需要采集全部滿足特征的記錄并對(duì)其進(jìn)行分析，效率較低。在此設(shè)計(jì)并實(shí)現(xiàn)一種適用于銀行管理體系的新一代入侵跟蹤系統(tǒng)，該系統(tǒng)由基礎(chǔ)數(shù)據(jù)層、適配層、邏輯層以及視圖層構(gòu)成。入侵跟蹤系統(tǒng)的工作流程包括用戶需求輸入、檢索入侵跟蹤流程信息、輸出入侵跟蹤流程信息以及組裝入侵跟蹤流程圖。在新一代系統(tǒng)中，引入融合模式匹配和協(xié)議分析對(duì)銀行管理系統(tǒng)中的入侵攻擊進(jìn)行檢測，該方法極大地降低了正常數(shù)據(jù)的分析難度，增強(qiáng)檢測準(zhǔn)確性。實(shí)驗(yàn)結(jié)果表明，所設(shè)計(jì)的入侵跟蹤系統(tǒng)，在對(duì)大型銀行管理系統(tǒng)中不同入侵攻擊類型進(jìn)行跟蹤檢測的過程中，具有較高的檢測速率和精度。

關(guān)鍵詞： 銀行管理系統(tǒng)； 入侵跟蹤； 特征記錄采集； 入侵攻擊類型檢測

中圖分類號(hào)： TN915?34； TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2016）06?0001?04

Design of invasion tracking system in large bank management system

GONG Shangfu， ZHANG Ke

（College of computer science and technology， Xian University of Science and Technology， Xian 710054， China）

Abstract： During detection of intrusion attack to bank management system， if the bank management system is large， all the records satisfying features need to be collected and analyzed. Therefore， the efficiency is low. A new generation of invasion tracking system suitable for bank management system was design and implemented. The system consists of basic data layer， adaptive layer， logic layer and view layer. The workflow of the invasion tracking system includes users demand input， retrieve of invasion tracking process information， output of tracking process information and assembly of invasion tracking flow chart. The fusion of pattern matching and protocol analysis method to detect intrusion attack in banks management system is introduced into the new generation system. The method greatly reduces the difficulty of the normal data analysis， and enhance the detection accuracy. The experimental results indicate that the designed invasion tracking system has high detection speed and high accuracy in the process of tracking detection of different intrusion attack types in large bank management system.

Keywords： bank management system； invasion tracking； feature record acquisition； invasion attack?type detection

0 引 言

隨著全球信息化的快速發(fā)展，銀行業(yè)信息安全成為關(guān)系國家穩(wěn)定和人們財(cái)產(chǎn)安全的重大問題。入侵者在缺乏安全保護(hù)的銀行管理系統(tǒng)中，會(huì)竊取銀行用戶隱私、破壞用戶數(shù)據(jù)，給銀行管理和用戶財(cái)產(chǎn)造成巨大的經(jīng)濟(jì)損失[1?2]。因此，尋求高質(zhì)量的入侵檢測模型，成為銀行管理人員研究的重點(diǎn)方向[3?5]。入侵跟蹤系統(tǒng)能夠呈現(xiàn)銀行管理系統(tǒng)程序入侵檢測流程流轉(zhuǎn)信息和流程相關(guān)節(jié)點(diǎn)信息，便于管理人員采集所需信息的工作信息，進(jìn)而對(duì)銀行管理系統(tǒng)入侵檢測流程進(jìn)行調(diào)控，及時(shí)發(fā)現(xiàn)入侵檢測過程中存在的問題，增強(qiáng)入侵檢測質(zhì)量，確保銀行管理系統(tǒng)的安全性。

當(dāng)前存在較多入侵跟蹤模型，但都存在一定的問題。如文獻(xiàn)[6]分析的層次化的入侵檢測可對(duì)不同攻擊進(jìn)行分類操作，并且合理規(guī)劃了攻擊特征庫以及安全方案，提高了入侵檢測效率，但是檢測精度較低。文獻(xiàn)[7]提出了規(guī)范化的入侵檢測系統(tǒng)Snort，其對(duì)網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包進(jìn)行規(guī)范化操作，對(duì)數(shù)據(jù)包實(shí)行協(xié)議解析后，再完成數(shù)據(jù)的特征匹配，實(shí)現(xiàn)入侵檢測，但是會(huì)導(dǎo)致檢測效率降低。文獻(xiàn)[8]提出的融合模式匹配和特征檢索方法的入侵檢測模型，但是存在檢測效率低和消耗資源大的弊端。文獻(xiàn)[9]中的流量分析統(tǒng)計(jì)的入侵檢測模型，能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中的入侵事件，但是該種方法具在耗時(shí)長的缺陷。

1 大型銀行管理系統(tǒng)中入侵跟蹤系統(tǒng)設(shè)計(jì)

為了解決上述分析方法存在的弊端，本文設(shè)計(jì)了大型銀行管理系統(tǒng)的入侵跟蹤系統(tǒng)，該系統(tǒng)由基礎(chǔ)數(shù)據(jù)層、適配層、邏輯層和視圖層構(gòu)成。入侵跟蹤系統(tǒng)的工作流程包括用戶需求輸入、檢索入侵跟蹤流程信息、輸出入侵跟蹤流程信息以及組裝入侵跟蹤流程圖。融合模式匹配和協(xié)議分析方法對(duì)銀行管理系統(tǒng)中的入侵攻擊進(jìn)行檢測，并給出了將數(shù)據(jù)包調(diào)入入侵跟蹤系統(tǒng)的代碼。

1.1 系統(tǒng)的邏輯結(jié)構(gòu)規(guī)劃

入侵跟蹤系統(tǒng)是銀行安全流程管理的一部分，可對(duì)銀行管理系統(tǒng)中存在的入侵攻擊進(jìn)行實(shí)時(shí)跟蹤和檢測，對(duì)于確保銀行系統(tǒng)的安全性，具有重要作用。新一代面向銀行管理系統(tǒng)的入侵跟蹤系統(tǒng)設(shè)計(jì)方法，由基礎(chǔ)數(shù)據(jù)層、適配層、邏輯層以及視圖層構(gòu)成?？傮w結(jié)構(gòu)如圖1所示。

入侵跟蹤系統(tǒng)以跟蹤的入侵特征為基礎(chǔ)，采集該入侵特征對(duì)應(yīng)的入侵流程模板文件。銀行用戶通過nieNet進(jìn)程設(shè)計(jì)器，定義銀行管理系統(tǒng)的入侵跟蹤檢測業(yè)務(wù)流程模板后，應(yīng)將該流程模塊存儲(chǔ)到FileNet CE（Content Engine，內(nèi)容引擎）內(nèi)。調(diào)用入侵檢測流程接口可采集到銀行管理系統(tǒng)入侵檢測流程流轉(zhuǎn)歷史信息。調(diào)用接口過程中，應(yīng)塑造同BPM平臺(tái)的連接對(duì)象，基于連接對(duì)象實(shí)現(xiàn)平臺(tái)接口的調(diào)用。

圖1所示的銀行管理系統(tǒng)入侵跟蹤系統(tǒng)中，銀行管理系統(tǒng)中的入侵檢測業(yè)務(wù)控制中心包括適配層、邏輯層以及視圖層：

（1） 網(wǎng)絡(luò)入侵跟蹤適配層。規(guī)劃銀行管理系統(tǒng)的入侵跟蹤系統(tǒng)過程中，需要為每個(gè)入侵檢測流程引擎產(chǎn)品提供相應(yīng)的適配層，同時(shí)對(duì)外提供統(tǒng)一的適配接口。適配層附屬于邏輯層，其為邏輯層的底層支撐，適配層能夠采集銀行管理系統(tǒng)入侵檢測流程適配規(guī)劃模塊以及通過流程控制平臺(tái)設(shè)置合理的入侵檢測流程模型。

（2） 邏輯層。邏輯層為銀行管理系統(tǒng)數(shù)據(jù)抽象的中間層，其可對(duì)數(shù)據(jù)庫數(shù)據(jù)總體的邏輯結(jié)構(gòu)進(jìn)行描述，可將采集到的銀行管理系統(tǒng)入侵檢測流程模板數(shù)據(jù)以及流程狀態(tài)數(shù)據(jù)，按照入侵檢測業(yè)務(wù)需求，組成領(lǐng)域模型。入侵檢測流程模板完成信息檢索后，將變換成入侵檢測流程模板模型；而入侵檢測流程實(shí)例完成信息檢索后，變換成入侵檢測流程狀態(tài)模型，融合入侵檢測流程模板模型以及入侵檢測流程狀態(tài)模型，可獲取銀行管理系統(tǒng)入侵檢測流程跟蹤模型，并將該模型反饋給視圖層。

（3） 視圖層。視圖層由模型層和保持層構(gòu)成。保持層可將適配層中的數(shù)據(jù)持續(xù)存儲(chǔ)到內(nèi)存中；模型層可將數(shù)據(jù)變換成入侵檢測流程跟蹤數(shù)據(jù)模型。視圖層可向應(yīng)用層反饋?zhàn)罱K的銀行管理系統(tǒng)入侵跟蹤檢測結(jié)果，并將結(jié)果向用戶呈現(xiàn)。視圖層還可將邏輯層反饋的入侵檢測流程模型信息變換成視圖層的入侵檢測流程模型信息，同時(shí)繪制成流程圖傳輸給用戶。

1.2 入侵跟蹤系統(tǒng)的跟蹤過程

本文設(shè)計(jì)的銀行管理系統(tǒng)入侵跟蹤系統(tǒng)的工作流程為：用戶需求輸入、檢索入侵跟蹤流程信息、輸出入侵跟蹤流程信息、組裝入侵跟蹤流程圖。用戶采用視圖層流程對(duì)頁面輸入流程ID以及關(guān)聯(lián)節(jié)點(diǎn)名稱提出檢索服務(wù)要求；銀行管理系統(tǒng)入侵跟蹤系統(tǒng)，基于流程ID以及節(jié)點(diǎn)名稱，對(duì)入侵檢測流程模板信息和入侵檢測流程實(shí)例狀態(tài)信息進(jìn)行檢索，并基于檢索到的信息，分別組裝成入侵檢測模板模型和入侵檢測流程狀態(tài)模型；入侵跟蹤模型，對(duì)視圖層進(jìn)行變換分析，可獲取入侵檢測流程跟蹤的數(shù)據(jù)模型，再基于該數(shù)據(jù)模型獲取視圖層模型，參照視圖層模型的結(jié)構(gòu)以及數(shù)據(jù)，組裝成銀行管理系統(tǒng)入侵檢測流程跟蹤頁面，同時(shí)將該頁面呈現(xiàn)給用戶。銀行管理系統(tǒng)的入侵跟蹤系統(tǒng)，采用FileNet流程引擎和業(yè)務(wù)流程管理平臺(tái)中的入侵檢測流程服務(wù)端，采用適配器解析以及入侵檢測流程服務(wù)接口調(diào)用，采集到入侵檢測流程模板信息和入侵檢測流程狀態(tài)信息，同時(shí)可依據(jù)銀行管理系統(tǒng)的入侵檢測業(yè)務(wù)需求采集有價(jià)值信息，并通過JSPlumb插件將信息繪制成流程圖呈現(xiàn)給管理人員。

1.3 基于協(xié)議分析的入侵檢測模型

檢測銀行管理系統(tǒng)中的入侵攻擊過程中，需要采集全部滿足特征的記錄并對(duì)其進(jìn)行分析，大大提高檢測難度。引入融合模式匹配和協(xié)議分析，降低了正常數(shù)據(jù)的分析難度，增強(qiáng)銀行管理系統(tǒng)入侵攻擊檢測準(zhǔn)確性。該模型主要有數(shù)據(jù)包采集模塊、預(yù)操作模塊、基于協(xié)議分析的匹配檢測模塊、規(guī)范解析模塊和存儲(chǔ)模塊等，其結(jié)構(gòu)圖如圖2所示。

（1） 數(shù)據(jù)包采集模塊。數(shù)據(jù)包采集模塊從銀行管理系統(tǒng)中采集初始數(shù)據(jù)包，同時(shí)將采集到的數(shù)據(jù)包傳輸?shù)筋A(yù)操作模塊進(jìn)行操作。

（2） 數(shù)據(jù)預(yù)操作模塊。數(shù)據(jù)預(yù)操作模塊可實(shí)現(xiàn)初始數(shù)據(jù)的篩選以及關(guān)鍵特征的解析，進(jìn)而塑造協(xié)議分析匹配檢測模塊操作時(shí)，需要采集的特征量。基于相關(guān)的協(xié)議信息特征，數(shù)據(jù)預(yù)操作模塊參考協(xié)議格式，完成銀行管理系統(tǒng)數(shù)據(jù)的預(yù)操作，并面向協(xié)議規(guī)范采集特征量，再對(duì)特征量實(shí)施HTTP解碼、IP協(xié)議的數(shù)據(jù)選項(xiàng)研究以及重組等操作。

（3） 協(xié)議分析的檢測模塊。協(xié)議分析模塊采集預(yù)操作模塊中的數(shù)據(jù)包信息，對(duì)數(shù)據(jù)包內(nèi)的二進(jìn)制報(bào)文段進(jìn)行操作，并且實(shí)現(xiàn)數(shù)據(jù)包信息的協(xié)議解碼操作。協(xié)議分析主要面向數(shù)據(jù)鏈路層采集的數(shù)據(jù)包，參照協(xié)議結(jié)構(gòu)過濾數(shù)據(jù)包不同層協(xié)議中報(bào)文首部，將首部的關(guān)鍵詞分割成不同的類型，同時(shí)存儲(chǔ)分割結(jié)果，為數(shù)據(jù)檢索提供服務(wù)。依據(jù)銀行管理系統(tǒng)的功能函數(shù)，分析報(bào)文部的協(xié)議標(biāo)注，獲取采集數(shù)據(jù)的上層協(xié)議，并參照協(xié)議種類采集關(guān)鍵字段的特征，收獲可能是攻擊行為的特征碼，并通過模式匹配手段完成規(guī)范匹配分析，最終通過存儲(chǔ)功能模塊將關(guān)鍵信息保存在數(shù)據(jù)庫中。協(xié)議分析模塊融合協(xié)議分析和模式匹配手段，對(duì)銀行管理系統(tǒng)中的攻擊特征進(jìn)行跟蹤定位，實(shí)現(xiàn)銀行管理系統(tǒng)入侵的有效檢測。

（4） 協(xié)議規(guī)范解析模塊。協(xié)議規(guī)范解析模塊主要完成存儲(chǔ)在規(guī)范庫中的規(guī)范的解析，采集內(nèi)存中的數(shù)據(jù)，并將數(shù)據(jù)反饋給匹配檢測模塊。

（5） 存儲(chǔ)模塊。存儲(chǔ)模塊可存儲(chǔ)銀行管理系統(tǒng)的入侵跟蹤系統(tǒng)檢測的事件，為后續(xù)分析提供可靠的依據(jù)，并保存匹配規(guī)范，通過有效的字段特征，描述不同攻擊類型的典型特征狀態(tài)。

本文入侵跟蹤系統(tǒng)基于銀行管理系統(tǒng)協(xié)議劃分攻擊特征的種類，再基于協(xié)議分析和匹配對(duì)攻擊特征進(jìn)行分析，進(jìn)而依據(jù)匹配程度對(duì)銀行管理系統(tǒng)中的攻擊信息進(jìn)行跟蹤。

2 關(guān)鍵跟蹤代碼設(shè)計(jì)

本文設(shè)計(jì)的入侵跟蹤系統(tǒng)，在銀行管理系統(tǒng)存在異常情況下，采集到的數(shù)據(jù)包用“.hat”格式進(jìn)行存儲(chǔ)。并采用操作模塊完成數(shù)據(jù)包的篩選。需要將數(shù)據(jù)包調(diào)入入侵跟蹤系統(tǒng)中，并采用assume Pouch.qi文件完成跟蹤操作，調(diào)用過程操作代碼如下：

3 實(shí)驗(yàn)分析

為了驗(yàn)證本文方法的有效性，需要進(jìn)行相關(guān)的實(shí)驗(yàn)分析。實(shí)驗(yàn)面向某銀行管理系統(tǒng)中的ARP和sYNFlooding入侵攻擊進(jìn)行跟蹤監(jiān)測分析，本文方法檢測的有效率結(jié)果如表1所示。

分析表1可得，對(duì)銀行管理系統(tǒng)入侵攻擊數(shù)據(jù)包檢測時(shí)，需要采集全部滿足特征的記錄并分析其過程，導(dǎo)致入侵檢測難度增加。而本文方法融合模式匹配和協(xié)議分析，極大降低了正常數(shù)據(jù)的分析難度，增強(qiáng)檢測準(zhǔn)確性。從表1中的檢測有效率82.46%和78.13%可以看出，本文方法在檢測銀行管理系統(tǒng)中入侵?jǐn)?shù)據(jù)具有較低的檢測誤報(bào)率。同時(shí)依據(jù)上述檢測過程可得，本文方法對(duì)ARP攻擊是從500條記錄中采集了127條記錄， 而從sYNFlooding攻擊類型中采集了159條記錄，極大地降低了檢測時(shí)間，確保匹配的區(qū)域明顯縮小，提高檢測速率。實(shí)驗(yàn)對(duì)比分析了本文方法和半監(jiān)督聚類方法下的銀行管理系統(tǒng)入侵結(jié)果，將實(shí)驗(yàn)銀行管理系統(tǒng)的運(yùn)行數(shù)據(jù)隨機(jī)分成4個(gè)檢測集，兩種方法4個(gè)檢測集的入侵跟蹤結(jié)果如表2所示。分析表2 可以看出，本文方法對(duì)4個(gè)檢測集中的入侵跟蹤效率始終高于半監(jiān)督聚類方法，并且本文方法對(duì)已知攻擊的入侵跟蹤效率高于未知攻擊。本文方法比半監(jiān)督聚類方法具有更低的時(shí)間和空間復(fù)雜度。

4 結(jié) 語

本文面向大規(guī)模銀行管理系統(tǒng)，設(shè)計(jì)了入侵跟蹤系統(tǒng)，該模塊由基礎(chǔ)數(shù)據(jù)層、適配層、邏輯層以及視圖層構(gòu)成。入侵跟蹤系統(tǒng)的工作流程包括用戶需求輸入、檢索入侵跟蹤流程信息、輸出入侵跟蹤流程信息以及組裝入侵跟蹤流程圖。融合模式匹配和協(xié)議分析方法對(duì)銀行管理系統(tǒng)中的入侵攻擊進(jìn)行檢測。該方法極大降低了正常數(shù)據(jù)的分析難度，增強(qiáng)檢測的準(zhǔn)確性。該方法模型主要由數(shù)據(jù)包采集模塊、預(yù)操作模塊、基于協(xié)議分析的匹配檢測模塊、規(guī)范解析模塊、存儲(chǔ)模塊等組成。給出了將數(shù)據(jù)包調(diào)入入侵跟蹤系統(tǒng)以及入侵檢測漏洞掃描XML 樣例的代碼。實(shí)驗(yàn)結(jié)果表明，所設(shè)計(jì)的入侵跟蹤系統(tǒng)，對(duì)大型銀行管理系統(tǒng)中不同入侵攻擊類型進(jìn)行跟蹤檢測過程中，具有較高的檢測速率和精度。

參考文獻(xiàn)

[1] 許萌，趙成龍.基于Flex技術(shù)的無線應(yīng)用系統(tǒng)平臺(tái)設(shè)計(jì)[J].電子世界，2013（22）：136?137.

[2] 張東亮.基于Flex的RIA限時(shí)登陸驗(yàn)證模塊的實(shí)現(xiàn)[J].科技傳播，2013（1）：210?212.

[3] Oracle. Account NI streamlines sales invoicing and gains efficiency for Northern Ireland's civil service [EB/OL]. [2014?01?16]. http：//www.oracIe.com/us/corporate/customers/customersearch/ccount?ni?1?unified?bpm?ss?1905793.

[4] 劉勃然.21世紀(jì)初美國網(wǎng)絡(luò)安全戰(zhàn)略探析[D].長春：吉林大學(xué)，2013.

[5] 林龍成，陳波，郭向民.傳統(tǒng)網(wǎng)絡(luò)安全防御面臨的新威脅：APT攻擊[J].信息安全與技術(shù)，2013（3）：20?25.

[6] 宮春科.網(wǎng)戰(zhàn)呈現(xiàn)新特點(diǎn)：“離線攻擊”[N].解放軍報(bào)，2013?03?21（12）.

[7] 付霖宇，程永茂，曹建，等.基于PC104 總線的數(shù)字無線電信號(hào)監(jiān)測系統(tǒng)研究[J].電聲技術(shù)，2013，37（12）：79?82.

[8] 劉萬增，陳軍，金舒平，等.空間曲線長度計(jì)算與精度評(píng)價(jià)模型[J].測繪通報(bào)，2013（2）：38?40.

[9] 楊有振，王書華.中國上市商業(yè)銀行系統(tǒng)性風(fēng)險(xiǎn)溢出效應(yīng)分析：基于CoVaR 技術(shù)的分位數(shù)估計(jì)[J].山西財(cái)經(jīng)大學(xué)學(xué)報(bào)，2013（7）：24?33.