入侵檢測(cè)技術(shù)在氣象信息網(wǎng)絡(luò)中的應(yīng)用

◆李 珍

?

入侵檢測(cè)技術(shù)在氣象信息網(wǎng)絡(luò)中的應(yīng)用

◆李 珍

(陜西省氣象信息中心 陜西 710014)

隨著氣象現(xiàn)代化、信息化的飛速發(fā)展，氣象部門信息安全管理、維護(hù)信息安全的形勢(shì)日益嚴(yán)峻，網(wǎng)絡(luò)安全問(wèn)題日益突出。本文簡(jiǎn)要介紹了網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的概念、功能和分類，并通過(guò)分析已部署設(shè)備的入侵檢測(cè)結(jié)果，提出了網(wǎng)絡(luò)安全防護(hù)方面的建議。

信息安全；入侵檢測(cè)；網(wǎng)絡(luò)安全防護(hù)

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的日益發(fā)展，氣象信息網(wǎng)絡(luò)得到極大的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的普及應(yīng)用已經(jīng)滲透到氣象業(yè)務(wù)運(yùn)行的各個(gè)層面，但同時(shí)氣象信息網(wǎng)絡(luò)的發(fā)展也面臨著許多安全隱患?？梢岳糜?jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不僅僅是正常的氣象業(yè)務(wù)系統(tǒng)，還有可能是非法的程序。為了能夠及時(shí)發(fā)現(xiàn)并報(bào)告網(wǎng)絡(luò)未經(jīng)授權(quán)或異常的行為，在氣象信息網(wǎng)絡(luò)中采用入侵檢測(cè)技術(shù)能夠提高網(wǎng)絡(luò)的安全防護(hù)能力。

1 入侵檢測(cè)技術(shù)

1.1 入侵檢測(cè)

入侵檢測(cè)（Intrusion Detection）是對(duì)入侵行為的監(jiān)測(cè)，它通過(guò)手機(jī)和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中關(guān)于關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)中是否存在違反安全策略的行為[1]。入侵檢測(cè)系統(tǒng)（Intrusion Detection System，簡(jiǎn)稱IDS）是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的不正常使用進(jìn)行識(shí)別的系統(tǒng)，它的目的是監(jiān)測(cè)和發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)未經(jīng)授權(quán)或異常的行為，包括來(lái)自外部的攻擊行為和內(nèi)部用戶的未經(jīng)授權(quán)的異常行為。

1.2 入侵檢測(cè)的功能

入侵檢測(cè)實(shí)現(xiàn)的功能主要有：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反應(yīng)已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為[2]。

1.3 入侵檢測(cè)的分類

根據(jù)所采用的監(jiān)測(cè)模型，將入侵檢測(cè)分為3類：

（1）異常檢測(cè)：在異常檢測(cè)中，觀察到的不是已知的入侵行為，而是所研究的通信過(guò)程中的異?，F(xiàn)象，它通過(guò)檢測(cè)系統(tǒng)的行為或使用情況的變化來(lái)完成[3]。

（2）特征檢測(cè)：基于已知的系統(tǒng)缺陷和入侵模式，根據(jù)入侵過(guò)程模型及它在被觀察系統(tǒng)中留下的蹤跡來(lái)定義某些特征的行為是非法的，然后將觀察對(duì)象與之進(jìn)行比較以做出判別[4]。

（3）啟發(fā)式特征檢測(cè)：在做出決策之前，既分析系統(tǒng)的正常行為，同時(shí)還觀察可疑的入侵行為。

2 入侵檢測(cè)系統(tǒng)在陜西氣象信息網(wǎng)絡(luò)中的應(yīng)用

2.1 方正入侵檢測(cè)系統(tǒng)

在陜西省氣象局的核心交換機(jī)上部署的是方正入侵檢測(cè)系統(tǒng)。方正入侵檢測(cè)系統(tǒng)提供中文圖形界面的管理中心軟件，網(wǎng)絡(luò)入侵檢測(cè)引擎為集成化的硬、軟件平臺(tái)，一個(gè)管理中心可以同時(shí)管理多個(gè)引擎，入侵檢測(cè)系統(tǒng)能夠?qū)崿F(xiàn)分布式集中管理的部署方式，形成統(tǒng)一協(xié)調(diào)管理的多層分級(jí)管理結(jié)構(gòu)，支持IP碎片重組、TCP流重組，采用基于回話的監(jiān)測(cè)方式，能夠?qū)SL回話進(jìn)行分析，具有蠕蟲監(jiān)測(cè)功能，具備報(bào)警與響應(yīng)、監(jiān)控、報(bào)表等功能。

2.2 檢測(cè)結(jié)果分析

通過(guò)分析一段時(shí)期內(nèi)的入侵檢測(cè)結(jié)果，可以看出省局網(wǎng)絡(luò)平均每天受到2357929次網(wǎng)絡(luò)入侵攻擊，其中68.99%的網(wǎng)絡(luò)入侵或攻擊的風(fēng)險(xiǎn)級(jí)別為中等，較高或高風(fēng)險(xiǎn)級(jí)別的網(wǎng)絡(luò)入侵分為530474次和199215次。不管從數(shù)量上還是風(fēng)險(xiǎn)等級(jí)上看，省局互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)還是很大的，網(wǎng)絡(luò)安全防護(hù)面臨嚴(yán)峻考驗(yàn)。

如圖1，通過(guò)實(shí)時(shí)在線檢測(cè)分析可以看出，省局網(wǎng)絡(luò)受到的網(wǎng)絡(luò)入侵的事件類型主要有：DoS、掃描、后門、代碼攻擊、監(jiān)控和有害站點(diǎn)，前四種類型所占比例分別為：88.8%、3.0%、0.1%和8.1%，后兩種類型的數(shù)量較少，兩者總和僅占全部網(wǎng)絡(luò)入侵事件的0.007%。

其中所占比例最大的是DOS（Denial of Service）入侵，是通過(guò)網(wǎng)絡(luò)協(xié)議的缺陷進(jìn)行攻擊，從而耗盡被攻擊對(duì)象的網(wǎng)絡(luò)資源，使得被攻擊對(duì)象的網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)無(wú)法正常地提供服務(wù)甚至崩潰。

圖1 實(shí)時(shí)在線監(jiān)測(cè)圖

從以上對(duì)網(wǎng)絡(luò)入侵檢測(cè)情況的分析，可以看出網(wǎng)絡(luò)入侵事件對(duì)氣象業(yè)務(wù)的正常運(yùn)行影響很大。因此，為了有效地防范網(wǎng)絡(luò)入侵，要采取較系統(tǒng)的網(wǎng)絡(luò)入侵防護(hù)措施：不僅要在省局互聯(lián)網(wǎng)的出口安裝網(wǎng)絡(luò)防火墻；還應(yīng)通過(guò)上網(wǎng)行為管理實(shí)時(shí)監(jiān)測(cè)省局各網(wǎng)絡(luò)用戶的上網(wǎng)行為；同時(shí)，對(duì)內(nèi)部網(wǎng)絡(luò)上的各種網(wǎng)絡(luò)訪問(wèn)都進(jìn)行監(jiān)管；經(jīng)常利用網(wǎng)絡(luò)漏洞掃描器對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的安全漏洞檢測(cè)和分析；堅(jiān)決杜絕瀏覽或安裝帶有網(wǎng)絡(luò)入侵安全隱患的網(wǎng)站和應(yīng)用軟件；各地市也要進(jìn)行相應(yīng)的網(wǎng)絡(luò)病毒和入侵的防護(hù)，及時(shí)查殺病毒，從Internet、郵件、文件服務(wù)器和用戶終端四個(gè)方面來(lái)切斷病毒來(lái)源。

通過(guò)入侵檢測(cè)系統(tǒng)對(duì)省局網(wǎng)絡(luò)受到網(wǎng)絡(luò)入侵進(jìn)行統(tǒng)計(jì)分析，位于前10位的入侵事件如圖2。

通過(guò)對(duì)受到網(wǎng)絡(luò)入侵進(jìn)行統(tǒng)計(jì)分析，在網(wǎng)絡(luò)入侵事件中最多的是BitTorrent文件傳輸監(jiān)控，造成的原因是BitTorrent協(xié)議中存在的安全隱患，即BitTorrent協(xié)議將與文件內(nèi)容息息相關(guān)的Torrent文件以明文方式分發(fā)給用戶，但并不關(guān)心文件的來(lái)源和安全性，如果文件被劫持篡改，軟件并不能檢測(cè)出來(lái)。由此可見(jiàn)，使用BitTorrent軟件下載數(shù)據(jù)對(duì)網(wǎng)絡(luò)安全具有較大的威脅，如果網(wǎng)絡(luò)用戶能夠盡量避免使用BitTorrent軟件下載數(shù)據(jù)，網(wǎng)絡(luò)入侵的事件將大大減少，對(duì)網(wǎng)絡(luò)安全的威脅也相應(yīng)降低。考慮到BitTorrent協(xié)議存在漏洞，導(dǎo)致的網(wǎng)絡(luò)入侵事件很多，信息中心將根據(jù)實(shí)際情況在必要時(shí)限制該協(xié)議的應(yīng)用。

圖2 網(wǎng)絡(luò)入侵事件前10

通過(guò)分析網(wǎng)絡(luò)入侵事件的服務(wù)類型可以發(fā)現(xiàn)，造成網(wǎng)絡(luò)入侵最多的是IP服務(wù)，即通過(guò)IPC連接即WindowsNT及以上系統(tǒng)中特有的遠(yuǎn)程網(wǎng)絡(luò)登錄功能。為了有效減少通過(guò)IP服務(wù)的網(wǎng)絡(luò)入侵事件，應(yīng)盡量避免在計(jì)算機(jī)上使用系統(tǒng)默認(rèn)共享和遠(yuǎn)程登錄服務(wù)。

圖3 入侵服務(wù)類型前10

3 結(jié)束語(yǔ)

通過(guò)檢測(cè)和分析可以看出陜西省氣象局的網(wǎng)絡(luò)入侵事件發(fā)生率較高，網(wǎng)絡(luò)中存在一定的安全漏洞。為了有效地防范網(wǎng)絡(luò)入侵，不僅要在網(wǎng)絡(luò)中增加網(wǎng)絡(luò)安全防護(hù)設(shè)備，同時(shí)應(yīng)進(jìn)一步規(guī)范各網(wǎng)絡(luò)用戶的上網(wǎng)行為，并盡量避免使用BitTorrent軟件下載數(shù)據(jù)和在計(jì)算機(jī)上使用系統(tǒng)默認(rèn)共享和遠(yuǎn)程登錄服務(wù)等，以減少網(wǎng)絡(luò)中存在的漏洞，盡可能避免網(wǎng)絡(luò)入侵事件的發(fā)生。

[1]薛靜鋒，寧宇鵬，閻慧.入侵檢測(cè)技術(shù)[M].北京:機(jī)械工業(yè)出版社，2004.

[2]王福生.圖書館網(wǎng)絡(luò)中的入侵檢測(cè)系統(tǒng)[J].現(xiàn)代情報(bào)，2007.

[3]趙夏麗，李崢.高校圖書館網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的應(yīng)用[J].內(nèi)蒙古科技與經(jīng)濟(jì)，2012.