小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)構(gòu)建研究

徐翔?。ㄔ颇蠋煼洞髮W(xué)文理學(xué)院信息工程學(xué)院，昆明650222）

小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)構(gòu)建研究

徐翔俊
（云南師范大學(xué)文理學(xué)院信息工程學(xué)院，昆明650222）

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，網(wǎng)絡(luò)安全形勢日益嚴峻。在廣泛采用的分布式應(yīng)用環(huán)境中，以往簡單的部署入侵檢測已不能有效地保護企業(yè)的網(wǎng)絡(luò)安全。尤其在小型商務(wù)企業(yè)中，對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的投入有限，管理和維護技術(shù)較為薄弱。針對小型商貿(mào)企業(yè)提出層次化入侵檢測系統(tǒng)的構(gòu)建策略，并以實際案例進行構(gòu)建，利用OPNETModeler進行的網(wǎng)絡(luò)仿真測試，驗證小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的可行性及其科學(xué)性。

網(wǎng)絡(luò)安全；入侵檢測系統(tǒng)；小型商貿(mào)企業(yè)；仿真測試

0　引言

目前，黑客經(jīng)常利用網(wǎng)絡(luò)的開放性攻擊一些商務(wù)網(wǎng)站，導(dǎo)致一些企業(yè)的網(wǎng)站服務(wù)不能正常使用，貿(mào)易和商務(wù)交流無法正常進行，給企業(yè)造成較大損失。所以電子商務(wù)企業(yè)最關(guān)心網(wǎng)絡(luò)系統(tǒng)安全的問題，這除了與網(wǎng)絡(luò)固有的開放性、共享性特點有關(guān)外，還與企業(yè)對入侵檢測系統(tǒng)的部署的重視程度不高有關(guān)。目前，中小企業(yè)占我國企業(yè)總體85%左右，但由于技術(shù)和專業(yè)人員的匱乏，中小企業(yè)對網(wǎng)絡(luò)通常缺乏警惕性，對網(wǎng)絡(luò)安全疏于管理與維護，往往在受到攻擊造成損失后才會關(guān)注網(wǎng)絡(luò)安全及管理。

傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如用戶授權(quán)與認證、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)備份等已經(jīng)不能滿足目前網(wǎng)絡(luò)安全的需要，為了保障網(wǎng)絡(luò)系統(tǒng)安全，必須構(gòu)建完善的安全防護體系，進行多層次、多手段的檢測和防護。在網(wǎng)絡(luò)安全系統(tǒng)中，通過數(shù)據(jù)和行為模式來判斷其是否有效地入侵檢測系統(tǒng)，是簡單易實現(xiàn)的網(wǎng)絡(luò)安全系統(tǒng)，同時可以按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)。從目前高速發(fā)展的電子商務(wù)來看，入侵檢測系統(tǒng)還應(yīng)具有識別入侵者和識別入侵行為、檢測和監(jiān)視已成功的突破、為對抗入侵及時提供重要信息等特點，同時需要在原有的基礎(chǔ)上增加對未知入侵行為的防御、對已知入侵行為的遏阻。

本文主要針對小型商務(wù)企業(yè)入侵檢測系統(tǒng)的構(gòu)建進行探討和分析，以某文化傳播有限公司為實際案例對象，通過對入侵檢測技術(shù)的探討與研究部署，分析該公司現(xiàn)有的網(wǎng)絡(luò)環(huán)境與現(xiàn)有入侵檢測系統(tǒng)部署，在總結(jié)某文化傳播有限公司以往所受到攻擊的案例上得出現(xiàn)有入侵檢測系統(tǒng)的缺陷，對該公司現(xiàn)有的入侵檢測系統(tǒng)部署進行改進和總結(jié)經(jīng)驗，為今后小型企業(yè)的網(wǎng)絡(luò)安全技術(shù)的開發(fā)和應(yīng)用提供一定的參考。

1　構(gòu)建小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的策略

1.1入侵檢測系統(tǒng)概述

入侵檢測系統(tǒng)（Intrusion Detection System，IDS），是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。而IDS在應(yīng)對自身被攻擊時，對其他傳輸?shù)臋z測也會被抑制。目前常用的有基于主機的入侵檢測系統(tǒng)（Host-based IDS, HIDS）、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（Network Based IDS, NIDS）和分布式入侵檢測系統(tǒng)（Distributed IDS,DIDS）。

HIDS比較適用于較小網(wǎng)絡(luò)規(guī)模且網(wǎng)絡(luò)之間沒有完全互聯(lián)的網(wǎng)絡(luò)環(huán)境，主要用于對運行關(guān)鍵應(yīng)用程序的服務(wù)器的保護。通過監(jiān)控與分析主機的審計記錄和日志文件來檢測入侵。

NIDS采用原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源并收集和實時分析整個網(wǎng)絡(luò)中流動的數(shù)據(jù)包，從而檢測是否存在入侵行為。主要通過將網(wǎng)卡設(shè)置為混雜模式以監(jiān)聽網(wǎng)絡(luò)上所有分組并收集數(shù)據(jù)，分析可疑行為，實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。NIDS通常部署在比較重要的網(wǎng)段內(nèi)，對流經(jīng)的每個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行分析。

DIDS一般指部署在大規(guī)模網(wǎng)絡(luò)環(huán)境下的入侵檢測系統(tǒng)，用來檢測整個網(wǎng)絡(luò)環(huán)境的安全狀態(tài)，包括網(wǎng)絡(luò)本身和其中的主機系統(tǒng)?；竟δ転闄z測系統(tǒng)的I/O數(shù)據(jù)是否滿足安全策略、數(shù)據(jù)集中顯示與分析、全局預(yù)警機制、分布式的管理和維護。突出優(yōu)點為可以進行多點檢測克服了普通入侵檢測系統(tǒng)只能檢測單一的網(wǎng)絡(luò)出入口的弱點，同時可以將日志進行統(tǒng)一管理、統(tǒng)一分析，更易于分析網(wǎng)絡(luò)中存在的安全事件。因此，分布式入侵檢測系統(tǒng)的全局與預(yù)警機制可以保證各個控制中心較好地協(xié)同工作，一旦某點發(fā)現(xiàn)異常，全網(wǎng)戒備，有效地阻斷網(wǎng)絡(luò)攻擊事件。

1.2小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的構(gòu)建策略

無論是基于主機還是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，其功能都集中單一，難以滿足現(xiàn)代商貿(mào)企業(yè)的需求，而分布式功能雖然強大，對于大多數(shù)中小型商貿(mào)企業(yè)來說系統(tǒng)投入過大。本文研究重點為如何根據(jù)小型商貿(mào)公司實際網(wǎng)絡(luò)狀況、業(yè)務(wù)需求和發(fā)展方向后，結(jié)合以上的IDS系統(tǒng)各取所長，構(gòu)建滿足企業(yè)需求的綜合性的層次化入侵檢測系統(tǒng)來保障企業(yè)的網(wǎng)絡(luò)系統(tǒng)安全。本文基于對某文化傳播有限公司進行層次化入侵檢測系統(tǒng)的構(gòu)建分析，提出構(gòu)建小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的策略如下：

（1）自頂向下層次化調(diào)整或重新構(gòu)建企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，可以方便實現(xiàn)有效的網(wǎng)絡(luò)管理，便于網(wǎng)絡(luò)維護，為構(gòu)建層次化入侵檢測系統(tǒng)奠定網(wǎng)絡(luò)基礎(chǔ)；

（2）增加核心路由器的管理服務(wù)器，同時設(shè)置Snort監(jiān)測點對主干網(wǎng)絡(luò)的數(shù)據(jù)進行入侵檢測，利用管理服務(wù)器對Snort監(jiān)測點的反饋信息進行及時響應(yīng)和處理；

（3）把網(wǎng)絡(luò)劃分為若干子網(wǎng)，每個子網(wǎng)設(shè)置獨立的網(wǎng)絡(luò)防火墻，增加配套的網(wǎng)絡(luò)管理服務(wù)器和Snort監(jiān)測點。這樣不但可以有效地對企業(yè)內(nèi)網(wǎng)進行規(guī)劃，合理分配企業(yè)網(wǎng)絡(luò)的內(nèi)網(wǎng)資源，高效進行內(nèi)網(wǎng)管理，還可以通過檢測子網(wǎng)數(shù)據(jù)，有效防止企業(yè)網(wǎng)絡(luò)內(nèi)部的相互攻擊，有效提高入侵檢測的效能；

（4）子網(wǎng)管理服務(wù)器和核心管理服務(wù)器之間利用管理軟件，構(gòu)建入侵檢測反饋響應(yīng)機制，定期進行日志信息的交流，更新核心路由器路由規(guī)則，以及防火墻的檢測規(guī)則。

2　小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的構(gòu)建

為了探討小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的構(gòu)建方法，闡述實施小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的策略，本文以某文化傳播有限公司為例進行分析和探討其層次化入侵檢測系統(tǒng)的構(gòu)建。

某文化傳播有限公司是一家以自由創(chuàng)新為核心理念的動漫制作發(fā)行及廣告設(shè)計代理的綜合性公司。公司原有的入侵檢測部署拓撲圖如圖1所示，網(wǎng)絡(luò)總體采用分布式拓撲結(jié)構(gòu)，與Modem相連的中心控制臺、內(nèi)網(wǎng)防火墻和DMZ防火墻構(gòu)成三個中心節(jié)點。中心控制臺位于外網(wǎng)，監(jiān)控整個網(wǎng)絡(luò)的流量通信狀況。內(nèi)網(wǎng)防火墻負責(zé)保護公司日常工作業(yè)務(wù)的安全，內(nèi)外都部署有Snort傳感器進行實時流量分析并協(xié)助中心控制臺的監(jiān)控，DMZ防火墻主要是對進入服務(wù)器群的訪問流量進行監(jiān)控，由于服務(wù)器只提供訪問業(yè)務(wù)，結(jié)合防火墻的安全策略和Snort輔助監(jiān)控。

利用小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的策略，對某文化傳播有限公司的入侵檢測進行層次化入侵檢測系統(tǒng)構(gòu)建，提出基于Snort的IDS層次化部署如下圖2所示。

新構(gòu)建的公司局域網(wǎng)采用的是層次化構(gòu)建方式，對IDS的部署有很好的借鑒作用。由于公司網(wǎng)絡(luò)擴展后網(wǎng)絡(luò)寬帶和網(wǎng)絡(luò)流量會日益加重，傳統(tǒng)的IDS在處理這種高速網(wǎng)絡(luò)數(shù)據(jù)時，往往出現(xiàn)丟包率過大，誤報率高等特點，同時大量的報警信息處理工作也會給網(wǎng)絡(luò)管理人員帶來很多麻煩，于是提出分布式層次化的IDS布局，因此公司的IDS點的部署也采用分布式層次化的部署方案，其中主中心控制臺上（CT1）IDS點的部署對Snort的安裝為內(nèi)嵌模式，但不作為正常的網(wǎng)橋使用，不提供數(shù)據(jù)包轉(zhuǎn)發(fā)功能，類似于網(wǎng)卡的混雜模式的工作方式，即過濾經(jīng)過Router的異常數(shù)據(jù)。

圖1　某文化傳播有限公司原有的入侵檢測系統(tǒng)布置示意圖

圖2　某文化傳播有限公司基于Snort的IDS層次化部署

具體的部署分析：IDS是基于Snort的部署，整個網(wǎng)絡(luò)主要分為基于主機的IDS部署和基于網(wǎng)絡(luò)IDS部署。局域網(wǎng)的層次化主要體現(xiàn)在自上而下的結(jié)構(gòu)布置：中心路由器Router負載整個公司網(wǎng)絡(luò)數(shù)據(jù)進出的調(diào)度。中心控制臺（CT1）與之相連，中心控制臺區(qū)域部署主機IDS和網(wǎng)絡(luò)IDS，擔(dān)負整個網(wǎng)絡(luò)和路由器的負載的數(shù)據(jù)量的收集和分析。往下是兩子網(wǎng)防火墻，防火墻外部都部署IDS，兩子控制臺CT2和CT3分別和各自相鄰的防火墻連接，分別監(jiān)控各自防火墻的狀態(tài)及下屬子網(wǎng)內(nèi)部網(wǎng)絡(luò)狀態(tài)。每個IDS監(jiān)測點除了負責(zé)各自網(wǎng)段的監(jiān)控任務(wù)外還對捕獲的異常信息反饋給中心控制臺（CT1），中心控制臺根據(jù)收到的異常信息類型指派監(jiān)測點采取相應(yīng)的措施。

3　仿真測試驗證及數(shù)據(jù)分析

為了驗證針對某文化傳播有限公司構(gòu)建的層次化入侵檢測系統(tǒng)的網(wǎng)絡(luò)性能，本文簡化了網(wǎng)絡(luò)拓撲結(jié)構(gòu)，利用仿真實驗使用的OPNETModeler 14.5，通過一個簡化后的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖來進行測試整個以太網(wǎng)的流量信息，主要針對網(wǎng)絡(luò)延遲、網(wǎng)絡(luò)中心路由器Router的性能、服務(wù)器群的網(wǎng)絡(luò)性能、數(shù)據(jù)庫服務(wù)器性能等方面進行仿真測試。

（1）網(wǎng)絡(luò)延時

圖3的上圖為原有網(wǎng)絡(luò)延時，下圖為進行層次化入侵檢測系統(tǒng)構(gòu)建后的網(wǎng)絡(luò)延時。從圖中可以看出，整個網(wǎng)絡(luò)的延時高峰時達到0.4微秒，構(gòu)建后的網(wǎng)絡(luò)延時只是接近0.4微秒，網(wǎng)絡(luò)延時的突發(fā)性和整個網(wǎng)絡(luò)的延時有所降低。雖然網(wǎng)絡(luò)進行了新的層次化入侵檢測系統(tǒng)構(gòu)建，在用戶數(shù)量級訪問量增加的情況下，網(wǎng)絡(luò)延時并沒有的增加。因此，進行層次化入侵檢測系統(tǒng)構(gòu)建后的網(wǎng)絡(luò)擴展性能依然保持良好，可以提供穩(wěn)定的網(wǎng)絡(luò)性能。

圖3　網(wǎng)絡(luò)構(gòu)建前后的延時曲線

（2）網(wǎng)絡(luò)中心路由器Router的性能

圖4和圖5的上圖為原有網(wǎng)絡(luò)延時，下圖為進行層次化入侵檢測系統(tǒng)構(gòu)建后的網(wǎng)絡(luò)延時。從圖中可以看出，構(gòu)建后的網(wǎng)絡(luò)結(jié)構(gòu)及更換高性能的路由器后，網(wǎng)絡(luò)擁擠情況明顯減少，擴展后網(wǎng)絡(luò)中對擁擠數(shù)據(jù)包的接受處理速度接近于零，處理擁擠數(shù)據(jù)包的效率提高很大，使得發(fā)送擁擠數(shù)據(jù)包的速度更平穩(wěn)，對路由器負擔(dān)減少，增強了網(wǎng)絡(luò)對數(shù)據(jù)處理的能力，提高了網(wǎng)絡(luò)的可靠性。

（3）服務(wù)器群的網(wǎng)絡(luò)性能

圖6為原有ServerGroup負載測試數(shù)據(jù)線，圖7為構(gòu)建后ServerGroup負載測試數(shù)據(jù)線走勢圖。從圖可以看出，構(gòu)建后的整個ServerGroup領(lǐng)域的數(shù)據(jù)承載量的峰值和穩(wěn)定下來后的均值都有很大的增加，這和公司實際業(yè)務(wù)的增加有關(guān)，同時也是增加了一定的網(wǎng)絡(luò)監(jiān)測和控制點后，網(wǎng)絡(luò)負載會有一定的增加。同時也說明網(wǎng)絡(luò)安全保障是以增加網(wǎng)絡(luò)負載為代價的。

圖4　Router接收Traffic數(shù)據(jù)包對比圖

圖5　Router發(fā)送Traffic數(shù)據(jù)包對比圖

圖6　原ServerGroup網(wǎng)絡(luò)負載圖

圖7　構(gòu)建后ServerGroup網(wǎng)絡(luò)負載圖

（4）數(shù)據(jù)庫服務(wù)器性能

本文采集的服務(wù)器的運行性能是Probability Density數(shù)據(jù)，反映的是服務(wù)器處理數(shù)據(jù)量的幾率分布及數(shù)據(jù)庫整體承受最大的數(shù)據(jù)訪問量的分布。

圖8　構(gòu)建前后數(shù)據(jù)庫服務(wù)器性能對比圖

圖8中上下曲線分別為構(gòu)建前后服務(wù)器運行性能的Probability Density曲線圖。從圖中可以很容易地看出，構(gòu)建后的Probability Density曲線波動比構(gòu)建前的大，原有的Database服務(wù)器所承受數(shù)據(jù)訪問量最大值剛好超過100,000kpbs,而構(gòu)建后服務(wù)器承受最大的數(shù)據(jù)訪問量可達到1,400,00kbps，這與公司整體業(yè)務(wù)工作量的增加相關(guān)，雖然峰值數(shù)據(jù)訪問量增加，但是服務(wù)器整體處理數(shù)據(jù)的時間減少。在公司服務(wù)器群負載量增加的情況下服務(wù)器的綜合性能表現(xiàn)得更好，并未出現(xiàn)由于公司業(yè)務(wù)的增加而有所下降的情況。

4　結(jié)語

通過利用OPNET仿真軟件對某文化傳播有限公司構(gòu)建的層次化入侵檢測系統(tǒng)前后的網(wǎng)絡(luò)性能進行仿真測試，從網(wǎng)絡(luò)延遲、網(wǎng)絡(luò)中心路由器Router的性能、服務(wù)器群的網(wǎng)絡(luò)性能、數(shù)據(jù)庫服務(wù)器性能等方面的測試數(shù)據(jù)可以看出，層次化入侵檢測系統(tǒng)增加的網(wǎng)絡(luò)負載由于使用了層次化的合理規(guī)劃而沒有出現(xiàn)劇增情況，增加的網(wǎng)絡(luò)負載可以通過改善網(wǎng)絡(luò)設(shè)備的性能來消化。而層次化的構(gòu)建方便網(wǎng)絡(luò)監(jiān)測和管理、維護，較大提高入侵檢測系統(tǒng)的監(jiān)測和預(yù)警處理性能，同時增加的網(wǎng)絡(luò)構(gòu)建成本主要為網(wǎng)絡(luò)層次化構(gòu)建及網(wǎng)絡(luò)主要設(shè)備的性能升級更換，這就極大降低了安全構(gòu)建的成本。因此，本文提出的小型商貿(mào)企業(yè)層次化入侵檢測系統(tǒng)的構(gòu)建策略是可行的，可為今后相關(guān)的中小型企業(yè)構(gòu)建入侵檢測系統(tǒng)提供參考依據(jù)。

[1]駱珍，裴昌幸，朱暢華等.DDoS攻擊的技術(shù)分析與防御策略[M].電子科技出版社，2006（12）:74～78

[2]董曉梅,于戈等.分布式入侵檢測與響應(yīng)協(xié)作模型研究[J].計算機工程，2006(6):151～153

[3]胡昌振.網(wǎng)絡(luò)入侵檢測原理與技術(shù)(第2版),北京理工大學(xué)出版社,2010-06-01.96～108

[4]許佳，馮登國，蘇璞睿.基于動態(tài)對等網(wǎng)層次結(jié)構(gòu)的網(wǎng)絡(luò)預(yù)警模型研究[J].計算機研究與發(fā)展,2010，47(9):42～45

[5]陳敏.OPNET網(wǎng)絡(luò)仿真[M].北京：清華大學(xué)出版社,2004:24～42

Network Security;Intrusion Detection System;Small Business Enterprises;Simulation Test

Research on the Building of Hierarchical Intrusion Detection System of Small Business Enterprise

XU Xiang-jun
（Institute of Information Engineering,College of Arts and Sciences,Yunnan Normal University，Kunming 650222）

With the rapid development of Internet,network security is becomingmore and more serious.In the environment of widely adopted of distributed application,the past simple deploying intrusion detection can not effectively protect the enterprise network security.Especially in the small business enterprise,the investment in network infrastructure is limited,management and maintenance technology isweak. In view of the small business enterprise,puts forward the construction strategy of hierarchical intrusion detection system,and with the actual case to build,uses OPNETModeler network simulation to test,verifies the feasibility of the small business enterprise hierarchical intrusion detection system and its scientific nature.Provides a reference for future research.

1007-1423（2015）15-0044-05

10.3969/j.issn.1007-1423.2015.15.012

徐翔俊（1972-），男，云南昆明人，碩士，講師，研究方向為通信與信息工程、計算機教育研究、學(xué)生創(chuàng)新創(chuàng)業(yè)研究等

2015-04-16

2015-05-07