圖書館網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)裝置研究

任杏莉

(商洛學院圖書館，陜西 商洛 726000)

快速發(fā)展的計算機網(wǎng)絡(luò)信息技術(shù)，為數(shù)字圖書館(一種虛擬圖書館，屬于多媒體制作的分布式信息系統(tǒng))的建設(shè)提供了強大的技術(shù)支撐。圖書館信息化的實現(xiàn)以數(shù)字圖書館作為支撐，數(shù)字圖書館對不同載體及位置的信息資源加以利用，實現(xiàn)了運用數(shù)字化技術(shù)對數(shù)據(jù)進行高效處理及儲存，通過智能檢索和無縫跨庫連接形成了海量知識數(shù)據(jù)庫，進而在豐富數(shù)字化資源的基礎(chǔ)上顯著提高了圖書館信息化管理水平及資源的使用效率。與此同時，圖書館的安全問題也逐漸暴露了出來，如何及時發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為、保證圖書館的正常運作，已成為目前領(lǐng)域內(nèi)的研究重點之一。

1 需求分析

作為信息資料集散地的圖書館可提供大量的文獻及資源等的查詢服務(wù)。隨著圖書館信息化建設(shè)的不斷深入，圖書管理員對網(wǎng)絡(luò)安全的重視程度不斷提高，確保圖書館網(wǎng)絡(luò)安全成為圖書館安全運營的保障(在確保圖書館核心數(shù)據(jù)及資源安全的同時有效提升圖書館面向教學、科研及公眾的信息服務(wù)能力)。數(shù)字圖書館相比于傳統(tǒng)圖書館面臨更多的信息安全風險，而有效的安全風險規(guī)避及管理措施則需基于對這些信息安全風險的識別,以便最大程度降低這些風險可能造成的損失。為提高圖書館的服務(wù)與管理水平，以及為其滿足綜合效益要求提供支撐,信息安全研究在圖書館領(lǐng)域已逐漸從技術(shù)管理層面向風險管理層面轉(zhuǎn)移。目前，對圖書館信息安全及風險管理的研究雖然已取得了一定的進展,但在圖書館網(wǎng)絡(luò)入侵監(jiān)測方面，仍以防火墻系統(tǒng)、病毒監(jiān)測系統(tǒng)等基礎(chǔ)網(wǎng)絡(luò)安全系統(tǒng)研究為主，難以完全保證圖書管理系統(tǒng)的安全，而網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)作為網(wǎng)絡(luò)安全防護的第二道屏障(不包括防火墻)能夠有效處理包括錯誤操作在內(nèi)的網(wǎng)絡(luò)內(nèi)外部入侵事件[1]。本文基于網(wǎng)絡(luò)安全對圖書館安全的重要性完成了一種圖書館網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)的設(shè)計。

2 圖書館網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)設(shè)計

2.1 應用技術(shù)分析

不斷發(fā)展的網(wǎng)絡(luò)安全入侵監(jiān)測技術(shù)為圖書館網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)提供了更加多樣化、多層次化的技術(shù)和方法，一些方法和技術(shù)經(jīng)過長期實踐后已取得了一定的成效。常用的監(jiān)測方法主要包括：1)模式匹配法，通過建立一個龐大的數(shù)據(jù)庫(包含所有合法數(shù)據(jù)及信息)完成對用戶請求的數(shù)據(jù)和數(shù)據(jù)包的逐一核對，在與數(shù)據(jù)庫一致的情況下才予以通行，此方法具備較高的準確率，但因需對數(shù)據(jù)庫進行隨時更新而增加了工作量；2)統(tǒng)計分析法，該方法主要通過設(shè)置閾值的方法完成對網(wǎng)絡(luò)異常的監(jiān)測過程，在超出閾值的情況下則認定存在網(wǎng)絡(luò)攻擊行為；3)神經(jīng)網(wǎng)絡(luò)法，屬于智能模式的一種，具有自適應、自學習的特點，以大量用戶實例為依據(jù)完成用戶行為輪廓的建立，再通過與正常行為對比完成對其行為是否為攻擊行為的判斷；4)模糊系統(tǒng)法，具體通過語言完成模糊模型的構(gòu)建，并將其應用于網(wǎng)絡(luò)入侵監(jiān)測過程中；5)免疫系統(tǒng)法，在對歷史數(shù)據(jù)進行收集和統(tǒng)計的基礎(chǔ)上，通過對短序列的調(diào)用(產(chǎn)生于系統(tǒng)正常運行時)完成對正常行為模式的標準定義，進而完成對攻擊行為的最終確定；6)數(shù)據(jù)挖掘與融合法，基于數(shù)據(jù)(來源于數(shù)據(jù)庫或數(shù)據(jù)源)建立一個正確的體系，在此基礎(chǔ)上完成威脅程度標準的合理制定[1]。

2.2 系統(tǒng)功能設(shè)計

目前各院校已基本完成了滿足信息化發(fā)展需求的校園網(wǎng)絡(luò)的建設(shè)，為高校日常管理及教學帶來了極大的便利。校園網(wǎng)絡(luò)為圖書館更好地服務(wù)于全校教學、科研工作及提高資源利用率等提供了技術(shù)支撐，但由校園網(wǎng)絡(luò)安全問題導致的圖書館安全隱患日益突出，傳統(tǒng)的入侵監(jiān)測系統(tǒng)通常僅能對單一用戶異常行為進行監(jiān)測，對入侵事件的監(jiān)測過程大多以微觀的角度為主，缺少從宏觀角度對網(wǎng)絡(luò)流量異常的分析，為彌補這一不足，本文根據(jù)網(wǎng)絡(luò)流量異常變化完成了圖書館網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)的設(shè)計，基于網(wǎng)絡(luò)行為學完成了網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)架構(gòu)的構(gòu)建，設(shè)計的系統(tǒng)整體架構(gòu)如圖1所示[2]。

圖1 圖書館網(wǎng)絡(luò)入侵系統(tǒng)架構(gòu)示意圖

2.3 網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)模型

為有效彌補傳統(tǒng)入侵監(jiān)測系統(tǒng)在工作效率及穩(wěn)定性方面的不足，本文采用了基于自主運行的并行程序的監(jiān)測機制，從而能夠獨立或基于其他程序運行。本文采用自主代理的程序模式，系統(tǒng)運行過程中可在無需重新啟動系統(tǒng)的情況下對不同代理進行動態(tài)配置，各代理能夠?qū)D書館網(wǎng)絡(luò)系統(tǒng)中的入侵行為(包括異常和誤用)進行實時監(jiān)測，將監(jiān)測系統(tǒng)根據(jù)不同的功能劃分為相應的代理，實現(xiàn)多個網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)的自主代理功能，自主代理入侵監(jiān)測系統(tǒng)架構(gòu)示意圖如圖2所示。

圖2 自主代理入侵監(jiān)測系統(tǒng)的架構(gòu)

1)網(wǎng)絡(luò)層，主要負責接收本層分類器中的審計數(shù)據(jù)，接下來由分類器完成審計數(shù)據(jù)的分類(根據(jù)相應的原則)后向代理進行傳輸，從而實現(xiàn)代理過程。入侵監(jiān)測系統(tǒng)在無需了解攻擊所使用的系統(tǒng)漏洞種類(或技術(shù)方法)的基礎(chǔ)上僅需對照某種攻擊所具備的特定信息即可有效實現(xiàn)對入侵的監(jiān)測，從而使監(jiān)測效率得以顯著提升。

2)代理層，作為監(jiān)測系統(tǒng)的核心，該層主要負責完成對審計內(nèi)容的計算，經(jīng)過多個代理的同時運行，能夠進一步提高監(jiān)測并行性。

3)分析層，通過分析層能夠計算獲得簡單懷疑值的平均值,從而完成對異常行為的定期監(jiān)測，對系統(tǒng)日志中主機和網(wǎng)絡(luò)行為的統(tǒng)計結(jié)果(由代理層中的代理定期統(tǒng)計獲得)以及學習方式與系統(tǒng)中模式存在的差異進行對比，在發(fā)現(xiàn)異常行為的情況下向管理層發(fā)出報警。

4)管理層，各主機管理層均在系統(tǒng)中起決策作用，通過管理層對所接收到的信息進行統(tǒng)計并分析，根據(jù)分析層傳送的報告完成對系統(tǒng)入侵的監(jiān)測[3]。

3 系統(tǒng)算法實現(xiàn)

3.1 統(tǒng)計分析算法

統(tǒng)計分析模塊是圖書館網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)的主要模塊，統(tǒng)計分析算法流程如圖3所示。把一天分為24個時段，記錄各時段對應的流量數(shù)據(jù)，每一時段結(jié)束后根據(jù)該時間段收集的正常流量數(shù)據(jù)對歷史流量數(shù)據(jù)進行更新，如果在此過程中出現(xiàn)數(shù)據(jù)流量異常，則將該異常值作為歷史平均流量值使用之后的數(shù)據(jù)，在對數(shù)據(jù)流量進行計算之后，如果當前流量高于歷史流量，監(jiān)測系統(tǒng)就會自動報警。通過解析模塊對流量是否異常進行判斷，可有效排除因其他因素導致的流量異常[4]。

圖3 統(tǒng)計算法的基本流程

3.2 解析算法及數(shù)據(jù)結(jié)構(gòu)

解析算法模塊根據(jù)獲取的報警信息(由統(tǒng)計分析模塊傳送)判斷是否為流量異常，具體的判斷依據(jù)為：接收到連續(xù)警報(來自同一個對象)并且警報流量超過了閾值，此種情況下可判定為出現(xiàn)流量異常。具體判斷依據(jù)描述如下。

1)對象及歷史數(shù)據(jù)，對象輪廓的數(shù)據(jù)結(jié)構(gòu)如圖4所示，對象標識由字符串表示，判斷異常時需以對象及歷史數(shù)據(jù)作為前提和基礎(chǔ)，通過浮點數(shù)組表示歷史平均流量及流量使用情況，歷史流量中的數(shù)據(jù)量用n表示(簡化得到整數(shù))[5]。

圖4 對象輪廓的數(shù)據(jù)結(jié)構(gòu)

2)收集的數(shù)據(jù)信息，主要由編號(由32位無符號長整數(shù)構(gòu)成的字段)、對象標識(指監(jiān)測的對象，為字符串)、生成時間、時間間隔、平均流量、包流量構(gòu)成，生成的時間字段采用常用時間形式表示，平均流量的字段采用浮點數(shù)表示，實現(xiàn)了平均流量的有效展現(xiàn)。

3)警報消息，主要由警報編號、對象標識、異常流量(為浮點數(shù))、生成時間(和警報生成時間相同)、閾值(為浮點數(shù)，主要由某個對象的閾值構(gòu)成)、嚴重等級以及增量比構(gòu)成，生成時間用常用時間表示，增量比用浮點數(shù)表示。異常的流量值主要指警報異常的流量[6]。

4 系統(tǒng)主要功能的實現(xiàn)

4.1 數(shù)據(jù)的收集

本文所設(shè)計的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)主要通過對網(wǎng)絡(luò)傳送包的監(jiān)聽來實現(xiàn)監(jiān)測功能，網(wǎng)絡(luò)管理人員對捕獲的數(shù)據(jù)進行全面分析，通過流量值與閾值的對比來判斷網(wǎng)絡(luò)是否遭到入侵。網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測使用以太網(wǎng)和網(wǎng)絡(luò)適配器相結(jié)合的模式對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包進行收集，將數(shù)據(jù)包的監(jiān)測結(jié)果作為數(shù)據(jù)包重組的重要依據(jù)，并且將數(shù)據(jù)包轉(zhuǎn)換為可被使用人員識別的信息，從而完成網(wǎng)絡(luò)是否被入侵的判斷，數(shù)據(jù)收集的模式如圖5所示，數(shù)據(jù)捕獲流程如圖6所示[7]。

圖5 數(shù)據(jù)收集模式

圖6 數(shù)據(jù)包捕獲的流程

4.2 系統(tǒng)的評價

通過對網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)進行驗證，得到評價結(jié)果，截止2018年10月4日，獲取的24組數(shù)據(jù)包平均流量見表1，由表1得到數(shù)據(jù)包的歷史平均流量如圖7所示，得到的數(shù)據(jù)包攻擊響應如圖8所示。本次實驗對網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)數(shù)據(jù)包進行監(jiān)測，歷史平均流量為23 210.5包，程序運行一段時間，經(jīng)過攻擊之后的流量增加到10 000包/s，能夠快速發(fā)現(xiàn)入侵行為。因此該系統(tǒng)能夠適應不同環(huán)境的需求，不受網(wǎng)絡(luò)容量、計算機系統(tǒng)或者不同平臺的影響，有效保障了圖書館信息系統(tǒng)的安全[8]。

表1 數(shù)據(jù)包平均流量

圖7 數(shù)據(jù)包的歷史平均流量

圖8 數(shù)據(jù)包的攻擊響應

5 結(jié)束語

隨著信息化需求的不斷提高以及網(wǎng)絡(luò)安全涉及范圍的逐漸擴大，人們對圖書館網(wǎng)絡(luò)安全提出了更高的要求，網(wǎng)絡(luò)安全是保障數(shù)字圖書館運行和管理的基礎(chǔ)與重點，對網(wǎng)絡(luò)入侵行為進行有效的監(jiān)測已經(jīng)成為保障圖書館網(wǎng)絡(luò)安全的有效手段。本文設(shè)計的針對數(shù)字圖書館的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)，能夠較為精準高效地監(jiān)測出入侵行為，避免入侵行為對圖書館安全造成影響，在圖書館建設(shè)及運作過程中具有一定實用價值。