〔摘 要〕惡意下載事件嚴(yán)重影響了高校圖書館數(shù)據(jù)資源的正常應(yīng)用。文章結(jié)合案例，針對圖書館網(wǎng)絡(luò)和惡意下載事件的特點，提出了基于網(wǎng)絡(luò)異常流量的網(wǎng)絡(luò)入侵檢測模式，從技術(shù)方面為高校圖書館有效防范惡意下載提出了對策。

〔關(guān)鍵詞〕網(wǎng)絡(luò)安全；入侵檢測系統(tǒng)；網(wǎng)絡(luò)攻擊；高校圖書館；惡意下載

〔中圖分類號〕G251 〔文獻(xiàn)標(biāo)識碼〕C 〔文章編號〕1008-0821(2009)02-0161-03

Research on Instrusion Detection System of LibraryDou Shuqing

(Library，Tangshan College，Tangshan 063000，China)

〔Abstract〕Malicious downloading impacts heavily on the regular online information application in academic libraries in China.Based on the case research，according to the characteristic of library network and malicious downloading，this thesis provided a network intrusion detection pattern based on abnormal network flow，suggested some measures in technological angle that academic libraries may take to prevent malicious downloading.

〔Key words〕network security；intrusion detection system；IDS；network attack；academic library；malicious downloading

1 入侵檢測系統(tǒng)需求分析

圖書館網(wǎng)絡(luò)中的惡意下載通常有以下特點：(1)利用服務(wù)器不許可的方式進(jìn)行數(shù)據(jù)下載，如利用專門的工具進(jìn)行下載或啟用多線程進(jìn)行下載等；(2)下載行為具有不良動機(jī)或?qū)⑾螺d的大量數(shù)據(jù)用于不許可的目的；(3)數(shù)據(jù)下載的數(shù)量超過許可范圍，有些數(shù)據(jù)庫服務(wù)商明確規(guī)定不允許一次性下載某種期刊同一期半數(shù)以上的全文。

基于以上的討論，服務(wù)于圖書館的IDS系統(tǒng)應(yīng)該滿足以下需求：(1)惡意下載檢測功能：對于惡意下載等網(wǎng)絡(luò)異常使用的情況，成功進(jìn)行檢測。(2)攻擊源追蹤：針對入侵行為，確定攻擊者的來源，對于內(nèi)部發(fā)起的攻擊，確定其物理位置。(3)攻擊響應(yīng)：對檢測到的攻擊自動完成響應(yīng)處理，將惡意下載行為制止。

2 系統(tǒng)結(jié)構(gòu)設(shè)計

2.1 數(shù)據(jù)采集

要進(jìn)行入侵檢測，首先需要給入侵檢測數(shù)據(jù)分析器提供一定數(shù)量的可靠數(shù)據(jù)樣本，即從網(wǎng)絡(luò)獲取原始數(shù)據(jù)。事件數(shù)據(jù)來源主要是網(wǎng)絡(luò)數(shù)據(jù)包，從網(wǎng)絡(luò)上獲得原始數(shù)據(jù)包的技術(shù)稱為網(wǎng)絡(luò)數(shù)據(jù)包嗅探，相應(yīng)的軟件工具稱為網(wǎng)絡(luò)嗅探器，比較著名的如Linux下的Tcpdump，Windows下的windump，enthereal等。它用于竊聽流經(jīng)網(wǎng)絡(luò)接口的信息，從而獲取用戶會話信息。原始數(shù)據(jù)包采集到之后，需要對數(shù)據(jù)進(jìn)行分析，從中提取能夠代表數(shù)據(jù)特征的信息，如離散化處理和歸一化處理等，生成模式樣本。

2.2 統(tǒng)計分析

網(wǎng)絡(luò)用戶的上網(wǎng)時間受作息規(guī)律的影響，因而網(wǎng)絡(luò)流量變化具有周期性，正常網(wǎng)絡(luò)流量在一定時間段內(nèi)趨于連續(xù)變化，網(wǎng)絡(luò)流量的突發(fā)性增量不會非常大。網(wǎng)絡(luò)流量的突發(fā)性變化(主要是網(wǎng)絡(luò)流量大幅增長)大多由網(wǎng)絡(luò)用戶的偶然性行為或突發(fā)行為引起的，這種突發(fā)行為可能就是惡意下載[3]。

統(tǒng)計分析模塊計算出相應(yīng)的流量數(shù)據(jù)，如果當(dāng)前流量比歷史平均流量高，就算出高的比例，如果該比例高出設(shè)定的報警閾值，就向解析模塊發(fā)出冗余的異常警報。通過解析模塊的綜合分析，判斷是不是真正的流量異常，以排除因其他因素引起的瞬間流量峰值，算法流程見圖1。

解析模塊對從統(tǒng)計分析模塊接受到的警報信息根據(jù)以下方法來判斷是否真正流量異常：收到同一對象的2個連續(xù)警報，且每個警報所報告的流量均超出警報閾值的2倍，認(rèn)為流量異常；收到同一對象的5個連續(xù)警報，認(rèn)為流量異常。

2.4 系統(tǒng)響應(yīng)機(jī)制

響應(yīng)模塊收集來自于解析模塊發(fā)來的信息，顯示和發(fā)出警報或進(jìn)行其他處理。通常情況下，采用的響應(yīng)方法有關(guān)閉當(dāng)前會話；重新配置網(wǎng)絡(luò)資源；執(zhí)行預(yù)先定義的程序或與其他安全產(chǎn)品(如防火墻)交互等。對于TCP會話，IDS將會向通信的兩端各發(fā)送TCP RESET包，此時通信雙方的堆棧將會把這個RESET包解釋為另一端的回應(yīng)，然后停止整個通信過程。網(wǎng)絡(luò)攻擊源追蹤就是找到網(wǎng)絡(luò)攻擊事件發(fā)生的源頭。它包含兩個方面的意義：一是指獲取攻擊者IP地址，MAC地址或是認(rèn)證的主機(jī)名；二是指確定攻擊者的身份。

3 圖書館入侵檢測系統(tǒng)的實現(xiàn)

開放源碼軟件Snort具有截取網(wǎng)絡(luò)數(shù)據(jù)報文，進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)實時分析、報警、日志的能力。它能夠進(jìn)行協(xié)議分析，內(nèi)容搜索、匹配，能夠用來檢測各種攻擊和探測。由于Snort源代碼完全開放和功能強(qiáng)大，能夠有效地監(jiān)視網(wǎng)絡(luò)流量和檢測入侵行為，己經(jīng)成為小規(guī)模網(wǎng)絡(luò)IDS中的首選。入侵檢測系統(tǒng)程序流程圖如圖2所示。

3.1 程序初始化、啟動數(shù)據(jù)包截獲

這部分的工作包括：命令行參數(shù)的解析；各種處理模塊的初始化；啟動數(shù)據(jù)包截獲和處理進(jìn)程。其中用到的一些函數(shù)有：主函數(shù)main()主要完成初始化設(shè)置和啟動數(shù)據(jù)圖2 入侵檢測系統(tǒng)程序流程圖

包截獲和處理進(jìn)程的工作；OpenPcap函數(shù)用來打開參數(shù)所指的Libpcap接口設(shè)備；ParseCmdLine函數(shù)的功能就是解析命令行開關(guān)參數(shù)，并設(shè)置相關(guān)的各種變量值；SetPktProcessor函數(shù)的功能在于根據(jù)當(dāng)前所使用的不同的數(shù)據(jù)鏈路層協(xié)議，來選擇不同的數(shù)據(jù)包解析處理函數(shù)，并將其保存在全局定義的函數(shù)指針變量中。

3.2 數(shù)據(jù)包解析

在惡意下載過程中，入侵者在連續(xù)的時間內(nèi)超量獲取被侵者的數(shù)據(jù)包，這些大量的數(shù)據(jù)包具有相同的地址信息。當(dāng)檢測到的數(shù)據(jù)包源地址與提供數(shù)據(jù)的服務(wù)商地址相同時，即可進(jìn)行重點監(jiān)測。

這部分的工作就是對當(dāng)前所截獲的數(shù)據(jù)包進(jìn)行各種支持網(wǎng)絡(luò)協(xié)議的格式分析，并將分析結(jié)果存入到Pack()數(shù)據(jù)結(jié)構(gòu)中。Packet結(jié)構(gòu)中保存了進(jìn)行協(xié)議解析所需的各種數(shù)據(jù)結(jié)構(gòu)和信息，以及對當(dāng)前數(shù)據(jù)結(jié)構(gòu)包進(jìn)行解析后的結(jié)果信息。

3.3 統(tǒng)計分析

從捕獲的數(shù)據(jù)包中統(tǒng)計分析以判斷是否存在敵意的網(wǎng)絡(luò)流量，當(dāng)流量超過一定的值時，根據(jù)歷史流量和閾值計算其異常度的嚴(yán)重等級，如果異常度大于一定的值就認(rèn)為產(chǎn)生入侵，發(fā)生響應(yīng)[3]。

int analyze(float cspeed，float hspeed，float limen)

float increment；∥流量增加比例

int alertno；∥警報

ant serious；∥嚴(yán)重等級

incremen=(cspeed-hspeed)/hspeed；∥流量增加比例

if(increment＞limen)∥如果增加比例超過閾值，做以下處理：

{if(increment/limen)＜4)

serious=int(increment/limen)+1；

else

serious=5；

alertno++；

return serious；}

else

return 0

3.4 響應(yīng)模塊

當(dāng)報告有入侵發(fā)生時，系統(tǒng)做出響應(yīng)動作，Snort中提供的響應(yīng)以報警和記錄為主，包括log和alerts。

如使用上述動作定義的規(guī)則，當(dāng)統(tǒng)計分析認(rèn)為發(fā)生入侵時，系統(tǒng)用下列的規(guī)則產(chǎn)生響應(yīng)：

alert tcp 60.10.10.10 any-＞192.168.1.0/24 any(resp：rstall；msg：″malicious downloading attempt″；)

3.5 網(wǎng)絡(luò)攻擊源追蹤

通過采集模塊獲得企圖惡意下載的數(shù)據(jù)包的地址信息。通過MAC地址獲取局域網(wǎng)內(nèi)發(fā)動攻擊的真實IP，從而阻斷和丟棄數(shù)據(jù)包。該網(wǎng)絡(luò)攻擊源追蹤模塊用到了地址解析協(xié)議ARP，它的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。動態(tài)獲取局域網(wǎng)內(nèi)IP與MAC地址關(guān)聯(lián)表有一定的時延，因此，要使得上面網(wǎng)絡(luò)攻擊源追蹤系統(tǒng)能夠準(zhǔn)確、快速追蹤攻擊者，最好將IP+MAC綁定。

4 運(yùn)行測試

測試環(huán)境搭建在互連網(wǎng)內(nèi)，選擇某資源頻道作為攻擊目標(biāo)。拓?fù)鋱D如圖3。其中攻擊目標(biāo)(IP為60.2.xx.xx)與攻擊者(IP為10.10.xx.xx)通過互連網(wǎng)絡(luò)連接，在核心交換機(jī)上有控制中心通過網(wǎng)絡(luò)管理軟件進(jìn)行監(jiān)視。

我們用下載軟件下載某種文件來模擬檢測惡意下載事件的性能與結(jié)果。系統(tǒng)流量圖如圖4所 示。圖中流量的增長異常明顯，這種流量異?，F(xiàn)象明顯表示有非正常下載類型的入侵行為發(fā) 生?？刂浦行目梢允盏綀缶M(jìn)行流量監(jiān)測。由于在測試環(huán)境中IP與MAC地址是綁定的，所 以系統(tǒng)自動根據(jù)MAC地址找出真實攻擊IP，報警信息顯示正確的攻擊來源。

5 結(jié)束語

到目前為止，入侵檢測產(chǎn)品種類繁多，但大多集中在對入侵行為特征的檢測與分析上，基于網(wǎng)絡(luò)異常行為檢測的產(chǎn)品只占入侵檢測產(chǎn)品的5%左右[3]。而用于圖書館惡意下載方面的技術(shù)研究較少，本文提出了解決這一問題的研究思路和實現(xiàn)方法，希望能為此方面的研究工作起到拋磚引玉的作用。

參考文獻(xiàn)

[1]Rebecca Gurley Bace.入侵檢測[M].陳明奇，等譯.北京：人民郵電出版社，2001：5.

[2]竇淑慶.網(wǎng)絡(luò)傳播中的著作權(quán)問題探析[J].現(xiàn)代情報，2005，(1)：139-140，193.

[3]張華平.基于校園網(wǎng)絡(luò)的入侵檢測系統(tǒng)研究[D].吉林大學(xué)碩士論文.長春：吉林大學(xué)，2004.