□文/馮 雪 陳連安

（河北金融學院 河北·保定）

前言

隨著計算機網(wǎng)絡的迅猛發(fā)展，網(wǎng)絡安全問題也日益嚴重，單一的集中式的入侵檢測系統(tǒng)已不能滿足網(wǎng)絡安全發(fā)展的需要，分布式入侵檢測系統(tǒng)應運而生。通過管理端對局域網(wǎng)絡各個位置的Agent客戶端進行統(tǒng)一部署策略和實時監(jiān)控，加強了網(wǎng)絡的安全。由于數(shù)字化語音室信息系統(tǒng)具有Web訪問的功能，容易被攻擊。在數(shù)字化語音室信息系統(tǒng)的安全防御體系中，數(shù)據(jù)保密、數(shù)據(jù)完整性、訪問控制、系統(tǒng)認證等安全功能，如果只是依賴一種網(wǎng)絡安全產(chǎn)品和信息安全技術是不可能實現(xiàn)的。可以利用那些信息安全的新產(chǎn)品和技術，如針對網(wǎng)絡的網(wǎng)絡審計系統(tǒng)、動態(tài)防御的入侵檢測系統(tǒng)、靜態(tài)防御的防火墻等，對那些重要的安全部件進行有效的結(jié)合和聯(lián)動，這樣可以滿足網(wǎng)絡安全領域研究的需要，也是實現(xiàn)系統(tǒng)安全管理的需要。而建立一個智能化的實時入侵識別和響應系統(tǒng)，能在網(wǎng)絡環(huán)境下實現(xiàn)實時的入侵檢測，全面檢測可能的入侵行為，發(fā)現(xiàn)入侵時，及時阻斷入侵行為，就顯得尤為重要。

一、數(shù)字化語音室的特點及遇到的威脅

數(shù)字化語音室采用了TCP/IP網(wǎng)絡協(xié)議，通過數(shù)字控制信號控制數(shù)字文本信號、聲音信號、圖像信號來實現(xiàn)課堂教學、獨立學習、網(wǎng)絡化考試功能，可進行文字、語音視頻輸入，VOD、AOD點播等教學功能。按其系統(tǒng)結(jié)構(gòu)分為三大部分：服務器控制系統(tǒng)、網(wǎng)絡數(shù)據(jù)傳輸系統(tǒng)、用戶語音終端系統(tǒng)。按其網(wǎng)絡結(jié)構(gòu)可以把數(shù)字化語音室信息系統(tǒng)劃分為兩個大類：第一類是以太網(wǎng)網(wǎng)絡結(jié)構(gòu)數(shù)字化網(wǎng)絡語音室；第二類是以太網(wǎng)和互聯(lián)網(wǎng)混合結(jié)構(gòu)的語音室。數(shù)字化語音室信息系統(tǒng)以計算機網(wǎng)絡為主體，采用TCP/IP網(wǎng)絡協(xié)議，利用流媒體技術，通過數(shù)字控制信號控制，使顯示部分和聲音部分以數(shù)字信號形式在以太計算機網(wǎng)絡內(nèi)進行傳輸。從網(wǎng)絡安全環(huán)境平臺和安全業(yè)務這兩方面進行考慮，由于數(shù)字化語音室信息系統(tǒng)的具有Web訪問的功能，所以容易被攻擊，如何在發(fā)現(xiàn)入侵時，阻斷入侵行為顯得尤為重要。這就需要我們借助通過分布式入侵檢測系統(tǒng)保證網(wǎng)絡安全。

二、分布式入侵檢測系統(tǒng)的優(yōu)勢

入侵檢測系統(tǒng)分為3種：主機型、網(wǎng)絡型、分布式入侵檢測系統(tǒng)，針對入侵檢測系統(tǒng)無法同時對付來自網(wǎng)絡內(nèi)部或網(wǎng)絡外部的攻擊，分布式的入侵檢測系統(tǒng)逐步取代了集中式的入侵檢測系統(tǒng)。它的優(yōu)勢體現(xiàn)在以下幾個方面：①分布式的入侵檢測系統(tǒng)能夠在較大的范圍內(nèi)進行檢測；②能夠通過對系統(tǒng)日志、記錄進行實時的監(jiān)控達到檢測可疑行為的目的；③面對分布化的系統(tǒng)攻擊行為，能夠防御協(xié)同的攻擊行為；④能夠采用不同的檢測算法、進行協(xié)同處理來提高檢測準確性；⑤現(xiàn)在網(wǎng)絡的傳輸速度很快，面對蜂擁而至的數(shù)據(jù)包，通過分布化的處理數(shù)據(jù)包，有效控制了檢測瓶頸，防止了系統(tǒng)的漏測。

三、分布式入侵檢測系統(tǒng)的構(gòu)成及工作原理

（一）針對分布式入侵檢測系統(tǒng)的研究，可以從服務器端和客戶端兩個方面進行綜合考慮。它的構(gòu)成：在服務器端采用C/S結(jié)構(gòu)，對其進行正確配置后，能夠達到對局域網(wǎng)內(nèi)各個位置客戶機進行控制，實現(xiàn)對掃描、DoS、特洛伊木馬等攻擊進行有效檢測，達到加強網(wǎng)絡安全的目的。服務器端主要由以下3個模塊構(gòu)成：身份認證模塊、與客戶機通信模塊、全局策略設置模塊。身份認證模塊主要是對登錄管理端的管理員用戶進行一個身份認證，認證信息匹配則允許其對數(shù)據(jù)庫的操作。與客戶機通信模塊主要完成與客戶機的通信，與客戶端建立鏈接后，可以根據(jù)全局配置策略向客戶機下達命令。全局策略模塊主要是從控制臺進行整個系統(tǒng)的全局策略的設置。當客戶端發(fā)現(xiàn)入侵以后，馬上將入侵事件上報服務器端，同時也會發(fā)送郵件進行報警。這樣，從服務器端就可以對整個局域網(wǎng)絡進行一個實時監(jiān)控。

客戶端的設計分為捕包分析、系統(tǒng)進程、記錄日志、報警、與服務器端通信等幾個模塊。捕包分析模塊將捕獲的數(shù)據(jù)包交給包分析引擎，它將數(shù)據(jù)包初步解析成IP包和ARP包，然后將IP包進一步解析成TCP包、UDP包、ICMP包。然后將捕獲的數(shù)據(jù)包寫進一個隊列中，通過與入侵數(shù)據(jù)庫的特征相結(jié)合的辦法來檢測各類掃描攻擊和DoS攻擊。系統(tǒng)進程模塊通過Windows進程與端口的關聯(lián)，匹配系統(tǒng)正常進程數(shù)據(jù)庫，通過比較提取出系統(tǒng)可疑進程，然后匹配木馬常用端口數(shù)據(jù)庫，檢測木馬。記錄日志模塊主要是對將網(wǎng)卡設為混雜模式而捕獲的網(wǎng)絡數(shù)據(jù)包解析后寫入日志數(shù)據(jù)庫中。寫入日志記錄數(shù)據(jù)庫的數(shù)據(jù)，可以進一步為數(shù)據(jù)處理服務。報警模塊包括兩個方面，一是通過SMTP協(xié)議發(fā)送報警郵件到指定郵箱；二是將入侵事件寫入遠程服務器端數(shù)據(jù)庫。與服務器端通信模塊主要是與服務器端建立連接，相互之間通過消息進行通訊，發(fā)現(xiàn)入侵事件，寫入遠程服務器端數(shù)據(jù)庫。

（二）基于移動代理的分布式入侵檢測系統(tǒng)工作原理分析

1、多線程捕獲網(wǎng)絡數(shù)據(jù)包進行協(xié)議分析，匹配入侵特征庫檢測掃描攻擊、DoS攻擊。Winpcap為win32應用程序提供訪問網(wǎng)絡底層的能力，通過監(jiān)聽共享網(wǎng)絡上傳送的數(shù)據(jù)包，幫助以太網(wǎng)數(shù)據(jù)流監(jiān)視軟件功能的實現(xiàn)。但它不能用于QoS調(diào)度程序或個人防火墻，它能優(yōu)化處理數(shù)據(jù)包。在程序中建立一個公共的數(shù)據(jù)包緩沖池，這個緩沖池是一個LILO的隊列。于是在程序中使用3個線程進行操作：一個線程只進行捕獲操作；另一個線程只進行過濾操作，檢查其是否滿足過濾條件，如果不滿足則將其刪除出隊列；第3個線程進行數(shù)據(jù)包處理操作。

2、通過Windows系統(tǒng)進程與端口映射結(jié)合木馬端口庫來檢測特洛伊木馬。端口使用IP地址和端口作為套接字，定位主機中的進程，使得兩臺計算機能夠找到對方的進程進而進行通信。通過對Windows系統(tǒng)進程與端口的關聯(lián)映射，匹配系統(tǒng)正常進程的數(shù)據(jù)庫，通過比較，發(fā)現(xiàn)可疑進程后終止其運行，達到檢測木馬的目的。

3、檢測到入侵攻擊后報警。一方面向指定郵箱發(fā)送郵件；另一方面把檢測到的入侵信息寫入遠程服務器端數(shù)據(jù)庫。

4、主動連接服務器端。本系統(tǒng)客戶端參考特洛伊木馬中的“反彈連接”技術，把它應用到DIDS中，本系統(tǒng)客戶端一經(jīng)上線，馬上主動到指定郵箱讀取郵件，從郵件內(nèi)容獲得本系統(tǒng)管理端IP地址，進行主動連接，從而方便了服務器端管理。

根據(jù)數(shù)字化語音室信息系統(tǒng)的結(jié)構(gòu)特點、安全需求，以及系統(tǒng)中存在的安全風險，運用分布式入侵檢測系統(tǒng)的設計方案來確保數(shù)字化語音室信息系統(tǒng)安全，有效地阻止掃描攻擊、DoS攻擊。