徐翔俊（云南師范大學文理學院信息工程學院，昆明650222）

小型商貿企業(yè)層次化入侵檢測系統構建研究

徐翔俊
（云南師范大學文理學院信息工程學院，昆明650222）

隨著互聯網的迅猛發(fā)展，網絡安全形勢日益嚴峻。在廣泛采用的分布式應用環(huán)境中，以往簡單的部署入侵檢測已不能有效地保護企業(yè)的網絡安全。尤其在小型商務企業(yè)中，對網絡基礎設施的投入有限，管理和維護技術較為薄弱。針對小型商貿企業(yè)提出層次化入侵檢測系統的構建策略，并以實際案例進行構建，利用OPNETModeler進行的網絡仿真測試，驗證小型商貿企業(yè)層次化入侵檢測系統的可行性及其科學性。

網絡安全；入侵檢測系統；小型商貿企業(yè)；仿真測試

0　引言

目前，黑客經常利用網絡的開放性攻擊一些商務網站，導致一些企業(yè)的網站服務不能正常使用，貿易和商務交流無法正常進行，給企業(yè)造成較大損失。所以電子商務企業(yè)最關心網絡系統安全的問題，這除了與網絡固有的開放性、共享性特點有關外，還與企業(yè)對入侵檢測系統的部署的重視程度不高有關。目前，中小企業(yè)占我國企業(yè)總體85%左右，但由于技術和專業(yè)人員的匱乏，中小企業(yè)對網絡通常缺乏警惕性，對網絡安全疏于管理與維護，往往在受到攻擊造成損失后才會關注網絡安全及管理。

傳統的網絡安全技術如用戶授權與認證、訪問控制、數據加密、數據備份等已經不能滿足目前網絡安全的需要，為了保障網絡系統安全，必須構建完善的安全防護體系，進行多層次、多手段的檢測和防護。在網絡安全系統中，通過數據和行為模式來判斷其是否有效地入侵檢測系統，是簡單易實現的網絡安全系統，同時可以按照一定的安全策略建立相應的安全輔助系統。從目前高速發(fā)展的電子商務來看，入侵檢測系統還應具有識別入侵者和識別入侵行為、檢測和監(jiān)視已成功的突破、為對抗入侵及時提供重要信息等特點，同時需要在原有的基礎上增加對未知入侵行為的防御、對已知入侵行為的遏阻。

本文主要針對小型商務企業(yè)入侵檢測系統的構建進行探討和分析，以某文化傳播有限公司為實際案例對象，通過對入侵檢測技術的探討與研究部署，分析該公司現有的網絡環(huán)境與現有入侵檢測系統部署，在總結某文化傳播有限公司以往所受到攻擊的案例上得出現有入侵檢測系統的缺陷，對該公司現有的入侵檢測系統部署進行改進和總結經驗，為今后小型企業(yè)的網絡安全技術的開發(fā)和應用提供一定的參考。

1　構建小型商貿企業(yè)層次化入侵檢測系統的策略

1.1入侵檢測系統概述

入侵檢測系統（Intrusion Detection System，IDS），是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安全設備。而IDS在應對自身被攻擊時，對其他傳輸的檢測也會被抑制。目前常用的有基于主機的入侵檢測系統（Host-based IDS, HIDS）、基于網絡的入侵檢測系統（Network Based IDS, NIDS）和分布式入侵檢測系統（Distributed IDS,DIDS）。

HIDS比較適用于較小網絡規(guī)模且網絡之間沒有完全互聯的網絡環(huán)境，主要用于對運行關鍵應用程序的服務器的保護。通過監(jiān)控與分析主機的審計記錄和日志文件來檢測入侵。

NIDS采用原始的網絡數據包作為數據源并收集和實時分析整個網絡中流動的數據包，從而檢測是否存在入侵行為。主要通過將網卡設置為混雜模式以監(jiān)聽網絡上所有分組并收集數據，分析可疑行為，實時監(jiān)控網絡關鍵路徑的信息。NIDS通常部署在比較重要的網段內，對流經的每個數據包或可疑的數據包進行分析。

DIDS一般指部署在大規(guī)模網絡環(huán)境下的入侵檢測系統，用來檢測整個網絡環(huán)境的安全狀態(tài)，包括網絡本身和其中的主機系統?；竟δ転闄z測系統的I/O數據是否滿足安全策略、數據集中顯示與分析、全局預警機制、分布式的管理和維護。突出優(yōu)點為可以進行多點檢測克服了普通入侵檢測系統只能檢測單一的網絡出入口的弱點，同時可以將日志進行統一管理、統一分析，更易于分析網絡中存在的安全事件。因此，分布式入侵檢測系統的全局與預警機制可以保證各個控制中心較好地協同工作，一旦某點發(fā)現異常，全網戒備，有效地阻斷網絡攻擊事件。

1.2小型商貿企業(yè)層次化入侵檢測系統的構建策略

無論是基于主機還是基于網絡的入侵檢測系統，其功能都集中單一，難以滿足現代商貿企業(yè)的需求，而分布式功能雖然強大，對于大多數中小型商貿企業(yè)來說系統投入過大。本文研究重點為如何根據小型商貿公司實際網絡狀況、業(yè)務需求和發(fā)展方向后，結合以上的IDS系統各取所長，構建滿足企業(yè)需求的綜合性的層次化入侵檢測系統來保障企業(yè)的網絡系統安全。本文基于對某文化傳播有限公司進行層次化入侵檢測系統的構建分析，提出構建小型商貿企業(yè)層次化入侵檢測系統的策略如下：

（1）自頂向下層次化調整或重新構建企業(yè)網絡結構，可以方便實現有效的網絡管理，便于網絡維護，為構建層次化入侵檢測系統奠定網絡基礎；

（2）增加核心路由器的管理服務器，同時設置Snort監(jiān)測點對主干網絡的數據進行入侵檢測，利用管理服務器對Snort監(jiān)測點的反饋信息進行及時響應和處理；

（3）把網絡劃分為若干子網，每個子網設置獨立的網絡防火墻，增加配套的網絡管理服務器和Snort監(jiān)測點。這樣不但可以有效地對企業(yè)內網進行規(guī)劃，合理分配企業(yè)網絡的內網資源，高效進行內網管理，還可以通過檢測子網數據，有效防止企業(yè)網絡內部的相互攻擊，有效提高入侵檢測的效能；

（4）子網管理服務器和核心管理服務器之間利用管理軟件，構建入侵檢測反饋響應機制，定期進行日志信息的交流，更新核心路由器路由規(guī)則，以及防火墻的檢測規(guī)則。

2　小型商貿企業(yè)層次化入侵檢測系統的構建

為了探討小型商貿企業(yè)層次化入侵檢測系統的構建方法，闡述實施小型商貿企業(yè)層次化入侵檢測系統的策略，本文以某文化傳播有限公司為例進行分析和探討其層次化入侵檢測系統的構建。

某文化傳播有限公司是一家以自由創(chuàng)新為核心理念的動漫制作發(fā)行及廣告設計代理的綜合性公司。公司原有的入侵檢測部署拓撲圖如圖1所示，網絡總體采用分布式拓撲結構，與Modem相連的中心控制臺、內網防火墻和DMZ防火墻構成三個中心節(jié)點。中心控制臺位于外網，監(jiān)控整個網絡的流量通信狀況。內網防火墻負責保護公司日常工作業(yè)務的安全，內外都部署有Snort傳感器進行實時流量分析并協助中心控制臺的監(jiān)控，DMZ防火墻主要是對進入服務器群的訪問流量進行監(jiān)控，由于服務器只提供訪問業(yè)務，結合防火墻的安全策略和Snort輔助監(jiān)控。

利用小型商貿企業(yè)層次化入侵檢測系統的策略，對某文化傳播有限公司的入侵檢測進行層次化入侵檢測系統構建，提出基于Snort的IDS層次化部署如下圖2所示。

新構建的公司局域網采用的是層次化構建方式，對IDS的部署有很好的借鑒作用。由于公司網絡擴展后網絡寬帶和網絡流量會日益加重，傳統的IDS在處理這種高速網絡數據時，往往出現丟包率過大，誤報率高等特點，同時大量的報警信息處理工作也會給網絡管理人員帶來很多麻煩，于是提出分布式層次化的IDS布局，因此公司的IDS點的部署也采用分布式層次化的部署方案，其中主中心控制臺上（CT1）IDS點的部署對Snort的安裝為內嵌模式，但不作為正常的網橋使用，不提供數據包轉發(fā)功能，類似于網卡的混雜模式的工作方式，即過濾經過Router的異常數據。

圖1　某文化傳播有限公司原有的入侵檢測系統布置示意圖

圖2　某文化傳播有限公司基于Snort的IDS層次化部署

具體的部署分析：IDS是基于Snort的部署，整個網絡主要分為基于主機的IDS部署和基于網絡IDS部署。局域網的層次化主要體現在自上而下的結構布置：中心路由器Router負載整個公司網絡數據進出的調度。中心控制臺（CT1）與之相連，中心控制臺區(qū)域部署主機IDS和網絡IDS，擔負整個網絡和路由器的負載的數據量的收集和分析。往下是兩子網防火墻，防火墻外部都部署IDS，兩子控制臺CT2和CT3分別和各自相鄰的防火墻連接，分別監(jiān)控各自防火墻的狀態(tài)及下屬子網內部網絡狀態(tài)。每個IDS監(jiān)測點除了負責各自網段的監(jiān)控任務外還對捕獲的異常信息反饋給中心控制臺（CT1），中心控制臺根據收到的異常信息類型指派監(jiān)測點采取相應的措施。

3　仿真測試驗證及數據分析

為了驗證針對某文化傳播有限公司構建的層次化入侵檢測系統的網絡性能，本文簡化了網絡拓撲結構，利用仿真實驗使用的OPNETModeler 14.5，通過一個簡化后的網絡拓撲結構圖來進行測試整個以太網的流量信息，主要針對網絡延遲、網絡中心路由器Router的性能、服務器群的網絡性能、數據庫服務器性能等方面進行仿真測試。

（1）網絡延時

圖3的上圖為原有網絡延時，下圖為進行層次化入侵檢測系統構建后的網絡延時。從圖中可以看出，整個網絡的延時高峰時達到0.4微秒，構建后的網絡延時只是接近0.4微秒，網絡延時的突發(fā)性和整個網絡的延時有所降低。雖然網絡進行了新的層次化入侵檢測系統構建，在用戶數量級訪問量增加的情況下，網絡延時并沒有的增加。因此，進行層次化入侵檢測系統構建后的網絡擴展性能依然保持良好，可以提供穩(wěn)定的網絡性能。

圖3　網絡構建前后的延時曲線

（2）網絡中心路由器Router的性能

圖4和圖5的上圖為原有網絡延時，下圖為進行層次化入侵檢測系統構建后的網絡延時。從圖中可以看出，構建后的網絡結構及更換高性能的路由器后，網絡擁擠情況明顯減少，擴展后網絡中對擁擠數據包的接受處理速度接近于零，處理擁擠數據包的效率提高很大，使得發(fā)送擁擠數據包的速度更平穩(wěn)，對路由器負擔減少，增強了網絡對數據處理的能力，提高了網絡的可靠性。

（3）服務器群的網絡性能

圖6為原有ServerGroup負載測試數據線，圖7為構建后ServerGroup負載測試數據線走勢圖。從圖可以看出，構建后的整個ServerGroup領域的數據承載量的峰值和穩(wěn)定下來后的均值都有很大的增加，這和公司實際業(yè)務的增加有關，同時也是增加了一定的網絡監(jiān)測和控制點后，網絡負載會有一定的增加。同時也說明網絡安全保障是以增加網絡負載為代價的。

圖4　Router接收Traffic數據包對比圖

圖5　Router發(fā)送Traffic數據包對比圖

圖6　原ServerGroup網絡負載圖

圖7　構建后ServerGroup網絡負載圖

（4）數據庫服務器性能

本文采集的服務器的運行性能是Probability Density數據，反映的是服務器處理數據量的幾率分布及數據庫整體承受最大的數據訪問量的分布。

圖8　構建前后數據庫服務器性能對比圖

圖8中上下曲線分別為構建前后服務器運行性能的Probability Density曲線圖。從圖中可以很容易地看出，構建后的Probability Density曲線波動比構建前的大，原有的Database服務器所承受數據訪問量最大值剛好超過100,000kpbs,而構建后服務器承受最大的數據訪問量可達到1,400,00kbps，這與公司整體業(yè)務工作量的增加相關，雖然峰值數據訪問量增加，但是服務器整體處理數據的時間減少。在公司服務器群負載量增加的情況下服務器的綜合性能表現得更好，并未出現由于公司業(yè)務的增加而有所下降的情況。

4　結語

通過利用OPNET仿真軟件對某文化傳播有限公司構建的層次化入侵檢測系統前后的網絡性能進行仿真測試，從網絡延遲、網絡中心路由器Router的性能、服務器群的網絡性能、數據庫服務器性能等方面的測試數據可以看出，層次化入侵檢測系統增加的網絡負載由于使用了層次化的合理規(guī)劃而沒有出現劇增情況，增加的網絡負載可以通過改善網絡設備的性能來消化。而層次化的構建方便網絡監(jiān)測和管理、維護，較大提高入侵檢測系統的監(jiān)測和預警處理性能，同時增加的網絡構建成本主要為網絡層次化構建及網絡主要設備的性能升級更換，這就極大降低了安全構建的成本。因此，本文提出的小型商貿企業(yè)層次化入侵檢測系統的構建策略是可行的，可為今后相關的中小型企業(yè)構建入侵檢測系統提供參考依據。

[1]駱珍，裴昌幸，朱暢華等.DDoS攻擊的技術分析與防御策略[M].電子科技出版社，2006（12）:74～78

[2]董曉梅,于戈等.分布式入侵檢測與響應協作模型研究[J].計算機工程，2006(6):151～153

[3]胡昌振.網絡入侵檢測原理與技術(第2版),北京理工大學出版社,2010-06-01.96～108

[4]許佳，馮登國，蘇璞睿.基于動態(tài)對等網層次結構的網絡預警模型研究[J].計算機研究與發(fā)展,2010，47(9):42～45

[5]陳敏.OPNET網絡仿真[M].北京：清華大學出版社,2004:24～42

Network Security;Intrusion Detection System;Small Business Enterprises;Simulation Test

Research on the Building of Hierarchical Intrusion Detection System of Small Business Enterprise

XU Xiang-jun
（Institute of Information Engineering,College of Arts and Sciences,Yunnan Normal University，Kunming 650222）

With the rapid development of Internet,network security is becomingmore and more serious.In the environment of widely adopted of distributed application,the past simple deploying intrusion detection can not effectively protect the enterprise network security.Especially in the small business enterprise,the investment in network infrastructure is limited,management and maintenance technology isweak. In view of the small business enterprise,puts forward the construction strategy of hierarchical intrusion detection system,and with the actual case to build,uses OPNETModeler network simulation to test,verifies the feasibility of the small business enterprise hierarchical intrusion detection system and its scientific nature.Provides a reference for future research.

1007-1423（2015）15-0044-05

10.3969/j.issn.1007-1423.2015.15.012

徐翔?。?972-），男，云南昆明人，碩士，講師，研究方向為通信與信息工程、計算機教育研究、學生創(chuàng)新創(chuàng)業(yè)研究等

2015-04-16

2015-05-07