◆涂宇飛 金柏杉

(成都雙流機(jī)場股份有限公司 四川 610202）

機(jī)場入侵檢測與計(jì)算機(jī)網(wǎng)絡(luò)安全問題的探討

◆涂宇飛 金柏杉

(成都雙流機(jī)場股份有限公司 四川 610202）

隨著我國機(jī)場建設(shè)步伐的加快，對機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)安全提出更高的要求。然而從當(dāng)前機(jī)場機(jī)場網(wǎng)絡(luò)安全情況看，仍存在網(wǎng)絡(luò)入侵問題，極大程度上威脅機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)的整體安全，甚至影響機(jī)場其他方面的運(yùn)維管理。對此情況，便考慮引入入侵檢測技術(shù)，將其融入機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，保證系統(tǒng)安全可靠運(yùn)行。本次研究將對計(jì)算機(jī)入侵檢測技術(shù)做簡單介紹，并結(jié)合當(dāng)前機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)常見的入侵方式，提出如何在機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)安全中應(yīng)用入侵檢測技術(shù)。

機(jī)場；計(jì)算機(jī)網(wǎng)絡(luò)安全；入侵檢測技術(shù)

0 前言

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展背景下，為機(jī)場的整體運(yùn)維管理提供極大便利。但值得注意的是，由于網(wǎng)絡(luò)環(huán)境本身有開放性特點(diǎn)，加之黑客技術(shù)的不斷發(fā)展，導(dǎo)致許多門戶網(wǎng)站面臨網(wǎng)絡(luò)入侵問題。以機(jī)場應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等為例，并未真正實(shí)現(xiàn)與內(nèi)部網(wǎng)的物理隔絕，可能出現(xiàn)內(nèi)部攻擊或信息竊取等情況，影響機(jī)場的整體安全管理工作，如何解決機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)安全問題成為當(dāng)下機(jī)場建設(shè)中需考慮的主要內(nèi)容。因此，本文對機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)安全問題與入侵檢測技術(shù)的應(yīng)用研究，具有十分重要的意義。

1 入侵檢測技術(shù)相關(guān)概述

關(guān)于入侵檢測，其主要指在收集計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)信息或文件的基礎(chǔ)上加以分析，判斷是否有被攻擊現(xiàn)象或與安全策略背離行為，若存在影像系統(tǒng)可用性、完整性與機(jī)密性行為，及時做報警與阻斷處理。對于入侵檢測中的分析技術(shù)，一般可細(xì)化為完整性分析、異常檢測與模式匹配等方法。以完整性分析為例，運(yùn)用中強(qiáng)調(diào)對網(wǎng)絡(luò)內(nèi)文件屬性、文件目錄與文件內(nèi)容分析，是否存在被更改情況。而異常檢測方法，主要在收集某一段網(wǎng)絡(luò)操作或網(wǎng)絡(luò)內(nèi)的歷史數(shù)據(jù)，進(jìn)行“活動簡報”的構(gòu)建，然后與當(dāng)前網(wǎng)絡(luò)活動狀況對比，分析是否有偏離正常行為模式情況，得到入侵檢測分析結(jié)果。另外，對于地模式匹配，實(shí)現(xiàn)機(jī)理表現(xiàn)為對網(wǎng)絡(luò)中的數(shù)據(jù)包檢測，分析可以數(shù)據(jù)包以及其中的字節(jié)，可有效檢測攻擊特征。若從機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)安全角度出發(fā)，將入侵檢測技術(shù)應(yīng)用，主要以主機(jī)系統(tǒng)檢測、網(wǎng)絡(luò)檢測兩種方式為主。其中在主機(jī)系統(tǒng)檢測中，強(qiáng)調(diào)對操作系統(tǒng)、應(yīng)用程序等事件日志分析，且選擇其他如端口調(diào)用、系統(tǒng)調(diào)用等記錄為依據(jù)，在此基礎(chǔ)上與數(shù)據(jù)庫中數(shù)據(jù)對比，判斷有無攻擊情況。而另外一種網(wǎng)絡(luò)入侵檢測，則需在掃描網(wǎng)絡(luò)后做可疑分組，根據(jù)數(shù)據(jù)庫內(nèi)已知的有攻擊特征數(shù)據(jù)，分析可疑分組中數(shù)據(jù)信息的異常。將這種入侵檢測技術(shù)引入機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)安全管理中，能夠及時發(fā)現(xiàn)入侵攻擊行為，對保證機(jī)場計(jì)算機(jī)系統(tǒng)穩(wěn)定可靠運(yùn)行可發(fā)揮重要作用[1]。

2 機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)入侵方式分析

所謂網(wǎng)絡(luò)入侵，實(shí)質(zhì)為利用某種可調(diào)試、編寫計(jì)算機(jī)程序的技巧，對網(wǎng)絡(luò)文件或信息數(shù)據(jù)等進(jìn)行非法獲取，這種入侵內(nèi)部網(wǎng)的行為便稱之為網(wǎng)絡(luò)入侵。從近年來機(jī)場信息化建設(shè)看，取得較多成就，在計(jì)算機(jī)系統(tǒng)建設(shè)上逐漸成熟，但網(wǎng)絡(luò)入侵問題仍屢見不鮮，不僅影響計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行，更影響機(jī)場其他管理工作，如調(diào)度、指揮等。從當(dāng)前機(jī)場計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)入侵的常見方式看，主要表現(xiàn)為以下幾方面：

（1）病毒攻擊。該供給方式主要表現(xiàn)為通過復(fù)制計(jì)算機(jī)程序，對特定系統(tǒng)資源目標(biāo)進(jìn)行破壞，如FPT文件下載、WWW瀏覽與電子郵件等，均是病毒攻擊的主要目標(biāo)，這種病毒有明顯的潛伏性、繁殖性、隱蔽性與傳染性等特點(diǎn)。

（2）身份攻擊。對于機(jī)場計(jì)算機(jī)系統(tǒng)，登錄中要求確定用戶身份，有具體的訪問權(quán)限。而身份攻擊方式則針對這種情況選擇漏洞攻擊、口令攻擊或信息收集攻擊等方式，獲取用戶帳號，在此基礎(chǔ)上非法收集與篡改主機(jī)系統(tǒng)中價值信息[2]。

（3）防火墻攻擊。盡管機(jī)場計(jì)算機(jī)系統(tǒng)均設(shè)置防火墻，對防止網(wǎng)絡(luò)入侵可起到一定的作用，但由于防火墻設(shè)計(jì)本身有一定的缺陷，加之網(wǎng)絡(luò)攻擊技術(shù)的不斷發(fā)展，更易出現(xiàn)對防火墻攻擊行為，如為解決防火墻認(rèn)證問題，借助FTP-pasv繞過實(shí)現(xiàn)攻擊，或采取TCP序號協(xié)同攻擊方法等，這些均為機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)安全帶來較大威脅。

（4）拒絕服務(wù)攻擊。該入侵模式亦被稱之為 DoS，主要指以報文形式向網(wǎng)絡(luò)系統(tǒng)中發(fā)送，使整個網(wǎng)絡(luò)服務(wù)器內(nèi)有過多信息充斥，消耗過多網(wǎng)絡(luò)帶寬與系統(tǒng)資源，最終出現(xiàn)系統(tǒng)高負(fù)荷運(yùn)轉(zhuǎn)甚至癱瘓，有無響應(yīng)、死機(jī)等表現(xiàn)[3]。

3 機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)安全問題解決中入侵檢測技術(shù)的應(yīng)用分析

本次研究中主要結(jié)合當(dāng)前機(jī)場計(jì)算機(jī)系統(tǒng)的安全情況，提出網(wǎng)絡(luò)入侵檢測系統(tǒng)的構(gòu)建，具體構(gòu)建中主要考慮引入入侵檢測系統(tǒng)IDS的，其由多層體系結(jié)構(gòu)構(gòu)成，包含Manager、Console、Agent等部分，其中用于信息收集與顯示的為 Console，而對各網(wǎng)段網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)視則通過Agent實(shí)現(xiàn)，最后由Manager做報警、日志的統(tǒng)一管理。將該系統(tǒng)應(yīng)用于機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)安全管理中，實(shí)現(xiàn)內(nèi)容如下幾方面。

3.1 機(jī)場網(wǎng)絡(luò)安全信息收集

信息收集是機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)入侵檢測的基本前提。而信息收集過程實(shí)質(zhì)為對數(shù)據(jù)源的獲取，這種數(shù)據(jù)源可細(xì)化為四種類型，如物理形式入侵信息、程序執(zhí)行行為、目錄與文件變化、系統(tǒng)與網(wǎng)絡(luò)日志文件等。具體收集中，要求將一個或多個IDS代理部署于各網(wǎng)段內(nèi)，或直接將IDS系統(tǒng)與交換機(jī)核心芯片處的調(diào)試端口進(jìn)行連接，這樣便可獲取數(shù)據(jù)流。另外，收集入侵檢測信息中，需著重分析多個來源不一致的對象，標(biāo)識為入侵或可疑行為。事實(shí)上，對于機(jī)場整個計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，一旦有入侵行為出現(xiàn)，系統(tǒng)中便會有異常數(shù)據(jù)，這些數(shù)據(jù)本身與系統(tǒng)原有的數(shù)據(jù)不同，所以信息收集中應(yīng)考慮對這部分?jǐn)?shù)據(jù)孤立，以此形成數(shù)據(jù)群，這樣可有針對性的做入侵分析。因此，當(dāng)前機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)構(gòu)建中，在信息收集方面可選用基于孤立點(diǎn)挖掘方法。

3.2 網(wǎng)絡(luò)安全信息分析與響應(yīng)

在系統(tǒng)完成信息收集后，便需做信息的分析。分析中可用的手段主要以異常發(fā)現(xiàn)、模式匹配等為主，能夠?qū)εc安全策略相悖的行為發(fā)現(xiàn)，然后向管理器發(fā)送。需注意的是，系統(tǒng)設(shè)計(jì)中，要求設(shè)計(jì)人員充分認(rèn)識系統(tǒng)漏洞、異常行為與各種網(wǎng)絡(luò)協(xié)議，能夠根據(jù)可能出現(xiàn)的入侵行為制定針對性的安全策略，構(gòu)建異常檢測模型，使系統(tǒng)能夠自動實(shí)現(xiàn)異常行為的辨別分析。對于機(jī)場計(jì)算機(jī)系統(tǒng)，目前常用的入侵檢測手段以網(wǎng)絡(luò)探測引擎為主，其與傳感器功能相似，通過旁路偵聽模式，對網(wǎng)絡(luò)中所有數(shù)據(jù)包進(jìn)行動態(tài)監(jiān)視，識別異常行為。另外，本次研究中所提及的IDS，其可對入侵行為給予響應(yīng)，如利用網(wǎng)絡(luò)引擎發(fā)出告警，或以 SNMP trap、E-mail等形式告知控制臺或管理員，以此達(dá)到及時發(fā)現(xiàn)異常信息、及時處理的目的。

3.3 防火墻技術(shù)的配合應(yīng)用

作為計(jì)算機(jī)系統(tǒng)中常用的安全機(jī)制，防火墻應(yīng)用下側(cè)重于對網(wǎng)絡(luò)層、應(yīng)用層訪問控制，一般難以有效監(jiān)控內(nèi)部網(wǎng)絡(luò)。對此，考慮機(jī)場計(jì)算機(jī)系統(tǒng)設(shè)計(jì)中，將防火墻、入侵檢測技術(shù)聯(lián)合應(yīng)用，如入侵檢測系統(tǒng)或防火墻設(shè)置一個可用于對方使用的接口，雙方之間構(gòu)建固定的通信協(xié)議，可共同發(fā)揮入侵檢測作用?？紤]到部分非授權(quán)行為可能繞過防火墻入侵，此時需利用入侵檢測系統(tǒng)對該類行為判斷并給出響應(yīng)，及時做入侵行為應(yīng)對處理[4]。

4 結(jié)論

計(jì)算機(jī)網(wǎng)絡(luò)安全問題是當(dāng)前機(jī)場計(jì)算機(jī)系統(tǒng)建設(shè)中需考慮的主要內(nèi)容。從當(dāng)前機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)入侵行為看，包含較多方式，如病毒攻擊、身份攻擊、防火墻攻擊以及拒絕服務(wù)攻擊等，需行之有效的入侵檢測技術(shù)，主要通過入侵檢測系統(tǒng)的設(shè)計(jì)，完成信息的收集、分析與處理，并注意與防火墻技術(shù)的配合，以此提高機(jī)場計(jì)算機(jī)網(wǎng)絡(luò)安全性。

[1] 吳卉男．計(jì)算機(jī)網(wǎng)絡(luò)安全中入侵檢測系統(tǒng)的研究與設(shè)計(jì)[J]．通訊世界，2016．

[2] 宋焱宏．探討計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測應(yīng)用免疫機(jī)制的效果[J]．電腦知識與技術(shù)，2015．

[3] 李文強(qiáng)．計(jì)算機(jī)網(wǎng)絡(luò)安全中入侵檢測技術(shù)應(yīng)用分析[J]．電腦編程技巧與維護(hù)，2016．

[4] 唐君，楊云．基于多模式匹配算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測研究[J]．科技通報，2014．