□文/馮 雪 陳連安

（河北金融學(xué)院 河北·保定）

前言

隨著計算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)安全問題也日益嚴(yán)重，單一的集中式的入侵檢測系統(tǒng)已不能滿足網(wǎng)絡(luò)安全發(fā)展的需要，分布式入侵檢測系統(tǒng)應(yīng)運而生。通過管理端對局域網(wǎng)絡(luò)各個位置的Agent客戶端進(jìn)行統(tǒng)一部署策略和實時監(jiān)控，加強(qiáng)了網(wǎng)絡(luò)的安全。由于數(shù)字化語音室信息系統(tǒng)具有Web訪問的功能，容易被攻擊。在數(shù)字化語音室信息系統(tǒng)的安全防御體系中，數(shù)據(jù)保密、數(shù)據(jù)完整性、訪問控制、系統(tǒng)認(rèn)證等安全功能，如果只是依賴一種網(wǎng)絡(luò)安全產(chǎn)品和信息安全技術(shù)是不可能實現(xiàn)的?？梢岳媚切┬畔踩男庐a(chǎn)品和技術(shù)，如針對網(wǎng)絡(luò)的網(wǎng)絡(luò)審計系統(tǒng)、動態(tài)防御的入侵檢測系統(tǒng)、靜態(tài)防御的防火墻等，對那些重要的安全部件進(jìn)行有效的結(jié)合和聯(lián)動，這樣可以滿足網(wǎng)絡(luò)安全領(lǐng)域研究的需要，也是實現(xiàn)系統(tǒng)安全管理的需要。而建立一個智能化的實時入侵識別和響應(yīng)系統(tǒng)，能在網(wǎng)絡(luò)環(huán)境下實現(xiàn)實時的入侵檢測，全面檢測可能的入侵行為，發(fā)現(xiàn)入侵時，及時阻斷入侵行為，就顯得尤為重要。

一、數(shù)字化語音室的特點及遇到的威脅

數(shù)字化語音室采用了TCP/IP網(wǎng)絡(luò)協(xié)議，通過數(shù)字控制信號控制數(shù)字文本信號、聲音信號、圖像信號來實現(xiàn)課堂教學(xué)、獨立學(xué)習(xí)、網(wǎng)絡(luò)化考試功能，可進(jìn)行文字、語音視頻輸入，VOD、AOD點播等教學(xué)功能。按其系統(tǒng)結(jié)構(gòu)分為三大部分：服務(wù)器控制系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)傳輸系統(tǒng)、用戶語音終端系統(tǒng)。按其網(wǎng)絡(luò)結(jié)構(gòu)可以把數(shù)字化語音室信息系統(tǒng)劃分為兩個大類：第一類是以太網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)數(shù)字化網(wǎng)絡(luò)語音室；第二類是以太網(wǎng)和互聯(lián)網(wǎng)混合結(jié)構(gòu)的語音室。數(shù)字化語音室信息系統(tǒng)以計算機(jī)網(wǎng)絡(luò)為主體，采用TCP/IP網(wǎng)絡(luò)協(xié)議，利用流媒體技術(shù)，通過數(shù)字控制信號控制，使顯示部分和聲音部分以數(shù)字信號形式在以太計算機(jī)網(wǎng)絡(luò)內(nèi)進(jìn)行傳輸。從網(wǎng)絡(luò)安全環(huán)境平臺和安全業(yè)務(wù)這兩方面進(jìn)行考慮，由于數(shù)字化語音室信息系統(tǒng)的具有Web訪問的功能，所以容易被攻擊，如何在發(fā)現(xiàn)入侵時，阻斷入侵行為顯得尤為重要。這就需要我們借助通過分布式入侵檢測系統(tǒng)保證網(wǎng)絡(luò)安全。

二、分布式入侵檢測系統(tǒng)的優(yōu)勢

入侵檢測系統(tǒng)分為3種：主機(jī)型、網(wǎng)絡(luò)型、分布式入侵檢測系統(tǒng)，針對入侵檢測系統(tǒng)無法同時對付來自網(wǎng)絡(luò)內(nèi)部或網(wǎng)絡(luò)外部的攻擊，分布式的入侵檢測系統(tǒng)逐步取代了集中式的入侵檢測系統(tǒng)。它的優(yōu)勢體現(xiàn)在以下幾個方面：①分布式的入侵檢測系統(tǒng)能夠在較大的范圍內(nèi)進(jìn)行檢測；②能夠通過對系統(tǒng)日志、記錄進(jìn)行實時的監(jiān)控達(dá)到檢測可疑行為的目的；③面對分布化的系統(tǒng)攻擊行為，能夠防御協(xié)同的攻擊行為；④能夠采用不同的檢測算法、進(jìn)行協(xié)同處理來提高檢測準(zhǔn)確性；⑤現(xiàn)在網(wǎng)絡(luò)的傳輸速度很快，面對蜂擁而至的數(shù)據(jù)包，通過分布化的處理數(shù)據(jù)包，有效控制了檢測瓶頸，防止了系統(tǒng)的漏測。

三、分布式入侵檢測系統(tǒng)的構(gòu)成及工作原理

（一）針對分布式入侵檢測系統(tǒng)的研究，可以從服務(wù)器端和客戶端兩個方面進(jìn)行綜合考慮。它的構(gòu)成：在服務(wù)器端采用C/S結(jié)構(gòu)，對其進(jìn)行正確配置后，能夠達(dá)到對局域網(wǎng)內(nèi)各個位置客戶機(jī)進(jìn)行控制，實現(xiàn)對掃描、DoS、特洛伊木馬等攻擊進(jìn)行有效檢測，達(dá)到加強(qiáng)網(wǎng)絡(luò)安全的目的。服務(wù)器端主要由以下3個模塊構(gòu)成：身份認(rèn)證模塊、與客戶機(jī)通信模塊、全局策略設(shè)置模塊。身份認(rèn)證模塊主要是對登錄管理端的管理員用戶進(jìn)行一個身份認(rèn)證，認(rèn)證信息匹配則允許其對數(shù)據(jù)庫的操作。與客戶機(jī)通信模塊主要完成與客戶機(jī)的通信，與客戶端建立鏈接后，可以根據(jù)全局配置策略向客戶機(jī)下達(dá)命令。全局策略模塊主要是從控制臺進(jìn)行整個系統(tǒng)的全局策略的設(shè)置。當(dāng)客戶端發(fā)現(xiàn)入侵以后，馬上將入侵事件上報服務(wù)器端，同時也會發(fā)送郵件進(jìn)行報警。這樣，從服務(wù)器端就可以對整個局域網(wǎng)絡(luò)進(jìn)行一個實時監(jiān)控。

客戶端的設(shè)計分為捕包分析、系統(tǒng)進(jìn)程、記錄日志、報警、與服務(wù)器端通信等幾個模塊。捕包分析模塊將捕獲的數(shù)據(jù)包交給包分析引擎，它將數(shù)據(jù)包初步解析成IP包和ARP包，然后將IP包進(jìn)一步解析成TCP包、UDP包、ICMP包。然后將捕獲的數(shù)據(jù)包寫進(jìn)一個隊列中，通過與入侵?jǐn)?shù)據(jù)庫的特征相結(jié)合的辦法來檢測各類掃描攻擊和DoS攻擊。系統(tǒng)進(jìn)程模塊通過Windows進(jìn)程與端口的關(guān)聯(lián)，匹配系統(tǒng)正常進(jìn)程數(shù)據(jù)庫，通過比較提取出系統(tǒng)可疑進(jìn)程，然后匹配木馬常用端口數(shù)據(jù)庫，檢測木馬。記錄日志模塊主要是對將網(wǎng)卡設(shè)為混雜模式而捕獲的網(wǎng)絡(luò)數(shù)據(jù)包解析后寫入日志數(shù)據(jù)庫中。寫入日志記錄數(shù)據(jù)庫的數(shù)據(jù)，可以進(jìn)一步為數(shù)據(jù)處理服務(wù)。報警模塊包括兩個方面，一是通過SMTP協(xié)議發(fā)送報警郵件到指定郵箱；二是將入侵事件寫入遠(yuǎn)程服務(wù)器端數(shù)據(jù)庫。與服務(wù)器端通信模塊主要是與服務(wù)器端建立連接，相互之間通過消息進(jìn)行通訊，發(fā)現(xiàn)入侵事件，寫入遠(yuǎn)程服務(wù)器端數(shù)據(jù)庫。

（二）基于移動代理的分布式入侵檢測系統(tǒng)工作原理分析

1、多線程捕獲網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行協(xié)議分析，匹配入侵特征庫檢測掃描攻擊、DoS攻擊。Winpcap為win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力，通過監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)包，幫助以太網(wǎng)數(shù)據(jù)流監(jiān)視軟件功能的實現(xiàn)。但它不能用于QoS調(diào)度程序或個人防火墻，它能優(yōu)化處理數(shù)據(jù)包。在程序中建立一個公共的數(shù)據(jù)包緩沖池，這個緩沖池是一個LILO的隊列。于是在程序中使用3個線程進(jìn)行操作：一個線程只進(jìn)行捕獲操作；另一個線程只進(jìn)行過濾操作，檢查其是否滿足過濾條件，如果不滿足則將其刪除出隊列；第3個線程進(jìn)行數(shù)據(jù)包處理操作。

2、通過Windows系統(tǒng)進(jìn)程與端口映射結(jié)合木馬端口庫來檢測特洛伊木馬。端口使用IP地址和端口作為套接字，定位主機(jī)中的進(jìn)程，使得兩臺計算機(jī)能夠找到對方的進(jìn)程進(jìn)而進(jìn)行通信。通過對Windows系統(tǒng)進(jìn)程與端口的關(guān)聯(lián)映射，匹配系統(tǒng)正常進(jìn)程的數(shù)據(jù)庫，通過比較，發(fā)現(xiàn)可疑進(jìn)程后終止其運行，達(dá)到檢測木馬的目的。

3、檢測到入侵攻擊后報警。一方面向指定郵箱發(fā)送郵件；另一方面把檢測到的入侵信息寫入遠(yuǎn)程服務(wù)器端數(shù)據(jù)庫。

4、主動連接服務(wù)器端。本系統(tǒng)客戶端參考特洛伊木馬中的“反彈連接”技術(shù)，把它應(yīng)用到DIDS中，本系統(tǒng)客戶端一經(jīng)上線，馬上主動到指定郵箱讀取郵件，從郵件內(nèi)容獲得本系統(tǒng)管理端IP地址，進(jìn)行主動連接，從而方便了服務(wù)器端管理。

根據(jù)數(shù)字化語音室信息系統(tǒng)的結(jié)構(gòu)特點、安全需求，以及系統(tǒng)中存在的安全風(fēng)險，運用分布式入侵檢測系統(tǒng)的設(shè)計方案來確保數(shù)字化語音室信息系統(tǒng)安全，有效地阻止掃描攻擊、DoS攻擊。