馬佳立

（榆林學院陜西榆林719000）

在現(xiàn)代圖書館信息化建設(shè)不斷深入的過程中，人們也將眼光放到了圖書館網(wǎng)絡(luò)安全事態(tài)方面，圖書館網(wǎng)絡(luò)保護網(wǎng)絡(luò)的發(fā)展能夠使圖書館工作正常的開展，其不僅能夠?qū)D書館中核心數(shù)據(jù)及資源安全性進行保證，還能夠有效保證圖書館對公眾和教學、科研提供可靠的信息服務。在實現(xiàn)圖書館網(wǎng)絡(luò)圖侵檢測系統(tǒng)的設(shè)計過程中，占據(jù)主要地位的就是防火墻系統(tǒng)、防治網(wǎng)絡(luò)病毒及入侵檢測系統(tǒng)，等多種網(wǎng)絡(luò)安全基礎(chǔ)。防火墻具有較為強大的功能，但是其對于內(nèi)部主機之間的攻擊行為和網(wǎng)絡(luò)內(nèi)部主動連接無法進行有效的阻止。除了防火墻，第二道網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)指的就是入侵檢測系統(tǒng)，其能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的外部、內(nèi)部及錯誤操作等事件的處理。圖書館屬于公共信息集散地，其更多的是使用網(wǎng)絡(luò)技術(shù)為大眾提供文獻及信息等服務，以此就表示了網(wǎng)絡(luò)安全在圖書館安全管理工作中的重要性，并且網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計也是保證網(wǎng)絡(luò)安全管理工作的主要技術(shù)保障?；诖?，本文就針對圖書館，實現(xiàn)了網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計。

1 圖書館網(wǎng)絡(luò)入侵系統(tǒng)的功能

目前，各個院校都已經(jīng)創(chuàng)建了滿足自身需求的校園網(wǎng)絡(luò)，并且校園網(wǎng)絡(luò)也被不斷的普及，為學校校園管理及教學、學生的學習及日常生活帶來了方便[1]。圖書館是校園網(wǎng)絡(luò)中尤為重要的組成部分，其支撐著全校教學及科研工作的主要責任，但是在校園網(wǎng)絡(luò)安全中并不是絕對安全的，最開始的黑客就是在校園網(wǎng)絡(luò)中逐漸成長。一般的入侵檢測系統(tǒng)只能夠單一或者一組用戶行為，通過微觀的角度對入侵事件進行檢測，并沒有從宏觀的角度對拒絕服務攻擊導致的網(wǎng)絡(luò)流量異常實現(xiàn)分析，本文所設(shè)計的系統(tǒng)就是從拒絕服務攻擊導致的網(wǎng)絡(luò)流量異常變化進行設(shè)計的。原型系統(tǒng)的設(shè)計要以網(wǎng)絡(luò)行為學為基礎(chǔ)，網(wǎng)絡(luò)行為學表示網(wǎng)絡(luò)主要包括網(wǎng)絡(luò)流量行為，其具有短期和長期的特點。長期特點表示網(wǎng)絡(luò)行為具有穩(wěn)定性、規(guī)律性，短期特征具有突發(fā)性及偶然性[2]。本文系統(tǒng)的設(shè)計主要是根據(jù)規(guī)律和假設(shè)實現(xiàn)，圖1為圖書館網(wǎng)絡(luò)入侵系統(tǒng)的設(shè)計框架。

圖1 圖書館網(wǎng)絡(luò)入侵系統(tǒng)的設(shè)計框架

2 網(wǎng)絡(luò)入侵檢測系統(tǒng)模型

目前有多種入侵檢測系統(tǒng)，但是效率并不高，并且較為混亂。本文使用入侵檢測機制和傳統(tǒng)入侵檢測系統(tǒng)模型并不同，本文使用的機制通過自主運行的并行程序，其能夠以獨立及其他程序為基礎(chǔ)實現(xiàn)運行，此程序為自主代理[3]。圖2為自主代理入侵檢測系統(tǒng)的結(jié)構(gòu)。

文中說描述的代理指的是能夠自主運行的實體，其能夠加入或者退出系統(tǒng)，不同代理能夠在運行過程中動態(tài)配置，不需要重新啟動系統(tǒng)。每個代理能夠在連續(xù)變化的過程中對計算機系統(tǒng)中的異常入侵和誤用入侵進行檢測。如果一個檢測系統(tǒng)能夠分為多個不同功能的實體，那么每個實體就是一個小代理，以此就實現(xiàn)了共同運行的多個入侵檢測系統(tǒng)自主代理[4]。

圖2 自主代理入侵檢測系統(tǒng)的結(jié)構(gòu)

網(wǎng)絡(luò)層的主要目的就是接受從系統(tǒng)主機和網(wǎng)絡(luò)到本層分類器中傳輸?shù)膶徲嫈?shù)據(jù)，之后分類器根據(jù)相應的原則實現(xiàn)審計數(shù)據(jù)的分類，最后傳輸?shù)酱碇袑崿F(xiàn)代理。入侵檢測系統(tǒng)不需要了解攻擊使用哪種特定的系統(tǒng)漏洞或者使用哪種技術(shù)方法，只要寸照代表某種攻擊的信息就可以，從而有效提供啊了檢測系統(tǒng)效率[5]。

代理層是系統(tǒng)的核心，其能夠?qū)崿F(xiàn)審計內(nèi)容計算，計算之后每個代理都具有一個壞抑制，此表示主題管理系統(tǒng)是否處于威脅中。系統(tǒng)中的多個代理能夠同時運行，這就是本文所設(shè)計的并行性。

分析層能夠?qū)唵螒岩芍灯骄颠M行計算，異常入侵檢測為定期實現(xiàn)的，代理層中的代理定期從系統(tǒng)日志中對主機和網(wǎng)絡(luò)行為進行統(tǒng)計，通過學習方式和系統(tǒng)中模式進行對比，如果發(fā)現(xiàn)異常的行為，就會對管理層進行報警[6]。

管理層屬于整個系統(tǒng)中的決策部分，系統(tǒng)能夠接受分析層的報告，并且通過最終的管理員實現(xiàn)處理，每個主機管理層都具有最終的信息，之后結(jié)合信息并且分析，以此對系統(tǒng)入侵進行檢測。

3 系統(tǒng)的詳細設(shè)計

統(tǒng)計分析層為本文研究網(wǎng)絡(luò)入侵檢測系統(tǒng)核心，其模塊的核心就是統(tǒng)計分析算法，以下就對此種算法進行分析：

3.1 統(tǒng)計分析算法

將一天分為二十四段，相應的時間段保留自身的歷史輪廊，在結(jié)束一段時間之后，使用此時間段收集的正常流量數(shù)據(jù)實現(xiàn)相應歷史輪廊的更新，而且還能夠在短時間內(nèi)更新歷史平均流量，如果在這個過程中流量數(shù)據(jù)出現(xiàn)異常，那么這個值就是歷史平均流量值使用之后的對象歷史。在計算流量數(shù)據(jù)之后，如果現(xiàn)在流量比歷史流量高，那么表示其比例也比較高，如果此比例高于報警閉值，那么模塊就會自動報警，通過解析模塊對其是否為流量異常進行判斷，從而排除由于其他原因?qū)е碌牧髁糠逯礫7]。圖3為統(tǒng)計分析算法的流程。

圖3 統(tǒng)計分析算法的流程

3.2 解析算法

解析算法模塊從統(tǒng)計分析模塊中得到警報信息，之后對是否為流量異常進行判斷，具體的方法為：接收同一個對象中的連續(xù)警報，而且警報流量高于閾值，那么表示此流浪出現(xiàn)異常[8]。

3.3 數(shù)據(jù)結(jié)構(gòu)

3.3.1 對象歷史輪廊

其中包括對象的歷史數(shù)據(jù)，而且也是判斷異常的前提和基礎(chǔ)。圖4為對象輪廊的數(shù)據(jù)結(jié)構(gòu)，歷史的平均流量及流量使用浮點數(shù)組表示，其中n表示歷史流量中的數(shù)據(jù)量。是簡單表示為整數(shù)，對象標識作為字符串表示。

圖4 對象輪廊的數(shù)據(jù)結(jié)構(gòu)

3.3.2 收集的數(shù)據(jù)信息

表1為收集的數(shù)據(jù)信息，編號的字段為三十二位的無符號長整數(shù)，利用常用時間形式對生成的時間字段進行表示，利用浮點數(shù)表示平均的流量字段，能夠展現(xiàn)使用過程中的平均流量，對象標識指的是檢測的對象，其屬于字符串[9]。

表1 收集的數(shù)據(jù)信息

3.3.3 警報消息

表2屬于警報消息結(jié)構(gòu)，其生成時間和警報生成時間相同，一般表示為常用時間。增比量通過浮點數(shù)表示，其中具有警報異常流量及歷史的平均流量比，閾值屬于浮點數(shù)，其主要包括某個對象的閾值。異常的流量值也是浮點數(shù)，其主要指的是警報的異常的流量。對象標識指的是使用字符串進行檢測的對象[10-11]。

表2 警報消息的結(jié)構(gòu)

4 系統(tǒng)的實現(xiàn)

4.1 數(shù)據(jù)的收集

網(wǎng)絡(luò)入侵檢測系統(tǒng)中對于網(wǎng)絡(luò)傳送包實現(xiàn)有效監(jiān)聽是現(xiàn)代入侵技術(shù)的主要技術(shù)，只要對數(shù)據(jù)包實現(xiàn)高校數(shù)據(jù)包的獲取，網(wǎng)絡(luò)管理人員才能夠全面分析捕獲的數(shù)據(jù)，以此實現(xiàn)可靠的網(wǎng)絡(luò)安全管理。網(wǎng)絡(luò)入侵檢測系統(tǒng)就是利用對檢測網(wǎng)絡(luò)狀態(tài)獲得數(shù)據(jù)包實現(xiàn)數(shù)據(jù)包的分析和重組，使其能夠被使用人員識別，并且判斷是否成為網(wǎng)絡(luò)入侵，收集檢測系統(tǒng)中的數(shù)據(jù)。一般網(wǎng)絡(luò)數(shù)據(jù)檢測系統(tǒng)使用的數(shù)據(jù)收集方式為以太網(wǎng)和網(wǎng)絡(luò)適配器相互結(jié)合的模式，以此得到網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包[12-13]。圖5為數(shù)據(jù)收集的結(jié)構(gòu)，圖6為數(shù)據(jù)包捕獲的流程。

圖5 數(shù)據(jù)收集的結(jié)構(gòu)

圖6 數(shù)據(jù)包捕獲的流程

4.2 系統(tǒng)的評價

以下對系統(tǒng)進行檢測，得出效果從而對系統(tǒng)進行評價。表3為截止到2015年10月4日的數(shù)據(jù)包平均流量，為了能夠便于計算和作圖，都取100的整數(shù)倍。通過表3得到圖7和圖8，圖7為數(shù)據(jù)包的歷史平均流量，圖8為數(shù)據(jù)包的攻擊響應。在本次實驗中，對于數(shù)據(jù)包實現(xiàn)檢測，數(shù)據(jù)包的歷史平均流量為每秒23210.5包，在程序運行一段時間之后，使用相關(guān)工具進行測試，表示攻擊之后的數(shù)據(jù)包流量增加到10000包每秒[14-15]。

表3 截止到2015年10月4日的數(shù)據(jù)包平均流量

圖7 數(shù)據(jù)包的歷史平均流量

通過檢測可以看出來，本文所設(shè)計的網(wǎng)絡(luò)入侵系統(tǒng)是非常成功的，其能夠在短時間內(nèi)發(fā)現(xiàn)入侵行為，并且入侵系統(tǒng)能夠滿足不同環(huán)境的需求，在網(wǎng)絡(luò)容量、平臺、計算機系統(tǒng)類型等發(fā)生變化之后還能夠正常工作[16]。

圖8 數(shù)據(jù)包的攻擊響應

5 結(jié)束語

在現(xiàn)代計算機研究過程中，網(wǎng)絡(luò)安全的研究備受重視，其中入侵檢測能夠有效解決網(wǎng)絡(luò)中的安全問題[17]。但是在計算機不斷發(fā)展的過程中，網(wǎng)絡(luò)安全涉及到的范圍也不斷擴大，所以就需要一個更加完善、精準及高校的入侵檢測系統(tǒng)[18]。本文設(shè)計了基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，并且對入侵檢測系統(tǒng)的結(jié)構(gòu)設(shè)計進行了分析，之后檢驗了系統(tǒng)，表示此系統(tǒng)能夠滿足現(xiàn)代圖書館網(wǎng)絡(luò)需求，滿足預期的需求。