王蕊

摘要：目前企事業(yè)機(jī)關(guān)單位都已經(jīng)將網(wǎng)絡(luò)作為傳輸數(shù)據(jù)和交換信息的平臺(tái)，許多部門(mén)在網(wǎng)絡(luò)上構(gòu)建了重要的業(yè)務(wù)流程，信息化網(wǎng)絡(luò)可以有效提高企事業(yè)單位的運(yùn)營(yíng)效率。然而在獲得這些利益的同時(shí)，由于計(jì)算機(jī)網(wǎng)絡(luò)自身存在漏洞，所以很容易受到攻擊，進(jìn)而造成網(wǎng)絡(luò)系統(tǒng)故障，使用戶(hù)遭受重大損失。因此，計(jì)算機(jī)網(wǎng)絡(luò)安全的地位日趨重要

關(guān)鍵詞：信息化網(wǎng)絡(luò)；數(shù)據(jù)庫(kù)；IDS

1、民航東北地區(qū)空中交通管理局信息化網(wǎng)絡(luò)的建設(shè)情況

民航東北空管局內(nèi)部各單位根據(jù)業(yè)務(wù)的發(fā)展的需要都建立了各自相應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)。民航東北地區(qū)局辦公網(wǎng)以沈陽(yáng)為中心，向下輻射到哈爾濱、大連、長(zhǎng)春空管分局站，同時(shí)還鏈接到中國(guó)民用航空局空中交通管理局和其他地區(qū)分局。民航氣象數(shù)據(jù)庫(kù)系統(tǒng)是由民航氣象中心和華北、華東、中南、西南、西北、東北六個(gè)區(qū)域中心及所屬航站組成，各中心按規(guī)則進(jìn)行資料的搜集、處理和轉(zhuǎn)發(fā)，作為民航氣象數(shù)據(jù)庫(kù)系統(tǒng)的服務(wù)延伸，各地區(qū)中心都建立了各自氣象信息服務(wù)平臺(tái)，民航東北地區(qū)空管局氣象服務(wù)平臺(tái)在對(duì)相關(guān)用戶(hù)提供服務(wù)中充當(dāng)了重要的角色。隨著業(yè)務(wù)的變化，需要?dú)庀笮畔⒑推渌娇招畔⒌挠脩?hù)需要的信息也在增加，由此也需要增加新的線路。為了避免不必要的線路開(kāi)資，共享現(xiàn)有通信線路，將不同的業(yè)務(wù)融合在一個(gè)系統(tǒng)成為發(fā)展的需要，由此需要網(wǎng)絡(luò)間進(jìn)行互聯(lián)。因此，為了保障網(wǎng)上業(yè)務(wù)正常運(yùn)行，網(wǎng)絡(luò)安全在網(wǎng)絡(luò)設(shè)計(jì)和運(yùn)行中的比重也在不斷完善和深化。

2、入侵檢測(cè)系統(tǒng)引入的必要性

入侵檢測(cè)系統(tǒng)（Intrusion Detection Systems，IDS）是按照一定的安全策略對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行情況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為、和攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性、和可用性。

在威脅網(wǎng)絡(luò)安全的因素中人為的主動(dòng)破壞和誤操作占據(jù)了主要。據(jù)統(tǒng)計(jì)，80%以上的入侵來(lái)自于內(nèi)部。由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力，對(duì)于企業(yè)內(nèi)部人員所做的攻擊，防火墻形同虛設(shè)。入侵檢測(cè)系統(tǒng)（IDS）針對(duì)防火墻做了有益的補(bǔ)充，能夠在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并能利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊；在入侵過(guò)程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加到知識(shí)庫(kù)內(nèi)，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。IDS是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，大大提高網(wǎng)絡(luò)的安全性。

3、入侵檢測(cè)系統(tǒng)的功能模塊組成

根據(jù)通用入侵檢測(cè)框架（CIDF）規(guī)范，IDS由數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺(tái)子系統(tǒng)、數(shù)據(jù)庫(kù)管理子系統(tǒng)四個(gè)功能模塊組成。在實(shí)際應(yīng)用中，一般將數(shù)據(jù)采集子系統(tǒng)和數(shù)據(jù)分析子系統(tǒng)在UNIX或LINUX平臺(tái)上實(shí)現(xiàn)，稱(chēng)為數(shù)據(jù)采集分析中心，它主要是搜集網(wǎng)絡(luò)或主機(jī)上的信息并對(duì)這些信息進(jìn)行分析，如果檢測(cè)到攻擊，立刻作出響應(yīng)；將控制臺(tái)子系統(tǒng)在WINDOWS平臺(tái)上實(shí)現(xiàn)，數(shù)據(jù)庫(kù)管理子系統(tǒng)集成在控制臺(tái)子系統(tǒng)中，它可以接受實(shí)時(shí)報(bào)警，查詢(xún)引擎中的數(shù)據(jù)，進(jìn)行統(tǒng)計(jì)分析。

4、入侵檢測(cè)過(guò)程

入侵檢測(cè)過(guò)程可以分為三個(gè)階段：信息收集、信息分析、及告警與相應(yīng)。

入侵檢測(cè)的第一步是收集信息，包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶(hù)活動(dòng)的狀態(tài)和行為等。而且需要在計(jì)算機(jī)網(wǎng)絡(luò)的不同關(guān)鍵點(diǎn)收集信息。這樣就可能擴(kuò)大檢測(cè)范圍，而且從一個(gè)信息源收集到的信息可能看不出疑點(diǎn)，但是從幾個(gè)信息源收集到的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。

信息分析的數(shù)據(jù)量非常龐大，且絕大部分是正常信息，只有很少一部分信息表征入侵的行為的發(fā)生，要從大量信息中找到表征入侵行為異常就需要對(duì)這些信息進(jìn)行分析?？梢?jiàn)，信息分析是入侵檢測(cè)過(guò)程的核心環(huán)節(jié)，沒(méi)有信息分析，入侵檢測(cè)就無(wú)從談起。入侵檢測(cè)的信息分析方法很多，如模式匹配、統(tǒng)計(jì)分析、完整性分析等。每種方法都有各自的優(yōu)缺點(diǎn)，也都有各自的應(yīng)用對(duì)象和范圍。

當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到攻擊或時(shí)間以后，系統(tǒng)根據(jù)攻擊和事件類(lèi)型或性質(zhì)，做出相應(yīng)的告警與響應(yīng)，即通知系統(tǒng)管理員系統(tǒng)正在遭受不良行為的入侵，或者采取一定的措施阻止入侵行為的繼續(xù)。

IDS按檢測(cè)對(duì)象和加載位置不同，可分為基于主機(jī)的IDS（HIDS）、基于網(wǎng)絡(luò)IDS（NIDS）和混合型IDS?；谥鳈C(jī)的IDS應(yīng)安裝于受保護(hù)的主機(jī)上，對(duì)攻擊主機(jī)的行為作出響應(yīng)，而基于網(wǎng)絡(luò)的IDS應(yīng)安裝于網(wǎng)絡(luò)信息集中通過(guò)的地方。綜合部署兩種IDS能夠給網(wǎng)絡(luò)帶來(lái)更大的安全性。

5、入侵檢測(cè)的發(fā)展趨勢(shì)

將來(lái)的趨勢(shì)是入侵檢測(cè)系統(tǒng)高度分布式監(jiān)控結(jié)構(gòu)的使用。這種方法將使用許多具有不同定位策略的自主代理。每一個(gè)代理可以定位一個(gè)特定的事件類(lèi)型、特征類(lèi)型、平臺(tái)或進(jìn)程，可以有不同的策略來(lái)管理分析功能并反映功能的存放。最可能的是這樣的代理和其它的信息源同時(shí)存在，并且可以被一個(gè)監(jiān)督進(jìn)程所管理。這個(gè)監(jiān)督進(jìn)程將把代理得到的數(shù)據(jù)與其它數(shù)據(jù)傳感器得到相關(guān)數(shù)據(jù)關(guān)聯(lián)起來(lái)，從而識(shí)別出細(xì)微的問(wèn)題所在。

分布式監(jiān)督和分布式體系結(jié)構(gòu)也能很好的適應(yīng)實(shí)現(xiàn)某些免疫系統(tǒng)的入侵檢測(cè)方法。例如，許多代理都會(huì)檢查系統(tǒng)，尋找接觸關(guān)鍵文件的反常過(guò)程。每一個(gè)代理都按照一個(gè)特定的攻擊特征來(lái)衡量進(jìn)程的活動(dòng)。如果一個(gè)代理發(fā)現(xiàn)了具有某種攻擊特征的進(jìn)程，他就會(huì)修改這個(gè)進(jìn)程，也可以阻止這個(gè)進(jìn)程的處理速度。由于這個(gè)進(jìn)程會(huì)激發(fā)許多代理，每個(gè)代理都會(huì)使這個(gè)進(jìn)程處理速度慢一點(diǎn)，所以這個(gè)進(jìn)程的處理速度會(huì)慢到足以被人或某種代理記錄下來(lái)，代理處理這個(gè)進(jìn)程的信息并將其殺死。

隨著當(dāng)前網(wǎng)絡(luò)帶寬和節(jié)點(diǎn)速度的增長(zhǎng)，入侵檢測(cè)系統(tǒng)必須監(jiān)控的原始資料也不斷增長(zhǎng)。這種情況使得有必要去收集和分析入侵檢測(cè)系統(tǒng)的組件。原始資料可能超出了最經(jīng)常使用的主機(jī)信息和網(wǎng)絡(luò)信息的范圍?？赡馨l(fā)生的另一個(gè)趨勢(shì)就是硬件版本的入侵檢測(cè)系統(tǒng)和安全網(wǎng)絡(luò)工具箱集成在一起。這種將定位于小型企業(yè)市場(chǎng)，以使客戶(hù)能夠處理與持續(xù)鏈接到INTERNET的安全問(wèn)題。

參考文獻(xiàn)

[1]清華大學(xué)出版社 作者韓東海，王超，李群

（作者單位：民航東北地區(qū)空中交通管理局 氣象中心）