入侵檢測技術在電子商務安全中的應用

王少英，黃留鎖

(1.鄭州交通職業學院信息工程系，鄭州450062；2.河南教育學院電路與系統重點學科組，鄭州450046)

隨著網絡時代的到來，Internet技術不斷進步，電子商務發展前景極具創新活力，是正在廣泛流行的一種商業手段。它為人類交換信息，促進科學、技術、文化、教育、生產的發展和現代人的生活質量提高做出了貢獻。但同時它的安全問題也給我們帶來了很大的困擾，企業、單位和個人越來越重視網絡安全問題。

1 .網絡安全問題現狀

1.1 常見網絡安全問題

由于Internet的全球性、開放性、無縫連接性、共享性、動態性特點，使得任何單位和個人都可以自由接入互聯網，一些別具用心的人，會采用各種手段攻擊破壞網站的正常運行。近幾年來，網絡安全事件在電子商領域主要表現在網頁篡改、網絡仿冒、拒絕服務攻擊、惡意程序或病毒入侵等一系列層面上。

(1)網頁篡改

網頁篡改［1］是指用戶自己的網頁并沒有授權給他人的情況下，卻莫名其妙地被更改為其它網頁，該網頁的文件屬性被修改，圖片被更改，一些相關的重要信息都改頭換面。一般來說，網頁信息的更改，對計算機系統本身不會產生什么直接的損失，但是在電子商務交易的環境中，就會給買賣雙方造成很大的影響。作為商家，自己的網頁信息被更改，自己的交易就被迫停止，造成一定經濟損失。對于企業網站來說，網頁被篡改，企業的形象和聲譽都會蒙受嚴重損害。

(2)網絡仿冒

網絡仿冒［2］也可以稱之為網絡欺詐。一個授權或者并未授權者進入某個系統以后，掌握了網站的信息數據，搞清楚了數據運行規律，或者是把某些重要信息進行解密以后，自己冒充授權合法用戶的身份做一些欺詐性的事情。網絡仿冒嚴重擾亂了正常的電子商務交易環境，對消費者的財產安全造成了一定的威脅。

(3)惡意程序或計算機病毒入侵

計算機病毒，是指編制或者正在計算機程序中插入的破壞計算機功能或者毀壞數據影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。計算機病毒是通過非法侵入來擴散的，計算機病毒程序把自己附著在其他程序上，等這些程序運行時，病毒就進入到系統中，進而大面積擴散，其中網絡蠕蟲就是一種計算機病毒。［3］

(4)拒絕服務攻擊

拒絕服務，指的是系統由于被破壞者攻擊而拒絕給合法的用戶提供正常的服務。隨著電子商務的興起，人們對新興電子商務網站的實時性要求越來越高，一些別具用心的人專門對某些網站進行攻擊，控制多臺或者大量的計算機對這臺計算機進行大規模的訪問，這個被訪問的計算機窮于應付來路不明，氣勢兇猛的訪問，沒有辦法提供正常的服務，造成目標計算機癱瘓。這種拒絕服務攻擊，襲擊者本身的風險很小，速度很快，在襲擊開始前就可能逃之夭夭，不給對方打擊報復的時間，被報復的可能性很小。［4］

1.2 安全問題在電子商務中的表現

電子商務交易的不穩定性因素，除了管理層面的因素外，還有技術層面的因素。傳統的交易，買家與賣家都是面對面進行的，是在洽談成功的基礎上進行的交易，雙方情況都互相了解，交易的原則都制定得很到位，所以不存在身份確認問題，也不用保證信息的私密性、完整性等一系列問題。而電子商務卻不一樣，商家與消費者，買方與賣方所有的商務活動信息都是通過網絡來實現的，彼此并不需要見面，互不知情。因此，為防止網絡欺詐，就需要保證信息的私密性和完整性。綜上所述，電子商務系統中的安全問題突出表現為：［5］

(1)秘密性

商戶和消費者傳輸的信息都屬于自己的資源，大多數都不想讓第三者知道，必須保證信息在傳輸過程中的秘密性。

(2)完整性

信息的完整性是指信息在傳輸或者存儲過程中，信息不能被截取、丟失，不能被他人竊取。在網絡交易過程中，交易的雙方都必須保證發送方和接收方的信息保密，存儲信息必須正確無誤。如果交易的信息被泄露，用戶的銀行賬號和重要信息被人獲知，就有可能被盜用，造成不必要的損失;如果訂貨單和付款信息被截取，就有可能多一個商場競爭對手，喪失一些商機。信息的完整性是交易雙方貿易經營策略的有力保障。

(3)身份確認

電子商務過程中，消費者與商戶不曾謀面，很有可能身份被假冒，會給交易帶來負面影響。所以，電子商務系統必須提供一套安全策略，保證交易雙方的身份是相對確定的，不會給交易帶來影響，以保證合作愉快進行。

(4)客戶隱私權

每一個用戶，尤其是消費者，自己的重要信息是不希望被商家知道的。比如說銀行賬號、密碼、網上消費習慣等，商家也不應該知道這些信息，這屬于隱私權。

2 .入侵檢測系統

為了解決電子商務網絡安全方面暴露出來的問題，當前電子商務中使用防火墻技術，在一定程度上保證對主機的安全訪問，保證服務器與客戶機的安全性，但用一種防護手段已不能滿足網絡發展的需求。防火墻技術存在明顯的局限性：①它只能提供對外部攻擊的保護，無法阻止網絡的內部攻擊和授權工作人員的誤操作等入侵行為。②它只針對IP地址，對信息的控制缺乏靈活性。③防火墻本身易產生安全漏洞。因此，一個健全的網絡安全系統不僅需要靜態被動的防火墻技術，更需要一種從更深層次上進行積極主動的動態安全防御。入侵檢測技術可作為防火墻之后的第二道安全防線。

2.1 入侵檢測的定義

入侵檢測［6］(Intrusion Detection，ID)是指在特定的網絡環境中發現和識別未經授權的或惡意的攻擊和入侵，并對此做出反應的過程。入侵檢測系統(Intrusion Detection Systems，IDS)是指對入侵行為的發現，它通過在計算機網絡或計算機系統中的若干關鍵點收集信息并對收集到的信息進行分析，從而判斷網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。它是安全體系的一種重要防范措施，它主動檢測、識別和隔離入侵企圖或計算機的未授權使用。

2.2 入侵檢測系統的作用

在網絡安全范疇內，網絡內部和外部受到的攻擊，網絡用戶或授權限的人員自己操作失誤等受到的一系列威脅，入侵檢測系統可以對其進行實時防御防護，并且在系統受到危害之前進行攔截，做出相應的響應，向管理員報警。提醒管理員及時采取措施，做好網絡安全的預防工作，從而更加穩定地保證計算機網絡的安全。［7］入侵檢測系統的主要作用以下幾個方面：

(1)對整個系統的運行狀況進行全面監視，并且分析其用戶類型，查找出合法用戶的越權操作行為和非法用戶的破壞行為;

(2)對整個系統進行檢測，查看系統配置是否正確合理，是否存在安全漏洞，如果有安全漏洞，及時提示系統操作員進行修補;

(3)根據系統運行的狀況，對非法操作活動行為進行統計分析，歸納梳理出攻擊行為的運行規律;

(4)對系統數據進行檢測，分析系統程序與數據是否一致，是否正確;

(5)對檢測到的非法操作行為、攻擊行為等能夠及時做出相應的警響;

(6)對操作系統的審計進行跟蹤管理，把違反安全策略的行為識別檢測出來，并做相應的處理。

2.3 入侵檢測系統的模型

最早的入侵檢測模型是Dorthy Denning在1987年提出來的，又稱Denning模型，當前的各種入侵檢測技術都是在Denning模型的基礎上擴展出來的。Denning模型是通用的檢測模型，由六部分構成［8］。如圖1所示。

圖1 Denning模型

主體：是指在目標系統上進行實時活動的用戶或其它實體。

對象：是指系統資源，例如系統文件、視頻、圖像、命令等。

審計記錄：由主體、活動、對象、異常條件、資源使用狀況和時間戳六個元素構成。

活動簡檔：保存系統運行時的正常數據信息。

異常記錄：在發生異常事件時所表現的情況記錄。

活動規則：依據系統的標準模型為準則進行分析，判斷是否有異常行為，是否采取相應處理措施。

Denning模型的工作原理：依據正常用戶使用的系統模式為標準，與入侵者使用的系統模式做比較，通過規則集提取規則來識別異常模式，檢測攻擊者的入侵破壞情況。

2.4 CIDF 框架結構

在Denning模型演化的基礎上，不同的入侵檢測系統之間的互操作性和共享性要想得到徹底解決，就需要設計一種通用的入侵檢測系統的框架模型。Common Intrusion Detection Framework(簡稱CIDF)組織提出了一種通用的框架模型，目前在廣泛地運用，如圖2所示的CIDF入侵檢測框架結構。［9］

CIDF將一個入侵檢測系統分為四個組件。它將需要分析的數據統稱為事件，事件可以是系統中的審計記錄，也可以是系統日志獲得的信息，還可以是數據包。這幾個組件的功能各不相同。

事件產生器：從整個計算機環境中獲得的各種信息事件，并把此事件提供給系統的其它組件。

事件分析器：把事件產生器傳送來的事件進行數據分析，并把分析所得的結果判斷是否報警。

響應單元：根據事件分析器的報警信號對相對的威脅攻擊做出相應的對策反應。可以切斷連接，可以改變文件的屬性，也有只是單一的報警。

事件數據庫：存儲所有組件傳遞過來的各類數據信息的模塊，已經處理過的和未處理的都保存在這一塊。可以是單一的文本文件，也可以是一組復雜的數據庫。

圖2 CIDF入侵檢測框架結構

CIDF模型的提出完成了幾個目標的實現工作。第一，實現管理共享。計算機網絡管理和入侵檢測系統共享組成的組件，比如事件、事件數據庫和響應單元組件。第二，實現信息共享。計算機網絡管理和入侵檢測系統的審計記錄、數據信息、報告記錄、入侵模式等信息，二者共享。第三，實現語言協議獨立。入侵檢測系統的模式設計為開放式，操作系統語言、網絡協議可以獨立。

3 .入侵檢測系統在電子商務中的應用

3.1 電子商務對入侵檢測系統的要求

當前的電子商務環境對其網絡安全性要求越來越高，我們在構建電子商務入侵檢測系統時需要滿足下列條件和要求：

(1)設計的入侵檢測系統首先要滿足電子商務交易的基本安全。交易信息和數據的完整性、機密性、有效性要得到保證，買賣雙方交易的文件或信息安全地存儲、傳送要得到保障，計算機病毒的破壞，非法入侵者的攻擊要能夠及時防護和主動抵御。

(2)根據電子商務交易環境的需求，入侵檢測系統要靈活設置，交易具有分散性特點，設計的入侵檢測系統可以分散設置，也可以將系統的軟、硬件分開布置，只要做到統一管理和控制，采用聯動機制，共同協作檢測入侵，共同防護防御。

(3)自身的安全才能保證他人的安全。為此，設計的入侵檢測系統自身要安全可靠。系統本身要研究設計好，抵抗性、適應性非常強，就像人的身體一樣健壯，有較強的分辨是非的能力，不被他人所欺騙，在任何網絡環境下都能適應并且安全可靠運行。

(4)設計的入侵檢測系統可用性要好。它能根據系統環境的改變而做出相應的跟蹤和反應，檢測到異常行為按規定程序報警，不能失控，隨時發送報警信號或者漏報。

3.2 電子商務中入侵檢測系統的模型設計

由于電子商務網絡安全的要求更高，分布式入侵檢測系統更適合用在電子商務活動中。本文針對當前電子商務發展的多樣性特點，設計一種入侵檢測(IDS)和入侵防御(IPS)相結合的分布式入侵檢測系統，其體系結構圖如圖3所示。

圖3 分布式入侵檢測系統體系結構圖

在網絡環境中運行的電子商務活動范疇，入侵檢測系統可以這樣來配備設置。整個電子商務入侵檢測體系結構可以按兩部分來劃分。第一部分是服務器區域，我們在圖上標識為“Server區域”;第二部分是瀏覽器區域，我們在圖上標識為“Browser區域”。服務器區域和瀏覽器區域這兩部分通過Internet進行互連。如果用“買家”和“賣家”來抽象理解，Server區域主要包括的就是賣家所在的網絡環境。對于商家而言，這一塊一般就是商家的分公司或者是多個營銷點。這里的入侵檢測系統就是為賣家服務的。這一區域主要有各個商家、單位、企業的網站以及這些網站所運行的網絡環境。在Internet上最熱門的服務之一就是環球信息網WWW(World Wide Web)服務，Web已經成為很多人在網上查找、瀏覽信息的主要手段。WWW是一種交互式圖形界面的Internet服務，具有強大的信息連接功能。DATA Server儲存大量的資料和數據，與WWW Server一起相輔相成。因此，服務器區域的主要功能就是發揮自身的特長，保護好網絡環境，維護整個網絡安全運行，阻止一切非法入侵和變相攻擊行為的發生。在Server區域，我們靈活部署IDS入侵檢測系統和IPS入侵防御系統。在Server區域的入口處，我們把IDS入侵檢測系統以旁路的方式接入。這樣設置，所有與這一區域交換的信息、數據都要經過IDS的入侵檢測，這樣如果出現不安全的行為或異常情況，IDS控制臺和信息管理中心都可以及時做出相應的處理措施。而IPS入侵防御系統可以以串路的方式接在這一區域的入口處，彌補防火墻技術的不足，根據檢測情況即時中斷，隔離或調整一些不安全的網絡異常行為，更進一步地保護Server區域的安全性。

相對應地，第二部分的瀏覽器區域就是買家所處的網絡環境，也就是終端客戶，要與賣家所處的網絡環境緊密結合。結合這一實際情況，對于Browser區域我們可以這樣部署分布式入侵檢測系統：根據不同的情況可以設置分控制臺，每一部分的控制與Browser區域的總控制臺相連，這樣它們之間可以相互協作，信息互通，關聯分析，有效地保證更大規模的網絡環境的網絡安全。對于個體消費者來說，他們都屬于終端客戶，可以獨自連接在Internet上，訪問商家網站時運用的瀏覽器各不相同，因此可以根據具體情況安裝入侵檢測系統，提高個人計算機以及相關數據信息的安全系數。

3.3 入侵檢測單元設計

一個完整的入侵檢測單元，根據系統工作的不同階段所承擔的不同任務，可以分為數據采集模塊、入侵檢測模塊、本地響應模塊、全局響應模塊、協作模塊、通信模塊等6個模塊，如圖4所示入侵檢測單元框架。［10］

圖4 入侵檢測單元框架

數據采集模塊，主要是捕獲相關的審計數據，收集提取日志記錄的數據信息，將捕獲到的數據信息提取其特征，提供給入侵檢測模塊，為入侵檢測模塊的檢測分析工作做好基礎。

入侵檢測模塊是整個檢測單元中最重要的組成部分，它最主要的功能就是對提取到的數據信息進行分析研究，分析系統程序與數據是否一致，是否存在攻擊威脅，如果檢測到可疑行為，入侵檢測模塊就會報警，會觸發到本地響應模塊，響應模塊對反饋到的異常信息進行相應處理，可以報警，可以采取保護措施，也可以自動恢復數據。

協作檢測模塊根據整個系統運行狀況的實際情況，在本地響應、全局響應、通信模塊之間進行協同分析檢測，根據節點與節點之間檢測到的不同信息狀況，協作模塊就可以根據具體情況進行協同合作，把違反安全策略的行為識別檢測出來。通信模塊為入侵檢測單元之間提供安全可靠的通信信道，它承擔著合作數據信息的安全和權限管理，各個模塊之間連接點與節點的維護工作，它還承擔著反入侵設計以及信息標準化的職能。

4 .分布式入侵檢測系統在電子商務中的應用分析

電子商務伴隨著計算機網絡日新月異的發展，保護網絡中的信息安全成為制約網絡發展的重要因素。從網絡安全的多層次多角度防御出發，在電子商務網絡環境中應用入侵防御和入侵檢測相結合的分布式入侵檢測系統具有以下優點：

(1)防御定位精確，檢測效率高。分布式入侵檢測系統是采用檢測和防御兩項功能相結合的入侵檢測系統，入侵檢測系統(IDS)以旁路的在入侵檢測模塊和響應模塊之間運作，入侵防御系統(IPS)以串路的形式進行分析檢測防御，這樣無論是檢測功能還是防御功能，都大大提高了工作效率，從而確保了電子商務交易的環境是安全的。

(2)系統健壯性、容錯性、適應性強。因為商家的分公司和營銷點分布不規則，我們采用分布式入侵檢測結構，與總控制臺連接著，各個客戶端之間可以協同工作，關聯分析。這樣，假如一個連接點出現了故障不能工作時，不會影響到整個系統，各個節點之間容錯性、適應性強，提高了整個系統的健壯性。

(3)系統的可擴展性好。隨著電子商務的發展趨勢越來越好，商家的分公司和營銷點也會不斷增加，入侵檢測系統可以跟著分公司數量的增加而擴展，而且可以分級控制，各個網段之間可以協同工作，網絡規模變化再大，也能保證整個系統正常穩定地工作，可護展性強。［11］

本文設計的入侵檢測系統在一定程度上彌補了網絡安全技術的不足，但也不是很完美。由于水平所限，對入侵檢測技術的細節方面研究不深入，對系統知識掌握不夠全面，在系統的具體實現方面，尤其是具體算法、程序設計等方面只是展開相關的理論框架上的研究，今后有待進一步深入研究和改進。

［1］孫寧.電子商務發展面臨的網絡安全問題研究［J］.現代經濟信息，2013(1).

［2］趙繼珍.淺析電子商務的網絡安全問題［J］.中國商貿，2009(5).

［3］高鷺.電子商務中的網絡安全問題淺析［J］.科技信息，2009(9).

［4］許志娟.試論電子商務網絡安全問題［J］.湖北成人教育學院學報，2011(3).

［5］董清潭.電子商務中網絡隱私安全保護策略［J］.信息系統工程，2012(1).

［6］譚曉波，張琴.防火墻技術在電子商務安全中的應用［J］.商場現代化，2007(3).

［7］王超.計算機網絡安全中入侵檢測系統的研究與設計［D］.電子科技大學，2007.

［8］林果園，曹天杰.入侵檢測系統研究綜述［J］.計算機應用與軟件，2009(3).

［9］袁沛沛.網絡安全入侵檢測技術［D］.西安建筑科技大學，2008.

［10］曹利培，張志亮.入侵檢測技術研究［J］.網絡安全技術與應用，2009(3).

［11］畢戰科，許勝禮.入侵檢測技術的研究現狀及其發展［J］.軟件導刊，2010(11).