圖書館網絡入侵檢測系統的設計及應用

馬佳立

（榆林學院陜西榆林719000）

在現代圖書館信息化建設不斷深入的過程中，人們也將眼光放到了圖書館網絡安全事態方面，圖書館網絡保護網絡的發展能夠使圖書館工作正常的開展，其不僅能夠對圖書館中核心數據及資源安全性進行保證，還能夠有效保證圖書館對公眾和教學、科研提供可靠的信息服務。在實現圖書館網絡圖侵檢測系統的設計過程中，占據主要地位的就是防火墻系統、防治網絡病毒及入侵檢測系統，等多種網絡安全基礎。防火墻具有較為強大的功能，但是其對于內部主機之間的攻擊行為和網絡內部主動連接無法進行有效的阻止。除了防火墻，第二道網絡安全監測系統指的就是入侵檢測系統，其能夠實現網絡的外部、內部及錯誤操作等事件的處理。圖書館屬于公共信息集散地，其更多的是使用網絡技術為大眾提供文獻及信息等服務，以此就表示了網絡安全在圖書館安全管理工作中的重要性，并且網絡入侵檢測系統的設計也是保證網絡安全管理工作的主要技術保障。基于此，本文就針對圖書館，實現了網絡入侵檢測系統的設計。

1 圖書館網絡入侵系統的功能

目前，各個院校都已經創建了滿足自身需求的校園網絡，并且校園網絡也被不斷的普及，為學校校園管理及教學、學生的學習及日常生活帶來了方便[1]。圖書館是校園網絡中尤為重要的組成部分，其支撐著全校教學及科研工作的主要責任，但是在校園網絡安全中并不是絕對安全的，最開始的黑客就是在校園網絡中逐漸成長。一般的入侵檢測系統只能夠單一或者一組用戶行為，通過微觀的角度對入侵事件進行檢測，并沒有從宏觀的角度對拒絕服務攻擊導致的網絡流量異常實現分析，本文所設計的系統就是從拒絕服務攻擊導致的網絡流量異常變化進行設計的。原型系統的設計要以網絡行為學為基礎，網絡行為學表示網絡主要包括網絡流量行為，其具有短期和長期的特點。長期特點表示網絡行為具有穩定性、規律性，短期特征具有突發性及偶然性[2]。本文系統的設計主要是根據規律和假設實現，圖1為圖書館網絡入侵系統的設計框架。

圖1 圖書館網絡入侵系統的設計框架

2 網絡入侵檢測系統模型

目前有多種入侵檢測系統，但是效率并不高，并且較為混亂。本文使用入侵檢測機制和傳統入侵檢測系統模型并不同，本文使用的機制通過自主運行的并行程序，其能夠以獨立及其他程序為基礎實現運行，此程序為自主代理[3]。圖2為自主代理入侵檢測系統的結構。

文中說描述的代理指的是能夠自主運行的實體，其能夠加入或者退出系統，不同代理能夠在運行過程中動態配置，不需要重新啟動系統。每個代理能夠在連續變化的過程中對計算機系統中的異常入侵和誤用入侵進行檢測。如果一個檢測系統能夠分為多個不同功能的實體，那么每個實體就是一個小代理，以此就實現了共同運行的多個入侵檢測系統自主代理[4]。

圖2 自主代理入侵檢測系統的結構

網絡層的主要目的就是接受從系統主機和網絡到本層分類器中傳輸的審計數據，之后分類器根據相應的原則實現審計數據的分類，最后傳輸到代理中實現代理。入侵檢測系統不需要了解攻擊使用哪種特定的系統漏洞或者使用哪種技術方法，只要寸照代表某種攻擊的信息就可以，從而有效提供啊了檢測系統效率[5]。

代理層是系統的核心，其能夠實現審計內容計算，計算之后每個代理都具有一個壞抑制，此表示主題管理系統是否處于威脅中。系統中的多個代理能夠同時運行，這就是本文所設計的并行性。

分析層能夠對簡單懷疑值平均值進行計算，異常入侵檢測為定期實現的，代理層中的代理定期從系統日志中對主機和網絡行為進行統計，通過學習方式和系統中模式進行對比，如果發現異常的行為，就會對管理層進行報警[6]。

管理層屬于整個系統中的決策部分，系統能夠接受分析層的報告，并且通過最終的管理員實現處理，每個主機管理層都具有最終的信息，之后結合信息并且分析，以此對系統入侵進行檢測。

3 系統的詳細設計

統計分析層為本文研究網絡入侵檢測系統核心，其模塊的核心就是統計分析算法，以下就對此種算法進行分析：

3.1 統計分析算法

將一天分為二十四段，相應的時間段保留自身的歷史輪廊，在結束一段時間之后，使用此時間段收集的正常流量數據實現相應歷史輪廊的更新，而且還能夠在短時間內更新歷史平均流量，如果在這個過程中流量數據出現異常，那么這個值就是歷史平均流量值使用之后的對象歷史。在計算流量數據之后，如果現在流量比歷史流量高，那么表示其比例也比較高，如果此比例高于報警閉值，那么模塊就會自動報警，通過解析模塊對其是否為流量異常進行判斷，從而排除由于其他原因導致的流量峰值[7]。圖3為統計分析算法的流程。

圖3 統計分析算法的流程

3.2 解析算法

解析算法模塊從統計分析模塊中得到警報信息，之后對是否為流量異常進行判斷，具體的方法為：接收同一個對象中的連續警報，而且警報流量高于閾值，那么表示此流浪出現異常[8]。

3.3 數據結構

3.3.1 對象歷史輪廊

其中包括對象的歷史數據，而且也是判斷異常的前提和基礎。圖4為對象輪廊的數據結構，歷史的平均流量及流量使用浮點數組表示，其中n表示歷史流量中的數據量。是簡單表示為整數，對象標識作為字符串表示。

圖4 對象輪廊的數據結構

3.3.2 收集的數據信息

表1為收集的數據信息，編號的字段為三十二位的無符號長整數，利用常用時間形式對生成的時間字段進行表示，利用浮點數表示平均的流量字段，能夠展現使用過程中的平均流量，對象標識指的是檢測的對象，其屬于字符串[9]。

表1 收集的數據信息

3.3.3 警報消息

表2屬于警報消息結構，其生成時間和警報生成時間相同，一般表示為常用時間。增比量通過浮點數表示，其中具有警報異常流量及歷史的平均流量比，閾值屬于浮點數，其主要包括某個對象的閾值。異常的流量值也是浮點數，其主要指的是警報的異常的流量。對象標識指的是使用字符串進行檢測的對象[10-11]。

表2 警報消息的結構

4 系統的實現

4.1 數據的收集

網絡入侵檢測系統中對于網絡傳送包實現有效監聽是現代入侵技術的主要技術，只要對數據包實現高校數據包的獲取，網絡管理人員才能夠全面分析捕獲的數據，以此實現可靠的網絡安全管理。網絡入侵檢測系統就是利用對檢測網絡狀態獲得數據包實現數據包的分析和重組，使其能夠被使用人員識別，并且判斷是否成為網絡入侵，收集檢測系統中的數據。一般網絡數據檢測系統使用的數據收集方式為以太網和網絡適配器相互結合的模式，以此得到網絡中傳輸的數據包[12-13]。圖5為數據收集的結構，圖6為數據包捕獲的流程。

圖5 數據收集的結構

圖6 數據包捕獲的流程

4.2 系統的評價

以下對系統進行檢測，得出效果從而對系統進行評價。表3為截止到2015年10月4日的數據包平均流量，為了能夠便于計算和作圖，都取100的整數倍。通過表3得到圖7和圖8，圖7為數據包的歷史平均流量，圖8為數據包的攻擊響應。在本次實驗中，對于數據包實現檢測，數據包的歷史平均流量為每秒23210.5包，在程序運行一段時間之后，使用相關工具進行測試，表示攻擊之后的數據包流量增加到10000包每秒[14-15]。

表3 截止到2015年10月4日的數據包平均流量

圖7 數據包的歷史平均流量

通過檢測可以看出來，本文所設計的網絡入侵系統是非常成功的，其能夠在短時間內發現入侵行為，并且入侵系統能夠滿足不同環境的需求，在網絡容量、平臺、計算機系統類型等發生變化之后還能夠正常工作[16]。

圖8 數據包的攻擊響應

5 結束語

在現代計算機研究過程中，網絡安全的研究備受重視，其中入侵檢測能夠有效解決網絡中的安全問題[17]。但是在計算機不斷發展的過程中，網絡安全涉及到的范圍也不斷擴大，所以就需要一個更加完善、精準及高校的入侵檢測系統[18]。本文設計了基于網絡的入侵檢測系統，并且對入侵檢測系統的結構設計進行了分析，之后檢驗了系統，表示此系統能夠滿足現代圖書館網絡需求，滿足預期的需求。