圖書館網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)裝置研究

任杏莉

(商洛學(xué)院圖書館，陜西 商洛 726000)

快速發(fā)展的計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)，為數(shù)字圖書館(一種虛擬圖書館，屬于多媒體制作的分布式信息系統(tǒng))的建設(shè)提供了強(qiáng)大的技術(shù)支撐。圖書館信息化的實(shí)現(xiàn)以數(shù)字圖書館作為支撐，數(shù)字圖書館對(duì)不同載體及位置的信息資源加以利用，實(shí)現(xiàn)了運(yùn)用數(shù)字化技術(shù)對(duì)數(shù)據(jù)進(jìn)行高效處理及儲(chǔ)存，通過智能檢索和無縫跨庫連接形成了海量知識(shí)數(shù)據(jù)庫，進(jìn)而在豐富數(shù)字化資源的基礎(chǔ)上顯著提高了圖書館信息化管理水平及資源的使用效率。與此同時(shí)，圖書館的安全問題也逐漸暴露了出來，如何及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為、保證圖書館的正常運(yùn)作，已成為目前領(lǐng)域內(nèi)的研究重點(diǎn)之一。

1 需求分析

作為信息資料集散地的圖書館可提供大量的文獻(xiàn)及資源等的查詢服務(wù)。隨著圖書館信息化建設(shè)的不斷深入，圖書管理員對(duì)網(wǎng)絡(luò)安全的重視程度不斷提高，確保圖書館網(wǎng)絡(luò)安全成為圖書館安全運(yùn)營的保障(在確保圖書館核心數(shù)據(jù)及資源安全的同時(shí)有效提升圖書館面向教學(xué)、科研及公眾的信息服務(wù)能力)。數(shù)字圖書館相比于傳統(tǒng)圖書館面臨更多的信息安全風(fēng)險(xiǎn)，而有效的安全風(fēng)險(xiǎn)規(guī)避及管理措施則需基于對(duì)這些信息安全風(fēng)險(xiǎn)的識(shí)別,以便最大程度降低這些風(fēng)險(xiǎn)可能造成的損失。為提高圖書館的服務(wù)與管理水平，以及為其滿足綜合效益要求提供支撐,信息安全研究在圖書館領(lǐng)域已逐漸從技術(shù)管理層面向風(fēng)險(xiǎn)管理層面轉(zhuǎn)移。目前，對(duì)圖書館信息安全及風(fēng)險(xiǎn)管理的研究雖然已取得了一定的進(jìn)展,但在圖書館網(wǎng)絡(luò)入侵監(jiān)測(cè)方面，仍以防火墻系統(tǒng)、病毒監(jiān)測(cè)系統(tǒng)等基礎(chǔ)網(wǎng)絡(luò)安全系統(tǒng)研究為主，難以完全保證圖書管理系統(tǒng)的安全，而網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)的第二道屏障(不包括防火墻)能夠有效處理包括錯(cuò)誤操作在內(nèi)的網(wǎng)絡(luò)內(nèi)外部入侵事件[1]。本文基于網(wǎng)絡(luò)安全對(duì)圖書館安全的重要性完成了一種圖書館網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)。

2 圖書館網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)設(shè)計(jì)

2.1 應(yīng)用技術(shù)分析

不斷發(fā)展的網(wǎng)絡(luò)安全入侵監(jiān)測(cè)技術(shù)為圖書館網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)提供了更加多樣化、多層次化的技術(shù)和方法，一些方法和技術(shù)經(jīng)過長期實(shí)踐后已取得了一定的成效。常用的監(jiān)測(cè)方法主要包括：1)模式匹配法，通過建立一個(gè)龐大的數(shù)據(jù)庫(包含所有合法數(shù)據(jù)及信息)完成對(duì)用戶請(qǐng)求的數(shù)據(jù)和數(shù)據(jù)包的逐一核對(duì)，在與數(shù)據(jù)庫一致的情況下才予以通行，此方法具備較高的準(zhǔn)確率，但因需對(duì)數(shù)據(jù)庫進(jìn)行隨時(shí)更新而增加了工作量；2)統(tǒng)計(jì)分析法，該方法主要通過設(shè)置閾值的方法完成對(duì)網(wǎng)絡(luò)異常的監(jiān)測(cè)過程，在超出閾值的情況下則認(rèn)定存在網(wǎng)絡(luò)攻擊行為；3)神經(jīng)網(wǎng)絡(luò)法，屬于智能模式的一種，具有自適應(yīng)、自學(xué)習(xí)的特點(diǎn)，以大量用戶實(shí)例為依據(jù)完成用戶行為輪廓的建立，再通過與正常行為對(duì)比完成對(duì)其行為是否為攻擊行為的判斷；4)模糊系統(tǒng)法，具體通過語言完成模糊模型的構(gòu)建，并將其應(yīng)用于網(wǎng)絡(luò)入侵監(jiān)測(cè)過程中；5)免疫系統(tǒng)法，在對(duì)歷史數(shù)據(jù)進(jìn)行收集和統(tǒng)計(jì)的基礎(chǔ)上，通過對(duì)短序列的調(diào)用(產(chǎn)生于系統(tǒng)正常運(yùn)行時(shí))完成對(duì)正常行為模式的標(biāo)準(zhǔn)定義，進(jìn)而完成對(duì)攻擊行為的最終確定；6)數(shù)據(jù)挖掘與融合法，基于數(shù)據(jù)(來源于數(shù)據(jù)庫或數(shù)據(jù)源)建立一個(gè)正確的體系，在此基礎(chǔ)上完成威脅程度標(biāo)準(zhǔn)的合理制定[1]。

2.2 系統(tǒng)功能設(shè)計(jì)

目前各院校已基本完成了滿足信息化發(fā)展需求的校園網(wǎng)絡(luò)的建設(shè)，為高校日常管理及教學(xué)帶來了極大的便利。校園網(wǎng)絡(luò)為圖書館更好地服務(wù)于全校教學(xué)、科研工作及提高資源利用率等提供了技術(shù)支撐，但由校園網(wǎng)絡(luò)安全問題導(dǎo)致的圖書館安全隱患日益突出，傳統(tǒng)的入侵監(jiān)測(cè)系統(tǒng)通常僅能對(duì)單一用戶異常行為進(jìn)行監(jiān)測(cè)，對(duì)入侵事件的監(jiān)測(cè)過程大多以微觀的角度為主，缺少從宏觀角度對(duì)網(wǎng)絡(luò)流量異常的分析，為彌補(bǔ)這一不足，本文根據(jù)網(wǎng)絡(luò)流量異常變化完成了圖書館網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)，基于網(wǎng)絡(luò)行為學(xué)完成了網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)架構(gòu)的構(gòu)建，設(shè)計(jì)的系統(tǒng)整體架構(gòu)如圖1所示[2]。

圖1 圖書館網(wǎng)絡(luò)入侵系統(tǒng)架構(gòu)示意圖

2.3 網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)模型

為有效彌補(bǔ)傳統(tǒng)入侵監(jiān)測(cè)系統(tǒng)在工作效率及穩(wěn)定性方面的不足，本文采用了基于自主運(yùn)行的并行程序的監(jiān)測(cè)機(jī)制，從而能夠獨(dú)立或基于其他程序運(yùn)行。本文采用自主代理的程序模式，系統(tǒng)運(yùn)行過程中可在無需重新啟動(dòng)系統(tǒng)的情況下對(duì)不同代理進(jìn)行動(dòng)態(tài)配置，各代理能夠?qū)D書館網(wǎng)絡(luò)系統(tǒng)中的入侵行為(包括異常和誤用)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，將監(jiān)測(cè)系統(tǒng)根據(jù)不同的功能劃分為相應(yīng)的代理，實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)的自主代理功能，自主代理入侵監(jiān)測(cè)系統(tǒng)架構(gòu)示意圖如圖2所示。

圖2 自主代理入侵監(jiān)測(cè)系統(tǒng)的架構(gòu)

1)網(wǎng)絡(luò)層，主要負(fù)責(zé)接收本層分類器中的審計(jì)數(shù)據(jù)，接下來由分類器完成審計(jì)數(shù)據(jù)的分類(根據(jù)相應(yīng)的原則)后向代理進(jìn)行傳輸，從而實(shí)現(xiàn)代理過程。入侵監(jiān)測(cè)系統(tǒng)在無需了解攻擊所使用的系統(tǒng)漏洞種類(或技術(shù)方法)的基礎(chǔ)上僅需對(duì)照某種攻擊所具備的特定信息即可有效實(shí)現(xiàn)對(duì)入侵的監(jiān)測(cè)，從而使監(jiān)測(cè)效率得以顯著提升。

2)代理層，作為監(jiān)測(cè)系統(tǒng)的核心，該層主要負(fù)責(zé)完成對(duì)審計(jì)內(nèi)容的計(jì)算，經(jīng)過多個(gè)代理的同時(shí)運(yùn)行，能夠進(jìn)一步提高監(jiān)測(cè)并行性。

3)分析層，通過分析層能夠計(jì)算獲得簡(jiǎn)單懷疑值的平均值,從而完成對(duì)異常行為的定期監(jiān)測(cè)，對(duì)系統(tǒng)日志中主機(jī)和網(wǎng)絡(luò)行為的統(tǒng)計(jì)結(jié)果(由代理層中的代理定期統(tǒng)計(jì)獲得)以及學(xué)習(xí)方式與系統(tǒng)中模式存在的差異進(jìn)行對(duì)比，在發(fā)現(xiàn)異常行為的情況下向管理層發(fā)出報(bào)警。

4)管理層，各主機(jī)管理層均在系統(tǒng)中起決策作用，通過管理層對(duì)所接收到的信息進(jìn)行統(tǒng)計(jì)并分析，根據(jù)分析層傳送的報(bào)告完成對(duì)系統(tǒng)入侵的監(jiān)測(cè)[3]。

3 系統(tǒng)算法實(shí)現(xiàn)

3.1 統(tǒng)計(jì)分析算法

統(tǒng)計(jì)分析模塊是圖書館網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)的主要模塊，統(tǒng)計(jì)分析算法流程如圖3所示。把一天分為24個(gè)時(shí)段，記錄各時(shí)段對(duì)應(yīng)的流量數(shù)據(jù)，每一時(shí)段結(jié)束后根據(jù)該時(shí)間段收集的正常流量數(shù)據(jù)對(duì)歷史流量數(shù)據(jù)進(jìn)行更新，如果在此過程中出現(xiàn)數(shù)據(jù)流量異常，則將該異常值作為歷史平均流量值使用之后的數(shù)據(jù)，在對(duì)數(shù)據(jù)流量進(jìn)行計(jì)算之后，如果當(dāng)前流量高于歷史流量，監(jiān)測(cè)系統(tǒng)就會(huì)自動(dòng)報(bào)警。通過解析模塊對(duì)流量是否異常進(jìn)行判斷，可有效排除因其他因素導(dǎo)致的流量異常[4]。

圖3 統(tǒng)計(jì)算法的基本流程

3.2 解析算法及數(shù)據(jù)結(jié)構(gòu)

解析算法模塊根據(jù)獲取的報(bào)警信息(由統(tǒng)計(jì)分析模塊傳送)判斷是否為流量異常，具體的判斷依據(jù)為：接收到連續(xù)警報(bào)(來自同一個(gè)對(duì)象)并且警報(bào)流量超過了閾值，此種情況下可判定為出現(xiàn)流量異常。具體判斷依據(jù)描述如下。

1)對(duì)象及歷史數(shù)據(jù)，對(duì)象輪廓的數(shù)據(jù)結(jié)構(gòu)如圖4所示，對(duì)象標(biāo)識(shí)由字符串表示，判斷異常時(shí)需以對(duì)象及歷史數(shù)據(jù)作為前提和基礎(chǔ)，通過浮點(diǎn)數(shù)組表示歷史平均流量及流量使用情況，歷史流量中的數(shù)據(jù)量用n表示(簡(jiǎn)化得到整數(shù))[5]。

圖4 對(duì)象輪廓的數(shù)據(jù)結(jié)構(gòu)

2)收集的數(shù)據(jù)信息，主要由編號(hào)(由32位無符號(hào)長整數(shù)構(gòu)成的字段)、對(duì)象標(biāo)識(shí)(指監(jiān)測(cè)的對(duì)象，為字符串)、生成時(shí)間、時(shí)間間隔、平均流量、包流量構(gòu)成，生成的時(shí)間字段采用常用時(shí)間形式表示，平均流量的字段采用浮點(diǎn)數(shù)表示，實(shí)現(xiàn)了平均流量的有效展現(xiàn)。

3)警報(bào)消息，主要由警報(bào)編號(hào)、對(duì)象標(biāo)識(shí)、異常流量(為浮點(diǎn)數(shù))、生成時(shí)間(和警報(bào)生成時(shí)間相同)、閾值(為浮點(diǎn)數(shù)，主要由某個(gè)對(duì)象的閾值構(gòu)成)、嚴(yán)重等級(jí)以及增量比構(gòu)成，生成時(shí)間用常用時(shí)間表示，增量比用浮點(diǎn)數(shù)表示。異常的流量值主要指警報(bào)異常的流量[6]。

4 系統(tǒng)主要功能的實(shí)現(xiàn)

4.1 數(shù)據(jù)的收集

本文所設(shè)計(jì)的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)主要通過對(duì)網(wǎng)絡(luò)傳送包的監(jiān)聽來實(shí)現(xiàn)監(jiān)測(cè)功能，網(wǎng)絡(luò)管理人員對(duì)捕獲的數(shù)據(jù)進(jìn)行全面分析，通過流量值與閾值的對(duì)比來判斷網(wǎng)絡(luò)是否遭到入侵。網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測(cè)使用以太網(wǎng)和網(wǎng)絡(luò)適配器相結(jié)合的模式對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包進(jìn)行收集，將數(shù)據(jù)包的監(jiān)測(cè)結(jié)果作為數(shù)據(jù)包重組的重要依據(jù)，并且將數(shù)據(jù)包轉(zhuǎn)換為可被使用人員識(shí)別的信息，從而完成網(wǎng)絡(luò)是否被入侵的判斷，數(shù)據(jù)收集的模式如圖5所示，數(shù)據(jù)捕獲流程如圖6所示[7]。

圖5 數(shù)據(jù)收集模式

圖6 數(shù)據(jù)包捕獲的流程

4.2 系統(tǒng)的評(píng)價(jià)

通過對(duì)網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)進(jìn)行驗(yàn)證，得到評(píng)價(jià)結(jié)果，截止2018年10月4日，獲取的24組數(shù)據(jù)包平均流量見表1，由表1得到數(shù)據(jù)包的歷史平均流量如圖7所示，得到的數(shù)據(jù)包攻擊響應(yīng)如圖8所示。本次實(shí)驗(yàn)對(duì)網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)數(shù)據(jù)包進(jìn)行監(jiān)測(cè)，歷史平均流量為23 210.5包，程序運(yùn)行一段時(shí)間，經(jīng)過攻擊之后的流量增加到10 000包/s，能夠快速發(fā)現(xiàn)入侵行為。因此該系統(tǒng)能夠適應(yīng)不同環(huán)境的需求，不受網(wǎng)絡(luò)容量、計(jì)算機(jī)系統(tǒng)或者不同平臺(tái)的影響，有效保障了圖書館信息系統(tǒng)的安全[8]。

表1 數(shù)據(jù)包平均流量

圖7 數(shù)據(jù)包的歷史平均流量

圖8 數(shù)據(jù)包的攻擊響應(yīng)

5 結(jié)束語

隨著信息化需求的不斷提高以及網(wǎng)絡(luò)安全涉及范圍的逐漸擴(kuò)大，人們對(duì)圖書館網(wǎng)絡(luò)安全提出了更高的要求，網(wǎng)絡(luò)安全是保障數(shù)字圖書館運(yùn)行和管理的基礎(chǔ)與重點(diǎn)，對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行有效的監(jiān)測(cè)已經(jīng)成為保障圖書館網(wǎng)絡(luò)安全的有效手段。本文設(shè)計(jì)的針對(duì)數(shù)字圖書館的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)，能夠較為精準(zhǔn)高效地監(jiān)測(cè)出入侵行為，避免入侵行為對(duì)圖書館安全造成影響，在圖書館建設(shè)及運(yùn)作過程中具有一定實(shí)用價(jià)值。