(河北工业大学 图书馆,天津 300130)
摘 要: 通过对当前高校图书馆网络现状进行阐述,提出要针对网络安全系统所存在的问题和不 足,将入侵检测系统与防火墙有机结合,进行联动防御来作为图书馆网络安全防御,并据此 提出了动态防御系统的体系结构与模块设计,并对其各部分功能、工作流程及特点进行了介 绍。
关键词:图书馆;入侵检测;防火墙;分布式;动态防御;网络安全
中图分类号:G250.7 文献标识码:A 文章编号:1007—6921(2009)10—0122—03
1 图书馆网络安全现状分析
1.1 图书馆网络现状
随着计算机和网络技术在图书馆日益广泛的应用,网络安全防御也变得越来越重要。现代高 校图书馆的网络是一个以服务为本、开放的、共享的、多应用并存的数据密集的网络,不仅 图书馆的各项传统业务工作,如图书采访、分编、流通,典藏等均由计算机代替了单一重复的 手工操作,而且在计算机网络基础上发展起来的信息检索、参考咨询等业务,更是已经离不开 计算机网络这个赖以生存的环境。网络入侵和攻击等事件日益频繁,给图书馆系统的管理维 护和读者的使用访问的都带来了极大的不便。一旦图书馆的网络发生瘫痪,整个图书馆都将 无法为读者提供服务。
1.2 图书馆网络所存在的网络安全威胁
当前图书馆存在的安全威胁主要有下面几种:
1.2.1 来自外网的攻击。一些未授权的非法网络用户企图非法访问图书馆的资源或怀着恶意破坏等不良目的而对图书 馆网络进行的攻击。主要有拒绝服务攻击和非授权访问尝试等手段,他们利用图书馆网络所 存在的漏洞或某些客户端系统补丁不全等进行频繁的预攻击探测扫描。
1.2.2 来自于内部的攻击。相对于外部攻击,还有很多攻击来自于内部。例如在图书馆局域网中,不同工作机之间频繁 的使用共享,为恶意木马的网络传播提供便利条件,使网络内满是ARP DDOS等网络攻击,甚 至造成整个局域网的瘫痪。
1.2.3 病毒的破坏。图书馆检索机的开放和电子阅览室提供U盘下载等服务,一旦U盘或某一台工作机感染病毒, 很容易造成工作机的交叉感染,使蠕虫病毒或冲击波等病毒恶意传播,它会损坏硬盘数据、 减慢网络运行速度,甚至有可能损坏工作机的系统和硬件。
由上面分析可以看出,虽然现在大多数图书馆都装有防火墙或者其他的一些防病毒软件,但 很多情况下并不能对攻击者实施有效的阻断和反击,为了保证能够对图书馆网络实施有效地 保护,就需要建立一个健全的网络安全防御系统。
2 防火墙技术与入侵检测技术
2.1 防火墙技术特点与分类
防火墙是指设置在不同网络(如可信任的单位内部网和不可信的公共网)或网络安全域之间的 一系列部件的组合。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据单位的 安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是 提供信息安全服务,实现网络和信息安全的基础设施,筑起网络的第一道安全防线。
当前流行的防火墙主要有下面几种:
2.1.1 基于包过滤的防火墙。包过滤防火墙可以根据下列变量来授权或拒绝对站点的访问:源地址、目的地址、协议类型 、端口号。
2.1.2 状态包过滤防火墙。状态包过滤在包过滤的基础之上,对内部状态表中的会话和连接进行跟踪,并做出相应的反 应。这种防火墙可以检测出违反协议标准的反常行为,提供了比简单包过滤更为灵活的功能 。大部分的状态包过滤防火墙用来防御DDoS攻击,并增加了SMTP邮件保护等其他安全功能。
2.1.3 基于代理的防火墙。基于代理的防火墙与上两种防火墙的主要区别在于,它是在应用级而不是较低的级别上进行 检测通信。这种防火墙能理解应用协议(HTTP、FTP等),可以拒绝任何与协议不匹配的数 据。现阶段,处于应用层的防火墙运行速度要大大低于前两种防火墙。另外,基于代理的防 火墙也存在协议适应性问题。
但防火墙并不是保护网络安全的灵丹妙药,它也存在很多不足,比如在防范针对应用层的攻 击方面,就显得力不从心,如:它无法消灭攻击源、无法防御病毒攻击和无法阻止内部攻击 等,而且它有时也会牺牲一部分有用的服务来保障局域网的安全。
2.2 入侵检测系统技术特点与分类
入侵检测技术是网络安全领域为弥补防火墙的不足而研究的计算机信息安全技术,它可以对 网络或操作系统上的可疑行为做出策略反应,及时切断资料入侵源、记录、并通过各种途径 通知网络管理员,提高信息安全基础结构的完整性,是防火墙的合理补充,被认为是防火墙 之后的第二道安全闸门。它在不影响网络性能的情况下能对网络进行监测,从而提供对内部 攻击、外部攻击和误操作的实时保护, 最大幅度地保障系统安全,是安全防御体系一个重要 组成部分。
2.2.1 入侵检测系统按照其数据来源来看,可以分为两类:①基于主机的入侵检测系统。基于主机的入侵检测系统主要使用操作系统的审计跟踪日志作为输入,某些也会主动与主机 系统进行交互以获得不存在于系统日志中的信息。其所收集的信息集中在系统调用和应用层 审计上,试图从日志判断滥用和入侵事件的线索。
②基于网络的入侵检测系统。
基于网络的入侵检测系统在通过在计算机网络中的某些点被动地监听网络上传输的原始流量 ,对获取的网络数据进行处理,从中获取有用的信息,再与已知攻击特征相匹配或与正常网 络行为原型相比较来识别攻击事件。
2.2.2 根据所采用的检测分析方法,入侵检测系统可分为误用检测系统和异常检测系统 :①误用入侵检测系统是检测网络数据信息与事先设定的条件是否匹配,如果发现匹配的数 据, 即认为发生入侵或攻击行为,系统触发一个警告。误用入侵检测系统具有较高的准确性,误 报率极低。但是,误用入侵检测系统只能检测系统已知攻击,并且维护包含所有已知入侵或 攻击方法的数据库,因此误用入侵检测系统对入侵或攻击的漏报率比较高。②异常入侵检测系统是建立正常或合法用户行为模型,一旦出现入侵或 攻击行为,则可以根据 偏离正常或期望的系统或用户行为而被检测出来。描述正常或合法活动的模型是通过各种渠 道收集大量历史活动资料并分析得来的。因此,异常入侵检测系统可以检测系统未知攻击, 漏报率极低。但是,异常入侵检测系统的误报率却极高,一旦系统或用户活动发生变化,且 该变化检测系统尚未学习到,则检测系统认为发生入侵,启动报警。
当前的入侵检测系统也存在很多问题,主要有缺乏高效网络包捕获与处理机制和与防火墙的 联动机制,系统缺乏可扩展性等。
3 系统的体系结构与模块设计.gif)
系统采用多级分布式的体系结构,可以根据图书馆网络的实际情况进行灵活部署,以适应不 同的网络拓扑结构,同时具有良好的可扩展性。整体结构如图1所示。
系统总体结构具有以下模块:网络引擎(网络探测器),主机代理(主机探测器),策略管 理中心,控制台和联动响应系统(动态响应模块)。网络引擎负责收集网络安全事件;主机 代理负责收集主机安全事件,然后把相关的信息传送到存储系统;控制台负责显示检测到的 安全事件及其详细信息,并可以接受管理员的指令,对网络引擎、主机代理的运行情况作出 调整;响应系统负责用E-mail报告用户自定义要报告的安全事件。系统的结构组成以及各模 块之间的信息流如下图2所示。
4 系统各部分功能及工作流程
4.1 系统模块功能
4.1.1 网络引擎部署在网络中进行监听,它以原始的网络数据包作为数据源。网络探 测器综合 采用误用检测和异常检测的方法,对获取的网络数据包进行分析,分析数据包的包头和其中 有效负载内容,检测出其中的网络攻击,并对攻击进行报警,将报警信息发送到策略管理中 心进行处理。网络引擎由规则匹配探测器和异常检测探测器构成,其中,规则匹配探测器采 用基于误用的入侵检测方法,异常检测探测器采用基于异常的入侵检测方法。
4.1.2 主机探测器部署在被保护主机上,它以主机的操作系统日志和各种应用程序日 志为数据 源,对主机上的用户行为进行实时监控,对重要数据文件和系统进程进行监控,以决定哪一 个进程和用户参与了对操作系统的一次攻击。主机探测器可分为数据收集模块、数据分析模 块、输出报警模块以及接收和响应控制指令模块。
4.1.3 策略管理中心是系统的核心控制模块,主要接收探测器发送的报警信息,将其 保存到数 据库,同时根据报警信息的不同级别,提交联动响应模块,向防火墙中添加规则,通过防火 墙阻断网络攻击,同时对探测器和防火墙进行各种控制。整个策略管理中心分为三个模块: 探测器服务器、控制台服务器和联动响应模块。三个模块之间采用进程间通信机制进行通信 。
4.1.4 控制台包括四个子模块:数据库控制、服务控制、入侵报警和身份认证。
4.1.5 动态响应模块实现与防火墙的通信。一方面向防火墙传递控制信息、添加/删除 防火墙规则,另一方面向策略管理中心传送防火墙系统状态等信息。
4.2 数据处理流程
上图中实箭头代表系统的数据流向,虚箭头代表系统的控制流向。因此,可以从数据流和控 制流两个角度对系统处理流程进行分析。整个系统的数据处理流程为:
4.2.1 主机探测器接收主机数据源,获取主机日志信息后,从规则库中读取入侵规则 ,根据主 机规则对主机日志进行分析,当检测到攻击后,按照统一的报警格式,向策略管理中心发送 报警信息。
4.2.2 网络探测器接收网络数据源,获取网络数据包后,从规则库中读取网络入侵规则,对数 据包头及内容进行分析,对规则进行匹配。当检测到攻击后,按照统一的报警格式,产生网 络报警信息并发送到策略管理中心。
4.2.3 策略管理中心接收到来自主机探测器和网络探测器的报警信息后,对各个探测器的报警 信息进行关联分析,将报警信息传送给控制台,显示给终端用户,同时将报警信息保存到数 据库,以供用户查询统计。
4.2.4 策略管理中心根据报警信息级别产生响应规则,发给动态响应模块。
4.2.5 动态响应模块产生具体的防火墙规则,添加到其控制的具体防火墙中。
4.3 数据控制流程
系统的数据控制流程为:
4.3.1 用户通过控制台进行控制操作,控制台向策略管理中心发送控制信息。
4.3.2 策略管理中心对控制信息进行分析,根据其控制对象转发给相对应模块。如果是主机探 测器控制信息,则转发给对应的主机探测器;如果是网络探测器控制信息,则转发给对应的 网络探测器;如果是防火墙控制信息,则转发给联动响应模块。
4.3.3 对于主机探测器,策略管理中心向主机探测器发送主机探测器控制信息,控制探测器开 /关,执行规则更新以及相应的响应操作。
4.3.4 对于网络探测器,策略管理中心向网络探测器发送网络探测器控制信息,控制探测器开 /关,执行规则更新以及配置文件等操作。
4.3.5 对于联动响应模块,策略管理中心向联动响应模块发送联动控制指令,控制防火墙开/ 关,以及对防火墙规则进行添加、删除、更新等操作。
5 系统特点
系统是在分析了当前流行的网络入侵防御技术及其发展方向和动态网络安全模型及要求,在 动态网络入侵防御模型指导下设计的。与传统入侵检测系统相比,主要有以下特点和改进: ①将入侵检测系统与防火墙有机结合,进行联动防御,改变了传统的安全防御系统单一的 防御手段。②将外部入侵和内部入侵分开检测,采用基于主机和基于网络两种方式兼备的分布式系统 ,并将误用检测与异常检测两种手段相结合混合检测,有效提高了检测效率和准确率。③系统采用了层次式的结构和开放式接口,使系统具有较好的互操作性和可扩展性,便于 日后改进。系统占用硬件资源相对较少,实现方便灵活,有一定的实用性。
6 结束语
图书馆的网络安全工作是一项需要持之以恒不断完善的工作,它与整个图书馆的发展建设有 着密不可分的联系。网络安全技术的发展日新月异,我们必须与时俱进,紧跟计算机网络技 术的发展不断提高自身的技术水平,不断增强人员与设备投入,才能在最大限度上保证图书 馆的网络的稳定,为现代图书馆的各项业务的开展提供有力的安全保障。
[参考文献]
[1] 袁亮环.分布式NIDS在图书馆网络安全保障中的应用[J].图书馆学研究,2007 ,(4).
[2] 李家春,李之棠.动态网络安全模型的研究[J].华中科技大学学报(自然科学 版),2003,(3).
[3] 崔健双,李铁克.网络信息系统安全研究现状及热点分析[J].计算机工程与 应用,2005,(35).
[4] 隆毅.分布式入侵检测系统在图书馆网络安全中的应用[J].情报探索,2007,( 12).
[5] 秦拯,张大方等.分布式入侵检测系统中告警相关的研究和实现[J].计算机 工程与应用,2005,(4).
[6] 张云鹏,胡飞,马春燕等.基于P2DR模型的分布式入侵检测系统设计与实现[ J].计算机工程与应用,2005,(35).