煙草企業(yè)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)探討

1、煙草企業(yè)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)探討    摘要：本文從目前的企業(yè)信息化發(fā)展?fàn)顩r出發(fā)，概述了煙草企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)以及企業(yè)開(kāi)發(fā)網(wǎng)絡(luò)入侵檢測(cè)的意義，從而進(jìn)一步探討了網(wǎng)絡(luò)入侵系統(tǒng)建設(shè)的關(guān)鍵技術(shù)，重點(diǎn)探討了入侵檢測(cè)系統(tǒng)構(gòu)建以及入侵檢測(cè)算法，詳細(xì)研究了一個(gè)改進(jìn)BM的入侵模式匹配算法，并通過(guò)實(shí)驗(yàn)驗(yàn)證其高效性。    關(guān)鍵詞：VLAN；防火墻；安全架構(gòu)     1. 引言隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，通過(guò)網(wǎng)絡(luò)傳輸?shù)母鞣N信息越來(lái)越多，各種計(jì)算機(jī)應(yīng)用系統(tǒng)都在網(wǎng)絡(luò)環(huán)境下運(yùn)行。目前在市場(chǎng)上很多企業(yè)已經(jīng)建立了企業(yè)網(wǎng)

2、站，電子郵件等系統(tǒng)，并且實(shí)施了ERP、電子商務(wù)、HR等信息系統(tǒng)，許多重要信息都存儲(chǔ)在網(wǎng)絡(luò)服務(wù)器中，然而在企業(yè)網(wǎng)絡(luò)技術(shù)迅速發(fā)展的過(guò)程中，網(wǎng)絡(luò)入侵事件的發(fā)生也漸漸的增多，曾經(jīng)作為最主要的安全防范手段的防火墻，已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。入侵檢測(cè)是網(wǎng)絡(luò)安全防御體系中繼防火墻之后又一項(xiàng)重要的安全技術(shù)，可以在系統(tǒng)入侵的全過(guò)程對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)檢測(cè)與監(jiān)控。2.  煙草網(wǎng)絡(luò)結(jié)構(gòu)及入侵檢測(cè)的意義任何一個(gè)企業(yè)的內(nèi)部網(wǎng)絡(luò)架構(gòu)搭建最初都是為了實(shí)現(xiàn)將不同物理位置的計(jì)算機(jī)鏈接成為一體，從而達(dá)到信息互通，這也是搭建企業(yè)網(wǎng)絡(luò)構(gòu)架的根本目的。具體以煙草企業(yè)為例，其內(nèi)部網(wǎng)絡(luò)由辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)構(gòu)成。為保證企業(yè)的辦公

3、網(wǎng)和生產(chǎn)網(wǎng)的相對(duì)獨(dú)立性，兩個(gè)網(wǎng)絡(luò)之間通過(guò)防火墻進(jìn)行隔離。整個(gè)網(wǎng)絡(luò)系統(tǒng)采用雙核心冗余和千兆主干，由核心層和接入層兩個(gè)結(jié)構(gòu)層次組成。辦公網(wǎng)絡(luò)系統(tǒng)的核心通常由兩臺(tái)思科C6509_Sup720核心交換機(jī)組成；生產(chǎn)網(wǎng)絡(luò)系統(tǒng)核心由兩臺(tái)思科C6509_SupI核心交換機(jī)組成，接入層交換機(jī)采用思科的35系列交換機(jī)?？傮w網(wǎng)絡(luò)構(gòu)架如下圖1所示。圖1 煙草企業(yè)網(wǎng)絡(luò)構(gòu)架圖由于煙草企業(yè)網(wǎng)絡(luò)應(yīng)用的復(fù)雜性，整個(gè)網(wǎng)絡(luò)根據(jù)應(yīng)用系統(tǒng)模塊（物流系統(tǒng)、動(dòng)力能源系統(tǒng)、制絲集控系統(tǒng)、卷包數(shù)據(jù)采集系統(tǒng)、生產(chǎn)調(diào)度系統(tǒng)、電視監(jiān)控系統(tǒng)以及MIS系統(tǒng)等）和地域進(jìn)行VLAN的劃分，從而達(dá)到減少各應(yīng)用系統(tǒng)間的相互影響，快速定位網(wǎng)絡(luò)故障的目的。在網(wǎng)絡(luò)安

4、全性方面除了設(shè)置常規(guī)的VLAN和防火墻之外，針對(duì)煙草企業(yè)網(wǎng)絡(luò)在生產(chǎn)、辦公、行業(yè)網(wǎng)和互聯(lián)網(wǎng)外網(wǎng)多級(jí)傳送的情況，探討系統(tǒng)內(nèi)部開(kāi)發(fā)入侵檢測(cè)系統(tǒng)，對(duì)數(shù)據(jù)進(jìn)行檢測(cè)監(jiān)控。系統(tǒng)在采用入侵檢測(cè)系統(tǒng)后，能夠主動(dòng)實(shí)時(shí)地監(jiān)控計(jì)算機(jī)系統(tǒng)，一旦有病毒入侵，入侵檢測(cè)系統(tǒng)會(huì)自動(dòng)的報(bào)警，并且啟動(dòng)防護(hù)達(dá)到阻擋病毒的攻擊，從而大幅度提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性能。另外，網(wǎng)絡(luò)在受到攻擊后，入侵檢測(cè)系統(tǒng)在阻擋了攻擊后也會(huì)收集相應(yīng)的攻擊相關(guān)信息，并把這些攻擊信息存入數(shù)據(jù)庫(kù)中，作為防護(hù)系統(tǒng)的知識(shí)庫(kù)，在以后的入侵時(shí)候會(huì)進(jìn)行相應(yīng)的比對(duì)。入侵檢測(cè)系統(tǒng)的主要作用如下：1)掃描并比對(duì)網(wǎng)絡(luò)中各種違規(guī)行為，對(duì)入侵行為進(jìn)行積極主動(dòng)的防止。2)對(duì)于其他的安全

5、措施防御不了的行為進(jìn)行檢測(cè)報(bào)警。3)掃描并發(fā)現(xiàn)網(wǎng)絡(luò)黑客所發(fā)出的攻擊行為，并向系統(tǒng)報(bào)警。4)舉報(bào)網(wǎng)絡(luò)計(jì)算機(jī)中存在的各種安全危險(xiǎn)。5)比對(duì)系統(tǒng)中各種攻擊行為，并把相關(guān)數(shù)據(jù)給系統(tǒng)管理人員，從而幫助管理員判斷網(wǎng)絡(luò)中的可能存在漏洞，便于及時(shí)修補(bǔ)。6)收集以前的攻擊數(shù)據(jù)，并存儲(chǔ)在系統(tǒng)相關(guān)數(shù)據(jù)庫(kù)中，形成知識(shí)庫(kù)，從而增加防御能力。3. 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)3.1入侵系統(tǒng)的體系結(jié)構(gòu)本文設(shè)計(jì)的煙草網(wǎng)絡(luò)入侵系統(tǒng)由四個(gè)子模塊構(gòu)成：數(shù)據(jù)采集子系統(tǒng)、分析子系統(tǒng)、異常處理子系統(tǒng)和系統(tǒng)管理子系統(tǒng)。在系統(tǒng)中起基礎(chǔ)作用，給整個(gè)系統(tǒng)提供原始數(shù)據(jù)的模塊是采集子系統(tǒng)。采集子系統(tǒng)由數(shù)據(jù)采集模塊和數(shù)據(jù)存儲(chǔ)模塊構(gòu)成，主要的功能是在系統(tǒng)

6、的輸出設(shè)備中采集相應(yīng)的數(shù)據(jù)，之后對(duì)數(shù)據(jù)進(jìn)行分析預(yù)處理，最后將其存儲(chǔ)在數(shù)據(jù)存儲(chǔ)模塊中，便于系統(tǒng)中的分析子系統(tǒng)進(jìn)行處理。在數(shù)據(jù)庫(kù)中，設(shè)計(jì)一個(gè)源IP地址目錄表格，從而記錄IP地址的頻繁變換。在系統(tǒng)中，分析子系統(tǒng)會(huì)實(shí)時(shí)的監(jiān)控每一個(gè)新IP地址，并產(chǎn)生變化日志，在對(duì)日志分析挖掘出規(guī)律后，分析子系統(tǒng)會(huì)對(duì)系統(tǒng)入侵等行為進(jìn)行合理化。異常處理子系統(tǒng)是系統(tǒng)的報(bào)警模塊，一旦出現(xiàn)異常，該模塊會(huì)及時(shí)報(bào)警，并通過(guò)網(wǎng)絡(luò)防火墻等設(shè)備共同維護(hù)網(wǎng)絡(luò)安全。管理子系統(tǒng)是對(duì)整個(gè)系統(tǒng)數(shù)據(jù)進(jìn)行管理統(tǒng)計(jì)和分析處理，重點(diǎn)處理的數(shù)據(jù)是系統(tǒng)流量和異常情況。系統(tǒng)的整體設(shè)計(jì)如圖2所示。圖2入侵系統(tǒng)的體系結(jié)構(gòu)圖圖2中對(duì)系統(tǒng)的各個(gè)子模塊之間聯(lián)系進(jìn)行了詳細(xì)的

7、闡述。在具體實(shí)現(xiàn)過(guò)程中，通常是采用分布式手法來(lái)計(jì)算，不同模塊可以運(yùn)行在不同計(jì)算機(jī)之中，資源的分布使網(wǎng)絡(luò)上各個(gè)資源都得到合理分配，不但提高效率也提高了網(wǎng)絡(luò)資源利用率。DDoS檢測(cè)器只有在檢測(cè)到網(wǎng)絡(luò)流量異常時(shí)才激活，檢測(cè)DDoS攻擊需要在數(shù)據(jù)服務(wù)器上安裝本系統(tǒng)JDBC驅(qū)動(dòng)器，網(wǎng)絡(luò)中其他客戶端從數(shù)據(jù)服務(wù)器上調(diào)用服務(wù)器采用的技術(shù)是RMI，這時(shí)將激活I(lǐng)P過(guò)濾器。流量一旦正常，不需要開(kāi)啟DDoS檢測(cè)器。具體實(shí)現(xiàn)分布式數(shù)據(jù)存儲(chǔ)時(shí)，通過(guò)分布式數(shù)據(jù)訪問(wèn)的3層結(jié)構(gòu)有效的對(duì)系統(tǒng)各個(gè)功能模塊進(jìn)行了隔離，從而減輕了系統(tǒng)中客戶端和服務(wù)器的負(fù)荷，合理化了系統(tǒng)中的各個(gè)布局。3.2 入侵檢測(cè)算法入侵檢測(cè)的算法種類繁多，目前探討

8、的比較熱門的是模式匹配算法，這主要是因?yàn)槟Ｊ狡ヅ渌惴ㄔ谌肭謾z測(cè)過(guò)程表現(xiàn)出良好的準(zhǔn)確性和實(shí)用性。本文所探討的煙草信息網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)為基于BM改進(jìn)的入侵模式匹配算法。a、該算法借鑒BM算法的壞字符啟發(fā)，將BM算法做進(jìn)一步的改進(jìn)。在進(jìn)行字符串匹配時(shí)，采取從右向左匹配的方式，當(dāng)發(fā)現(xiàn)正文和模式串中第j個(gè)字符的相應(yīng)的字符不等時(shí)，可以肯定模式串要向右移動(dòng)，因?yàn)橛捎诒敬纹ヅ涞氖。苿?dòng)是必然的，至少要移動(dòng)一個(gè)字符，因此根據(jù)本次比較的正文尾字符T(end)的下一個(gè)字符T(end+1)來(lái)決定移動(dòng)距離。如果T(end+1)不在模式串中，顯然就不用比較了，可以將模式串整體移動(dòng)到T(end+1)字符的下一個(gè)字符T(e

9、nd+2)開(kāi)始進(jìn)行下一輪的比較。如果T(end+1)字符在模式串中，這時(shí)可以將T(end)字符和T(end+l)字符結(jié)合起來(lái)，兩個(gè)字符整體T(team)作為壞字符啟發(fā)。如果字符組合T(team)在模式串中，就自接移動(dòng)模式串匹配到該文本字符組合T(team)處，進(jìn)入下一輪匹配：如果字符組合T(team)不在模式串中，就自接移動(dòng)模式串到字符T(end+1)處，進(jìn)入下一輪匹配。具體舉例描述如下表1所示。表1 改進(jìn)算法舉例描述表具體算法描述：（1）發(fā)生不匹配時(shí)，首先比較文本中的T(end+l)字符，根據(jù)比較結(jié)果去執(zhí)     行或者。（2）如果文本中的T(end+

10、1)字符不在模式串中，就直接將模式串跳到該文本字符T(end+1)的末尾，開(kāi)始進(jìn)行下一輪匹配。     (3)如果文本中的T(end+1)字符在模式串中，就將T(end)字符和T(end+1)字符結(jié)合起來(lái)，兩個(gè)字符整體T(team)作為壞字符啟發(fā)。如果字符組合T (team)在模式串中，就自接移動(dòng)模式串匹配到該文本字符組合T(team)處，進(jìn)入下一輪匹配:如果字符組合T(team)不在模式串中，就自接移動(dòng)模式串到字符T(end+1)處，進(jìn)入下一輪匹配。雖然多比較了幾個(gè)字符，但是移動(dòng)距離加大很多。改進(jìn)算法的匹配過(guò)程：第一次匹配：根據(jù)算法描述，T(end+l)即字符d不在模式串中，執(zhí)行算法描述，直接將模式串跳到該文本字符T(end+1)即字符d的末尾，第一次匹配結(jié)束。第二次匹配：根據(jù)算法描述，T(end+l)即字符a在模式串中，執(zhí)行算法描述，將T(end)即字符b和T(end+l)即字符a組合，T(team)為表中斜體字符即b和a組合。且字符組合T(team)在模式串中，所以自接移動(dòng)模式串匹配到該文本