烟草企业网络入侵检测技术探讨
摘 要:本文从目前的企业信息化发展状况出发,概述了烟草企业网络结构以及企业开发网络入侵检测的意义,从而进一步探讨了网络入侵系统建设的关键技术,重点探讨了入侵检测系统构建以及入侵检测算法,详细研究了一个改进BM的入侵模式匹配算法,并通过实验验证其高效性。
关键词:VLAN;防火墙;安全架构
1. 引言
随着计算机技术的飞速发展,通过网络传输的各种信息越来越多,各种计算机应用系统都在网络环境下运行。目前在市场上很多企业已经建立了企业网站,电子邮件等系统,并且实施了ERP、电子商务、HR等信息系统,许多重要信息都存储在网络服务器中,然而在企业网络技术迅速发展的过程中,网络入侵事件的发生也渐渐的增多,曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。入侵检测是网络安全防御体系中继防火墙之后又一项重要的安全技术,可以在系统入侵的全过程对系统进行实时检测与监控。
2. 烟草网络结构及入侵检测的意义
任何一个企业的内部网络架构搭建最初都是为了实现将不同物理位置的计算机链接成为一体,从而达到信息互通,这也是搭建企业网络构架的根本目的。具体以烟草企业为例,其内部网络由办公网络和生产网络构成。为保证企业的办公网和生产网的相对独立性,两个网络之间通过防火墙进行隔离。整个网络系统采用双核心冗余和千兆主干,由核心层和接入层两个结构层次组成。办公网络系统的核心通常由两台思科C6509_Sup720核心交换机组成;生产网络系统核心由两台思科C6509_SupI核心交换机组成,接入层交换机采用思科的35系列交换机。总体网络构架如下图1所示。
图1 烟草企业网络构架图
由于烟草企业网络应用的复杂性,整个网络根据应用系统模块(物流系统、动力能源系统、制丝集控系统、卷包数据采集系统、生产调度系统、电视监控系统以及MIS系统等)和地域进行VLAN的划分,从而达到减少各应用系统间的相互影响,快速定位网络故障的目的。在网络安全性方面除了设置常规的VLAN和防火墙之外,针对烟草企业网络在生产、办公、行业网和互联网外网多级传送的情况,探讨系统内部开发入侵检测系统,对数据进行检测监控。
系统在采用入侵检测系统后,能够主动实时地监控计算机系统,一旦有病毒入侵,入侵检测系统会自动的报警,并且启动防护达到阻挡病毒的攻击,从而大幅度提高整个网络系统的安全性能。另外,网络在受到攻击后,入侵检测系统在阻挡了攻击后也会收集相应的攻击相关信息,并把这些攻击信息存入数据库中,作为防护系统的知识库,在以后的入侵时候会进行相应的比对。入侵检测系统的主要作用如下:
1)扫描并比对网络中各种违规行为,对入侵行为进行积极主动的防止。
2)对于其他的安全措施防御不了的行为进行检测报警。
3)扫描并发现网络黑客所发出的攻击行为,并向系统报警。
4)举报网络计算机中存在的各种安全危险。
5)比对系统中各种攻击行为,并把相关数据给系统管理人员,从而帮助管理员判断网络中的可能存在漏洞,便于及时修补。
6)收集以前的攻击数据,并存储在系统相关数据库中,形成知识库,从而增加防御能力。
3. 网络入侵检测系统的关键技术
3.1入侵系统的体系结构
本文设计的烟草网络入侵系统由四个子模块构成:数据采集子系统、分析子系统、异常处理子系统和系统管理子系统。在系统中起基础作用,给整个系统提供原始数据的模块是采集子系统。采集子系统由数据采集模块和数据存储模块构成,主要的功能是在系统的输出设备中采集相应的数据,之后对数据进行分析预处理,最后将其存储在数据存储模块中,便于系统中的分析子系统进行处理。在数据库中,设计一个源IP地址目录表格,从而记录IP地址的频繁变换。在系统中,分析子系统会实时的监控每一个新IP地址,并产生变化日志,在对日志分析挖掘出规律后,分析子系统会对系统入侵等行为进行合理化。异常处理子系统是系统的报警模块,一旦出现异常,该模块会及时报警,并通过网络防火墙等设备共同维护网络安全。管理子系统是对整个系统数据进行管理统计和分析处理,重点处理的数据是系统流量和异常情况。系统的整体设计如图2所示。
图2入侵系统的体系结构图
图2中对系统的各个子模块之间联系进行了详细的阐述。在具体实现过程中,通常是采用分布式手法来计算,不同模块可以运行在不同计算机之中,资源的分布使网络上各个资源都得到合理分配,不但提高效率也提高了网络资源利用率。DDoS检测器只有在检测到网络流量异常时才激活,检测DDoS攻击需要在数据服务器上安装本系统JDBC驱动器,网络中其他客户端从数据服务器上调用服务器采用的技术是RMI,这时将激活IP过滤器。流量一旦正常,不需要开启DDoS检测器。具体实现分布式数据存储时,通过分布式数据访问的3层结构有效的对系统各个功能模块进行了隔离,从而减轻了系统中客户端和服务器的负荷,合理化了系统中的各个布局。
3.2 入侵检测算法
入侵检测的算法种类繁多,目前探讨的比较热门的是模式匹配算法,这主要是因为模式匹配算法在入侵检测过程表现出良好的准确性和实用性。本文所探讨的烟草信息网络入侵检测系统为基于BM改进的入侵模式匹配算法。
a、该算法借鉴BM算法的坏字符启发,将BM算法做进一步的改进。在进行字符串匹配时,采取从右向左匹配的方式,当发现正文和模式串中第j个字符的相应的字符不等时,可以肯定模式串要向右移动,因为由于本次匹配的失败,移动是必然的,至少要移动一个字符,因此根据本次比较的正文尾字符T(end)的下一个字符T(end+1)来决定移动距离。如果T(end+1)不在模式串中,显然就不用比较了,可以将模式串整体移动到T(end+1)字符的下一个字符T(end+2)开始进行下一轮的比较。如果T(end+1)字符在模式串中,这时可以将T(end)字符和T(end+l)字符结合起来,两个字符整体T(team)作为坏字符启发。如果字符组合T(team)在模式串中,就自接移动模式串匹配到该文本字符组合T(team)处,进入下一轮匹配:如果字符组合T(team)不在模式串中,就自接移动模式串到字符T(end+1)处,进入下一轮匹配。具体举例描述如下表1所示。
表1 改进算法举例描述表
具体算法描述:
(1)发生不匹配时,首先比较文本中的T(end+l)字符,根据比较结果去执
行㈡或者㈢。
(2)如果文本中的T(end+1)字符不在模式串中,就直接将模式串跳到该文本字符T(end+1)的末尾,开始进行下一轮匹配。
(3)如果文本中的T(end+1)字符在模式串中,就将T(end)字符和T(end+1)字符结合起来,两个字符整体T(team)作为坏字符启发。如果字符组合T (team)在模式串中,就自接移动模式串匹配到该文本字符组合T(team)处,进入下一轮匹配:如果字符组合T(team)不在模式串中,就自接移动模式串到字符T(end+1)处,进入下一轮匹配。虽然多比较了几个字符,但是移动距离加大很多。
改进算法的匹配过程:
第一次匹配:根据算法描述,T(end+l)即字符d不在模式串中,执行算法描述㈡,直接将模式串跳到该文本字符T(end+1)即字符d的末尾,第一次匹配结束。
第二次匹配:根据算法描述,T(end+l)即字符a在模式串中,执行算法描述㈢,将T(end)即字符b和T(end+l)即字符a组合,T(team)为表中斜体字符即b和a组合。且字符组合T(team)在模式串中,所以自接移动模式串匹配到该文本字符组合T(team)处,第二次匹配结束。
第三次匹配:完成匹配。
b、算法性能测试
本文共测试二种模式匹配算法,分别是:BM算法、BMH算法、改进的算法。模式串我们任意输入,文本串由多篇英文文章组成。测试我们分别用不同的文本和模式,对BM算法、BMH算法、改进的算法进行匹配次数的测试。测试结果如表2所示。
表2 匹配算法的比较
通过以上测试数据,我们可以看出,在同一文本中,算法的执行时间与需要匹配的模式长度成反比。将改进的算法应用到入侵检测系统的检测引擎中,可以提高入侵检测系统的检测效率。
3. 结束语
随着网络技术的快速发展,网络安全事故的发生也渐渐的增多。网络安全防御体系中网络入侵检测是一项重要的安全技术,研究和探讨网络安全对烟草行业的发展带来巨大的利益。
参考文献:
[1]郭凤.军工企业涉密网络信息安全策略及其实现[J].网络安全技术与应用.2005.05.
[2]王连富.网络入侵检测系统模式匹配与协议分析的比较.2005.
[3].马民虎.互联网信息内容安全管理教程[M].北京:中国人民公安大学出版社,2007:37-40.
[4].蒋建春等.计算机网络信息安全理论与实践教程[M].陕西:西安电子科技大学出版社,2005:192-195
[5].陈琳羽.浅析信息网络安全威胁[J]办公自动化,2009,(02)