本站原创关键词:入侵检测;电子商务;攻击;设计与实践
一、引言
我国电子商务在近年有了快速的发展,但在其发展的过程中网络上的信息安全问题成为了制约其发展的重要因素。日趋成熟的攻击手段,特别是对电子商务网站的攻击,造成了越来越多的网上交易安全问题。人侵检测就是监控计算机或网络上的事件并分析它们已发现人侵的过程。本文基于网络对入侵检测系统进行了设计,并通过实验测试,证明入侵检测系统在电子商务中发挥了重要的作用,在一定程度上能对攻击起到阻截、预警的作用。
二、基于网络入侵检测系统模型设计(如图1所示)
图1 网络入侵检测系统模型图本系统包含如下功能模块:数据包截获及分析模块、检测引擎、控制中心、存储模块和通讯模块等。数据包截获及分析模块、检测引擎、控制中心以及存储模块通过通讯模块交换信息。这些模块可以分布在不同计算机上,既相互独立,又相互协作,共同完成对入侵攻击行为的检测和处理。
1.通讯模块
通信模块完成可靠的信息处送功能,其它系统功能通过它来完成信息的交换和共享。任何符合其标准的部件都可以通过该模块和其它模块进行通信,其它模块都有一个符合通信标准的接口,模块间的通信采源于:党校毕业论文www.808so.com
用对等方式或客户服务器模式。
2.数据包截获及分析模块
该模块通过调用Winpcap函数库中的相应函数从网络适配卡中直接抓取底层数据包,然后利用协议分析技术对数据包中的数据进行译码,将所捕获的数据包中的关键信息(如IP地址、端口、有效数据负载等)按照一定规则进行组织,并初步对相应的针对协议的攻击进行检测。
3.检测引擎
检测引擎是执行入侵检测的核心功能模块,分布在需要进行入侵检测的网段上,可以独立运行,但通常是在控制中心的统一管理下运行。检测引擎实时检测从数据包截获及分析模块传来的数据,对其进行监视、统计和分析,发现可疑行为,记录攻击行为,并通过响应模块在控制中心上进行显示。
4.响应模块
响应模块采用多种措施对检测引擎检测到的入侵行为进行响应,如记录、报苦、切断网络连接等。同时也可以和防火墙构成联动防御体系。
5.存储模块
存储模块的主要功能是根据定义好的控制策略对相应的数据包和警报信息进行存储,用于事后进行入侵分析,同时也是对入侵者进行法律制裁的证据。存储模块可以采用多种方式进行存储,即可以存放在文本文件中,也可以存储在大型数据库中。
6.控制中心
控制中心是整个系统的控制决策中心,安全管理员通过它来配置系统的安全策略、设定运行参数、更新入侵特征规则库、观察系统的运行情况以及监测系统的安全状况等。
三、入侵检测系统在电子商务中的应用模型
将传统的入侵检测系统,与电子商务系统的特点结合起来,建立一个电子商务系统的入侵检测防御模型(如图2所示)。图2 电子商务入侵检测系统防御模型图
Web(Web Agent)组件用来收集与安全相关的原始数据,并把数据发送给分析引擎(Analysis Engine),同时它也接收从响应模块(Response Module)返回的数据,根据此数据来判断当前所的请求是否通过。该组件可作为插入模块放在所应用的Web应用层中。在电子商务中,我们将Web作为一个模块插入在电子商务的Web应用层,用来收集客户端所请求的数据[3]。
分析引擎(Analysis Engine)组件接收Web Agent来的原始数据,并从数据库中的规范文件(正确的、有效的行为列表)中调用数据与当前的请求数据相比较,从而决定当前的请求中是否含有恶意信息。
响应模块(Response Module)组件在分析引擎分析的基础上来执行一些预先定义好的响应动作。如果发现有恶意的信息则将其保存到数据库中,作为进一步分析所用和作为入侵凭证。
数据库(Database)组件用来为整个IDS提供持久化的数据库。本文的数据库使用的是My SQL,从Web Agent中得到的HTTP信息是XML格式,在将恶意的信息存储到数据库之前必须将其转化为Ja形式。这里用的技术是Dom4j的Visitor Support。
四、入侵检测系统的实验测试
本实验主要是SQL注入的攻击测试,SQL注入是一种传播范围及广,及其危险的注射方式。用基于行为模型的入侵检测系统三重检测模型中的Parameter检测模型可以很好的检测到这种攻击。信息收集:Web Agent放置在Web应用中,用来收集客户端所请求的HTTP数据,并且标准化成XML格式。标准化之后,信息就如以下所示:account_number
101’or’1=1
信息分析:Web IDS行为模型的分析引擎在分析之前,先将从Web Agent接受的HTTP数据转化成Ja对象,这主要用到的是Dom4j的Visitor Support。以下是入侵检测系统中定义的规则文件:
Rule044
SQL Injection
2.0
Req Post
[0-9]{1,}\W{0,}=\W{0,}[0-9]{1,}
y
256
no
响应行为:Web IDS
deny
Request was denied, because of the following
Reason:
…
Action009
log content
当客户端请求“101’or‘1=1”时,系统将会反馈给客户端如下的错误页:
图3 错误页面图
并记录如下的日志形式,以便将来分析所用:
图4 日志记录图
并将次恶意的攻击信息如下形式记录在数据库中:
图5 数据库存储图
五、结语
电子商务在当今的社会生活中具有重要的作用,保证它的安全是众多的网络科研工作者所义不容辞的责任。本文所探讨的入侵检测系统防御模型,在一定程度上能对攻击起到阻截,预警的作用。
参考文献:
王茜,杨德礼.电子商务的安全体系结构及技术研究[J].计算机工程,2003,(0l).
张铭来,金成鹰.网络入侵检测系统存在的漏洞及其对策研究.计算机工程,2002,28(1):35-38.
[3]蒋建春等.网络安全入侵检测:研究综述.软件学报,2000,(11).