APP下载

如何利用分布式入侵检测系统保护数字化语音室网络安全

2013-04-12陈连安

合作经济与科技 2013年10期
关键词:语音室服务器端数据包

□文/冯 雪 陈连安

(河北金融学院 河北·保定)

前言

随着计算机网络的迅猛发展,网络安全问题也日益严重,单一的集中式的入侵检测系统已不能满足网络安全发展的需要,分布式入侵检测系统应运而生。通过管理端对局域网络各个位置的Agent客户端进行统一部署策略和实时监控,加强了网络的安全。由于数字化语音室信息系统具有Web访问的功能,容易被攻击。在数字化语音室信息系统的安全防御体系中,数据保密、数据完整性、访问控制、系统认证等安全功能,如果只是依赖一种网络安全产品和信息安全技术是不可能实现的。可以利用那些信息安全的新产品和技术,如针对网络的网络审计系统、动态防御的入侵检测系统、静态防御的防火墙等,对那些重要的安全部件进行有效的结合和联动,这样可以满足网络安全领域研究的需要,也是实现系统安全管理的需要。而建立一个智能化的实时入侵识别和响应系统,能在网络环境下实现实时的入侵检测,全面检测可能的入侵行为,发现入侵时,及时阻断入侵行为,就显得尤为重要。

一、数字化语音室的特点及遇到的威胁

数字化语音室采用了TCP/IP网络协议,通过数字控制信号控制数字文本信号、声音信号、图像信号来实现课堂教学、独立学习、网络化考试功能,可进行文字、语音视频输入,VOD、AOD点播等教学功能。按其系统结构分为三大部分:服务器控制系统、网络数据传输系统、用户语音终端系统。按其网络结构可以把数字化语音室信息系统划分为两个大类:第一类是以太网网络结构数字化网络语音室;第二类是以太网和互联网混合结构的语音室。数字化语音室信息系统以计算机网络为主体,采用TCP/IP网络协议,利用流媒体技术,通过数字控制信号控制,使显示部分和声音部分以数字信号形式在以太计算机网络内进行传输。从网络安全环境平台和安全业务这两方面进行考虑,由于数字化语音室信息系统的具有Web访问的功能,所以容易被攻击,如何在发现入侵时,阻断入侵行为显得尤为重要。这就需要我们借助通过分布式入侵检测系统保证网络安全。

二、分布式入侵检测系统的优势

入侵检测系统分为3种:主机型、网络型、分布式入侵检测系统,针对入侵检测系统无法同时对付来自网络内部或网络外部的攻击,分布式的入侵检测系统逐步取代了集中式的入侵检测系统。它的优势体现在以下几个方面:①分布式的入侵检测系统能够在较大的范围内进行检测;②能够通过对系统日志、记录进行实时的监控达到检测可疑行为的目的;③面对分布化的系统攻击行为,能够防御协同的攻击行为;④能够采用不同的检测算法、进行协同处理来提高检测准确性;⑤现在网络的传输速度很快,面对蜂拥而至的数据包,通过分布化的处理数据包,有效控制了检测瓶颈,防止了系统的漏测。

三、分布式入侵检测系统的构成及工作原理

(一)针对分布式入侵检测系统的研究,可以从服务器端和客户端两个方面进行综合考虑。它的构成:在服务器端采用C/S结构,对其进行正确配置后,能够达到对局域网内各个位置客户机进行控制,实现对扫描、DoS、特洛伊木马等攻击进行有效检测,达到加强网络安全的目的。服务器端主要由以下3个模块构成:身份认证模块、与客户机通信模块、全局策略设置模块。身份认证模块主要是对登录管理端的管理员用户进行一个身份认证,认证信息匹配则允许其对数据库的操作。与客户机通信模块主要完成与客户机的通信,与客户端建立链接后,可以根据全局配置策略向客户机下达命令。全局策略模块主要是从控制台进行整个系统的全局策略的设置。当客户端发现入侵以后,马上将入侵事件上报服务器端,同时也会发送邮件进行报警。这样,从服务器端就可以对整个局域网络进行一个实时监控。

客户端的设计分为捕包分析、系统进程、记录日志、报警、与服务器端通信等几个模块。捕包分析模块将捕获的数据包交给包分析引擎,它将数据包初步解析成IP包和ARP包,然后将IP包进一步解析成TCP包、UDP包、ICMP包。然后将捕获的数据包写进一个队列中,通过与入侵数据库的特征相结合的办法来检测各类扫描攻击和DoS攻击。系统进程模块通过Windows进程与端口的关联,匹配系统正常进程数据库,通过比较提取出系统可疑进程,然后匹配木马常用端口数据库,检测木马。记录日志模块主要是对将网卡设为混杂模式而捕获的网络数据包解析后写入日志数据库中。写入日志记录数据库的数据,可以进一步为数据处理服务。报警模块包括两个方面,一是通过SMTP协议发送报警邮件到指定邮箱;二是将入侵事件写入远程服务器端数据库。与服务器端通信模块主要是与服务器端建立连接,相互之间通过消息进行通讯,发现入侵事件,写入远程服务器端数据库。

(二)基于移动代理的分布式入侵检测系统工作原理分析

1、多线程捕获网络数据包进行协议分析,匹配入侵特征库检测扫描攻击、DoS攻击。Winpcap为win32应用程序提供访问网络底层的能力,通过监听共享网络上传送的数据包,帮助以太网数据流监视软件功能的实现。但它不能用于QoS调度程序或个人防火墙,它能优化处理数据包。在程序中建立一个公共的数据包缓冲池,这个缓冲池是一个LILO的队列。于是在程序中使用3个线程进行操作:一个线程只进行捕获操作;另一个线程只进行过滤操作,检查其是否满足过滤条件,如果不满足则将其删除出队列;第3个线程进行数据包处理操作。

2、通过Windows系统进程与端口映射结合木马端口库来检测特洛伊木马。端口使用IP地址和端口作为套接字,定位主机中的进程,使得两台计算机能够找到对方的进程进而进行通信。通过对Windows系统进程与端口的关联映射,匹配系统正常进程的数据库,通过比较,发现可疑进程后终止其运行,达到检测木马的目的。

3、检测到入侵攻击后报警。一方面向指定邮箱发送邮件;另一方面把检测到的入侵信息写入远程服务器端数据库。

4、主动连接服务器端。本系统客户端参考特洛伊木马中的“反弹连接”技术,把它应用到DIDS中,本系统客户端一经上线,马上主动到指定邮箱读取邮件,从邮件内容获得本系统管理端IP地址,进行主动连接,从而方便了服务器端管理。

根据数字化语音室信息系统的结构特点、安全需求,以及系统中存在的安全风险,运用分布式入侵检测系统的设计方案来确保数字化语音室信息系统安全,有效地阻止扫描攻击、DoS攻击。

猜你喜欢

语音室服务器端数据包
Linux环境下基于Socket的数据传输软件设计
高校英语语音室教学的信息化管理分析
SmartSniff
浅析异步通信层的架构在ASP.NET 程序中的应用
高校英语语音室管理存在的问题及有效对策
数字网络化语音室的维护与管理探析
基于Qt的安全即时通讯软件服务器端设计
数字多媒体语音室的作用及其在大学英语教学中的应用策略
视觉注意的数据包优先级排序策略研究
网页防篡改中分布式文件同步复制系统