王少英，黄留锁

(1.郑州交通职业学院信息工程系，郑州450062；2.河南教育学院电路与系统重点学科组，郑州450046)

随着网络时代的到来，Internet技术不断进步，电子商务发展前景极具创新活力，是正在广泛流行的一种商业手段。它为人类交换信息，促进科学、技术、文化、教育、生产的发展和现代人的生活质量提高做出了贡献。但同时它的安全问题也给我们带来了很大的困扰，企业、单位和个人越来越重视网络安全问题。

1 .网络安全问题现状

1.1 常见网络安全问题

由于Internet的全球性、开放性、无缝连接性、共享性、动态性特点，使得任何单位和个人都可以自由接入互联网，一些别具用心的人，会采用各种手段攻击破坏网站的正常运行。近几年来，网络安全事件在电子商领域主要表现在网页篡改、网络仿冒、拒绝服务攻击、恶意程序或病毒入侵等一系列层面上。

(1)网页篡改

网页篡改［1］是指用户自己的网页并没有授权给他人的情况下，却莫名其妙地被更改为其它网页，该网页的文件属性被修改，图片被更改，一些相关的重要信息都改头换面。一般来说，网页信息的更改，对计算机系统本身不会产生什么直接的损失，但是在电子商务交易的环境中，就会给买卖双方造成很大的影响。作为商家，自己的网页信息被更改，自己的交易就被迫停止，造成一定经济损失。对于企业网站来说，网页被篡改，企业的形象和声誉都会蒙受严重损害。

(2)网络仿冒

网络仿冒［2］也可以称之为网络欺诈。一个授权或者并未授权者进入某个系统以后，掌握了网站的信息数据，搞清楚了数据运行规律，或者是把某些重要信息进行解密以后，自己冒充授权合法用户的身份做一些欺诈性的事情。网络仿冒严重扰乱了正常的电子商务交易环境，对消费者的财产安全造成了一定的威胁。

(3)恶意程序或计算机病毒入侵

计算机病毒，是指编制或者正在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒是通过非法侵入来扩散的，计算机病毒程序把自己附着在其他程序上，等这些程序运行时，病毒就进入到系统中，进而大面积扩散，其中网络蠕虫就是一种计算机病毒。［3］

(4)拒绝服务攻击

拒绝服务，指的是系统由于被破坏者攻击而拒绝给合法的用户提供正常的服务。随着电子商务的兴起，人们对新兴电子商务网站的实时性要求越来越高，一些别具用心的人专门对某些网站进行攻击，控制多台或者大量的计算机对这台计算机进行大规模的访问，这个被访问的计算机穷于应付来路不明，气势凶猛的访问，没有办法提供正常的服务，造成目标计算机瘫痪。这种拒绝服务攻击，袭击者本身的风险很小，速度很快，在袭击开始前就可能逃之夭夭，不给对方打击报复的时间，被报复的可能性很小。［4］

1.2 安全问题在电子商务中的表现

电子商务交易的不稳定性因素，除了管理层面的因素外，还有技术层面的因素。传统的交易，买家与卖家都是面对面进行的，是在洽谈成功的基础上进行的交易，双方情况都互相了解，交易的原则都制定得很到位，所以不存在身份确认问题，也不用保证信息的私密性、完整性等一系列问题。而电子商务却不一样，商家与消费者，买方与卖方所有的商务活动信息都是通过网络来实现的，彼此并不需要见面，互不知情。因此，为防止网络欺诈，就需要保证信息的私密性和完整性。综上所述，电子商务系统中的安全问题突出表现为：［5］

(1)秘密性

商户和消费者传输的信息都属于自己的资源，大多数都不想让第三者知道，必须保证信息在传输过程中的秘密性。

(2)完整性

信息的完整性是指信息在传输或者存储过程中，信息不能被截取、丢失，不能被他人窃取。在网络交易过程中，交易的双方都必须保证发送方和接收方的信息保密，存储信息必须正确无误。如果交易的信息被泄露，用户的银行账号和重要信息被人获知，就有可能被盗用，造成不必要的损失;如果订货单和付款信息被截取，就有可能多一个商场竞争对手，丧失一些商机。信息的完整性是交易双方贸易经营策略的有力保障。

(3)身份确认

电子商务过程中，消费者与商户不曾谋面，很有可能身份被假冒，会给交易带来负面影响。所以，电子商务系统必须提供一套安全策略，保证交易双方的身份是相对确定的，不会给交易带来影响，以保证合作愉快进行。

(4)客户隐私权

每一个用户，尤其是消费者，自己的重要信息是不希望被商家知道的。比如说银行账号、密码、网上消费习惯等，商家也不应该知道这些信息，这属于隐私权。

2 .入侵检测系统

为了解决电子商务网络安全方面暴露出来的问题，当前电子商务中使用防火墙技术，在一定程度上保证对主机的安全访问，保证服务器与客户机的安全性，但用一种防护手段已不能满足网络发展的需求。防火墙技术存在明显的局限性：①它只能提供对外部攻击的保护，无法阻止网络的内部攻击和授权工作人员的误操作等入侵行为。②它只针对IP地址，对信息的控制缺乏灵活性。③防火墙本身易产生安全漏洞。因此，一个健全的网络安全系统不仅需要静态被动的防火墙技术，更需要一种从更深层次上进行积极主动的动态安全防御。入侵检测技术可作为防火墙之后的第二道安全防线。

2.1 入侵检测的定义

入侵检测［6］(Intrusion Detection，ID)是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵，并对此做出反应的过程。入侵检测系统(Intrusion Detection Systems，IDS)是指对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。它是安全体系的一种重要防范措施，它主动检测、识别和隔离入侵企图或计算机的未授权使用。

2.2 入侵检测系统的作用

在网络安全范畴内，网络内部和外部受到的攻击，网络用户或授权限的人员自己操作失误等受到的一系列威胁，入侵检测系统可以对其进行实时防御防护，并且在系统受到危害之前进行拦截，做出相应的响应，向管理员报警。提醒管理员及时采取措施，做好网络安全的预防工作，从而更加稳定地保证计算机网络的安全。［7］入侵检测系统的主要作用以下几个方面：

(1)对整个系统的运行状况进行全面监视，并且分析其用户类型，查找出合法用户的越权操作行为和非法用户的破坏行为;

(2)对整个系统进行检测，查看系统配置是否正确合理，是否存在安全漏洞，如果有安全漏洞，及时提示系统操作员进行修补;

(3)根据系统运行的状况，对非法操作活动行为进行统计分析，归纳梳理出攻击行为的运行规律;

(4)对系统数据进行检测，分析系统程序与数据是否一致，是否正确;

(5)对检测到的非法操作行为、攻击行为等能够及时做出相应的警响;

(6)对操作系统的审计进行跟踪管理，把违反安全策略的行为识别检测出来，并做相应的处理。

2.3 入侵检测系统的模型

最早的入侵检测模型是Dorthy Denning在1987年提出来的，又称Denning模型，当前的各种入侵检测技术都是在Denning模型的基础上扩展出来的。Denning模型是通用的检测模型，由六部分构成［8］。如图1所示。

图1 Denning模型

主体：是指在目标系统上进行实时活动的用户或其它实体。

对象：是指系统资源，例如系统文件、视频、图像、命令等。

审计记录：由主体、活动、对象、异常条件、资源使用状况和时间戳六个元素构成。

活动简档：保存系统运行时的正常数据信息。

异常记录：在发生异常事件时所表现的情况记录。

活动规则：依据系统的标准模型为准则进行分析，判断是否有异常行为，是否采取相应处理措施。

Denning模型的工作原理：依据正常用户使用的系统模式为标准，与入侵者使用的系统模式做比较，通过规则集提取规则来识别异常模式，检测攻击者的入侵破坏情况。

2.4 CIDF 框架结构

在Denning模型演化的基础上，不同的入侵检测系统之间的互操作性和共享性要想得到彻底解决，就需要设计一种通用的入侵检测系统的框架模型。Common Intrusion Detection Framework(简称CIDF)组织提出了一种通用的框架模型，目前在广泛地运用，如图2所示的CIDF入侵检测框架结构。［9］

CIDF将一个入侵检测系统分为四个组件。它将需要分析的数据统称为事件，事件可以是系统中的审计记录，也可以是系统日志获得的信息，还可以是数据包。这几个组件的功能各不相同。

事件产生器：从整个计算机环境中获得的各种信息事件，并把此事件提供给系统的其它组件。

事件分析器：把事件产生器传送来的事件进行数据分析，并把分析所得的结果判断是否报警。

响应单元：根据事件分析器的报警信号对相对的威胁攻击做出相应的对策反应。可以切断连接，可以改变文件的属性，也有只是单一的报警。

事件数据库：存储所有组件传递过来的各类数据信息的模块，已经处理过的和未处理的都保存在这一块。可以是单一的文本文件，也可以是一组复杂的数据库。

图2 CIDF入侵检测框架结构

CIDF模型的提出完成了几个目标的实现工作。第一，实现管理共享。计算机网络管理和入侵检测系统共享组成的组件，比如事件、事件数据库和响应单元组件。第二，实现信息共享。计算机网络管理和入侵检测系统的审计记录、数据信息、报告记录、入侵模式等信息，二者共享。第三，实现语言协议独立。入侵检测系统的模式设计为开放式，操作系统语言、网络协议可以独立。

3 .入侵检测系统在电子商务中的应用

3.1 电子商务对入侵检测系统的要求

当前的电子商务环境对其网络安全性要求越来越高，我们在构建电子商务入侵检测系统时需要满足下列条件和要求：

(1)设计的入侵检测系统首先要满足电子商务交易的基本安全。交易信息和数据的完整性、机密性、有效性要得到保证，买卖双方交易的文件或信息安全地存储、传送要得到保障，计算机病毒的破坏，非法入侵者的攻击要能够及时防护和主动抵御。

(2)根据电子商务交易环境的需求，入侵检测系统要灵活设置，交易具有分散性特点，设计的入侵检测系统可以分散设置，也可以将系统的软、硬件分开布置，只要做到统一管理和控制，采用联动机制，共同协作检测入侵，共同防护防御。

(3)自身的安全才能保证他人的安全。为此，设计的入侵检测系统自身要安全可靠。系统本身要研究设计好，抵抗性、适应性非常强，就像人的身体一样健壮，有较强的分辨是非的能力，不被他人所欺骗，在任何网络环境下都能适应并且安全可靠运行。

(4)设计的入侵检测系统可用性要好。它能根据系统环境的改变而做出相应的跟踪和反应，检测到异常行为按规定程序报警，不能失控，随时发送报警信号或者漏报。

3.2 电子商务中入侵检测系统的模型设计

由于电子商务网络安全的要求更高，分布式入侵检测系统更适合用在电子商务活动中。本文针对当前电子商务发展的多样性特点，设计一种入侵检测(IDS)和入侵防御(IPS)相结合的分布式入侵检测系统，其体系结构图如图3所示。

图3 分布式入侵检测系统体系结构图

在网络环境中运行的电子商务活动范畴，入侵检测系统可以这样来配备设置。整个电子商务入侵检测体系结构可以按两部分来划分。第一部分是服务器区域，我们在图上标识为“Server区域”;第二部分是浏览器区域，我们在图上标识为“Browser区域”。服务器区域和浏览器区域这两部分通过Internet进行互连。如果用“买家”和“卖家”来抽象理解，Server区域主要包括的就是卖家所在的网络环境。对于商家而言，这一块一般就是商家的分公司或者是多个营销点。这里的入侵检测系统就是为卖家服务的。这一区域主要有各个商家、单位、企业的网站以及这些网站所运行的网络环境。在Internet上最热门的服务之一就是环球信息网WWW(World Wide Web)服务，Web已经成为很多人在网上查找、浏览信息的主要手段。WWW是一种交互式图形界面的Internet服务，具有强大的信息连接功能。DATA Server储存大量的资料和数据，与WWW Server一起相辅相成。因此，服务器区域的主要功能就是发挥自身的特长，保护好网络环境，维护整个网络安全运行，阻止一切非法入侵和变相攻击行为的发生。在Server区域，我们灵活部署IDS入侵检测系统和IPS入侵防御系统。在Server区域的入口处，我们把IDS入侵检测系统以旁路的方式接入。这样设置，所有与这一区域交换的信息、数据都要经过IDS的入侵检测，这样如果出现不安全的行为或异常情况，IDS控制台和信息管理中心都可以及时做出相应的处理措施。而IPS入侵防御系统可以以串路的方式接在这一区域的入口处，弥补防火墙技术的不足，根据检测情况即时中断，隔离或调整一些不安全的网络异常行为，更进一步地保护Server区域的安全性。

相对应地，第二部分的浏览器区域就是买家所处的网络环境，也就是终端客户，要与卖家所处的网络环境紧密结合。结合这一实际情况，对于Browser区域我们可以这样部署分布式入侵检测系统：根据不同的情况可以设置分控制台，每一部分的控制与Browser区域的总控制台相连，这样它们之间可以相互协作，信息互通，关联分析，有效地保证更大规模的网络环境的网络安全。对于个体消费者来说，他们都属于终端客户，可以独自连接在Internet上，访问商家网站时运用的浏览器各不相同，因此可以根据具体情况安装入侵检测系统，提高个人计算机以及相关数据信息的安全系数。

3.3 入侵检测单元设计

一个完整的入侵检测单元，根据系统工作的不同阶段所承担的不同任务，可以分为数据采集模块、入侵检测模块、本地响应模块、全局响应模块、协作模块、通信模块等6个模块，如图4所示入侵检测单元框架。［10］

图4 入侵检测单元框架

数据采集模块，主要是捕获相关的审计数据，收集提取日志记录的数据信息，将捕获到的数据信息提取其特征，提供给入侵检测模块，为入侵检测模块的检测分析工作做好基础。

入侵检测模块是整个检测单元中最重要的组成部分，它最主要的功能就是对提取到的数据信息进行分析研究，分析系统程序与数据是否一致，是否存在攻击威胁，如果检测到可疑行为，入侵检测模块就会报警，会触发到本地响应模块，响应模块对反馈到的异常信息进行相应处理，可以报警，可以采取保护措施，也可以自动恢复数据。

协作检测模块根据整个系统运行状况的实际情况，在本地响应、全局响应、通信模块之间进行协同分析检测，根据节点与节点之间检测到的不同信息状况，协作模块就可以根据具体情况进行协同合作，把违反安全策略的行为识别检测出来。通信模块为入侵检测单元之间提供安全可靠的通信信道，它承担着合作数据信息的安全和权限管理，各个模块之间连接点与节点的维护工作，它还承担着反入侵设计以及信息标准化的职能。

4 .分布式入侵检测系统在电子商务中的应用分析

电子商务伴随着计算机网络日新月异的发展，保护网络中的信息安全成为制约网络发展的重要因素。从网络安全的多层次多角度防御出发，在电子商务网络环境中应用入侵防御和入侵检测相结合的分布式入侵检测系统具有以下优点：

(1)防御定位精确，检测效率高。分布式入侵检测系统是采用检测和防御两项功能相结合的入侵检测系统，入侵检测系统(IDS)以旁路的在入侵检测模块和响应模块之间运作，入侵防御系统(IPS)以串路的形式进行分析检测防御，这样无论是检测功能还是防御功能，都大大提高了工作效率，从而确保了电子商务交易的环境是安全的。

(2)系统健壮性、容错性、适应性强。因为商家的分公司和营销点分布不规则，我们采用分布式入侵检测结构，与总控制台连接着，各个客户端之间可以协同工作，关联分析。这样，假如一个连接点出现了故障不能工作时，不会影响到整个系统，各个节点之间容错性、适应性强，提高了整个系统的健壮性。

(3)系统的可扩展性好。随着电子商务的发展趋势越来越好，商家的分公司和营销点也会不断增加，入侵检测系统可以跟着分公司数量的增加而扩展，而且可以分级控制，各个网段之间可以协同工作，网络规模变化再大，也能保证整个系统正常稳定地工作，可护展性强。［11］

本文设计的入侵检测系统在一定程度上弥补了网络安全技术的不足，但也不是很完美。由于水平所限，对入侵检测技术的细节方面研究不深入，对系统知识掌握不够全面，在系统的具体实现方面，尤其是具体算法、程序设计等方面只是展开相关的理论框架上的研究，今后有待进一步深入研究和改进。

［1］孙宁.电子商务发展面临的网络安全问题研究［J］.现代经济信息，2013(1).

［2］赵继珍.浅析电子商务的网络安全问题［J］.中国商贸，2009(5).

［3］高鹭.电子商务中的网络安全问题浅析［J］.科技信息，2009(9).

［4］许志娟.试论电子商务网络安全问题［J］.湖北成人教育学院学报，2011(3).

［5］董清潭.电子商务中网络隐私安全保护策略［J］.信息系统工程，2012(1).

［6］谭晓波，张琴.防火墙技术在电子商务安全中的应用［J］.商场现代化，2007(3).

［7］王超.计算机网络安全中入侵检测系统的研究与设计［D］.电子科技大学，2007.

［8］林果园，曹天杰.入侵检测系统研究综述［J］.计算机应用与软件，2009(3).

［9］袁沛沛.网络安全入侵检测技术［D］.西安建筑科技大学，2008.

［10］曹利培，张志亮.入侵检测技术研究［J］.网络安全技术与应用，2009(3).

［11］毕战科，许胜礼.入侵检测技术的研究现状及其发展［J］.软件导刊，2010(11).