徐翔俊（云南师范大学文理学院信息工程学院，昆明650222）

小型商贸企业层次化入侵检测系统构建研究

徐翔俊
（云南师范大学文理学院信息工程学院，昆明650222）

随着互联网的迅猛发展，网络安全形势日益严峻。在广泛采用的分布式应用环境中，以往简单的部署入侵检测已不能有效地保护企业的网络安全。尤其在小型商务企业中，对网络基础设施的投入有限，管理和维护技术较为薄弱。针对小型商贸企业提出层次化入侵检测系统的构建策略，并以实际案例进行构建，利用OPNETModeler进行的网络仿真测试，验证小型商贸企业层次化入侵检测系统的可行性及其科学性。

网络安全；入侵检测系统；小型商贸企业；仿真测试

0　引言

目前，黑客经常利用网络的开放性攻击一些商务网站，导致一些企业的网站服务不能正常使用，贸易和商务交流无法正常进行，给企业造成较大损失。所以电子商务企业最关心网络系统安全的问题，这除了与网络固有的开放性、共享性特点有关外，还与企业对入侵检测系统的部署的重视程度不高有关。目前，中小企业占我国企业总体85%左右，但由于技术和专业人员的匮乏，中小企业对网络通常缺乏警惕性，对网络安全疏于管理与维护，往往在受到攻击造成损失后才会关注网络安全及管理。

传统的网络安全技术如用户授权与认证、访问控制、数据加密、数据备份等已经不能满足目前网络安全的需要，为了保障网络系统安全，必须构建完善的安全防护体系，进行多层次、多手段的检测和防护。在网络安全系统中，通过数据和行为模式来判断其是否有效地入侵检测系统，是简单易实现的网络安全系统，同时可以按照一定的安全策略建立相应的安全辅助系统。从目前高速发展的电子商务来看，入侵检测系统还应具有识别入侵者和识别入侵行为、检测和监视已成功的突破、为对抗入侵及时提供重要信息等特点，同时需要在原有的基础上增加对未知入侵行为的防御、对已知入侵行为的遏阻。

本文主要针对小型商务企业入侵检测系统的构建进行探讨和分析，以某文化传播有限公司为实际案例对象，通过对入侵检测技术的探讨与研究部署，分析该公司现有的网络环境与现有入侵检测系统部署，在总结某文化传播有限公司以往所受到攻击的案例上得出现有入侵检测系统的缺陷，对该公司现有的入侵检测系统部署进行改进和总结经验，为今后小型企业的网络安全技术的开发和应用提供一定的参考。

1　构建小型商贸企业层次化入侵检测系统的策略

1.1入侵检测系统概述

入侵检测系统（Intrusion Detection System，IDS），是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。而IDS在应对自身被攻击时，对其他传输的检测也会被抑制。目前常用的有基于主机的入侵检测系统（Host-based IDS, HIDS）、基于网络的入侵检测系统（Network Based IDS, NIDS）和分布式入侵检测系统（Distributed IDS,DIDS）。

HIDS比较适用于较小网络规模且网络之间没有完全互联的网络环境，主要用于对运行关键应用程序的服务器的保护。通过监控与分析主机的审计记录和日志文件来检测入侵。

NIDS采用原始的网络数据包作为数据源并收集和实时分析整个网络中流动的数据包，从而检测是否存在入侵行为。主要通过将网卡设置为混杂模式以监听网络上所有分组并收集数据，分析可疑行为，实时监控网络关键路径的信息。NIDS通常部署在比较重要的网段内，对流经的每个数据包或可疑的数据包进行分析。

DIDS一般指部署在大规模网络环境下的入侵检测系统，用来检测整个网络环境的安全状态，包括网络本身和其中的主机系统。基本功能为检测系统的I/O数据是否满足安全策略、数据集中显示与分析、全局预警机制、分布式的管理和维护。突出优点为可以进行多点检测克服了普通入侵检测系统只能检测单一的网络出入口的弱点，同时可以将日志进行统一管理、统一分析，更易于分析网络中存在的安全事件。因此，分布式入侵检测系统的全局与预警机制可以保证各个控制中心较好地协同工作，一旦某点发现异常，全网戒备，有效地阻断网络攻击事件。

1.2小型商贸企业层次化入侵检测系统的构建策略

无论是基于主机还是基于网络的入侵检测系统，其功能都集中单一，难以满足现代商贸企业的需求，而分布式功能虽然强大，对于大多数中小型商贸企业来说系统投入过大。本文研究重点为如何根据小型商贸公司实际网络状况、业务需求和发展方向后，结合以上的IDS系统各取所长，构建满足企业需求的综合性的层次化入侵检测系统来保障企业的网络系统安全。本文基于对某文化传播有限公司进行层次化入侵检测系统的构建分析，提出构建小型商贸企业层次化入侵检测系统的策略如下：

（1）自顶向下层次化调整或重新构建企业网络结构，可以方便实现有效的网络管理，便于网络维护，为构建层次化入侵检测系统奠定网络基础；

（2）增加核心路由器的管理服务器，同时设置Snort监测点对主干网络的数据进行入侵检测，利用管理服务器对Snort监测点的反馈信息进行及时响应和处理；

（3）把网络划分为若干子网，每个子网设置独立的网络防火墙，增加配套的网络管理服务器和Snort监测点。这样不但可以有效地对企业内网进行规划，合理分配企业网络的内网资源，高效进行内网管理，还可以通过检测子网数据，有效防止企业网络内部的相互攻击，有效提高入侵检测的效能；

（4）子网管理服务器和核心管理服务器之间利用管理软件，构建入侵检测反馈响应机制，定期进行日志信息的交流，更新核心路由器路由规则，以及防火墙的检测规则。

2　小型商贸企业层次化入侵检测系统的构建

为了探讨小型商贸企业层次化入侵检测系统的构建方法，阐述实施小型商贸企业层次化入侵检测系统的策略，本文以某文化传播有限公司为例进行分析和探讨其层次化入侵检测系统的构建。

某文化传播有限公司是一家以自由创新为核心理念的动漫制作发行及广告设计代理的综合性公司。公司原有的入侵检测部署拓扑图如图1所示，网络总体采用分布式拓扑结构，与Modem相连的中心控制台、内网防火墙和DMZ防火墙构成三个中心节点。中心控制台位于外网，监控整个网络的流量通信状况。内网防火墙负责保护公司日常工作业务的安全，内外都部署有Snort传感器进行实时流量分析并协助中心控制台的监控，DMZ防火墙主要是对进入服务器群的访问流量进行监控，由于服务器只提供访问业务，结合防火墙的安全策略和Snort辅助监控。

利用小型商贸企业层次化入侵检测系统的策略，对某文化传播有限公司的入侵检测进行层次化入侵检测系统构建，提出基于Snort的IDS层次化部署如下图2所示。

新构建的公司局域网采用的是层次化构建方式，对IDS的部署有很好的借鉴作用。由于公司网络扩展后网络宽带和网络流量会日益加重，传统的IDS在处理这种高速网络数据时，往往出现丢包率过大，误报率高等特点，同时大量的报警信息处理工作也会给网络管理人员带来很多麻烦，于是提出分布式层次化的IDS布局，因此公司的IDS点的部署也采用分布式层次化的部署方案，其中主中心控制台上（CT1）IDS点的部署对Snort的安装为内嵌模式，但不作为正常的网桥使用，不提供数据包转发功能，类似于网卡的混杂模式的工作方式，即过滤经过Router的异常数据。

图1　某文化传播有限公司原有的入侵检测系统布置示意图

图2　某文化传播有限公司基于Snort的IDS层次化部署

具体的部署分析：IDS是基于Snort的部署，整个网络主要分为基于主机的IDS部署和基于网络IDS部署。局域网的层次化主要体现在自上而下的结构布置：中心路由器Router负载整个公司网络数据进出的调度。中心控制台（CT1）与之相连，中心控制台区域部署主机IDS和网络IDS，担负整个网络和路由器的负载的数据量的收集和分析。往下是两子网防火墙，防火墙外部都部署IDS，两子控制台CT2和CT3分别和各自相邻的防火墙连接，分别监控各自防火墙的状态及下属子网内部网络状态。每个IDS监测点除了负责各自网段的监控任务外还对捕获的异常信息反馈给中心控制台（CT1），中心控制台根据收到的异常信息类型指派监测点采取相应的措施。

3　仿真测试验证及数据分析

为了验证针对某文化传播有限公司构建的层次化入侵检测系统的网络性能，本文简化了网络拓扑结构，利用仿真实验使用的OPNETModeler 14.5，通过一个简化后的网络拓扑结构图来进行测试整个以太网的流量信息，主要针对网络延迟、网络中心路由器Router的性能、服务器群的网络性能、数据库服务器性能等方面进行仿真测试。

（1）网络延时

图3的上图为原有网络延时，下图为进行层次化入侵检测系统构建后的网络延时。从图中可以看出，整个网络的延时高峰时达到0.4微秒，构建后的网络延时只是接近0.4微秒，网络延时的突发性和整个网络的延时有所降低。虽然网络进行了新的层次化入侵检测系统构建，在用户数量级访问量增加的情况下，网络延时并没有的增加。因此，进行层次化入侵检测系统构建后的网络扩展性能依然保持良好，可以提供稳定的网络性能。

图3　网络构建前后的延时曲线

（2）网络中心路由器Router的性能

图4和图5的上图为原有网络延时，下图为进行层次化入侵检测系统构建后的网络延时。从图中可以看出，构建后的网络结构及更换高性能的路由器后，网络拥挤情况明显减少，扩展后网络中对拥挤数据包的接受处理速度接近于零，处理拥挤数据包的效率提高很大，使得发送拥挤数据包的速度更平稳，对路由器负担减少，增强了网络对数据处理的能力，提高了网络的可靠性。

（3）服务器群的网络性能

图6为原有ServerGroup负载测试数据线，图7为构建后ServerGroup负载测试数据线走势图。从图可以看出，构建后的整个ServerGroup领域的数据承载量的峰值和稳定下来后的均值都有很大的增加，这和公司实际业务的增加有关，同时也是增加了一定的网络监测和控制点后，网络负载会有一定的增加。同时也说明网络安全保障是以增加网络负载为代价的。

图4　Router接收Traffic数据包对比图

图5　Router发送Traffic数据包对比图

图6　原ServerGroup网络负载图

图7　构建后ServerGroup网络负载图

（4）数据库服务器性能

本文采集的服务器的运行性能是Probability Density数据，反映的是服务器处理数据量的几率分布及数据库整体承受最大的数据访问量的分布。

图8　构建前后数据库服务器性能对比图

图8中上下曲线分别为构建前后服务器运行性能的Probability Density曲线图。从图中可以很容易地看出，构建后的Probability Density曲线波动比构建前的大，原有的Database服务器所承受数据访问量最大值刚好超过100,000kpbs,而构建后服务器承受最大的数据访问量可达到1,400,00kbps，这与公司整体业务工作量的增加相关，虽然峰值数据访问量增加，但是服务器整体处理数据的时间减少。在公司服务器群负载量增加的情况下服务器的综合性能表现得更好，并未出现由于公司业务的增加而有所下降的情况。

4　结语

通过利用OPNET仿真软件对某文化传播有限公司构建的层次化入侵检测系统前后的网络性能进行仿真测试，从网络延迟、网络中心路由器Router的性能、服务器群的网络性能、数据库服务器性能等方面的测试数据可以看出，层次化入侵检测系统增加的网络负载由于使用了层次化的合理规划而没有出现剧增情况，增加的网络负载可以通过改善网络设备的性能来消化。而层次化的构建方便网络监测和管理、维护，较大提高入侵检测系统的监测和预警处理性能，同时增加的网络构建成本主要为网络层次化构建及网络主要设备的性能升级更换，这就极大降低了安全构建的成本。因此，本文提出的小型商贸企业层次化入侵检测系统的构建策略是可行的，可为今后相关的中小型企业构建入侵检测系统提供参考依据。

[1]骆珍，裴昌幸，朱畅华等.DDoS攻击的技术分析与防御策略[M].电子科技出版社，2006（12）:74～78

[2]董晓梅,于戈等.分布式入侵检测与响应协作模型研究[J].计算机工程，2006(6):151～153

[3]胡昌振.网络入侵检测原理与技术(第2版),北京理工大学出版社,2010-06-01.96～108

[4]许佳，冯登国，苏璞睿.基于动态对等网层次结构的网络预警模型研究[J].计算机研究与发展,2010，47(9):42～45

[5]陈敏.OPNET网络仿真[M].北京：清华大学出版社,2004:24～42

Network Security;Intrusion Detection System;Small Business Enterprises;Simulation Test

Research on the Building of Hierarchical Intrusion Detection System of Small Business Enterprise

XU Xiang-jun
（Institute of Information Engineering,College of Arts and Sciences,Yunnan Normal University，Kunming 650222）

With the rapid development of Internet,network security is becomingmore and more serious.In the environment of widely adopted of distributed application,the past simple deploying intrusion detection can not effectively protect the enterprise network security.Especially in the small business enterprise,the investment in network infrastructure is limited,management and maintenance technology isweak. In view of the small business enterprise,puts forward the construction strategy of hierarchical intrusion detection system,and with the actual case to build,uses OPNETModeler network simulation to test,verifies the feasibility of the small business enterprise hierarchical intrusion detection system and its scientific nature.Provides a reference for future research.

1007-1423（2015）15-0044-05

10.3969/j.issn.1007-1423.2015.15.012

徐翔俊（1972-），男，云南昆明人，硕士，讲师，研究方向为通信与信息工程、计算机教育研究、学生创新创业研究等

2015-04-16

2015-05-07