机场入侵检测与计算机网络安全问题的探讨

2017-03-10涂宇飞金柏杉

网络安全技术与应用 2017年11期

关键词：计算机系统防火墙计算机网络

◆涂宇飞金柏杉

(成都双流机场股份有限公司四川 610202）

机场入侵检测与计算机网络安全问题的探讨

◆涂宇飞金柏杉

(成都双流机场股份有限公司四川 610202）

随着我国机场建设步伐的加快，对机场计算机网络安全提出更高的要求。然而从当前机场机场网络安全情况看，仍存在网络入侵问题，极大程度上威胁机场计算机网络的整体安全，甚至影响机场其他方面的运维管理。对此情况，便考虑引入入侵检测技术，将其融入机场计算机网络系统中，保证系统安全可靠运行。本次研究将对计算机入侵检测技术做简单介绍，并结合当前机场计算机网络常见的入侵方式，提出如何在机场计算机网络安全中应用入侵检测技术。

机场；计算机网络安全；入侵检测技术

0 前言

计算机网络技术发展背景下，为机场的整体运维管理提供极大便利。但值得注意的是，由于网络环境本身有开放性特点，加之黑客技术的不断发展，导致许多门户网站面临网络入侵问题。以机场应用服务器、数据库服务器等为例，并未真正实现与内部网的物理隔绝，可能出现内部攻击或信息窃取等情况，影响机场的整体安全管理工作，如何解决机场计算机网络安全问题成为当下机场建设中需考虑的主要内容。因此，本文对机场计算机网络安全问题与入侵检测技术的应用研究，具有十分重要的意义。

1 入侵检测技术相关概述

关于入侵检测，其主要指在收集计算机系统中数据信息或文件的基础上加以分析，判断是否有被攻击现象或与安全策略背离行为，若存在影像系统可用性、完整性与机密性行为，及时做报警与阻断处理。对于入侵检测中的分析技术，一般可细化为完整性分析、异常检测与模式匹配等方法。以完整性分析为例，运用中强调对网络内文件属性、文件目录与文件内容分析，是否存在被更改情况。而异常检测方法，主要在收集某一段网络操作或网络内的历史数据，进行“活动简报”的构建，然后与当前网络活动状况对比，分析是否有偏离正常行为模式情况，得到入侵检测分析结果。另外，对于地模式匹配，实现机理表现为对网络中的数据包检测，分析可以数据包以及其中的字节，可有效检测攻击特征。若从机场计算机网络安全角度出发，将入侵检测技术应用，主要以主机系统检测、网络检测两种方式为主。其中在主机系统检测中，强调对操作系统、应用程序等事件日志分析，且选择其他如端口调用、系统调用等记录为依据，在此基础上与数据库中数据对比，判断有无攻击情况。而另外一种网络入侵检测，则需在扫描网络后做可疑分组，根据数据库内已知的有攻击特征数据，分析可疑分组中数据信息的异常。将这种入侵检测技术引入机场计算机网络安全管理中，能够及时发现入侵攻击行为，对保证机场计算机系统稳定可靠运行可发挥重要作用[1]。

2 机场计算机网络入侵方式分析

所谓网络入侵，实质为利用某种可调试、编写计算机程序的技巧，对网络文件或信息数据等进行非法获取，这种入侵内部网的行为便称之为网络入侵。从近年来机场信息化建设看，取得较多成就，在计算机系统建设上逐渐成熟，但网络入侵问题仍屡见不鲜，不仅影响计算机网络系统的稳定运行，更影响机场其他管理工作，如调度、指挥等。从当前机场计算机系统网络入侵的常见方式看，主要表现为以下几方面：

（1）病毒攻击。该供给方式主要表现为通过复制计算机程序，对特定系统资源目标进行破坏，如FPT文件下载、WWW浏览与电子邮件等，均是病毒攻击的主要目标，这种病毒有明显的潜伏性、繁殖性、隐蔽性与传染性等特点。

（2）身份攻击。对于机场计算机系统，登录中要求确定用户身份，有具体的访问权限。而身份攻击方式则针对这种情况选择漏洞攻击、口令攻击或信息收集攻击等方式，获取用户帐号，在此基础上非法收集与篡改主机系统中价值信息[2]。

（3）防火墙攻击。尽管机场计算机系统均设置防火墙，对防止网络入侵可起到一定的作用，但由于防火墙设计本身有一定的缺陷，加之网络攻击技术的不断发展，更易出现对防火墙攻击行为，如为解决防火墙认证问题，借助FTP-pasv绕过实现攻击，或采取TCP序号协同攻击方法等，这些均为机场计算机网络安全带来较大威胁。

（4）拒绝服务攻击。该入侵模式亦被称之为 DoS，主要指以报文形式向网络系统中发送，使整个网络服务器内有过多信息充斥，消耗过多网络带宽与系统资源，最终出现系统高负荷运转甚至瘫痪，有无响应、死机等表现[3]。

3 机场计算机网络安全问题解决中入侵检测技术的应用分析

本次研究中主要结合当前机场计算机系统的安全情况，提出网络入侵检测系统的构建，具体构建中主要考虑引入入侵检测系统IDS的，其由多层体系结构构成，包含Manager、Console、Agent等部分，其中用于信息收集与显示的为 Console，而对各网段网络数据包的监视则通过Agent实现，最后由Manager做报警、日志的统一管理。将该系统应用于机场计算机网络安全管理中，实现内容如下几方面。

3.1 机场网络安全信息收集

信息收集是机场计算机网络系统入侵检测的基本前提。而信息收集过程实质为对数据源的获取，这种数据源可细化为四种类型，如物理形式入侵信息、程序执行行为、目录与文件变化、系统与网络日志文件等。具体收集中，要求将一个或多个IDS代理部署于各网段内，或直接将IDS系统与交换机核心芯片处的调试端口进行连接，这样便可获取数据流。另外，收集入侵检测信息中，需着重分析多个来源不一致的对象，标识为入侵或可疑行为。事实上，对于机场整个计算机网络系统，一旦有入侵行为出现，系统中便会有异常数据，这些数据本身与系统原有的数据不同，所以信息收集中应考虑对这部分数据孤立，以此形成数据群，这样可有针对性的做入侵分析。因此，当前机场计算机网络入侵检测系统构建中，在信息收集方面可选用基于孤立点挖掘方法。

3.2 网络安全信息分析与响应

在系统完成信息收集后，便需做信息的分析。分析中可用的手段主要以异常发现、模式匹配等为主，能够对与安全策略相悖的行为发现，然后向管理器发送。需注意的是，系统设计中，要求设计人员充分认识系统漏洞、异常行为与各种网络协议，能够根据可能出现的入侵行为制定针对性的安全策略，构建异常检测模型，使系统能够自动实现异常行为的辨别分析。对于机场计算机系统，目前常用的入侵检测手段以网络探测引擎为主，其与传感器功能相似，通过旁路侦听模式，对网络中所有数据包进行动态监视，识别异常行为。另外，本次研究中所提及的IDS，其可对入侵行为给予响应，如利用网络引擎发出告警，或以 SNMP trap、E-mail等形式告知控制台或管理员，以此达到及时发现异常信息、及时处理的目的。

3.3 防火墙技术的配合应用

作为计算机系统中常用的安全机制，防火墙应用下侧重于对网络层、应用层访问控制，一般难以有效监控内部网络。对此，考虑机场计算机系统设计中，将防火墙、入侵检测技术联合应用，如入侵检测系统或防火墙设置一个可用于对方使用的接口，双方之间构建固定的通信协议，可共同发挥入侵检测作用。考虑到部分非授权行为可能绕过防火墙入侵，此时需利用入侵检测系统对该类行为判断并给出响应，及时做入侵行为应对处理[4]。