◆李 珍



入侵检测技术在气象信息网络中的应用

◆李 珍

(陕西省气象信息中心 陕西 710014)

随着气象现代化、信息化的飞速发展，气象部门信息安全管理、维护信息安全的形势日益严峻，网络安全问题日益突出。本文简要介绍了网络入侵检测技术的概念、功能和分类，并通过分析已部署设备的入侵检测结果，提出了网络安全防护方面的建议。

信息安全；入侵检测；网络安全防护

0 引言

随着计算机网络技术的日益发展，气象信息网络得到极大的发展，计算机网络的普及应用已经渗透到气象业务运行的各个层面，但同时气象信息网络的发展也面临着许多安全隐患。可以利用计算机网络技术的不仅仅是正常的气象业务系统，还有可能是非法的程序。为了能够及时发现并报告网络未经授权或异常的行为，在气象信息网络中采用入侵检测技术能够提高网络的安全防护能力。

1 入侵检测技术

1.1 入侵检测

入侵检测（Intrusion Detection）是对入侵行为的监测，它通过手机和分析计算机网络或计算机系统中关于关键点的信息，检查网络或业务系统中是否存在违反安全策略的行为[1]。入侵检测系统（Intrusion Detection System，简称IDS）是对计算机和网络资源的不正常使用进行识别的系统，它的目的是监测和发现可能存在的网络未经授权或异常的行为，包括来自外部的攻击行为和内部用户的未经授权的异常行为。

1.2 入侵检测的功能

入侵检测实现的功能主要有：监视、分析用户及系统活动；系统构造和弱点的审计；识别反应已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为[2]。

1.3 入侵检测的分类

根据所采用的监测模型，将入侵检测分为3类：

（1）异常检测：在异常检测中，观察到的不是已知的入侵行为，而是所研究的通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来完成[3]。

（2）特征检测：基于已知的系统缺陷和入侵模式，根据入侵过程模型及它在被观察系统中留下的踪迹来定义某些特征的行为是非法的，然后将观察对象与之进行比较以做出判别[4]。

（3）启发式特征检测：在做出决策之前，既分析系统的正常行为，同时还观察可疑的入侵行为。

2 入侵检测系统在陕西气象信息网络中的应用

2.1 方正入侵检测系统

在陕西省气象局的核心交换机上部署的是方正入侵检测系统。方正入侵检测系统提供中文图形界面的管理中心软件，网络入侵检测引擎为集成化的硬、软件平台，一个管理中心可以同时管理多个引擎，入侵检测系统能够实现分布式集中管理的部署方式，形成统一协调管理的多层分级管理结构，支持IP碎片重组、TCP流重组，采用基于回话的监测方式，能够对SSL回话进行分析，具有蠕虫监测功能，具备报警与响应、监控、报表等功能。

2.2 检测结果分析

通过分析一段时期内的入侵检测结果，可以看出省局网络平均每天受到2357929次网络入侵攻击，其中68.99%的网络入侵或攻击的风险级别为中等，较高或高风险级别的网络入侵分为530474次和199215次。不管从数量上还是风险等级上看，省局互联网面临的网络风险还是很大的，网络安全防护面临严峻考验。

如图1，通过实时在线检测分析可以看出，省局网络受到的网络入侵的事件类型主要有：DoS、扫描、后门、代码攻击、监控和有害站点，前四种类型所占比例分别为：88.8%、3.0%、0.1%和8.1%，后两种类型的数量较少，两者总和仅占全部网络入侵事件的0.007%。

其中所占比例最大的是DOS（Denial of Service）入侵，是通过网络协议的缺陷进行攻击，从而耗尽被攻击对象的网络资源，使得被攻击对象的网络或业务系统无法正常地提供服务甚至崩溃。

图1 实时在线监测图

从以上对网络入侵检测情况的分析，可以看出网络入侵事件对气象业务的正常运行影响很大。因此，为了有效地防范网络入侵，要采取较系统的网络入侵防护措施：不仅要在省局互联网的出口安装网络防火墙；还应通过上网行为管理实时监测省局各网络用户的上网行为；同时，对内部网络上的各种网络访问都进行监管；经常利用网络漏洞扫描器对网络设备进行自动的安全漏洞检测和分析；坚决杜绝浏览或安装带有网络入侵安全隐患的网站和应用软件；各地市也要进行相应的网络病毒和入侵的防护，及时查杀病毒，从Internet、邮件、文件服务器和用户终端四个方面来切断病毒来源。

通过入侵检测系统对省局网络受到网络入侵进行统计分析，位于前10位的入侵事件如图2。

通过对受到网络入侵进行统计分析，在网络入侵事件中最多的是BitTorrent文件传输监控，造成的原因是BitTorrent协议中存在的安全隐患，即BitTorrent协议将与文件内容息息相关的Torrent文件以明文方式分发给用户，但并不关心文件的来源和安全性，如果文件被劫持篡改，软件并不能检测出来。由此可见，使用BitTorrent软件下载数据对网络安全具有较大的威胁，如果网络用户能够尽量避免使用BitTorrent软件下载数据，网络入侵的事件将大大减少，对网络安全的威胁也相应降低。考虑到BitTorrent协议存在漏洞，导致的网络入侵事件很多，信息中心将根据实际情况在必要时限制该协议的应用。

图2 网络入侵事件前10

通过分析网络入侵事件的服务类型可以发现，造成网络入侵最多的是IP服务，即通过IPC连接即WindowsNT及以上系统中特有的远程网络登录功能。为了有效减少通过IP服务的网络入侵事件，应尽量避免在计算机上使用系统默认共享和远程登录服务。

图3 入侵服务类型前10

3 结束语

通过检测和分析可以看出陕西省气象局的网络入侵事件发生率较高，网络中存在一定的安全漏洞。为了有效地防范网络入侵，不仅要在网络中增加网络安全防护设备，同时应进一步规范各网络用户的上网行为，并尽量避免使用BitTorrent软件下载数据和在计算机上使用系统默认共享和远程登录服务等，以减少网络中存在的漏洞，尽可能避免网络入侵事件的发生。

[1]薛静锋，宁宇鹏，阎慧.入侵检测技术[M].北京:机械工业出版社，2004.

[2]王福生.图书馆网络中的入侵检测系统[J].现代情报，2007.

[3]赵夏丽，李峥.高校图书馆网络入侵检测技术的应用[J].内蒙古科技与经济，2012.