任杏莉

(商洛学院图书馆，陕西 商洛 726000)

快速发展的计算机网络信息技术，为数字图书馆(一种虚拟图书馆，属于多媒体制作的分布式信息系统)的建设提供了强大的技术支撑。图书馆信息化的实现以数字图书馆作为支撑，数字图书馆对不同载体及位置的信息资源加以利用，实现了运用数字化技术对数据进行高效处理及储存，通过智能检索和无缝跨库连接形成了海量知识数据库，进而在丰富数字化资源的基础上显著提高了图书馆信息化管理水平及资源的使用效率。与此同时，图书馆的安全问题也逐渐暴露了出来，如何及时发现网络入侵行为、保证图书馆的正常运作，已成为目前领域内的研究重点之一。

1 需求分析

作为信息资料集散地的图书馆可提供大量的文献及资源等的查询服务。随着图书馆信息化建设的不断深入，图书管理员对网络安全的重视程度不断提高，确保图书馆网络安全成为图书馆安全运营的保障(在确保图书馆核心数据及资源安全的同时有效提升图书馆面向教学、科研及公众的信息服务能力)。数字图书馆相比于传统图书馆面临更多的信息安全风险，而有效的安全风险规避及管理措施则需基于对这些信息安全风险的识别,以便最大程度降低这些风险可能造成的损失。为提高图书馆的服务与管理水平，以及为其满足综合效益要求提供支撑,信息安全研究在图书馆领域已逐渐从技术管理层面向风险管理层面转移。目前，对图书馆信息安全及风险管理的研究虽然已取得了一定的进展,但在图书馆网络入侵监测方面，仍以防火墙系统、病毒监测系统等基础网络安全系统研究为主，难以完全保证图书管理系统的安全，而网络入侵监测系统作为网络安全防护的第二道屏障(不包括防火墙)能够有效处理包括错误操作在内的网络内外部入侵事件[1]。本文基于网络安全对图书馆安全的重要性完成了一种图书馆网络入侵监测系统的设计。

2 图书馆网络入侵监测系统设计

2.1 应用技术分析

不断发展的网络安全入侵监测技术为图书馆网络入侵监测系统提供了更加多样化、多层次化的技术和方法，一些方法和技术经过长期实践后已取得了一定的成效。常用的监测方法主要包括：1)模式匹配法，通过建立一个庞大的数据库(包含所有合法数据及信息)完成对用户请求的数据和数据包的逐一核对，在与数据库一致的情况下才予以通行，此方法具备较高的准确率，但因需对数据库进行随时更新而增加了工作量；2)统计分析法，该方法主要通过设置阈值的方法完成对网络异常的监测过程，在超出阈值的情况下则认定存在网络攻击行为；3)神经网络法，属于智能模式的一种，具有自适应、自学习的特点，以大量用户实例为依据完成用户行为轮廓的建立，再通过与正常行为对比完成对其行为是否为攻击行为的判断；4)模糊系统法，具体通过语言完成模糊模型的构建，并将其应用于网络入侵监测过程中；5)免疫系统法，在对历史数据进行收集和统计的基础上，通过对短序列的调用(产生于系统正常运行时)完成对正常行为模式的标准定义，进而完成对攻击行为的最终确定；6)数据挖掘与融合法，基于数据(来源于数据库或数据源)建立一个正确的体系，在此基础上完成威胁程度标准的合理制定[1]。

2.2 系统功能设计

目前各院校已基本完成了满足信息化发展需求的校园网络的建设，为高校日常管理及教学带来了极大的便利。校园网络为图书馆更好地服务于全校教学、科研工作及提高资源利用率等提供了技术支撑，但由校园网络安全问题导致的图书馆安全隐患日益突出，传统的入侵监测系统通常仅能对单一用户异常行为进行监测，对入侵事件的监测过程大多以微观的角度为主，缺少从宏观角度对网络流量异常的分析，为弥补这一不足，本文根据网络流量异常变化完成了图书馆网络入侵监测系统的设计，基于网络行为学完成了网络入侵监测系统架构的构建，设计的系统整体架构如图1所示[2]。

图1 图书馆网络入侵系统架构示意图

2.3 网络入侵监测系统模型

为有效弥补传统入侵监测系统在工作效率及稳定性方面的不足，本文采用了基于自主运行的并行程序的监测机制，从而能够独立或基于其他程序运行。本文采用自主代理的程序模式，系统运行过程中可在无需重新启动系统的情况下对不同代理进行动态配置，各代理能够对图书馆网络系统中的入侵行为(包括异常和误用)进行实时监测，将监测系统根据不同的功能划分为相应的代理，实现多个网络入侵监测系统的自主代理功能，自主代理入侵监测系统架构示意图如图2所示。

图2 自主代理入侵监测系统的架构

1)网络层，主要负责接收本层分类器中的审计数据，接下来由分类器完成审计数据的分类(根据相应的原则)后向代理进行传输，从而实现代理过程。入侵监测系统在无需了解攻击所使用的系统漏洞种类(或技术方法)的基础上仅需对照某种攻击所具备的特定信息即可有效实现对入侵的监测，从而使监测效率得以显著提升。

2)代理层，作为监测系统的核心，该层主要负责完成对审计内容的计算，经过多个代理的同时运行，能够进一步提高监测并行性。

3)分析层，通过分析层能够计算获得简单怀疑值的平均值,从而完成对异常行为的定期监测，对系统日志中主机和网络行为的统计结果(由代理层中的代理定期统计获得)以及学习方式与系统中模式存在的差异进行对比，在发现异常行为的情况下向管理层发出报警。

4)管理层，各主机管理层均在系统中起决策作用，通过管理层对所接收到的信息进行统计并分析，根据分析层传送的报告完成对系统入侵的监测[3]。

3 系统算法实现

3.1 统计分析算法

统计分析模块是图书馆网络入侵监测系统的主要模块，统计分析算法流程如图3所示。把一天分为24个时段，记录各时段对应的流量数据，每一时段结束后根据该时间段收集的正常流量数据对历史流量数据进行更新，如果在此过程中出现数据流量异常，则将该异常值作为历史平均流量值使用之后的数据，在对数据流量进行计算之后，如果当前流量高于历史流量，监测系统就会自动报警。通过解析模块对流量是否异常进行判断，可有效排除因其他因素导致的流量异常[4]。

图3 统计算法的基本流程

3.2 解析算法及数据结构

解析算法模块根据获取的报警信息(由统计分析模块传送)判断是否为流量异常，具体的判断依据为：接收到连续警报(来自同一个对象)并且警报流量超过了阈值，此种情况下可判定为出现流量异常。具体判断依据描述如下。

1)对象及历史数据，对象轮廓的数据结构如图4所示，对象标识由字符串表示，判断异常时需以对象及历史数据作为前提和基础，通过浮点数组表示历史平均流量及流量使用情况，历史流量中的数据量用n表示(简化得到整数)[5]。

图4 对象轮廓的数据结构

2)收集的数据信息，主要由编号(由32位无符号长整数构成的字段)、对象标识(指监测的对象，为字符串)、生成时间、时间间隔、平均流量、包流量构成，生成的时间字段采用常用时间形式表示，平均流量的字段采用浮点数表示，实现了平均流量的有效展现。

3)警报消息，主要由警报编号、对象标识、异常流量(为浮点数)、生成时间(和警报生成时间相同)、阈值(为浮点数，主要由某个对象的阈值构成)、严重等级以及增量比构成，生成时间用常用时间表示，增量比用浮点数表示。异常的流量值主要指警报异常的流量[6]。

4 系统主要功能的实现

4.1 数据的收集

本文所设计的网络入侵监测系统主要通过对网络传送包的监听来实现监测功能，网络管理人员对捕获的数据进行全面分析，通过流量值与阈值的对比来判断网络是否遭到入侵。网络数据监测使用以太网和网络适配器相结合的模式对网络中传输的数据包进行收集，将数据包的监测结果作为数据包重组的重要依据，并且将数据包转换为可被使用人员识别的信息，从而完成网络是否被入侵的判断，数据收集的模式如图5所示，数据捕获流程如图6所示[7]。

图5 数据收集模式

图6 数据包捕获的流程

4.2 系统的评价

通过对网络入侵监测系统进行验证，得到评价结果，截止2018年10月4日，获取的24组数据包平均流量见表1，由表1得到数据包的历史平均流量如图7所示，得到的数据包攻击响应如图8所示。本次实验对网络入侵监测系统数据包进行监测，历史平均流量为23 210.5包，程序运行一段时间，经过攻击之后的流量增加到10 000包/s，能够快速发现入侵行为。因此该系统能够适应不同环境的需求，不受网络容量、计算机系统或者不同平台的影响，有效保障了图书馆信息系统的安全[8]。

表1 数据包平均流量

图7 数据包的历史平均流量

图8 数据包的攻击响应

5 结束语

随着信息化需求的不断提高以及网络安全涉及范围的逐渐扩大，人们对图书馆网络安全提出了更高的要求，网络安全是保障数字图书馆运行和管理的基础与重点，对网络入侵行为进行有效的监测已经成为保障图书馆网络安全的有效手段。本文设计的针对数字图书馆的网络入侵监测系统，能够较为精准高效地监测出入侵行为，避免入侵行为对图书馆安全造成影响，在图书馆建设及运作过程中具有一定实用价值。