【基于实时通讯的入侵检测系统设计】 入侵检测系统设计与实现

　　摘要：实时通讯软件可说是现今最热门的网络商品之一，也因此成为网络攻击的主要标的。攻击者利用恶作剧的社交工程手段来欺骗计算机使用者下载能自我快速复制的蠕虫，开启病毒感染的档案或网络，或是在毫无防备的情况下安装恶意程序。因此该研究运用MSN Sniffer与入侵检测系统来防护实时通讯上蠕虫的攻击。
　　关键词：实时通讯；入侵检测；蠕虫
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)18-4401-03
　　Based on the Real-time Communication of Intrusion Detection System Design
　　FANG Jian
　　（Yueyang Education Science and Technology Research Institute, Yueyang 414000, China）
　　Abstract：IM (Instant Message, IM) software is popular of network goods, making it the main subject of Internet attacks. Attack is use the mischievous social engineering (social engineering) tricks to deceive computer users can download copies of the worm of self -fast, open-infected files or the Internet, Perhaps in the situation which does not guard against installs the malicious programs . This study use MSN Sniffer intrusion detection and protection system to instant messaging IM-WORM avoid the attack.
　　Key words: instant message；intrusion detection；worm
　　 1概述
　　随着因特网的普及应用，网络得以普及至各个家庭、个人，乃至于各大、中、小型企业及政府机构，随着网络使用人口的增加，因特网服务与流量也与日剧增，其中让世界各地最为喜爱的服务就是实时通讯，为什么它令人喜爱呢？是因为它具有以下几个特色：
　　1)实时性:IM之所以可以那么普遍最主要的原因就是其实时性的功能所致，能够让大家可以于第一时间内沟通，而不需要像传统e-mail的沟通方式一般，一来一返，往往都要耗上个一、两天的时间。
　　2)便利性:IM的另一项功能就是，当需要联络相关人员时，只要开启IM窗口哪位人员是否在在线都可以一目了然。减去了电话通知的费用，也更节省了时间。
　　3)娱乐性:现在的IM因为越来越受时下年轻人所喜爱，因此也推出了不少附加的娱乐功能，如表情符号、动画传递、自定义图像、视频功能等。
　　加上由于实时通讯应用的高普遍性且广受欢迎，使得安全攻击获得了拥有了极大的发展空间和破坏能力。丰富的功能是实时通讯吸引使用者的主要手段之一，但从安全的角度来讲，功能的丰富化恰恰是与严格的安全准则背道而驰的。作为一种为了最大化沟通能力而存在的应用系统，其认证机制和保护手段是相对比较薄弱的，很容易为恶意攻击行为所利用。
　　 2相关文献研究
　　 2.1 OMS简介
　　因此便有学者针对实时通讯蠕虫做一个警示系统，其系统主要是利用重新导向的方式对使用者发出警告该连结并不安全，以可降低使用者在不知情的情况下误点恶意连结。其系统的网络架构如图1，建立了一台监测与监控主机在路由器之前，使用两张网络卡，使得所有出入口的封包都必须经过该监测与监控主机，用来分析与判断封包内容。因此本研究即针对(点对点蠕虫防治研究-以实时通讯蠕虫防治为例)做了其改善的方式。此篇为了能够防御点对点蠕虫攻击所带来的钓鱼网站，构想出1个防御的方法，并且由一台监测主机，及网址黑名单的建立与DNS的配合来防治钓鱼网站。
　　首先需要架设监测主机，监测主机需能够发现出封包内是否有网址，如有网址出现的话就与白名单做比对，白名单是由一些网站需要用到账号密码登录的网页，记录下他们的IP地址、领域名称以及CSS参数等三项数据的特征库。如果有进行比对后出现类似不符合以上三个条件的可疑网页，监测系统就会将此网页加入黑名单，并且将黑名单传送至DNS，DNS则会依此黑名单作依据，让有人点入黑名单网站的时候引导到警示网页，此作法能够让钓鱼网站区隔开来让人避免受骗。
　　2.2 MSN Sniffer
　　MSN Sniffer是一个简单的网络控制程序，可以拦截、监测网络上的MSN聊天对话。它会自动纪录对话，而且所有被拦截的信息都能用HTML格式储存，便于日后的执行和分析。只要在任何计算机网络上执行MSN Sniffer，就能开始拦截，不需要在监视目标计算机上安装额外的程序如图1
　　
　　图1 MSN Sniffer系统画面
　　2.3入侵检测简介
　　入侵检测系统(Intrusion Detection System，IDS)在网络里扮演着监控网络中各项活动的警卫，大部分的IDS都是以解读各种封包内容、执行网络流量监测或是分析系统记录等方式来找寻可能入侵的行为，并且做出适当的反应。根据这种特性可以发现IDS需要一套规则来判定是否该行为已达到入侵的意图，这些规则就是所谓的特征(signatures)，符合特征就可以判定为蓄意的入侵或有攻击的意图。
　　2.3.1入侵检测技术介绍
　　Signature-based detection：类似病毒软件扫描的方式，将每一个入侵事件事先定义好，并且给予它们识别标志或序号，当攻击发生时，系统便可立即发现进而保护系统。其优点是降低攻击误判率，因为攻击手法都是定义完整的，但缺点是若出现尚未定义过的入侵攻击事件时就无法正确的判定。
　　Anomaly-based detection：事先将正常的操作行为定义成模板（profile），把其它的偏差行为(deviations)当成是入侵事件，并会随即对正常行为范本做更新。其优点是可检测出以往从没发生过的攻击，缺点则是攻击误判率较高，因为使用者的行为模式很难预测。
　　Specification-based detection：是先定义出程序或通讯协议正确运作的限制条件（constraints），并根据这些条件监控程序的执行状况。此检测技术不但可检测出以往从没发生过的攻击，同时它也能降低攻击误判率。
　　 3系统架构与演示
　　 3.1系统架构
　　关于OMS的防御蠕虫攻击钓鱼网站的方法，本研究提出了一些改善的地方，包含1.安装较为方便2.成本降低3.更新较为迅速4.可行性高。在文献数据中我们对于OMS的方式发现其系统具有几项缺失，首先是对于网络钩鱼网站并无法马上得知进而预防，其次系统并无法监控内部人员是否与外界人员进行联机的内容，因此无法得知是否危及到内部的机器与系统。因此我们提出一个更为安全及便利且因此本研究提一个在实务上可行性高且具低成本的系统，图2为其示意图。
　　
　　在图2中，A使用者与B使用者之间传送封包的信息会透过我们所设立的监控与入侵检测系统来检查B使用者所传送给A使用者的信息是否是异常，当B使用者受到蠕虫的侵入之后传送有包含网址的信息给使用者A，监控与入侵检测系统会检测出封包内有没有含网址的信息，如果检查出有含网址信息后，会与后方数据库的规则表做比对，规则表内有正常的操作行为定义成模板，把其它的偏差行为当成是攻击事件，还有把以前攻击事件的特征也存入规则表，当然网管人员也能自行把可疑的网站加入规则表中。如有网页不在规则表中，网管人员也能透过监控与入侵检测的系统将此次攻击方式新增到规则表中，来做为实时通讯上蠕虫或是病毒等相同攻击的防治方法。
　　3.2系统演示
　　在此安全机制中，我使用MSN Sniffer作为监控的工具，此监控工具是安装在图3的监控与入侵检测系统里面，一旦发现可疑封包便会跟后方数据库做配合，进行黑名单比对如有问题便会警告这是1个钓鱼网页。图4是在安装MSN Sniffer时的设定过程，图中我们可以设定对全部内部人员做监视。假设以图3中我们把A使用者的IP作为锁定监控来了解她的一举一动。便可以了解B使用者是否传送了具有异常的资料，来做安全性的防范工作。
　　
　　图3设定监控工具的方法
　　本研究中入侵检测所设定的不合法规则，除了一般常见的项目也可以根据监控系统中所发现的异常封包的特征如上一小节中所描述的信息，并且将其信息的特征来订定在规则表之中。如图3监控与入侵检测系统安装完MSN Sniffer后能够选取入侵检测的规则，就能使检测系统对于选取出的入侵攻击做防范，可以让使用者能更方便的设定入侵检测系统。
　　 4结论
　　实时通讯系统仍处于高速发展之中，很可能明天就会涌现出新的安全问题，有新的攻击手段被设计出来。包括使用者、实时通讯服务提供者及相关厂商全体，都应该以积极的态度去面对这种形势，并履行自己的职责，以保证实时通讯应用在更健康的状态下成长。但是不管对企业或个人而言由于IM是免费的，却要企业业主花费大笔金钱来买解决方案确实是非常困难，但一般人总是在事情发生之后才会去正视问题的严重性，出事后才知道安全产品的效益。正因为如此本研究主要以监控工具与入侵检测系统的使用来防预蠕虫对实时通讯的迫害。本研究改善了之前OMS的点对点蠕虫防御方式，OMS的防御方式是使用监测主机以及黑名单的建立，并且跟DNS作配合把有问题的网页传到DNS，使问题网页无法开启。我们改善它让成本能够让降低，并且安装较为方便只需安装在监控主机上便可阻挡MSN上蠕虫攻击，不用在跟DNS做黑名单的通知，这样也能使的更新能够更迅速更安全。
　　参考文献：
　　[1]张然钱,张德沛,文杰.入侵检测技术研究综述[J].小型微型计算机系统,2003，24(7):1113-1118.
　　[2]王峰.浅析入侵检测[J].电脑知识与技术,2009,5(2):323-324.
　　[3]邹文.浅谈入侵检测技术及其发展[J].企业技术开发,2008(4):25-26,43.
　　[4]高凯.浅谈入侵检测中的几种常用技术[J].电脑知识与技术, 2011, 7(12):2781-2782.