基于网络电子商务入侵检测系统设计及实践.doc

基于网络电子商务入侵检测系统设计及实践摘要：网络安全问题日益严峻，各种黑客攻击也层出不穷，这对于电子商务系统来说具有致命的威胁。本文探讨了入侵检测技术在电子商务系统中的具体应用，设计出了具体的防御系统模型，并给出了实验的证明。最后证明结果得出了入侵检测技术的实用性和有效性的结论。 关键词：入侵检测；电子商务；黑客攻击；设计与实践 中图分类号：F407.63 文献标识码：A 文章编号： 一、引言 我国电子商务在近年有了快速的发展,但在其发展的过程中网络上的信息安全问题成为了制约其发展的重要因素。日趋成熟的黑客攻击手段，特别是对电子商务网站的攻击，造成了越来越多的网上交易安全问题[1]。人侵检测就是监控计算机或网络上的事件并分析它们已发现人侵的过程。本文基于网络对入侵检测系统进行了设计，并通过实验测试，证明入侵检测系统在电子商务中发挥了重要的作用，在一定程度上能对黑客攻击起到阻截、预警的作用。 二、基于网络入侵检测系统模型设计（如图1所示） 图1 网络入侵检测系统模型图 本系统包含如下功能模块:数据包截获及分析模块、检测引擎、控制中心、存储模块和通讯模块等。数据包截获及分析模块、检测引擎、控制中心以及存储模块通过通讯模块交换信息[2]。这些模块可以分布在不同计算机上，既相互独立，又相互协作，共同完成对入侵攻击行为的检测和处理。 1.通讯模块 通信模块完成可靠的信息处送功能，其它系统功能通过它来完成信息的交换和共享。任何符合其标准的部件都可以通过该模块和其它模块进行通信，其它模块都有一个符合通信标准的接口，模块间的通信采用对等方式或客户服务器模式。 2.数据包截获及分析模块 该模块通过调用Winpcap函数库中的相应函数从网络适配卡中直接抓取底层数据包，然后利用协议分析技术对数据包中的数据进行译码，将所捕获的数据包中的关键信息(如IP地址、端口、有效数据负载等)按照一定规则进行组织，并初步对相应的针对协议的攻击进行检测。 3.检测引擎 检测引擎是执行入侵检测的核心功能模块，分布在需要进行入侵检测的网段上，可以独立运行，但通常是在控制中心的统一管理下运行。检测引擎实时检测从数据包截获及分析模块传来的数据，对其进行监视、统计和分析，发现可疑行为，记录攻击行为，并通过响应模块在控制中心上进行显示。 4.响应模块 响应模块采用多种措施对检测引擎检测到的入侵行为进行响应，如记录、报苦、切断网络连接等。同时也可以和防火墙构成联动防御体系。 5.存储模块 存储模块的主要功能是根据定义好的控制策略对相应的数据包和警报信息进行存储，用于事后进行入侵分析，同时也是对入侵者进行法律制裁的证据。存储模块可以采用多种方式进行存储，即可以存放在文本文件中，也可以存储在大型数据库中。 6.控制中心 控制中心是整个系统的控制决策中心，安全管理员通过它来配置系统的安全策略、设定运行参数、更新入侵特征规则库、观察系统的运行情况以及监测系统的安全状况等。 三、入侵检测系统在电子商务中的应用模型 将传统的入侵检测系统，与电子商务系统的特点结合起来，建立一个电子商务系统的入侵检测防御模型（如图2所示）。 图2 电子商务入侵检测系统防御模型图 Web代理（Web Agent）组件用来收集与安全相关的原始数据，并把数据发送给分析引擎（Analysis Engine），同时它也接收从响应模块（Response Module）返回的数据，根据此数据来判断当前所的请求是否通过。该组件可作为插入模块放在所应用的Web应用层中。在电子商务中，我们将Web代理作为一个模块插入在电子商务的Web应用层，用来收集客户端所请求的数据[3]。 分析引擎（Analysis Engine）组件接收Web Agent来的原始数据，并从数据库中的规范文件(正确的、有效的行为列表)中调用数据与当前的请求数据相比较，从而决定当前的请求中是否含有恶意信息。 响应模块（Response Module）组件在分析引擎分析的基础上来执行一些预先定义好的响应动作。如果发现有恶意的信息则将其保存到数据库中，作为进一步分析所用和作为入侵凭证。 数据库（Database）组件用来为整个IDS提供持久化的数据库。本文的数据库使用的是My SQL，从Web Agent中得到的HTTP信息是XML格式，在将恶意的信息存储到数据库之前必须将其转化为Java形式。这里用的技术是Dom4j的Visitor Support。 四、入侵检测系统的实验测试 本实验主要是SQL注入的攻击测试，SQL注入是一种传播范围及广，及其危险的注射方式。用基于行为模型的入侵检测系统三重检测模