基于行为入侵防御系统在图书馆应用研究.docVIP

基于行为入侵防御系统在图书馆应用研究 　　〔摘 要〕入侵防御系统是继防火墙和入侵检测技术之后的新一代信息安全保障技术。针对高校图书馆日益增加的数字资源及存在的网络安全问题,文章将资源入侵检测软件Snort和Linux防火墙Netfilter有机结合在一起,提出一种基于行为的入侵防御系统模型,以木马攻击为例,给出系统的具体解决方案及关键技术,并对其在图书馆网络中的应用进行了研究。 　　〔关键词〕入侵防御系统;木马;图书馆数字资源;Snort预处理器;行为分析 　　〔中图分类号〕G250.72 〔文献标识码〕A 〔文章编号〕1008-0821(2009)07-0166-03 　　 　　Application Research in the Library of Intrusion 　　Prevention System Based on BehaviorMa Li 　　(Library,Beijing Institute of Technology,Beijing 100081,China) 　　〔Abstract〕Intrusion Prevention System(IPS)is a new information security technology following the firewall and intrusion detection system.To counter the increased digital resources of university library and the problems of network security,this paper brought forward a intrusion prevention system frameworks based on behavior combining Snort and Netfilter.In the end,taking the case of Trojan horse,it presented the solution in detail and key technologies,and has carried on research in the application in the network security of the library. 　　〔Key words〕intrusion prevention system;trojan horse;library digital resources;Snort preprocessor;behavior analysis 　　 　　随着Internet技术的快速发展,数字图书馆已经成为高校图书馆的重要部分,为读者提供了便利的信息查找方式,在使计算机网络资源共享有了进一步加强的同时,随之而来的图书馆网络安全问题也日益严重。尤其是电子出版物和网络出版物的推出,高校图书馆的数字资源也日益增加,而服务器又是信息资源管理与存储的核心,由于它的应用特性,内部网的非法访问、滥用等问题很严重[1],此外还有一些不法分子大批量下载数字资源,严重侵犯版权问题,所以加强服务器的安全就尤为重要。 　　图书馆传统的安全保护方法是对操作系统进行安全加固,通过各种各样的安全补丁来提高服务器操作系统自身的抗攻击能力。防火墙和入侵检测系统一直是图书馆界维护网络安全的主要工具,然而,它们并不能完全满足纵深防御对检测和反应能力的要求[2]。其中,防火墙是粗粒度的访问控制产品,只能对网络层的数据包进行过滤,对于应用级攻击不具备阻止能力,而且对于内部网的攻击也无能为力。IDS是一种被动型的防御措施,它监听网络或系统的活动,并收集相关信息进行分析以判断是否有入侵行为发生,它的致命缺点是只能报警而无法阻止攻击。 　　防火墙、入侵检测技术虽然在不同程度上加强了图书馆的网络信息安全,但是这些技术相对独立,都存在着局限性。文章旨在针对防火墙和IDS所存在的缺陷,根据网络动态安全模型理念,将防火墙、入侵检测及行为分析技术相结合,提出一个基于行为的入侵防御系统模型,针对目前猖獗的木马攻击进行防御研究,并将其应用在图书馆网络中,用以保护数字资源。 　　 　　1 入侵防御系统概述 　　 　　入侵防御系统IPS(Intrusion Prevention System)也称为IDP(Intrusion Detection Prevention,入侵检测和防御系统),是指不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性攻击的一种智能化的安全产品[3]。 　　入侵防御系统(IPS)的主要运行特征如下: 　　(1)深层检测。IPS突