互联网入侵检测系统的功能分析

系统由邮箱攻击、登录环境信息获取、无痕收发、木马，以及综合关联分析等功能模块组成，系统模块如图2所示。各个功能模块按照统一接口进行开发，并且采用统一的数据存储格式进行数据存储，当需要在系统中增加某种手段时，只需利用升级包置入相应模块即可，无需进行整个系统的安装升级。系统按照用户单位应用流程，把这些应用手段进行了有机融合，多个手段按照一定流程自动对特定目标开展工作，能够达到事半功倍的效果。例如：利用登录环境信息定位获取操作系统版本、杀毒工具类型、浏览器相关信息后，系统自动生成相应木马，并推荐植入方式、植入注意事项；邮箱攻击模块根据这些信息，在采用钓鱼、Cookies劫持等方式进行攻击的同时，还能够利用网页跳转自动植入木马；破解后的邮箱直接进行无痕收发，避免Cookies因为时间关系而失效的问题，以尽可能多地收取有用信息。

核心功能

1案件管理。案件管理是指按照客户单位的实际管理流程对案件进行简单管理。平台中的案件管理功能是以案件为主线，由案件、属于该案件的嫌疑人以及属于各嫌疑人的联系方式（邮箱账号、即时通信账号）等要素组成，一个案件包含多个嫌疑人，每个嫌疑人又有多个待攻击的邮箱、机器设备等，对于不属于任何一个嫌疑人的邮箱、机器设备，每个案件设定一个公共嫌疑人，可以让这些信息隶属于每个案件的公共嫌疑人，以便统一处理。在执行过程中，案件管理可以添加一个案件，包括案件所包含的嫌疑人以及嫌疑人的基本信息；对案件包含的嫌疑人信息、联络方式信息等进行修改；把对应案件信息全部删除，包括隶属于该案件的嫌疑人、联系方式信息等。因为案件信息非常重要，彻底删除很可能会影响到以后的工作，所以，删除案件功能仅仅是把信息属性更改为整个系统不可见状态，无人能够对其进行操作。以图形化配合表格的方式，对所选择案件的总体信息进行展现，并按照时间、内容、创建人、审批人等信息进行查询。

2邮箱攻击。邮箱攻击功能为一独立功能模块，可以根据需要动态地添加至系统框架中，实现邮箱攻击的功能。该功能模块通过钓鱼、Cookies劫持、邮箱搬家等手段，达到获取目标邮箱登录密码、邮件内容等目的，根据所属的嫌疑人信息发送攻击邮件，开展邮箱攻击工作，以获取嫌疑人邮箱账号、密码、cookies等信息。本模块功能包括：自主编辑攻击邮件的内容，包括标题、内容，在内容中应该能够实现更改字体、添加图片等功能。编辑好的攻击邮件提交至服务器，有邮箱攻击服务器进行发送，系统应该允许使用欺骗源地址的方式来隐藏真正的发送地址。同时，在发送欺骗邮件时只允许选择自己职责范围之内的嫌疑人进行发送。为了应用方便，系统应该能够创建、删除、修改一些模板邮件，当有需要的时候，只需从模板库中选择一封邮件进行发送即可。对已经发送攻击邮件的邮箱进行管理，因为发送攻击邮件之后，整个攻击过程并没有结束，需要等到攻击结果回来之后才能够表示攻击过程结束。对攻击结果进行查询、统计等，并直接在该模块发起对特定邮箱的邮件接收功能。在实际开发过程中，只需要和邮件组协商一个具体接口即可，接口采用TCP／IP方式进行内容交互。

3无痕收发。利用邮箱攻击获取的邮箱账号密码、Cookies等信息，对目标邮箱中的邮件进行接收，接收过程不会改变邮件的当前状态，接收完成之后，如果邮件在接收前是未读状态，则完成接收之后仍然为未读状态，嫌疑人不会因为邮件被他人接收而产生警觉。在接收过程中，功能模块按照由新到旧的顺序进行接收，并通过一定算法保证邮件不会重复接收。在开发过程中，需要和邮件组协调邮件接收模块的接口问题，或者直接拿邮件组的代码，在这些代码的基础上增加通信接口和信息入库工作。

4登录环境信息获取。登录环境信息获取：根据所属嫌疑人信息发送邮件，获取嫌疑人操作系统版本、IE版本、IP地址以及杀毒软件版本等信息，为后续开展工作提供依据。登录环境信息获取又称为IP定位，通过发送并诱使嫌疑人阅读特定邮件，获取嫌疑人所使用电脑的操作系统种类、浏览器版本、IP地址等信息，通过IP转换获悉嫌疑人物理地址的同时，为其它手段的实施提供帮助。该模块通过发送欺骗邮件的方式，获取嫌疑人浏览邮件时的相关信息，以便木马生成时能够更有针对性，从而保证木马有更长的生存时间。和邮箱攻击模块一样，登录环境信息获取需要和邮件组进行接口方面的沟通，同时增加数据库接口。

5数据关联分析。对通过不同手段获取的信息进行关联，以图形化的方式显示不同嫌疑人、不同通联手段之间的关联关系。通过各种手段获取的数据均以固定格式进行存储，系统根据设定条件，自动对信息进行关联挖掘，并将数据信息之间的关联关系以图形方式显示，方便用户查看。所有功能模块均以标准格式保存在数据库中，如果遇到不符合标准格式的数据，则统一规整成统一格式进行存储。以某个嫌疑人、邮箱账号、即时通信账号、关键词等均能够启动一次关联查询，一次关联的层级数量应该能够灵活设置，避免关联搜索时间过长等影响应用。以图形化的方式显示关联结果，并能够以报表形式把图形化关联拓扑图、详细的关联信息等进行显示、打印。并且，对获取的信息进行主动分析，挖掘共性的内容，对一些敏感信息进行主动报警。

业务安全

系统长期运行于互联网上，不可避免会遭受来自外界的攻击，对业务安全造成威胁，系统采用多种手段，以保证系统的安全运行，彻底杜绝因攻击暴露等对业务工作造成影响。（1）分布式建设。操作终端仅仅完成信息查看、邮件编辑、系统配置、设备管理等功能，并不发送攻击邮件，包含攻击代码的邮件统一由服务器发送，而服务器可以置于任何一个地方，当出现攻击暴露情况时，查到的攻击源也仅仅是服务器，避免因为攻击暴露而引起纠纷。（2）信息单向传输。前段数据采集服务器采集到数据之后，通过光纤单向传输的方式提交给解析服务器进行内容解析，解析出来的明码信息也通过单向传输的方式提交数据库服务器保存，数据库服务器利用另外一块网卡和操作终端等其它设备组成局域网，对数据库中的信息进行查询。因为数据库服务器通过单向光纤和外界相连，数据不会从内网流出，因而保证了数据安全。（3）标注信息立刻转移。保存在外网服务器上的信息，一旦对其进行标注工作，立刻以光纤单向传输的方式传送至内网服务器，避免出现工作资料外泄情况的发生。（4）资源名称可以更改。系统所采用的界面文字，包括所有菜单、按钮、提示信息的显示文本，均可以根据需要进行实时更改，例如：可以把“案件管理”标题栏更改为“项目管理”，即使有人看到系统，也不会出现泄密事件，有效保证系统安全。（5）配置防火墙。每台工作服务器均配置防火墙，并根据系统应用情况做严格的访问规则限制，一旦出现非法访问，即可在整个系统的操作终端告警信息，方便对入侵的及时处理和防范。（6）进行加密通信。服务器和服务器之间、操作终端和服务器之间的通信，均采用当前最稳健的加密方式进行加密，并添加上每条信息的序列号，该序列号根据用户每次具体的操作按照一定的规则产生，并且对下一条操作信息也进行了规范，即明确了下一条信息的序列号和操作类型，进一步增加了破解的难度，降低了破解的可能性。相应接收端收到操作信息之后，首先按照约定的解密方式对信息进行解密，然后按照操作信息对序列号进行审计，确认信息无误之后才执行相关操作。（7）数据库数据加密存储。确认无误的信息需要保存到数据库时，也要对信息进行加密，即使有人攻破了缓存数据库，也无法对保存的内容进行应用，增加了数据的安全性。

结语

本系统是一个开放的系统，主要表现在：系统能够根据需要实时地添加应用模块，扩大系统的应用功能；系统提供完备的第三方数据接口，通过该接口，不但能够把第三方软件的数据引入系统进行应用，而且还能够把系统中的数据提供给第三方软件，供第三方软件进行处理。（本文作者：杨正祥 单位：武汉交通职业学院电子信息工程系）