您现在的位置: 公务员期刊网 >> 论文范文 >> 管理论文 >> 互联网管理论文 >> 正文

互联网入侵检测系统的功能分析

系统由邮箱攻击、登录环境信息获取、无痕收发、木马,以及综合关联分析等功能模块组成,系统模块如图2所示。各个功能模块按照统一接口进行开发,并且采用统一的数据存储格式进行数据存储,当需要在系统中增加某种手段时,只需利用升级包置入相应模块即可,无需进行整个系统的安装升级。系统按照用户单位应用流程,把这些应用手段进行了有机融合,多个手段按照一定流程自动对特定目标开展工作,能够达到事半功倍的效果。例如:利用登录环境信息定位获取操作系统版本、杀毒工具类型、浏览器相关信息后,系统自动生成相应木马,并推荐植入方式、植入注意事项;邮箱攻击模块根据这些信息,在采用钓鱼、Cookies劫持等方式进行攻击的同时,还能够利用网页跳转自动植入木马;破解后的邮箱直接进行无痕收发,避免Cookies因为时间关系而失效的问题,以尽可能多地收取有用信息。

核心功能

1案件管理。案件管理是指按照客户单位的实际管理流程对案件进行简单管理。平台中的案件管理功能是以案件为主线,由案件、属于该案件的嫌疑人以及属于各嫌疑人的联系方式(邮箱账号、即时通信账号)等要素组成,一个案件包含多个嫌疑人,每个嫌疑人又有多个待攻击的邮箱、机器设备等,对于不属于任何一个嫌疑人的邮箱、机器设备,每个案件设定一个公共嫌疑人,可以让这些信息隶属于每个案件的公共嫌疑人,以便统一处理。在执行过程中,案件管理可以添加一个案件,包括案件所包含的嫌疑人以及嫌疑人的基本信息;对案件包含的嫌疑人信息、联络方式信息等进行修改;把对应案件信息全部删除,包括隶属于该案件的嫌疑人、联系方式信息等。因为案件信息非常重要,彻底删除很可能会影响到以后的工作,所以,删除案件功能仅仅是把信息属性更改为整个系统不可见状态,无人能够对其进行操作。以图形化配合表格的方式,对所选择案件的总体信息进行展现,并按照时间、内容、创建人、审批人等信息进行查询。

2邮箱攻击。邮箱攻击功能为一独立功能模块,可以根据需要动态地添加至系统框架中,实现邮箱攻击的功能。该功能模块通过钓鱼、Cookies劫持、邮箱搬家等手段,达到获取目标邮箱登录密码、邮件内容等目的,根据所属的嫌疑人信息发送攻击邮件,开展邮箱攻击工作,以获取嫌疑人邮箱账号、密码、cookies等信息。本模块功能包括:自主编辑攻击邮件的内容,包括标题、内容,在内容中应该能够实现更改字体、添加图片等功能。编辑好的攻击邮件提交至服务器,有邮箱攻击服务器进行发送,系统应该允许使用欺骗源地址的方式来隐藏真正的发送地址。同时,在发送欺骗邮件时只允许选择自己职责范围之内的嫌疑人进行发送。为了应用方便,系统应该能够创建、删除、修改一些模板邮件,当有需要的时候,只需从模板库中选择一封邮件进行发送即可。对已经发送攻击邮件的邮箱进行管理,因为发送攻击邮件之后,整个攻击过程并没有结束,需要等到攻击结果回来之后才能够表示攻击过程结束。对攻击结果进行查询、统计等,并直接在该模块发起对特定邮箱的邮件接收功能。在实际开发过程中,只需要和邮件组协商一个具体接口即可,接口采用TCP/IP方式进行内容交互。

3无痕收发。利用邮箱攻击获取的邮箱账号密码、Cookies等信息,对目标邮箱中的邮件进行接收,接收过程不会改变邮件的当前状态,接收完成之后,如果邮件在接收前是未读状态,则完成接收之后仍然为未读状态,嫌疑人不会因为邮件被他人接收而产生警觉。在接收过程中,功能模块按照由新到旧的顺序进行接收,并通过一定算法保证邮件不会重复接收。在开发过程中,需要和邮件组协调邮件接收模块的接口问题,或者直接拿邮件组的代码,在这些代码的基础上增加通信接口和信息入库工作。

4登录环境信息获取。登录环境信息获取:根据所属嫌疑人信息发送邮件,获取嫌疑人操作系统版本、IE版本、IP地址以及杀毒软件版本等信息,为后续开展工作提供依据。登录环境信息获取又称为IP定位,通过发送并诱使嫌疑人阅读特定邮件,获取嫌疑人所使用电脑的操作系统种类、浏览器版本、IP地址等信息,通过IP转换获悉嫌疑人物理地址的同时,为其它手段的实施提供帮助。该模块通过发送欺骗邮件的方式,获取嫌疑人浏览邮件时的相关信息,以便木马生成时能够更有针对性,从而保证木马有更长的生存时间。和邮箱攻击模块一样,登录环境信息获取需要和邮件组进行接口方面的沟通,同时增加数据库接口。

5数据关联分析。对通过不同手段获取的信息进行关联,以图形化的方式显示不同嫌疑人、不同通联手段之间的关联关系。通过各种手段获取的数据均以固定格式进行存储,系统根据设定条件,自动对信息进行关联挖掘,并将数据信息之间的关联关系以图形方式显示,方便用户查看。所有功能模块均以标准格式保存在数据库中,如果遇到不符合标准格式的数据,则统一规整成统一格式进行存储。以某个嫌疑人、邮箱账号、即时通信账号、关键词等均能够启动一次关联查询,一次关联的层级数量应该能够灵活设置,避免关联搜索时间过长等影响应用。以图形化的方式显示关联结果,并能够以报表形式把图形化关联拓扑图、详细的关联信息等进行显示、打印。并且,对获取的信息进行主动分析,挖掘共性的内容,对一些敏感信息进行主动报警。

业务安全

系统长期运行于互联网上,不可避免会遭受来自外界的攻击,对业务安全造成威胁,系统采用多种手段,以保证系统的安全运行,彻底杜绝因攻击暴露等对业务工作造成影响。(1)分布式建设。操作终端仅仅完成信息查看、邮件编辑、系统配置、设备管理等功能,并不发送攻击邮件,包含攻击代码的邮件统一由服务器发送,而服务器可以置于任何一个地方,当出现攻击暴露情况时,查到的攻击源也仅仅是服务器,避免因为攻击暴露而引起纠纷。(2)信息单向传输。前段数据采集服务器采集到数据之后,通过光纤单向传输的方式提交给解析服务器进行内容解析,解析出来的明码信息也通过单向传输的方式提交数据库服务器保存,数据库服务器利用另外一块网卡和操作终端等其它设备组成局域网,对数据库中的信息进行查询。因为数据库服务器通过单向光纤和外界相连,数据不会从内网流出,因而保证了数据安全。(3)标注信息立刻转移。保存在外网服务器上的信息,一旦对其进行标注工作,立刻以光纤单向传输的方式传送至内网服务器,避免出现工作资料外泄情况的发生。(4)资源名称可以更改。系统所采用的界面文字,包括所有菜单、按钮、提示信息的显示文本,均可以根据需要进行实时更改,例如:可以把“案件管理”标题栏更改为“项目管理”,即使有人看到系统,也不会出现泄密事件,有效保证系统安全。(5)配置防火墙。每台工作服务器均配置防火墙,并根据系统应用情况做严格的访问规则限制,一旦出现非法访问,即可在整个系统的操作终端发布告警信息,方便对入侵的及时处理和防范。(6)进行加密通信。服务器和服务器之间、操作终端和服务器之间的通信,均采用当前最稳健的加密方式进行加密,并添加上每条信息的序列号,该序列号根据用户每次具体的操作按照一定的规则产生,并且对下一条操作信息也进行了规范,即明确了下一条信息的序列号和操作类型,进一步增加了破解的难度,降低了破解的可能性。相应接收端收到操作信息之后,首先按照约定的解密方式对信息进行解密,然后按照操作信息对序列号进行审计,确认信息无误之后才执行相关操作。(7)数据库数据加密存储。确认无误的信息需要保存到数据库时,也要对信息进行加密,即使有人攻破了缓存数据库,也无法对保存的内容进行应用,增加了数据的安全性。

结语

本系统是一个开放的系统,主要表现在:系统能够根据需要实时地添加应用模块,扩大系统的应用功能;系统提供完备的第三方数据接口,通过该接口,不但能够把第三方软件的数据引入系统进行应用,而且还能够把系统中的数据提供给第三方软件,供第三方软件进行处理。(本文作者:杨正祥 单位:武汉交通职业学院电子信息工程系)

阅读次数:人次