互聯網入侵檢測系統的功能分析
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了互聯網入侵檢測系統的功能分析范文,希望能給你帶來靈感和參考,敬請閱讀。
系統由郵箱攻擊、登錄環境信息獲取、無痕收發、木馬,以及綜合關聯分析等功能模塊組成,系統模塊如圖2所示。各個功能模塊按照統一接口進行開發,并且采用統一的數據存儲格式進行數據存儲,當需要在系統中增加某種手段時,只需利用升級包置入相應模塊即可,無需進行整個系統的安裝升級。系統按照用戶單位應用流程,把這些應用手段進行了有機融合,多個手段按照一定流程自動對特定目標開展工作,能夠達到事半功倍的效果。例如:利用登錄環境信息定位獲取操作系統版本、殺毒工具類型、瀏覽器相關信息后,系統自動生成相應木馬,并推薦植入方式、植入注意事項;郵箱攻擊模塊根據這些信息,在采用釣魚、Cookies劫持等方式進行攻擊的同時,還能夠利用網頁跳轉自動植入木馬;破解后的郵箱直接進行無痕收發,避免Cookies因為時間關系而失效的問題,以盡可能多地收取有用信息。
核心功能
1案件管理。案件管理是指按照客戶單位的實際管理流程對案件進行簡單管理。平臺中的案件管理功能是以案件為主線,由案件、屬于該案件的嫌疑人以及屬于各嫌疑人的聯系方式(郵箱賬號、即時通信賬號)等要素組成,一個案件包含多個嫌疑人,每個嫌疑人又有多個待攻擊的郵箱、機器設備等,對于不屬于任何一個嫌疑人的郵箱、機器設備,每個案件設定一個公共嫌疑人,可以讓這些信息隸屬于每個案件的公共嫌疑人,以便統一處理。在執行過程中,案件管理可以添加一個案件,包括案件所包含的嫌疑人以及嫌疑人的基本信息;對案件包含的嫌疑人信息、聯絡方式信息等進行修改;把對應案件信息全部刪除,包括隸屬于該案件的嫌疑人、聯系方式信息等。因為案件信息非常重要,徹底刪除很可能會影響到以后的工作,所以,刪除案件功能僅僅是把信息屬性更改為整個系統不可見狀態,無人能夠對其進行操作。以圖形化配合表格的方式,對所選擇案件的總體信息進行展現,并按照時間、內容、創建人、審批人等信息進行查詢。
2郵箱攻擊。郵箱攻擊功能為一獨立功能模塊,可以根據需要動態地添加至系統框架中,實現郵箱攻擊的功能。該功能模塊通過釣魚、Cookies劫持、郵箱搬家等手段,達到獲取目標郵箱登錄密碼、郵件內容等目的,根據所屬的嫌疑人信息發送攻擊郵件,開展郵箱攻擊工作,以獲取嫌疑人郵箱賬號、密碼、cookies等信息。本模塊功能包括:自主編輯攻擊郵件的內容,包括標題、內容,在內容中應該能夠實現更改字體、添加圖片等功能。編輯好的攻擊郵件提交至服務器,有郵箱攻擊服務器進行發送,系統應該允許使用欺騙源地址的方式來隱藏真正的發送地址。同時,在發送欺騙郵件時只允許選擇自己職責范圍之內的嫌疑人進行發送。為了應用方便,系統應該能夠創建、刪除、修改一些模板郵件,當有需要的時候,只需從模板庫中選擇一封郵件進行發送即可。對已經發送攻擊郵件的郵箱進行管理,因為發送攻擊郵件之后,整個攻擊過程并沒有結束,需要等到攻擊結果回來之后才能夠表示攻擊過程結束。對攻擊結果進行查詢、統計等,并直接在該模塊發起對特定郵箱的郵件接收功能。在實際開發過程中,只需要和郵件組協商一個具體接口即可,接口采用TCP/IP方式進行內容交互。
3無痕收發。利用郵箱攻擊獲取的郵箱賬號密碼、Cookies等信息,對目標郵箱中的郵件進行接收,接收過程不會改變郵件的當前狀態,接收完成之后,如果郵件在接收前是未讀狀態,則完成接收之后仍然為未讀狀態,嫌疑人不會因為郵件被他人接收而產生警覺。在接收過程中,功能模塊按照由新到舊的順序進行接收,并通過一定算法保證郵件不會重復接收。在開發過程中,需要和郵件組協調郵件接收模塊的接口問題,或者直接拿郵件組的代碼,在這些代碼的基礎上增加通信接口和信息入庫工作。
4登錄環境信息獲取。登錄環境信息獲取:根據所屬嫌疑人信息發送郵件,獲取嫌疑人操作系統版本、IE版本、IP地址以及殺毒軟件版本等信息,為后續開展工作提供依據。登錄環境信息獲取又稱為IP定位,通過發送并誘使嫌疑人閱讀特定郵件,獲取嫌疑人所使用電腦的操作系統種類、瀏覽器版本、IP地址等信息,通過IP轉換獲悉嫌疑人物理地址的同時,為其它手段的實施提供幫助。該模塊通過發送欺騙郵件的方式,獲取嫌疑人瀏覽郵件時的相關信息,以便木馬生成時能夠更有針對性,從而保證木馬有更長的生存時間。和郵箱攻擊模塊一樣,登錄環境信息獲取需要和郵件組進行接口方面的溝通,同時增加數據庫接口。
5數據關聯分析。對通過不同手段獲取的信息進行關聯,以圖形化的方式顯示不同嫌疑人、不同通聯手段之間的關聯關系。通過各種手段獲取的數據均以固定格式進行存儲,系統根據設定條件,自動對信息進行關聯挖掘,并將數據信息之間的關聯關系以圖形方式顯示,方便用戶查看。所有功能模塊均以標準格式保存在數據庫中,如果遇到不符合標準格式的數據,則統一規整成統一格式進行存儲。以某個嫌疑人、郵箱賬號、即時通信賬號、關鍵詞等均能夠啟動一次關聯查詢,一次關聯的層級數量應該能夠靈活設置,避免關聯搜索時間過長等影響應用。以圖形化的方式顯示關聯結果,并能夠以報表形式把圖形化關聯拓撲圖、詳細的關聯信息等進行顯示、打印。并且,對獲取的信息進行主動分析,挖掘共性的內容,對一些敏感信息進行主動報警。
業務安全
系統長期運行于互聯網上,不可避免會遭受來自外界的攻擊,對業務安全造成威脅,系統采用多種手段,以保證系統的安全運行,徹底杜絕因攻擊暴露等對業務工作造成影響。(1)分布式建設。操作終端僅僅完成信息查看、郵件編輯、系統配置、設備管理等功能,并不發送攻擊郵件,包含攻擊代碼的郵件統一由服務器發送,而服務器可以置于任何一個地方,當出現攻擊暴露情況時,查到的攻擊源也僅僅是服務器,避免因為攻擊暴露而引起糾紛。(2)信息單向傳輸。前段數據采集服務器采集到數據之后,通過光纖單向傳輸的方式提交給解析服務器進行內容解析,解析出來的明碼信息也通過單向傳輸的方式提交數據庫服務器保存,數據庫服務器利用另外一塊網卡和操作終端等其它設備組成局域網,對數據庫中的信息進行查詢。因為數據庫服務器通過單向光纖和外界相連,數據不會從內網流出,因而保證了數據安全。(3)標注信息立刻轉移。保存在外網服務器上的信息,一旦對其進行標注工作,立刻以光纖單向傳輸的方式傳送至內網服務器,避免出現工作資料外泄情況的發生。(4)資源名稱可以更改。系統所采用的界面文字,包括所有菜單、按鈕、提示信息的顯示文本,均可以根據需要進行實時更改,例如:可以把“案件管理”標題欄更改為“項目管理”,即使有人看到系統,也不會出現泄密事件,有效保證系統安全。(5)配置防火墻。每臺工作服務器均配置防火墻,并根據系統應用情況做嚴格的訪問規則限制,一旦出現非法訪問,即可在整個系統的操作終端告警信息,方便對入侵的及時處理和防范。(6)進行加密通信。服務器和服務器之間、操作終端和服務器之間的通信,均采用當前最穩健的加密方式進行加密,并添加上每條信息的序列號,該序列號根據用戶每次具體的操作按照一定的規則產生,并且對下一條操作信息也進行了規范,即明確了下一條信息的序列號和操作類型,進一步增加了破解的難度,降低了破解的可能性。相應接收端收到操作信息之后,首先按照約定的解密方式對信息進行解密,然后按照操作信息對序列號進行審計,確認信息無誤之后才執行相關操作。(7)數據庫數據加密存儲。確認無誤的信息需要保存到數據庫時,也要對信息進行加密,即使有人攻破了緩存數據庫,也無法對保存的內容進行應用,增加了數據的安全性。
結語
本系統是一個開放的系統,主要表現在:系統能夠根據需要實時地添加應用模塊,擴大系統的應用功能;系統提供完備的第三方數據接口,通過該接口,不但能夠把第三方軟件的數據引入系統進行應用,而且還能夠把系統中的數據提供給第三方軟件,供第三方軟件進行處理。(本文作者:楊正祥 單位:武漢交通職業學院電子信息工程系)
