图书馆网络入侵检测系统的设计及应用

马佳立

（榆林学院陕西榆林719000）

在现代图书馆信息化建设不断深入的过程中，人们也将眼光放到了图书馆网络安全事态方面，图书馆网络保护网络的发展能够使图书馆工作正常的开展，其不仅能够对图书馆中核心数据及资源安全性进行保证，还能够有效保证图书馆对公众和教学、科研提供可靠的信息服务。在实现图书馆网络图侵检测系统的设计过程中，占据主要地位的就是防火墙系统、防治网络病毒及入侵检测系统，等多种网络安全基础。防火墙具有较为强大的功能，但是其对于内部主机之间的攻击行为和网络内部主动连接无法进行有效的阻止。除了防火墙，第二道网络安全监测系统指的就是入侵检测系统，其能够实现网络的外部、内部及错误操作等事件的处理。图书馆属于公共信息集散地，其更多的是使用网络技术为大众提供文献及信息等服务，以此就表示了网络安全在图书馆安全管理工作中的重要性，并且网络入侵检测系统的设计也是保证网络安全管理工作的主要技术保障。基于此，本文就针对图书馆，实现了网络入侵检测系统的设计。

1 图书馆网络入侵系统的功能

目前，各个院校都已经创建了满足自身需求的校园网络，并且校园网络也被不断的普及，为学校校园管理及教学、学生的学习及日常生活带来了方便[1]。图书馆是校园网络中尤为重要的组成部分，其支撑着全校教学及科研工作的主要责任，但是在校园网络安全中并不是绝对安全的，最开始的黑客就是在校园网络中逐渐成长。一般的入侵检测系统只能够单一或者一组用户行为，通过微观的角度对入侵事件进行检测，并没有从宏观的角度对拒绝服务攻击导致的网络流量异常实现分析，本文所设计的系统就是从拒绝服务攻击导致的网络流量异常变化进行设计的。原型系统的设计要以网络行为学为基础，网络行为学表示网络主要包括网络流量行为，其具有短期和长期的特点。长期特点表示网络行为具有稳定性、规律性，短期特征具有突发性及偶然性[2]。本文系统的设计主要是根据规律和假设实现，图1为图书馆网络入侵系统的设计框架。

图1 图书馆网络入侵系统的设计框架

2 网络入侵检测系统模型

目前有多种入侵检测系统，但是效率并不高，并且较为混乱。本文使用入侵检测机制和传统入侵检测系统模型并不同，本文使用的机制通过自主运行的并行程序，其能够以独立及其他程序为基础实现运行，此程序为自主代理[3]。图2为自主代理入侵检测系统的结构。

文中说描述的代理指的是能够自主运行的实体，其能够加入或者退出系统，不同代理能够在运行过程中动态配置，不需要重新启动系统。每个代理能够在连续变化的过程中对计算机系统中的异常入侵和误用入侵进行检测。如果一个检测系统能够分为多个不同功能的实体，那么每个实体就是一个小代理，以此就实现了共同运行的多个入侵检测系统自主代理[4]。

图2 自主代理入侵检测系统的结构

网络层的主要目的就是接受从系统主机和网络到本层分类器中传输的审计数据，之后分类器根据相应的原则实现审计数据的分类，最后传输到代理中实现代理。入侵检测系统不需要了解攻击使用哪种特定的系统漏洞或者使用哪种技术方法，只要寸照代表某种攻击的信息就可以，从而有效提供啊了检测系统效率[5]。

代理层是系统的核心，其能够实现审计内容计算，计算之后每个代理都具有一个坏抑制，此表示主题管理系统是否处于威胁中。系统中的多个代理能够同时运行，这就是本文所设计的并行性。

分析层能够对简单怀疑值平均值进行计算，异常入侵检测为定期实现的，代理层中的代理定期从系统日志中对主机和网络行为进行统计，通过学习方式和系统中模式进行对比，如果发现异常的行为，就会对管理层进行报警[6]。

管理层属于整个系统中的决策部分，系统能够接受分析层的报告，并且通过最终的管理员实现处理，每个主机管理层都具有最终的信息，之后结合信息并且分析，以此对系统入侵进行检测。

3 系统的详细设计

统计分析层为本文研究网络入侵检测系统核心，其模块的核心就是统计分析算法，以下就对此种算法进行分析：

3.1 统计分析算法

将一天分为二十四段，相应的时间段保留自身的历史轮廊，在结束一段时间之后，使用此时间段收集的正常流量数据实现相应历史轮廊的更新，而且还能够在短时间内更新历史平均流量，如果在这个过程中流量数据出现异常，那么这个值就是历史平均流量值使用之后的对象历史。在计算流量数据之后，如果现在流量比历史流量高，那么表示其比例也比较高，如果此比例高于报警闭值，那么模块就会自动报警，通过解析模块对其是否为流量异常进行判断，从而排除由于其他原因导致的流量峰值[7]。图3为统计分析算法的流程。

图3 统计分析算法的流程

3.2 解析算法

解析算法模块从统计分析模块中得到警报信息，之后对是否为流量异常进行判断，具体的方法为：接收同一个对象中的连续警报，而且警报流量高于阈值，那么表示此流浪出现异常[8]。

3.3 数据结构

3.3.1 对象历史轮廊

其中包括对象的历史数据，而且也是判断异常的前提和基础。图4为对象轮廊的数据结构，历史的平均流量及流量使用浮点数组表示，其中n表示历史流量中的数据量。是简单表示为整数，对象标识作为字符串表示。

图4 对象轮廊的数据结构

3.3.2 收集的数据信息

表1为收集的数据信息，编号的字段为三十二位的无符号长整数，利用常用时间形式对生成的时间字段进行表示，利用浮点数表示平均的流量字段，能够展现使用过程中的平均流量，对象标识指的是检测的对象，其属于字符串[9]。

表1 收集的数据信息

3.3.3 警报消息

表2属于警报消息结构，其生成时间和警报生成时间相同，一般表示为常用时间。增比量通过浮点数表示，其中具有警报异常流量及历史的平均流量比，阈值属于浮点数，其主要包括某个对象的阈值。异常的流量值也是浮点数，其主要指的是警报的异常的流量。对象标识指的是使用字符串进行检测的对象[10-11]。

表2 警报消息的结构

4 系统的实现

4.1 数据的收集

网络入侵检测系统中对于网络传送包实现有效监听是现代入侵技术的主要技术，只要对数据包实现高校数据包的获取，网络管理人员才能够全面分析捕获的数据，以此实现可靠的网络安全管理。网络入侵检测系统就是利用对检测网络状态获得数据包实现数据包的分析和重组，使其能够被使用人员识别，并且判断是否成为网络入侵，收集检测系统中的数据。一般网络数据检测系统使用的数据收集方式为以太网和网络适配器相互结合的模式，以此得到网络中传输的数据包[12-13]。图5为数据收集的结构，图6为数据包捕获的流程。

图5 数据收集的结构

图6 数据包捕获的流程

4.2 系统的评价

以下对系统进行检测，得出效果从而对系统进行评价。表3为截止到2015年10月4日的数据包平均流量，为了能够便于计算和作图，都取100的整数倍。通过表3得到图7和图8，图7为数据包的历史平均流量，图8为数据包的攻击响应。在本次实验中，对于数据包实现检测，数据包的历史平均流量为每秒23210.5包，在程序运行一段时间之后，使用相关工具进行测试，表示攻击之后的数据包流量增加到10000包每秒[14-15]。

表3 截止到2015年10月4日的数据包平均流量

图7 数据包的历史平均流量

通过检测可以看出来，本文所设计的网络入侵系统是非常成功的，其能够在短时间内发现入侵行为，并且入侵系统能够满足不同环境的需求，在网络容量、平台、计算机系统类型等发生变化之后还能够正常工作[16]。

图8 数据包的攻击响应

5 结束语

在现代计算机研究过程中，网络安全的研究备受重视，其中入侵检测能够有效解决网络中的安全问题[17]。但是在计算机不断发展的过程中，网络安全涉及到的范围也不断扩大，所以就需要一个更加完善、精准及高校的入侵检测系统[18]。本文设计了基于网络的入侵检测系统，并且对入侵检测系统的结构设计进行了分析，之后检验了系统，表示此系统能够满足现代图书馆网络需求，满足预期的需求。