前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了互聯(lián)網(wǎng)入侵檢測(cè)系統(tǒng)的功能分析范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。
系統(tǒng)由郵箱攻擊、登錄環(huán)境信息獲取、無(wú)痕收發(fā)、木馬,以及綜合關(guān)聯(lián)分析等功能模塊組成,系統(tǒng)模塊如圖2所示。各個(gè)功能模塊按照統(tǒng)一接口進(jìn)行開(kāi)發(fā),并且采用統(tǒng)一的數(shù)據(jù)存儲(chǔ)格式進(jìn)行數(shù)據(jù)存儲(chǔ),當(dāng)需要在系統(tǒng)中增加某種手段時(shí),只需利用升級(jí)包置入相應(yīng)模塊即可,無(wú)需進(jìn)行整個(gè)系統(tǒng)的安裝升級(jí)。系統(tǒng)按照用戶單位應(yīng)用流程,把這些應(yīng)用手段進(jìn)行了有機(jī)融合,多個(gè)手段按照一定流程自動(dòng)對(duì)特定目標(biāo)開(kāi)展工作,能夠達(dá)到事半功倍的效果。例如:利用登錄環(huán)境信息定位獲取操作系統(tǒng)版本、殺毒工具類型、瀏覽器相關(guān)信息后,系統(tǒng)自動(dòng)生成相應(yīng)木馬,并推薦植入方式、植入注意事項(xiàng);郵箱攻擊模塊根據(jù)這些信息,在采用釣魚(yú)、Cookies劫持等方式進(jìn)行攻擊的同時(shí),還能夠利用網(wǎng)頁(yè)跳轉(zhuǎn)自動(dòng)植入木馬;破解后的郵箱直接進(jìn)行無(wú)痕收發(fā),避免Cookies因?yàn)闀r(shí)間關(guān)系而失效的問(wèn)題,以盡可能多地收取有用信息。
核心功能
1案件管理。案件管理是指按照客戶單位的實(shí)際管理流程對(duì)案件進(jìn)行簡(jiǎn)單管理。平臺(tái)中的案件管理功能是以案件為主線,由案件、屬于該案件的嫌疑人以及屬于各嫌疑人的聯(lián)系方式(郵箱賬號(hào)、即時(shí)通信賬號(hào))等要素組成,一個(gè)案件包含多個(gè)嫌疑人,每個(gè)嫌疑人又有多個(gè)待攻擊的郵箱、機(jī)器設(shè)備等,對(duì)于不屬于任何一個(gè)嫌疑人的郵箱、機(jī)器設(shè)備,每個(gè)案件設(shè)定一個(gè)公共嫌疑人,可以讓這些信息隸屬于每個(gè)案件的公共嫌疑人,以便統(tǒng)一處理。在執(zhí)行過(guò)程中,案件管理可以添加一個(gè)案件,包括案件所包含的嫌疑人以及嫌疑人的基本信息;對(duì)案件包含的嫌疑人信息、聯(lián)絡(luò)方式信息等進(jìn)行修改;把對(duì)應(yīng)案件信息全部刪除,包括隸屬于該案件的嫌疑人、聯(lián)系方式信息等。因?yàn)榘讣畔⒎浅V匾瑥氐讋h除很可能會(huì)影響到以后的工作,所以,刪除案件功能僅僅是把信息屬性更改為整個(gè)系統(tǒng)不可見(jiàn)狀態(tài),無(wú)人能夠?qū)ζ溥M(jìn)行操作。以圖形化配合表格的方式,對(duì)所選擇案件的總體信息進(jìn)行展現(xiàn),并按照時(shí)間、內(nèi)容、創(chuàng)建人、審批人等信息進(jìn)行查詢。
2郵箱攻擊。郵箱攻擊功能為一獨(dú)立功能模塊,可以根據(jù)需要?jiǎng)討B(tài)地添加至系統(tǒng)框架中,實(shí)現(xiàn)郵箱攻擊的功能。該功能模塊通過(guò)釣魚(yú)、Cookies劫持、郵箱搬家等手段,達(dá)到獲取目標(biāo)郵箱登錄密碼、郵件內(nèi)容等目的,根據(jù)所屬的嫌疑人信息發(fā)送攻擊郵件,開(kāi)展郵箱攻擊工作,以獲取嫌疑人郵箱賬號(hào)、密碼、cookies等信息。本模塊功能包括:自主編輯攻擊郵件的內(nèi)容,包括標(biāo)題、內(nèi)容,在內(nèi)容中應(yīng)該能夠?qū)崿F(xiàn)更改字體、添加圖片等功能。編輯好的攻擊郵件提交至服務(wù)器,有郵箱攻擊服務(wù)器進(jìn)行發(fā)送,系統(tǒng)應(yīng)該允許使用欺騙源地址的方式來(lái)隱藏真正的發(fā)送地址。同時(shí),在發(fā)送欺騙郵件時(shí)只允許選擇自己職責(zé)范圍之內(nèi)的嫌疑人進(jìn)行發(fā)送。為了應(yīng)用方便,系統(tǒng)應(yīng)該能夠創(chuàng)建、刪除、修改一些模板郵件,當(dāng)有需要的時(shí)候,只需從模板庫(kù)中選擇一封郵件進(jìn)行發(fā)送即可。對(duì)已經(jīng)發(fā)送攻擊郵件的郵箱進(jìn)行管理,因?yàn)榘l(fā)送攻擊郵件之后,整個(gè)攻擊過(guò)程并沒(méi)有結(jié)束,需要等到攻擊結(jié)果回來(lái)之后才能夠表示攻擊過(guò)程結(jié)束。對(duì)攻擊結(jié)果進(jìn)行查詢、統(tǒng)計(jì)等,并直接在該模塊發(fā)起對(duì)特定郵箱的郵件接收功能。在實(shí)際開(kāi)發(fā)過(guò)程中,只需要和郵件組協(xié)商一個(gè)具體接口即可,接口采用TCP/IP方式進(jìn)行內(nèi)容交互。
3無(wú)痕收發(fā)。利用郵箱攻擊獲取的郵箱賬號(hào)密碼、Cookies等信息,對(duì)目標(biāo)郵箱中的郵件進(jìn)行接收,接收過(guò)程不會(huì)改變郵件的當(dāng)前狀態(tài),接收完成之后,如果郵件在接收前是未讀狀態(tài),則完成接收之后仍然為未讀狀態(tài),嫌疑人不會(huì)因?yàn)猷]件被他人接收而產(chǎn)生警覺(jué)。在接收過(guò)程中,功能模塊按照由新到舊的順序進(jìn)行接收,并通過(guò)一定算法保證郵件不會(huì)重復(fù)接收。在開(kāi)發(fā)過(guò)程中,需要和郵件組協(xié)調(diào)郵件接收模塊的接口問(wèn)題,或者直接拿郵件組的代碼,在這些代碼的基礎(chǔ)上增加通信接口和信息入庫(kù)工作。
4登錄環(huán)境信息獲取。登錄環(huán)境信息獲?。焊鶕?jù)所屬嫌疑人信息發(fā)送郵件,獲取嫌疑人操作系統(tǒng)版本、IE版本、IP地址以及殺毒軟件版本等信息,為后續(xù)開(kāi)展工作提供依據(jù)。登錄環(huán)境信息獲取又稱為IP定位,通過(guò)發(fā)送并誘使嫌疑人閱讀特定郵件,獲取嫌疑人所使用電腦的操作系統(tǒng)種類、瀏覽器版本、IP地址等信息,通過(guò)IP轉(zhuǎn)換獲悉嫌疑人物理地址的同時(shí),為其它手段的實(shí)施提供幫助。該模塊通過(guò)發(fā)送欺騙郵件的方式,獲取嫌疑人瀏覽郵件時(shí)的相關(guān)信息,以便木馬生成時(shí)能夠更有針對(duì)性,從而保證木馬有更長(zhǎng)的生存時(shí)間。和郵箱攻擊模塊一樣,登錄環(huán)境信息獲取需要和郵件組進(jìn)行接口方面的溝通,同時(shí)增加數(shù)據(jù)庫(kù)接口。
5數(shù)據(jù)關(guān)聯(lián)分析。對(duì)通過(guò)不同手段獲取的信息進(jìn)行關(guān)聯(lián),以圖形化的方式顯示不同嫌疑人、不同通聯(lián)手段之間的關(guān)聯(lián)關(guān)系。通過(guò)各種手段獲取的數(shù)據(jù)均以固定格式進(jìn)行存儲(chǔ),系統(tǒng)根據(jù)設(shè)定條件,自動(dòng)對(duì)信息進(jìn)行關(guān)聯(lián)挖掘,并將數(shù)據(jù)信息之間的關(guān)聯(lián)關(guān)系以圖形方式顯示,方便用戶查看。所有功能模塊均以標(biāo)準(zhǔn)格式保存在數(shù)據(jù)庫(kù)中,如果遇到不符合標(biāo)準(zhǔn)格式的數(shù)據(jù),則統(tǒng)一規(guī)整成統(tǒng)一格式進(jìn)行存儲(chǔ)。以某個(gè)嫌疑人、郵箱賬號(hào)、即時(shí)通信賬號(hào)、關(guān)鍵詞等均能夠啟動(dòng)一次關(guān)聯(lián)查詢,一次關(guān)聯(lián)的層級(jí)數(shù)量應(yīng)該能夠靈活設(shè)置,避免關(guān)聯(lián)搜索時(shí)間過(guò)長(zhǎng)等影響應(yīng)用。以圖形化的方式顯示關(guān)聯(lián)結(jié)果,并能夠以報(bào)表形式把圖形化關(guān)聯(lián)拓?fù)鋱D、詳細(xì)的關(guān)聯(lián)信息等進(jìn)行顯示、打印。并且,對(duì)獲取的信息進(jìn)行主動(dòng)分析,挖掘共性的內(nèi)容,對(duì)一些敏感信息進(jìn)行主動(dòng)報(bào)警。
業(yè)務(wù)安全
系統(tǒng)長(zhǎng)期運(yùn)行于互聯(lián)網(wǎng)上,不可避免會(huì)遭受來(lái)自外界的攻擊,對(duì)業(yè)務(wù)安全造成威脅,系統(tǒng)采用多種手段,以保證系統(tǒng)的安全運(yùn)行,徹底杜絕因攻擊暴露等對(duì)業(yè)務(wù)工作造成影響。(1)分布式建設(shè)。操作終端僅僅完成信息查看、郵件編輯、系統(tǒng)配置、設(shè)備管理等功能,并不發(fā)送攻擊郵件,包含攻擊代碼的郵件統(tǒng)一由服務(wù)器發(fā)送,而服務(wù)器可以置于任何一個(gè)地方,當(dāng)出現(xiàn)攻擊暴露情況時(shí),查到的攻擊源也僅僅是服務(wù)器,避免因?yàn)楣舯┞抖鸺m紛。(2)信息單向傳輸。前段數(shù)據(jù)采集服務(wù)器采集到數(shù)據(jù)之后,通過(guò)光纖單向傳輸?shù)姆绞教峤唤o解析服務(wù)器進(jìn)行內(nèi)容解析,解析出來(lái)的明碼信息也通過(guò)單向傳輸?shù)姆绞教峤粩?shù)據(jù)庫(kù)服務(wù)器保存,數(shù)據(jù)庫(kù)服務(wù)器利用另外一塊網(wǎng)卡和操作終端等其它設(shè)備組成局域網(wǎng),對(duì)數(shù)據(jù)庫(kù)中的信息進(jìn)行查詢。因?yàn)閿?shù)據(jù)庫(kù)服務(wù)器通過(guò)單向光纖和外界相連,數(shù)據(jù)不會(huì)從內(nèi)網(wǎng)流出,因而保證了數(shù)據(jù)安全。(3)標(biāo)注信息立刻轉(zhuǎn)移。保存在外網(wǎng)服務(wù)器上的信息,一旦對(duì)其進(jìn)行標(biāo)注工作,立刻以光纖單向傳輸?shù)姆绞絺魉椭羶?nèi)網(wǎng)服務(wù)器,避免出現(xiàn)工作資料外泄情況的發(fā)生。(4)資源名稱可以更改。系統(tǒng)所采用的界面文字,包括所有菜單、按鈕、提示信息的顯示文本,均可以根據(jù)需要進(jìn)行實(shí)時(shí)更改,例如:可以把“案件管理”標(biāo)題欄更改為“項(xiàng)目管理”,即使有人看到系統(tǒng),也不會(huì)出現(xiàn)泄密事件,有效保證系統(tǒng)安全。(5)配置防火墻。每臺(tái)工作服務(wù)器均配置防火墻,并根據(jù)系統(tǒng)應(yīng)用情況做嚴(yán)格的訪問(wèn)規(guī)則限制,一旦出現(xiàn)非法訪問(wèn),即可在整個(gè)系統(tǒng)的操作終端告警信息,方便對(duì)入侵的及時(shí)處理和防范。(6)進(jìn)行加密通信。服務(wù)器和服務(wù)器之間、操作終端和服務(wù)器之間的通信,均采用當(dāng)前最穩(wěn)健的加密方式進(jìn)行加密,并添加上每條信息的序列號(hào),該序列號(hào)根據(jù)用戶每次具體的操作按照一定的規(guī)則產(chǎn)生,并且對(duì)下一條操作信息也進(jìn)行了規(guī)范,即明確了下一條信息的序列號(hào)和操作類型,進(jìn)一步增加了破解的難度,降低了破解的可能性。相應(yīng)接收端收到操作信息之后,首先按照約定的解密方式對(duì)信息進(jìn)行解密,然后按照操作信息對(duì)序列號(hào)進(jìn)行審計(jì),確認(rèn)信息無(wú)誤之后才執(zhí)行相關(guān)操作。(7)數(shù)據(jù)庫(kù)數(shù)據(jù)加密存儲(chǔ)。確認(rèn)無(wú)誤的信息需要保存到數(shù)據(jù)庫(kù)時(shí),也要對(duì)信息進(jìn)行加密,即使有人攻破了緩存數(shù)據(jù)庫(kù),也無(wú)法對(duì)保存的內(nèi)容進(jìn)行應(yīng)用,增加了數(shù)據(jù)的安全性。
結(jié)語(yǔ)
本系統(tǒng)是一個(gè)開(kāi)放的系統(tǒng),主要表現(xiàn)在:系統(tǒng)能夠根據(jù)需要實(shí)時(shí)地添加應(yīng)用模塊,擴(kuò)大系統(tǒng)的應(yīng)用功能;系統(tǒng)提供完備的第三方數(shù)據(jù)接口,通過(guò)該接口,不但能夠把第三方軟件的數(shù)據(jù)引入系統(tǒng)進(jìn)行應(yīng)用,而且還能夠把系統(tǒng)中的數(shù)據(jù)提供給第三方軟件,供第三方軟件進(jìn)行處理。(本文作者:楊正祥 單位:武漢交通職業(yè)學(xué)院電子信息工程系)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:CSCD期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)