入侵检测系统及其在银行系统中的作用

(陕西国际商贸学院陕西西安712000)

摘要随着“网上银行”的兴起，银行系统的安全问题显得越来越重要。为了解决银行的安全隐患，新一级别的安全措施也就脱颖而出。第一种方法是网络设备与IDS设备联动。IDS系统可根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的动作。第二种就是应用安全。这种安全技术是将传统的网络和操作系统以及入侵检测系统概念应用于数据库，使银行系统的数据库得到有效的保护。

关键词入侵检测系统；银行网络安全；作用

随着网络安全风险系数的不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对网络安全的要求。因为防火墙、身份认证、数据加密等这些技术，它们的安全技术的规范性、完善性、实用性还存在许多的不足，特别是在平台的兼容性、协议的适应性、多接口的满足性方面与国外先进产品存在很大的差距，而且这些方法只能将一部分的网络攻击拒之门外，并且它们的网络配置是静态的，不能随着时间和外界应用的变化而变化，导致有很多实现和配置上的漏洞不能及时补救，一旦入侵者绕过防火墙或者利用系统的漏洞攻入网络，这些配置对入侵者而言将变的毫无意义。因此，为了保护计算机系统的安全，一种能及时发现入侵，成功阻止入侵，并在事后对入侵进行分析，查明系统漏洞并及时修补的网络安全技术——入侵检测系统(IDS)应运而生。

和汽车上安装的防盗警报系统的功能和作用类似，在计算机安全领域，我们所说的入侵检测系统是为了检测有意(攻击)或无意(误用)、人工(黑客)或自动(病毒)对计算机网络和计算机系统进行攻击的行为而搭建的攻击威胁检测系统。IDS是英文“IntrusionDetectionSystems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。入侵检测是继“防火墙”、“数据加密”等传统安全保护措施后新一代安全保障技术，是一种动态的安全防御技术。入侵检测是防火墙的合理补充，被认为是防火墙之后的第二道安全闸门，在尽量不影响网络性能的前提下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。在本质上，入侵检测系统是一个典型的“窥探设备”，它不跨接多个物理网段(通常只有一个监听端口)，无须转发任何流量，而只需要在网络上被动地、无声息地收集它所关心的报文即可。在实际的部署中，IDS是并联在网络中，通过旁路监听的方式实时地监视网络中的流量，对网络的运行和性能无任何影响，同时判断其中是否有攻击的企图，通过各种手段向管理员报警，它不但可以发现从外部的攻击，而且也可以发现内部的恶意行为。入侵检测系统就其最基本的功能来讲，可以说是一个分类器，它是根据系统的安全策略来对收集到的事件或状态信息进行分类处理，从而判断出入侵或非入侵的行为。有效的入侵检测手段对于保障系统安全是必不可少的。即使一个系统中不存在某个特定的漏洞，入侵检测系统仍旧可以检测到相应的攻击事件，并调整系统状态对未来可能发生的入侵发出警告。对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该宜于管理、配置简单，从而使非专业人员非常容易的获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时做出响应，包括切断网络连接、记录事件和报警等。

随着社会的进步，计算机信息系统广泛地深入到社会各行各业，尤其是金融系统。以互联网技术为核心的网上银行使银行业务也发生了巨大变化。“网上银行”在为金融企业的发展带来前所未有的商机的同时，也为众多用户带来实实在在的方便。作为一种全新的银行客户服务提交渠道，“网上银行”以其特有的便利性，被越来越多的人所接受。然而随着“网上银行”的兴起，银行系统的安全问题显得越来越重要，安全隐患已成为迫在眉睫的首要问题。为了解决银行的安全隐患，新一级别的安全措施也就脱颖而出。第一种方法是网络设备与IDS设备联动。众所周知，各种相关网络安全的黑客和病毒都是依赖网络平台进行的，而如果在网络平台上就能切断黑客和病毒的传播途径，那么就能更好地保证安全。众多银行如农业银行、建设银行、工商银行等都采取了IDS与网络交换设备联动。即是指交换机或防火墙在运行的过程中，将各种数据流的信息上报给安全设备，IDS系统可根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的动作，并将这些对安全事件反应的动作发送到交换机或防火墙上，由交换机或防火墙来实现精确端口的关闭和断开；第二种就是应用安全。这种安全技术是将传统的网络和操作系统以及入侵检测系统概念应用于数据库。与通常的网络或操作系统解决方案不同的是，应用IDS提供主动的、针对SQL的保护和监视，可以保护数以千计的预先包装或自行开发的Web应用。比如，应用IDS可以监视和防护关键的数据，使那些针对数据库的攻击，如缓冲区溢出和Web应用攻击等无法对数据库造成真正的损害，而且应用IDS还可以对这些事件进行审查。这样可以使银行系统的数据库得到有效的保护。

当今，随着科技的发展，金融网络犯罪手法层出不穷。所以实施有效的安全保护策略对银行系统来说尤为重要，尤其是对实施了网络化的银行系统更是万分关键。而单纯依靠安全技术和软、硬件产品解决网络安全问题的想法是不现实也是不明智的，因为在网络迅速发展的今天，随着信息化的不断普及，入侵攻击的手段也会层出不穷。仅仅发现入侵行为还不够，还必须采取进一步的措施(如改变网络配置、切断连接、向攻击者发出警告信息，甚至进行反击等)以制止攻击，避免造成进一步危害。因此，作为安全防御体系的入侵检测技术要走的路还很长，新一代的安全防御体系也正在出现，如IPS等，因此IDS还应该扩展其他的功能，比如可以和其他技术相结合，可以和防火墙技术相结合，防火墙是对恶意用户或网络进行隔离的常用手段之一，适当配置的防火墙可以屏蔽恶意数据或网段，以保护网络。由于防火墙技术已比较成熟，将入侵检测技术和防火墙技术相结合，利用入侵检测结果实时改变防火墙配置，使其断开恶意连接或数据传送，以实现对攻击的动态响应。同时还应该提高企业的网络安全意识，加大整体防范网络入侵和攻击的能力，并在此基础上形成一支高素质的网络安全管理专业队伍，这样才能从根本上解决我们面临的威胁和困扰。

参考文献

[1]Intrusion Detection，Rebecca GurelyBace，Macmillan Technical Publishing，U．S．A，1999．

[2]Intrusion Detection System terminology，CliffA，Partone．www．secrityfocus．com.2001．

[3]Management Information Systems2：Organization and Technology in the Networked Enterprise (Sixth Edition) Kenneth C．Laudon，Jane P．Laudon．

[4]陈鹏．基于模式匹配的网络入侵检测系统的研究与实现[D]．湖南：湖南学，2005．

作者简介

高亚玲(1974-)，女，陕西咸阳人，硕士研究生、助教，研究方向为计算机网络应用与安全．