前言：想要寫出一篇引人入勝的文章？我們特意為您整理了互聯(lián)網(wǎng)入侵檢測系統(tǒng)的功能分析范文，希望能給你帶來靈感和參考，敬請閱讀。

系統(tǒng)由郵箱攻擊、登錄環(huán)境信息獲取、無痕收發(fā)、木馬，以及綜合關聯(lián)分析等功能模塊組成，系統(tǒng)模塊如圖2所示。各個功能模塊按照統(tǒng)一接口進行開發(fā)，并且采用統(tǒng)一的數(shù)據(jù)存儲格式進行數(shù)據(jù)存儲，當需要在系統(tǒng)中增加某種手段時，只需利用升級包置入相應模塊即可，無需進行整個系統(tǒng)的安裝升級。系統(tǒng)按照用戶單位應用流程，把這些應用手段進行了有機融合，多個手段按照一定流程自動對特定目標開展工作，能夠達到事半功倍的效果。例如：利用登錄環(huán)境信息定位獲取操作系統(tǒng)版本、殺毒工具類型、瀏覽器相關信息后，系統(tǒng)自動生成相應木馬，并推薦植入方式、植入注意事項；郵箱攻擊模塊根據(jù)這些信息，在采用釣魚、Cookies劫持等方式進行攻擊的同時，還能夠利用網(wǎng)頁跳轉自動植入木馬；破解后的郵箱直接進行無痕收發(fā)，避免Cookies因為時間關系而失效的問題，以盡可能多地收取有用信息。

核心功能

1案件管理。案件管理是指按照客戶單位的實際管理流程對案件進行簡單管理。平臺中的案件管理功能是以案件為主線，由案件、屬于該案件的嫌疑人以及屬于各嫌疑人的聯(lián)系方式（郵箱賬號、即時通信賬號）等要素組成，一個案件包含多個嫌疑人，每個嫌疑人又有多個待攻擊的郵箱、機器設備等，對于不屬于任何一個嫌疑人的郵箱、機器設備，每個案件設定一個公共嫌疑人，可以讓這些信息隸屬于每個案件的公共嫌疑人，以便統(tǒng)一處理。在執(zhí)行過程中，案件管理可以添加一個案件，包括案件所包含的嫌疑人以及嫌疑人的基本信息；對案件包含的嫌疑人信息、聯(lián)絡方式信息等進行修改；把對應案件信息全部刪除，包括隸屬于該案件的嫌疑人、聯(lián)系方式信息等。因為案件信息非常重要，徹底刪除很可能會影響到以后的工作，所以，刪除案件功能僅僅是把信息屬性更改為整個系統(tǒng)不可見狀態(tài)，無人能夠對其進行操作。以圖形化配合表格的方式，對所選擇案件的總體信息進行展現(xiàn)，并按照時間、內容、創(chuàng)建人、審批人等信息進行查詢。

2郵箱攻擊。郵箱攻擊功能為一獨立功能模塊，可以根據(jù)需要動態(tài)地添加至系統(tǒng)框架中，實現(xiàn)郵箱攻擊的功能。該功能模塊通過釣魚、Cookies劫持、郵箱搬家等手段，達到獲取目標郵箱登錄密碼、郵件內容等目的，根據(jù)所屬的嫌疑人信息發(fā)送攻擊郵件，開展郵箱攻擊工作，以獲取嫌疑人郵箱賬號、密碼、cookies等信息。本模塊功能包括：自主編輯攻擊郵件的內容，包括標題、內容，在內容中應該能夠實現(xiàn)更改字體、添加圖片等功能。編輯好的攻擊郵件提交至服務器，有郵箱攻擊服務器進行發(fā)送，系統(tǒng)應該允許使用欺騙源地址的方式來隱藏真正的發(fā)送地址。同時，在發(fā)送欺騙郵件時只允許選擇自己職責范圍之內的嫌疑人進行發(fā)送。為了應用方便，系統(tǒng)應該能夠創(chuàng)建、刪除、修改一些模板郵件，當有需要的時候，只需從模板庫中選擇一封郵件進行發(fā)送即可。對已經發(fā)送攻擊郵件的郵箱進行管理，因為發(fā)送攻擊郵件之后，整個攻擊過程并沒有結束，需要等到攻擊結果回來之后才能夠表示攻擊過程結束。對攻擊結果進行查詢、統(tǒng)計等，并直接在該模塊發(fā)起對特定郵箱的郵件接收功能。在實際開發(fā)過程中，只需要和郵件組協(xié)商一個具體接口即可，接口采用TCP／IP方式進行內容交互。

3無痕收發(fā)。利用郵箱攻擊獲取的郵箱賬號密碼、Cookies等信息，對目標郵箱中的郵件進行接收，接收過程不會改變郵件的當前狀態(tài)，接收完成之后，如果郵件在接收前是未讀狀態(tài)，則完成接收之后仍然為未讀狀態(tài)，嫌疑人不會因為郵件被他人接收而產生警覺。在接收過程中，功能模塊按照由新到舊的順序進行接收，并通過一定算法保證郵件不會重復接收。在開發(fā)過程中，需要和郵件組協(xié)調郵件接收模塊的接口問題，或者直接拿郵件組的代碼，在這些代碼的基礎上增加通信接口和信息入庫工作。

4登錄環(huán)境信息獲取。登錄環(huán)境信息獲?。焊鶕?jù)所屬嫌疑人信息發(fā)送郵件，獲取嫌疑人操作系統(tǒng)版本、IE版本、IP地址以及殺毒軟件版本等信息，為后續(xù)開展工作提供依據(jù)。登錄環(huán)境信息獲取又稱為IP定位，通過發(fā)送并誘使嫌疑人閱讀特定郵件，獲取嫌疑人所使用電腦的操作系統(tǒng)種類、瀏覽器版本、IP地址等信息，通過IP轉換獲悉嫌疑人物理地址的同時，為其它手段的實施提供幫助。該模塊通過發(fā)送欺騙郵件的方式，獲取嫌疑人瀏覽郵件時的相關信息，以便木馬生成時能夠更有針對性，從而保證木馬有更長的生存時間。和郵箱攻擊模塊一樣，登錄環(huán)境信息獲取需要和郵件組進行接口方面的溝通，同時增加數(shù)據(jù)庫接口。

5數(shù)據(jù)關聯(lián)分析。對通過不同手段獲取的信息進行關聯(lián)，以圖形化的方式顯示不同嫌疑人、不同通聯(lián)手段之間的關聯(lián)關系。通過各種手段獲取的數(shù)據(jù)均以固定格式進行存儲，系統(tǒng)根據(jù)設定條件，自動對信息進行關聯(lián)挖掘，并將數(shù)據(jù)信息之間的關聯(lián)關系以圖形方式顯示，方便用戶查看。所有功能模塊均以標準格式保存在數(shù)據(jù)庫中，如果遇到不符合標準格式的數(shù)據(jù)，則統(tǒng)一規(guī)整成統(tǒng)一格式進行存儲。以某個嫌疑人、郵箱賬號、即時通信賬號、關鍵詞等均能夠啟動一次關聯(lián)查詢，一次關聯(lián)的層級數(shù)量應該能夠靈活設置，避免關聯(lián)搜索時間過長等影響應用。以圖形化的方式顯示關聯(lián)結果，并能夠以報表形式把圖形化關聯(lián)拓撲圖、詳細的關聯(lián)信息等進行顯示、打印。并且，對獲取的信息進行主動分析，挖掘共性的內容，對一些敏感信息進行主動報警。

業(yè)務安全

系統(tǒng)長期運行于互聯(lián)網(wǎng)上，不可避免會遭受來自外界的攻擊，對業(yè)務安全造成威脅，系統(tǒng)采用多種手段，以保證系統(tǒng)的安全運行，徹底杜絕因攻擊暴露等對業(yè)務工作造成影響。（1）分布式建設。操作終端僅僅完成信息查看、郵件編輯、系統(tǒng)配置、設備管理等功能，并不發(fā)送攻擊郵件，包含攻擊代碼的郵件統(tǒng)一由服務器發(fā)送，而服務器可以置于任何一個地方，當出現(xiàn)攻擊暴露情況時，查到的攻擊源也僅僅是服務器，避免因為攻擊暴露而引起糾紛。（2）信息單向傳輸。前段數(shù)據(jù)采集服務器采集到數(shù)據(jù)之后，通過光纖單向傳輸?shù)姆绞教峤唤o解析服務器進行內容解析，解析出來的明碼信息也通過單向傳輸?shù)姆绞教峤粩?shù)據(jù)庫服務器保存，數(shù)據(jù)庫服務器利用另外一塊網(wǎng)卡和操作終端等其它設備組成局域網(wǎng)，對數(shù)據(jù)庫中的信息進行查詢。因為數(shù)據(jù)庫服務器通過單向光纖和外界相連，數(shù)據(jù)不會從內網(wǎng)流出，因而保證了數(shù)據(jù)安全。（3）標注信息立刻轉移。保存在外網(wǎng)服務器上的信息，一旦對其進行標注工作，立刻以光纖單向傳輸?shù)姆绞絺魉椭羶染W(wǎng)服務器，避免出現(xiàn)工作資料外泄情況的發(fā)生。（4）資源名稱可以更改。系統(tǒng)所采用的界面文字，包括所有菜單、按鈕、提示信息的顯示文本，均可以根據(jù)需要進行實時更改，例如：可以把“案件管理”標題欄更改為“項目管理”，即使有人看到系統(tǒng)，也不會出現(xiàn)泄密事件，有效保證系統(tǒng)安全。（5）配置防火墻。每臺工作服務器均配置防火墻，并根據(jù)系統(tǒng)應用情況做嚴格的訪問規(guī)則限制，一旦出現(xiàn)非法訪問，即可在整個系統(tǒng)的操作終端告警信息，方便對入侵的及時處理和防范。（6）進行加密通信。服務器和服務器之間、操作終端和服務器之間的通信，均采用當前最穩(wěn)健的加密方式進行加密，并添加上每條信息的序列號，該序列號根據(jù)用戶每次具體的操作按照一定的規(guī)則產生，并且對下一條操作信息也進行了規(guī)范，即明確了下一條信息的序列號和操作類型，進一步增加了破解的難度，降低了破解的可能性。相應接收端收到操作信息之后，首先按照約定的解密方式對信息進行解密，然后按照操作信息對序列號進行審計，確認信息無誤之后才執(zhí)行相關操作。（7）數(shù)據(jù)庫數(shù)據(jù)加密存儲。確認無誤的信息需要保存到數(shù)據(jù)庫時，也要對信息進行加密，即使有人攻破了緩存數(shù)據(jù)庫，也無法對保存的內容進行應用，增加了數(shù)據(jù)的安全性。

結語

本系統(tǒng)是一個開放的系統(tǒng)，主要表現(xiàn)在：系統(tǒng)能夠根據(jù)需要實時地添加應用模塊，擴大系統(tǒng)的應用功能；系統(tǒng)提供完備的第三方數(shù)據(jù)接口，通過該接口，不但能夠把第三方軟件的數(shù)據(jù)引入系統(tǒng)進行應用，而且還能夠把系統(tǒng)中的數(shù)據(jù)提供給第三方軟件，供第三方軟件進行處理。（本文作者：楊正祥 單位：武漢交通職業(yè)學院電子信息工程系）