防火墻與入侵檢測(cè)聯(lián)動(dòng)響應(yīng)策略研究

摘要：防火墻和入侵檢測(cè)是目前使用最為廣泛的兩種技術(shù)，如何將二者結(jié)合在一起，實(shí)現(xiàn)一個(gè)\"動(dòng)\"\"靜\"結(jié)合，關(guān)聯(lián)互動(dòng)的安全體系，已成為網(wǎng)絡(luò)安全一個(gè)新的發(fā)展方向。采用聯(lián)動(dòng)模塊將防火墻模塊和入侵檢測(cè)模塊聯(lián)系在一起，通過(guò)分析報(bào)警信息，處理、制定、調(diào)整相關(guān)安全策略，實(shí)現(xiàn)二者的聯(lián)動(dòng)。

關(guān)鍵詞：防火墻；入侵檢測(cè)；聯(lián)動(dòng)響應(yīng)策略

1 引言

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用已經(jīng)在全球得以推廣，人類(lèi)已經(jīng)進(jìn)入了網(wǎng)絡(luò)時(shí)代。電子郵件，遠(yuǎn)程教育，電子商務(wù)等，使人類(lèi)充分享受到了計(jì)算機(jī)及其網(wǎng)絡(luò)帶來(lái)的無(wú)窮魅力。我國(guó)作為經(jīng)濟(jì)發(fā)展最快的國(guó)家，互聯(lián)網(wǎng)更是得到了飛速的發(fā)展。然而，網(wǎng)絡(luò)安全也同時(shí)成為人們?nèi)找骊P(guān)注且必須解決的問(wèn)題。一方面，計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)機(jī)制本身的缺陷為網(wǎng)絡(luò)安全帶來(lái)了隱患，網(wǎng)絡(luò)的基本協(xié)議是TCP/IP協(xié)議，該協(xié)議在實(shí)現(xiàn)上力求效率，而沒(méi)有考慮安全因素，所以說(shuō)TCP/IP本身在設(shè)計(jì)上就是不安全的。另一方面，網(wǎng)絡(luò)黑客，商業(yè)間諜出于各種目的，針對(duì)網(wǎng)絡(luò)的安全缺陷發(fā)掘出大量的網(wǎng)絡(luò)攻擊手段，對(duì)人們?cè)诰W(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行各種方式的竊取和破壞，如果這些信息是重要的，有價(jià)值的，就可能對(duì)用戶或網(wǎng)絡(luò)造成無(wú)法挽回的損失。網(wǎng)絡(luò)安全已經(jīng)成為網(wǎng)絡(luò)發(fā)展的主要障礙，網(wǎng)絡(luò)安全問(wèn)題的解決與否直接關(guān)系到計(jì)算機(jī)網(wǎng)絡(luò)在未來(lái)世界的存在。

2 聯(lián)動(dòng)技術(shù)產(chǎn)生的背景及方式

網(wǎng)絡(luò)安全技術(shù)總體看來(lái)，可劃分為兩種：靜態(tài)和動(dòng)態(tài)安全技術(shù)。靜態(tài)安全技術(shù)實(shí)現(xiàn)的方法有防火墻，VLAN技術(shù)，加密技術(shù)，身份驗(yàn)證等。動(dòng)態(tài)安全技術(shù)實(shí)現(xiàn)的方法有入侵檢測(cè)，網(wǎng)絡(luò)陷阱等。

目前，防火墻和入侵檢測(cè)技術(shù)使用最為廣泛。為了克服防火墻在實(shí)際應(yīng)用中存在的局限，防火墻廠商率先提出了聯(lián)動(dòng)思想。防火墻是實(shí)施訪問(wèn)控制策略的系統(tǒng)，對(duì)流經(jīng)網(wǎng)絡(luò)的流量進(jìn)行檢查并攔截不符合安全策略的數(shù)據(jù)包，可以保護(hù)處于它身后的網(wǎng)絡(luò)不受外界的侵襲和干擾。但同時(shí)，防火墻提供的是靜態(tài)防御，對(duì)于實(shí)時(shí)的攻擊或異常的行為不能做出實(shí)時(shí)反應(yīng)；防火墻無(wú)法自動(dòng)調(diào)整策略設(shè)置以阻斷正在進(jìn)行的攻擊，也無(wú)法防范基于協(xié)議的攻擊；防火墻完全不能防止來(lái)自網(wǎng)絡(luò)內(nèi)部的襲擊，不能防止來(lái)自內(nèi)部用戶們帶來(lái)的威脅；傳統(tǒng)的防火墻在工作時(shí)，入侵者可以偽造數(shù)據(jù)繞過(guò)防火墻或者找到防火墻中可能敞開(kāi)的后門(mén)；防火墻對(duì)于病毒和病毒蠕蟲(chóng)的侵襲束手無(wú)策，不能完全防止傳送已感染病毒的軟件或文件，以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊等[1]。

入侵檢測(cè)則彌補(bǔ)了防火墻的不足：通過(guò)旁路監(jiān)聽(tīng)的方式不間斷地收取網(wǎng)絡(luò)數(shù)據(jù)，對(duì)網(wǎng)絡(luò)的運(yùn)行和性能無(wú)任何影響；同時(shí)判斷其中是否含有攻擊的企圖，通過(guò)各種手段向管理員報(bào)警。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說(shuō)入侵檢測(cè)系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足，它通過(guò)監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段。

防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)是聯(lián)動(dòng)體系中重要的一環(huán)，這是因?yàn)檫@兩種技術(shù)具有較強(qiáng)的互補(bǔ)性。將二者結(jié)合起來(lái)互動(dòng)運(yùn)行，防火墻便可通過(guò)IDS及時(shí)發(fā)現(xiàn)其策略之外的攻擊行為，IDS也可以通過(guò)防火墻對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊行為進(jìn)行阻斷。IDS與防火墻有效互動(dòng)就可以實(shí)現(xiàn)一個(gè)較為有效的安全防護(hù)體系，可以大大提高整體防護(hù)性能，解決了傳統(tǒng)信息安全技術(shù)的弊端、解決了原先防火墻的粗顆粒防御和檢測(cè)系統(tǒng)只發(fā)現(xiàn)難響應(yīng)的問(wèn)題[2]。

目前，實(shí)現(xiàn)入侵檢測(cè)和防火墻之間的聯(lián)動(dòng)有兩種方式。一種是緊密結(jié)合，即把入侵檢測(cè)系統(tǒng)嵌入到防火墻中，即入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來(lái)源不再來(lái)源于抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過(guò)的包不僅要接受防火墻檢測(cè)規(guī)則的驗(yàn)證，還需要經(jīng)過(guò)入侵檢測(cè)，判斷是否具有攻擊性，以達(dá)到真正的實(shí)時(shí)阻斷，這實(shí)際上是把兩個(gè)產(chǎn)品合成一體。第二種方式是通過(guò)開(kāi)放接口來(lái)實(shí)現(xiàn)聯(lián)動(dòng)，即防火墻或者入侵檢測(cè)系統(tǒng)開(kāi)放一個(gè)接口供對(duì)方調(diào)用，按照一定的協(xié)議進(jìn)行通信、警報(bào)和傳輸。目前開(kāi)放協(xié)議的常見(jiàn)形式有：安全廠家提供IDS的開(kāi)放接口，供各個(gè)防火墻廠商使用，以實(shí)現(xiàn)互動(dòng)。這種方式比較靈活，不影響防火墻和入侵檢測(cè)系統(tǒng)的性能[3]。

3 聯(lián)動(dòng)模型框架研究

入侵檢測(cè)和防火墻聯(lián)動(dòng)系統(tǒng)，由三部分組成，入侵檢測(cè)模塊，防火墻模塊和聯(lián)動(dòng)模塊。系統(tǒng)各部分主要功能描述如下：

IDS通過(guò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中潛在的違反安全策略的行為和被攻擊的跡象，并通過(guò)自身響應(yīng)插件產(chǎn)生報(bào)警信息。IDS接口負(fù)責(zé)把報(bào)警信息翻譯成系統(tǒng)通用信息格式，并調(diào)用策略日志中IDS報(bào)警性能數(shù)據(jù)，如誤報(bào)率等，并跟據(jù)這些數(shù)據(jù)生成可信性矩陣，連同報(bào)警信息傳給分析組建進(jìn)行分析。預(yù)分析組件分析這些入侵信息屬于新入侵或是屬于正在進(jìn)行的入侵。如果這些信息代表了一次新的入侵，則生成一個(gè)新的分析組件來(lái)處理這次入侵并列出相應(yīng)的響應(yīng)計(jì)劃；如果這些信息屬于一次正在進(jìn)行的入侵，那么預(yù)分析組件就把入侵信息以及各IDS的可信性矩陣傳遞給相應(yīng)的分析組件來(lái)處理。

為了得到正確的響應(yīng)步驟，分析組件首先查詢安全事件信息庫(kù)，得到入侵事件的詳細(xì)描述信息；然后調(diào)用響應(yīng)分類(lèi)組件，得到入侵事件所屬的響應(yīng)分類(lèi)信息；分析組件再查詢目標(biāo)系統(tǒng)信息庫(kù)，得到受攻擊影響的目標(biāo)系統(tǒng)的詳細(xì)信息，包括軟硬件環(huán)境制約、資源與服務(wù)制約等信息，界定響應(yīng)方式。分析組件根據(jù)這些信息，調(diào)用響應(yīng)策略組件，由響應(yīng)策略組件從響應(yīng)策略信息庫(kù)中選擇具體響應(yīng)策略并將其傳給防火墻的接口組件，利用防火墻接口組件驅(qū)動(dòng)防火墻子系統(tǒng)完成具體的響應(yīng)動(dòng)作。

4 聯(lián)動(dòng)響應(yīng)決策過(guò)程分析

對(duì)所有檢測(cè)到的攻擊進(jìn)行響應(yīng)，顯然不能有效地利用有限的資源達(dá)到盡可能高的安全級(jí)別，在IDS性能參數(shù)分析基礎(chǔ)上，綜合考慮各種影響因素，評(píng)價(jià)一種攻擊的損害，不僅應(yīng)該考慮到攻擊所采用的技術(shù)，而且應(yīng)該考慮到丟失服務(wù)后，對(duì)受損系統(tǒng)硬件資源、軟件資源進(jìn)行替代或修復(fù)所增加的費(fèi)用。損失隨攻擊時(shí)間、攻擊類(lèi)型、攻擊頻率、系統(tǒng)平臺(tái)、響應(yīng)時(shí)間和網(wǎng)絡(luò)條件而改變。由于IDS不能檢測(cè)出這些攻擊，因此系統(tǒng)很難抵制這些類(lèi)型的攻擊并消除損失。

損失分析的目的是為了計(jì)算響應(yīng)成本，選擇恰當(dāng)?shù)捻憫?yīng)機(jī)制來(lái)對(duì)抗攻擊。根據(jù)以上數(shù)據(jù)分析，在選擇響應(yīng)策略過(guò)程中，本文定義了2個(gè)變量參數(shù)（域值）：m-告警頻率參數(shù)，n-總損失參數(shù)，域值參數(shù)由系統(tǒng)管理員指定。本文還定義了4個(gè)響應(yīng)策略集：策略集A，策略集B，策略集C，策略集D，按照響應(yīng)強(qiáng)度降序排列。響應(yīng)策略集由系統(tǒng)管理員制定，可根據(jù)需要添加和減少。

結(jié)束語(yǔ)

面對(duì)當(dāng)前的動(dòng)態(tài)系統(tǒng)、動(dòng)態(tài)環(huán)境，需要用動(dòng)態(tài)的安全模型、方法、技術(shù)和解決方案來(lái)應(yīng)對(duì)當(dāng)前的網(wǎng)絡(luò)安全問(wèn)題。防火墻作為一種基于訪問(wèn)控制的網(wǎng)絡(luò)安全技術(shù)，是防范攻擊行為的一道重要的屏障。但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客們的攻擊方式也在進(jìn)步，單純依賴防火墻進(jìn)行防御的思想，已經(jīng)不能滿足人們對(duì)安全的需求。而此時(shí)，作為網(wǎng)絡(luò)防御的第二道防線，入侵檢測(cè)技術(shù)已日漸成熟，但是自身防御能力弱的缺點(diǎn)卻始終無(wú)法很好的解決。入侵檢測(cè)和防火墻技術(shù)是動(dòng)態(tài)網(wǎng)絡(luò)安全的要組成部分，研究入侵檢測(cè)和防火墻的聯(lián)動(dòng)技術(shù)，可以實(shí)現(xiàn)網(wǎng)絡(luò)的動(dòng)態(tài)安全防護(hù)，具有十分重要的意義。

參考文獻(xiàn)

[1]姚君蘭. 入侵檢測(cè)技術(shù)及其發(fā)展趨勢(shì). 信息技術(shù)，2006，(4)：172~175

[2]魏江明. 網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀及發(fā)展趨勢(shì). 科技咨訊，2006，(35)：2~3

[3]魏興，張鳳斌，王占鋒，李昕. 否定選擇算法在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用.哈爾濱理工大學(xué)學(xué)報(bào)，2006，11(2)：90~93

[4]王興柱. 入侵檢測(cè)系統(tǒng)檢測(cè)效率的研究. 網(wǎng)絡(luò)安全，2006，(12)：43~45