網(wǎng)絡(luò)入侵防御系統(tǒng)體系和框架結(jié)構(gòu)分析

張艷麗

中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1673-0992(2009)12-066-02

摘要:大規(guī)模的應(yīng)用程序很少采用單機(jī)模式,大多采用分層的體系結(jié)構(gòu)。本文所設(shè)計(jì)的網(wǎng)絡(luò)入侵防御系統(tǒng)的結(jié)構(gòu)采用分層的體系結(jié)構(gòu)。入侵防御模塊為了部署在網(wǎng)絡(luò)的關(guān)鍵位置上,需要有路由功能,能夠?qū)⒕邆湔_路由信息的數(shù)據(jù)包由一個(gè)網(wǎng)卡轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)卡,實(shí)現(xiàn)內(nèi)外網(wǎng)之間的正常數(shù)據(jù)通信。本文主要介紹了網(wǎng)絡(luò)入侵防御系統(tǒng)體系,以及對(duì)他的框架結(jié)構(gòu)進(jìn)行了分析

關(guān)鍵詞:網(wǎng)絡(luò)安全;入侵檢測(cè);入侵防御;系統(tǒng)框架設(shè)計(jì)

一、網(wǎng)絡(luò)入侵防御系統(tǒng)體系結(jié)構(gòu)

大規(guī)模的應(yīng)用程序很少采用單機(jī)模式,大多采用分層的體系結(jié)構(gòu)。本文所設(shè)計(jì)的網(wǎng)絡(luò)入侵防御系統(tǒng)的結(jié)構(gòu)采用分層的體系結(jié)構(gòu)。網(wǎng)絡(luò)入侵防御系統(tǒng)的體系結(jié)構(gòu)共分三層:

第一層,入侵防御層:對(duì)經(jīng)過的流量監(jiān)控,檢測(cè)入侵并進(jìn)行入侵防御。

第二層,服務(wù)器層:收集日志數(shù)據(jù)并轉(zhuǎn)化為可讀形式。

第三層,控制層:是分析控制臺(tái),數(shù)據(jù)顯示在這一層。

網(wǎng)絡(luò)入侵防御系統(tǒng)由四個(gè)部分組成,分別是入侵防御模塊、日志記錄模塊、中央控制模塊和模塊間的通信。這四個(gè)部分彼此協(xié)作,共同實(shí)現(xiàn)入侵防御的功能。

入侵防御模塊工作在入侵防御層,負(fù)責(zé)數(shù)據(jù)包接收、檢測(cè)和入侵響應(yīng)。入侵防御模塊部署在網(wǎng)絡(luò)的關(guān)鍵位置上,如連接外網(wǎng)與內(nèi)網(wǎng)的鏈路上,或者一個(gè)子網(wǎng)與另一個(gè)子網(wǎng)的鏈路上。這樣,所有經(jīng)過數(shù)據(jù)均可被截取到。入侵防御模塊由Snort_inline和IPtables配置的Netfilter防火墻聯(lián)動(dòng)組成的IPS構(gòu)成,包括數(shù)據(jù)包接收、數(shù)據(jù)包分析和檢測(cè)、響應(yīng)三個(gè)部分。

日志記錄模塊工作在服務(wù)器層,負(fù)責(zé)日志的收集,格式化。收集的日志包括Snort_inline的入侵檢測(cè)日志和IPtables配置的防火墻日志。

中央控制模塊是整個(gè)系統(tǒng)的核心,工作在控制層。它負(fù)責(zé)協(xié)調(diào)系統(tǒng)各個(gè)模塊,進(jìn)行所有的集中化操作。例如:對(duì)結(jié)點(diǎn)上的入侵防御系統(tǒng)的配置,日志服務(wù)器的管理,數(shù)據(jù)分析,負(fù)載均衡等。

模塊間的通信負(fù)責(zé)系統(tǒng)各個(gè)組件之間安全、可靠的通信,包括中心和結(jié)點(diǎn)間的通信,結(jié)點(diǎn)和結(jié)點(diǎn)間的通信。

二、通用入侵檢測(cè)框架

入侵防御模塊中,基于Snort_inline和IPtables配置的Netfilter防火墻的IPS采用通用入侵檢測(cè)框架(CIDF)結(jié)構(gòu)。

CIDF提出了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型,它將入侵檢測(cè)系統(tǒng)分為以下幾個(gè)單元:事件產(chǎn)生器(Event Generators)、事件分析器(Event Analyzers)、響應(yīng)單元(Response Units)和事件數(shù)據(jù)庫(EventDatabases)。CIDF模型將需要分析的數(shù)據(jù)統(tǒng)稱為事件(Event)。事件產(chǎn)生器即檢測(cè)器,它從整個(gè)計(jì)算環(huán)境中獲得事件,并向系統(tǒng)的其它部分提供此事件;事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果;響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元,它可以做出切斷連接等反應(yīng),也可以只簡(jiǎn)單的報(bào)警;事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的總稱,它可以是復(fù)雜的數(shù)據(jù)庫,也可以是簡(jiǎn)單的文本文件。

Snort_inline和IPtables配置的Netfilter防火墻聯(lián)動(dòng)構(gòu)成的IPS,其組件組成如下:

* 事件產(chǎn)生器:Netfilter鉤子程序、IPtables、ip_queue內(nèi)核模塊和netlink接口。收集數(shù)據(jù)包,把數(shù)據(jù)包從內(nèi)核空間送到用戶空間。

* 事件分析器:libipq庫、Snort_inline和規(guī)則集。用規(guī)則集對(duì)數(shù)據(jù)進(jìn)行入侵檢測(cè)。

* 響應(yīng)單元:Netfilter鉤子程序、libipq、libnet、IPtables。對(duì)數(shù)據(jù)包的處理。

* 事件數(shù)據(jù)庫:MySQL數(shù)據(jù)庫。收集和存放數(shù)據(jù)。

三、入侵防御模塊設(shè)計(jì)

入侵防御模塊為了部署在網(wǎng)絡(luò)的關(guān)鍵位置上,需要有路由功能,能夠?qū)⒕邆湔_路由信息的數(shù)據(jù)包由一個(gè)網(wǎng)卡轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)卡,實(shí)現(xiàn)內(nèi)外網(wǎng)之間的正常數(shù)據(jù)通信。路由部分功能的實(shí)現(xiàn),利用了Linux系統(tǒng)自帶的路由模塊,在使用時(shí)打開了對(duì)用的配置文件,具體方法如下:

echo 1>/proc/sys/net/ipv4/ip_forward

當(dāng)數(shù)據(jù)包進(jìn)入入侵防御模塊時(shí),IP轉(zhuǎn)發(fā)功能己經(jīng)打開,內(nèi)核會(huì)根據(jù)數(shù)據(jù)包的地址信息和自身的路由表將其轉(zhuǎn)發(fā)。

入侵防御模塊是網(wǎng)絡(luò)入侵防御系統(tǒng)實(shí)現(xiàn)的關(guān)鍵,由數(shù)據(jù)包接收、數(shù)據(jù)包檢測(cè)、入侵響應(yīng)三個(gè)部分組成。每個(gè)入侵防御模塊由Snort_inline和IPtables配置的Netfilter防火墻聯(lián)動(dòng)組成的IPS構(gòu)成。

1.數(shù)據(jù)包接收

數(shù)據(jù)包接收過程是事件產(chǎn)生器,由Netfilter鉤子程序、IPtables、ip_queue內(nèi)核模塊和netlink接口組成。負(fù)責(zé)收集數(shù)據(jù)包,把數(shù)據(jù)包從內(nèi)核空間送到用戶空間。

在數(shù)據(jù)包接收的過程中,入侵防御模塊應(yīng)該以IPtables配置的Netfilter防火墻過濾后的數(shù)據(jù)包為數(shù)據(jù)源,對(duì)符合安全策略的流量進(jìn)行入侵檢測(cè),減少了入侵檢測(cè)的數(shù)據(jù)包數(shù)量。IPtables配置的Netfilter防火墻:結(jié)合鏈路層、網(wǎng)絡(luò)層的防火墻技術(shù)實(shí)現(xiàn)的包過濾防火墻可以根據(jù)安全策略先對(duì)數(shù)據(jù)包進(jìn)行過濾,然后把需要檢測(cè)的數(shù)據(jù)包送進(jìn)Snort_inline入侵檢測(cè)系統(tǒng)進(jìn)行檢測(cè)。這樣可以降低系統(tǒng)資源的消耗,減輕系統(tǒng)的負(fù)擔(dān)。

2.數(shù)據(jù)包檢測(cè)

數(shù)據(jù)包檢測(cè)是事件分析器,由libipq庫、Snort_inline和規(guī)則集組成。負(fù)責(zé)入侵檢測(cè),用規(guī)則集對(duì)數(shù)據(jù)進(jìn)行入侵檢測(cè)

入侵防御模塊接收到符合安全策略的數(shù)據(jù)包分層解析數(shù)據(jù)包的網(wǎng)絡(luò)層、傳輸層和應(yīng)用層,并進(jìn)行數(shù)據(jù)格式化,然后將數(shù)據(jù)包與入侵檢測(cè)規(guī)則庫相匹配。使用協(xié)議分析、狀態(tài)協(xié)議分析和模式匹配相結(jié)合的技術(shù)進(jìn)行數(shù)據(jù)包入侵檢測(cè)。

協(xié)議分析技術(shù)解析網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的數(shù)據(jù),利用協(xié)議構(gòu)建的規(guī)則性排除異常協(xié)議結(jié)構(gòu)的攻擊;狀態(tài)協(xié)議分析將應(yīng)用層數(shù)據(jù)傳送的過程看作連續(xù)的過程,跟蹤連接狀態(tài)信息,以便快速而準(zhǔn)確的定位攻擊特征;不能準(zhǔn)確定位的字符串則使用模式匹配技術(shù)來實(shí)現(xiàn)入侵檢測(cè),入侵檢測(cè)系統(tǒng)snort_inline在入侵檢測(cè)過程中使用快速多模式匹配算法。

3.入侵響應(yīng)

入侵響應(yīng)是響應(yīng)單元,由Netfilter鉤子程序、libipq、libnet、IPtables組成。負(fù)責(zé)對(duì)對(duì)數(shù)據(jù)包的處理。

入侵防御模塊位于數(shù)據(jù)包傳送鏈路的關(guān)鍵位置中,可以直接阻斷數(shù)據(jù)包的傳送,但阻斷有可能攔截正常流量。對(duì)規(guī)則庫進(jìn)行優(yōu)化,將規(guī)則按危險(xiǎn)等級(jí)劃分為高、中、低,阻斷、報(bào)警和記錄這三種響應(yīng)手段是分別針對(duì)不同的報(bào)警級(jí)別進(jìn)行處理的。對(duì)惡意的攻擊事件采取阻斷的響應(yīng)手段,同時(shí)記錄該事件;對(duì)懷疑但不能確認(rèn)的安全事件則采取報(bào)警的響應(yīng)手段;對(duì)于正常的網(wǎng)絡(luò)流量僅僅記錄一些關(guān)鍵信息。

四、中央控制模塊設(shè)計(jì)

中央控制模塊是整個(gè)系統(tǒng)的核心,它負(fù)責(zé)協(xié)調(diào)系統(tǒng)各個(gè)模塊和進(jìn)行所有的集中化操作,例如集中地檢測(cè)和統(tǒng)計(jì)攻擊行為,實(shí)時(shí)做出安全策略調(diào)整等。中央控制模塊位于系統(tǒng)的中心位置,和入侵防御模塊和日志記錄模塊分別連接。中央控制模塊的功能包括策略定制、日志審閱、系統(tǒng)管理,并應(yīng)該以可視圖形化形式提交管理員進(jìn)行查詢和管理。

對(duì)于策略制定功能,中央控制模塊應(yīng)該根據(jù)日志記錄模塊收集到的入侵防御模塊的入侵檢測(cè)和防御日志來制定相應(yīng)的安全策略。

對(duì)于日志審閱功能,中央控制模塊可以實(shí)時(shí)地分析日志服務(wù)器記錄的入侵檢測(cè)系統(tǒng)Snort_inline和IPtables配置的防火墻日志,并提供需要的統(tǒng)計(jì)信息。

對(duì)于系統(tǒng)管理功能,中央控制模塊控制依靠管理控制程序管理入侵防御模塊的各個(gè)結(jié)點(diǎn),管理各個(gè)結(jié)點(diǎn)的規(guī)則集,能夠動(dòng)態(tài)地調(diào)整入侵檢測(cè)規(guī)則,動(dòng)態(tài)插入、刪除和更改防火墻規(guī)則,管理日志服務(wù)器,控制著日志記錄模塊的日志收集,進(jìn)行流量統(tǒng)計(jì),負(fù)載均衡。

中央控制模塊是網(wǎng)絡(luò)入侵防御系統(tǒng)實(shí)現(xiàn)的一個(gè)核心,其功能的完善和具體實(shí)現(xiàn)是網(wǎng)絡(luò)入侵防御系統(tǒng)設(shè)計(jì)將來的工作。

五、結(jié)語

在網(wǎng)絡(luò)技術(shù)十分發(fā)達(dá)的今天,任何一臺(tái)計(jì)算機(jī)都不可能孤立于網(wǎng)絡(luò)之外,因此對(duì)于網(wǎng)絡(luò)中的信息的安全防范就顯得十分重要。本論文構(gòu)建了網(wǎng)絡(luò)入侵防御體系,給出了系統(tǒng)實(shí)現(xiàn)的框架結(jié)構(gòu),并從入侵防御模塊和中央控制模塊兩個(gè)層次完成了網(wǎng)絡(luò)信息安全體系框架的構(gòu)建。通過不斷發(fā)展的網(wǎng)絡(luò)硬件安全技術(shù)和軟件加密技術(shù),再加上政府對(duì)信息安全的重視,相信計(jì)算機(jī)網(wǎng)絡(luò)的信息安全是可以實(shí)現(xiàn)的。

參考文獻(xiàn):

[1] 胡道元,閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004

[2] 葉代亮.內(nèi)網(wǎng)的安全管理[J].計(jì)算機(jī)安全,2005

[3] Alessandro G. Di Nuovo, Vincenzo Catania, Santo Di Nuovo, et, al. Psychology with soft computing: An integrated approach and its applications[J].Applied Soft Computing, 2008

[4] 梁軍. 計(jì)算機(jī)網(wǎng)絡(luò)與信息安全[M]. 廣西: 廣西師范大學(xué)出版社, 2005

[5] 賈真, 陳建, 李文澤. Linux防火墻的研究與實(shí)現(xiàn)[J]. 計(jì)算機(jī)與現(xiàn)代化, 2005