摘要：防火墻和入侵檢測是目前使用最為廣泛的兩種技術(shù)，如何將二者結(jié)合在一起，實現(xiàn)一個\"動\"\"靜\"結(jié)合，關(guān)聯(lián)互動的安全體系，已成為網(wǎng)絡(luò)安全一個新的發(fā)展方向。采用聯(lián)動模塊將防火墻模塊和入侵檢測模塊聯(lián)系在一起，通過分析報警信息，處理、制定、調(diào)整相關(guān)安全策略，實現(xiàn)二者的聯(lián)動。

關(guān)鍵詞：防火墻；入侵檢測；聯(lián)動響應(yīng)策略

1 引言

隨著計算機技術(shù)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用已經(jīng)在全球得以推廣，人類已經(jīng)進入了網(wǎng)絡(luò)時代。電子郵件，遠程教育，電子商務(wù)等，使人類充分享受到了計算機及其網(wǎng)絡(luò)帶來的無窮魅力。我國作為經(jīng)濟發(fā)展最快的國家，互聯(lián)網(wǎng)更是得到了飛速的發(fā)展。然而，網(wǎng)絡(luò)安全也同時成為人們?nèi)找骊P(guān)注且必須解決的問題。一方面，計算機網(wǎng)絡(luò)實現(xiàn)機制本身的缺陷為網(wǎng)絡(luò)安全帶來了隱患，網(wǎng)絡(luò)的基本協(xié)議是TCP/IP協(xié)議，該協(xié)議在實現(xiàn)上力求效率，而沒有考慮安全因素，所以說TCP/IP本身在設(shè)計上就是不安全的。另一方面，網(wǎng)絡(luò)黑客，商業(yè)間諜出于各種目的，針對網(wǎng)絡(luò)的安全缺陷發(fā)掘出大量的網(wǎng)絡(luò)攻擊手段，對人們在網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行各種方式的竊取和破壞，如果這些信息是重要的，有價值的，就可能對用戶或網(wǎng)絡(luò)造成無法挽回的損失。網(wǎng)絡(luò)安全已經(jīng)成為網(wǎng)絡(luò)發(fā)展的主要障礙，網(wǎng)絡(luò)安全問題的解決與否直接關(guān)系到計算機網(wǎng)絡(luò)在未來世界的存在。

2 聯(lián)動技術(shù)產(chǎn)生的背景及方式

網(wǎng)絡(luò)安全技術(shù)總體看來，可劃分為兩種：靜態(tài)和動態(tài)安全技術(shù)。靜態(tài)安全技術(shù)實現(xiàn)的方法有防火墻，VLAN技術(shù)，加密技術(shù)，身份驗證等。動態(tài)安全技術(shù)實現(xiàn)的方法有入侵檢測，網(wǎng)絡(luò)陷阱等。

目前，防火墻和入侵檢測技術(shù)使用最為廣泛。為了克服防火墻在實際應(yīng)用中存在的局限，防火墻廠商率先提出了聯(lián)動思想。防火墻是實施訪問控制策略的系統(tǒng)，對流經(jīng)網(wǎng)絡(luò)的流量進行檢查并攔截不符合安全策略的數(shù)據(jù)包，可以保護處于它身后的網(wǎng)絡(luò)不受外界的侵襲和干擾。但同時，防火墻提供的是靜態(tài)防御，對于實時的攻擊或異常的行為不能做出實時反應(yīng)；防火墻無法自動調(diào)整策略設(shè)置以阻斷正在進行的攻擊，也無法防范基于協(xié)議的攻擊；防火墻完全不能防止來自網(wǎng)絡(luò)內(nèi)部的襲擊，不能防止來自內(nèi)部用戶們帶來的威脅；傳統(tǒng)的防火墻在工作時，入侵者可以偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能敞開的后門；防火墻對于病毒和病毒蠕蟲的侵襲束手無策，不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊等[1]。

入侵檢測則彌補了防火墻的不足：通過旁路監(jiān)聽的方式不間斷地收取網(wǎng)絡(luò)數(shù)據(jù)，對網(wǎng)絡(luò)的運行和性能無任何影響；同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說入侵檢測系統(tǒng)(IDS)可以彌補防火墻的不足，它通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相應(yīng)的防護手段。

防火墻與入侵檢測系統(tǒng)聯(lián)動是聯(lián)動體系中重要的一環(huán)，這是因為這兩種技術(shù)具有較強的互補性。將二者結(jié)合起來互動運行，防火墻便可通過IDS及時發(fā)現(xiàn)其策略之外的攻擊行為，IDS也可以通過防火墻對來自外部網(wǎng)絡(luò)的攻擊行為進行阻斷。IDS與防火墻有效互動就可以實現(xiàn)一個較為有效的安全防護體系，可以大大提高整體防護性能，解決了傳統(tǒng)信息安全技術(shù)的弊端、解決了原先防火墻的粗顆粒防御和檢測系統(tǒng)只發(fā)現(xiàn)難響應(yīng)的問題[2]。

目前，實現(xiàn)入侵檢測和防火墻之間的聯(lián)動有兩種方式。一種是緊密結(jié)合，即把入侵檢測系統(tǒng)嵌入到防火墻中，即入侵檢測系統(tǒng)的數(shù)據(jù)來源不再來源于抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過的包不僅要接受防火墻檢測規(guī)則的驗證，還需要經(jīng)過入侵檢測，判斷是否具有攻擊性，以達到真正的實時阻斷，這實際上是把兩個產(chǎn)品合成一體。第二種方式是通過開放接口來實現(xiàn)聯(lián)動，即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方調(diào)用，按照一定的協(xié)議進行通信、警報和傳輸。目前開放協(xié)議的常見形式有：安全廠家提供IDS的開放接口，供各個防火墻廠商使用，以實現(xiàn)互動。這種方式比較靈活，不影響防火墻和入侵檢測系統(tǒng)的性能[3]。

3 聯(lián)動模型框架研究

入侵檢測和防火墻聯(lián)動系統(tǒng)，由三部分組成，入侵檢測模塊，防火墻模塊和聯(lián)動模塊。系統(tǒng)各部分主要功能描述如下：

IDS通過系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中潛在的違反安全策略的行為和被攻擊的跡象，并通過自身響應(yīng)插件產(chǎn)生報警信息。IDS接口負責把報警信息翻譯成系統(tǒng)通用信息格式，并調(diào)用策略日志中IDS報警性能數(shù)據(jù)，如誤報率等，并跟據(jù)這些數(shù)據(jù)生成可信性矩陣，連同報警信息傳給分析組建進行分析。預(yù)分析組件分析這些入侵信息屬于新入侵或是屬于正在進行的入侵。如果這些信息代表了一次新的入侵，則生成一個新的分析組件來處理這次入侵并列出相應(yīng)的響應(yīng)計劃；如果這些信息屬于一次正在進行的入侵，那么預(yù)分析組件就把入侵信息以及各IDS的可信性矩陣傳遞給相應(yīng)的分析組件來處理。

為了得到正確的響應(yīng)步驟，分析組件首先查詢安全事件信息庫，得到入侵事件的詳細描述信息；然后調(diào)用響應(yīng)分類組件，得到入侵事件所屬的響應(yīng)分類信息；分析組件再查詢目標系統(tǒng)信息庫，得到受攻擊影響的目標系統(tǒng)的詳細信息，包括軟硬件環(huán)境制約、資源與服務(wù)制約等信息，界定響應(yīng)方式。分析組件根據(jù)這些信息，調(diào)用響應(yīng)策略組件，由響應(yīng)策略組件從響應(yīng)策略信息庫中選擇具體響應(yīng)策略并將其傳給防火墻的接口組件，利用防火墻接口組件驅(qū)動防火墻子系統(tǒng)完成具體的響應(yīng)動作。

4 聯(lián)動響應(yīng)決策過程分析

對所有檢測到的攻擊進行響應(yīng)，顯然不能有效地利用有限的資源達到盡可能高的安全級別，在IDS性能參數(shù)分析基礎(chǔ)上，綜合考慮各種影響因素，評價一種攻擊的損害，不僅應(yīng)該考慮到攻擊所采用的技術(shù)，而且應(yīng)該考慮到丟失服務(wù)后，對受損系統(tǒng)硬件資源、軟件資源進行替代或修復(fù)所增加的費用。損失隨攻擊時間、攻擊類型、攻擊頻率、系統(tǒng)平臺、響應(yīng)時間和網(wǎng)絡(luò)條件而改變。由于IDS不能檢測出這些攻擊，因此系統(tǒng)很難抵制這些類型的攻擊并消除損失。

損失分析的目的是為了計算響應(yīng)成本，選擇恰當?shù)捻憫?yīng)機制來對抗攻擊。根據(jù)以上數(shù)據(jù)分析，在選擇響應(yīng)策略過程中，本文定義了2個變量參數(shù)（域值）：m-告警頻率參數(shù)，n-總損失參數(shù)，域值參數(shù)由系統(tǒng)管理員指定。本文還定義了4個響應(yīng)策略集：策略集A，策略集B，策略集C，策略集D，按照響應(yīng)強度降序排列。響應(yīng)策略集由系統(tǒng)管理員制定，可根據(jù)需要添加和減少。

結(jié)束語

面對當前的動態(tài)系統(tǒng)、動態(tài)環(huán)境，需要用動態(tài)的安全模型、方法、技術(shù)和解決方案來應(yīng)對當前的網(wǎng)絡(luò)安全問題。防火墻作為一種基于訪問控制的網(wǎng)絡(luò)安全技術(shù)，是防范攻擊行為的一道重要的屏障。但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客們的攻擊方式也在進步，單純依賴防火墻進行防御的思想，已經(jīng)不能滿足人們對安全的需求。而此時，作為網(wǎng)絡(luò)防御的第二道防線，入侵檢測技術(shù)已日漸成熟，但是自身防御能力弱的缺點卻始終無法很好的解決。入侵檢測和防火墻技術(shù)是動態(tài)網(wǎng)絡(luò)安全的要組成部分，研究入侵檢測和防火墻的聯(lián)動技術(shù)，可以實現(xiàn)網(wǎng)絡(luò)的動態(tài)安全防護，具有十分重要的意義。

參考文獻

[1]姚君蘭. 入侵檢測技術(shù)及其發(fā)展趨勢. 信息技術(shù)，2006，(4)：172~175

[2]魏江明. 網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀及發(fā)展趨勢. 科技咨訊，2006，(35)：2~3

[3]魏興，張鳳斌，王占鋒，李昕. 否定選擇算法在網(wǎng)絡(luò)入侵檢測中的應(yīng)用.哈爾濱理工大學(xué)學(xué)報，2006，11(2)：90~93

[4]王興柱. 入侵檢測系統(tǒng)檢測效率的研究. 網(wǎng)絡(luò)安全，2006，(12)：43~45