摘要：隨著因特網(wǎng)的迅猛發(fā)展、網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)攻擊方法的復(fù)雜，安全需求與日俱增。分析介紹了入侵檢測系統(tǒng)和防火墻的基礎(chǔ)上，設(shè)計一種入侵檢測系統(tǒng)和防火墻聯(lián)動的模式，從網(wǎng)絡(luò)安全整體性和動態(tài)性的需求考慮，實(shí)現(xiàn)了對突發(fā)網(wǎng)絡(luò)攻擊的主動防御。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊；防火墻；入侵檢測；入侵檢查系統(tǒng)；聯(lián)動；

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)30-0571-02

Firewall and Invasion Examination System Linkage Research

ZHAO Hao-jie， ZHANG Shan-liang

(Anyang Engineering Institute Computer Science and the Information Engineering Department， Anyang 455000， China)

Abstract: Along with Internet's swift and violent development， the network scale expansion and network method of attack complex， the security requirements grow day by day.The analysis introduced the invasion examination system and in the firewall foundation， designs one kind of invasion examination system and the firewall linkage pattern， and the dynamic demand considered from the network security integrity， realized to has arisen suddenly the network attack the active defense.

Key words: network attack; firewall; invasion examination; invasion inspection system; linkage

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)系統(tǒng)的安全成了人們關(guān)注的主要問題。如何確保網(wǎng)絡(luò)系統(tǒng)免遭破壞，保證信息的安全，成為人們無法回避的課題。為此防火墻等多種網(wǎng)絡(luò)安全技術(shù)被廣泛應(yīng)用到各個網(wǎng)絡(luò)系統(tǒng)中，在抵御網(wǎng)絡(luò)攻

擊，保護(hù)網(wǎng)絡(luò)安全中發(fā)揮了重要作用。

1 防火墻

防火墻是一種被動的訪問控制技術(shù)，一般被安置于Internet與被保護(hù)子網(wǎng)之間。防火墻可分為包過濾型防火墻和應(yīng)用代理型防火墻以及屏蔽主機(jī)型防火墻三種，它需要事先設(shè)計好規(guī)則才能對傳輸?shù)臄?shù)據(jù)包進(jìn)行檢查從而保護(hù)子網(wǎng)不受攻擊。在網(wǎng)絡(luò)中單獨(dú)使用防火墻存在著不能防范內(nèi)部攻擊等許多潛在的問題，同時，由于入侵技術(shù)不斷發(fā)展使得全面配置防火墻規(guī)則變得更加困難。

2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)，簡稱IDS(Intrusion Detection System)，是一種能夠主動保護(hù)自己不受攻擊新型網(wǎng)絡(luò)安全技術(shù)，它通過對網(wǎng)絡(luò)和系統(tǒng)記錄的日志文件的分析來發(fā)現(xiàn)非法的入侵行為以及合法用戶的濫用行為。按照收集的信息源IDS可分為基于主機(jī)的IDS(Host-based IDS)和基于網(wǎng)絡(luò)的IDS(Network-based IDS，簡稱NIDS)。HIDS主要根據(jù)系統(tǒng)的審計記錄(Audit log)、用戶的位置和行為(命令)、CPU和I/O及內(nèi)存的使用情況、文件系統(tǒng)的變化等因素來進(jìn)行檢測；NIDS主要收集并分析計算機(jī)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，是目前入侵檢測系統(tǒng)研究的主流。因此，當(dāng)攻擊者向網(wǎng)絡(luò)發(fā)送大量數(shù)據(jù)包時，NIDS易受拒絕服務(wù)(DoS)攻擊，同時NIDS本身也暴露在Internet的大量攻擊范圍內(nèi)，需要一個安全的運(yùn)行環(huán)境。

無論是系統(tǒng)IDS或網(wǎng)絡(luò)IDS，根據(jù)檢測入侵的方法又可以分為以下兩種方式：異常檢測(Anomaly Detection)和濫用檢測(Misuse Detection)。異常檢測一般采用基于統(tǒng)計的方法，通過比較正常情況下系統(tǒng)或網(wǎng)絡(luò)的狀態(tài)來判斷安全性；濫用檢測一般采用基于規(guī)則的推理方法，需事先根據(jù)已知的入侵模式和系統(tǒng)的漏洞建立入侵的知識庫，因此往往需要來自專家的知識，且知識庫的建立也需要較長的時間，其優(yōu)點(diǎn)在于檢測的準(zhǔn)確率較高，異常檢測不需要事先建立知識庫，但是也需要通過人工的或基于機(jī)器學(xué)習(xí)的方法來建立網(wǎng)絡(luò)的正常狀態(tài)，而且檢測的準(zhǔn)確率不會太高，其優(yōu)點(diǎn)在于可以預(yù)測和檢測出未知的入侵。

3 防火墻與入侵檢測系統(tǒng)的聯(lián)動

單獨(dú)采用防火墻和網(wǎng)絡(luò)入侵檢測系統(tǒng)都不能很好地解決網(wǎng)絡(luò)安全問題。如果把二者結(jié)合起來，則可以更大限度地實(shí)現(xiàn)網(wǎng)絡(luò)安全。聯(lián)動即通過一種組合的方式，將不同的技術(shù)與防火墻技術(shù)進(jìn)行整合，在提高防火墻自身功能和性能的同時，由其他技術(shù)完成防火墻所缺乏的功能。入侵檢測系統(tǒng)（IDS）能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生。通過入侵檢測系統(tǒng)與防火墻聯(lián)動可以達(dá)到網(wǎng)絡(luò)的安全性與性能的最佳平衡，同時通過添加防火墻動態(tài)規(guī)則，能有效對攻擊行為予以阻斷，實(shí)現(xiàn)了防御的實(shí)時性和時效性。

聯(lián)動模型如圖1所示，在防火墻和入侵檢測系統(tǒng)聯(lián)動模型的安全體系中，以入侵檢測為核心構(gòu)成網(wǎng)絡(luò)安全系統(tǒng)，網(wǎng)絡(luò)的安全通過安全策略來體現(xiàn)，制定安全策略的依據(jù)是用戶的需求和來自入侵檢測系統(tǒng)的輸出。事件發(fā)生器將來自防火墻的IP包進(jìn)行簡單分析、篩選后，轉(zhuǎn)換成有用事件信息傳送給入侵檢測模塊，以達(dá)到減少數(shù)據(jù)(Data Reduction)的目的。入侵檢測模塊一旦檢測到入侵，它可以自動通過改變安全策略來改變防火墻的行為，做出快速反應(yīng)；同時也可將檢測結(jié)果先報告給系統(tǒng)管理員，由系統(tǒng)管理員參考并手工做出安全策略調(diào)整。

4 聯(lián)動模型的構(gòu)建

4.1 編寫基于誤用的入侵檢測系統(tǒng)特征庫

基于誤用的入侵檢測系統(tǒng)的誤報警率低，而且對一些己知的常用的攻擊行為特別有效。為了使該入侵檢測系統(tǒng)實(shí)現(xiàn)我們所期望的功能，就必須將一些規(guī)則編寫至特征庫中。通常規(guī)則劃分為兩個邏輯部分：規(guī)則頭和規(guī)則選項。規(guī)則頭包含了規(guī)則動作、協(xié)議、IP源地址和目的地址、子網(wǎng)掩碼以及源端口和目標(biāo)端口值等信息。而規(guī)則選項則包含警報信息以及用于確定是否觸發(fā)規(guī)則響應(yīng)動作而需檢查的數(shù)據(jù)包區(qū)域位置信息。在編寫特征庫前必須先仔細(xì)分析所要保護(hù)的網(wǎng)絡(luò)經(jīng)常或可能遭受的攻擊。

4.2 防火墻與入侵檢測系統(tǒng)的接口

經(jīng)過比較，我們認(rèn)為將入侵檢測系統(tǒng)與防火墻通過開放接口來實(shí)現(xiàn)互動的方法要比緊密結(jié)合方法要好，因?yàn)橄到y(tǒng)越復(fù)雜，其自身的安全問題就越難以解決。所以我們通過VC++語言來實(shí)現(xiàn)防火墻與入侵檢測系統(tǒng)之間的接口。具體步驟如下：

1) 初始化通信連接時，一般由入侵檢測系統(tǒng)向防火墻發(fā)起連接；

2) 建立正常連接后，當(dāng)入侵檢測系統(tǒng)產(chǎn)生需要通知防火墻的安全事件時，可以通過發(fā)送約定格式的數(shù)據(jù)包，來傳遞必要的互動信息；

3) 防火墻收到互動信息后，可以實(shí)施互動行為，并將結(jié)果(成功與否)以約定格式的數(shù)據(jù)包反饋給入侵檢測系統(tǒng)。

防火墻端建立通信服務(wù)的代碼如下；

Init openSSL();//初始化通訊環(huán)境

CreateServer(char * ip， char * port);//建立服務(wù)(其中ip為防火墻的ip地址，端口為通訊的端口)

SetRevCallbacd(void * ApRecvFunc);//設(shè)立接收的回調(diào)函數(shù)，處理接收數(shù)據(jù)

SetAcceptClallback(void * ApacceptFunc);//設(shè)立接收的回調(diào)函數(shù)

RunServer();//運(yùn)行服務(wù)

Send(char * ApBuf， int AnBuflen);//向IDS發(fā)送反饋信息

StopServer();//停止服務(wù)

通信數(shù)據(jù)包結(jié)構(gòu)代碼如下：

Typedef struct Packet

{Unsigned char srcip[16];//源ip地址

Unsigned char dstip[16];//目的ip地址

Unsigned char sensorip[16];//IDS引擎ip地址

Unsinged int duration;//阻斷時間

Unsinged int srcport;//源端口

Unsinged int dstport;//目的端口

Unsinged int protocol;//協(xié)議

Unsinged int mode;//阻斷模式

Unsinged int version;//版本號

Unsinged int echo;//回應(yīng)標(biāo)識

Unsinged int reserver;//保留字段

}Packet;

5 結(jié)束語

入侵檢測系統(tǒng)（IDS）已經(jīng)走過了多年的發(fā)展歷程，成為了繼防火墻之后的又一個主要的安全系統(tǒng)組成。通過防火墻與入侵檢測系統(tǒng)聯(lián)動模型，防火墻就可以通過入侵檢測系統(tǒng)及時地發(fā)現(xiàn)其策略之外的攻擊行為，入侵檢測系統(tǒng)也可以通過防火墻對來自外部網(wǎng)絡(luò)的攻擊行為進(jìn)行阻斷。入侵檢測系統(tǒng)與防火墻地有效聯(lián)動構(gòu)成了較為有效的安全防護(hù)體系，可以大大提高整體防護(hù)性能，解決了傳統(tǒng)信息安全技術(shù)的弊端和原先防火墻的粗顆粒防御與檢測系統(tǒng)只發(fā)現(xiàn)，難響應(yīng)的問題。但是，這種思想還僅僅是取得了一些進(jìn)展，要將它進(jìn)一步發(fā)展下去，還要經(jīng)過不懈的努力。

參考文獻(xiàn)：

[1] 薛立.防火墻和入侵檢測系統(tǒng)在企業(yè)信息網(wǎng)絡(luò)中的應(yīng)用[J].中原工學(xué)院學(xué)報，2003，14(3):67-69.

[2] 謝潔銳，劉財興，肖德琴，等.具有入侵檢測功能的防火墻設(shè)計[J].計算機(jī)應(yīng)用研究，2004，(7):91-92.

[3] 唐正軍.網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實(shí)現(xiàn)[M].北京:電子工業(yè)出版社，2002.

[4] 韓鴻哲，等.內(nèi)置入侵檢測功能的防火墻設(shè)計[J].計算機(jī)工程與應(yīng)用，2003，39(25):151-152.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文