張艷麗

中圖分類號:TP393.08文獻標識碼:A文章編號:1673-0992(2009)12-066-02

摘要:大規(guī)模的應(yīng)用程序很少采用單機模式,大多采用分層的體系結(jié)構(gòu)。本文所設(shè)計的網(wǎng)絡(luò)入侵防御系統(tǒng)的結(jié)構(gòu)采用分層的體系結(jié)構(gòu)。入侵防御模塊為了部署在網(wǎng)絡(luò)的關(guān)鍵位置上,需要有路由功能,能夠?qū)⒕邆湔_路由信息的數(shù)據(jù)包由一個網(wǎng)卡轉(zhuǎn)發(fā)到另一個網(wǎng)卡,實現(xiàn)內(nèi)外網(wǎng)之間的正常數(shù)據(jù)通信。本文主要介紹了網(wǎng)絡(luò)入侵防御系統(tǒng)體系,以及對他的框架結(jié)構(gòu)進行了分析

關(guān)鍵詞:網(wǎng)絡(luò)安全;入侵檢測;入侵防御;系統(tǒng)框架設(shè)計

一、網(wǎng)絡(luò)入侵防御系統(tǒng)體系結(jié)構(gòu)

大規(guī)模的應(yīng)用程序很少采用單機模式,大多采用分層的體系結(jié)構(gòu)。本文所設(shè)計的網(wǎng)絡(luò)入侵防御系統(tǒng)的結(jié)構(gòu)采用分層的體系結(jié)構(gòu)。網(wǎng)絡(luò)入侵防御系統(tǒng)的體系結(jié)構(gòu)共分三層:

第一層,入侵防御層:對經(jīng)過的流量監(jiān)控,檢測入侵并進行入侵防御。

第二層,服務(wù)器層:收集日志數(shù)據(jù)并轉(zhuǎn)化為可讀形式。

第三層,控制層:是分析控制臺,數(shù)據(jù)顯示在這一層。

網(wǎng)絡(luò)入侵防御系統(tǒng)由四個部分組成,分別是入侵防御模塊、日志記錄模塊、中央控制模塊和模塊間的通信。這四個部分彼此協(xié)作,共同實現(xiàn)入侵防御的功能。

入侵防御模塊工作在入侵防御層,負責數(shù)據(jù)包接收、檢測和入侵響應(yīng)。入侵防御模塊部署在網(wǎng)絡(luò)的關(guān)鍵位置上,如連接外網(wǎng)與內(nèi)網(wǎng)的鏈路上,或者一個子網(wǎng)與另一個子網(wǎng)的鏈路上。這樣,所有經(jīng)過數(shù)據(jù)均可被截取到。入侵防御模塊由Snort_inline和IPtables配置的Netfilter防火墻聯(lián)動組成的IPS構(gòu)成,包括數(shù)據(jù)包接收、數(shù)據(jù)包分析和檢測、響應(yīng)三個部分。

日志記錄模塊工作在服務(wù)器層,負責日志的收集,格式化。收集的日志包括Snort_inline的入侵檢測日志和IPtables配置的防火墻日志。

中央控制模塊是整個系統(tǒng)的核心,工作在控制層。它負責協(xié)調(diào)系統(tǒng)各個模塊,進行所有的集中化操作。例如:對結(jié)點上的入侵防御系統(tǒng)的配置,日志服務(wù)器的管理,數(shù)據(jù)分析,負載均衡等。

模塊間的通信負責系統(tǒng)各個組件之間安全、可靠的通信,包括中心和結(jié)點間的通信,結(jié)點和結(jié)點間的通信。

二、通用入侵檢測框架

入侵防御模塊中,基于Snort_inline和IPtables配置的Netfilter防火墻的IPS采用通用入侵檢測框架(CIDF)結(jié)構(gòu)。

CIDF提出了一個入侵檢測系統(tǒng)的通用模型,它將入侵檢測系統(tǒng)分為以下幾個單元:事件產(chǎn)生器(Event Generators)、事件分析器(Event Analyzers)、響應(yīng)單元(Response Units)和事件數(shù)據(jù)庫(EventDatabases)。CIDF模型將需要分析的數(shù)據(jù)統(tǒng)稱為事件(Event)。事件產(chǎn)生器即檢測器,它從整個計算環(huán)境中獲得事件,并向系統(tǒng)的其它部分提供此事件;事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果;響應(yīng)單元則是對分析結(jié)果做出反應(yīng)的功能單元,它可以做出切斷連接等反應(yīng),也可以只簡單的報警;事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的總稱,它可以是復(fù)雜的數(shù)據(jù)庫,也可以是簡單的文本文件。

Snort_inline和IPtables配置的Netfilter防火墻聯(lián)動構(gòu)成的IPS,其組件組成如下:

* 事件產(chǎn)生器:Netfilter鉤子程序、IPtables、ip_queue內(nèi)核模塊和netlink接口。收集數(shù)據(jù)包,把數(shù)據(jù)包從內(nèi)核空間送到用戶空間。

* 事件分析器:libipq庫、Snort_inline和規(guī)則集。用規(guī)則集對數(shù)據(jù)進行入侵檢測。

* 響應(yīng)單元:Netfilter鉤子程序、libipq、libnet、IPtables。對數(shù)據(jù)包的處理。

* 事件數(shù)據(jù)庫:MySQL數(shù)據(jù)庫。收集和存放數(shù)據(jù)。

三、入侵防御模塊設(shè)計

入侵防御模塊為了部署在網(wǎng)絡(luò)的關(guān)鍵位置上,需要有路由功能,能夠?qū)⒕邆湔_路由信息的數(shù)據(jù)包由一個網(wǎng)卡轉(zhuǎn)發(fā)到另一個網(wǎng)卡,實現(xiàn)內(nèi)外網(wǎng)之間的正常數(shù)據(jù)通信。路由部分功能的實現(xiàn),利用了Linux系統(tǒng)自帶的路由模塊,在使用時打開了對用的配置文件,具體方法如下:

echo 1>/proc/sys/net/ipv4/ip_forward

當數(shù)據(jù)包進入入侵防御模塊時,IP轉(zhuǎn)發(fā)功能己經(jīng)打開,內(nèi)核會根據(jù)數(shù)據(jù)包的地址信息和自身的路由表將其轉(zhuǎn)發(fā)。

入侵防御模塊是網(wǎng)絡(luò)入侵防御系統(tǒng)實現(xiàn)的關(guān)鍵,由數(shù)據(jù)包接收、數(shù)據(jù)包檢測、入侵響應(yīng)三個部分組成。每個入侵防御模塊由Snort_inline和IPtables配置的Netfilter防火墻聯(lián)動組成的IPS構(gòu)成。

1.數(shù)據(jù)包接收

數(shù)據(jù)包接收過程是事件產(chǎn)生器,由Netfilter鉤子程序、IPtables、ip_queue內(nèi)核模塊和netlink接口組成。負責收集數(shù)據(jù)包,把數(shù)據(jù)包從內(nèi)核空間送到用戶空間。

在數(shù)據(jù)包接收的過程中,入侵防御模塊應(yīng)該以IPtables配置的Netfilter防火墻過濾后的數(shù)據(jù)包為數(shù)據(jù)源,對符合安全策略的流量進行入侵檢測,減少了入侵檢測的數(shù)據(jù)包數(shù)量。IPtables配置的Netfilter防火墻:結(jié)合鏈路層、網(wǎng)絡(luò)層的防火墻技術(shù)實現(xiàn)的包過濾防火墻可以根據(jù)安全策略先對數(shù)據(jù)包進行過濾,然后把需要檢測的數(shù)據(jù)包送進Snort_inline入侵檢測系統(tǒng)進行檢測。這樣可以降低系統(tǒng)資源的消耗,減輕系統(tǒng)的負擔。

2.數(shù)據(jù)包檢測

數(shù)據(jù)包檢測是事件分析器,由libipq庫、Snort_inline和規(guī)則集組成。負責入侵檢測,用規(guī)則集對數(shù)據(jù)進行入侵檢測

入侵防御模塊接收到符合安全策略的數(shù)據(jù)包分層解析數(shù)據(jù)包的網(wǎng)絡(luò)層、傳輸層和應(yīng)用層,并進行數(shù)據(jù)格式化,然后將數(shù)據(jù)包與入侵檢測規(guī)則庫相匹配。使用協(xié)議分析、狀態(tài)協(xié)議分析和模式匹配相結(jié)合的技術(shù)進行數(shù)據(jù)包入侵檢測。

協(xié)議分析技術(shù)解析網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的數(shù)據(jù),利用協(xié)議構(gòu)建的規(guī)則性排除異常協(xié)議結(jié)構(gòu)的攻擊;狀態(tài)協(xié)議分析將應(yīng)用層數(shù)據(jù)傳送的過程看作連續(xù)的過程,跟蹤連接狀態(tài)信息,以便快速而準確的定位攻擊特征;不能準確定位的字符串則使用模式匹配技術(shù)來實現(xiàn)入侵檢測,入侵檢測系統(tǒng)snort_inline在入侵檢測過程中使用快速多模式匹配算法。

3.入侵響應(yīng)

入侵響應(yīng)是響應(yīng)單元,由Netfilter鉤子程序、libipq、libnet、IPtables組成。負責對對數(shù)據(jù)包的處理。

入侵防御模塊位于數(shù)據(jù)包傳送鏈路的關(guān)鍵位置中,可以直接阻斷數(shù)據(jù)包的傳送,但阻斷有可能攔截正常流量。對規(guī)則庫進行優(yōu)化,將規(guī)則按危險等級劃分為高、中、低,阻斷、報警和記錄這三種響應(yīng)手段是分別針對不同的報警級別進行處理的。對惡意的攻擊事件采取阻斷的響應(yīng)手段,同時記錄該事件;對懷疑但不能確認的安全事件則采取報警的響應(yīng)手段;對于正常的網(wǎng)絡(luò)流量僅僅記錄一些關(guān)鍵信息。

四、中央控制模塊設(shè)計

中央控制模塊是整個系統(tǒng)的核心,它負責協(xié)調(diào)系統(tǒng)各個模塊和進行所有的集中化操作,例如集中地檢測和統(tǒng)計攻擊行為,實時做出安全策略調(diào)整等。中央控制模塊位于系統(tǒng)的中心位置,和入侵防御模塊和日志記錄模塊分別連接。中央控制模塊的功能包括策略定制、日志審閱、系統(tǒng)管理,并應(yīng)該以可視圖形化形式提交管理員進行查詢和管理。

對于策略制定功能,中央控制模塊應(yīng)該根據(jù)日志記錄模塊收集到的入侵防御模塊的入侵檢測和防御日志來制定相應(yīng)的安全策略。

對于日志審閱功能,中央控制模塊可以實時地分析日志服務(wù)器記錄的入侵檢測系統(tǒng)Snort_inline和IPtables配置的防火墻日志,并提供需要的統(tǒng)計信息。

對于系統(tǒng)管理功能,中央控制模塊控制依靠管理控制程序管理入侵防御模塊的各個結(jié)點,管理各個結(jié)點的規(guī)則集,能夠動態(tài)地調(diào)整入侵檢測規(guī)則,動態(tài)插入、刪除和更改防火墻規(guī)則,管理日志服務(wù)器,控制著日志記錄模塊的日志收集,進行流量統(tǒng)計,負載均衡。

中央控制模塊是網(wǎng)絡(luò)入侵防御系統(tǒng)實現(xiàn)的一個核心,其功能的完善和具體實現(xiàn)是網(wǎng)絡(luò)入侵防御系統(tǒng)設(shè)計將來的工作。

五、結(jié)語

在網(wǎng)絡(luò)技術(shù)十分發(fā)達的今天,任何一臺計算機都不可能孤立于網(wǎng)絡(luò)之外,因此對于網(wǎng)絡(luò)中的信息的安全防范就顯得十分重要。本論文構(gòu)建了網(wǎng)絡(luò)入侵防御體系,給出了系統(tǒng)實現(xiàn)的框架結(jié)構(gòu),并從入侵防御模塊和中央控制模塊兩個層次完成了網(wǎng)絡(luò)信息安全體系框架的構(gòu)建。通過不斷發(fā)展的網(wǎng)絡(luò)硬件安全技術(shù)和軟件加密技術(shù),再加上政府對信息安全的重視,相信計算機網(wǎng)絡(luò)的信息安全是可以實現(xiàn)的。

參考文獻:

[1] 胡道元,閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004

[2] 葉代亮.內(nèi)網(wǎng)的安全管理[J].計算機安全,2005

[3] Alessandro G. Di Nuovo, Vincenzo Catania, Santo Di Nuovo, et, al. Psychology with soft computing: An integrated approach and its applications[J].Applied Soft Computing, 2008

[4] 梁軍. 計算機網(wǎng)絡(luò)與信息安全[M]. 廣西: 廣西師范大學(xué)出版社, 2005

[5] 賈真, 陳建, 李文澤. Linux防火墻的研究與實現(xiàn)[J]. 計算機與現(xiàn)代化, 2005