亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于linux的入侵防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

        2013-08-29 17:00:26
        大眾科技 2013年12期
        關(guān)鍵詞:日志防火墻數(shù)據(jù)包

        (廣西經(jīng)濟(jì)信息中心,廣西 南寧 530004)

        1 引言

        隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的不斷發(fā)展,人類社會(huì)進(jìn)入了一個(gè)嶄新的互聯(lián)網(wǎng)時(shí)代,互聯(lián)網(wǎng)已成為人們生活、工作、學(xué)習(xí)和娛樂(lè)中不可或缺的重要部分。然而隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,針對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)的攻擊事件也更頻繁的發(fā)生。這些攻擊不但讓人們使用網(wǎng)絡(luò)的正當(dāng)需求得不到滿足,有時(shí)甚至?xí)?lái)嚴(yán)重的后果,對(duì)網(wǎng)絡(luò)和信息安全構(gòu)成了威脅。

        目前,針對(duì)各種安全威脅的安全保護(hù)技術(shù)主要有加密和數(shù)字簽名技術(shù)、身份認(rèn)證與訪問(wèn)控制技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)(IDS)和入侵防御技術(shù)(IPS)等。這些技術(shù)除 IDS和 IPS外,都是靜態(tài)的防御措施,在傳輸網(wǎng)絡(luò)(Transmit Network)中無(wú)法防范針對(duì)大規(guī)模網(wǎng)絡(luò)的、有組織的攻擊行為,實(shí)時(shí)地檢測(cè)入侵或破壞行為,難以保證網(wǎng)絡(luò)系統(tǒng)的安全。入侵檢測(cè)技術(shù)通過(guò)監(jiān)控網(wǎng)絡(luò)或系統(tǒng)資源,尋找違反安全策略的行為或攻擊跡象,并發(fā)出報(bào)警。但入侵檢測(cè)系統(tǒng)是被動(dòng)的,只能在攻擊實(shí)際發(fā)生之后發(fā)出警報(bào)。而入侵防御技術(shù)作為一種新的安全技術(shù),彌補(bǔ)了傳統(tǒng)安全技術(shù)的不足,提出了一種新的綜合解決方案。

        IPS是一種主動(dòng)的、積極的防御入侵的系統(tǒng),它部署在網(wǎng)絡(luò)的關(guān)鍵路徑上,檢測(cè)通過(guò)它的網(wǎng)絡(luò)流量。當(dāng)檢測(cè)到攻擊企圖時(shí),它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。相對(duì)于IDS的被動(dòng)檢測(cè)及誤報(bào)等問(wèn)題,IPS是一種比較主動(dòng)、機(jī)智的防御系統(tǒng)。IPS的檢測(cè)功能類似于IDS,但I(xiàn)PS檢測(cè)到攻擊后會(huì)采取行動(dòng)阻止攻擊,可以說(shuō)IPS是一種基于IDS的、建立在IDS發(fā)展基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品。

        本文將以開(kāi)源的Linux系統(tǒng)結(jié)合開(kāi)源的Snort網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)來(lái)研究實(shí)現(xiàn)低成本的網(wǎng)絡(luò)入侵防御系統(tǒng),為中小型網(wǎng)絡(luò)應(yīng)用提供一個(gè)可行的安全保護(hù)。

        2 基于Linux的入侵防御系統(tǒng)

        2.1 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

        基于Linux的入侵防御系統(tǒng)的體系結(jié)構(gòu)如圖1所示。該系統(tǒng)由數(shù)據(jù)包過(guò)濾模塊、入侵防御模塊、動(dòng)作模塊和分析、報(bào)警模塊,共4個(gè)模塊組成。

        圖1 基于Linux的入侵防御系統(tǒng)體系結(jié)構(gòu)

        包過(guò)濾模塊有兩個(gè)功能:一是從以太網(wǎng)中捕獲數(shù)據(jù)包,二是包過(guò)濾。其部署在外網(wǎng)接口上,流進(jìn)入口的網(wǎng)絡(luò)數(shù)據(jù)都要經(jīng)過(guò)防火墻的處理。依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾規(guī)則,檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包,根據(jù)TCP/IP數(shù)據(jù)包的包頭信息來(lái)決定是否允許該數(shù)據(jù)包通過(guò)。包過(guò)濾的處理時(shí)間很少,幾乎不占用CPU時(shí)間,而且速度快,易于維護(hù)。減少流進(jìn)入侵檢測(cè)模塊的數(shù)據(jù),避免過(guò)多消耗系統(tǒng)資源,使整個(gè)系統(tǒng)成為網(wǎng)絡(luò)性能瓶頸。

        入侵防御模塊是入侵防御系統(tǒng)的核心模塊。其依據(jù)規(guī)則庫(kù)進(jìn)行協(xié)議分析,根據(jù)分析結(jié)果提取出攻擊源和攻擊手段等信息,然后將分析獲得的信息形成動(dòng)作模塊的處理指令,以指導(dǎo)動(dòng)作模塊對(duì)相應(yīng)的數(shù)據(jù)包進(jìn)行處理,并把響應(yīng)信息寫(xiě)進(jìn)日志庫(kù)。在這里,規(guī)則庫(kù)的匹配問(wèn)題是關(guān)鍵,與規(guī)則庫(kù)匹配成功, 就說(shuō)明有入侵行為發(fā)生。規(guī)則庫(kù)里規(guī)則的數(shù)量、質(zhì)量和更新程度,加上規(guī)則匹配速度一起決定了入侵防御系統(tǒng)的性能。

        動(dòng)作模塊在前邊的模塊對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾、檢測(cè)、分析形成處理結(jié)果后,執(zhí)行處理指令,對(duì)數(shù)據(jù)包丟棄、或記錄、或給數(shù)據(jù)源響應(yīng)。

        分析、報(bào)警模塊是對(duì)日志庫(kù)進(jìn)行數(shù)據(jù)統(tǒng)計(jì)、分析后得到人性化的報(bào)表,同時(shí)可以根據(jù)設(shè)置發(fā)出警報(bào)信息。

        2.2 系統(tǒng)功能模塊設(shè)計(jì)與實(shí)現(xiàn)

        本文在Linux系統(tǒng)上構(gòu)建了一個(gè)基于Snort_inline和由IPtables配置的Netfliter的IPS。實(shí)現(xiàn)的IPS可以檢測(cè)可疑的網(wǎng)絡(luò)流量,丟棄惡意的數(shù)據(jù)包,或者阻斷惡意的數(shù)據(jù)流,支持4-7層的入侵檢測(cè)和防御。下面詳述組成入侵防御系統(tǒng)各模塊的設(shè)計(jì)以及實(shí)現(xiàn)。

        (1)數(shù)據(jù)包過(guò)濾模塊

        本系統(tǒng)應(yīng)用基于Netfilter 的數(shù)據(jù)包捕獲方式,通過(guò)調(diào)用BPF 機(jī)制的 Libpcap 函數(shù)庫(kù)函數(shù) 能夠很方便捕獲網(wǎng)絡(luò)數(shù)據(jù)包。然后以IPtables配置的Netfilter防火墻根據(jù)預(yù)先定義好的安全策略對(duì)捕獲網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過(guò)濾,如果網(wǎng)絡(luò)數(shù)據(jù)包是可信源的數(shù)據(jù)包,就直接讓它通過(guò)該檢測(cè)系統(tǒng);如果網(wǎng)絡(luò)數(shù)據(jù)包是防火墻策略定義內(nèi)的惡意數(shù)據(jù)包,就直接丟棄;最后把過(guò)濾后需要檢測(cè)的數(shù)據(jù)包送進(jìn)QUEUE數(shù)據(jù)隊(duì)列中等待Snort_inline入侵檢測(cè)系統(tǒng)進(jìn)行檢測(cè)。通過(guò)這樣對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行預(yù)處理后,可以減少檢測(cè)的匹配負(fù)載,降低系統(tǒng)資源的消耗,從而提高系統(tǒng)的性能。

        IPS在網(wǎng)絡(luò)中必須以透明網(wǎng)橋式存在,才能靈活部署而且不改變?cè)芯W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。為支持網(wǎng)橋式防火墻,Linux2.4及以上內(nèi)核提供了Netfilter和Iptables(數(shù)據(jù)包過(guò)濾模塊也通過(guò)它們實(shí)現(xiàn))來(lái)實(shí)現(xiàn),Linux2.6以上內(nèi)核自帶配置網(wǎng)橋的工具bridge-utils。故本系統(tǒng)選擇的Linux版本內(nèi)核需在2.6以上。

        (2)入侵防御模塊

        網(wǎng)絡(luò)入侵防御系統(tǒng)的核心模塊——入侵防御模塊由入侵檢測(cè)系統(tǒng)Snort的Snort_inline模式組成。

        Snor是一套開(kāi)放源代碼(open source)的網(wǎng)絡(luò)入侵檢測(cè)軟件(IDS)。Snort使用了以偵測(cè)簽章(signature-based)與通訊協(xié)議(protocol)的偵測(cè)方法。它是一個(gè)可以實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)通信的數(shù)據(jù)包嗅探器。通過(guò)協(xié)議分析和內(nèi)容搜索與匹配,Snort能夠檢測(cè)各種攻擊方法,包括拒絕服務(wù)器攻擊、緩沖區(qū)溢出、CGI攻擊、秘密的端口掃描等。截至目前為止,Snort的被下載次數(shù)已達(dá)到數(shù)百萬(wàn)次。 Snort 被認(rèn)為是全世界最廣泛使用的入侵檢測(cè)軟件。

        新版本的Snort有四種工作模式:

        ? 嗅探器模式(Sniffer Mode):從網(wǎng)絡(luò)中抓取數(shù)據(jù)包,并作為連續(xù)不斷的流顯示在終端上 ;

        ? 數(shù)據(jù)包記錄器模式(packet logger Mode):將數(shù)據(jù)包記錄到硬盤(pán)日志中;

        ? 網(wǎng)絡(luò)入侵檢測(cè)模式(NIDS Mode):分析網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)并與入侵規(guī)則庫(kù)相匹配來(lái)發(fā)現(xiàn)入侵行為并告警;

        ? 在線模式(Inline Mode):將snort當(dāng)成IPS,從iptable讀取數(shù)據(jù)包跟規(guī)則庫(kù)對(duì)比后,告訴iptable是否要把該數(shù)據(jù)包丟掉或是讓它通過(guò)。

        這里使用Snort的在線模式。Snort_inline的入侵防御過(guò)程包括讀取數(shù)據(jù)包、入侵檢測(cè)和處理數(shù)據(jù)包3個(gè)步驟。

        ①讀取數(shù)據(jù)包

        Snort_inline使用libipq 庫(kù),通過(guò)netlink 接口從內(nèi)核態(tài)的Netfilter 的QUEUE數(shù)據(jù)隊(duì)列中獲取數(shù)據(jù)包。Snort的數(shù)據(jù)包解析過(guò)程由decode()函數(shù)來(lái)完成,原理是按照從鏈路層到傳輸層各種協(xié)議的相應(yīng)格式去分析得到的數(shù)據(jù)流,并把所得結(jié)果填充數(shù)據(jù)結(jié)構(gòu)Packet。在入侵防御系統(tǒng)的實(shí)現(xiàn)中,數(shù)據(jù)包讀取過(guò)程中已經(jīng)進(jìn)行了包的分片重組等工作,發(fā)送到入侵檢測(cè)引擎的數(shù)據(jù)包是完整的。

        ②入侵檢測(cè)

        Snort_inline根據(jù)命令行參數(shù)進(jìn)行初始化,由參數(shù)設(shè)定工作方式,解析規(guī)則庫(kù),把規(guī)則庫(kù)中的規(guī)則(rules)生成二維規(guī)則鏈表。Snort_inline的數(shù)據(jù)包處理函數(shù)ProcessPacket()對(duì)解析過(guò)的數(shù)據(jù)包進(jìn)行入侵檢測(cè)。數(shù)據(jù)包處理函數(shù)PreocessPacket()首先調(diào)用設(shè)置好的解析函數(shù)對(duì)數(shù)據(jù)包進(jìn)行協(xié)議解析,并設(shè)置Packet數(shù)據(jù)結(jié)構(gòu),根據(jù)需求輸出或者忽略對(duì)數(shù)據(jù)包各層協(xié)議的解析結(jié)果,然后調(diào)用主檢測(cè)引擎。檢測(cè)函數(shù)Detect()按照一定的順序應(yīng)用規(guī)則鏈表進(jìn)行檢測(cè),最后返回入侵檢測(cè)處理的結(jié)果。

        ③處理數(shù)據(jù)包

        對(duì)數(shù)據(jù)包進(jìn)行入侵檢測(cè)以后,根據(jù)與規(guī)則庫(kù)中規(guī)則

        (rules)匹配的結(jié)果,用libipq庫(kù)函數(shù)ipq_set_verdict通過(guò)netlink接口與IPtables配置的Netfilter通訊,針對(duì)每個(gè)數(shù)據(jù)包發(fā)出相應(yīng)的處理指令。Snort_inline實(shí)現(xiàn)入侵防御功能有四種動(dòng)作drop、sdrop、reject和replace。

        ? drop:Netfilter將數(shù)據(jù)包丟棄,并且根據(jù)Snort配置文件中的設(shè)置記錄日志;

        ? sdrop:Netfilter將數(shù)據(jù)包丟棄,并不記錄日志;

        ? reject:告訴IPtables配置的Netfliter將數(shù)據(jù)包丟棄,記錄日志,并且通過(guò)libnet庫(kù)函數(shù)發(fā)送TCP的reset回去或UDP的ICMP端口不能到達(dá)的信息回去。

        ? replace:可以讓rules修改數(shù)據(jù)包內(nèi)容,但修改內(nèi)容的資料長(zhǎng)度要與原始數(shù)據(jù)包的資料內(nèi)容長(zhǎng)度一樣,然后把替換處理過(guò)的包發(fā)送給Netfilter。

        (4)動(dòng)作模塊

        動(dòng)作模塊由IPtables配置的Netfilter防火墻組成,其接收入侵防御模塊的指令,對(duì)數(shù)據(jù)包執(zhí)行四種操作drop、sdrop、reject和replace中的一種。

        (5)分析、報(bào)警模塊

        分析、報(bào)警模塊由BASE充當(dāng)。其處理、統(tǒng)計(jì)分析入侵防御模塊存儲(chǔ)于MySQL數(shù)據(jù)庫(kù)中的日志,可以自定義警報(bào)的發(fā)生以及顯示信息的格式。

        綜上所述,基于Linux的入侵防御系統(tǒng)的實(shí)現(xiàn)涉及的軟件程序有:

        ? Linux操作系統(tǒng):CentOS 是當(dāng)前最流行的商業(yè)版 Linux-- Red Hat Enterprise Linux

        (RHEL)的克隆版,是RHEL源代碼再編譯的產(chǎn)物 。它和 RHEL 的區(qū)別除了沒(méi)有 RHEL 一樣的技術(shù)支持以外,就是去掉了RHEL的商標(biāo)信息,修正了 RHEL 已知的一些 Bug,所以,其穩(wěn)定性值得我們信賴。 還有,它是開(kāi)源免費(fèi)的。

        選用CentOS 5.3,其對(duì)應(yīng)Red Hat Enterprise Linux 5.3版本,核心是linux kernel version 2.6.27(2008.10.10發(fā)布)。

        ? IPtables配置的Netfilter防火墻,內(nèi)核2.4版本以上Linux支持。

        ? Snort:選用Snort2.8.4.1版。

        ? MySQL數(shù)據(jù)庫(kù):MySQL5.1以上版本。

        ? BASE:日志分析工具。

        ? oinkmaster:規(guī)則庫(kù)更新組件。

        ? 支持庫(kù):ip_queue、libipq、libdnet、libpcap、 pcre、ptables-devel等;

        入侵防御系統(tǒng)數(shù)據(jù)流程圖如下所示:

        圖2 入侵防御系統(tǒng)數(shù)據(jù)流程圖

        3 結(jié)束語(yǔ)

        本文將入侵檢測(cè)軟件Snort 和防火墻框架Netfilter有機(jī)地結(jié)合在一起,設(shè)計(jì)與實(shí)現(xiàn)了一個(gè)Linux下基于Snort_inline和Netfilter/IPtables的入侵防御系統(tǒng),其應(yīng)用能進(jìn)一步提高網(wǎng)絡(luò)系統(tǒng)的安全。但,該系統(tǒng)還存在一些不足,比如在實(shí)際應(yīng)用中存在單點(diǎn)故障等。這需要進(jìn)一步進(jìn)行研究解決。

        [1]衣治安,裴蕾.基于Snort和Netfilter的入侵防御系統(tǒng)[J].齊齊哈爾大學(xué)學(xué)報(bào),2007,(5).

        [2](美)Steve Suehring/ Robert L.Ziegler/. Linux 防火墻[M].何涇沙,等譯.機(jī)械工業(yè)出版社,2006:41-44.

        [3]Jay Beale, Andrew R. Baker, Joel Esler, et al. Snort IDS and IPS Toolkit. Syngress Media Inc,2007:176-219.

        [4]Jay Beale, Andrew R. Baker, Joel Esler, et al. Snort IDS and IPS Toolkit. Syngress Media Inc,2007:604-616.

        猜你喜歡
        日志防火墻數(shù)據(jù)包
        一名老黨員的工作日志
        扶貧日志
        心聲歌刊(2020年4期)2020-09-07 06:37:14
        構(gòu)建防控金融風(fēng)險(xiǎn)“防火墻”
        SmartSniff
        游學(xué)日志
        基于Libpcap的網(wǎng)絡(luò)數(shù)據(jù)包捕獲器的設(shè)計(jì)與實(shí)現(xiàn)
        下一代防火墻要做的十件事
        一種基于粗集和SVM的Web日志挖掘模型
        視覺(jué)注意的數(shù)據(jù)包優(yōu)先級(jí)排序策略研究
        移動(dòng)IPV6在改進(jìn)數(shù)據(jù)包發(fā)送路徑模型下性能分析
        91福利精品老师国产自产在线| 国产99久久久国产精品免费看| 一本一道久久综合狠狠老| 国产精品成人嫩妇| 日本不卡的一区二区三区 | 国产精品成人亚洲一区| 欧洲熟妇色xxxx欧美老妇多毛 | 精品国产3p一区二区三区| 国产自拍视频免费在线| 中文字幕v亚洲日本| 无码成人片一区二区三区| 亚洲精品女优中文字幕| 国产亚洲aⅴ在线电影| 国产影片中文字幕| 国产精品久久中文字幕第一页| 国产大屁股熟女流白浆一区二区| 中文字幕人妻丝袜成熟乱| 丁香五香天堂网| 亚洲AⅤ男人的天堂在线观看| 日韩av中文字幕波多野九色| 人人鲁人人莫人人爱精品| 亚洲深深色噜噜狠狠爱网站| 漂亮的小少妇诱惑内射系列| 国产日产桃色精品久久久| 亚洲春色在线视频| 国产精品自产拍在线18禁| 日韩一区中文字幕在线| 日本丰满老妇bbw| 国产又色又爽无遮挡免费| caoporon国产超碰公开| 国产高清精品一区二区| 亚洲欧美日韩在线不卡| 亚洲精品中国国产嫩草影院美女| 亚洲人妻精品一区二区三区| 欧美丰满老熟妇aaaa片| a在线观看免费网站大全| 国产美女自拍国语对白| 不卡一区二区视频日本| 怡红院a∨人人爰人人爽| 免费一级欧美大片久久网| 日韩av在线不卡一区二区|