何春林

【摘 要】入侵防御系統(tǒng)是在防火墻和入侵檢測系統(tǒng)的基礎上發(fā)展而來的，本文研究并實現(xiàn)了一個基于WBM的入侵防御系統(tǒng)。系統(tǒng)采用基于WBM（Web Based Management）的方式進行管理和控制，各分布式引擎及服務器控制中心都是安裝在Linux操作系統(tǒng)下的，入侵防御引擎用C語言實現(xiàn)了系統(tǒng)對底層的訪問控制，B/S架構的其他層采用Java語言來實現(xiàn)。

【關鍵詞】入侵防御系統(tǒng)；WBM；入侵檢測；防火墻；網絡安全

一、引言

因特網的飛速發(fā)展，標志著信息的共享發(fā)展到了一個新高度，但隨之而來的網絡安全問題也愈發(fā)突出。據(jù)統(tǒng)計，平均每20秒就有一個網絡遭到入侵。通過IP地址欺騙、非法進入系統(tǒng)和盜竊密碼等手段，入侵者不斷地盜竊各種單位內寶貴的數(shù)據(jù)資料，面向計算機網絡的犯罪每年增長約30%。

由于用戶需求的提升，入侵檢測產品不斷更新。但是，僅僅檢測到入侵是不夠的，還要對檢測到的入侵進行分析和響應，入侵檢測系統(tǒng)加入侵響應系統(tǒng)就成為入侵防御系統(tǒng)（IPS）。要想實現(xiàn)兩個系統(tǒng)的功能，不能只是簡單地把兩個系統(tǒng)進行物理迭加，必需對它們進行集中控制，實現(xiàn)兩個系統(tǒng)的交互。這也就是本文所要研究的內容。

二、相關理論

（一）防火墻

防火墻是網絡安全防衛(wèi)的重要措施。通常，防火墻被安裝在受保護的內網和外網之間的連接點上，所有進出內網的數(shù)據(jù)都必需經過防火墻，這樣防火墻就能夠在此檢查這些數(shù)據(jù)，采取防范措施。防火墻亦可被認為是一種訪問控制機制，決定哪些數(shù)據(jù)允許被外部訪問，哪些不允許。從邏輯上講，防火墻是一個分離器、限制器，也是一個分析器。

但是，防火墻也有本身的一些局限性。比如：無法防范其它途徑（繞過防火墻）的攻擊，很難防范內部用戶有意或無意帶來的威脅，也不能防止傳送已經感染病毒的文件或軟件，無法防范數(shù)據(jù)驅動型的攻擊。而且由于防火墻受到驗證、測試等方面的限制，很難證明防火墻的防護能力及失效狀態(tài)。

（二）入侵檢測系統(tǒng)

入侵檢測系統(tǒng)IDS（Intrusion Detection System）是用來監(jiān)視和檢測入侵事件的系統(tǒng)，被認為是防火墻之后的第二道安全閘門。當有敵人或惡意用戶試圖通過Internet進入網絡甚至計算機系統(tǒng)時，IDS能夠檢測出來，并進行報警，通知網絡采取措施進行響應。

然而，入侵檢測系統(tǒng)也存在一些難以克服的問題，主要表現(xiàn)在：對信息重新編碼就可能騙過入侵檢測系統(tǒng)的檢測，入侵檢測系統(tǒng)的評價目前還沒有客觀標準，標準不統(tǒng)一使得IDS之間的互聯(lián)互通幾乎不可能，采用不恰當?shù)淖詣臃磻赡軙o系統(tǒng)造成極大風險。

（三）入侵防御系統(tǒng)

IDS給網絡帶來的安全是不夠的，應該使用入侵防御系統(tǒng)（IPS，Intrusion Prevention System or Intrusion Protection System）來代替IDS。在網絡入侵防御系統(tǒng)中，聯(lián)動就是在防火墻、IDS、防病毒系統(tǒng)、VPN （virtual private network）， CA（Certificate Authority）等安全成員之間建立一種相互作用和影響的機制。

一個網絡中如果防火墻產品質量是9分，防病毒產品是8分，入侵監(jiān)測產品質量是7分，內容過濾是5分的話，那么該網絡最后的綜合安全評分還是5分，因為不安全因素往往就出現(xiàn)在最薄弱的環(huán)節(jié)。這就是所謂的“木桶原理”。而通過聯(lián)動策略，在強強組合的基礎上，自由選擇各方面都最優(yōu)的產品，從而構建最強的防御系統(tǒng)。

三、總體設計

（一）系統(tǒng)概述

入侵防御系統(tǒng)采用目前流行的B/S多層架構，即通過Web方式實現(xiàn)分布式入侵防御引擎的集中管理。因此，整個系統(tǒng)的開發(fā)分為兩部分，一是服務器控制中心的開發(fā)，二是分布式入侵防御引擎的開發(fā)。

服務器控制中心是整個入侵防御系統(tǒng)的核心，是系統(tǒng)的管理界面。IPS的網絡會話、性能管理、審計分析和系統(tǒng)管理，都由服務器控制中心來實現(xiàn)。分布式入侵防御引擎的控制工作也由服務器控制中心來統(tǒng)一進行管理，圖1為入侵防御系統(tǒng)的總體設計圖。

（二）開發(fā)環(huán)境

（1）選擇操作系統(tǒng)。操作系統(tǒng)選擇的是Linux，雖然操作沒有Windows系列方便，但除此之外Linux的優(yōu)點很多，比如內核代碼完全開放，這為系統(tǒng)設計提供了極大方便；國內對Linux的代碼分析工作也小有成效，已有大量的相關書籍出版；此外，專業(yè)研究人員對Linux業(yè)已進行了一定的研究開發(fā)工作。Linux版本很多，筆者選擇了Red Hat，因為它的安裝與刪除設計良好。

（2）Jdk+Tomcat+Apache+Mysql環(huán)境。在安裝Red Hat 操作系統(tǒng)時要選擇定制 （custom）安裝，以使OS提供足夠的開發(fā)環(huán)境和工具。

1、安裝準備。首先是Red Hat 自帶的apache2.0.40，apache是目前應用非常廣的Web 服務器，系統(tǒng)自帶的apache中的模塊包里包括了大多流行的模塊。其次是tomcat壓縮包，tomcat應用服務器是一種容器，它提供Web服務，而且是Server端應用程序的編譯環(huán)境。最后，需要connector把tomcat和apache整合到一起，就是用這個connector把Web 服務器的一些請求重定向到應用服務器。整合apache和tomcat的重點在于需要自己編譯一個connector，因為它和使用的應用服務器的版本相關。

2、安裝配置過程。首先安裝JDK，安裝jdk后建立鏈接。其次安裝tomcat，但運行tomcat之前要完成系統(tǒng)環(huán)境變量的設置。再次安裝apache，而且一定要用與系統(tǒng)同版本的apache，否則會出問題。最后編譯connector。Mysql的安裝不再論述。

四、基于WBM的控制管理

WBM（Web Based Management）是一種將WWW技術應用于網絡和設備管理的技術，被稱為“基于Web的管理”，各大著名公司如Sun ，IBM和3COM等都先后推出了相關產品。這些廠商正以一種新的形式去應用管理信息系統(tǒng)。

目前，基于WEB的管理模式有兩種模型：基于代理的WBM和嵌入式的WBM。嵌入式WBM不局限于傳統(tǒng)的工作站，無需任何中介便可以直接訪問網絡設備。

五、入侵防御系統(tǒng)的測試

（一）測試環(huán)境

測試環(huán)境如下：兩臺裝有Linux的計算機，安裝入侵防御引擎，其中一臺機器還充當服務器控制中心。一臺安裝Window的計算機，作為B/S架構的客戶端，實現(xiàn)對入侵防御系統(tǒng)的訪問。一臺Ethernet Hub（集線器），安裝在局域網的入口。

（二）OTP測試

兩種OTP算法可以對不同身份的用戶進行驗證：快速法用于查看人員，安全法用于管理人員。

（三）入侵防御的測試

入侵監(jiān)測用工具模擬SYN 泛洪攻擊，SYN 泛洪是當前最流行的分布式拒絕服務攻擊的方式之一，利用TCP的協(xié)議缺陷，使得被攻擊方資源耗盡的攻擊方法，圖中為檢測到的SYN 泛洪攻擊的入侵記錄。

六、結論

隨著網絡的迅猛發(fā)展及安全問題的日益嚴重，入侵防御必將隨著入侵檢測和防火墻的發(fā)展而不斷壯大，而且，它必將聯(lián)動所有的網絡安全產品。

入侵防御系統(tǒng)采用基于WBM的方式進行管理，分析網絡受到的安全威脅，采用OTP的身份認證技術來保證網絡的安全，研發(fā)了兩種OTP算法。入侵防御系統(tǒng)的各分布式引擎及服務器控制中心都是安裝在Linux操作系統(tǒng)下的，用C語言實現(xiàn)了系統(tǒng)對底層的訪問控制，B/S架構的其他層采用Java語言來實現(xiàn)，給用戶提供一個了友好的界面。

本系統(tǒng)的研發(fā)也有一些不足之處，比如不能對分布式入侵防御引擎進行自動部署等，有待于下一步深入研究。

參考文獻：

[1]馬俊，王志英，任江春等.一種實現(xiàn)數(shù)據(jù)主動泄露防護的擴展中國墻模型[J].軟件學報，2012（3）： 677-687

[2]謝柏林，余順爭. 基于應用層協(xié)議分析的應用層實時主動防御系統(tǒng)[J].計算機學報，2011（3）： 3452-34633