馬占飛，尹傳卓

(1.內(nèi)蒙古科技大學(xué)包頭師范學(xué)院,內(nèi)蒙古 包頭 014030；2.內(nèi)蒙古科技大學(xué)信息工程學(xué)院,內(nèi)蒙古 包頭 014010)

基于ACE和SSL的Firewall與IDS聯(lián)動(dòng)系統(tǒng)研究*

馬占飛1，尹傳卓2

(1.內(nèi)蒙古科技大學(xué)包頭師范學(xué)院,內(nèi)蒙古 包頭 014030；2.內(nèi)蒙古科技大學(xué)信息工程學(xué)院,內(nèi)蒙古 包頭 014010)

隨著Internet的迅猛發(fā)展，網(wǎng)絡(luò)攻擊的方法和技術(shù)越來(lái)越智能化和多樣化，網(wǎng)絡(luò)安全需求與日俱增。傳統(tǒng)的防火墻(Firewall)與入侵檢測(cè)系統(tǒng)IDS已不能滿足網(wǎng)絡(luò)安全整體化需求。鑒于此，引入ACE網(wǎng)絡(luò)通信中間件和SSL協(xié)議，采用開(kāi)放接口方式，從網(wǎng)絡(luò)安全整體性與動(dòng)態(tài)性的需求考慮，設(shè)計(jì)了一種新型的基于ACE和SSL通信平臺(tái)的Firewall和IDS協(xié)同聯(lián)動(dòng)系統(tǒng)模型。該系統(tǒng)模型融合了Firewall和IDS的優(yōu)點(diǎn)，采用加密信息傳輸機(jī)制、策略管理機(jī)制和聯(lián)動(dòng)分析算法，確保了傳輸信息的可靠性、完整性和機(jī)密性。實(shí)驗(yàn)結(jié)果表明，該聯(lián)動(dòng)系統(tǒng)不但能夠有效地檢測(cè)和防御攻擊，而且具有良好的協(xié)作性、通用性和可擴(kuò)展性。

網(wǎng)絡(luò)安全；入侵檢測(cè)系統(tǒng)；防火墻；聯(lián)動(dòng)；中間件

1 引言

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展和互聯(lián)網(wǎng)(Internet)的廣泛普及，網(wǎng)絡(luò)已形成了勢(shì)不可擋的潮流，席卷到社會(huì)的各個(gè)領(lǐng)域，人類社會(huì)對(duì)信息網(wǎng)絡(luò)的依賴程度也越來(lái)越大，然而網(wǎng)絡(luò)安全性伴隨著強(qiáng)大的功能一道而來(lái)[1,2]。為了保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)及其信息的安全，各大知名的IT企業(yè)推出了許多安全技術(shù)和產(chǎn)品，并對(duì)計(jì)算機(jī)網(wǎng)絡(luò)及其系統(tǒng)的各個(gè)環(huán)節(jié)進(jìn)行安全保護(hù)[3]。主要的安全產(chǎn)品包括防火墻(Firewall)、入侵檢測(cè)系統(tǒng)IDS(Intrusion Detection System)、身份認(rèn)證系統(tǒng)、虛擬專用網(wǎng)絡(luò)VPN(Virtual Private Network)、安全路由器、網(wǎng)絡(luò)和系統(tǒng)的安全性分析系統(tǒng)等。但是，這些系統(tǒng)或設(shè)備之間缺乏統(tǒng)一的數(shù)據(jù)交換格式和協(xié)作方式等，難以實(shí)現(xiàn)緊密配合和關(guān)聯(lián)，使得網(wǎng)絡(luò)面對(duì)各種攻擊技術(shù)防不勝防，網(wǎng)絡(luò)系統(tǒng)隨時(shí)面臨癱瘓的危險(xiǎn)[4,5]。

由此可見(jiàn)，單一的安全產(chǎn)品已不能滿足當(dāng)前市場(chǎng)對(duì)高安全性網(wǎng)絡(luò)的迫切需求，多種安全產(chǎn)品的聯(lián)動(dòng)和整合將是網(wǎng)絡(luò)信息安全領(lǐng)域的發(fā)展趨勢(shì)。目前最具代表性的有：國(guó)外的Check Point公司倡導(dǎo)和發(fā)起的OPSEC(Open Platform for SECurity)和國(guó)內(nèi)的天融信公司提出的TOPSEC(Talent Open Platform for SECurity)。OPSEC是一個(gè)集成和開(kāi)放的平臺(tái)，該平臺(tái)主要通過(guò)OPSEC開(kāi)放協(xié)議APIs中的SAMP(Suspicious Activity Monitoring Protocol)實(shí)現(xiàn)Firewall與IDS的聯(lián)動(dòng)[6]。TOPSEC是一個(gè)統(tǒng)一的、可擴(kuò)展的網(wǎng)絡(luò)安全體系平臺(tái)，它是以PKI/CA(Public Key Infrastructure/Certificate Authority)體系為安全支撐和保障，并與各類優(yōu)秀的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品在技術(shù)上有機(jī)集成，實(shí)現(xiàn)了各種安全產(chǎn)品之間的互通與聯(lián)動(dòng)[7]。但是，從應(yīng)用現(xiàn)狀來(lái)看，這些防火墻廠商都是根據(jù)各自的理解及其應(yīng)用環(huán)境開(kāi)發(fā)獨(dú)立的數(shù)據(jù)接口，因此聯(lián)動(dòng)缺乏統(tǒng)一、標(biāo)準(zhǔn)的接口。

鑒于此，本文從網(wǎng)絡(luò)安全整體性與動(dòng)態(tài)性的需求考慮，構(gòu)建了一種新型的基于ACE(Adaptive Communication Environment)和SSL(Secure Socket Layer)通信平臺(tái)的Firewall和IDS聯(lián)動(dòng)系統(tǒng)模型。該系統(tǒng)模型并非改造現(xiàn)有Firewall和IDS的內(nèi)部結(jié)構(gòu)，而是利用第三方的聯(lián)動(dòng)中間件實(shí)現(xiàn)二者聯(lián)動(dòng)。Firewall和IDS分別選擇了Linux環(huán)境下的Netfilter/Iptables和開(kāi)源的Snort系統(tǒng)作為開(kāi)發(fā)平臺(tái)，旨在最大限度地發(fā)揮Firewall的靜態(tài)安全特性和IDS的動(dòng)態(tài)安全特性，使得網(wǎng)絡(luò)防護(hù)體系達(dá)到由靜態(tài)到動(dòng)態(tài)、由平面到立體的轉(zhuǎn)換，從而提升Firewall的機(jī)動(dòng)性和實(shí)時(shí)反應(yīng)能力，增強(qiáng)IDS的實(shí)時(shí)阻斷功能。

2 Firewall與IDS聯(lián)動(dòng)的互補(bǔ)性

Firewall作為連接內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一種訪問(wèn)控制設(shè)備，通常安裝在內(nèi)網(wǎng)和外網(wǎng)的交界點(diǎn)上，保護(hù)通過(guò)這一點(diǎn)的數(shù)據(jù)包(Packet)，由此在受保護(hù)的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間建立一道防御屏障[8]。Firewall是一種被動(dòng)的訪問(wèn)控制技術(shù)，其依據(jù)預(yù)先定義好的規(guī)則(Rule)對(duì)兩個(gè)或者多個(gè)網(wǎng)絡(luò)之間傳輸?shù)腜acket進(jìn)行檢查，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受攻擊。由于Internet的開(kāi)放性，在網(wǎng)絡(luò)中單純使用Firewall，存在著繞過(guò)它的連接入侵，對(duì)這些入侵行為不能進(jìn)行及時(shí)響應(yīng)；同時(shí)，F(xiàn)irewall無(wú)法防范病毒以及感染了病毒的文件或軟件，也不能防范網(wǎng)絡(luò)內(nèi)部的攻擊。

入侵檢測(cè)系統(tǒng)IDS作為一種主動(dòng)的網(wǎng)絡(luò)安全防護(hù)措施[9]，它從系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動(dòng)尋找、分析可能的入侵攻擊行為，一旦發(fā)現(xiàn)入侵，立即進(jìn)行日志、告警和安全控制等操作。IDS有效擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、入侵識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，從而給網(wǎng)絡(luò)系統(tǒng)提供了對(duì)外部攻擊、內(nèi)部攻擊和誤操作的安全保護(hù)。然而，IDS本身不是網(wǎng)絡(luò)訪問(wèn)控制設(shè)備，它不對(duì)通信流量做任何限制，很容易遭受拒絕服務(wù)(DoS)攻擊。同時(shí)，由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性、網(wǎng)絡(luò)技術(shù)和入侵檢測(cè)技術(shù)的局限性等多種因素，使得IDS很難同時(shí)滿足完整性和并行性的要求，因而IDS仍存在很多缺陷和安全隱患。

雖然Firewall與IDS是兩種不同類型的網(wǎng)絡(luò)安全技術(shù)，但二者在功能上具有很強(qiáng)的互補(bǔ)性[10]。Firewall側(cè)重于控制，而IDS側(cè)重于主動(dòng)地發(fā)現(xiàn)入侵行為，如果將兩種技術(shù)緊密結(jié)合、聯(lián)動(dòng)運(yùn)行，則Firewall能夠通過(guò)IDS及時(shí)發(fā)現(xiàn)其策略之外的入侵行為，IDS能夠通過(guò)Firewall阻斷來(lái)自外網(wǎng)的攻擊行為，這樣能夠較大幅度地提高聯(lián)動(dòng)系統(tǒng)的整體安全防御性能。

IDS與Firewall的互補(bǔ)性體現(xiàn)在以下幾方面：

(1)Firewall依據(jù)其策略轉(zhuǎn)發(fā)該鏈路上所有流經(jīng)的數(shù)據(jù)包(Packet)，為了提高轉(zhuǎn)發(fā)速度，F(xiàn)irewall不需要對(duì)所轉(zhuǎn)發(fā)的Packet進(jìn)行詳細(xì)分析。IDS則不必考慮所轉(zhuǎn)發(fā)的Packet，只需要對(duì)收集到的Packet的協(xié)議、內(nèi)容進(jìn)行詳細(xì)分析，以監(jiān)控其行為是否正常。

(2)Firewall依據(jù)其策略對(duì)流經(jīng)的Packet進(jìn)行過(guò)濾，從而減少進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量，以緩解IDS對(duì)Packet的分析任務(wù)。IDS則不必對(duì)流經(jīng)的Packet進(jìn)行過(guò)濾，只需對(duì)進(jìn)入網(wǎng)絡(luò)內(nèi)部的Packet進(jìn)行監(jiān)控和分析。

(3)Firewall依據(jù)其策略對(duì)流入內(nèi)部網(wǎng)絡(luò)之前的Packet進(jìn)行過(guò)濾，其目的是將入侵攻擊排除在所在網(wǎng)絡(luò)外部。IDS則只對(duì)繞過(guò)Firewall進(jìn)入內(nèi)部網(wǎng)絡(luò)的Packet進(jìn)行監(jiān)控與分析，并對(duì)內(nèi)網(wǎng)中正在發(fā)生的入侵行為或事件進(jìn)行檢測(cè)和告警。

(4)Firewall只對(duì)Packet的地址、端口號(hào)和協(xié)議等進(jìn)行檢查。IDS則是對(duì)Packet的內(nèi)容及其協(xié)議進(jìn)行詳細(xì)分析和監(jiān)控。

3 Firewall與IDS聯(lián)動(dòng)的方式

Firewall和IDS的聯(lián)動(dòng)方式一般有三種[11]：

(1)緊密結(jié)合方式。該方式是將Firewall與IDS兩種產(chǎn)品集成到一起，并在同一個(gè)硬件平臺(tái)上，采用統(tǒng)一的操作系統(tǒng)(OS)環(huán)境有序運(yùn)行。網(wǎng)絡(luò)中所有通過(guò)該硬件平臺(tái)的數(shù)據(jù)不僅要接受Firewall規(guī)則的驗(yàn)證，而且還要經(jīng)過(guò)IDS的檢測(cè)。該方式相比單純的安全產(chǎn)品，在檢測(cè)準(zhǔn)確度上有了很大提高，但是由于Firewall和IDS本身都是十分龐大的系統(tǒng)，因此無(wú)論從實(shí)現(xiàn)難度上，還是集成后的整體性能上，都達(dá)不到預(yù)期效果。

(2)端口鏡像方式。Firewall將網(wǎng)絡(luò)中指定的一部分流量通過(guò)端口鏡像到IDS中，IDS再將其處理的結(jié)果反饋給Firewall，并要求Firewall修改相應(yīng)的安全策略，這種方式通常適用于網(wǎng)絡(luò)通信量不大的應(yīng)用環(huán)境。

(3)開(kāi)放接口方式。該方式是指IDS和Firewall均提供一個(gè)專用接口以供對(duì)方調(diào)用，通信雙方都按照一定的通信協(xié)議進(jìn)行數(shù)據(jù)傳輸。在該方式中，F(xiàn)irewall主要行使其第一層防御功能——訪問(wèn)控制，IDS主要行使其第二層防御功能——入侵檢測(cè)。這種方式一方面能夠確保對(duì)入侵攻擊行為進(jìn)行實(shí)時(shí)檢測(cè)，同時(shí)也能進(jìn)行實(shí)時(shí)阻斷；另一方面二者的聯(lián)動(dòng)也不影響Firewall和IDS的整體性能，對(duì)兩種產(chǎn)品的自身功能發(fā)揮也比較好。然而，該方式是Firewall和IDS兩個(gè)系統(tǒng)間的相互配合，所以需要重點(diǎn)考慮兩種產(chǎn)品聯(lián)動(dòng)通信的安全性。在現(xiàn)有的技術(shù)水平上，這種方式是較為理想的選擇。

4 基于ACE和SSL的Firewall與IDS聯(lián)動(dòng)系統(tǒng)

4.1 聯(lián)動(dòng)系統(tǒng)的模型架構(gòu)

經(jīng)分析比較，將Firewall與IDS通過(guò)開(kāi)放接口方式進(jìn)行聯(lián)動(dòng)，不僅配置比較靈活，而且實(shí)現(xiàn)效果較好。這主要取決于二者的技術(shù)都較為成熟，實(shí)現(xiàn)起來(lái)難度也不大，并且開(kāi)發(fā)周期也能夠大大縮減，在實(shí)現(xiàn)聯(lián)動(dòng)以后，二者的完整性和穩(wěn)定性也能夠很好地發(fā)揮。鑒于此，本文采用開(kāi)放接口方式，在借鑒以往Firewall和IDS的聯(lián)動(dòng)保護(hù)機(jī)制的基礎(chǔ)上，從網(wǎng)絡(luò)安全的整體性與動(dòng)態(tài)性的需求考慮，架構(gòu)了一種基于ACE網(wǎng)絡(luò)通信組件和SSL協(xié)議的Firewall與IDS協(xié)同聯(lián)動(dòng)系統(tǒng)模型，如圖1所示。

Figure 1 Linkage system model of firewall and intrusion detection system based on ACE and SSL圖1 基于ACE和SSL的Firewall與IDS聯(lián)動(dòng)系統(tǒng)模型

該系統(tǒng)模型主要由四部分組成：

(1)基于ACE和SSL的聯(lián)動(dòng)通信平臺(tái)。為了增強(qiáng)聯(lián)動(dòng)系統(tǒng)通信的安全性，本文將Firewall與IDS的通信建立在自適配通信環(huán)境ACE和安全套接字層SSL平臺(tái)之上。

ACE是開(kāi)源的面向?qū)ο?Object)的網(wǎng)絡(luò)通信中間件，提供了一組豐富的可復(fù)用C++ Wrapper Facade(包裝外觀)和框架(Framework)組件，可跨越多種平臺(tái)完成通用的通信軟件任務(wù)[12]。由于ACE具有增強(qiáng)的可移植性、更好的軟件質(zhì)量、更高的效率和可預(yù)測(cè)性等優(yōu)點(diǎn)，使得基于它開(kāi)發(fā)的通信平臺(tái)和聯(lián)動(dòng)系統(tǒng)等網(wǎng)絡(luò)模塊能夠方便地移植到其它OS(操作系統(tǒng))平臺(tái)上，并保持良好的效率。

SSL是一種基于連接的、保證私密性的安全協(xié)議。該協(xié)議為網(wǎng)絡(luò)應(yīng)用層的通信提供了認(rèn)證、數(shù)據(jù)完整性和機(jī)密性的服務(wù)，能夠較好地解決Internet上數(shù)據(jù)傳輸?shù)陌踩珕?wèn)題。SSL是通過(guò)Open SSL提供的開(kāi)發(fā)庫(kù)實(shí)現(xiàn)的[13]。SSL使通信雙方采用協(xié)商加密和證書交換的方式進(jìn)行連接，從而確保應(yīng)用進(jìn)程之間的通信不會(huì)被截取和竊聽(tīng)。SSL包含了兩層協(xié)議：

①SSL記錄協(xié)議(SSL Record Protocol)。在TCP協(xié)議的基礎(chǔ)上，能夠?yàn)楦邔訁f(xié)議提供數(shù)據(jù)封裝、加密和壓縮等基本功能的支持。

②SSL握手協(xié)議(SSL Handshake Protocol)。又稱為密匙協(xié)商，是在Firewall與IDS正式通信前進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。

因此，基于ACE和SSL構(gòu)建的聯(lián)動(dòng)通信平臺(tái)不僅保證了數(shù)據(jù)通信的安全性，而且還具有運(yùn)行效率高和可移植性強(qiáng)等優(yōu)點(diǎn)。

(2)聯(lián)動(dòng)控制中心。該模塊是整個(gè)聯(lián)動(dòng)系統(tǒng)的核心，主要完成管理和控制系統(tǒng)中Firewall與IDS的聯(lián)動(dòng)以及對(duì)安全事件做出決策響應(yīng)的任務(wù)，即對(duì)IDS上報(bào)的安全事件進(jìn)行分析處理，根據(jù)事件的網(wǎng)絡(luò)連接信息、攻擊類型以及可信度等信息制定出相應(yīng)的響應(yīng)策略，并將響應(yīng)策略發(fā)送給防火墻聯(lián)動(dòng)系統(tǒng)。從功能上看，聯(lián)動(dòng)控制中心模塊由決策管理組件、決策分析組件、決策響應(yīng)組件、策略日志和策略規(guī)則數(shù)據(jù)庫(kù)等組成。

決策分析組件依據(jù)策略日志數(shù)據(jù)庫(kù)的IDS可信性數(shù)據(jù)(包括IDS的誤報(bào)/漏報(bào)率等信息)對(duì)IDS接口組件發(fā)來(lái)的入侵報(bào)告進(jìn)行分析、過(guò)濾，根據(jù)這些信息生成IDS的可信性矩陣，并判斷是否需要聯(lián)動(dòng)。若需要，則提交給決策響應(yīng)組件。

決策響應(yīng)組件從策略規(guī)則數(shù)據(jù)庫(kù)中選取具體的響應(yīng)策略，并將其傳遞給Firewall接口組件，由防火墻聯(lián)動(dòng)系統(tǒng)進(jìn)行實(shí)時(shí)阻斷。

決策管理組件除管理和控制決策分析和響應(yīng)組件外，還可以從聯(lián)動(dòng)系統(tǒng)中收集反饋信息，實(shí)時(shí)地更新策略日志數(shù)據(jù)庫(kù)；同時(shí)，通過(guò)評(píng)估響應(yīng)策略，動(dòng)態(tài)地修改策略規(guī)則數(shù)據(jù)庫(kù)，以增強(qiáng)聯(lián)動(dòng)系統(tǒng)的自學(xué)習(xí)和自適應(yīng)能力，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的突發(fā)攻擊進(jìn)行主動(dòng)防御。

(3)IDS聯(lián)動(dòng)系統(tǒng)。IDS系統(tǒng)采用開(kāi)源的Snort軟件[14]，通過(guò)監(jiān)聽(tīng)工具(Sniffer/Logger)對(duì)各種協(xié)議棧上的數(shù)據(jù)包進(jìn)行解析、預(yù)處理，以便提交給聯(lián)動(dòng)控制中心進(jìn)行規(guī)則匹配。當(dāng)IDS檢查到網(wǎng)絡(luò)中有攻擊行為時(shí)，則立即向聯(lián)動(dòng)控制中心發(fā)起聯(lián)動(dòng)請(qǐng)求，并通過(guò)IDS接口組件將該事件上報(bào)聯(lián)動(dòng)控制中心。

IDS接口組件主要用于統(tǒng)一IDS告警格式。通常把數(shù)據(jù)包源/目的IP地址和端口信息放在規(guī)則頭鏈表中，而把一些獨(dú)特的檢測(cè)標(biāo)志放在規(guī)則選項(xiàng)鏈表中。同時(shí)，它還負(fù)責(zé)將不同的報(bào)警格式轉(zhuǎn)化為聯(lián)動(dòng)系統(tǒng)能夠理解的統(tǒng)一格式，以確保系統(tǒng)具有良好的可擴(kuò)展性。本系統(tǒng)采用XML(eXtensible Markup Language)語(yǔ)言描述安全事件。XML是一種數(shù)據(jù)交換格式，其允許在不同的應(yīng)用程序或者系統(tǒng)間實(shí)現(xiàn)數(shù)據(jù)交換。

(4)防火墻聯(lián)動(dòng)系統(tǒng)。防火墻聯(lián)動(dòng)系統(tǒng)采用Linux環(huán)境下的Netfilter/Iptables框架，通過(guò)對(duì)其進(jìn)行適當(dāng)修改來(lái)滿足聯(lián)動(dòng)系統(tǒng)的要求。Netfilter提供可擴(kuò)展的結(jié)構(gòu)化底層框架，Iptables負(fù)責(zé)對(duì)輸入、輸出的數(shù)據(jù)包進(jìn)行過(guò)濾和管理。Netfilter和Iptables共同實(shí)現(xiàn)了Linux環(huán)境下的防火墻聯(lián)動(dòng)系統(tǒng)[15]。

防火墻接口組件主要負(fù)責(zé)接收聯(lián)動(dòng)控制中心的決策響應(yīng)組件發(fā)來(lái)的響應(yīng)告警信息，并對(duì)Firewall的訪問(wèn)控制規(guī)則進(jìn)行動(dòng)態(tài)修改，以切斷攻擊的網(wǎng)絡(luò)連接，達(dá)到阻斷網(wǎng)絡(luò)攻擊的目的。防火墻技術(shù)的基礎(chǔ)是包過(guò)濾技術(shù)，其依據(jù)的是策略規(guī)則庫(kù)中的規(guī)則[16]。

4.2 聯(lián)動(dòng)系統(tǒng)的工作流程

在聯(lián)動(dòng)系統(tǒng)中，IDS對(duì)流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行解析，并判斷其是否為入侵事件。若為入侵事件則直接告知聯(lián)動(dòng)控制中心，啟用防火墻聯(lián)動(dòng)系統(tǒng)進(jìn)行攔截處理，并記錄相應(yīng)的日志文件；若為可疑或異常事件，則IDS對(duì)其進(jìn)行預(yù)處理(包括數(shù)據(jù)的格式化和提取)，并通過(guò)XML封裝格式經(jīng)IDS接口組件發(fā)送給聯(lián)動(dòng)控制中心的決策分析組件；決策分析組件依據(jù)策略日志數(shù)據(jù)庫(kù)的IDS可信性數(shù)據(jù)對(duì)入侵事件進(jìn)行深度聚合分析，然后根據(jù)這些信息生成IDS的可信性矩陣，并判斷其是否為新入侵；若是，則制定新的響應(yīng)策略，并通過(guò)決策響應(yīng)組件告知防火墻聯(lián)動(dòng)系統(tǒng)執(zhí)行相應(yīng)的安全響應(yīng)[17]。其工作流程如圖2所示。

Figure 2 Flowchart of the linkage system圖2 聯(lián)動(dòng)系統(tǒng)的工作流程圖

在聯(lián)動(dòng)系統(tǒng)中，F(xiàn)irewall和IDS的通信按照預(yù)先設(shè)定好的通信端口，并相互確認(rèn)對(duì)方的合法性。Firewall以服務(wù)器(Server)模式運(yùn)行，IDS以客戶端(Client)模式運(yùn)行。聯(lián)動(dòng)系統(tǒng)協(xié)同工作的算法描述如下：

(1)在Firewall中運(yùn)行Server程序，等待IDS的Client程序的連接。

(2)IDS檢測(cè)到需要阻斷的入侵行為后，運(yùn)行Client程序。

(3)Client通過(guò)ACE和SSL通信平臺(tái)向聯(lián)動(dòng)控制中心發(fā)送一個(gè)連接Server的會(huì)話請(qǐng)求，并進(jìn)行首次身份驗(yàn)證；然后Client和Server相互傳送SSL協(xié)議的版本號(hào)、加密算法種類、產(chǎn)生的隨機(jī)數(shù)等安全通信所需要的信息，同時(shí)Server還將向Client傳送自己的證書。

(4)Client驗(yàn)證Server的合法性，如果是合法通信轉(zhuǎn)入(5)處理；否則斷開(kāi)Client，隨機(jī)產(chǎn)生一個(gè)用于后繼通信的對(duì)稱密鑰。然后，用Server的公鑰對(duì)其加密，并發(fā)送給Server端，Server收到后使用自己的私鑰恢復(fù)該對(duì)稱密鑰，以確認(rèn)其合法性。

(5)通信連接正確建立后，Client向Server發(fā)送信息，指明后面的數(shù)據(jù)通信將采用對(duì)稱密鑰的方式來(lái)加密通信數(shù)據(jù)。

(6)Client程序?qū)⑷肭中袨榈闹饕畔凑占s定的格式進(jìn)行描述，上報(bào)聯(lián)動(dòng)控制中心，并使用SSL技術(shù)進(jìn)行通信，將信息加密后封裝到套接字結(jié)構(gòu)中并發(fā)送到Server端。

(7)Server端接收到信息后，將該信息解密后提取出來(lái)，形成Firewall規(guī)則，開(kāi)始實(shí)施聯(lián)動(dòng)，并向Client發(fā)送接收成功指令，Client關(guān)閉連接。

(8)Firewall對(duì)指定的數(shù)據(jù)包進(jìn)行攔截。

在該聯(lián)動(dòng)系統(tǒng)中，通信服務(wù)過(guò)程的定義如下：

Init_OpenSSL( )；//初始化網(wǎng)絡(luò)通信環(huán)境

Create_Server(char *ip, char *port)；/*創(chuàng)建通信服務(wù)(其中ip為Firewall的IP地址，port為通信端口)*/

Set_RevCallback(void *ApRecvFunc)；/*設(shè)定接收回調(diào)函數(shù)，并處理接收到的數(shù)據(jù)*/

Set_AcceptCallback(void *ApAcceptFunc)；/*設(shè)定接收到的確認(rèn)回調(diào)函數(shù)*/

Run_Server( )；//運(yùn)行相應(yīng)服務(wù)

Send_IDS(char *ApBuf, intAnBuflen)；/*向IDS發(fā)送反饋信息*/

Stop_Server( )；//停止網(wǎng)絡(luò)服務(wù)

5 聯(lián)動(dòng)系統(tǒng)的測(cè)試與分析

本聯(lián)動(dòng)系統(tǒng)采用Linux環(huán)境下Netfilter/Iptables框架所提供的擴(kuò)展功能，融合Snort入侵檢測(cè)軟件，建立了一個(gè)基于ACE網(wǎng)絡(luò)通信組件和SSL協(xié)議的Firewall與IDS協(xié)同工作的聯(lián)動(dòng)系統(tǒng)。該聯(lián)動(dòng)系統(tǒng)不僅發(fā)揮了Firewall和Snort系統(tǒng)應(yīng)有的功能[18]，而且保證所有數(shù)據(jù)的通信均通過(guò)ACE和SSL的聯(lián)動(dòng)通信平臺(tái)，從而確保了傳輸信息的可靠性、完整性和機(jī)密性。

為了驗(yàn)證基于ACE和SSL的Firewall與IDS聯(lián)動(dòng)系統(tǒng)的有效性，筆者架構(gòu)了聯(lián)動(dòng)實(shí)驗(yàn)平臺(tái)。硬件配置：服務(wù)器采用聯(lián)想萬(wàn)全I(xiàn)ntel Xeon E3110/2 GB內(nèi)存/160 GB硬盤/千兆和百兆網(wǎng)卡各1塊；客戶端采用聯(lián)想揚(yáng)天M6000V PDC E2160/1 GB內(nèi)存/320 GB硬盤/百兆網(wǎng)卡1塊。軟件配置：服務(wù)器端的操作系統(tǒng)采用Red Hat 9.0，IDS采用Snort 2.9，F(xiàn)irewall采用Linux內(nèi)置防火墻；客戶端的操作系統(tǒng)沒(méi)有限制。本文選取了Internet 上常見(jiàn)的端口掃描和分布式拒絕服務(wù)攻擊(DoS)，對(duì)聯(lián)動(dòng)系統(tǒng)的性能進(jìn)行了測(cè)試和分析。從實(shí)驗(yàn)結(jié)果可以看到，該聯(lián)動(dòng)系統(tǒng)能夠較好地檢測(cè)到相應(yīng)的攻擊，并能成功地阻斷攻擊行為。

(1)測(cè)試1：端口掃描。

端口掃描(Port Scanning)是指對(duì)主機(jī)或網(wǎng)絡(luò)發(fā)送一組端口掃描消息，試圖以此侵入某臺(tái)計(jì)算機(jī)，并了解其提供的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)類型(這些網(wǎng)絡(luò)服務(wù)均與端口號(hào)相關(guān))，其目的是用于探測(cè)目標(biāo)主機(jī)或網(wǎng)絡(luò)中是否存在有漏洞的服務(wù)。端口掃描就象一把雙刃劍，它既是一種網(wǎng)絡(luò)安全的評(píng)估工具，可供網(wǎng)絡(luò)管理員檢測(cè)、分析和維護(hù)系統(tǒng)；又是一種典型的黑客攻擊工具，網(wǎng)絡(luò)入侵者必不可少的搜集目標(biāo)主機(jī)或網(wǎng)絡(luò)信息的工具。本實(shí)驗(yàn)選取了由客戶(Client)端向服務(wù)器(Server)端發(fā)起的不同類型TCP和UDP端口掃描攻擊，在聯(lián)動(dòng)系統(tǒng)啟動(dòng)前和啟動(dòng)后的測(cè)試結(jié)果分別如表1和表2所示。

Table 1 Test results before the start of the linkage system表1 聯(lián)動(dòng)系統(tǒng)啟動(dòng)前的測(cè)試結(jié)果

Table 2 Test results after the start of the linkage system表2 聯(lián)動(dòng)系統(tǒng)啟動(dòng)后的測(cè)試結(jié)果

由表1可知，Snort系統(tǒng)能夠檢測(cè)到大多數(shù)的端口掃描行為，并且發(fā)出告警信息，但是卻無(wú)法阻斷這些攻擊；同時(shí)，F(xiàn)irewall并未按照Snort的檢測(cè)結(jié)果進(jìn)行阻斷，只是對(duì)其已經(jīng)規(guī)則的攻擊進(jìn)行了阻斷。

由表2可知，Snort系統(tǒng)能夠檢測(cè)到絕大多數(shù)端口掃描行為，產(chǎn)生報(bào)警信息，并通過(guò)聯(lián)動(dòng)控制中心實(shí)時(shí)讀取報(bào)警信息，并經(jīng)過(guò)分析處理后調(diào)用防火墻聯(lián)動(dòng)系統(tǒng)，對(duì)絕大多數(shù)攻擊進(jìn)行了實(shí)時(shí)阻斷。

(2)測(cè)試2：分布式拒絕服務(wù)。

分布式拒絕服務(wù)DDoS(Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多臺(tái)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高DoS攻擊的威力。DoS攻擊是一種簡(jiǎn)單而有效的攻擊方式，其目的是利用正常的服務(wù)請(qǐng)求占用過(guò)多的服務(wù)器資源，導(dǎo)致其資源過(guò)載或者資源耗盡，致使某些服務(wù)被暫停甚至服務(wù)器死機(jī)，從而造成其他用戶無(wú)法使用該資源。該實(shí)驗(yàn)由Client端向Server端發(fā)起大量的DoS攻擊，在聯(lián)動(dòng)系統(tǒng)啟動(dòng)前，雖然Snort 系統(tǒng)檢測(cè)到了攻擊行為，但是Firewall的處理能力卻很弱。Server的系統(tǒng)資源大多應(yīng)付攻擊，其系統(tǒng)資源占用率始終處于較高運(yùn)行狀態(tài)，系統(tǒng)的響應(yīng)也不及時(shí)。聯(lián)動(dòng)系統(tǒng)啟動(dòng)后，聯(lián)動(dòng)控制中心實(shí)時(shí)讀取告警信息，并經(jīng)過(guò)分析處理后調(diào)用防火墻聯(lián)動(dòng)系統(tǒng)，對(duì)這些攻擊進(jìn)行了阻斷，Server的系統(tǒng)資源占用率基本保持了與被攻擊前的相同狀態(tài)。聯(lián)動(dòng)系統(tǒng)啟動(dòng)前和啟動(dòng)后Server端的系統(tǒng)資源占用率如圖3所示。

Figure 3 Utilization rate of system resources圖3 系統(tǒng)資源占用率

從測(cè)試1和測(cè)試2的結(jié)果可以看出，聯(lián)動(dòng)系統(tǒng)部署后，不僅能夠檢測(cè)出絕大多數(shù)的攻擊行為，而且在檢測(cè)到攻擊行為的同時(shí)能夠進(jìn)行有效的阻斷，且成功率也比較高；同時(shí)，系統(tǒng)資源的利用率也得到了極大提高。因此，基于ACE和SSL平臺(tái)的Firewall與IDS聯(lián)動(dòng)系統(tǒng)在實(shí)時(shí)檢測(cè)和攻擊防御兩方面均達(dá)到了很好的效果，從而為網(wǎng)絡(luò)信息的安全通信奠定了基礎(chǔ)。

6 結(jié)束語(yǔ)

本文采用Firewall和IDS的開(kāi)放接口的聯(lián)動(dòng)方式，設(shè)計(jì)了基于ACE和SSL的動(dòng)態(tài)網(wǎng)絡(luò)安全主動(dòng)防御系統(tǒng)模型。在該模型系統(tǒng)中，通過(guò)復(fù)用ACE中OpenSSL相關(guān)類，將整個(gè)通信過(guò)程建立在SSL上，從而確保了通信的完整性和機(jī)密性；同時(shí)，該方法處理過(guò)程透明化，易于修改，且具有較高的靈活性，針對(duì)不同類型的Firewall和IDS僅需修改第三方聯(lián)動(dòng)中間件即可。更為重要的是，由于聯(lián)動(dòng)控制模塊具有自學(xué)習(xí)和決策分析能力，使得聯(lián)動(dòng)系統(tǒng)具有了自適應(yīng)性，進(jìn)一步強(qiáng)化了Firewall和IDS聯(lián)動(dòng)性，從而增強(qiáng)了網(wǎng)絡(luò)的整體檢測(cè)和防御能力。然而，由于實(shí)驗(yàn)環(huán)境和條件所限，測(cè)試只是局部的，今后還需對(duì)聯(lián)動(dòng)系統(tǒng)的安全機(jī)制與協(xié)議、存儲(chǔ)大量日志和規(guī)則的數(shù)據(jù)庫(kù)的進(jìn)一步優(yōu)化等進(jìn)行深入研究。

[1] Balthrop J, Forrest S, Newman M E J, et al. Technological networks and the spread of computer viruses[J]. Science, 2004, 304(5670):527-529.

[2] Werlinger R,Muldner K,Hawkey K,et al.Preparation, detection, and analysis:The diagnostic work of IT security incident response [J]. Information Management & Computer Security, 2010, 18(1):26-42.

[3] Papadogiannakis A, Vasiliadis G, Antoniades D, et al. Improving the performance of passive network monitoring applications with memory locality enhancements[J]. Computer Communications, 2012, 35(1):129-140.

[4] Aguirre I, Alonso S. Improving the automation of security information management:A collaborative approach[J]. Security & Privacy, 2012, 10(1):55-59.

[5] Aydin M A, Zaim A H K, Ceylan G A. Hybrid intrusion detection system design for computer network security [J]. Computers and Electrical Engineering, 2009, 35(3):517-526.

[6] Manning W.Check point certified security administrator(Ccsa) certification exam preparation course in a book for passing the check point certified security administrator (Ccsa) exam:The how to pass on your first try certification study guide[M]. London:Emereo Pty Ltd, 2010.

[7] Zhang Ying, Deng Fa-chao, Chen Zhen. UTM-CM:A practical control mechanism solution for UTM system[C]∥Proc of International Conference on Communications and Mobile Computing, 2010:86-90.

[8] Myungkeun Y, Chen Shi-gang, Zhang Zhan. Minimizing the maximum firewall rule set in a network with multiple firewalls[J]. IEEE Transactions on Computers, 2010, 59(2):218-230.

[9] Shahrestani S A.Employing artificial immunology and approximate reasoning models for enhanced network intrusion detection[J]. WSEAS Transactions on Information Science and Applications, 2009, 6(2):190-200.

[10] Wang Bao-yi, Yang Hai-peng, Zhang Shao-min. Research on application of interaction Firewall with IDS in distribution automation system[C]∥Proc of 2011 International Conference on Electronic Engineering, Communication and Management, 2012:527-532.

[11] Tan Wei. The research of firewall and IDS interaction architecture [D]. Wuhan:Wuhan University of Technology, 2010. (in Chinese)

[12] Vukobratovic D, Senk V. Transactions papers evaluation and design of irregular LDPC codes using ACE spectrum [J]. IEEE Transactions on Communications, 2009, 57(8):2272-2279.

[13] Khalil-Hani M, Nambiar V P, Marsono M N. Hardware acceleration of OpenSSL cryptographic functions for high-performance internet security [C]∥Proc of International Conference on Intelligent Systems, Modelling and Simulation, 2010:374-379.

[14] Kurundkar G D,Naik N A, Khamitkar S D. Network intrusion detection using Snort[J]. International Journal of Engineering Research and Applications, 2012, 2(2):1288-1296.

[15] Rovniagin D, Wool A. The geometric efficient matching algorithm for firewalls [J]. IEEE Transactions on Dependable and Secure Computing, 2011, 8(1):147-159.

[16] Chao C S, Yang S J H. A novel three-tiered visualization approach for firewall rule validation[J]. Journal of Visual Languages & Computing, 2011, 22(6):401-414.

[17] Shiravi A, Shiravi H, Tavallaee M, et al. Toward developing a systematic approach to generate benchmark datasets for intrusion detection [J]. Computers and Security, 2012, 31(3):357-374.

[18] Salah K, Kahtani A. Performance evaluation comparison of Snort NIDS under Linux and Windows server [J]. Journal of Network and Computer Applications, 2010, 33(1):6-15.

附中文參考文獻(xiàn)：

[11] 譚偉. 防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)架構(gòu)的研究[D]. 武漢：武漢理工大學(xué), 2010.

MAZhan-fei,born in 1973,PhD,professor,CCF member(E200007270S)，his research interests include computer network,information security, and artificial intelligence.

ResearchofthelinkagesystemoffirewallandintrusiondetectionsystembasedonACEandSSL

MA Zhan-fei1,YIN Chuan-zhuo2

(1.Baotou Teachers College,Inner Mongolia University of Science and Technology,Baotou 014030；2.School of Information Engineering,Inner Mongolia University of Science and Technology,Baotou 014010,China)

With the rapid development of Internet, some intelligent attack methods and techniques are increasing. The network is easily attacked by hackers or malicious software. The safty problem is increasingly outstanding in computer network. The traditional technologies of firewalls and Intrusion Detection Systems (IDSs) own poor security, high false alarm rate, and low level of intelligence. Considering the demands of obtaining integrity and dynamics in network security, a novel linkage system model of firewall and IDS based on open communication platform of ACE (Adaptive Communication Environment) and SSL (Secure Socket Layer) is proposed. This system model combines the advantages of firewall and IDS, and uses the encrypted information transmission mechanism, and the policy management mechanism, and the associated linkage analysis algorithms to ensure the reliability, integrity and confidentiality of the transmitted information. Experimental results show that the linkage system can effectively prevent network from attacks, and possesses better cooperativeness, universalness and expansibility.

network security；intrusion detection system；firewall； linkage；middleware

1007-130X(2014)08-1486-07

2013-01-17;

：2013-04-16

國(guó)家自然科學(xué)基金資助項(xiàng)目(61163025)；內(nèi)蒙古自治區(qū)自然科學(xué)基金資助項(xiàng)目(2010BS0904)；內(nèi)蒙古自治區(qū)高等學(xué)?？茖W(xué)研究基金資助項(xiàng)目(重點(diǎn)項(xiàng)目)(NJ10162)；內(nèi)蒙古自治區(qū)高等學(xué)?？茖W(xué)研究基金資助項(xiàng)目(NJZY07116)

TP393

：A

10.3969/j.issn.1007-130X.2014.08.011

馬占飛(1973-),男，內(nèi)蒙古包頭人，博士，教授，CCF會(huì)員(E200007270S)，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)、信息安全和人工智能。E-mail:mazhanfei@163.com

通信地址：014030 內(nèi)蒙古包頭市青山區(qū)科學(xué)路3號(hào)內(nèi)蒙古科技大學(xué)包頭師范學(xué)院信息科學(xué)與技術(shù)學(xué)院

Address:School of Information Science and Technology,Baotou Teachers College,Inner Mongolia University of Science and Technology,3 Kexue Rd,Qingshan District,Baotou 014030,Inner Mongolia,P.R.China