张艳丽

中图分类号:TP393.08文献标识码:A文章编号:1673-0992(2009)12-066-02

摘要:大规模的应用程序很少采用单机模式,大多采用分层的体系结构。本文所设计的网络入侵防御系统的结构采用分层的体系结构。入侵防御模块为了部署在网络的关键位置上,需要有路由功能,能够将具备正确路由信息的数据包由一个网卡转发到另一个网卡,实现内外网之间的正常数据通信。本文主要介绍了网络入侵防御系统体系,以及对他的框架结构进行了分析

关键词:网络安全;入侵检测;入侵防御;系统框架设计

一、网络入侵防御系统体系结构

大规模的应用程序很少采用单机模式,大多采用分层的体系结构。本文所设计的网络入侵防御系统的结构采用分层的体系结构。网络入侵防御系统的体系结构共分三层:

第一层,入侵防御层:对经过的流量监控,检测入侵并进行入侵防御。

第二层,服务器层:收集日志数据并转化为可读形式。

第三层,控制层:是分析控制台,数据显示在这一层。

网络入侵防御系统由四个部分组成,分别是入侵防御模块、日志记录模块、中央控制模块和模块间的通信。这四个部分彼此协作,共同实现入侵防御的功能。

入侵防御模块工作在入侵防御层,负责数据包接收、检测和入侵响应。入侵防御模块部署在网络的关键位置上,如连接外网与内网的链路上,或者一个子网与另一个子网的链路上。这样,所有经过数据均可被截取到。入侵防御模块由Snort_inline和IPtables配置的Netfilter防火墙联动组成的IPS构成,包括数据包接收、数据包分析和检测、响应三个部分。

日志记录模块工作在服务器层,负责日志的收集,格式化。收集的日志包括Snort_inline的入侵检测日志和IPtables配置的防火墙日志。

中央控制模块是整个系统的核心,工作在控制层。它负责协调系统各个模块,进行所有的集中化操作。例如:对结点上的入侵防御系统的配置,日志服务器的管理,数据分析,负载均衡等。

模块间的通信负责系统各个组件之间安全、可靠的通信,包括中心和结点间的通信,结点和结点间的通信。

二、通用入侵检测框架

入侵防御模块中,基于Snort_inline和IPtables配置的Netfilter防火墙的IPS采用通用入侵检测框架(CIDF)结构。

CIDF提出了一个入侵检测系统的通用模型,它将入侵检测系统分为以下几个单元:事件产生器(Event Generators)、事件分析器(Event Analyzers)、响应单元(Response Units)和事件数据库(EventDatabases)。CIDF模型将需要分析的数据统称为事件(Event)。事件产生器即检测器,它从整个计算环境中获得事件,并向系统的其它部分提供此事件;事件分析器分析得到的数据,并产生分析结果;响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接等反应,也可以只简单的报警;事件数据库是存放各种中间和最终数据的地方的总称,它可以是复杂的数据库,也可以是简单的文本文件。

Snort_inline和IPtables配置的Netfilter防火墙联动构成的IPS,其组件组成如下:

* 事件产生器:Netfilter钩子程序、IPtables、ip_queue内核模块和netlink接口。收集数据包,把数据包从内核空间送到用户空间。

* 事件分析器:libipq库、Snort_inline和规则集。用规则集对数据进行入侵检测。

* 响应单元:Netfilter钩子程序、libipq、libnet、IPtables。对数据包的处理。

* 事件数据库:MySQL数据库。收集和存放数据。

三、入侵防御模块设计

入侵防御模块为了部署在网络的关键位置上,需要有路由功能,能够将具备正确路由信息的数据包由一个网卡转发到另一个网卡,实现内外网之间的正常数据通信。路由部分功能的实现,利用了Linux系统自带的路由模块,在使用时打开了对用的配置文件,具体方法如下:

echo 1>/proc/sys/net/ipv4/ip_forward

当数据包进入入侵防御模块时,IP转发功能己经打开,内核会根据数据包的地址信息和自身的路由表将其转发。

入侵防御模块是网络入侵防御系统实现的关键,由数据包接收、数据包检测、入侵响应三个部分组成。每个入侵防御模块由Snort_inline和IPtables配置的Netfilter防火墙联动组成的IPS构成。

1.数据包接收

数据包接收过程是事件产生器,由Netfilter钩子程序、IPtables、ip_queue内核模块和netlink接口组成。负责收集数据包,把数据包从内核空间送到用户空间。

在数据包接收的过程中,入侵防御模块应该以IPtables配置的Netfilter防火墙过滤后的数据包为数据源,对符合安全策略的流量进行入侵检测,减少了入侵检测的数据包数量。IPtables配置的Netfilter防火墙:结合链路层、网络层的防火墙技术实现的包过滤防火墙可以根据安全策略先对数据包进行过滤,然后把需要检测的数据包送进Snort_inline入侵检测系统进行检测。这样可以降低系统资源的消耗,减轻系统的负担。

2.数据包检测

数据包检测是事件分析器,由libipq库、Snort_inline和规则集组成。负责入侵检测,用规则集对数据进行入侵检测

入侵防御模块接收到符合安全策略的数据包分层解析数据包的网络层、传输层和应用层,并进行数据格式化,然后将数据包与入侵检测规则库相匹配。使用协议分析、状态协议分析和模式匹配相结合的技术进行数据包入侵检测。

协议分析技术解析网络层、传输层和应用层的数据,利用协议构建的规则性排除异常协议结构的攻击;状态协议分析将应用层数据传送的过程看作连续的过程,跟踪连接状态信息,以便快速而准确的定位攻击特征;不能准确定位的字符串则使用模式匹配技术来实现入侵检测,入侵检测系统snort_inline在入侵检测过程中使用快速多模式匹配算法。

3.入侵响应

入侵响应是响应单元,由Netfilter钩子程序、libipq、libnet、IPtables组成。负责对对数据包的处理。

入侵防御模块位于数据包传送链路的关键位置中,可以直接阻断数据包的传送,但阻断有可能拦截正常流量。对规则库进行优化,将规则按危险等级划分为高、中、低,阻断、报警和记录这三种响应手段是分别针对不同的报警级别进行处理的。对恶意的攻击事件采取阻断的响应手段,同时记录该事件;对怀疑但不能确认的安全事件则采取报警的响应手段;对于正常的网络流量仅仅记录一些关键信息。

四、中央控制模块设计

中央控制模块是整个系统的核心,它负责协调系统各个模块和进行所有的集中化操作,例如集中地检测和统计攻击行为,实时做出安全策略调整等。中央控制模块位于系统的中心位置,和入侵防御模块和日志记录模块分别连接。中央控制模块的功能包括策略定制、日志审阅、系统管理,并应该以可视图形化形式提交管理员进行查询和管理。

对于策略制定功能,中央控制模块应该根据日志记录模块收集到的入侵防御模块的入侵检测和防御日志来制定相应的安全策略。

对于日志审阅功能,中央控制模块可以实时地分析日志服务器记录的入侵检测系统Snort_inline和IPtables配置的防火墙日志,并提供需要的统计信息。

对于系统管理功能,中央控制模块控制依靠管理控制程序管理入侵防御模块的各个结点,管理各个结点的规则集,能够动态地调整入侵检测规则,动态插入、删除和更改防火墙规则,管理日志服务器,控制着日志记录模块的日志收集,进行流量统计,负载均衡。

中央控制模块是网络入侵防御系统实现的一个核心,其功能的完善和具体实现是网络入侵防御系统设计将来的工作。

五、结语

在网络技术十分发达的今天,任何一台计算机都不可能孤立于网络之外,因此对于网络中的信息的安全防范就显得十分重要。本论文构建了网络入侵防御体系,给出了系统实现的框架结构,并从入侵防御模块和中央控制模块两个层次完成了网络信息安全体系框架的构建。通过不断发展的网络硬件安全技术和软件加密技术,再加上政府对信息安全的重视,相信计算机网络的信息安全是可以实现的。

参考文献:

[1] 胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004

[2] 叶代亮.内网的安全管理[J].计算机安全,2005

[3] Alessandro G. Di Nuovo, Vincenzo Catania, Santo Di Nuovo, et, al. Psychology with soft computing: An integrated approach and its applications[J].Applied Soft Computing, 2008

[4] 梁军. 计算机网络与信息安全[M]. 广西: 广西师范大学出版社, 2005

[5] 贾真, 陈建, 李文泽. Linux防火墙的研究与实现[J]. 计算机与现代化, 2005