防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)研究

摘要：隨著因特網(wǎng)的迅猛發(fā)展、網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)攻擊方法的復(fù)雜，安全需求與日俱增。分析介紹了入侵檢測(cè)系統(tǒng)和防火墻的基礎(chǔ)上，設(shè)計(jì)一種入侵檢測(cè)系統(tǒng)和防火墻聯(lián)動(dòng)的模式，從網(wǎng)絡(luò)安全整體性和動(dòng)態(tài)性的需求考慮，實(shí)現(xiàn)了對(duì)突發(fā)網(wǎng)絡(luò)攻擊的主動(dòng)防御。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊；防火墻；入侵檢測(cè)；入侵檢查系統(tǒng)；聯(lián)動(dòng)；

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)30-0571-02

Firewall and Invasion Examination System Linkage Research

ZHAO Hao-jie， ZHANG Shan-liang

(Anyang Engineering Institute Computer Science and the Information Engineering Department， Anyang 455000， China)

Abstract: Along with Internet's swift and violent development， the network scale expansion and network method of attack complex， the security requirements grow day by day.The analysis introduced the invasion examination system and in the firewall foundation， designs one kind of invasion examination system and the firewall linkage pattern， and the dynamic demand considered from the network security integrity， realized to has arisen suddenly the network attack the active defense.

Key words: network attack; firewall; invasion examination; invasion inspection system; linkage

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)系統(tǒng)的安全成了人們關(guān)注的主要問(wèn)題。如何確保網(wǎng)絡(luò)系統(tǒng)免遭破壞，保證信息的安全，成為人們無(wú)法回避的課題。為此防火墻等多種網(wǎng)絡(luò)安全技術(shù)被廣泛應(yīng)用到各個(gè)網(wǎng)絡(luò)系統(tǒng)中，在抵御網(wǎng)絡(luò)攻

擊，保護(hù)網(wǎng)絡(luò)安全中發(fā)揮了重要作用。

1 防火墻

防火墻是一種被動(dòng)的訪問(wèn)控制技術(shù)，一般被安置于Internet與被保護(hù)子網(wǎng)之間。防火墻可分為包過(guò)濾型防火墻和應(yīng)用代理型防火墻以及屏蔽主機(jī)型防火墻三種，它需要事先設(shè)計(jì)好規(guī)則才能對(duì)傳輸?shù)臄?shù)據(jù)包進(jìn)行檢查從而保護(hù)子網(wǎng)不受攻擊。在網(wǎng)絡(luò)中單獨(dú)使用防火墻存在著不能防范內(nèi)部攻擊等許多潛在的問(wèn)題，同時(shí)，由于入侵技術(shù)不斷發(fā)展使得全面配置防火墻規(guī)則變得更加困難。

2 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)，簡(jiǎn)稱IDS(Intrusion Detection System)，是一種能夠主動(dòng)保護(hù)自己不受攻擊新型網(wǎng)絡(luò)安全技術(shù)，它通過(guò)對(duì)網(wǎng)絡(luò)和系統(tǒng)記錄的日志文件的分析來(lái)發(fā)現(xiàn)非法的入侵行為以及合法用戶的濫用行為。按照收集的信息源IDS可分為基于主機(jī)的IDS(Host-based IDS)和基于網(wǎng)絡(luò)的IDS(Network-based IDS，簡(jiǎn)稱NIDS)。HIDS主要根據(jù)系統(tǒng)的審計(jì)記錄(Audit log)、用戶的位置和行為(命令)、CPU和I/O及內(nèi)存的使用情況、文件系統(tǒng)的變化等因素來(lái)進(jìn)行檢測(cè)；NIDS主要收集并分析計(jì)算機(jī)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，是目前入侵檢測(cè)系統(tǒng)研究的主流。因此，當(dāng)攻擊者向網(wǎng)絡(luò)發(fā)送大量數(shù)據(jù)包時(shí)，NIDS易受拒絕服務(wù)(DoS)攻擊，同時(shí)NIDS本身也暴露在Internet的大量攻擊范圍內(nèi)，需要一個(gè)安全的運(yùn)行環(huán)境。

無(wú)論是系統(tǒng)IDS或網(wǎng)絡(luò)IDS，根據(jù)檢測(cè)入侵的方法又可以分為以下兩種方式：異常檢測(cè)(Anomaly Detection)和濫用檢測(cè)(Misuse Detection)。異常檢測(cè)一般采用基于統(tǒng)計(jì)的方法，通過(guò)比較正常情況下系統(tǒng)或網(wǎng)絡(luò)的狀態(tài)來(lái)判斷安全性；濫用檢測(cè)一般采用基于規(guī)則的推理方法，需事先根據(jù)已知的入侵模式和系統(tǒng)的漏洞建立入侵的知識(shí)庫(kù)，因此往往需要來(lái)自專家的知識(shí)，且知識(shí)庫(kù)的建立也需要較長(zhǎng)的時(shí)間，其優(yōu)點(diǎn)在于檢測(cè)的準(zhǔn)確率較高，異常檢測(cè)不需要事先建立知識(shí)庫(kù)，但是也需要通過(guò)人工的或基于機(jī)器學(xué)習(xí)的方法來(lái)建立網(wǎng)絡(luò)的正常狀態(tài)，而且檢測(cè)的準(zhǔn)確率不會(huì)太高，其優(yōu)點(diǎn)在于可以預(yù)測(cè)和檢測(cè)出未知的入侵。

3 防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)

單獨(dú)采用防火墻和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)都不能很好地解決網(wǎng)絡(luò)安全問(wèn)題。如果把二者結(jié)合起來(lái)，則可以更大限度地實(shí)現(xiàn)網(wǎng)絡(luò)安全。聯(lián)動(dòng)即通過(guò)一種組合的方式，將不同的技術(shù)與防火墻技術(shù)進(jìn)行整合，在提高防火墻自身功能和性能的同時(shí)，由其他技術(shù)完成防火墻所缺乏的功能。入侵檢測(cè)系統(tǒng)（IDS）能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生。通過(guò)入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)可以達(dá)到網(wǎng)絡(luò)的安全性與性能的最佳平衡，同時(shí)通過(guò)添加防火墻動(dòng)態(tài)規(guī)則，能有效對(duì)攻擊行為予以阻斷，實(shí)現(xiàn)了防御的實(shí)時(shí)性和時(shí)效性。

聯(lián)動(dòng)模型如圖1所示，在防火墻和入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)模型的安全體系中，以入侵檢測(cè)為核心構(gòu)成網(wǎng)絡(luò)安全系統(tǒng)，網(wǎng)絡(luò)的安全通過(guò)安全策略來(lái)體現(xiàn)，制定安全策略的依據(jù)是用戶的需求和來(lái)自入侵檢測(cè)系統(tǒng)的輸出。事件發(fā)生器將來(lái)自防火墻的IP包進(jìn)行簡(jiǎn)單分析、篩選后，轉(zhuǎn)換成有用事件信息傳送給入侵檢測(cè)模塊，以達(dá)到減少數(shù)據(jù)(Data Reduction)的目的。入侵檢測(cè)模塊一旦檢測(cè)到入侵，它可以自動(dòng)通過(guò)改變安全策略來(lái)改變防火墻的行為，做出快速反應(yīng)；同時(shí)也可將檢測(cè)結(jié)果先報(bào)告給系統(tǒng)管理員，由系統(tǒng)管理員參考并手工做出安全策略調(diào)整。

4 聯(lián)動(dòng)模型的構(gòu)建

4.1 編寫(xiě)基于誤用的入侵檢測(cè)系統(tǒng)特征庫(kù)

基于誤用的入侵檢測(cè)系統(tǒng)的誤報(bào)警率低，而且對(duì)一些己知的常用的攻擊行為特別有效。為了使該入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)我們所期望的功能，就必須將一些規(guī)則編寫(xiě)至特征庫(kù)中。通常規(guī)則劃分為兩個(gè)邏輯部分：規(guī)則頭和規(guī)則選項(xiàng)。規(guī)則頭包含了規(guī)則動(dòng)作、協(xié)議、IP源地址和目的地址、子網(wǎng)掩碼以及源端口和目標(biāo)端口值等信息。而規(guī)則選項(xiàng)則包含警報(bào)信息以及用于確定是否觸發(fā)規(guī)則響應(yīng)動(dòng)作而需檢查的數(shù)據(jù)包區(qū)域位置信息。在編寫(xiě)特征庫(kù)前必須先仔細(xì)分析所要保護(hù)的網(wǎng)絡(luò)經(jīng)?；蚩赡茉馐艿墓?。

4.2 防火墻與入侵檢測(cè)系統(tǒng)的接口

經(jīng)過(guò)比較，我們認(rèn)為將入侵檢測(cè)系統(tǒng)與防火墻通過(guò)開(kāi)放接口來(lái)實(shí)現(xiàn)互動(dòng)的方法要比緊密結(jié)合方法要好，因?yàn)橄到y(tǒng)越復(fù)雜，其自身的安全問(wèn)題就越難以解決。所以我們通過(guò)VC++語(yǔ)言來(lái)實(shí)現(xiàn)防火墻與入侵檢測(cè)系統(tǒng)之間的接口。具體步驟如下：

1) 初始化通信連接時(shí)，一般由入侵檢測(cè)系統(tǒng)向防火墻發(fā)起連接；

2) 建立正常連接后，當(dāng)入侵檢測(cè)系統(tǒng)產(chǎn)生需要通知防火墻的安全事件時(shí)，可以通過(guò)發(fā)送約定格式的數(shù)據(jù)包，來(lái)傳遞必要的互動(dòng)信息；

3) 防火墻收到互動(dòng)信息后，可以實(shí)施互動(dòng)行為，并將結(jié)果(成功與否)以約定格式的數(shù)據(jù)包反饋給入侵檢測(cè)系統(tǒng)。

防火墻端建立通信服務(wù)的代碼如下；

Init openSSL();//初始化通訊環(huán)境

CreateServer(char * ip， char * port);//建立服務(wù)(其中ip為防火墻的ip地址，端口為通訊的端口)

SetRevCallbacd(void * ApRecvFunc);//設(shè)立接收的回調(diào)函數(shù)，處理接收數(shù)據(jù)

SetAcceptClallback(void * ApacceptFunc);//設(shè)立接收的回調(diào)函數(shù)

RunServer();//運(yùn)行服務(wù)

Send(char * ApBuf， int AnBuflen);//向IDS發(fā)送反饋信息

StopServer();//停止服務(wù)

通信數(shù)據(jù)包結(jié)構(gòu)代碼如下：

Typedef struct Packet

{Unsigned char srcip[16];//源ip地址

Unsigned char dstip[16];//目的ip地址

Unsigned char sensorip[16];//IDS引擎ip地址

Unsinged int duration;//阻斷時(shí)間

Unsinged int srcport;//源端口

Unsinged int dstport;//目的端口

Unsinged int protocol;//協(xié)議

Unsinged int mode;//阻斷模式

Unsinged int version;//版本號(hào)

Unsinged int echo;//回應(yīng)標(biāo)識(shí)

Unsinged int reserver;//保留字段

}Packet;

5 結(jié)束語(yǔ)

入侵檢測(cè)系統(tǒng)（IDS）已經(jīng)走過(guò)了多年的發(fā)展歷程，成為了繼防火墻之后的又一個(gè)主要的安全系統(tǒng)組成。通過(guò)防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)模型，防火墻就可以通過(guò)入侵檢測(cè)系統(tǒng)及時(shí)地發(fā)現(xiàn)其策略之外的攻擊行為，入侵檢測(cè)系統(tǒng)也可以通過(guò)防火墻對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊行為進(jìn)行阻斷。入侵檢測(cè)系統(tǒng)與防火墻地有效聯(lián)動(dòng)構(gòu)成了較為有效的安全防護(hù)體系，可以大大提高整體防護(hù)性能，解決了傳統(tǒng)信息安全技術(shù)的弊端和原先防火墻的粗顆粒防御與檢測(cè)系統(tǒng)只發(fā)現(xiàn)，難響應(yīng)的問(wèn)題。但是，這種思想還僅僅是取得了一些進(jìn)展，要將它進(jìn)一步發(fā)展下去，還要經(jīng)過(guò)不懈的努力。

參考文獻(xiàn)：

[1] 薛立.防火墻和入侵檢測(cè)系統(tǒng)在企業(yè)信息網(wǎng)絡(luò)中的應(yīng)用[J].中原工學(xué)院學(xué)報(bào)，2003，14(3):67-69.

[2] 謝潔銳，劉財(cái)興，肖德琴，等.具有入侵檢測(cè)功能的防火墻設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用研究，2004，(7):91-92.

[3] 唐正軍.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[M].北京:電子工業(yè)出版社，2002.

[4] 韓鴻哲，等.內(nèi)置入侵檢測(cè)功能的防火墻設(shè)計(jì)[J].計(jì)算機(jī)工程與應(yīng)用，2003，39(25):151-152.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文