分布式入侵檢測(cè)系統(tǒng)在校園網(wǎng)中的設(shè)計(jì)與實(shí)現(xiàn)

摘要:為了使校園網(wǎng)安全管理更為方便，功能更易擴(kuò)展，在對(duì)入侵檢測(cè)技術(shù)研究基礎(chǔ)上提出了一個(gè)適合校園網(wǎng)使用的分布式入侵檢測(cè)框架，并實(shí)現(xiàn)了基于此框架的校園網(wǎng)分布式入侵檢測(cè)系統(tǒng)。

關(guān)鍵詞:網(wǎng)絡(luò)安全;分布式入侵檢測(cè);代理;框架;管理決策

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)27-7651-02

Distributed Intrusion Detection System in Campus Network Design and Implementation

CHEN Hao

(Guangdong Technical College of Water Resources and Electric Engineering， Guangzhou 510635， China)

Abstract: In order to make the campus network security management more convenient， easier to expand functionality. Intrusion detection technology in the study based on a campus network for the use of Distributed Intrusion Detection Framework. And the realization of this framework based on the campus network Distributed Intrusion Detection System.

Key words: network security; distributed intrusion detection; agent; framework; management decision-making

伴隨著各高校的擴(kuò)招和快速發(fā)展，各高校組建的校園網(wǎng)作用日趨明顯，在校園網(wǎng)上開(kāi)展的科研課題，網(wǎng)絡(luò)教育教學(xué)以及圍繞著學(xué)校正常教學(xué)辦公的各種應(yīng)用系統(tǒng)逐漸增多，網(wǎng)絡(luò)安全作為一個(gè)無(wú)法回避的問(wèn)題呈現(xiàn)在各高校面前。

一般校園網(wǎng)都采用防火墻作為安全的第一道防線，屬于網(wǎng)絡(luò)安全的被動(dòng)防御，用于隔離外網(wǎng)(互聯(lián)網(wǎng))和內(nèi)網(wǎng)(校園網(wǎng))，對(duì)進(jìn)出校園網(wǎng)的數(shù)據(jù)包進(jìn)行一個(gè)基本的訪問(wèn)控制，但它對(duì)內(nèi)網(wǎng)用戶的攻擊無(wú)能為力，并且對(duì)繞過(guò)防火墻的攻擊也是無(wú)能為力的。而隨著攻擊者水平的不斷提高，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感的部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。與此同時(shí)，當(dāng)今的校園網(wǎng)絡(luò)環(huán)境也變得越來(lái)越復(fù)雜，各式各樣的復(fù)雜的設(shè)備，需要不斷升級(jí)、補(bǔ)漏的系統(tǒng)使得網(wǎng)絡(luò)管理員的工作不斷加重，不經(jīng)意的疏忽便有可能造成安全的重大隱患。

在這種環(huán)境下，入侵檢測(cè)系統(tǒng)已經(jīng)成為了各高校校園網(wǎng)安全新的熱點(diǎn)，部署在防火墻之后的入侵檢測(cè)系統(tǒng)，能夠?qū)崟r(shí)檢測(cè)流經(jīng)網(wǎng)卡的數(shù)據(jù)包，通過(guò)對(duì)捕獲的大量數(shù)據(jù)包進(jìn)行數(shù)據(jù)處理，匹配入侵特征庫(kù)，來(lái)檢測(cè)各種入侵攻擊，然后報(bào)警，從而加強(qiáng)了網(wǎng)絡(luò)的安全。因此愈來(lái)愈多的受到各高校的關(guān)注，而且已經(jīng)開(kāi)始在校園網(wǎng)中發(fā)揮其關(guān)鍵作用。

1 校園網(wǎng)分布式入侵檢測(cè)系統(tǒng)的設(shè)計(jì)

1.1 分布式入侵檢測(cè)系統(tǒng)的基本原理

分布式入侵檢測(cè)系統(tǒng)是獨(dú)立于防火墻或者安全網(wǎng)關(guān)的，在系統(tǒng)局域網(wǎng)內(nèi)部使用安全檢測(cè)系統(tǒng)，它采用一個(gè)軟件硬件相結(jié)合的體系結(jié)構(gòu)，英文為Distributional Intrusion Detection System，簡(jiǎn)稱為DIDS。在分布式入侵檢測(cè)系統(tǒng)中，策略統(tǒng)一由控制臺(tái)定義、管理，控制臺(tái)按照分發(fā)協(xié)議將策略“推”到各個(gè)Agent客戶端，再由各個(gè)Agent客戶端實(shí)施策略。因此分布式入侵檢測(cè)系統(tǒng)能夠解決集中式的入侵檢測(cè)系統(tǒng)的數(shù)據(jù)分析都集中在一個(gè)檢測(cè)點(diǎn)上進(jìn)行，單一檢測(cè)點(diǎn)的壓力較大，當(dāng)數(shù)據(jù)量較大時(shí)要求檢測(cè)點(diǎn)要有較快處理速度和較大的存儲(chǔ)能力，否則就會(huì)由于監(jiān)測(cè)點(diǎn)不能及時(shí)處理而產(chǎn)生大量丟包，導(dǎo)致不能有效檢測(cè)入侵，入侵檢測(cè)系統(tǒng)也就形同虛設(shè)的問(wèn)題。

1.2 校園網(wǎng)分布式入侵檢測(cè)系統(tǒng)的設(shè)計(jì)目標(biāo)

校園網(wǎng)環(huán)境復(fù)雜，其網(wǎng)絡(luò)特點(diǎn)是用戶數(shù)量大、數(shù)據(jù)信息量廣、在線用戶比率高、網(wǎng)絡(luò)應(yīng)用復(fù)雜，校園網(wǎng)內(nèi)外想要攻擊校內(nèi)服務(wù)器的黑客很多，所以在設(shè)計(jì)時(shí)需堅(jiān)持以下幾條原則:

1) 分布式結(jié)構(gòu)。由主機(jī)入侵檢測(cè)系統(tǒng)(HIDS)、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)、應(yīng)用入侵檢測(cè)系統(tǒng)(AIDS)組成的分布式入侵檢測(cè)系統(tǒng)(DIDS)便于多點(diǎn)收集信息，跟蹤分析，并在任何一處入侵檢測(cè)系統(tǒng)(IDS)發(fā)生故障時(shí)，不影響其他設(shè)備正常工作。

2) 易用性。系統(tǒng)應(yīng)具有先進(jìn)的報(bào)警和記錄功能，便于取證分析，即便不需非常專業(yè)的人員來(lái)管理也可以使用。

3) 準(zhǔn)確性高。為防止黑客的入侵，根據(jù)校園網(wǎng)自身特點(diǎn)設(shè)計(jì)其檢測(cè)模塊和規(guī)則庫(kù)。

4) 高性能。網(wǎng)絡(luò)中的數(shù)據(jù)包應(yīng)盡可能快地被處理，以達(dá)到分布式入侵檢測(cè)系統(tǒng)要求的速率，不影響正常的校園網(wǎng)絡(luò)帶寬的使用。

5) 安全性。保證分布式入侵檢測(cè)系統(tǒng)自身不受黑客或病毒的攻擊。

6) 可擴(kuò)充性。通過(guò)創(chuàng)建可修改的檢測(cè)模塊和規(guī)則庫(kù)以應(yīng)對(duì)不斷出現(xiàn)的校園網(wǎng)內(nèi)外不斷變化的攻擊方式。

2 校園網(wǎng)分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)

2.1 校園網(wǎng)分布式入侵檢測(cè)框架(DIDF)

本校園網(wǎng)分布式入侵檢測(cè)框架采用松耦合的軟總線結(jié)構(gòu)，如圖1所示，它包含有以下幾個(gè)模塊:入侵檢測(cè)代理、管理決策模塊、響應(yīng)模塊和其它模塊(以后可能擴(kuò)展的模塊)。各模塊掛在一個(gè)稱為“通信部件”的軟件總線上，通過(guò)通信部件進(jìn)行通信。這些模塊分布在校園網(wǎng)不同的服務(wù)器上。整個(gè)系統(tǒng)采用集中—分布式的控制結(jié)構(gòu)，模塊之間既相互獨(dú)立，又通過(guò)消息相互協(xié)作，完成對(duì)分布式攻擊的檢測(cè)和處理。

2.1.1 管理決策模塊

管理決策模塊是整個(gè)系統(tǒng)的控制決策中心，為網(wǎng)管提供圖形用戶界面(GUI)。網(wǎng)絡(luò)管理員通過(guò)GUI來(lái)配置系統(tǒng)的安全策略、設(shè)定運(yùn)行參數(shù)、更新模式庫(kù)、實(shí)時(shí)監(jiān)視系統(tǒng)運(yùn)行、監(jiān)督系統(tǒng)的安全狀態(tài)。記錄日志，接收各入侵檢測(cè)代理發(fā)送的事件和告警消息，并將這些信息進(jìn)行綜合，根據(jù)安全策略要求，通知響應(yīng)模塊采取必要措施。當(dāng)安全策略改變，管理決策模塊就通知各入侵檢測(cè)代理和響應(yīng)模塊改變其安全策略。

2.1.2 入侵檢測(cè)代理

入侵檢測(cè)代理(簡(jiǎn)稱代理)是基于校園網(wǎng)實(shí)現(xiàn)入侵檢測(cè)功能的模塊，其結(jié)構(gòu)如圖2所示。

在校園網(wǎng)中，交換式集線器通常提供一個(gè)特殊端口，該端口可以提供網(wǎng)絡(luò)上傳送的所有信息，將檢測(cè)代理的網(wǎng)卡連到該端口上。一般情況下，網(wǎng)卡驅(qū)動(dòng)后只會(huì)將發(fā)給自己的信息傳給上層，而將其他信息丟棄。通過(guò)將計(jì)算機(jī)的網(wǎng)卡設(shè)置為“開(kāi)放模式”，網(wǎng)卡就會(huì)將流經(jīng)所有的數(shù)據(jù)傳給上層，從而上層程序就可以獲得本網(wǎng)段上進(jìn)出的所有數(shù)據(jù)。實(shí)現(xiàn)了網(wǎng)絡(luò)抓包功能，將捕捉到的數(shù)據(jù)提供給上層做進(jìn)一步的處理。

通信模塊完成與管理決策模塊的通信功能，接收來(lái)自管理決策模塊的命令，并傳給命令處理模塊和信息處理模塊，在命令處理模塊完成對(duì)策略的處理，在檢測(cè)代理的核心部分信息處理模塊將完成實(shí)際的入侵檢測(cè)功能，處理管理決策模塊發(fā)送的消息和命令，并將其處理的事件以及報(bào)警信息一并傳送給管理決策模塊。通信模塊所依靠的是發(fā)送模塊和守護(hù)進(jìn)程完成此過(guò)程的。

日志模塊主要完成各檢測(cè)代理的運(yùn)行日志、事件日志、告警日志的記錄和查詢的功能。

在DIDS中，人機(jī)界面在管理決策模塊的管理下運(yùn)行，所以人機(jī)界面部分只提供簡(jiǎn)單的命令行人機(jī)交互功能，如設(shè)定運(yùn)行參數(shù)、運(yùn)行方式等。

2.1.3 響應(yīng)模塊

響應(yīng)模塊由包過(guò)濾網(wǎng)關(guān)和應(yīng)用代理服務(wù)器組成，通過(guò)地址翻譯技術(shù)的應(yīng)用，構(gòu)造了一個(gè)“黑洞”，以屏蔽內(nèi)網(wǎng)(校園網(wǎng))結(jié)構(gòu)并向外網(wǎng)(互聯(lián)網(wǎng))提供一些特定類型的服務(wù)，網(wǎng)管根據(jù)校園網(wǎng)安全性需求，制定相應(yīng)的規(guī)則，由響應(yīng)模塊對(duì)每個(gè)通過(guò)本網(wǎng)關(guān)的IP包進(jìn)行處理。目前實(shí)現(xiàn)的功能包括對(duì)源、目的地址、端口的限制，協(xié)議類型、服務(wù)類型等的過(guò)濾以及網(wǎng)絡(luò)地址轉(zhuǎn)換等。通過(guò)接受管理決策模塊發(fā)出的響應(yīng)命令和改變配置的請(qǐng)求，實(shí)時(shí)改變配置(如改變過(guò)濾規(guī)則)并對(duì)入侵行為進(jìn)行制止和反擊，是防火墻技術(shù)和響應(yīng)技術(shù)綜合的部件。

2.1.4 通信部件

通信部件完成各個(gè)模塊間可靠的信息傳送功能，采用軟總線方式實(shí)現(xiàn)其中包括一個(gè)通信協(xié)議和一個(gè)鏈接庫(kù)以及一組編程接口。通信協(xié)議中規(guī)定了各模塊間通信消息的具體格式、模塊間的身份認(rèn)證方式、消息的加解密方式和加解密算法等。編程接口供其它模塊調(diào)用，其它模塊利用鏈接庫(kù)提供的功能完成模塊間的通信。模塊間的通信采用對(duì)等方式，任何符合其標(biāo)準(zhǔn)接口的模塊都可以掛通信部件上和其它模塊進(jìn)行通信。

3 校園網(wǎng)分布式入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)過(guò)程

校園網(wǎng)分布式入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)過(guò)程如圖3所示。

當(dāng)校園網(wǎng)分布式入侵檢測(cè)系統(tǒng)的入侵檢測(cè)代理檢測(cè)到異常時(shí)，生成事件消息，報(bào)告給管理決策模塊，后者根據(jù)安全策略和各模塊發(fā)來(lái)的事件消息，進(jìn)行綜合，判斷攻擊可能的危害程度和確信程度，若確信度和危害度達(dá)到一定級(jí)別，則通知響應(yīng)模塊執(zhí)行命令，如切斷發(fā)起攻擊的用戶或系統(tǒng)的連接、進(jìn)行反擊等，并修改安全策略，將后續(xù)的來(lái)自該用戶或系統(tǒng)的連接請(qǐng)求過(guò)濾掉。除非網(wǎng)管再主動(dòng)開(kāi)放該地址，否則該地址將被隔離在受保護(hù)網(wǎng)絡(luò)之外。

4 小結(jié)

該文根據(jù)校園網(wǎng)運(yùn)行環(huán)境特點(diǎn)，為了保證校園網(wǎng)運(yùn)行的安全性，提出了基于校園網(wǎng)的分布式入侵檢測(cè)框架，在此基礎(chǔ)上實(shí)現(xiàn)了一個(gè)分布式入侵檢測(cè)系統(tǒng)，解決了實(shí)際應(yīng)用中采用多種安全檢測(cè)產(chǎn)品給管理造成的不便。

參考文獻(xiàn):

[1] Internet Engineering Task Force. Intrusion alert protocol[EB/OL]. http://www.ietf.org/ietf，2002-03.

[2] CIDF Working Group. Communication in the common intrusion detection Framework [EB/OL]. http://www.jetf.org/ietf，2005-06.

[3] Internet Engineering Task Force. Intrusion detection message exchange requirements [EB/OL]. http://jetf.org/ietf，2006-10.

[4] Mark R B， Kesdogan D. Transaction-based anomaly detection[Z]. Proceedings of the Workshop on Intrusion Detection and Network Monitoring，2006.

[5] 魯鵬.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)在圖書(shū)館網(wǎng)絡(luò)中的應(yīng)用[J].科技創(chuàng)新導(dǎo)報(bào)，2009(11):195.

[6] 蔡洪民，伍乃騏，陳素，等.分布式入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2009(6):1383-1386.