基于WBM的入侵防御系統的研究及實現

何春林

【摘 要】入侵防御系統是在防火墻和入侵檢測系統的基礎上發展而來的，本文研究并實現了一個基于WBM的入侵防御系統。系統采用基于WBM（Web Based Management）的方式進行管理和控制，各分布式引擎及服務器控制中心都是安裝在Linux操作系統下的，入侵防御引擎用C語言實現了系統對底層的訪問控制，B/S架構的其他層采用Java語言來實現。

【關鍵詞】入侵防御系統；WBM；入侵檢測；防火墻；網絡安全

一、引言

因特網的飛速發展，標志著信息的共享發展到了一個新高度，但隨之而來的網絡安全問題也愈發突出。據統計，平均每20秒就有一個網絡遭到入侵。通過IP地址欺騙、非法進入系統和盜竊密碼等手段，入侵者不斷地盜竊各種單位內寶貴的數據資料，面向計算機網絡的犯罪每年增長約30%。

由于用戶需求的提升，入侵檢測產品不斷更新。但是，僅僅檢測到入侵是不夠的，還要對檢測到的入侵進行分析和響應，入侵檢測系統加入侵響應系統就成為入侵防御系統（IPS）。要想實現兩個系統的功能，不能只是簡單地把兩個系統進行物理迭加，必需對它們進行集中控制，實現兩個系統的交互。這也就是本文所要研究的內容。

二、相關理論

（一）防火墻

防火墻是網絡安全防衛的重要措施。通常，防火墻被安裝在受保護的內網和外網之間的連接點上，所有進出內網的數據都必需經過防火墻，這樣防火墻就能夠在此檢查這些數據，采取防范措施。防火墻亦可被認為是一種訪問控制機制，決定哪些數據允許被外部訪問，哪些不允許。從邏輯上講，防火墻是一個分離器、限制器，也是一個分析器。

但是，防火墻也有本身的一些局限性。比如：無法防范其它途徑（繞過防火墻）的攻擊，很難防范內部用戶有意或無意帶來的威脅，也不能防止傳送已經感染病毒的文件或軟件，無法防范數據驅動型的攻擊。而且由于防火墻受到驗證、測試等方面的限制，很難證明防火墻的防護能力及失效狀態。

（二）入侵檢測系統

入侵檢測系統IDS（Intrusion Detection System）是用來監視和檢測入侵事件的系統，被認為是防火墻之后的第二道安全閘門。當有敵人或惡意用戶試圖通過Internet進入網絡甚至計算機系統時，IDS能夠檢測出來，并進行報警，通知網絡采取措施進行響應。

然而，入侵檢測系統也存在一些難以克服的問題，主要表現在：對信息重新編碼就可能騙過入侵檢測系統的檢測，入侵檢測系統的評價目前還沒有客觀標準，標準不統一使得IDS之間的互聯互通幾乎不可能，采用不恰當的自動反應可能會給系統造成極大風險。

（三）入侵防御系統

IDS給網絡帶來的安全是不夠的，應該使用入侵防御系統（IPS，Intrusion Prevention System or Intrusion Protection System）來代替IDS。在網絡入侵防御系統中，聯動就是在防火墻、IDS、防病毒系統、VPN （virtual private network）， CA（Certificate Authority）等安全成員之間建立一種相互作用和影響的機制。

一個網絡中如果防火墻產品質量是9分，防病毒產品是8分，入侵監測產品質量是7分，內容過濾是5分的話，那么該網絡最后的綜合安全評分還是5分，因為不安全因素往往就出現在最薄弱的環節。這就是所謂的“木桶原理”。而通過聯動策略，在強強組合的基礎上，自由選擇各方面都最優的產品，從而構建最強的防御系統。

三、總體設計

（一）系統概述

入侵防御系統采用目前流行的B/S多層架構，即通過Web方式實現分布式入侵防御引擎的集中管理。因此，整個系統的開發分為兩部分，一是服務器控制中心的開發，二是分布式入侵防御引擎的開發。

服務器控制中心是整個入侵防御系統的核心，是系統的管理界面。IPS的網絡會話、性能管理、審計分析和系統管理，都由服務器控制中心來實現。分布式入侵防御引擎的控制工作也由服務器控制中心來統一進行管理，圖1為入侵防御系統的總體設計圖。

（二）開發環境

（1）選擇操作系統。操作系統選擇的是Linux，雖然操作沒有Windows系列方便，但除此之外Linux的優點很多，比如內核代碼完全開放，這為系統設計提供了極大方便；國內對Linux的代碼分析工作也小有成效，已有大量的相關書籍出版；此外，專業研究人員對Linux業已進行了一定的研究開發工作。Linux版本很多，筆者選擇了Red Hat，因為它的安裝與刪除設計良好。

（2）Jdk+Tomcat+Apache+Mysql環境。在安裝Red Hat 操作系統時要選擇定制 （custom）安裝，以使OS提供足夠的開發環境和工具。

1、安裝準備。首先是Red Hat 自帶的apache2.0.40，apache是目前應用非常廣的Web 服務器，系統自帶的apache中的模塊包里包括了大多流行的模塊。其次是tomcat壓縮包，tomcat應用服務器是一種容器，它提供Web服務，而且是Server端應用程序的編譯環境。最后，需要connector把tomcat和apache整合到一起，就是用這個connector把Web 服務器的一些請求重定向到應用服務器。整合apache和tomcat的重點在于需要自己編譯一個connector，因為它和使用的應用服務器的版本相關。

2、安裝配置過程。首先安裝JDK，安裝jdk后建立鏈接。其次安裝tomcat，但運行tomcat之前要完成系統環境變量的設置。再次安裝apache，而且一定要用與系統同版本的apache，否則會出問題。最后編譯connector。Mysql的安裝不再論述。

四、基于WBM的控制管理

WBM（Web Based Management）是一種將WWW技術應用于網絡和設備管理的技術，被稱為“基于Web的管理”，各大著名公司如Sun ，IBM和3COM等都先后推出了相關產品。這些廠商正以一種新的形式去應用管理信息系統。

目前，基于WEB的管理模式有兩種模型：基于代理的WBM和嵌入式的WBM。嵌入式WBM不局限于傳統的工作站，無需任何中介便可以直接訪問網絡設備。

五、入侵防御系統的測試

（一）測試環境

測試環境如下：兩臺裝有Linux的計算機，安裝入侵防御引擎，其中一臺機器還充當服務器控制中心。一臺安裝Window的計算機，作為B/S架構的客戶端，實現對入侵防御系統的訪問。一臺Ethernet Hub（集線器），安裝在局域網的入口。

（二）OTP測試

兩種OTP算法可以對不同身份的用戶進行驗證：快速法用于查看人員，安全法用于管理人員。

（三）入侵防御的測試

入侵監測用工具模擬SYN 泛洪攻擊，SYN 泛洪是當前最流行的分布式拒絕服務攻擊的方式之一，利用TCP的協議缺陷，使得被攻擊方資源耗盡的攻擊方法，圖中為檢測到的SYN 泛洪攻擊的入侵記錄。

六、結論

隨著網絡的迅猛發展及安全問題的日益嚴重，入侵防御必將隨著入侵檢測和防火墻的發展而不斷壯大，而且，它必將聯動所有的網絡安全產品。

入侵防御系統采用基于WBM的方式進行管理，分析網絡受到的安全威脅，采用OTP的身份認證技術來保證網絡的安全，研發了兩種OTP算法。入侵防御系統的各分布式引擎及服務器控制中心都是安裝在Linux操作系統下的，用C語言實現了系統對底層的訪問控制，B/S架構的其他層采用Java語言來實現，給用戶提供一個了友好的界面。

本系統的研發也有一些不足之處，比如不能對分布式入侵防御引擎進行自動部署等，有待于下一步深入研究。

參考文獻：

[1]馬俊，王志英，任江春等.一種實現數據主動泄露防護的擴展中國墻模型[J].軟件學報，2012（3）： 677-687

[2]謝柏林，余順爭. 基于應用層協議分析的應用層實時主動防御系統[J].計算機學報，2011（3）： 3452-34633