基于ACE和SSL的Firewall與IDS聯(lián)動系統(tǒng)研究*

馬占飛，尹傳卓

(1.內(nèi)蒙古科技大學(xué)包頭師范學(xué)院,內(nèi)蒙古 包頭 014030；2.內(nèi)蒙古科技大學(xué)信息工程學(xué)院,內(nèi)蒙古 包頭 014010)

基于ACE和SSL的Firewall與IDS聯(lián)動系統(tǒng)研究*

馬占飛1，尹傳卓2

(1.內(nèi)蒙古科技大學(xué)包頭師范學(xué)院,內(nèi)蒙古 包頭 014030；2.內(nèi)蒙古科技大學(xué)信息工程學(xué)院,內(nèi)蒙古 包頭 014010)

隨著Internet的迅猛發(fā)展，網(wǎng)絡(luò)攻擊的方法和技術(shù)越來越智能化和多樣化，網(wǎng)絡(luò)安全需求與日俱增。傳統(tǒng)的防火墻(Firewall)與入侵檢測系統(tǒng)IDS已不能滿足網(wǎng)絡(luò)安全整體化需求。鑒于此，引入ACE網(wǎng)絡(luò)通信中間件和SSL協(xié)議，采用開放接口方式，從網(wǎng)絡(luò)安全整體性與動態(tài)性的需求考慮，設(shè)計(jì)了一種新型的基于ACE和SSL通信平臺的Firewall和IDS協(xié)同聯(lián)動系統(tǒng)模型。該系統(tǒng)模型融合了Firewall和IDS的優(yōu)點(diǎn)，采用加密信息傳輸機(jī)制、策略管理機(jī)制和聯(lián)動分析算法，確保了傳輸信息的可靠性、完整性和機(jī)密性。實(shí)驗(yàn)結(jié)果表明，該聯(lián)動系統(tǒng)不但能夠有效地檢測和防御攻擊，而且具有良好的協(xié)作性、通用性和可擴(kuò)展性。

網(wǎng)絡(luò)安全；入侵檢測系統(tǒng)；防火墻；聯(lián)動；中間件

1 引言

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展和互聯(lián)網(wǎng)(Internet)的廣泛普及，網(wǎng)絡(luò)已形成了勢不可擋的潮流，席卷到社會的各個領(lǐng)域，人類社會對信息網(wǎng)絡(luò)的依賴程度也越來越大，然而網(wǎng)絡(luò)安全性伴隨著強(qiáng)大的功能一道而來[1,2]。為了保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)及其信息的安全，各大知名的IT企業(yè)推出了許多安全技術(shù)和產(chǎn)品，并對計(jì)算機(jī)網(wǎng)絡(luò)及其系統(tǒng)的各個環(huán)節(jié)進(jìn)行安全保護(hù)[3]。主要的安全產(chǎn)品包括防火墻(Firewall)、入侵檢測系統(tǒng)IDS(Intrusion Detection System)、身份認(rèn)證系統(tǒng)、虛擬專用網(wǎng)絡(luò)VPN(Virtual Private Network)、安全路由器、網(wǎng)絡(luò)和系統(tǒng)的安全性分析系統(tǒng)等。但是，這些系統(tǒng)或設(shè)備之間缺乏統(tǒng)一的數(shù)據(jù)交換格式和協(xié)作方式等，難以實(shí)現(xiàn)緊密配合和關(guān)聯(lián)，使得網(wǎng)絡(luò)面對各種攻擊技術(shù)防不勝防，網(wǎng)絡(luò)系統(tǒng)隨時面臨癱瘓的危險[4,5]。

由此可見，單一的安全產(chǎn)品已不能滿足當(dāng)前市場對高安全性網(wǎng)絡(luò)的迫切需求，多種安全產(chǎn)品的聯(lián)動和整合將是網(wǎng)絡(luò)信息安全領(lǐng)域的發(fā)展趨勢。目前最具代表性的有：國外的Check Point公司倡導(dǎo)和發(fā)起的OPSEC(Open Platform for SECurity)和國內(nèi)的天融信公司提出的TOPSEC(Talent Open Platform for SECurity)。OPSEC是一個集成和開放的平臺，該平臺主要通過OPSEC開放協(xié)議APIs中的SAMP(Suspicious Activity Monitoring Protocol)實(shí)現(xiàn)Firewall與IDS的聯(lián)動[6]。TOPSEC是一個統(tǒng)一的、可擴(kuò)展的網(wǎng)絡(luò)安全體系平臺，它是以PKI/CA(Public Key Infrastructure/Certificate Authority)體系為安全支撐和保障，并與各類優(yōu)秀的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品在技術(shù)上有機(jī)集成，實(shí)現(xiàn)了各種安全產(chǎn)品之間的互通與聯(lián)動[7]。但是，從應(yīng)用現(xiàn)狀來看，這些防火墻廠商都是根據(jù)各自的理解及其應(yīng)用環(huán)境開發(fā)獨(dú)立的數(shù)據(jù)接口，因此聯(lián)動缺乏統(tǒng)一、標(biāo)準(zhǔn)的接口。

鑒于此，本文從網(wǎng)絡(luò)安全整體性與動態(tài)性的需求考慮，構(gòu)建了一種新型的基于ACE(Adaptive Communication Environment)和SSL(Secure Socket Layer)通信平臺的Firewall和IDS聯(lián)動系統(tǒng)模型。該系統(tǒng)模型并非改造現(xiàn)有Firewall和IDS的內(nèi)部結(jié)構(gòu)，而是利用第三方的聯(lián)動中間件實(shí)現(xiàn)二者聯(lián)動。Firewall和IDS分別選擇了Linux環(huán)境下的Netfilter/Iptables和開源的Snort系統(tǒng)作為開發(fā)平臺，旨在最大限度地發(fā)揮Firewall的靜態(tài)安全特性和IDS的動態(tài)安全特性，使得網(wǎng)絡(luò)防護(hù)體系達(dá)到由靜態(tài)到動態(tài)、由平面到立體的轉(zhuǎn)換，從而提升Firewall的機(jī)動性和實(shí)時反應(yīng)能力，增強(qiáng)IDS的實(shí)時阻斷功能。

2 Firewall與IDS聯(lián)動的互補(bǔ)性

Firewall作為連接內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一種訪問控制設(shè)備，通常安裝在內(nèi)網(wǎng)和外網(wǎng)的交界點(diǎn)上，保護(hù)通過這一點(diǎn)的數(shù)據(jù)包(Packet)，由此在受保護(hù)的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間建立一道防御屏障[8]。Firewall是一種被動的訪問控制技術(shù)，其依據(jù)預(yù)先定義好的規(guī)則(Rule)對兩個或者多個網(wǎng)絡(luò)之間傳輸?shù)腜acket進(jìn)行檢查，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受攻擊。由于Internet的開放性，在網(wǎng)絡(luò)中單純使用Firewall，存在著繞過它的連接入侵，對這些入侵行為不能進(jìn)行及時響應(yīng)；同時，F(xiàn)irewall無法防范病毒以及感染了病毒的文件或軟件，也不能防范網(wǎng)絡(luò)內(nèi)部的攻擊。

入侵檢測系統(tǒng)IDS作為一種主動的網(wǎng)絡(luò)安全防護(hù)措施[9]，它從系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動尋找、分析可能的入侵攻擊行為，一旦發(fā)現(xiàn)入侵，立即進(jìn)行日志、告警和安全控制等操作。IDS有效擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、入侵識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，從而給網(wǎng)絡(luò)系統(tǒng)提供了對外部攻擊、內(nèi)部攻擊和誤操作的安全保護(hù)。然而，IDS本身不是網(wǎng)絡(luò)訪問控制設(shè)備，它不對通信流量做任何限制，很容易遭受拒絕服務(wù)(DoS)攻擊。同時，由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性、網(wǎng)絡(luò)技術(shù)和入侵檢測技術(shù)的局限性等多種因素，使得IDS很難同時滿足完整性和并行性的要求，因而IDS仍存在很多缺陷和安全隱患。

雖然Firewall與IDS是兩種不同類型的網(wǎng)絡(luò)安全技術(shù)，但二者在功能上具有很強(qiáng)的互補(bǔ)性[10]。Firewall側(cè)重于控制，而IDS側(cè)重于主動地發(fā)現(xiàn)入侵行為，如果將兩種技術(shù)緊密結(jié)合、聯(lián)動運(yùn)行，則Firewall能夠通過IDS及時發(fā)現(xiàn)其策略之外的入侵行為，IDS能夠通過Firewall阻斷來自外網(wǎng)的攻擊行為，這樣能夠較大幅度地提高聯(lián)動系統(tǒng)的整體安全防御性能。

IDS與Firewall的互補(bǔ)性體現(xiàn)在以下幾方面：

(1)Firewall依據(jù)其策略轉(zhuǎn)發(fā)該鏈路上所有流經(jīng)的數(shù)據(jù)包(Packet)，為了提高轉(zhuǎn)發(fā)速度，F(xiàn)irewall不需要對所轉(zhuǎn)發(fā)的Packet進(jìn)行詳細(xì)分析。IDS則不必考慮所轉(zhuǎn)發(fā)的Packet，只需要對收集到的Packet的協(xié)議、內(nèi)容進(jìn)行詳細(xì)分析，以監(jiān)控其行為是否正常。

(2)Firewall依據(jù)其策略對流經(jīng)的Packet進(jìn)行過濾，從而減少進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量，以緩解IDS對Packet的分析任務(wù)。IDS則不必對流經(jīng)的Packet進(jìn)行過濾，只需對進(jìn)入網(wǎng)絡(luò)內(nèi)部的Packet進(jìn)行監(jiān)控和分析。

(3)Firewall依據(jù)其策略對流入內(nèi)部網(wǎng)絡(luò)之前的Packet進(jìn)行過濾，其目的是將入侵攻擊排除在所在網(wǎng)絡(luò)外部。IDS則只對繞過Firewall進(jìn)入內(nèi)部網(wǎng)絡(luò)的Packet進(jìn)行監(jiān)控與分析，并對內(nèi)網(wǎng)中正在發(fā)生的入侵行為或事件進(jìn)行檢測和告警。

(4)Firewall只對Packet的地址、端口號和協(xié)議等進(jìn)行檢查。IDS則是對Packet的內(nèi)容及其協(xié)議進(jìn)行詳細(xì)分析和監(jiān)控。

3 Firewall與IDS聯(lián)動的方式

Firewall和IDS的聯(lián)動方式一般有三種[11]：

(1)緊密結(jié)合方式。該方式是將Firewall與IDS兩種產(chǎn)品集成到一起，并在同一個硬件平臺上，采用統(tǒng)一的操作系統(tǒng)(OS)環(huán)境有序運(yùn)行。網(wǎng)絡(luò)中所有通過該硬件平臺的數(shù)據(jù)不僅要接受Firewall規(guī)則的驗(yàn)證，而且還要經(jīng)過IDS的檢測。該方式相比單純的安全產(chǎn)品，在檢測準(zhǔn)確度上有了很大提高，但是由于Firewall和IDS本身都是十分龐大的系統(tǒng)，因此無論從實(shí)現(xiàn)難度上，還是集成后的整體性能上，都達(dá)不到預(yù)期效果。

(2)端口鏡像方式。Firewall將網(wǎng)絡(luò)中指定的一部分流量通過端口鏡像到IDS中，IDS再將其處理的結(jié)果反饋給Firewall，并要求Firewall修改相應(yīng)的安全策略，這種方式通常適用于網(wǎng)絡(luò)通信量不大的應(yīng)用環(huán)境。

(3)開放接口方式。該方式是指IDS和Firewall均提供一個專用接口以供對方調(diào)用，通信雙方都按照一定的通信協(xié)議進(jìn)行數(shù)據(jù)傳輸。在該方式中，F(xiàn)irewall主要行使其第一層防御功能——訪問控制，IDS主要行使其第二層防御功能——入侵檢測。這種方式一方面能夠確保對入侵攻擊行為進(jìn)行實(shí)時檢測，同時也能進(jìn)行實(shí)時阻斷；另一方面二者的聯(lián)動也不影響Firewall和IDS的整體性能，對兩種產(chǎn)品的自身功能發(fā)揮也比較好。然而，該方式是Firewall和IDS兩個系統(tǒng)間的相互配合，所以需要重點(diǎn)考慮兩種產(chǎn)品聯(lián)動通信的安全性。在現(xiàn)有的技術(shù)水平上，這種方式是較為理想的選擇。

4 基于ACE和SSL的Firewall與IDS聯(lián)動系統(tǒng)

4.1 聯(lián)動系統(tǒng)的模型架構(gòu)

經(jīng)分析比較，將Firewall與IDS通過開放接口方式進(jìn)行聯(lián)動，不僅配置比較靈活，而且實(shí)現(xiàn)效果較好。這主要取決于二者的技術(shù)都較為成熟，實(shí)現(xiàn)起來難度也不大，并且開發(fā)周期也能夠大大縮減，在實(shí)現(xiàn)聯(lián)動以后，二者的完整性和穩(wěn)定性也能夠很好地發(fā)揮。鑒于此，本文采用開放接口方式，在借鑒以往Firewall和IDS的聯(lián)動保護(hù)機(jī)制的基礎(chǔ)上，從網(wǎng)絡(luò)安全的整體性與動態(tài)性的需求考慮，架構(gòu)了一種基于ACE網(wǎng)絡(luò)通信組件和SSL協(xié)議的Firewall與IDS協(xié)同聯(lián)動系統(tǒng)模型，如圖1所示。

Figure 1 Linkage system model of firewall and intrusion detection system based on ACE and SSL圖1 基于ACE和SSL的Firewall與IDS聯(lián)動系統(tǒng)模型

該系統(tǒng)模型主要由四部分組成：

(1)基于ACE和SSL的聯(lián)動通信平臺。為了增強(qiáng)聯(lián)動系統(tǒng)通信的安全性，本文將Firewall與IDS的通信建立在自適配通信環(huán)境ACE和安全套接字層SSL平臺之上。

ACE是開源的面向?qū)ο?Object)的網(wǎng)絡(luò)通信中間件，提供了一組豐富的可復(fù)用C++ Wrapper Facade(包裝外觀)和框架(Framework)組件，可跨越多種平臺完成通用的通信軟件任務(wù)[12]。由于ACE具有增強(qiáng)的可移植性、更好的軟件質(zhì)量、更高的效率和可預(yù)測性等優(yōu)點(diǎn)，使得基于它開發(fā)的通信平臺和聯(lián)動系統(tǒng)等網(wǎng)絡(luò)模塊能夠方便地移植到其它OS(操作系統(tǒng))平臺上，并保持良好的效率。

SSL是一種基于連接的、保證私密性的安全協(xié)議。該協(xié)議為網(wǎng)絡(luò)應(yīng)用層的通信提供了認(rèn)證、數(shù)據(jù)完整性和機(jī)密性的服務(wù)，能夠較好地解決Internet上數(shù)據(jù)傳輸?shù)陌踩珕栴}。SSL是通過Open SSL提供的開發(fā)庫實(shí)現(xiàn)的[13]。SSL使通信雙方采用協(xié)商加密和證書交換的方式進(jìn)行連接，從而確保應(yīng)用進(jìn)程之間的通信不會被截取和竊聽。SSL包含了兩層協(xié)議：

①SSL記錄協(xié)議(SSL Record Protocol)。在TCP協(xié)議的基礎(chǔ)上，能夠?yàn)楦邔訁f(xié)議提供數(shù)據(jù)封裝、加密和壓縮等基本功能的支持。

②SSL握手協(xié)議(SSL Handshake Protocol)。又稱為密匙協(xié)商，是在Firewall與IDS正式通信前進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。

因此，基于ACE和SSL構(gòu)建的聯(lián)動通信平臺不僅保證了數(shù)據(jù)通信的安全性，而且還具有運(yùn)行效率高和可移植性強(qiáng)等優(yōu)點(diǎn)。

(2)聯(lián)動控制中心。該模塊是整個聯(lián)動系統(tǒng)的核心，主要完成管理和控制系統(tǒng)中Firewall與IDS的聯(lián)動以及對安全事件做出決策響應(yīng)的任務(wù)，即對IDS上報的安全事件進(jìn)行分析處理，根據(jù)事件的網(wǎng)絡(luò)連接信息、攻擊類型以及可信度等信息制定出相應(yīng)的響應(yīng)策略，并將響應(yīng)策略發(fā)送給防火墻聯(lián)動系統(tǒng)。從功能上看，聯(lián)動控制中心模塊由決策管理組件、決策分析組件、決策響應(yīng)組件、策略日志和策略規(guī)則數(shù)據(jù)庫等組成。

決策分析組件依據(jù)策略日志數(shù)據(jù)庫的IDS可信性數(shù)據(jù)(包括IDS的誤報/漏報率等信息)對IDS接口組件發(fā)來的入侵報告進(jìn)行分析、過濾，根據(jù)這些信息生成IDS的可信性矩陣，并判斷是否需要聯(lián)動。若需要，則提交給決策響應(yīng)組件。

決策響應(yīng)組件從策略規(guī)則數(shù)據(jù)庫中選取具體的響應(yīng)策略，并將其傳遞給Firewall接口組件，由防火墻聯(lián)動系統(tǒng)進(jìn)行實(shí)時阻斷。

決策管理組件除管理和控制決策分析和響應(yīng)組件外，還可以從聯(lián)動系統(tǒng)中收集反饋信息，實(shí)時地更新策略日志數(shù)據(jù)庫；同時，通過評估響應(yīng)策略，動態(tài)地修改策略規(guī)則數(shù)據(jù)庫，以增強(qiáng)聯(lián)動系統(tǒng)的自學(xué)習(xí)和自適應(yīng)能力，從而實(shí)現(xiàn)對網(wǎng)絡(luò)的突發(fā)攻擊進(jìn)行主動防御。

(3)IDS聯(lián)動系統(tǒng)。IDS系統(tǒng)采用開源的Snort軟件[14]，通過監(jiān)聽工具(Sniffer/Logger)對各種協(xié)議棧上的數(shù)據(jù)包進(jìn)行解析、預(yù)處理，以便提交給聯(lián)動控制中心進(jìn)行規(guī)則匹配。當(dāng)IDS檢查到網(wǎng)絡(luò)中有攻擊行為時，則立即向聯(lián)動控制中心發(fā)起聯(lián)動請求，并通過IDS接口組件將該事件上報聯(lián)動控制中心。

IDS接口組件主要用于統(tǒng)一IDS告警格式。通常把數(shù)據(jù)包源/目的IP地址和端口信息放在規(guī)則頭鏈表中，而把一些獨(dú)特的檢測標(biāo)志放在規(guī)則選項(xiàng)鏈表中。同時，它還負(fù)責(zé)將不同的報警格式轉(zhuǎn)化為聯(lián)動系統(tǒng)能夠理解的統(tǒng)一格式，以確保系統(tǒng)具有良好的可擴(kuò)展性。本系統(tǒng)采用XML(eXtensible Markup Language)語言描述安全事件。XML是一種數(shù)據(jù)交換格式，其允許在不同的應(yīng)用程序或者系統(tǒng)間實(shí)現(xiàn)數(shù)據(jù)交換。

(4)防火墻聯(lián)動系統(tǒng)。防火墻聯(lián)動系統(tǒng)采用Linux環(huán)境下的Netfilter/Iptables框架，通過對其進(jìn)行適當(dāng)修改來滿足聯(lián)動系統(tǒng)的要求。Netfilter提供可擴(kuò)展的結(jié)構(gòu)化底層框架，Iptables負(fù)責(zé)對輸入、輸出的數(shù)據(jù)包進(jìn)行過濾和管理。Netfilter和Iptables共同實(shí)現(xiàn)了Linux環(huán)境下的防火墻聯(lián)動系統(tǒng)[15]。

防火墻接口組件主要負(fù)責(zé)接收聯(lián)動控制中心的決策響應(yīng)組件發(fā)來的響應(yīng)告警信息，并對Firewall的訪問控制規(guī)則進(jìn)行動態(tài)修改，以切斷攻擊的網(wǎng)絡(luò)連接，達(dá)到阻斷網(wǎng)絡(luò)攻擊的目的。防火墻技術(shù)的基礎(chǔ)是包過濾技術(shù)，其依據(jù)的是策略規(guī)則庫中的規(guī)則[16]。

4.2 聯(lián)動系統(tǒng)的工作流程

在聯(lián)動系統(tǒng)中，IDS對流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行解析，并判斷其是否為入侵事件。若為入侵事件則直接告知聯(lián)動控制中心，啟用防火墻聯(lián)動系統(tǒng)進(jìn)行攔截處理，并記錄相應(yīng)的日志文件；若為可疑或異常事件，則IDS對其進(jìn)行預(yù)處理(包括數(shù)據(jù)的格式化和提取)，并通過XML封裝格式經(jīng)IDS接口組件發(fā)送給聯(lián)動控制中心的決策分析組件；決策分析組件依據(jù)策略日志數(shù)據(jù)庫的IDS可信性數(shù)據(jù)對入侵事件進(jìn)行深度聚合分析，然后根據(jù)這些信息生成IDS的可信性矩陣，并判斷其是否為新入侵；若是，則制定新的響應(yīng)策略，并通過決策響應(yīng)組件告知防火墻聯(lián)動系統(tǒng)執(zhí)行相應(yīng)的安全響應(yīng)[17]。其工作流程如圖2所示。

Figure 2 Flowchart of the linkage system圖2 聯(lián)動系統(tǒng)的工作流程圖

在聯(lián)動系統(tǒng)中，F(xiàn)irewall和IDS的通信按照預(yù)先設(shè)定好的通信端口，并相互確認(rèn)對方的合法性。Firewall以服務(wù)器(Server)模式運(yùn)行，IDS以客戶端(Client)模式運(yùn)行。聯(lián)動系統(tǒng)協(xié)同工作的算法描述如下：

(1)在Firewall中運(yùn)行Server程序，等待IDS的Client程序的連接。

(2)IDS檢測到需要阻斷的入侵行為后，運(yùn)行Client程序。

(3)Client通過ACE和SSL通信平臺向聯(lián)動控制中心發(fā)送一個連接Server的會話請求，并進(jìn)行首次身份驗(yàn)證；然后Client和Server相互傳送SSL協(xié)議的版本號、加密算法種類、產(chǎn)生的隨機(jī)數(shù)等安全通信所需要的信息，同時Server還將向Client傳送自己的證書。

(4)Client驗(yàn)證Server的合法性，如果是合法通信轉(zhuǎn)入(5)處理；否則斷開Client，隨機(jī)產(chǎn)生一個用于后繼通信的對稱密鑰。然后，用Server的公鑰對其加密，并發(fā)送給Server端，Server收到后使用自己的私鑰恢復(fù)該對稱密鑰，以確認(rèn)其合法性。

(5)通信連接正確建立后，Client向Server發(fā)送信息，指明后面的數(shù)據(jù)通信將采用對稱密鑰的方式來加密通信數(shù)據(jù)。

(6)Client程序?qū)⑷肭中袨榈闹饕畔凑占s定的格式進(jìn)行描述，上報聯(lián)動控制中心，并使用SSL技術(shù)進(jìn)行通信，將信息加密后封裝到套接字結(jié)構(gòu)中并發(fā)送到Server端。

(7)Server端接收到信息后，將該信息解密后提取出來，形成Firewall規(guī)則，開始實(shí)施聯(lián)動，并向Client發(fā)送接收成功指令，Client關(guān)閉連接。

(8)Firewall對指定的數(shù)據(jù)包進(jìn)行攔截。

在該聯(lián)動系統(tǒng)中，通信服務(wù)過程的定義如下：

Init_OpenSSL( )；//初始化網(wǎng)絡(luò)通信環(huán)境

Create_Server(char *ip, char *port)；/*創(chuàng)建通信服務(wù)(其中ip為Firewall的IP地址，port為通信端口)*/

Set_RevCallback(void *ApRecvFunc)；/*設(shè)定接收回調(diào)函數(shù)，并處理接收到的數(shù)據(jù)*/

Set_AcceptCallback(void *ApAcceptFunc)；/*設(shè)定接收到的確認(rèn)回調(diào)函數(shù)*/

Run_Server( )；//運(yùn)行相應(yīng)服務(wù)

Send_IDS(char *ApBuf, intAnBuflen)；/*向IDS發(fā)送反饋信息*/

Stop_Server( )；//停止網(wǎng)絡(luò)服務(wù)

5 聯(lián)動系統(tǒng)的測試與分析

本聯(lián)動系統(tǒng)采用Linux環(huán)境下Netfilter/Iptables框架所提供的擴(kuò)展功能，融合Snort入侵檢測軟件，建立了一個基于ACE網(wǎng)絡(luò)通信組件和SSL協(xié)議的Firewall與IDS協(xié)同工作的聯(lián)動系統(tǒng)。該聯(lián)動系統(tǒng)不僅發(fā)揮了Firewall和Snort系統(tǒng)應(yīng)有的功能[18]，而且保證所有數(shù)據(jù)的通信均通過ACE和SSL的聯(lián)動通信平臺，從而確保了傳輸信息的可靠性、完整性和機(jī)密性。

為了驗(yàn)證基于ACE和SSL的Firewall與IDS聯(lián)動系統(tǒng)的有效性，筆者架構(gòu)了聯(lián)動實(shí)驗(yàn)平臺。硬件配置：服務(wù)器采用聯(lián)想萬全I(xiàn)ntel Xeon E3110/2 GB內(nèi)存/160 GB硬盤/千兆和百兆網(wǎng)卡各1塊；客戶端采用聯(lián)想揚(yáng)天M6000V PDC E2160/1 GB內(nèi)存/320 GB硬盤/百兆網(wǎng)卡1塊。軟件配置：服務(wù)器端的操作系統(tǒng)采用Red Hat 9.0，IDS采用Snort 2.9，F(xiàn)irewall采用Linux內(nèi)置防火墻；客戶端的操作系統(tǒng)沒有限制。本文選取了Internet 上常見的端口掃描和分布式拒絕服務(wù)攻擊(DoS)，對聯(lián)動系統(tǒng)的性能進(jìn)行了測試和分析。從實(shí)驗(yàn)結(jié)果可以看到，該聯(lián)動系統(tǒng)能夠較好地檢測到相應(yīng)的攻擊，并能成功地阻斷攻擊行為。

(1)測試1：端口掃描。

端口掃描(Port Scanning)是指對主機(jī)或網(wǎng)絡(luò)發(fā)送一組端口掃描消息，試圖以此侵入某臺計(jì)算機(jī)，并了解其提供的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)類型(這些網(wǎng)絡(luò)服務(wù)均與端口號相關(guān))，其目的是用于探測目標(biāo)主機(jī)或網(wǎng)絡(luò)中是否存在有漏洞的服務(wù)。端口掃描就象一把雙刃劍，它既是一種網(wǎng)絡(luò)安全的評估工具，可供網(wǎng)絡(luò)管理員檢測、分析和維護(hù)系統(tǒng)；又是一種典型的黑客攻擊工具，網(wǎng)絡(luò)入侵者必不可少的搜集目標(biāo)主機(jī)或網(wǎng)絡(luò)信息的工具。本實(shí)驗(yàn)選取了由客戶(Client)端向服務(wù)器(Server)端發(fā)起的不同類型TCP和UDP端口掃描攻擊，在聯(lián)動系統(tǒng)啟動前和啟動后的測試結(jié)果分別如表1和表2所示。

Table 1 Test results before the start of the linkage system表1 聯(lián)動系統(tǒng)啟動前的測試結(jié)果

Table 2 Test results after the start of the linkage system表2 聯(lián)動系統(tǒng)啟動后的測試結(jié)果

由表1可知，Snort系統(tǒng)能夠檢測到大多數(shù)的端口掃描行為，并且發(fā)出告警信息，但是卻無法阻斷這些攻擊；同時，F(xiàn)irewall并未按照Snort的檢測結(jié)果進(jìn)行阻斷，只是對其已經(jīng)規(guī)則的攻擊進(jìn)行了阻斷。

由表2可知，Snort系統(tǒng)能夠檢測到絕大多數(shù)端口掃描行為，產(chǎn)生報警信息，并通過聯(lián)動控制中心實(shí)時讀取報警信息，并經(jīng)過分析處理后調(diào)用防火墻聯(lián)動系統(tǒng)，對絕大多數(shù)攻擊進(jìn)行了實(shí)時阻斷。

(2)測試2：分布式拒絕服務(wù)。

分布式拒絕服務(wù)DDoS(Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多臺計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍地提高DoS攻擊的威力。DoS攻擊是一種簡單而有效的攻擊方式，其目的是利用正常的服務(wù)請求占用過多的服務(wù)器資源，導(dǎo)致其資源過載或者資源耗盡，致使某些服務(wù)被暫停甚至服務(wù)器死機(jī)，從而造成其他用戶無法使用該資源。該實(shí)驗(yàn)由Client端向Server端發(fā)起大量的DoS攻擊，在聯(lián)動系統(tǒng)啟動前，雖然Snort 系統(tǒng)檢測到了攻擊行為，但是Firewall的處理能力卻很弱。Server的系統(tǒng)資源大多應(yīng)付攻擊，其系統(tǒng)資源占用率始終處于較高運(yùn)行狀態(tài)，系統(tǒng)的響應(yīng)也不及時。聯(lián)動系統(tǒng)啟動后，聯(lián)動控制中心實(shí)時讀取告警信息，并經(jīng)過分析處理后調(diào)用防火墻聯(lián)動系統(tǒng)，對這些攻擊進(jìn)行了阻斷，Server的系統(tǒng)資源占用率基本保持了與被攻擊前的相同狀態(tài)。聯(lián)動系統(tǒng)啟動前和啟動后Server端的系統(tǒng)資源占用率如圖3所示。

Figure 3 Utilization rate of system resources圖3 系統(tǒng)資源占用率

從測試1和測試2的結(jié)果可以看出，聯(lián)動系統(tǒng)部署后，不僅能夠檢測出絕大多數(shù)的攻擊行為，而且在檢測到攻擊行為的同時能夠進(jìn)行有效的阻斷，且成功率也比較高；同時，系統(tǒng)資源的利用率也得到了極大提高。因此，基于ACE和SSL平臺的Firewall與IDS聯(lián)動系統(tǒng)在實(shí)時檢測和攻擊防御兩方面均達(dá)到了很好的效果，從而為網(wǎng)絡(luò)信息的安全通信奠定了基礎(chǔ)。

6 結(jié)束語

本文采用Firewall和IDS的開放接口的聯(lián)動方式，設(shè)計(jì)了基于ACE和SSL的動態(tài)網(wǎng)絡(luò)安全主動防御系統(tǒng)模型。在該模型系統(tǒng)中，通過復(fù)用ACE中OpenSSL相關(guān)類，將整個通信過程建立在SSL上，從而確保了通信的完整性和機(jī)密性；同時，該方法處理過程透明化，易于修改，且具有較高的靈活性，針對不同類型的Firewall和IDS僅需修改第三方聯(lián)動中間件即可。更為重要的是，由于聯(lián)動控制模塊具有自學(xué)習(xí)和決策分析能力，使得聯(lián)動系統(tǒng)具有了自適應(yīng)性，進(jìn)一步強(qiáng)化了Firewall和IDS聯(lián)動性，從而增強(qiáng)了網(wǎng)絡(luò)的整體檢測和防御能力。然而，由于實(shí)驗(yàn)環(huán)境和條件所限，測試只是局部的，今后還需對聯(lián)動系統(tǒng)的安全機(jī)制與協(xié)議、存儲大量日志和規(guī)則的數(shù)據(jù)庫的進(jìn)一步優(yōu)化等進(jìn)行深入研究。

[1] Balthrop J, Forrest S, Newman M E J, et al. Technological networks and the spread of computer viruses[J]. Science, 2004, 304(5670):527-529.

[2] Werlinger R,Muldner K,Hawkey K,et al.Preparation, detection, and analysis:The diagnostic work of IT security incident response [J]. Information Management & Computer Security, 2010, 18(1):26-42.

[3] Papadogiannakis A, Vasiliadis G, Antoniades D, et al. Improving the performance of passive network monitoring applications with memory locality enhancements[J]. Computer Communications, 2012, 35(1):129-140.

[4] Aguirre I, Alonso S. Improving the automation of security information management:A collaborative approach[J]. Security & Privacy, 2012, 10(1):55-59.

[5] Aydin M A, Zaim A H K, Ceylan G A. Hybrid intrusion detection system design for computer network security [J]. Computers and Electrical Engineering, 2009, 35(3):517-526.

[6] Manning W.Check point certified security administrator(Ccsa) certification exam preparation course in a book for passing the check point certified security administrator (Ccsa) exam:The how to pass on your first try certification study guide[M]. London:Emereo Pty Ltd, 2010.

[7] Zhang Ying, Deng Fa-chao, Chen Zhen. UTM-CM:A practical control mechanism solution for UTM system[C]∥Proc of International Conference on Communications and Mobile Computing, 2010:86-90.

[8] Myungkeun Y, Chen Shi-gang, Zhang Zhan. Minimizing the maximum firewall rule set in a network with multiple firewalls[J]. IEEE Transactions on Computers, 2010, 59(2):218-230.

[9] Shahrestani S A.Employing artificial immunology and approximate reasoning models for enhanced network intrusion detection[J]. WSEAS Transactions on Information Science and Applications, 2009, 6(2):190-200.

[10] Wang Bao-yi, Yang Hai-peng, Zhang Shao-min. Research on application of interaction Firewall with IDS in distribution automation system[C]∥Proc of 2011 International Conference on Electronic Engineering, Communication and Management, 2012:527-532.

[11] Tan Wei. The research of firewall and IDS interaction architecture [D]. Wuhan:Wuhan University of Technology, 2010. (in Chinese)

[12] Vukobratovic D, Senk V. Transactions papers evaluation and design of irregular LDPC codes using ACE spectrum [J]. IEEE Transactions on Communications, 2009, 57(8):2272-2279.

[13] Khalil-Hani M, Nambiar V P, Marsono M N. Hardware acceleration of OpenSSL cryptographic functions for high-performance internet security [C]∥Proc of International Conference on Intelligent Systems, Modelling and Simulation, 2010:374-379.

[14] Kurundkar G D,Naik N A, Khamitkar S D. Network intrusion detection using Snort[J]. International Journal of Engineering Research and Applications, 2012, 2(2):1288-1296.

[15] Rovniagin D, Wool A. The geometric efficient matching algorithm for firewalls [J]. IEEE Transactions on Dependable and Secure Computing, 2011, 8(1):147-159.

[16] Chao C S, Yang S J H. A novel three-tiered visualization approach for firewall rule validation[J]. Journal of Visual Languages & Computing, 2011, 22(6):401-414.

[17] Shiravi A, Shiravi H, Tavallaee M, et al. Toward developing a systematic approach to generate benchmark datasets for intrusion detection [J]. Computers and Security, 2012, 31(3):357-374.

[18] Salah K, Kahtani A. Performance evaluation comparison of Snort NIDS under Linux and Windows server [J]. Journal of Network and Computer Applications, 2010, 33(1):6-15.

附中文參考文獻(xiàn)：

[11] 譚偉. 防火墻與入侵檢測系統(tǒng)聯(lián)動架構(gòu)的研究[D]. 武漢：武漢理工大學(xué), 2010.

MAZhan-fei,born in 1973,PhD,professor,CCF member(E200007270S)，his research interests include computer network,information security, and artificial intelligence.

ResearchofthelinkagesystemoffirewallandintrusiondetectionsystembasedonACEandSSL

MA Zhan-fei1,YIN Chuan-zhuo2

(1.Baotou Teachers College,Inner Mongolia University of Science and Technology,Baotou 014030；2.School of Information Engineering,Inner Mongolia University of Science and Technology,Baotou 014010,China)

With the rapid development of Internet, some intelligent attack methods and techniques are increasing. The network is easily attacked by hackers or malicious software. The safty problem is increasingly outstanding in computer network. The traditional technologies of firewalls and Intrusion Detection Systems (IDSs) own poor security, high false alarm rate, and low level of intelligence. Considering the demands of obtaining integrity and dynamics in network security, a novel linkage system model of firewall and IDS based on open communication platform of ACE (Adaptive Communication Environment) and SSL (Secure Socket Layer) is proposed. This system model combines the advantages of firewall and IDS, and uses the encrypted information transmission mechanism, and the policy management mechanism, and the associated linkage analysis algorithms to ensure the reliability, integrity and confidentiality of the transmitted information. Experimental results show that the linkage system can effectively prevent network from attacks, and possesses better cooperativeness, universalness and expansibility.

network security；intrusion detection system；firewall； linkage；middleware

1007-130X(2014)08-1486-07

2013-01-17;

：2013-04-16

國家自然科學(xué)基金資助項(xiàng)目(61163025)；內(nèi)蒙古自治區(qū)自然科學(xué)基金資助項(xiàng)目(2010BS0904)；內(nèi)蒙古自治區(qū)高等學(xué)?？茖W(xué)研究基金資助項(xiàng)目(重點(diǎn)項(xiàng)目)(NJ10162)；內(nèi)蒙古自治區(qū)高等學(xué)?？茖W(xué)研究基金資助項(xiàng)目(NJZY07116)

TP393

：A

10.3969/j.issn.1007-130X.2014.08.011

馬占飛(1973-),男，內(nèi)蒙古包頭人，博士，教授，CCF會員(E200007270S)，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)、信息安全和人工智能。E-mail:mazhanfei@163.com

通信地址：014030 內(nèi)蒙古包頭市青山區(qū)科學(xué)路3號內(nèi)蒙古科技大學(xué)包頭師范學(xué)院信息科學(xué)與技術(shù)學(xué)院

Address:School of Information Science and Technology,Baotou Teachers College,Inner Mongolia University of Science and Technology,3 Kexue Rd,Qingshan District,Baotou 014030,Inner Mongolia,P.R.China