网络入侵防御系统

摘 要：本文设计并实现了一个网络入侵防御原型系统——DXIPS.该系统可提供实时、主动的防护能力,能够有效的阻断攻击,还可以针对不同的应用环境采取较为灵活的部署策略,具有较好的可扩展性.关 键 词 ：入侵检测；入侵防御；系统结构中图分类号： G250.73 文献标识码：A1理想的入侵防御系统应具有的特征一个理想的入侵防护解决方案从理论上应该包括以下特征：1.1主动、实时预防攻击.真正的解决方案应该提供对攻击的实时预防和分析.它应该在任何未授权活动开始前找出攻击,并防止它进入重要的服务器资源.1.2补丁等待保护.补丁管理是一个复杂的过程.在补丁被开发和安装之间,聪明的会对服务器和重要数据造成破坏,入侵防护解决方案应该为系统管理员提供补丁等待期内的保护和足够的时间,以测试并安装补丁.1.3保护每个重要的服务器.服务器中有最敏感的企业数据,是大多数攻击的主要目标.1.4特征和行为规则.检测入侵最有效的方法是采取混合方式,即整合针对具体攻击的特征和行为规则的力量.这一混合方式可提供已知和未知攻击的保护,而同时将误报率保持在最低,从而无需做出任何损失性让步.1.5深层防护.强大的安全都是基于深度防御的概念,可进行深层防护,保护入侵防御系统概述那些具有最严格要求的网络,使其免遭己知攻击、首次发生的未知攻击,以及DOS攻击的影响.1.6可管理性.理想的入侵防护解决方案可使安全设置和政策被各种应用程序、用户组和程序利用,从而降低安装并维护大型安全产品的成本.1.7可扩展性.企业级入侵防护解决方案必须可升级,以满足企业不断发展的需求,而同时保持最高水平的安全.可扩展性体现在可支持众多受保护的服务器、支持大流量和支持分散型安全管理,以满足大型分散式企业的需求.1.8经验证的防护技术.企业所要选择的解决方案是否采用了业界先进的新技术,是否经过充分测试、使用,并在受到持续不断地维护,这一点很重要.2 DXIPS的系统结构为了设计一个理想的入侵防御系统,我们设计了基于Snort_ inline和IPtables配置的Netfilter防火墙的分布式可扩展入侵防御系统（DXIPS,Distributed Extensible Intrusion Prevention System）.DXIPS检测可疑的网络流量,丢弃恶意的数据包,者阻断恶意的数据流,支持4-7层的入侵检测和防御.DXIPS采用三层的体系结构：第一层,入侵防御层：对经过的流量进行监控,检测入侵并进行入侵防御.第二层,服务器层：收集日志数据并转化为可读形式.第三层,控制层：是分析控制台,数据显示在这一层.体系结构图如图1所示：图1 DXIPS体系结构图DXIPS由四个部分组成,分别是入侵防御模块、日志记录模块、控制模块和通信模块.这四个部分彼此协作,共同实现入侵防御的功能.网络入侵防御系统的系统架构图如图2：图2 DXIPS系统架构图入侵防御模块工作在入侵防御层,负责数据包接收、检测和入侵响应.入侵防御模块部署在网络的关键位置上,如连接外网与内网的链路上,或者一个子网与另一个子网的链路上.这样,所有经过数据均可被截取到.入侵防御模块由Snort_ inline和IPtables配置的Netfilter防火墙联动组成的IPS构成,包括数据包接收、数据包分析和检测、响应三个部分.日志记录模块工作在服务器层,负责日志的收集,格式化.收集的日志包括Snort_ inline的入侵检测日志和IP tables配置的防火墙日志.控制模块是整个系统的核心,工作在控制层.它负责协调系统各个模块,进行所有的集中化操作.例如：对结点上的入侵防御系统的配置,日志服务器的管理,数据分析,负载均衡等.通信模块负责系统各个组件之间安全、可靠的通信,包括中心和结点间的通信,结点和结点间的通信.3 DXIPS系统的实现入侵防御系统的入侵防御功能是靠入侵检测系统Snort_ inline与IPtables配置的Netfilter防火墙联动实现的.入侵防御系统采用Net link socket的方式进行内核和用户空间的通信.入侵防御系统对数据包处理的过程为：传递数据包到用户空间,数据包读取,入侵检测,数据包处理.通过上述四个步骤,入侵防御系统实现了实时防护的功能.3.1 传递数据包到用户空间在传递数据包到用户空间的过程中,Net filter提供的机制-用户空间数据包队列,传递数据包到用户空间,并接收来自用户空间返回的数据包和裁决结果,决定是否接收或者丢弃此数据包,这些数据包在用户空间可能被用户进程事先修改过,才重新写到内核空间.Net filter框架中的目标（target）QUEUE替用户空间（user space）进程排队数据包.装载了ip_queue模块后,网络数据防火墙配置工具IPtables选择性地通过QUEUE目标,实际中排队是由内核模块ip _ queue来完成的,ip _ queue排队传递数据包到用户空间等待入侵检测模块处理.3.2 数据包读取在数据包读取的过程中Snort_ inline采用libipq库函数从内核空间的QUEUE队列中读取数据包.Snort_ inline使用libipq库中的ipq _ create_handle（）和ipq _ set_ mode（）实现对数据包读取过程的初始化.Ipq _ create_ handle（）在初始化时,创建一个全局的上下文句柄（context handle）,句柄结构如下： Struct ipq _ handle{int fd；u_int8_t blocking；struct sockaddr_nl local；struct sockaddr_n1 peer；}；函数ipq_create_handle（）负责分配空间,首先创建句柄结构体（struct ipq_headle*h）,然后创建Netlink套接字,调用socket（PF_NETLINK,SOCK_RAW,NETLINK_FIREWALL）得到句柄（套接字描述符）h->fd,调用bind（h->fd,（struct sockaddr*）&h->local,sizeof（h->local））绑定本地进程.接着初始化Netlink通信对等端h->peer的进程,对等端进程id和组id均为0,使其具有从内核读取数据包的权限.Ipq_create_handle（）最后一步返回所创建的上下文句柄h.最后ipq_set_mode（）设置拷贝数据包的元数据（metadata）和数据包的负载（payload）到用户空间,并提醒内核模块ip_queue有一个应用程序等待接受队列消息.在ipq_create_handle（）和ipq_set_mode（）完成初始化以后,Snort_inline先使用ipq_read（）函数从内核包队列QUEUE中读取数据.再使用函数ipq_get_packet（）将ipq_read（）读取的数据格式化为相应的数据包结构.检测引擎得到格式化的数据包,进行检测与分析.3.3 入侵检测在入侵检测的过程中,入侵防御系统的检测技术采用修改于入侵检测系统Snort的入侵检测技术.Snort的数据包解析过程由decode（）函数来完成,原理是按照从链路层到传输层各种协议的相应格式去分析得到的数据流,并把所得结果填充数据结构Packet.在入侵防御系统的实现中,数据包读取过程中已经进行了包的分片重组等工作,发送到入侵检测引擎的数据包是完整的,并且数据流不含有链路层信息,decode（）函数中删除原来有关链路层的部分,直接从IP层解析.数据结构Packet也经过修改只包含IP层以上的信息.3.4 数据包处理对数据包进行入侵检测以后,根据与规则库中规则（rules）匹配的结果,针对每个数据包采用相应的处理过程.Snort_inline实现入侵防御功能的三种动作drop、sdrop和reject对数据包处理的过程是不一样的.结语入侵防御系统是近年来新兴的一种网络安全产品.它是由入侵检测系统发展而来,兼有防火墙的一部分功能.IPS系统包含两大功能模块：防火墙和入侵检测.从功能上讲,IPS是传统防火墙和入侵检测系统的组合,它对入侵检测模块的检测结果进行动态响应,将检测出的攻击行为在位于网络出入口的防火墙模块上进行阻断.然而,IPS并不是防火墙和入侵检测系统的简单组合,它是一种有取舍的吸取了防火墙和入侵检测系统功能的一个新产品,其目的是为网络提供深层次的、有效的安全防护.参考文献[1] 陈友,程学旗,李洋等.基于特征选择的轻量级入侵检测系统[J].软件学报,2007,18（7）：1639-1651.[2] 吕志军,郑憬,黄皓.高速网络下的分布式实时入侵检测系统[J],计算机研究与发展,2004,41（4）：667-673.[3] 郑丽生,陈金聪.基于入侵防护系统的网络安全研究[J]. 软件导刊. 2011（07）.