网络入侵防御系统体系和框架结构分析.docVIP

网络入侵防御系统体系和框架结构分析 　　中图分类号:TP393.08文献标识码:A文章编号:1673-0992(2009)12-066-02 　　摘要:大规模的应用程序很少采用单机模式,大多采用分层的体系结构。本文所设计的网络入侵防御系统的结构采用分层的体系结构。入侵防御模块为了部署在网络的关键位置上,需要有路由功能,能够将具备正确路由信息的数据包由一个网卡转发到另一个网卡,实现内外网之间的正常数据通信。本文主要介绍了网络入侵防御系统体系,以及对他的框架结构进行了分析 　　关键词:网络安全;入侵检测;入侵防御;系统框架设计 　　 　　一、网络入侵防御系统体系结构 　　 　　大规模的应用程序很少采用单机模式,大多采用分层的体系结构。本文所设计的网络入侵防御系统的结构采用分层的体系结构。网络入侵防御系统的体系结构共分三层: 　　第一层,入侵防御层:对经过的流量监控,检测入侵并进行入侵防御。 　　第二层,服务器层:收集日志数据并转化为可读形式。 　　第三层,控制层:是分析控制台,数据显示在这一层。 　　网络入侵防御系统由四个部分组成,分别是入侵防御模块、日志记录模块、中央控制模块和模块间的通信。这四个部分彼此协作,共同实现入侵防御的功能。 　　入侵防御模块工作在入侵防御层,负责数据包接收、检测和入侵响应。入侵防御模块部署在网络的关键位置上,如连接外网与内网的链路上,或者一个子网与另一个子网的链路上。这样,所有经过数据均可被截取到。入侵防御模块由Snort_inline和IPtables配置的Netfilter防火墙联动组成的IPS构成,包括数据包接收、数据包分析和检测、响应三个部分。 　　日志记录模块工作在服务器层,负责日志的收集,格式化。收集的日志包括Snort_inline的入侵检测日志和IPtables配置的防火墙日志。 　　中央控制模块是整个系统的核心,工作在控制层。它负责协调系统各个模块,进行所有的集中化操作。例如:对结点上的入侵防御系统的配置,日志服务器的管理,数据分析,负载均衡等。 　　模块间的通信负责系统各个组件之间安全、可靠的通信,包括中心和结点间的通信,结点和结点间的通信。 　　 　　二、通用入侵检测框架 　　 　　入侵防御模块中,基于Snort_inline和IPtables配置的Netfilter防火墙的IPS采用通用入侵检测框架(CIDF)结构。 　　CIDF提出了一个入侵检测系统的通用模型,它将入侵检测系统分为以下几个单元:事件产生器(Event Generators)、事件分析器(Event Analyzers)、响应单元(Response Units)和事件数据库(EventDatabases)。CIDF模型将需要分析的数据统称为事件(Event)。事件产生器即检测器,它从整个计算环境中获得事件,并向系统的其它部分提供此事件;事件分析器分析得到的数据,并产生分析结果;响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接等反应,也可以只简单的报警;事件数据库是存放各种中间和最终数据的地方的总称,它可以是复杂的数据库,也可以是简单的文本文件。 　　Snort_inline和IPtables配置的Netfilter防火墙联动构成的IPS,其组件组成如下: 　　* 事件产生器:Netfilter钩子程序、IPtables、ip_queue内核模块和netlink接口。收集数据包,把数据包从内核空间送到用户空间。 　　* 事件分析器:libipq库、Snort_inline和规则集。用规则集对数据进行入侵检测。 　　* 响应单元:Netfilter钩子程序、libipq、libnet、IPtables。对数据包的处理。 　　* 事件数据库:MySQL数据库。收集和存放数据。 　　 　　三、入侵防御模块设计 　　 　　入侵防御模块为了部署在网络的关键位置上,需要有路由功能,能够将具备正确路由信息的数据包由一个网卡转发到另一个网卡,实现内外网之间的正常数据通信。路由部分功能的实现,利用了Linux系统自带的路由模块,在使用时打开了对用的配置文件,具体方法如下: 　　echo 1/proc/sys/net/ipv4/ip_forward 　　当数据包进入入侵防御模块时,IP转发功能己经打开,内核会根据数据包的地址信息和自身的路由表将其转发。 　　入侵防御模块是网络入侵防御系统实现的关键,由数据包接收、数据包检测、入侵响应三个部分组成。每个入侵防御模块由Snort_inline和IPtables配置的Netfilter防火墙联动组成的IPS构成。 　　1.数据包接收 　　数据包接收过程是事件产生器,由Netfilter钩子程序、IPta