基于Linux小型网络入侵检测防御系统设计.docVIP

基于Linux小型网络入侵检测防御系统设计 　　摘要 随着Linux操作系统与网络技术的迅猛发展，基于Linux操作系统的小型网络安全形势也日趋严峻和复杂化。网络入侵者的攻击技术与攻击手段也在不断变化，构建高效的入侵检测防御系统是保护计算机网络安全的直接解决途径。本文通过分析常见的网络攻击方式，对Linux操作系统下对网络入侵检测防御系统的设计原理进行了浅要的研究。 　　关键词 linux；网络入侵；防御；系统设计 　　中图分类号TP393 文献标识码A 文章编号 1674-6708（2011）34-0178-02 　　0 引言 　　随着Linux操作系统与网络技术的迅猛发展，基于Linux操作系统构建的小型网络安全形势也日趋严峻和复杂化，各种计算机安全事件的数量正在不断增长。面对小型网络的安全防御问题，如何构建安全的网络入侵检测防御系统，成为目前计算机网络面临的首要问题。由于网络入侵者采用的攻击技术与攻击手段不断地变化，功能更为强大，更具针对性和欺骗性，构建高效的入侵检测防御系统是保护计算机网络安全的直接解决途径。目前，在Linux环境下的主流入侵防御技术是构建特征入侵的防御系统。特征入侵，就是网络或系统中存在违反安全策略的行为和攻击行为。入侵检测防御系统，就是采用主动的入侵检测技术检测系统中的这些违反安全策略行为和攻击行为的系统。作为一种重要的安全防护工具，入侵检测防御系统的作用已经超过了防火墙的概念。本文通过分析常见的网络攻击方式，对Linux操作系统下对网络入侵检测防御系统的设计原理和设计实现进行了探讨。 　　1 入侵检测防御系统 　　入侵检测防御系统是为了检测黑客通过病毒等手段有意攻击计算机网络和计算机系统而构建的检测防御系统。入侵检测防御系统应具有捕获符合指定条件的网络数据包、数据预处理、入侵分析以及告警、简单防御攻击行为、诱骗攻击者、获取对方攻击意图、获取攻击者的简单资料等信息的能力。 　　2 常见的网络攻击方式 　　如果想要避免Linux网络遭受黑客的攻击，就必须对黑客的攻击方法、攻击原理以及攻击过程有深入详细的了解。这样才能设计出有效的主动检测防御系统。在Linux网络系统中，常被攻击的方式主要有Synflood攻击、Ping Flood攻击、Smurf攻击、Teardrop攻击、Land攻击、ICMP扫描/TCP扫描/UDP扫描等等。 　　2.1 Synflood攻击 　　Synflood攻击属于DoS攻击的一种，是最基本的入侵攻击手段之一，也是最难对付的入侵攻击手段。具体表现方式是在计算机进行网络通信时，服务器接到用户端的SYN包后，回应用户端一个SYN/ACK包，然后等待用户端的ACK回应包进行确认时，用户端不发送ACK包而导致服务器一直等待，致使服务器一直等待对应用户端回应而无法响应其他机器的连接请求时，就可认定为Synflood攻击。 　　2.2 Ping Flood攻击 　　Ping Flood攻击的原理是由于操作系统等对传输文件包的长度有限制，如ICMP包的64 KB规定，当发送者产生长度超过64Kb的文件包时，就会导致内存错误、TCP/IP堆栈崩溃的情况。目前，大多数系统对Ping Flood攻击都有一定的抵抗能力。 　　2.3 Smurf攻击 　　Smurf攻击的原理是将某数据包的回复地址设置成被攻击网络的地址，当网络中某台机器使用被攻击的网络地址发送一个被设置的数据包时，就会收到多个相应的数据包，Smurf攻击就是通过数据包阻塞被害网络的方式进行攻击，导致该网络的所有机器都对此数据包的请求都做出答复，最终导致网络的阻塞，甚至崩溃。 　　2.4 Teardrop攻击 　　Teardrop攻击方式是采用病态的 UDP数据包进行攻击。当操作系统收到病态的UDP数据包后，产生内存错误而导致系统崩溃。在识别Teardrop攻击时，一般是通过检测UDP数据包的完整性和IP包I号是否为242来确认的。 　　2.5 Land攻击 　　Land攻击中，一个特别打造的SYN包的源地址和目标地址都被设置成某个服务器的地址。当服务器接收自己发送的SYN/ACK消息时，就会创建一个空的连接，每个连接都将保留到超时，从而出现系统的崩溃现象。在检测时，对同一端口的大量TCP/SYN包，如果源地址和目标地址相同，就可认定为是Land攻击。 　　3 入侵检测防御系统的设计原理 　　随着计算机网络技术的发展，依靠主机自我审计信息的检测方式已经难以适应快速发展的网络安全需求，而基于规则匹配的入侵检测技术日益发展成熟。由于规则库的完善，相应的误报率也得到了有效控制。因此，可采用扩展性好、可移植佳、开源的Snort作为系统检测模块，以二级链表方式组织规则库，将协议类型、源地址/端口分类合