基于LINUX下桥模式入侵检测系统研究.docVIP

基于LINUX下桥模式入侵检测系统研究 　　[摘要] 本文设计的基于Linux2.6内核桥模式的入侵检测系统，有别于传统网络入侵检测系统旁路监听的方式，它使用了桥模式的入侵检测方式，对数据包的检测在数据链路层进行，以此达到数据包检测快速、高效的目的。对该系统在真实网络环境下进行的正常访问及入侵测试试验表明：本文设计的基于Linux桥模式的入侵检测系统达到了无漏报、快速、高效的效果，可以有效的检测入侵，同时保障了对正常访问的响应。 　　[关键词] 入侵检测系统 Linux 网络安全 桥模式 　　 　　一、引言 　　入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。常见的有基于网络的入侵检测和基于主机的入侵检测系统:基于主机的入侵检测系统HIDS（HOST Intrusion Detection System）实时监视可疑的连接、非法访问的闯入等；基于网络的入侵检测系统NIDS（Net Intrusion Detection System）在关键的网段或交换部位侦听。在实际的部署中，传统NIDS是并接在网络中，通过旁路监听的方式实时地监视网络中的流量，判断其中是否含有攻击的企图。 　　传统NIDS工作在应用层和网络层。所抓的数据包由底层向上传，经过分析判断后再向下送，有较长的网络延迟。而且特征代码库中特征代码的匹配的计算量大，计算速度慢，容易形成网络瓶颈。当攻击者向被保护网络发送大量的数据，超过NIDS的处理能力，从而使被监听的端口流量总和超过监听端口的上限，会发生丢包的情况，而可能导致入侵行为漏报“false negative”。还有，当Web 服务器已超载，不能够再处理更多的连接请求时， NIDS会以为该服务器正在受到拒绝服务的攻击，容易出现假警报“false positive”(误警)，将良性流量误认为恶性的。 　　据统计，目前NIDS的告警信息中，仅有10%是有用的，因此需要提高NIDS的检测速度，无遗漏的检测数据包，进行快速处理以适应高速网络通信的要求。 　　二、基于Linux内核桥模式的网络入侵检测系统的改进思想 　　1.传统NIDS是旁路接入一个网络（或与集线器连接，或接入交换机的SPAN端口），通过旁路监听的方式实时地监视网???流量。基于Linux环境下桥模式的NIDS改进了旁路连接，使其成为网络的一部分，将它部署到网络的必经之处，使数据包必须经过该NIDS，以此来强制完成对网络中所有流经的数据包的检测，从而避免了入侵的漏报（false negative），达到数据包的无遗漏检测，这是网桥模式NIDS优于传统NIDS的一个重要特点。 　　2.由于一个网桥更像一段网线，将一个网络的两个部分连接在一起。一个透明NIDS像网桥一样工作，检测通过它的数据包而不被两端设备发现。一个桥模式的NIDS的网卡不分配任何IP地址，对于现有网络拓扑结构透明，丝毫不影响网络管理人员的路由分析，减轻了网络管理人员的负担。由于系统结构的透明性，可以在网络中添加一个IDS而不需要修改网络中任何设备的参数。桥模式有效的把NIDS本身隐藏起来，使其成为用户攻击的一个盲点，解决了NIDS自身的安全性问题。 　　3.传统NIDS是在应用层和网络层完成客户端的显示，数据包的分析与检测，特征码的存储等任务，在做数据包截取和分析时，所抓的数据包由底层向上传送到应用层，然后解开包头，读取相关信息进行分析匹配，经过分析判断后重新包装包头，再向下送，把它从应用层送到数据链路层通过网卡传送出去，大大增加了网络延迟。而且特征代码库中特征代码匹配的计算量大，计算速度慢，容易形成网络瓶颈。 　　这种基于底层的NIDS对数据包的获取、分析与处理都不在网络层和应用层，而在链路层，通过网桥模式来完成，由内核直接处理数据包，根据桥检测模块的判断，让数据包通过或是丢弃。对于不能在数据链路层明确判断的数据包，传送到上层，在网络层进一步通过特征代码库进行高级匹配，这样的工作方式可以加快数据包的处理速度，节省数据包的处理的时间，减小网络延迟。同时采用了内核包检测分析原理，使NIDS在遭到攻击时检测并以不同的方式向系统报警，以保证合法数据包的正常通过。 　　4.Linux的稳定性、可靠性和安全性，给NIDS提供了稳定的运行环境。Linux的开放性及模块设计技术，使Linux内核功能更容易扩展，能够灵活的把IDS桥检测程序模块加载到内核。 　　三、基于Linux内核桥模式的网络入侵检测系统的设计和实现 　　1.桥模式的建立 　　在本课题的研究中，将多块网卡变成一个桥接设备，从而搭建起网桥，每一个网卡就是桥的一个端口，在桥的端口之间完全透明的转发数据包。采用Linux2.6内核下的b