基于Linux入侵防御系统研究与实现.docVIP

基于Linux入侵防御系统研究与实现 　　摘要：首先分析了在Linux操作系统下入侵防御系统的三种体系结构，然后给出了一种建立入侵防御系统的具体实现，最后讨论了进一步需要研究的问题。 　　关键词：防火墙； 入侵防御系统； 入侵检测； Linux； netfilter/iptables； Snort 　　中图分类号：TP309 　　文献标志码：A 　　文章编号：1001-3695（2007）09-0102-02 　　 　　随着网络技术的不断发展，网络安全成了极其重要的问题。为了保障网络安全，人们采用了很多保护措施。其中，防火墙和入侵检测是最常被采用的网络安全技术。防火墙是一种被动的访问控制技术，一般被安置于Internet与被保护子网之间。它需要事先设计好规则才能对传输的数据包进行检查从而保护子网不受攻击。在网络中单独使用防火墙存在着不能防范内部攻击等许多潜在的问题;同时，由于入侵技术不断发展使得全面配置防火墙规则变得更加困难。入侵检测系统(IDS) 是一种能够主动保护自己不受攻击的网络安全技术，它从计算机网络的某些关键点收集并分析数据包，从而发现危害网络安全的行为。按照收集的信息源IDS 可分为基于主机的IDS(host??based IDS,HIDS) 和基于网络的IDS (network??based IDS)。IDS从系统内部和各种网络资源中主动采集信息，从中分析可能的网络入侵或攻击。入侵检测系统在发现入侵后，会及时作出一些相对简单的响应，包括记录事件和报警等。显然，这些入侵检测系统自动进行的操作，对于网络安全来说远远不够。因此，单独采用防火墙和入侵检测系统都不能很好地解决网络安全问题。如果把两者结合起来，则可以更大限度地实现网络安全：IDS 对网络进行监控，提供内部和外部攻击的实时保护，并对防火墙规则加以动态修改；防火墙则控制IDS 的数据流量，提供对IDS 的安全保护。 　　 　　1入侵防御系统的体系结构分析 　　 　　Linux 操作系统自问世以来，因其开放源代码而被广泛应用。Linux2. 4 内核以上版本使用iptables构建基于netfilter框架的防火墙，可以实现数据包过滤、数据包处理以及地址转换等功能。 　　Snort系统是一个以开放源代码形式发行的轻量级网络入侵检测系统。它由数据包解析器、检测引擎和报警三个子系统组成。所有这些子系统都是建立在数据包截获库函数接口libpcap的基础之上。Libpcap为它们提供了可移植的数据包截获和过滤机制[1]。由于Snort源代码开放，可以方便地对其进行修改和定制，使其能与Linux原有的防火墙netfilter/iptables系统联动。这样Snort在检测到网络攻击的情况下，可以对攻击包进行丢弃或拒绝等操作，而不是简单地报警或记录日志，从而可以对外界的随机进攻及时作出响应，保护系统的正常运行[2]。正因为如此，某些商用IPS，如Securicore公司的border guard gateway也采用Snort系统[7]。 　　目前，利用netfilter/iptables和Snort构成的入侵防御系统有三种体系结构： 　　a）将Snort和iptables结合是IPS最直观的一种实现方案。利用Linux强大的进程间通信( IPC)机制可以实现它们之间的结合。 　　b）Netfilter/iptables均处于系统内核空间。Netfilter提供了一种可靠的异步数据包处理机制,任何时候在任何netfilter规则链中,数据包都可以被排队转发到用户空间中去。在用户空间中, Snort对数据流进行检测,分辨出正常流量和可疑流量,并调用libipq库函数ipq_set_verdict ( )进行判决,判决后将数据流返还给内核,Netfilter根据判决的结果阻塞攻击,而放行正常的流量。 　　c）前两种工作在网络层，这种方式工作在链路层，不需要TCP / IP协议栈的支持,也不需要IP地址,只需将网络接口置于混杂模式。Snort利用自己解码模块在高层进行数据检测，提高了效率。 　　这三种方式各有优缺点。第二种方式Snort的数据检测是网络瓶颈，第三种方式可移植性差，所以本文决定采用第一种方式。 　　 　　2系统设计 　　 　　2.1系统结构 　　由于采用第一种方式，Snort工作在网络层，对内外网是不透明的。为了避免这个问题，Snort与netfilter/iptables通信采用私网地址。其系统模型如图1所示，系统结构如图2所示。这里需要将Snort主机所连的核心交换机端口作为端口镜像，确保所有数据包发到此端口。 　　2.2优化检测引擎 　　Snort 的核心部件检测引擎由规则组织和规则匹配[1]两部分构成。