防火墙和入侵检测联动响应策略研究.docVIP

防火墙和入侵检测联动响应策略研究 　　摘要：防火墙和入侵检测是目前使用最为广泛的两种技术，如何将二者结合在一起，实现一个动静结合，关联互动的安全体系，已成为网络安全一个新的发展方向。采用联动模块将防火墙模块和入侵检测模块联系在一起，通过分析报警信息，处理、制定、调整相关安全策略，实现二者的联动。 　　关键词：防火墙；入侵检测；联动响应策略 　　 　　1 引言 　　 　　随着计算机技术的快速发展，网络应用已经在全球得以推广，人类已经进入了网络时代。电子邮件，远程教育，电子商务等，使人类充分享受到了计算机及其网络带来的无穷魅力。我国作为经济发展最快的国家，互联网更是得到了飞速的发展。然而，网络安全也同时成为人们日益关注且必须解决的问题。一方面，计算机网络实现机制本身的缺陷为网络安全带来了隐患，网络的基本协议是TCP/IP协议，该协议在实现上力求效率，而没有考虑安全因素，所以说TCP/IP本身在设计上就是不安全的。另一方面，网络黑客，商业间谍出于各种目的，针对网络的安全缺陷发掘出大量的网络攻击手段，对人们在网络上传输的信息进行各种方式的窃取和破坏，如果这些信息是重要的，有价值的，就可能对用户或网络造成无法挽回的损失。网络安全已经成为网络发展的主要障碍，网络安全问题的解决与否直接关系到计算机网络在未来世界的存在。 　　 　　2 联动技术产生的背景及方式 　　 　　网络安全技术总体看来，可划分为两种：静态和动态安全技术。静态安全技术实现的方法有防火墙，VLAN技术，加密技术，身份验证等。动态安全技术实现的方法有入侵检测，网络陷阱等。 　　目前，防火墙和入侵检测技术使用最为广泛。为了克服防火墙在实际应用中存在的局限，防火墙厂商率先提出了联动思想。防火墙是实施访问控制策略的系统，对流经网络的流量进行检查并拦截不符合安全策略的数据包，可以保护处于它身后的网络不受外界的侵袭和干扰。但同时，防火墙提供的是静态防御，对于实时的攻击或异常的行为不能做出实时反应；防火墙无法自动调整策略设置以阻断正在进行的攻击，也无法防范基于协议的攻击；防火墙完全不能防止来自网络内部的袭击，不能防止来自内部用户们带来的威胁；传统的防火墙在工作时，入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门；防火墙对于病毒和病毒蠕虫的侵袭束手无策，不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击等[1]。 　　入侵检测则弥补了防火墙的不足：通过旁路监听的方式不间断地收取网络数据，对网络的运行和性能无任何影响；同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说入侵检测系统(IDS)可以弥补防火墙的不足，它通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，为网络安全提供实时的入侵检测及采取相应的防护手段。 　　防火墙与入侵检测系统联动是联动体系中重要的一环，这是因为这两种技术具有较强的互补性。将二者结合起来互动运行，防火墙便可通过IDS及时发现其策略之外的攻击行为，IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。IDS与防火墙有效互动就可以实现一个较为有效的安全防护体系，可以大大提高整体防护性能，解决了传统信息安全技术的弊端、解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题[2]。 　　目前，实现入侵检测和防火墙之间的联动有两种方式。一种是紧密结合，即把入侵检测系统嵌入到防火墙中，即入侵检测系统的数据来源不再来源于抓包，而是流经防火墙的数据流。所有通过的包不仅要接受防火墙检测规则的验证，还需要经过入侵检测，判断是否具有攻击性，以达到真正的实时阻断，这实际上是把两个产品合成一体。第二种方式是通过开放接口来实现联动，即防火墙或者入侵检测系统开放一个接口供对方调用，按照一定的协议进行通信、警报和传输。目前开放协议的常见形式有：安全厂家提供IDS的开放接口，供各个防火墙厂商使用，以实现互动。这种方式比较灵活，不影响防火墙和入侵检测系统的性能[3]。 　　 　　3 联动模型框架研究 　　 　　入侵检测和防火墙联动系统，由三部分组成，入侵检测模块，防火墙模块和联动模块。系统各部分主要功能描述如下： 　　IDS通过系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中潜在的违反安全策略的行为和被攻击的迹象，并通过自身响应插件产生报警信息。IDS接口负责把报警信息翻译成系统通用信息格式，并调用策略日志中IDS报警性能数据，如误报率等，并跟据这些数据生成可信性矩阵，连同报警信息传给分析组建进行分析。预分析组件分析这些入侵信息属于新入侵或是属于正在进行的入侵。如果这些信息代表了一次新的入侵，则生成一个新的分析组件来处理这次入侵并列出相应的响应