网络入侵防御系统的技术研究和实现
基于人工智能的网络入侵检测与防御系统研究
基于人工智能的网络入侵检测与防御系统研究篇一:基于人工智能的网络入侵检测与防御系统研究摘要:随着互联网的不断发展,网络入侵事件也层出不穷,给企业和个人带来了严重的损失。
传统的网络入侵检测与防御系统的方法已经不再适用于当前复杂多变的网络环境。
本论文将研究基于人工智能的网络入侵检测与防御系统,并探讨其优势和挑战。
首先介绍了人工智能在网络安全领域的应用现状和前沿技术,并对网络入侵的特点和分类进行了分析。
然后研究了基于人工智能的网络入侵检测技术,包括传统机器学习方法、深度学习方法和强化学习方法。
接着讨论了基于人工智能的网络入侵防御技术,包括入侵响应与对抗、安全策略生成与优化等。
最后对基于人工智能的网络入侵检测与防御系统进行了评估和展望。
实验结果表明,基于人工智能的网络入侵检测与防御系统能够提高网络安全性能,然而还存在一些挑战需要解决。
关键词:人工智能;网络入侵检测;网络入侵防御;机器学习;深度学习;强化学习第一章绪论1.1 研究背景随着信息技术的飞速发展,互联网已经成为人们生活和工作不可或缺的一部分。
然而,互联网的普及也带来了诸多安全隐患,网络入侵事件层出不穷,给个人和企业带来了严重的损失。
传统的网络入侵检测与防御系统通常基于特征匹配和规则引擎,其缺点是无法应对复杂多变的网络攻击。
因此,研究一种能够自动学习和适应网络环境变化的网络入侵检测与防御系统具有重要的意义。
1.2 研究目的与意义本论文的研究目的是探讨基于人工智能的网络入侵检测与防御系统的方法和技术,以提高网络的安全性能。
通过分析和研究现有的人工智能技术在网络安全领域的应用现状和前沿技术,提出一种基于人工智能的网络入侵检测与防御系统的设计方案。
希望通过本研究能够为网络安全提供一种新颖的解决方案,并对未来的研究和实践具有一定的指导意义。
第二章人工智能在网络安全中的应用现状与前沿技术2.1 人工智能在网络入侵检测中的应用现状网络入侵检测是网络安全的基础,其主要目标是通过分析网络流量数据来识别和预测网络攻击。
基于深度学习的网络入侵检测与防御技术研究
基于深度学习的网络入侵检测与防御技术研究引言:网络安全问题一直是互联网发展中不可忽视的方面之一。
随着信息技术的迅猛发展,网络入侵事件也日益增多,给社会带来了巨大的损失。
传统的网络入侵检测与防御方法往往局限于规则匹配和特征提取,无法适应新型入侵行为的变化。
基于深度学习的网络入侵检测与防御技术的出现,为网络安全提供了创新的解决方案。
本文旨在探讨基于深度学习的网络入侵检测与防御技术的研究现状和应用前景。
一、基于深度学习的网络入侵检测技术原理1. 传统网络入侵检测方法的局限性传统网络入侵检测方法主要基于规则匹配和特征提取,但这些方法无法应对新型入侵行为的变化,且存在较高的误报率和漏报率。
2. 深度学习在网络入侵检测中的应用深度学习作为一种强大的机器学习技术,通过构建多层神经网络模型,能够自动从原始数据中学习和提取特征,从而实现对网络入侵行为的准确检测。
3. 基于深度学习的网络入侵检测技术原理基于深度学习的网络入侵检测技术主要分为数据预处理、特征提取和分类预测三个步骤。
其中,数据预处理主要包括数据清洗和归一化;特征提取通过设计合适的神经网络结构,实现对网络数据的特征学习;分类预测则利用已训练好的模型对新的网络数据进行入侵判断。
二、基于深度学习的网络入侵检测技术的优势1. 高准确率基于深度学习的网络入侵检测技术能够自动从原始数据中学习和提取特征,相较于传统方法,其分类准确率更高,对新型入侵行为有更好的应对能力。
2. 自适应性基于深度学习的网络入侵检测技术具有较强的自适应性,能够自动学习和适应网络环境的变化,对网络入侵行为的检测能力更加稳定。
3. 抗干扰能力基于深度学习的网络入侵检测技术对于网络噪声和干扰具有较好的抑制能力,降低了误报率和漏报率。
三、基于深度学习的网络入侵防御技术研究现状1. 基于深度学习的入侵防御系统基于深度学习的入侵防御系统主要通过分析网络数据流量和行为模式,检测出隐藏在数据中的入侵行为,并及时采取相应的防御措施。
基于行为分析的网络入侵检测与防御技术研究
基于行为分析的网络入侵检测与防御技术研究随着互联网的快速发展,网络安全问题日益突出。
网络入侵成为了互联网中的一大威胁,给个人、企业和国家带来了巨大的损失。
作为网络安全的重要组成部分,网络入侵检测与防御技术的研究和应用具有重要意义。
本文将以基于行为分析的网络入侵检测与防御技术为主题,探讨其技术原理、方法和应用。
一、引言网络入侵指的是未经授权的访问、使用、修改或破坏计算机系统或网络资源的行为。
网络入侵检测与防御旨在通过实时监控和分析网络流量,及时识别和阻止恶意行为,保护网络安全。
二、基于行为分析的网络入侵检测技术基于行为分析的网络入侵检测技术是一种通过分析和监控系统和用户的行为模式来判断是否存在入侵行为的方法。
它与传统的基于特征匹配的入侵检测技术相比,具有更好的适应性和及时性。
1. 行为分析模型的构建行为分析模型是实现基于行为分析的网络入侵检测的关键。
它包括对正常行为和异常行为的建模,并利用机器学习和数据挖掘技术进行训练和分类。
2. 数据采集与处理基于行为分析的网络入侵检测需要采集大量的网络数据,包括网络流量、日志、系统事件等。
然后对数据进行预处理和特征提取,为后续的行为分析打下基础。
3. 异常行为检测基于行为分析的网络入侵检测的核心任务是检测出网络中的异常行为。
其中,异常行为的定义和检测方法是研究的重要方向。
常用的检测方法包括基于规则的检测和机器学习算法。
三、基于行为分析的网络入侵防御技术基于行为分析的网络入侵防御技术主要通过对网络流量的实时监控和分析,采取相应的防御措施来阻止入侵行为的发生。
1. 网络入侵响应系统网络入侵响应系统是一种集成了入侵检测与防御功能的综合安全解决方案。
它能够实时监控网络流量,发现异常行为并采取相应的防御措施。
常见的响应措施包括断连与隔离、警报与记录等。
2. 用户教育与培训网络入侵防御不仅依赖于技术手段,还需要用户的主动参与和合作。
因此,开展网络安全教育与培训对提高网络入侵防御的效果有着重要作用。
网络攻防系统的设计与实现
网络攻防系统的设计与实现随着现代科技的不断发展,网络安全攻防战也愈趋激烈。
攻击者和防御者之间的竞争愈加激烈,网络攻防系统的设计和实现变得至关重要。
在这篇文章中,我们将探讨网络攻防系统的设计和实现。
一、网络攻防系统概述网络攻防系统是指一组软件、硬件和流程,旨在保护计算机网络和系统免受未经授权或不当访问、使用、泄露、破坏等威胁和风险的伤害。
网络攻防系统可以分为四个模块:边界安全、主机安全、网络安全和安全管理。
边界安全模块包括网络防火墙、入侵检测系统、虚拟专用网和反病毒软件等,用于控制和监控网络边界,并保护网络免受外部攻击。
主机安全模块包括操作系统安全、应用程序安全和管理员权限管理等,用于保护主机免受内部和外部攻击。
网络安全模块是通过加密、身份验证和安全协议等技术,保护网络中传输的数据和信息免受窃听、篡改等风险。
安全管理模块是用于制定安全策略和规程,管理网络和系统的安全,包括安全事件管理、日志管理和漏洞管理等。
二、网络攻防系统的设计1.需求分析在设计网络攻防系统之前,需要对系统的需求和要求进行详细分析。
主要包括安全性、可靠性、易用性和可扩展性等方面的要求。
安全性是最重要的要求,需要对外部和内部攻击进行有效的防御和检测。
可靠性是指系统应该能够稳定运行,且在遭受攻击后仍能保持正常工作。
易用性是指系统应该简单易用,管理员和终端用户可以通过简单的操作来使用和管理系统。
可扩展性是指系统应该能够灵活扩展和升级,以适应未来的需求和挑战。
2.系统设计根据需求分析的结果,可以开始进行网络攻防系统的设计。
设计阶段主要包括架构设计、模块设计和安全策略设计等。
架构设计是网络攻防系统的基础,可以采用分层架构和模块化设计。
分层架构可以将系统分为不同的层级,每个层级负责自己的功能。
模块化设计可以将系统分为若干个模块,在模块之间进行数据交换和通信。
模块设计是根据需求分析的结果,将架构层次上的模块进行实现。
每个模块包括边界安全、主机安全、网络安全和安全管理等,各模块之间相对独立但又互相关联。
网络攻击检测与防御技术研究
网络攻击检测与防御技术研究摘要:随着互联网的快速发展,网络攻击的威胁日益严重。
网络攻击检测与防御技术的研究对于保护网络安全至关重要。
本文将深入探讨网络攻击检测与防御技术的研究现状和挑战,并介绍一些常见的网络攻击检测与防御技术,如入侵检测系统(IDS)、入侵预防系统(IPS)等。
此外,我们还将分析一些网络攻击的实例和发现网络攻击的方法,进一步说明网络攻击检测与防御技术的重要性。
1. 引言随着信息技术的高速发展,网络攻击已经成为对网络安全构成威胁的重要因素之一。
网络攻击的方式多种多样,包括端口扫描、DDoS攻击、恶意软件等。
尽管网络管理员部署了各种防御措施,但网络攻击依然是一个持续不断的威胁。
因此,研究网络攻击检测与防御技术成为至关重要的任务。
2. 网络攻击检测技术网络攻击检测是指通过监控网络流量和系统活动来发现潜在的网络攻击。
常见的网络攻击检测技术包括入侵检测系统(IDS)、入侵预防系统(IPS)等。
IDS通过对网络流量和系统日志的实时监测,识别和报告潜在的入侵行为。
而IPS不仅可以检测到入侵行为,还可以采取自动防御措施,如封堵攻击源IP地址。
传统的IDS和IPS主要基于特征检测和模式匹配算法,但这种方法容易受到零日攻击等新型攻击的绕过。
3. 异常检测技术为了解决传统网络攻击检测技术的缺陷,研究者们开始关注基于机器学习和数据挖掘的异常检测技术。
异常检测技术通过学习网络流量和系统行为的正常模式,然后检测出与正常模式不一致的异常行为。
这种方法不依赖于特定的攻击特征,可以更好地应对未知的攻击类型。
常见的异常检测技术包括基于统计的方法、基于聚类的方法、基于关联规则的方法等。
4. 网络攻击防御技术网络攻击防御技术主要包括网络边界防御和主机防御。
网络边界防御主要通过防火墙、入侵防御系统等技术来防止未经授权的访问和恶意流量的进入。
而主机防御则通过安全补丁、防病毒软件等技术来保护主机免受攻击。
此外,安全意识教育也是防御网络攻击的重要环节,用户在使用网络时需要保持警惕,并且了解识别网络攻击的常见方法。
网络安全防护中的入侵防御技术
网络安全防护中的入侵防御技术网络安全是当今互联网时代所面临的一个重要问题。
随着互联网的快速发展和普及,网络攻击的频率和手段也越来越多样化和复杂化。
为了保护个人、组织和国家的网络安全,入侵防御技术成为了至关重要的一环。
本文将探讨网络安全防护中的入侵防御技术,包括入侵检测系统(IDS)和入侵防御系统(IPS)。
一、入侵检测系统(IDS)入侵检测系统(IDS)是一种用于监控和检测网络流量中异常活动的技术。
它通过对网络数据包进行分析,识别出潜在的入侵事件,并及时发出警报。
IDS通常分为两种类型,即网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)。
1.1 网络入侵检测系统(NIDS)网络入侵检测系统(NIDS)是一种部署在网络边界的设备,用于监控网络中的流量和数据包。
NIDS能够识别和分析来自互联网的入侵行为,如端口扫描、入侵尝试等。
NIDS的工作原理是通过对网络流量进行实时监控和分析,与已知的入侵行为进行匹配,识别出潜在的入侵事件。
1.2 主机入侵检测系统(HIDS)主机入侵检测系统(HIDS)是一种安装在主机上的软件,用于监控主机上的活动和事件。
HIDS可以捕获并分析主机上的日志、文件和进程信息,以识别潜在的入侵事件。
与NIDS不同,HIDS更加关注主机内部的异常行为,如恶意软件的运行、异常的系统调用等。
二、入侵防御系统(IPS)入侵防御系统(IPS)是在入侵检测系统的基础上发展而来的技术。
与IDS不同,IPS不仅可以检测出入侵行为,还能主动地采取措施阻止入侵的发生。
IPS通常分为两种类型,即主机入侵防御系统(HIPS)和网络入侵防御系统(NIPS)。
2.1 主机入侵防御系统(HIPS)主机入侵防御系统(HIPS)是一种部署在主机上的软件,用于实时检测和防御主机上的入侵行为。
HIPS通过监控主机上的系统调用、文件操作等活动,对异常行为进行检测,并根据预设规则进行相应的防御措施。
HIPS可以防止恶意程序的运行、阻止未经授权的访问等。
网络入侵检测系统的设计与实现
网络入侵检测系统的设计与实现网络入侵是指未经授权的用户或程序试图进入网络系统或获取网络系统中的信息,从而危害网络系统的安全。
为了保护网络系统和用户信息的安全,网络入侵检测系统(Intrusion Detection System,简称IDS)应运而生。
本文将探讨网络入侵检测系统的设计与实现。
一、网络入侵检测系统的概述网络入侵检测系统是一种安全机制,旨在监控网络流量和系统活动,及时发现并响应入侵事件。
IDS可以分为两种类型:主机入侵检测系统(Host-based IDS,简称HIDS)和网络入侵检测系统(Network-based IDS,简称NIDS)。
HIDS通过监控主机上的日志、文件系统和进程来检测入侵行为。
NIDS则通过监听网络流量来检测恶意行为。
二、网络入侵检测系统的设计原则1. 多层次的检测机制:网络入侵检测系统应该采用多层次的检测机制,包括特征检测、异常检测和行为分析等。
这样可以提高检测的准确性和可靠性。
2. 实时监测和响应:网络入侵检测系统应该能够实时监测网络流量和系统活动,并能够及时响应入侵事件,以减少安全漏洞造成的损失。
3. 自动化运行和管理:网络入侵检测系统应该具备自动化运行和管理的能力,能够自动分析和处理大量的网络数据,并及时警示安全人员。
4. 数据集成和共享:网络入侵检测系统应该能够与其他安全设备和系统进行数据集成和共享,以提高整体安全防御的效果。
5. 可扩展性和可升级性:网络入侵检测系统应该具备良好的可扩展性和可升级性,能够适应网络环境的变化和攻击手段的演变。
三、网络入侵检测系统的实现步骤1. 网络流量监控:网络入侵检测系统需要通过监听网络流量来获取数据,一种常用的方法是使用网络数据包嗅探技术。
嗅探器可以捕获网络中的数据包,并将其传输到入侵检测系统进行分析。
2. 数据预处理:网络流量经过嗅探器捕获后,需要进行数据预处理,包括数据的过滤、去重和压缩等。
这样可以减少存储和处理的数据量,提高系统的效率。
计算机网络攻防技术的研究及应用
计算机网络攻防技术的研究及应用随着互联网的普及,计算机网络已经成为了人们日常生活中不可或缺的一部分。
然而,网络中也面临着各种各样的攻击,而这些攻击有可能会带来诸如个人信息泄露、网络崩溃等严重后果。
因此,在此背景下,计算机网络攻防技术的研究及应用成为了当前计算机网络领域中的一个重要研究方向。
一、什么是计算机网络攻防技术计算机网络攻防技术,顾名思义即是对计算机网络进行攻击和防御的技术。
攻击意味着攻击者对于网络系统进行非法、无授权、恶意的访问,目的在于获取系统中的信息、制造破坏、侵犯他人隐私等恶意目标。
而网络防御则是一种保护技术,其目的是在发生网络攻击时,能够及时发现和制止此类攻击,并修复其对系统造成的损害。
二、计算机网络攻防技术的分类根据其研究对象,计算机网络攻防技术可分为以下几类:1.网络渗透测试网络渗透测试是指对于已有授权的网络进行测试,以发现系统中的漏洞和弱点。
一般常用的测试方式为黑盒测试和白盒测试。
黑盒测试是指测试者根据公开的信息进行测试,没有通过系统管理员获得进一步的信息;白盒测试是指测试者拥有足够的系统访问权限,可以根据系统内部信息进行测试。
2.网络监控与防御网络监控与防御是指对于已有授权的网络进行监控,以及在监控到异常情况时能够及时发现并进行修复。
3.密码学技术密码学技术是指使用密码学算法来加密、解密数据的技术,旨在防止信息泄露和未授权的获取。
三、计算机网络攻防技术的应用计算机网络攻防技术在现代社会中有着广泛的应用,下面针对其中的几个方面进行阐述:1.网络安全产品网络安全产品是网络防御技术的一种具体应用。
一般包括防火墙、入侵检测系统、漏洞扫描器等。
这些产品大大提高了网络攻防的效率,保障了网络系统的安全。
2.网站黑客攻击与防御网站黑客攻击与防御常用的技术有数据加密、代码混淆、访问控制等。
数据加密可以防止攻击者通过抓包等方式获取网站的敏感信息;代码混淆则是对网站代码进行混淆处理,防止攻击者通过逆向工程等方式获取网站的源代码;访问控制则是对网络资源进行访问控制,限制非法访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
小型网络入侵防御系统的技术研究和实现王新留 谷利泽 杨义先北京邮电大学网络与交换技术国家重点实验室 信息安全中心 100876wxl322520@摘要:针对小型网络的安全防御问题,利用开源IDS(Intrusion Detection System)-Snort,设计了一种IDS告警的融合、过滤机制,实现了IDS和防火墙的智能化联动,并且在入侵检测中成功引入漏洞扫描技术。
通过将入侵检测技术、防火墙技术和漏洞扫描技术三者融合在一起,本文构建出一种适用于小型网络的入侵防御系统。
关键词:IDS,IPS,防火墙,漏洞扫描,SnortResearch and implementation on small-typed networkIntrusion Prevention SystemWang XinLiu Gu Lize Yang YixianInformation Security Center, State Key Laboratory of Networking and Switching Technology, BeijingUniversity of Posts and Telecommunications 100876wxl322520@Abstract: Focusing on the problem of small-typed network security prevention, using the open source IDS(Intrusion Detection System)-Snort, a kind of mechanism for fusing and filtering IDS’s alerts is designed, the intelligent interaction between Snort and firewall is completed, and the vulnerability scanning technology is successfully introduced into the intrusion detection. Through integrating IDS, firewall, and vulnerability scanning technology together, an Intrusion Prevention System for small-typed network is built by this paper.Key words: IDS, IPS, firewall, vulnerability scanning, Snort1 引言网络安全是一个系统的概念,有效的安全策略和整体解决方案的制定是网络信息安全的首要目标。
IDS、防火墙等安全产品的简单堆垒在当前的威胁和攻击面前变得越来越脆弱。
因此,对安全产品的整合,逐渐被人们所关注,从IDS和防火墙的联动发展起来的入侵防御系统(Intrusion Prevention System, IPS)脱颖而出。
IPS是指不但能检测入侵的发生,而且能通过一定的响应方式,实时中止入侵行为的发生和发展,实时保护信息系统不受攻击的一种智能化的安全产品[2]。
它的出现弥补了防火墙及入侵检测系统单一产品的不足。
目前,一些研究人员研究实现了基于Snort与防火墙联动的入侵防御系统。
其原理是:当Snort 检测到入侵事件时,就往防火墙中动态添加防御规则,实时阻止入侵事件的发生。
这很大程度上弥补了防火墙和入侵检测系统单一产品的不足,并能实时中止入侵行为。
但是它们并没有引入好的告警融合、过滤机制,加上Snort的误报,这种简单的联动方式会造成防火墙中的阻塞规则过多,严重影响受保护子网用户正常的网络行为。
针对这些问题,本文设计的系统通过维护一个包含正被阻塞的攻击主机信息的阻塞队列、并在入侵检测中引入漏洞扫描技术,实现了对Snort告警事件的融合、过滤功能,以及Snort与防火墙的智能化联动。
即将一种简洁、快速的告警融合、过滤机制成功引入到本文设计的入侵防御系统中。
2 基于Snort的小型网络防御系统的设计与实现Linux操作系统中含有Netfilter模块,其中包含Iptables防火墙。
linux内核自2.3.47版本开始已具有内置的以太网桥功能。
Linux以太网桥是一台运行linux操作系统的计算机,该机器至少需要两个以太网卡,Linux可以将所在计算机的所有以太网卡转换成网桥的“逻辑端口”,从而使一台计算机具有网桥功能[5]。
通过将Linux以太网桥与Netfilter防火墙相结合,我们可以将一台带有两个以上以太网卡的运行linux操作系统的计算机配置成透明网桥式防火墙。
透明网桥式防火墙与传统防火墙相比,具有如下优势:由于以太网桥不需要IP地址,所以无论内部网络用户,还是来自外部网络的攻击者,都无法探测到该防火墙的存在,因此很难对该防火墙发动网络攻击;在linux网桥上不仅可以针对IP包和TCP/UDP包进行过滤,还可以过滤以太帧;部署基于网桥的防火墙,不需要改变现有的网络拓扑结构[4]。
本文设计的系统,就是部署在一台透明网桥式防火墙设备上,这台设备作为网桥连接在路由器和受保护子网的交换机之间。
这样,系统对用户和攻击者来说都是透明的,从而不会受到攻击。
部署了本文设计的系统的子网拓扑图如图1所示:透明网桥式防火墙(内嵌本文设计的路由器子网交换机子网windows主机(安装有用于漏洞扫描和补丁安装的代理)图1 部署了本系统的子网拓扑图2.1 系统的总体架构Snort是一个功能强大的轻型入侵检测系统,它的将告警输出到Unix域socket的输出插件,相当于一个告警输出的客户端。
用户通过编写服务器端程序,能获取Snort的告警输出信息,通过对这些告警信息进行解析,能及时采取相应的防御对策;Snort目前有8000多条规则,其中有将近半数是为针对Windows系统漏洞的攻击而设计的,如果Snort检测到针对windows系统漏洞的攻击事件时,系统能及时让子网windows主机打好相应的补丁,碰到后续类似的攻击事件时,系统就可以过滤掉这些告警,不作响应。
本文正是基于这种思想,利用Snort,Iptables防火墙,并且引入漏洞扫描技术,设计和实现了一个基于Snort的小型网络防御系统。
系统的总体架构如图2所示:图2 系统的总体架构图系统分有如下四大模块组成:1.Snort。
Snort是开源的IDS。
它是目前十分流行的、功能强大的一款轻型入侵检测系统。
作为本系统中的IDS,它用于检测入侵事件,并实时将告警信息传送给服务器程序。
2.服务器程序。
服务器程序是本系统的核心程序,它需要同时处理三件事情:监听和接收Snort 的告警输出;解析告警事件,作出相应的防御对策;处理来自管理页面的请求。
因此服务器程序采用多线程并发模式。
服务器程序由两大模块构成:告警输出处理模块和管理界面请求处理模块。
告警输出处理模块是服务器程序的核心模块,它负责接收Snort输出的告警信息,并对告警信息进行解析,然后采取相应的防御对策。
管理界面请求处理模块负责监听来自管理界面的各种操作请求,并且实时执行这些操作请求,然后返回给界面以执行结果信息。
3.管理界面。
管理界面相当于一个web服务器,提供一个用户友好的界面,供用户对系统进行操作管理。
用户操作包括:备份、维护告警日志信息库;添加、修改和删除阻塞队列中阻塞结点和防火墙规则链中对应的阻塞规则;更新、维护windows漏洞补丁库。
向windows主机代理下发漏洞扫描命令,获取子网各主机的漏洞信息,及时更新漏洞补丁库;向主机代理下发补丁升级命令,及时修复子网windows主机的系统漏洞。
4.主机代理。
主机代理安装在子网windows主机上,负责执行系统漏洞扫描和漏洞补丁安装操作。
当接收到漏洞扫描命令时,对本机进行漏洞扫描操作,并返回本机系统漏洞信息;当接收到补丁安装命令时,从服务器的漏洞补丁库中下载漏洞补丁,安装完毕后返回执行结果。
2.2 关键技术的实现服务器程序是整个系统的核心部分,而告警输出处理模块是服务器程序的核心模块。
告警输出处理模块的工作流程图如图3所示,它实现了本文设计的系统的两项关键技术:对Snort告警输出进行融合和过滤,并实现Snort与防火墙的智能化联动;在入侵检测中引入漏洞扫描技术。
服务器程序通过维护一包含正被阻塞的攻击主机信息的阻塞队列,实现了对Snort告警输出的融合和过滤功能;同时通过所维护的阻塞队列中阻塞结点与iptables防火墙规则链中规则之间的一一对应,成功实现了Snort与防火墙的智能化联动。
阻塞队列由阻塞结点构成,每个阻塞结点记录了正被阻塞的攻击主机地址信息、告警发生时间、需要阻塞的时间、阻塞原因等告警信息,它与防火墙中的一条阻塞规则相对应。
当服务器程序接收到来自Snort的告警输出时,解析告警信息,获取攻击主机地址、告警内容等必要信息,并连同告警发生的时间、需要阻塞的时间等信息生成新的阻塞结点。
如果当前的攻击主机地址已经出现在阻塞队列中,说明该主机已经被阻塞,只需要修改阻塞队列中相应结点的告警发生时间,使其与当前新的阻塞结点的告警发生时间相等;如果攻击主机地址未出现在阻塞队列中,则将新生成的阻塞结点加入到阻塞队列中,并且往防火墙中添加一条对应的阻塞规则,执行阻塞操作。
服务器程序会创建一线程监控阻塞队列,当检测到有阻塞结点的阻塞时间到时,删除这个阻塞结点以及其对应的防火墙阻塞规则,取消对该攻击主机的阻塞操作,及时恢复网络的正常通信。
服务器程序通过更新、维护一windows漏洞补丁库,以及对安装在子网各windows主机上的主机代理进行命令下发,在入侵检测中成功引入漏洞扫描技术。
服务器程序在解析来自Snort的告警输出,对攻击主机执行阻塞操作的同时,分析此次攻击的性质,如果是针对子网windows主机系统漏洞的攻击,则下载相应的补丁,并将补丁添加到windows漏洞补丁库中,然后向安装在子网各windows主机上的代理下发命令,由各主机代理对本机进行漏洞扫描,如存在这个漏洞,则由主机代理负责从服务器漏洞补丁库下载并安装相应的漏洞补丁。
这样,以后再碰到类似的攻击事件时,由于子网各windows主机已经成功安装漏洞补丁,系统可以直接过滤掉这些告警事件,不作响应。
图3 告警输出处理模块的工作流程图2.3 系统评估本文设计的系统配置简单、灵活,不需要改变受保护子网的整体结构;无须改动Snort,而且服务器程序独立于Snort而运行,不会影响到Snort的性能;同时,管理员可以通过管理页面对系统进行操作和管理。