入侵检测与防火墙的联动平台研究_靳燕

* 收稿日期:2012-01-12,修回日期:2012-02-07

**　基金项目:中华全国供销合作总社2011年度职教专项课题(8);山西省自然科学基金资助项目(2010011022-2)***靳　燕,女,1982年生,硕士,讲师,研究方向:计算机网络与网络安全。

文章编号:1003-5850(2012)03-0033-03

入侵检测与防火墙的联动平台研究

靳　燕

(山西大学商务学院信息学院,太原　030031)

摘　要:通过分析入侵检测系统和防火墙技术的各自优势,认为实现防火墙的数据过滤与入侵检测的实时监控间的有效互补是非常重要的。提出了网络安全事件的基本分类方法,定义出入侵检测系统提供给防火墙的信息格式,采用向入侵检测系统和防火墙中嵌入相关模块的方法,实现了入侵检测系统对攻击行为的自动响应,从而实现了防火墙与入侵检测系统间的协同工作。这样无论是来自内网还是外网的攻击,都可以被联动平台识别并自动响应。

关键词:入侵检测系流,防火墙技术,自动响应,联动系统中图分类号:T P 393.08 文献标识码:A

Research on the Platform of Linkage between Intrusion

Detection System and Firewall

JIN Yan

(S chool of I nf ormation ,Business College of S hanx i U niver sity ,T aiyuan 030031,China )

Abstract :T he advantag es of intrusion detection system and fir ew all technolo gy are analyzed .It is ver y important of implem enting com plementary betw een data filtering of firew all and real-time mo nitoring of

intrusion detectio n system.T he basic classification m ethod of the netw ork security ev ent is pro posed,and the inform ation form at w hich intrusion detectio n system pr ovides to the firew all is defined .By embedding the relev ant modules in the intrusion detection sy stem and firew all ,the intrusion detection sy stem could autom atically respo nd to agg ressiv e behavior,and firew all and intr usio n detection systems could w ork together.So w hether attacks are fro m the inter nal netw ork or ex ter nal netw ork,they co uld be recog nized and be responded automatically.

Key words :intrusion detection system ,firew all ,autom ated response ,linkag e system

互联网的飞速发展、网络技术的巨大进步给社会生活各个方面带来了深刻影响,人们的工作生活与网络系统紧密相关。网络系统已成为现代生活中不可或缺的重要组成元素,同时病毒、木马、黑客攻击、网上经济犯罪、垃圾电子邮件等各种网络安全威胁也伴随产生,随时在浪费我们的时间、破坏我们的网络信息系统。保护网络系统安全成为网络研究中一个重要话题。

网络安全的研究目标是通过各种安全防御技术以及安全管理机制实现网络信息系统的完整性、机密性和可用性。实现网络系统安全需要有两道防线:安全保护是第一道防线,包括安全细则、安全配制和各种安全防御措施,采用的主要技术手段有信息加密、防火墙、

安全路由器、身份认证、访问控制等。但这些技术仅在

防止非法入侵上有一定的效果,一个安全的信息系统除了要采取防御措施之外,还应有一定的实时监控、攻击与反攻击的能力。

入侵检测技术用于解决计算机网络系统的安全问题,作为系统信息安全的第2道防线,是防火墙的合理补充,它能帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,增强了信息系统的完整性。

1　入侵检测技术剖析

入侵检测系统是实现入侵检测功能的检测技术与软件算法的结合体,通过对计算机网络或计算机系统

・

33・　第25卷　第3期

电脑开发与应用(总193)

中的若干关键点进行监控以收集行为特征信息,并结合已有的知识经验对行为进行分析判断,从而发现网络或系统中是否有违反安全策略的行为,并依据事先已定义好的响应方式做出响应处理。

在不同的网络环境和不同的系统安全策略下,入侵检测系统的具体实现也会有所不同。从功能逻辑来讲,入侵检测系统通常包含4个部分:行为模式库、数据采集模块、入侵检测模块和响应处理模块。

¹行为模式库为入侵检测系统提供必要的数据信息支持,是进行入侵检测的一个前提。º数据采集模块:主要负责从系统或网络关键点处捕获原始数据,并对采集到的数据做预处理工作,将最终的能够反映系统或网络行为特征的数据提交给入侵检测模块。»入侵检测模块又称入侵分析引擎,负责从数据采集模块处接受行为特征数据,并将行为特征数据与已有的模式知识库进行模式匹配,以分析行为事件是否为非法入侵,最终的检测结果传递给响应模块作为其输入数据。¼响应处理模块依据已经定义好的安全策略对行为事件做出决策,决定做何种响应动作,是进行日志记录还是进行响应。

当有网络攻击发生且被入侵检测系统检测到后,响应模块会依据相应的响应策略做出决策。如果需要响应攻击,可以是主动响应或自动响应两种方式[1]。若在网络环境中,有防火墙设备。其作为进出内网的必要通道,可以根据访问控制规则对外来访问进行拦截。若能实现入侵检测与防火墙间的联动,由防火墙实现对攻击者的拦截,将很大程度上提高响应的效率。

2　防火墙技术剖析

防火墙来自建筑结构的安全技术,指在楼宇里起分隔作用的墙。在网络安全理论体系里,防火墙是一个由软件和硬件设备组合而成,位于内部网和外部网之间、专用网与公共网之间的一道防御系统,目的是防止外部网络用户未经授权的访问。使用防火墙,使内部网与外部网之间建立起一个安全网关,能够保护内部网免受非法用户的侵入[2]。

防火墙是网络安全基础建设不可或缺的角色,但随着攻击技术的发展,当前的防火墙其自身的局限性也越来越明显,主要体现在:¹防火墙无法防范绕过防火墙的攻击;º防火墙不能防止来自内网的攻击;»防火墙无法发现攻击源;¼防火墙自身也会存在问题或受到外来攻击。

入侵检测系统能帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),增强了信息系统的完整性。入侵检测系统通过监视网络资源,主动寻找分析入侵行为的迹象,是一种动态的安全防护技术,可以选用入侵检测技术来弥补防火墙的不足,使两者充分发挥各自优势,共同维护网络系统的安全。

3　搭建入侵检测与防火墙的联动平台

从对入侵检测与防火墙技术的分析中可以看出,入侵检测系统的不足在于无法有效阻止攻击行为,而防火墙的访问控制机制恰好弥补了入侵检测系统在这方面的不足。另一方面,入侵检测作为防火墙后的第2道安全防线,可以检测出绕过防火墙到达网络内部的攻击,又可以弥补防火墙的不足。防火墙与入侵检测系统的功能特点和局限性决定了它们彼此需要对方,且不能相互取代。实现防火墙的数据过滤与入侵检测的实时监控之间的有效互补在网络安全解决方案实施中非常重要[3-4]。

防火墙与入侵检测系统间联动的基本原理是:由两者搭建起的安全体系中,当入侵检测系统检测到入侵行为,且需要阻断该入侵行为时,将能够启动联动机制,主动通知防火墙立刻做出相关策略的动态修改,以实现对攻击源的拦截,从而达到主动响应、有效控制的目的。

真正意义的联动系统要依靠统一的安全集成框架、标准的通信协议。联动系统实现的关键是如何表示出入侵检测系统为防火墙所提供的信息以及防火墙依据这些信息应如何去执行[3]。在联动系统的研究过程中,需要解决3个问题:¹定义出通用安全事件类型并对其进行表示;º入侵检测系统为防火墙生成访问控制规则,或提供规则生成时所需要的信息;»入侵检测与防火墙通信使用的协议。

各类安全产品的安全事件可以抽象为基本防外安全事件集和基本安全事件集。对于只需防止外来攻击的安全事件归至基本防外安全事件集,其他原安全事件均属于基本安全事件集。防火墙的规则集包括的基本信息有:源IP地址和源端口号、目的IP地址和目的端口号。入侵检测系统向防火墙提供信息时要至少包含这些信息,同时再增加安全事件类型、攻击时间。为了保证传送信息的保密性,防火墙与入侵检测系统通信时,选用安全套接层SSL,可有效防止信息被窃听。

入侵检测系统与防火墙的安全联动模型如图1所示。

在该联动模型中,防火墙系统中嵌入一个功能模块M,入侵检测系统中嵌入另一个功能模块N。当入侵检测系统检测到攻击后,根据响应策略来决定是否要实现与防火墙的联动,如果需要将启动N模块,并向防火墙M模块发送信息(源IP地址和端口号、目的IP地址和端口号、安全事件类型、攻击时间);防火墙

・

34

・(总194)入侵检测与防火墙的联动平台研究2012年