入侵检测系统与防火墙的联动技术研究

1 引言
近年来，伴随着互联网技术的飞速发展和广泛应用，网络入侵事件越来越频繁的发生， 网络安全变得尤为重要， 入侵检测和防火墙随之成为网络安全措施中非常重要的环节。 但是， 防火墙是一种被动的防御手段， 无法发现黑客的攻击行为， 仅仅依靠防火墙来维护系统安全 是远远不够的。 而入侵检测则是一种主动的网络安全防御措施， 它能在不影响网络性能的情 况下对网络进行监测。 将入侵检测系统和防火墙进行联动， 可以构建一个较全面的能实时检 测入侵并及时响应的安全系统。
∑∑ d a
i
n
n +1
ij
≌D
i =1 j =1
∑a d
ii
n
i
≌ XD。
i =1
攻击损失可以由联动系统部分或完全消除，这取决于入侵响应时间和响应策略。 ③误报损失 Dconfused：指 IDS 把类型 i 的攻击误报为类型 j 所带来的损失，Dconfused =
n n
∑∑ a d
ij
i
≌ ZD （i≠j） 。
ij
∑ a 。在 X 区域中，IDS
ii
n +1 i =1
n
n +1
jபைடு நூலகம்=1 i =1
i 种攻击触发了 IDS 的第 j 种报警，属于告警类型判断错误。 ③漏报区：第 n+1 列，这部分由区域 Y 表示，Y = 生而 IDS 未能产生响应。
∑a
i =1
n +1
i, n + 1
。在 Y 区域中，入侵发
-5-
http://www.paper.edu.cn
突。目前防火墙接口组件主要着眼于解决接收入侵信息并将其翻译为防火墙可以理解的规 则，然后发送给防火墙进行相应处理。 （5）防火墙子系统。防火墙子系统采用 Linux 环境下的 Netfiler/Iptables 框架，并对 其进行适当修改以适应联动系统的需要。Linux 环境下防火墙系统的实现包括两个方面， Netfilter 提供可扩展的结构化底层框架， 在此框架之上实现的数据包选择工具 Iptables 负责 对输入、输出的数据包进行过滤和管理等工作。Netfilter 和 Iptables 二者共同实现了 Linux 下的防火墙系统。该系统接收防火墙接口组件发送来的信息，修改规则集，完成相应动作， 保障网络安全。
图3
IDS 报警矩阵
当 1 ≤ i,j≤ n 时，第 i 行表示第 i 种攻击方式，第 j 列表示 IDS 提供的第 j 种报警方 式。元素 aij 等于第 i 种攻击方式发生而触发了 IDS 第 j 种报警的次数。初始报警矩阵是 经过测试 IDS 所得，在系统工作过程中能够不断更新其中各元素。报警矩阵可划分为 4 个 部分： ①成功检测区：i=j，这部分由矩阵对角区域 X 表示，X = 成功检测入侵行为，第 i 种攻击触发 IDS 的第 i 种报警。 ②错报区： i ≠ j，这部分由矩阵的区域 Z 表示，Z = 。在 Z 区域中，第 ∑∑ a （i≠j）
i =1 j =1
当 IDS 不能检测出某种类型的攻击而发生漏报时所带来的损失， Dmiss ④漏报损失 Dmiss： =
∑a
i =1
n +1
i, n + 1
di ≌ YD。由于 IDS 不能检测出这些攻击，因此系统很难抵制这些类型的攻击
并消除损失。 通过对响应损失进行分析、计算，就可以合理部署安全机制、适当调整响应策略来对抗 攻击，最大限度的提高联动控制模块的准确性。 （4）防火墙接口组件。防火墙接口组件主要负责接收策略响应组件发来的信息，生成 新的防火墙规则，引起防火墙动作。其设计重点是正确修改防火墙规则集，防止防火墙规则 集自身产生异常或隐患。 防火墙技术的基础是包过滤技术， 其依据就是一条条的防火墙规则， 将通过防火墙的数据包与防火墙规则集中的规则逐条比较， 遇到匹配规则就按规则中定义的 动作处理， 若没有匹配规则则按防火墙缺省策略处理。 这就意味着配置防火墙规则时必须谨 慎处理防火墙规则的顺序以及它们之间的关系， 未经正确性检验的规则集中很可能含有无效 规则甚至冲突规则， 从而导致预期的安全目标不能实现。 既然需要通过联动修改防火墙规则， 防火墙接口就必须正确地修改防火墙规则， 确保对防火墙的修改不会与其现有的策略产生冲
3 防火墙技术
防火墙是在内部网络与外部网络之间实施安全防范的系统,是一种访问控制机制。通常 安装在被保护的内部网与互联网的连接点上,从互联网或从内部网上产生的活动都必须经过 防火墙,如电子邮件、文件传输、远程登录或其他的特定活动等。它通过建立一整套规则和 策略来监测、限制、转换跨越防火墙的数据流，实现保护内部网络的目的。防火墙的基本功 能包括:包过滤、包的透明转发、阻挡外部攻击、记录攻击等。防火墙是遏制攻击的一种手 段，但它存在一些明显的不足：一是防火墙保护的是网络边界安全，对网络内部主动发起的 攻击行为无法阻止； 二是防火墙是根据管理员定义的过滤规则对进出网络的信息流进行过滤 和控制的，无法根据情况的变化进行动态调整；三是正确配置防火墙访问规则比较困难。
http://www.paper.edu.cn
入侵检测系统与防火墙的联动技术研究
马力波，刘岚
武汉理工大学信息工程学院，武汉 （430070）
E-mail：mlbpyl@qq.com
摘 要：入侵检测系统和防火墙各自存在不足，在对二者特性进行分析的基础上，提出了入 侵检测系统和防火墙联动的安全模型，以增强网络的安全防御能力。 关键词：入侵检测；防火墙；联动
5 入侵检测系统与防火墙的联动模型设计
该联动系统将防火墙置于外网与内网的通道上， 入侵检测系统在防火墙之后， 对通过防 火墙的数据包做深度检测，网络示意图如图 1 所示。
图1
网络示意图
该系统由入侵检测、联动控制和防火墙三大模块组成，总体结架如图 2 所示。当外来数 据流经过防火墙过滤后，进入内网，入侵检测系统将其捕获，然后经过解码、预处理，再交 由检测引擎进行检测。 检测引擎将当前数据与已初始化的规则链进行匹配， 当检测到有匹配 数据时， 即检测到攻击行为， 交给联动控制模块。 联动控制模块判断是否需要联动， 若需要， 则启动防火墙接口组件改变防火墙过滤规则，进行实时阻断。
-3-
http://www.paper.edu.cn
（3）联动控制模块。该模块是联动系统的核心，由分析组件、策略日志、策略响应组 件和策略响应信息库组成。当 IDS 接口组件把转换为统一格式的入侵信息传递到分析组件 后，该组件调用策略日志的 IDS 可信性数据，包括 IDS 的误报/漏报率等信息，根据这些信 息生成 IDS 的可信性矩阵，判断是否需要联动。若需要，则提交给策略响应组件，此组件 从策略响应信息库中选择具体响应策略并将其传给防火墙接口组件。 在此过程中， 首先制定 一个初步的响应策略并执行实现联动。 但是开始时的响应策略未必是最优响应， 通过评估响 应策略， 并把响应策略的不同响应效果存储于响应策略信息库中， 当系统遇到相同类型入侵 时就可以调用具有最佳响应效果的策略并执行， 使系统能够随着运行时间的增长而逐渐提高 抗入侵能力，实现系统的自适应性。 本文引入计算联动响应损失的方法来对响应策略进行评估。IDS 的检测结果用矩阵 A 。 来表示，如图 3 所示[6]。A 是 n+1 维方阵，n 表示攻击方式的种类，A＝（ aij）
2 入侵检测系统
入侵检测系统（IDS，Intrusion Detection System）是一个能够对网络或计算机系统的活 动进行实时监控的系统， 它能够发现并报告网络或系统中存在的可疑迹象， 为网络管理员及 时采取对策提供有价值的信息。该系统具有经济性、时效性、安全性和可扩展性的特点[1]。 目前， 入侵检测系统可分为基于主机的和基于网络的两种类型。 常用的入侵检测方法是异常 检测、误用检测和完整性检验三种。异常入侵检测是记录用户在系统上的活动，并且根据这 些记录创建活动的统计报告。 如果报告表明它与正常用户的使用有明显的不同， 那么检测系 统就会将这样的活动视为入侵。 误用入侵检测是事先对已知的入侵方式进行定义， 并且将这 些方式写进系统中， 将网络上检测到的攻击与系统定义的已知入侵方式进行对比， 如果两者 相同，则为发生了入侵。完整性检验为系统的每个文件生成一个校验和，然后定期地将这个 校验和与源文 件比较，以确保文件没有被修改。如果文件被未授权修改，就会发出警报。
4 联动技术
联动本质上是安全产品之间一种信息互通的机制， 其理论基础是： 安全事件的意义不是
-1-
http://www.paper.edu.cn
局部的，将安全事件及时通告给相关的安全系统， 有助于从全局范围评估安全事件的威胁， 并在适当的位置采取动作[2]。只要在某个节点发生了安全事件，无论是一个简单系统捕捉到 的原始事件，还是一些具有分析能力的系统“判断”出来的，它都可能需要将这个事件通过某 种机制传递给相关的系统，因此“联动”是安全产品间实现互操作的一种表现。它需要所传递 信息之间采用统一的交换格式、 简洁的描述语言和安全的通讯手段。 联动系统具有几种基本 特性[3]：一是有效性，针对具体的入侵行为，联动采取的响应措施应该能够有效阻止入侵的 延续和最大限度降低系统损失；二是及时性，要求系统能够及时地采取有效响应措施，尽最 大可能地缩短从入侵发现到响应执行之间的时间窗口，即缩短响应时间；三是合理性，响应 措施的选择应该在技术可行的前提下，综合考虑法律、道德、制度、代价、资源约束等因素， 采用合理可行的响应措施； 四是安全性， 联动系统的作用在于保护网络及主机免遭非法入侵， 显然它自身的安全性是最基本的要求。
∑ d )/n，表示所有攻击类型的损失平均值，用来评估危险级别。
i
n
i =1
联动系统损失包括总损失、攻击损失、误报损失和漏报损失四种： ①总损失 R max：指所有攻击带来的损失，它和攻击频率有关，Rmax = × F。 指被 IDS 正确识别出来的攻击所带来的损失， Dhit = ②攻击损失 D hit：
-2-
http://www.paper.edu.cn
图2
联动模型总体结构图
系统主要由如下功能模块组成： （1）IDS 子系统。IDS 子系统采用开放源代码的 Snort 软件。Snort 由数据包解码器、 检测引警和输出插件组成[4]。数据包解码器主要是对各种协议栈上的数据包进行解析、预处 理，以便提交给检测引警进行规则匹配。检测引警采用二维链表的形式进行检测，其中一维 称为规则头，另一维称为规则选项。通常把最常用的源/目的 IP 地址和端口信息放在规则头 链表中， 而把一些独特的检测标志放在规则选项链表中。 输出插件可以把数据包以解码后的 文本形式或者 tcpdump 的二进制形式进行记录。当 Snort 检测到入侵时，则输出信息到 IDS 接口组件。 （2）IDS 接口组件。IDS 接口组件主要用于统一 IDS 报警格式。它负责将不同的报警 格式翻译为联动系统所能理解的统一格式，使系统具有良好的扩展性。本系统采用 XML 语 言描述安全事件。XML[5]是一种扩展性标识语言，其优点主要有：可以直接用于因特网；支 持大量不同的应用；与 SGML 兼容；处理 XML 文件的程序容易编写；XML 中的可选项无 条件地保持最少， 可以为 0 个； XML 文件条理清楚， 可以直接阅读； XML 的设计是简洁的， 形式化的，可以快速完成；XML 标记简洁，文件易于创建。 XML 语言提供了数据标签来表示数据的意义，标签可以是标准的也可以是用户自定义 的。下面是一个使用 XML 描述的 IP 数据包示例： <IP> <SourceIPAddress>192.168.1.20</SourceIPAddress> <DescIPAddress>192.168.1.40 </DescIPAddress> <TCP> <PORT>80</PORT> <DATA> …… <DATA> </TCP> </IP> 使用 XML 可以实现对 Snort 所产生的安全事件的描述和交换。
i =1 j =1
ij
n
n +1
ij
=X+Y+Z
②报警总数 G ：G =
∑∑ a
i =1 j =1
=U+X+Z
③报警概率： Pij = aij / fi ,其中 fi = 下面对联动响应损失进行分析。
∑a
j =1
n +1
ij
。
定义一个向量( d1， d2，…， dn，0)用来表示攻击损失，其中 di 表示类型 i 的攻击带来 的损失，最后一个 0 表示没有攻击发生时损失为零。通过这个向量，定义在整个攻击类型 集上的平均损失 D =(
-4-
http://www.paper.edu.cn
n
④误报区：第 n+1 行，这部分由区域 U 表示，U = 侵发生而 IDS 发出了报警。 通过对报警矩阵 A 的分析，可以计算几个重要参数： ①实际攻击总数 F ： F =
n +1 n
∑a
j =1
n + 1, j
。在 U 区域中，没有入
∑∑ a