关于入侵检测系统

关于入侵检测系统（IDS）联动机制和基于SNMP协议防火墙的研

究

——————————————————

摘要

————————

本文首先介绍了防火墙和入侵检测系统（IDS）的特点，并指出了防火墙的缺陷。然后分析了基于SNMP协议的防火墙和IDS的联动机制，并提出了一种基于IDS和防火墙的联动模型。最后，利用模拟结果来验证联动机制的有效性。

引言

————————

近年来，网络安全问题变得更加明显。因此，如何采取有效的安全措施来防止网络黑客、病毒以及其他有害意图攻击变得更加重要。现在，防火墙被公认为防止攻击的主要措施。但近年来，黑客技术呈现出一些新特点：攻击过程的自动化，攻击工具智能化，攻击行为

的多样化，进攻组织集体化等，使得高安全级别的防火墙也显得束手无策。黑客技术已经有一些技术绕过了典型防火墙配置的IPP（Internet打印协议）和WebDAV（基于Web的分布式创作和版本控制）等。可以清楚的认识到，单一的网络安全措施已不能保证网络的安全性，因此，建立一个多种网络安全产品的联动机制已成为网络安全技术的必然趋势。基于此，我们研究了入侵检测系统（IDS）和基于SNMP的防火墙的联动机制，并已在校园网络环境中进行了模拟实验。

防火墙简介

————————

防火墙是中世纪古老的安全措施（在城堡周围挖了一个非常深的护城河）[1]在现代数字化中改编的版本。防火墙是介于可信赖网络和未知网络之间的一个缓冲区，同时也是防止其他网络攻击的一个屏障[2]。防火墙可以分为：包过滤防火墙，应用层代理，状态检测防火墙。防火墙的基本功能是通过过滤和屏蔽网络通信来防止未经授权的资料存取。目前，防火墙是公认的保护网络不受黑客攻击的有效手段，但它也有一些缺陷和不足之处,主要有以下几点[3]：

1.防止的盲点；

2.信息流难以灵活控制；

3.配置复杂。

入侵检测系统（IDS）简介

——————————————

入侵检测指的是入侵行为检测。它通过收集和分析网络行为、安全日志、审计数据、从

其他网络系统或电脑系统中得到的信息，检查网络或系统是否存在违反安全策略的行为和正被攻击的迹象。入侵检测系统是一个集检测，记录，报警，响应为一体的动态安全技术之一，它属于积极主动的安全防护工具。基于特征的检测假设入侵者活动可以通过模型表示，该系统的目标是检测是否符合这些模型的主要活动。异常检测是根据正常活动来假设入侵者的异常活动。

防火墙和IDS的联动

——————————————

现在，防火墙和IDS的联动一般有3种方法：

1.嵌入联动方式：也就是说把IDS嵌入到防火墙中去，穿过防火墙的数据就是IDS的数据来源。

2.开放接口方式：指的是IDS和防火墙都开启一个端口供对方使用，双方使用固定的协议进行通信，提醒，传输（网络安全事件的完整传输）。

3.端口成像联动方式：防火墙可以呈现英特网上制定位置流量的图像，防火墙修改并且适应安全机制，在这个过程后，入侵检测系统将最后的结果反馈给防火墙。

联动机制

——————————————

IETFF的SNMP协议是现在最常用的网络管理协议。SNMP模型主要由管理者、管理节点、SNMP代理构成。SNMP是一种典型的集中管理模式，管理站完成绝大多数的网络计算，其网络管理结构模型显示如下图：

【】【】【】【】【】【】

网络管理站是整个系统的核心。管理节点可以是与外界交互信息的任何设备，如主机，路由器，打印机等。管理节点必须能够运行SNMP代理，以确保能够能和网络管理站通信，同时必须维护一个存储SNMP代理状态、历史信息，并能影响其操作的本地数据库。基于SNMP网络管理结构的上述特点，我们可以在网络管理节点前通过设置MIB变量来存储包过滤规则和其他状态变量。因此，运行于管理节点的SNMP代理可以直接读取SNMP命令，并通过加载模块来完成防火墙实际状况的操作。现在网上有很多不断发展的SNMP工具包，其中最有名的是开源的NET-SNMP开发工具包，它提供不同的操作系统下的SNMP代理，如Windows和Linux。并支持SNMPv1、SNMPv2c（community string-based）、SNMPv2u（user-based）以及SNMPv3 等协议的大部分消息格式。SNMP接口实现后，防火墙可以通过接口与IDS通

信。当黑客从外部网络入侵时，首先得绕过防火墙，一部分入侵将因违反防火墙的安全策略而被排除，但也可能会有一些入侵绕过了防火墙，甚至来自于内部网络用户的攻击也能绕过防火墙。这些攻击虽然绕过了防火墙，但还要经过IDS的检验，可疑的数据包在由预处理模块排序后，将被发送到相应的模块做进一步的检验。IDS通过扫描规则树，发现一些数据包和一些攻击特征相对应时立即切断IP访问请求或报警，并给防火墙发送SNMP命令来添加或修改新的安全策略。随后，防火墙发送出相应的SNMP响应信号到IDS告知其防火墙策略的修改是否成功。IDS和防火墙联动模型如图2所示：

【【【【【【【【【【【【【【【【】】】】】】】】】】】】】】】】】】】

防火墙和IDS联动实验

——————————————————

实验中使用了RG-IDS入侵检测系统和RG-WALL防火墙，它们都是锐捷的网络安全系列产品。RG-IDS采用多层分布式体系结构，它由五部分程序组件组成：控制台，EC（事件收集器），日志服务器（数据服务器）、传感器、报表和查询工具。RG-IDS采用基于状态的应用层分析技术，大大提高了检测的效率和准确性。RG-WALL是按锐捷网络的原分类算法来设计的，支持扩展的状态检测技术，具有高性能的传输功能。同时，在动态端口应用程序（如VoIP，H323等）使用时，RG-WALL能提供强有力的安全通道。联动模拟实验分别配置了RG-WALL（将RG-WALL设置为透明模式），RG-IDS检测引擎，还在实验室出口配备了RG-IDS 控制台，配备了3台交换机A、B、C，交换机B和C支持它们之间的端口镜像功能。通过交换机B的网络端口2和交换机C的网络端口3的流都镜像到交换机A的端口1。主机A模拟入侵攻击主机B，RG-IDS检测引擎负责检测网络攻击和恶意流量，之后通过SSH和RG-WALL 通信，发送攻击源地址、目的地址、源端口、目的端口以及其他信息给RG-WALL。RG-WALL 通过这些信息，采取相应的阻挡措施来组织外部攻击，达到充分保证网络安全的目的。RG-WALL和RG-IDS的联动拓扑图如图3所示：

【【【【【【【【【【【【【【【【【【【【】】】】】】】】】

实验室中的每个网络组件的IP地址设置如下表所示：

【【】】

模拟实验：主机A（入侵对象）给主机B（受攻击对象）发送ICMP消息“Ping You Death！”，IDS检测消息并通过SSH给RG-WALL发送事件信息RG-WALL根据RG-IDS发来的攻击信息自