入侵防御系统IPS研究与实现---毕业论文 (2)

本 科 毕 业 论 文入侵防御系统IPS研究与实现Intrusion Prevention System (IPS) Research and Implementation姓 名： 学 号：学院：软件学院系：软件工程专 业：软件工程年 级：指导教师： 年 月摘要随着互联网络的飞速发展，网络已经成为经济、文化、军事和社会活动中无处不在的工具。网络安全问题也随之突显出来。网络在带来发展的同时，也带来了巨大的风险。网络系统的安全性和可靠性受到了高度的重视，网络安全技术已经成为经济和技术发展中的关键技术问题之一。作为一种重要的网络安全技术手段，入侵防御技术IPS已经成为当前该领域的一个研究热点。本文结合网络安全技术发展趋势，在防火墙技术和入侵检测技术基础上研究了入侵防御技术，并设计实现了一种入侵检测系统与防火墙集成的入侵防御原型系统。该系统采用基于网络的入侵检测系统snort_inline作为入侵检测模块，利用其入侵检测的结果作为防火墙的触发；基于iptables/Netfilter机制搭建基于LINUX平台的防火墙，利用其便于规则扩展的优点，使防火墙与入侵检测系统snort_inline实现联动，从而达到阻断了网络攻击的目的。关键词：入侵防御；入侵检测；防火墙AbstractWith the rapid development of the Internet, the network has become the economic, cultural, military and social activities in the ubiquitous tool. Network security issues have also become more prominent. Brought about by the development of networks at the same time, it also brings great risks. Network security and reliability by a high degree of attention, network security technology has become the economic and technological development in one of the key technical issues. As an important means of network security technology, IPS intrusion prevention technology in the field has become a research hotspot.In this paper, development trend of network security technology, firewall technology and intrusion detection technology based on the research of intrusion prevention technology and design to achieve a kind of firewall, intrusion detection system and integrated intrusion prevention system prototype. The system uses network-based Intrusion Detection System snort_inline as a module, using the results of its intrusion detection as a trigger firewall; based on iptables / Netfilter mechanism LINUX-based platform to build the firewall, use the rules to facilitate the expansion of its merits, to enable the firewall and intrusion detection system to achieve snort_inline linkage to achieve the blocking of the purpose of network attacks.Key words：Intrusion Prevention;Intrusion Detection; Firewall目录第一章 绪论11.1 选题背景和研究意义11.2 本文主要研究内容21.3论文结构安排3第二章 入侵防御系统技术研究42.1入侵防御系统的基本思想42.1.1入侵检测与P2DR模型42.1.2入侵防御系统基本原理52.2 入侵防御系统的发展历程72.3三种安全防护系统的功能描述82.4如何评价入侵防御系统112.5入侵防御系统的部署分析112.5.1边界防御部署122.5.2重点防御部署132.5.3混合防御部署132.6入侵防御系统的设计和实现难点142.7本章小结15第三章 入侵防御系统架构设计173.1网络入侵防御系统架构设计173.1.1网络入侵防御系统体系结构研究173.1.2入侵检测系统的结构及标准化193.2入侵防御系统模块设计203.2.1入侵防御模块203.2.2日志记录模块213.2.3中央控制模块233.2.4模块间的通信233.3本章小结25第四章 入侵防御系统的实现过程264.1入侵防御系统实现相关技术264.1.1snort的inline模式264.1.2 Netfilter框架274.1.3 入侵防御系统的桥梁iptables284.1.4 用户态与内核态交流的中介Netlink套接字294.2入侵防御系统实现原理304.2.1数据包的传递304.2.2读取数据包324.2.3snort实现入侵检测334.2.4响应事件-数据包处理344.3入侵防御系统的不足和改进方案354.4入侵防御系统搭建374.5功能测试及结果展示384.6本章小结39第五章 总结与展望41参考文献42致谢43 ContentsChapter 1 Introduction11.1 Research Topics Background And Meaning11.2 Summarize21.3 The Main Work and Structure of This Thesis3Chapter 2 IPS Technical Study42.1 IPS Basic Thought42.1.1 IDS and P2DR model42.1.2 The theory of IPS52.2 IPSs developmen course72.3 There safety products functional description82.4 How to evaluate IPS112.5 Deploy of IPS112.5.1 Deploy of boundary defense122.5.2 Deploy of emphasis defense132.5.3 Deploy of MIX defense132.6 IPSs design and the difficulty of achieve142.7 Chapter summary15Chapter 3 IPS architecture design173.1 NIPS architecture design173.1.1 NIPS structural research173.1.2 IDSs structure and standardization193.2 IPS system module design203.2.1 Invade and defense module203.2.2 Log module213.2.3 Center control module233.2.4 Correspondence of modules233.3 Chapter summary25Chapter 4 The implementation procedure of IPS264.1 IPS correlation technique264.1.1 Snorts inline mode264.1.2 Netfilter framework274.1.3 IPSs bridge Iptables284.1.4 user and kennels agent Netlink socket294.2 IPS implementation theory304.2.1 Transfering data packet304.2.2 Reading data packet324.2.3 snort implement IDS334.2.4 Respond event- dealing data packet344.3 IPSs lacking and improvement354.4 Set up IPS374.5 Functional test and result display384.6 Chapter summary39Chapter 5 Summary and Prospect41References42Acknowledgement43第二章 入侵防御系统技术研究第一章 绪论1.1 选题背景和研究意义随着网络经济和网络时代的发展，网络已经成为一个无处不在的工具。经济、文化、军事和社会活动都将强烈地依赖网络。由于网络的一些自身特点，网络安全问题突显出来。网络在带来发展的同时，也带来了巨大的风险。网络系统的安全性和可靠性成为关注的焦点，网络安全技术受到了高度的重视，已经成为经济和技术发展中的关键技术问题之一。网络与信息安全防御体系是一个动态的、基于时间变化的概念1。为确保网络与信息系统的抗攻击性，为了保障信息的完整性、可用性、可控性和不可否认性，本文提出这样一种思路：结合不同的安全防御技术，来创造一个比单一防御技术有效的多的综合安全防御技术。入侵防御技术作为一种安全防御技术，弥补了现有安全技术的不足，提出一种将防火墙技术与入侵检测技术相结合的简单的解决方案。这种方案把防火墙与入侵检测技术融合在一起2，构建成一种主动、实时响应的入侵防御系统。入侵检测系统(IDS，Intrusion Detection System)是近十多年发展起来的新一代安全防范技术，它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。在过去的几年中，入侵检测技术一度得到重视，但在入侵检测系统的使用过程中，仍暴露出了诸多的问题，特别是误报、漏报和对攻击行为缺乏实时响应等问题比较突出，并且严重影响了系统发挥实际的作用。因此提出了入侵防御系统(IPS，Intrusion Prevention System)来代替入侵检测系统3。IPS是一种主动的、积极的防御入侵的系统，它部署在网络的关键路径上，检测通过它的网络流量。当检测到攻击企图时，它会自动地将攻击包丢掉或采取措施将攻击源阻断。相对于IDS的被动检测及误报等问题，IPS是一种比较主动、机智的防御系统。从功能上讲，作为并联在网络上的设备，绝大多数IDS一般需要与防火墙联动或发送TCPreset包来阻止攻击。而IPS本身就可以阻止入侵的流量。从技术上讲，IDS系统在识别大规模的组合式、分布式的入侵攻击方面，还没有较好的方法和成熟的解决方案，误报与漏报现象严重，用户往往淹没在海量的报警信息中，而漏掉真正的报警；此外，IDS只能报警而不能有效采取阻断措施的设计理念，也不能满足用户对网络安全日益增长的需求。相反，IPS系统则没有这种问题，它的拦截行为与其分析行为处在同一层次，能够更敏锐地捕捉入侵的流量，并能将危害切断在发生之前。从IDS到IPS，这是必然的趋势。简单地理解，IPS最简单的实现方式可以通过IDS+防火墙来实现。IPS能对防火墙所不能过滤的攻击进行过滤。IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，可以说IPS是基于IDS的、是建立在IDS发展的基础上的新生网络安全产品。但“IDS+防火墙”的联和防御与IPS会在今后相当长的时间内并存，IPS的发展势头会更好一些。1.2 本文主要研究内容本文是要实现Linux系统下的入侵防御系统，而这里涉及到的入侵防御系统就是我们前文提到的IPS的最简单的实现方式，及通过入侵检测系统和防火墙的联动来实现。为实现我们的IPS我在这里先简单介绍一下我们将会用到的工具：众所周知，Linux系统是一开源的操作系统，同时在该操作系统上运行着各种的开源软件，而在其内核代码中，蕴含着我们要使用的防火墙系统iptables/Netfilter；这将是我们在随后的入侵防御系统中的重要组成部分，将为我的设计提供底层的数据信息源，和最原始的防御功能，同时通过对iptables的设置，我们可以实现根深一层的使用。有了最基础的防火墙系统，接下来是入侵检测系统。在Linux系统下，可供使用的入侵检测系统中snort是最常见，也是相对比较成熟的一个入侵检测系统，不过这里为了实现入侵检测系统与防火墙的联动功能，使用snort的一个升级或者说专门为了实现snort与防火墙联动而生的一个snort的分支系统snort_inline来实现入侵检测的功能。snort_inline中提供了snort与防火墙的联动机制，使得架设实现入侵防御系统的时候减少了很多的工作。在snort_inline与防火墙的联动过程中，需要一个中介libNetfilter_queue。在联动过程中，住在kernel的Netfilter把流经本机的封包堆进queue里，接下来下来住在user mode里的snort_inline会使用libNetfilter_queue收取这些封包。通过上可以得到一个入侵防御系统的框架，这是要个snort_inline设置相应的规则集，才能够为系统提供更好的保护。在加载规则集的时候，使用工具oinkmaster可以及时的从snort的网站上得到最新的规则集，并对获得规则集进行相应的处理，来满足我们入侵防御系统的需求。在这些工具的帮助下，利用snort_inline与防火墙系统的联动机制，首先通过防火墙的防护作用，起到对系统的首层保护，之后入侵防御系统snort_inline通过对内核区域传来的封包的分析，判断应对该分包采用何种操作方式，给出相应的响应，并通过与防火墙的联动，防火墙作出相应的操作，来实现对系统的防护。1.3 论文结构安排第一章，绪论：介绍选题背景和研究意义，从信息安全的重要性的角度阐述了入侵防御系统出现的必然性和重要性；接下来就本文件将要研究的入侵防御系统的开发工具进行了一定的介绍。第二章，入侵防御系统技术研究：从入侵防御系统的基本思想着手，简述入侵检测系统以及计算机安全理论模型，并讲述入侵防御系统的基本原理；接下来讲述入侵防御系统的发展历程；对当前的三种安全防护系统（防火墙，IPS，IDS）的功能进行描述；从特点等方面评价入侵防御系统；接下来从理论上分析如果我们部署一个入侵防御系统，我们可能采用的部署方式；最后总结说明了一些入侵防御系统在设计过程中会碰到的实现难点。第三章，入侵防御系统架构设计：在这里研究的入侵防御系统是指网络入侵防御系统，所以选择对网络入侵防御系统在架构上进行研究，从整体框架，到采用到的入侵检测的结构及标准化；之后对该系统进行模块层次的上对系统进行结构设计。第四章，入侵防御系统的实现过程：在之前几章的基础知识积累和思想设计的基础上，开始对该系统的实现过程。在此，首先对将要用到的部分工具进行详细的说明，罗列设计过程中会涉及到的设置和操作，之后详细描述入侵防御系统的实现原理，并对入侵防御的流程进行详细的说明，之后从理想状态下说明一下该系统的不足和改进方案，最后对入侵防御系统进行搭建，并进行相应的测试。最后总结本文的研究工作和结果，并对入侵防御系统的发展进行了展望。第二章 入侵防御系统技术研究2.1 入侵防御系统的基本思想IPS（Intrusion Prevention System , 入侵防御系统）对于初始者来说，IPS位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。因为这里设计的入侵防御系统是简单的建立在入侵检测系统和防火墙的联动的基础上，因此接下来将从入侵检测系统开始介绍。2.1.1 入侵检测与P2DR模型图2-1： P2PD模型如图2-1，P2DP模型是一个动态的计算机系统安全理论模型。其中包括策略、防护、检测和响应四部分。策略：模型的核心内容。策略规定了系统所需要达到的安全目标和为达到安全目标所采取的各种安全措施及其实施强度等。安全措施的实施必然会影响到系统运行的性能，以及牺牲用户操作的舒适度，因此安全策略必须按需而制。防护：具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备，例如防火墙、VPN设备等。检测：在采取各种安全措施后，根据系统运行情况的变化，对系统安全状态进行实时的动态监控。响应：当发现了入侵活动或入侵结果后，需要系统做出及时的反映并采取措施，其中包括：记录入侵行为、通知管理员、阻断进一步的入侵活动以及虎伏系统正常运行。模型阐述一个结论：安全的目标实际上就是尽可能的增大保护时间，尽量减少检测时间和响应时间。入侵检测技术是实现模型中“检测”部分的主要技术手段。在模型中安全策略处于中心地位，但是安全策略也是制定入侵检测策略的一个重要信息来源，入侵检测系统需要根据现有已知的安全策略信息，来更好地配置系统模块参数信息。当发现入侵行为后，入侵检测系统会通过响应模块改变系统的防护措施，改善系统的防护能力，从而实现动态的系统安全模型。因此，入侵检测可以看作实现P2DR模型的承前启后的关键环节。入侵防御系统的实现应该遵循动态计算机安全理论模型P2DR模型：增大安全保护时间、范围和力度，减少检测的时间和响应的时间。入侵防御系统的实现应该本着高效，实时的目标。2.1.2 入侵防御系统基本原理IPS工作原理如图2-2所示。图2-2： IPS工作原理图 入侵防御系统(IPS)通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。 IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。 IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用第二层(数据链路层)至第七层(应用层)的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。防火墙的包过滤技术不会针对每一字节进行检查，因而也就无法发现攻击活动，而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域等。每种过滤器负责分析相 对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤的准确性。2.2 入侵防御系统的发展历程1980年的4月， James P. Anderson为美国空军做了一份题为“计算机安全威胁监控与监视”( Computer Security Threat Monitoring and Sur- veillance ) 的技术报告，这份报告被公认为是入侵检测的开山之作。 1986年，为检测用户对数据库异常访问，W. T.Tener在IBM主机上用COBOL开发的Discovery系统，成为最早的基于主机的IDS雏形之一。1987年，乔治敦大学的Dorothy E. Denning提出了一个实时的入侵检测系统抽象模型IDES（Intrusion Detection Expert System，入侵检测专家系统）。1990年是入侵检测系统发展史上的一个分水岭。 1994年，Mark Crosbie和Gene Spafford建议使用自治代理（autonomous agents）以便提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合正在进行的计算机科学其他领域（如软件代理，software agent）的研究。1995年开发了IDES完善后的版本NIDES（Next-Generation Intrusion Detection System）可以检测多个主机上的入侵。另一条致力于解决当代绝大多数入侵检测系统伸缩性不足的途径于1996年提出，这就是GrIDS（Graph-based Intrusion Detection System）的设计和实现，该系统使得对大规模自动或协同攻击的检测更为便利，这些攻击有时甚至可能跨过多个管理领域。近些年来，入侵检测的主要创新包括：Forrest等将免疫原理运用到分布式入侵检测领域。1998年Ross Anderson和 Abida Khattak将信息检索技术引进到入侵检测4。不过入侵检测系统只对检测到信息进行报警，并不进行处理，这导致管理员要面对大量的数据，而无法找到应当处理的异常情况。并且经常会出现误报和漏报情况，这些问题都在期待这一个新的，更强大的安全系统的出现。Network ICE公司在2000年首次提出了IPS这个概念，并于同年的9月18日推出了BlackICE Guard，这是一个串行部署的IDS，直接分析网络数据并实时对恶意数据进行丢弃处理。但这种概念一直受到质疑，自2002年IPS概念传入国内起，IPS这个新型的产品形态就不断地受到挑战，而且各大安全厂商、客户都没有表现出对IPS的 兴趣，普遍的一个观点是：在IDS基础上发展起来的IPS产品，在没能解决IDS固有问题的前提下，是无法得到推广应用的。这个固有问题就是“误报”和“滥报”，IDS的用户常常会有这种苦恼：IDS界面上充斥着大量的报警信息，经过安全专家分析后，被告知这是误警。但在 IDS旁路检测的部署形式下，这些误警对正常业务不会造成影响，仅需要花费资源去做人工分析。而串行部署的IPS就完全不一样了，一旦出现了误报或滥报， 触发了主动的阻断响应，用户的正常业务就有可能受到影响，这是所有用户都不愿意看到和接受的。正是这个原因，导致了IPS概念在05年之前的国内市场表现 平淡。随着时间的推进，自2006年起，大量的国外厂商的IPS产品进入国内市场，各本土厂商和用户都开始重新关注起IPS这一并不新鲜的“新”概念。2.3 三种安全防护系统的功能描述1.防火墙功能：防火墙是网络安全的屏障： 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务从而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略： 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次性保密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 对网络存取和访问进行监控审计： 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄： 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络 安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。2.入侵检测系统的功能：入侵检测是指监视或者在可能的情况下，阻止入侵或者试图控制你的系统或者网络资源的那种努力。入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。入侵检测一般分为3个步骤，依次为信息收集、数据分析、响应（被动响应和主动响应）。入侵检测系统技术：可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制，以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。发现入侵检测一般采用如下两项技术： 异常发现技术，假定所有入侵行为都是与正常行为不同的。它的原理是，假设可以建立系统正常行为的轨迹，所有与正常轨迹不同的系统状态则视为可疑企图。异常阀值与特征的选择是其成败的关键。其局限在于，并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。模式发现技术，它是假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，所有已知的入侵方法都可以用匹配的方法发现。模式发现技术的关键是如何表达入侵的模式，以正确区分真正的入侵与正常行为。模式发现的优点是误报少，局限是只能发现已知的攻击，对未知的攻击无能为力。3.入侵防御系统的功能：简单地理解，可认为IPS就是防火墙加上入侵检测系统。但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品，它在基于TCP/IP协议的过滤方面表现出色，而且在大多数情况下，可以提供网络地址转换、服务代理、流量统计等功能，甚至有的防火墙还能提供VPN功能和防火墙比较起来，IPS的功能比较单一，它只能串联在网络上（类似于通常所说的网桥式防火墙），对防火墙所不能过滤的攻击进行过滤。这样一个两级的过滤模式，可以最大地保证系统的安全。一般来说，企业用户关注的是自己的网络能否避免被攻击，对于能检测到多少攻击并不是很热衷。但这并不是说入侵检测系统就没有用处，在一些专业的机构，或对网络安全要求比较高的地方，入侵检测系统和其他审计跟踪产品结合，可以提供针对企业信息资源全面的审计资料，这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，可以说IPS是基于IDS的、是建立在IDS发展的基础上的新生网络安全产品。早在1980年，IDS的概念就已经产生了。在1990年，出现了世界上第一个网络入侵检测系统。在早期，网络入侵检测产品存在着各种各样的问题，例如误报、漏报太多，运行不够稳定，高负载下性能太差，不能进行连接状态分析等等，但经过10多年的发展，IDS产品不断成熟，从而使得IPS产品的产生有了稳固的基础。可以想象一下一个有着很高误报率的IPS系统会使管理员多么恼火。幸好网络安全技术的发展使得对于攻击的识别率越来越高，从而将误报率控制在用户可以接受的水平。2.4 如何评价入侵防御系统首先，从入侵防御系统的特点看起。入侵防御技术应具有以下四点特征5：以嵌入模式运行的IPS设备才能够实现实时的安全防护，实时阻拦所有可疑的数据包；IPS必须具有深入分析能力，以确定哪些恶意流量已经被拦截，根据攻击类型、策略等来确定哪些流量应该被拦截；高质量的入侵特征库也是IPS高效运行的必要条件；IPS还必须具有高效处理数据包的能力。基于这样的现状，本文在入侵检测系统及防火墙的研究基础上，研究了入侵防御技术并提出了一种入侵防御系统体系，这种体系架构可以比较有效地保护网络安全。在其特点的基础上，对其进行针对各种入侵行为的时候的性能等情况，进行进一步的分析。针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及黑客攻击，入侵防御系统不仅需要有效检测到各种类型的攻击，更重要的是降低攻击的影响，从而保证业务系统的连续性和可用性。一个完善的入侵防御系统应该从四个方面考虑：1.实时、主动的阻断攻击；2.确检测出恶意攻击流量；3.从性能和架构上支持入口点部署，保障整体安全；4.具备很强的扩展性和良好的可靠性；基于以上四点，入侵防御系统应具备以下特征：支持在线模式部署，第一时间把攻击阻断在网络之外，同时也支持旁路模式部署，用于攻击检测；准确识别攻击，避免影响正常的业务通讯；满足高性能、高可靠性的要求，达到网络服务的质量保证；提供灵活的部署方式保护现有投资。2.5 入侵防御系统的部署分析上边介绍了有关IPS的各种情况以及相关知识，接下来我们分析一下，如果部署一个IPS，我们要从哪些方面进行考虑。具有良好可扩展性的入侵防御系统的部署方式应该灵活多样，能够快速部署在大多的网络环境中，实现从网络核心至边缘的全面保护，适用于不同环境不同用户的安全防御需求。2.5.1 边界防御部署互联网的迅速发展，使人们越来越依赖互联网，大量业务应用通过互联网运行。然而由于互联网的开放性造成其安全性问题，大量的蠕虫、病毒、间谍软件、DDoS、垃圾邮件等在互联网上泛滥，而且攻击手段在不断增加，因此一个网络的互联网出入口承受着巨大的安全压力。针对来自外部的攻击，通过网络入侵防御系统的入侵防御模块“串联”在互联网出入口，实时拦截数据流量中各种类型的恶意攻击流量，把攻击防御在网络出入口之外，保护网络安全。边界防御部署如图2-3所示：图2-3：边界防御部署2.5.2 重点防御部署由于安全知识和安全意识存在差异，网络内部人员可能无意识的通过互联网络将恶意代码下载到内部网络执行，甚至将Internet上的蠕虫、病毒、间谍软件传播进入内部网络，阻塞甚至中断网络，而BT、emule等P2P下载软件轻易的占据大量的网络带宽，这都对网络的安全带来严重威胁。针对来自内部的攻击，通过网络入侵防御系统的入侵防御模块“串联”在办公区出入口、重要服务器区出入口，实时拦截数据流量中各种类型的恶意攻击流量，把办公区内的蠕虫、病毒、间谍软件等混合攻击过滤掉，防止影响网络的整体安全流量运行，保护关键服务器等网络中重要信息资产。重点防御部署如图2-4所示：图2-4：重点防御部署2.5.3 混合防御部署面对复杂多变的安全形势，不仅需要有效的攻击防御，还需要全面的安全监控。针对来自外部和内部的攻击，通过网络入侵保护系统“串联”在关键网络链路上，实时拦截数据流量中各种类型的恶意攻击流量，保护网络中重要的信息资产。同时也可以把网络入侵防御系统的入侵防御模块以“旁路”方式部署在网络的重要部位，相当于入侵检测系统，监测、分析网络内部的安全状况，保护网络安全。两种部署方式的相互配合提高了网络整体安全水平。混合防御部署，如图2-5所示：图2-5：混合防御部署2.6 入侵防御系统的设计和实现难点由于IPS的工作性质，其所处的位置一边连接内部网络服务器，一边连接外部网络。正因为其所处的位置导致潜在的问题，IPS的检测技术与IDS的检测技术是相同的，IDS存在的误报和漏报问题在IPS上同样会出现，漏报导致防火墙不能阻止攻击，而误报将阻碍正常的网络连接，影响系统运行。此外，如果所有的网络流量都通过IPS，并且加入完整的入侵检测功能，将会使IPS主机负载过重，成为整个系统的瓶颈。IPS可能造成以下问题的出现7：拒绝服务问题：一旦系统出现问题就会严重影响网络的性能，网络滞后时间可能很长，将面对一个由自己造成的拒绝服务问题。瓶颈问题：由于IPS设备必须保持与数千兆或者更大容量的网络流量同步，即便IPS设备不会轻易出现故障，但它仍然是一个潜在的瓶颈不仅会增加滞后时间而且会降低网络的效率。误报和漏报问题：可能导致合法流量被拦截，非法的流量被通过。在入侵防御系统的设计上应该注意以下方面：1.入侵检测功能的误报率一定要控制在可以接受的范围之内：由于IPS会根据入侵检测的结果实时对网络进行阻断,大量的误报会严重影响网络的可用性。2.防火墙模块不能对网络性能造成影响：IPS系统是直接串联在网络中的,它的防火墙过滤性能对网络的性能有着直接的影响.IPS本身不应当成为网络的瓶颈。3.入侵检测模块的性能和稳定性：入侵检测大多是基于特征检测的,计算量比较大,通常的系统只能勉强达到80Mbps的处理能力,在大流量冲击下可能使入侵检测模块自身瘫痪或丢失报文,形成DoS攻击。2.7 本章小结本章从入侵防御系统的基本思想开始，鉴于该文中设计的入侵防御系统是简单的架设在入侵检测系统和防火墙系统联动机制的基础上的系统，首先阐述了入侵防御系统的前一代技术的原理和防御策略和模型，然后介绍入侵防御系统的基本原理。之后，从历史的角度，研究了入侵防御系统的发展历程，让我们了解了入侵防御系统的由来和发展情况。接下来，对将要设计到的三种安全防护系统的功能进行阐述，在展示了这三种安全防护系统之后，我们就入侵防御系统进行相应的评价，从其特点入手，之后提出更高的要求。然后从理论上我们谈一谈，如果我们假设这一入侵防御系统我们将会如何部署的问题，这里涉及到了三种入侵防御系统的部署方式，并对各自的应用进行了一定的阐述。最后就要设计的系统在其设计过程中可能涉及到的问题和难点进行了相应的分析。44第三章 入侵防御系统架构设计第三章 入侵防御系统架构设计3.1 网络入侵防御系统架构设计snort_inline和iptables配置的Netfilter防火墙联动可以实现入侵防御功能。本节设计了基于snort_inline和iptables配置的Netfilter防火墙的网络入侵防御系统（NIPS，Network Intrusion Prevention System）。NIPS检测可疑的网络流量，丢弃恶意的数据包，或者阻断恶意的数据流。3.1.1 网络入侵防御系统体系结构研究大规模的应用程序很少采用单机模式，大多采用分层的体系结构。本文所设计的网络入侵防御系统的结构采用分层的体系结构。网络入侵防御系统的体系结构图如图3-1所示：图3-1：网络入侵防御系统体系结构图如图3-1，网络入侵防御系统的体系结构共分三层：第一层，入侵防御层：对经过的流量监控,检测入侵并进行入侵防御。第二层，服务器层：收集日志数据并转化为可读形式。第三层，控制层：是分析控制台，数据显示在这一层。网络入侵防御系统由四个部分组成，分别是入侵防御模块、日志记录模块、中央控制模块和模块间的通信。这四个部分彼此协作，共同实现入侵防御的功能。网络入侵防御系统的系统架构图如图3-2：图3-2：网络入侵防御系统的系统架构图入侵防御模块工作在入侵防御层，负责数据包接收、检测和入侵响应。入侵防御模块部署在网络的关键位置上，如连接外网与内网的链路上，或者一个子网与另一个子网的链路上。这样，所有经过数据均可被截取到。入侵防御模块由snort_inline和iptables配置的Netfilter防火墙联动组成的IPS构成，包括数据包接收、数据包分析和检测、响应三个部分。日志记录模块工作在服务器层，负责日志的收集，格式化。收集的日志包括snort_inline的入侵检测日志和iptables配置的防火墙日志。中央控制模块是整个系统的核心，工作在控制层。它负责协调系统各个模块，进行所有的集中化操作。例如：对结点上的入侵防御系统的配置，日志服务器的管理，数据分析，负载均衡等。模块间的通信负责系统各个组件之间安全、可靠的通信，包括中心和结点间的通信，结点和结点间的通信。3.1.2 入侵检测系统的结构及标准化目前，通用入侵检测架构（CIDF）组织和IETF都试图对入侵检测系统进行标准化。CIDF阐述了一个入侵检测系统的通用模型，将入侵检测系统分为4个组件：事件产生器、事件分析器、响应单元及事件数据库。CIDF将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。 事件产生器是从整个计算环境中获得事件，并向系统的其他部分提供此事件；事件分析器分析得到的数据，并产生分析结果；响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。在这个模型中，前三者以程序的形式出现，而最后一个则往往是文件或数据流。入侵检测系统的几个组件往往位于不同的主机上。一般会有3台机器，分别运行事件产生器、事件分析器和响应单元。 IETF的Internet草案工作组（IDWG）专门负责定义入侵检测系统组件之间，及不同厂商的入侵检测系统之间的通信格式，目前只有相关的草案（draft），还未形成正式的RFC文档。IDWG文档有：入侵警报协议（IAP），该协议是用于交换入侵警报信息、运行于TCP之上的应用层协议；入侵检测交换协议（IDXP），这个应用层协议是在入侵检测实体间交换数据，提供入侵检测报文交换格式（IDMEF）报文、无结构的文本，二进制数据的交换；IDMEF是数据存放格式隧道（TUNNEL） 文件，允许块可扩展交换协议（BEEP）对等体能作为一个应用层代理，用户通过防火墙得到服务。IAP是最早设计的通信协议，它将被IDXP替换，IDXP建立在BEEP基础之上，TUNNEL文件配合IDXP使用。在此使用CIDF标准，具体使用snort_inline和iptables配置的Netfilter防火墙联动构成的IPS组件组成如下：1.事件产生器：Netfilter钩子程序、iptables、ip_queue内核模块和netlink接口。收集数据包，把数据包从内核空间送到用户空间。2.事件分析器：libipq库、snort_inline和规则集。用规则集对数据进行入侵检测。3.响应单元：Netfilter钩子程序、libipq、libnet、iptables。对数据包的处理。4.事件数据库：MySQL数据库。收集和存放数据。3.2 入侵防御系统模块设计3.2.1 入侵防御模块入侵防御模块为了部署在网络的关键位置上，需要有路由功能，能够将具备正确路由信息的数据包由一个网卡转发到另一个网卡，实现内外网之间的正常数据通信。路由部分功能的实现，利用了Linux系统自带的路由模块，在使用时打开了对用的配置文件，具体方法如下：echo 1/proc/sys/net/ipv4/ip_forward当数据包进入入侵防御模块时，IP转发功能己经打开，内核会根据数据包的地址信息和自身的路由表将其转发。入侵防御模块是网络入侵防御系统实现的关键，由数据包接收、数据包检测、入侵响应三个部分组成。每个入侵防御模块由snort_inline和iptables配置的Netfilter防火墙联动组成的IPS构成。1.数据包接收数据包接收过程是事件产生器，由Netfilter钩子程序、iptables、ip_queue内核模块和netlink接口组成。负责收集数据包，把数据包从内核空间送到用户空间。在数据包接收的过程中，入侵防御模块应该以iptables配置的Netfilter防火墙过滤后的数据包为数据源，对符合安全策略的流量进行入侵检测，减少了入侵检测的数据包数量。iptables配置的Netfilter防火墙:结合链路层、网络层的防火墙技术实现的包过滤防火墙可以根据安全策略先对数据包进行过滤，然后把需要检测的数据包送进snort_inline入侵检测系统进行检测。这样可以降低系统资源的消耗，减轻系统的负担。用iptables进行配置可以控制传给snort_inline的数据包。例如用snort_inline来监控SMTP流量，iptables配置如下：iptables -A FORWARD -m state -state ESTABLISHED, RELATED -p tcp -dport 25 -j QUEUEiptables -A FORWARD -m state -state ESTABLISHED, RELATED -j ACCEP