基于Snort的軍衛(wèi)一號網(wǎng)絡(luò)入侵檢測和控制系統(tǒng)

王曄，沙琨，王士勇，雷長海

(第二軍醫(yī)大學(xué) 網(wǎng)絡(luò)信息中心，上海200433)

基于Snort的軍衛(wèi)一號網(wǎng)絡(luò)入侵檢測和控制系統(tǒng)

王曄，沙琨，王士勇，雷長海

(第二軍醫(yī)大學(xué) 網(wǎng)絡(luò)信息中心，上海200433)

本文實現(xiàn)了一種基于開源軟件Snort的入侵檢測和控制系統(tǒng)，基于安全引擎BASE提供的入侵事件的詳細(xì)報表，并通過與網(wǎng)絡(luò)防火墻和核心交換機聯(lián)動實現(xiàn)實時控制，可以方便醫(yī)院網(wǎng)絡(luò)管理者對于軍衛(wèi)一號網(wǎng)絡(luò)提供完整、方便和自動化的全面防網(wǎng)絡(luò)入侵控制和保護。

軍衛(wèi)一號；計算機網(wǎng)絡(luò)安全； 網(wǎng)絡(luò)防火墻；入侵檢測系統(tǒng)

Abstract:This paper presents a network intrusion detection and controlling system which is based on Snort. The system can also provide a detailed graph report about the intrusion events. Cooperating with the network Firewalls and Switches, this system can automatically and instantly control the illegal usage of network.

Key words:No.1 military;computer network safety;network fire wall;intrusion detection system

隨著現(xiàn)代社會向信息化、網(wǎng)絡(luò)化方向快速發(fā)展，軍衛(wèi)一號計算機網(wǎng)絡(luò)安全的日常管理與維護工作已成為當(dāng)今軍隊醫(yī)療工作一個突出的問題。在傳統(tǒng)的安全模型中，網(wǎng)絡(luò)防火墻作為計算機網(wǎng)絡(luò)安全的一種防護手段得到了廣泛的應(yīng)用，但隨著攻擊技術(shù)的發(fā)展，這種單一的防護手段已經(jīng)不能確保網(wǎng)絡(luò)的安全，防火墻對于防范黑客產(chǎn)生了明顯的局限性，主要表現(xiàn)為:防火墻無法阻止內(nèi)部人員所做的攻擊 對信息流的控制缺乏靈活性在攻擊發(fā)生后，利用防火墻保存的信息難以調(diào)查和取證。為了確保計算機網(wǎng)絡(luò)安全，不斷有新的安全技術(shù)被提出。入侵檢測系統(tǒng)IDS（Intrusion Detection Systems）[2]能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)入侵攻擊，并作出響應(yīng)，擴展了系統(tǒng)管理員的安全管理能力，從而得到快速發(fā)展和廣泛應(yīng)用。

入侵檢測系統(tǒng)就是依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。它可以通過計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，同時作出響應(yīng)。入侵檢測作為一種積極主動的安全防護技術(shù)，能很好地彌補防火墻的不足。它能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力 (包括安全審計、監(jiān)視、進攻識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

1 系統(tǒng)拓?fù)浣Y(jié)構(gòu)

根據(jù)醫(yī)院軍衛(wèi)一號網(wǎng)絡(luò)的特點，我們在網(wǎng)絡(luò)出口處配置入侵監(jiān)測系統(tǒng)IDS，對來自外部網(wǎng)和醫(yī)院局域網(wǎng)內(nèi)部的各種行為進行實時檢測，及時發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應(yīng)的措施。它的主要作用是:

(1) 監(jiān)視、分析用戶及系統(tǒng)活動；

(2) 審計系統(tǒng)構(gòu)造和弱點。識別反映已知進攻的活動模式并向相關(guān)人士報警；

(3) 統(tǒng)計分析異常行為模式；

(4) 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。審計跟蹤管理操作系統(tǒng)，并識別用戶違反安全策略的行為。

圖 1 網(wǎng)絡(luò)入侵檢測系統(tǒng)拓?fù)浣Y(jié)構(gòu)

入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)；如果情況嚴(yán)重入侵監(jiān)測系統(tǒng)可以發(fā)出實時報警并和核心交換與防火墻系統(tǒng)聯(lián)動，使得醫(yī)院網(wǎng)絡(luò)管理人員能夠及時采取應(yīng)對措施。系統(tǒng)的拓?fù)浣Y(jié)構(gòu)如圖1所示：

2 Snort部署

入侵檢測系統(tǒng)基本可以分為兩大類：基于特征的入侵檢測系統(tǒng)和異常行為檢測系統(tǒng)。入侵者常具有用軟件可以檢測到的特征，如病毒。入侵檢測系統(tǒng)將檢測包含已知入侵行為特征或者異常于IP協(xié)議的數(shù)據(jù)包。基于一系列的特征及規(guī)則，入侵檢測系統(tǒng)能夠發(fā)現(xiàn)并記錄可疑行為并產(chǎn)生報警。基于異常的入侵檢測系統(tǒng)通常是分析數(shù)據(jù)包中協(xié)議頭部的異常，在某些情況下這種方式要比基于特征的入侵檢測系統(tǒng)更好一些。通常情況下，入侵檢測系統(tǒng)在網(wǎng)絡(luò)上捕獲數(shù)據(jù)包與規(guī)則比對或者檢測其中的異常。我們使用的Snort[1]是一個開放源碼的網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS），用于分析IP數(shù)據(jù)包登錄（packet logging），可以免費得到。NIDS是用來檢測網(wǎng)絡(luò)上的信息流的入侵檢測系統(tǒng)。Snort上是一個基于規(guī)則的IDS，但是Input插件可以分析協(xié)議頭部異常[3]。Snort除了能夠進行協(xié)議分析、內(nèi)容搜索和包含其它許多預(yù)處理程序，還可以檢測上千種蠕蟲病毒、漏洞、端口掃描以及其它可疑行為檢測。Snort使用一種簡單的基于規(guī)則的語言來描述網(wǎng)絡(luò)通訊，判斷對于網(wǎng)絡(luò)數(shù)據(jù)是放行還是攔截，其檢測引擎是模塊化的。

Snort在邏輯上可以分成多個部件，這些部件共同工作，來檢測特定的功績，并產(chǎn)生符合特定要求的輸出格式。一個基于Snort的IDS包含下面的主要部件：包解碼器、預(yù)處理器、探測引擎、日志和告警系統(tǒng)、輸出模塊。

我們在軍衛(wèi)一號網(wǎng)絡(luò)出口交換機的端口上配置了端口鏡像用于監(jiān)控所有外部網(wǎng)絡(luò)數(shù)據(jù)流，然后在雙網(wǎng)卡的Windows2003服務(wù)器上安裝了Snort系統(tǒng)，將服務(wù)器的一張網(wǎng)卡設(shè)置成混合模式，用于接收鏡像端口的數(shù)據(jù)流。此外我們在服務(wù)器上安裝了MySql Server存儲Snort抓取的數(shù)據(jù)，用于后期的入侵報表和分析。

3 入侵事件報表

結(jié)合基本分析和安全引擎（BASE）Web GUI，Snort可以生成圖形界面的入侵事件詳細(xì)報表。Snort經(jīng)過配置、登錄到MySQL后，BASE就能獲取警報觸發(fā)器的報告，并且根據(jù)源地或目的地IP地址、TCP或UDP端口號以及警報類型，顯示流量的異常情況。另外，如果在網(wǎng)絡(luò)上多個部位布有多個Snort探測器，那么它們都能登錄到同一個數(shù)據(jù)庫，BASE就能綜合任何一個或所有這些探測器的監(jiān)測結(jié)果來生成報告。

4 網(wǎng)絡(luò)系統(tǒng)聯(lián)動

用Snort和Base我們可以采集并查看網(wǎng)絡(luò)中的異常入侵事件，但是網(wǎng)絡(luò)中入侵事件發(fā)生非常頻繁，全部由醫(yī)院信息系統(tǒng)管理員人工察看很難做到即時反應(yīng)，將網(wǎng)絡(luò)危險及時化解。因此設(shè)計一個與網(wǎng)絡(luò)防火墻和交換機聯(lián)動[4-6]的入侵控制系統(tǒng)是非常必要的。

我們設(shè)計了一個Windows Service手動定時啟動Snort抓包模塊，定時分析產(chǎn)生的日志信息，對于在一定時間段內(nèi)反復(fù)出現(xiàn)的網(wǎng)絡(luò)入侵事件，我們將記錄源地址和目的地址。同時我們基于TcpClient實現(xiàn)了一個自動Telnet登錄網(wǎng)絡(luò)防火墻和三層主交換機的模塊，發(fā)生入侵事件時我們的入侵控制系統(tǒng)將自動登錄防火墻和主交換機，采用ACL（訪問控制列表）的方式屏蔽源地址和目的地址對于該網(wǎng)絡(luò)端口的通信，從而達(dá)到實時對入侵事件做出反應(yīng)的要求。

此外，我們設(shè)置了黑名單的機制，如果某些IP頻繁發(fā)起網(wǎng)絡(luò)入侵事件而被系統(tǒng)屏蔽，那么系統(tǒng)將自動將這些IP加入黑名單，在網(wǎng)絡(luò)防火墻和三層交換機上使用ACL屏蔽所有這些黑名單IP的通信。

由于Snort對郵件病毒也會產(chǎn)生報警，會導(dǎo)致系統(tǒng)將很多郵件服務(wù)器的IP加入黑名單，從而導(dǎo)致郵件無法正常接受，一般而言我們將郵件病毒過濾的工作交給郵件過濾網(wǎng)關(guān)，因此我們設(shè)立了白名單機制，將一些已知的郵件服務(wù)器IP加入白名單，確保不被系統(tǒng)屏蔽。

圖2是我們系統(tǒng)對于當(dāng)前自動屏蔽IP的報表，并列出了詳細(xì)的屏蔽原因。

圖 2 與防火墻聯(lián)動自動屏蔽的IP列表

5 結(jié)論

本文實現(xiàn)了一種基于開源軟件Snort的入侵檢測系統(tǒng)，基于BASE提供了入侵事件的詳細(xì)報表，并通過與網(wǎng)絡(luò)防火墻和核心交換機聯(lián)動實現(xiàn)實時控制，可以方便醫(yī)院網(wǎng)絡(luò)管理者對于軍衛(wèi)一號網(wǎng)絡(luò)提供完整、方便和自動化的全面防網(wǎng)絡(luò)入侵控制和保護。

[1] 孫振龍,等.基于數(shù)據(jù)挖掘技術(shù)的Snort入侵檢測系統(tǒng)的研究[J].微計算機信息,2006(33): 212-214.

[2] 陳汝偉,等.融合多種技術(shù)的網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(11):27-29.

[3] 趙旭,王長山.Snort入侵檢測系統(tǒng)的改進[J].西安工程科技學(xué)院學(xué)報,2007,21(6):859-863.

[4] 章勝南.醫(yī)院計算機網(wǎng)絡(luò)系統(tǒng)的安全與維護[J].中國醫(yī)療設(shè)備, 2008(5):34-35.

[5] 張蔚.聯(lián)動式網(wǎng)絡(luò)入侵防御系統(tǒng)的研究[J].通信管理與技術(shù), 2008(3):43-46.

[6] 張中輝,等.基于聯(lián)動機制的入侵防御系統(tǒng)[J].計算機時代, 2006(7):28-30.

No.1 Military Medical Network Intrusion Detection and Control System Based on Snort

WANG Ye, SHA Kun,WANG Shiyong,LEI Chang-hai
(Network Information Center,Second Military Medical University,Shanghai 200433,China)

TP393.08

B

1674-1633(2010)08-0042-02

2009-05-20

雷長海，副教授，第二軍醫(yī)大學(xué)網(wǎng)絡(luò)信息中心主任。

作者郵箱：wangyee@fudan.edu.cn