聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)的防御體系設(shè)計分析

摘 要：入侵防御系統(tǒng)是最近發(fā)展的全新安全防范工具，也是積極、主動的入侵防范系統(tǒng)，在入侵防御系統(tǒng)檢測到攻擊企圖之后，就能夠自動丟棄攻擊包，以此使信息系統(tǒng)受到實時的保護。但是目前內(nèi)嵌式入侵防御系統(tǒng)的檢測算法并不完善，從而提高了檢測入侵漏報率及誤報率。并且，單一檢測機制無法實現(xiàn)空間及時間分散攻擊的有效檢測，從而提高了全新拒絕服務(wù)及瓶頸問題的出現(xiàn)機率。因此，本文就全面分析聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)防御體系，從而有效彌補傳統(tǒng)入侵防御系統(tǒng)的不足。

關(guān)鍵詞：聯(lián)動式；網(wǎng)絡(luò)安全系統(tǒng)；防御體系

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2096-4706（2018）12-0174-03

Design and Analysis of Defense System for Linked Network Security System

TENG Cui，LIANG Chuan

（School of Information Engineering，Baise University，Baise 533000，China）

Abstract：Intrusion prevention system （IDS） is a new security prevention tool developed recently. It is also an active intrusion prevention system. After the IDS detects the attack attempt，it can automatically discard the attack packet，so that the information system is protected in real time. However，the detection algorithm of embedded intrusion prevention system is not perfect at present，which improves the detection rate of missing report and 1. Moreover，a single detection mechanism can not detect spatially and disperse attacks effectively，thus increasing the probability of new denial of service and bottleneck problems. Therefore，this paper makes a comprehensive analysis of the defense system of the linkage network security system，so as to effectively solve the shortcomings of the traditional intrusion prevention system.

Keywords：linkage；network security system；defense system

0 引 言

防火墻技術(shù)的主要研究方向就是硬件防護墻，目前的硬件防火墻指的就是使防火墻功能能夠基于硬件平臺實現(xiàn)，從而降低CPU負擔，提高路由器穩(wěn)定性。其一般都是網(wǎng)絡(luò)和被保護主機中的專用網(wǎng)絡(luò)設(shè)備，在連接內(nèi)網(wǎng)和外網(wǎng)網(wǎng)管處設(shè)置。但是此網(wǎng)絡(luò)安全防護系統(tǒng)產(chǎn)品及研究的實現(xiàn)功能較為單一，防火墻及入侵檢測技術(shù)融合都是簡單添加入侵檢測模塊，在檢查入侵行為之后，只能夠利用非法IP攔截進行反應(yīng)，無法滿足網(wǎng)絡(luò)安全的需求。所以，本文就提出了聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)防御體系的設(shè)計。

1 聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)防御體系的設(shè)計

在現(xiàn)代網(wǎng)絡(luò)環(huán)境越來越復雜，并且全新攻擊方法不斷出現(xiàn)之后，單一功能安全產(chǎn)品已經(jīng)無法滿足客戶需求，多種技術(shù)的相互結(jié)合及集中管理也成為了網(wǎng)絡(luò)安全的主要發(fā)展方向。通過以上描述可以看出來，不同安全解決方案的優(yōu)缺點各有不同，結(jié)合入侵檢測及防火墻技術(shù)，就會出現(xiàn)現(xiàn)代化入侵防御安全解決方案，但是此種方法具有諸多不足，入侵防御系統(tǒng)還是使用傳統(tǒng)入侵檢測技術(shù)對攻擊行為進行檢測，無法解決漏報和誤報的問題[1]。那么，本文就融合入侵檢測技術(shù)、防火墻技術(shù)、漏洞掃描技術(shù)的優(yōu)勢展開探討，從而能夠有效降低漏報及誤報出現(xiàn)的頻率，實現(xiàn)網(wǎng)絡(luò)安全解決對策的完善。

1.1 系統(tǒng)的模型及構(gòu)成

圖1為聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)防御體系的結(jié)構(gòu)模型，圖2為系統(tǒng)的構(gòu)成，通過圖2可以看出來，其中的防護系統(tǒng)主要包括終端主機和聯(lián)動控制臺，終端主機系統(tǒng)主要包括審計集中系統(tǒng)、病毒檢測系統(tǒng)、防火墻、入侵檢測系統(tǒng)。

1.2 終端主機子系統(tǒng)

本文所研究的主機防火墻中主要包括網(wǎng)卡接口、策略執(zhí)行器、IP包截取、IP安全模塊、IP包過濾模塊[2]，詳見圖3。

其中策略執(zhí)行器要和控制臺能夠相互通信，從而在端點主機中開辟特點端口，將其作為a，控制臺和端點主機a端口相互連接，將自身密鑰進行發(fā)送，端點在確定對方身份之后才能夠與其通訊，要不然就會關(guān)閉端點連接，端點對控制臺發(fā)送連接請求。其中網(wǎng)卡接口模塊的主要目的就是實現(xiàn)數(shù)據(jù)的傳輸和通信；IP包截取模塊的主要作用就是利用網(wǎng)卡接口模塊實現(xiàn)數(shù)據(jù)包的獲取；IP包過濾模塊的主要作用就是提供網(wǎng)絡(luò)層安全訪問控制，首先通過網(wǎng)卡中實現(xiàn)數(shù)據(jù)包的截取，之后使過濾模塊進行處理，根據(jù)相關(guān)的訪問控制規(guī)則實現(xiàn)數(shù)據(jù)包匹配，滿足規(guī)則轉(zhuǎn)發(fā)，不滿足丟棄；其中IP安全模塊主要是針對內(nèi)網(wǎng)主機載波偵聽多路訪問及沖突檢測機制和TCP/IP協(xié)議不安全的因素，在本文設(shè)計過程中添加IP模塊的主要目的就是能夠?qū)崿F(xiàn)報文加解密及完整性的校驗，以此能夠通過內(nèi)部網(wǎng)絡(luò)實現(xiàn)私有數(shù)據(jù)的傳輸，有效保障IP數(shù)據(jù)的安全性。

1.3 高速入侵檢測系統(tǒng)

入侵檢測系統(tǒng)模塊主要包括事件發(fā)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。其中事件發(fā)生器主要組成部分就是獲得事件模塊，其主要目的就是獲得網(wǎng)絡(luò)數(shù)據(jù)包，從而為其他模塊提供時間；事件分析器的主要目的就是對事件進行全面分析，以已知集合為基礎(chǔ)進行結(jié)果分析；響應(yīng)單元的主要作用就是實現(xiàn)對分析器結(jié)果的分析，實現(xiàn)對系統(tǒng)操作的設(shè)置，比如阻斷和告警；事件數(shù)據(jù)庫的主要作用就是對事件過程及結(jié)果進行存儲。圖4為入侵檢測系統(tǒng)模型。

以不同應(yīng)用場景和日志數(shù)據(jù)事件、網(wǎng)絡(luò)數(shù)據(jù)包創(chuàng)建系統(tǒng)檢測基礎(chǔ)，入侵檢測系統(tǒng)技術(shù)的主要內(nèi)容就是行為特征表，其中具有全部基本的行為變量，此特征變量能夠以具體統(tǒng)計方法為基礎(chǔ)，此行為模式和記錄相互匹配更新數(shù)據(jù)域，假如行為特征出現(xiàn)異常的變化，統(tǒng)計變量值也會出現(xiàn)異常，那么就要以記錄為基礎(chǔ)使用針對性的防御措施。規(guī)則模塊主要包括系統(tǒng)安全策略及攻擊模式，其不僅能夠?qū)崿F(xiàn)系統(tǒng)判斷，還能夠以事件記錄和異常記錄為基礎(chǔ)實現(xiàn)模塊狀態(tài)的更新，這種更新的過程因為方式及規(guī)則的不同而各異。簡單來說，行為特征模塊都是以行為檢測為基礎(chǔ)，但是規(guī)則模塊都是以知識檢測為基礎(chǔ)。

1.4 通信協(xié)議

通信協(xié)議指的就是避免對防御機制運行細節(jié)進行描述，從而實現(xiàn)信息歸納，實現(xiàn)防御機制的兼容和需要信息的交換需求。簡單來說，通信協(xié)議設(shè)計過程中包括了大量對于安全事件描述的方式，在實際使用過程中能夠從其中將共性進行抽象，此共性內(nèi)容能夠有效滿足大部分防御機制信息需求，那么通過共性創(chuàng)建的協(xié)議就是合適的通訊協(xié)議。目前在聯(lián)動防御安全防御機制的相互溝通管理方面存在大量的問題，因為IDXP、IDMEF、OPSEC協(xié)議都無法滿足本文所設(shè)計需求，那么本文就使用NAP協(xié)議進行制定，其內(nèi)容包括MAC地質(zhì)、數(shù)據(jù)鏈路層源MAC及以太網(wǎng)幀類型，其主要的作用就是控制以太網(wǎng)幀，在以太網(wǎng)幀的類型屬于IP協(xié)議的時候，其主要包括源IP地質(zhì)、IP協(xié)議號及目的IP地址，若IP協(xié)議號屬于TCP或者UDP，其控制的范圍則屬于目標的連接范圍。本文通信協(xié)議以Clinent方式實現(xiàn)，通過TCP協(xié)議實現(xiàn)通信，服務(wù)器端實現(xiàn)端口開放，在客戶端和服務(wù)端實現(xiàn)連接之后，客戶端就會對服務(wù)端進行報文信息的發(fā)送，并且一條連接能夠?qū)崿F(xiàn)多個報文信息的發(fā)送，直到此連接關(guān)閉。在客戶端對服務(wù)端發(fā)送報文信息的時候，不需要服務(wù)端回答。服務(wù)端在接收錯誤解碼報文的時候就會將連接斷開，而且在一段時間內(nèi)沒有接收到全新報文的時候就會將連接斷開。在服務(wù)端和客戶端創(chuàng)建TCP連接時，客戶端就會對服務(wù)端實現(xiàn)報文信息的發(fā)送，報告客戶端應(yīng)用程序出現(xiàn)危險信息。圖5為NAP的報文格式，NAP報文主要包括兩部分，分別為報文頭部和報文正文，頭部為IAP協(xié)議格式，正文的主要目的就是實現(xiàn)傳輸協(xié)議及目標連接信息的傳輸，此部分通過XML格式實現(xiàn)描述。并且相關(guān)協(xié)議表示，要實現(xiàn)報文正文的認證及加密，以此對數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中完整性及安全性進行保護。

1.5 策略決策系統(tǒng)

因為入侵檢測系統(tǒng)自身存在重復報警及誤報警的問題，所以聯(lián)動模塊無法直接處理入侵檢測系統(tǒng)的告警，如果其中的告警信息都具有一定的防火墻規(guī)則的性質(zhì)，那么就會擴大防火墻規(guī)則的內(nèi)容，此種冗余較多的防火墻規(guī)則就會降低防火墻檢測速度，系統(tǒng)只有通過對入侵檢測系統(tǒng)的上報告警進行分類及分析，從中提煉有效信息，才能夠?qū)崿F(xiàn)后續(xù)的處理，以此來有效緩解系統(tǒng)壓力。利用處理信息就能夠提取攻擊信息名稱、協(xié)議層次、IP地址、攻擊時間等，通過此種信息能夠全面分析告警事件，從而對此事件是否為重復告警進行有效判斷，從而得到告警事件等級，最后使用相應(yīng)措施進行處理。

2 結(jié) 論

隨著現(xiàn)代網(wǎng)絡(luò)的廣泛使用，網(wǎng)絡(luò)安全問題也備受人們關(guān)注，現(xiàn)代入侵檢測系統(tǒng)、防火墻等都已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域中的主要產(chǎn)品，但是因為其自身具有多種不足，所以無法實現(xiàn)對網(wǎng)絡(luò)的全面保護，因此就要需要全新的防御體系對其問題進行有效解決。本文以此為背景設(shè)計了聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)防御體系，入侵防御系體系屬于積極主動地阻止入侵防御系統(tǒng)，其在網(wǎng)絡(luò)進出口進行部署，在發(fā)現(xiàn)具有攻擊企圖之后就會自動將攻擊包丟掉，使用全新的措施對攻擊源進行阻斷。本文所設(shè)計的入侵防御體系能夠在一定程度上彌補入侵檢測系統(tǒng)及防火墻中的不足，從而實現(xiàn)內(nèi)部網(wǎng)絡(luò)進行主動地防御，以此有效提高網(wǎng)絡(luò)安全性。

參考文獻：

[1] 李衛(wèi)，孫少華，孫曉東.企業(yè)網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計與實現(xiàn) [J].電子設(shè)計工程，2017，25（13）：9-12.

[2] 張娜.成套儀表通信網(wǎng)絡(luò)的安全防護系統(tǒng)設(shè)計方法研究 [J].信息系統(tǒng)工程，2017（5）：61.

作者簡介：滕翠（1979.01-），女，漢族，廣西百色人，工學碩士，高級實驗師。研究方向：網(wǎng)絡(luò)安全；梁川（1979.09-），男，壯族，廣西百色人，工學碩士，講師。研究方向：信息安全、數(shù)據(jù)挖掘。