關鍵網絡入侵檢測規則集管理系統設計與實現

熊雪暉 夏慶堂 羅金華 陳先進 61660部隊 北京 100089

引言

當前，為確保網絡安全，各類關鍵網絡主干、骨干節點上通常部署有網絡入侵檢測系統，利用規則匹配技術，通過對流量進行模式匹配發現蠕蟲病毒傳播、網絡探測掃描、網絡攻擊等非法行為。網絡入侵檢測系統作為關鍵網絡安全防護不可或缺的一環，其規則集的管理和實時維護重要性凸顯。本文提出一套規則集管理系統的設計和實現，并給出了具體實驗結果。

1 系統設計

網絡入侵檢測規則集管理系統由管理控制臺、入侵檢測引擎代理端和規則集數據中心組成，架構如圖1所示。管理控制臺和入侵檢測引擎代理端之間通過UDP Socket進行通信，控制臺向代理端發送控制指令，代理端向控制臺報告引擎運行狀態，入侵檢測規則集以數據庫表的形式存儲在數據中心。

圖1 關鍵網絡入侵檢測規則集管理系統架構

2 功能模塊

2.1 管理控制臺

（1）規則集轉換模塊

模塊分別實現從規則文件到數據記錄和從數據記錄到規則文件兩個方向的格式轉換，即正向解析和反向解析。正向解析是指把以文本文件格式存儲的規則集從磁盤上讀取出來，經過劃詞分析后，存儲到數據中心。反向解析是指把存儲到數據中心的規則集轉換成入侵檢測引擎能夠識別的規則文件，規則文件的組織須保持轉換之前的狀態，并發送到指定入侵檢測引擎的默認安裝位置。

（2）規則集管理模塊

該模塊實現規則集衍生、刪除以及規則增加、修改、查詢和刪除的功能。其中規則集衍生目的是為不同的引擎定制不同的入侵檢測規則集，衍生的規則集是在源規則集基礎上派生出來的新規則集，可以在源規則集基礎上增加、修改、刪除部分規則，從而形成一個與源規則集不同的規則集。

（3）引擎管理模塊

該模塊實現將規則集下發到入侵檢測引擎、查詢和展示引擎運行狀態等功能。入侵檢測引擎從規則文件中解析規則，并形成規則鏈，對獲取的網絡流進行規則匹配，從而判斷是否發生網絡安全事件。該功能需要將數據中心存儲的某個規則集轉換成規則文件集合，將規則文件集發送到指定的入侵檢測引擎，存儲到規則安裝目錄下

2.2 入侵檢測引擎代理端

入侵檢測引擎代理端主要功能包括接收來自控制臺的規則集、啟動停止入侵檢測引擎以及入侵檢測引擎運行管理。具體包括實現接收來自管理控制臺的規則集變更指令，依據指令從數據中心查詢到指定的規則集，將規則集數據記錄轉換成規則文件集合，將規則文件集合寫入到規則安裝目錄。引擎運行管理主要實現向管理控制臺報告自身運行狀態、監視入侵檢測引擎進程運行。

2.3 規則集數據中心

數據中心用于存儲規則集、操作日志和系統配置參數，采用Mysql數據庫。數據庫中的表有：（1）規則表，以規則集名稱和規則序號為關鍵字段，以規則頭和規則體為字段，存儲每條文本規則。（2）日志表，按照時間順序，存儲詳細操作記錄和系統狀態記錄。（3）引擎規則集對應表，按照時間順序，存儲入侵檢測引擎IP地址和規則集對。

3 系統測試

入侵檢測規則集管理系統測試環境主要由代理端服務器、數據中心服務器、交換機和管理端組成，設備連接關系如圖2所示。

圖2 測試設備連接關系圖

測試包括功能性測試、性能測試、安全性測試和可靠性測試。其中性能測試內容主要包括：在10分鐘內解析完120個規則文件、30秒內完成10000條規則下發至引擎并生效；安全性測試包括：控制端屏蔽非法輸入字符；可靠性測試包括：系統異常自主恢復、資源占用率合理。所有測試結果均符合設計目標。

4 結語

本文對網絡入侵檢測規則集管理系統的設計與實現，借助數據庫管理系統簡化了操作規則，通過數據中心結構將規則更新時效性從小時級提升至秒級，徹底改變了過去手工管理規則集和入侵檢測引擎的傳統方式，為關鍵網絡網絡安全管理員管理成百上千臺入侵檢測引擎提供了技術手段。該系統不僅適用于關鍵網絡的防護管理，也可用于各類安全從業人員的技能培訓。