自建入侵檢測系統(tǒng)與防火墻聯(lián)動策略的實現(xiàn)方法研究

辛苗

摘 要：由于小型商業(yè)或自用網(wǎng)絡(luò)中心無法投入大量財力物力對其進行全部防御，本文提出了一種自建入侵檢測系統(tǒng)與防火墻聯(lián)動策略的實現(xiàn)方法來實現(xiàn)該類網(wǎng)站中心的基本防護。利用Libnids庫進行二次開發(fā)實現(xiàn)了自建入侵檢測系統(tǒng)與防火墻聯(lián)動，該策略在進行監(jiān)聽網(wǎng)絡(luò)通信期間，當(dāng)察覺到可疑的活動，系統(tǒng)就會自動設(shè)置新的防火墻規(guī)則，阻止與可疑IP主機間的全部連接。實驗證明，通過硬件、軟件的配合，可以有效對不符合規(guī)定的行為進行即時阻斷和記錄。

關(guān)鍵詞：入侵檢測;防火墻聯(lián)動策略;Libnids;主動防御

1? 引言

目前，在全球信息化的同時，各種攻擊、防護技術(shù)和方法（如對工業(yè)控制系統(tǒng)的攻擊、無界瀏覽器、網(wǎng)絡(luò)刷票、免殺、網(wǎng)絡(luò)身份證、云安全等）層出不窮。這些攻擊和防護技術(shù)所帶來的安全問題尤其突出，而對網(wǎng)絡(luò)進行實時安全問題檢測，識別不同信息安全攻擊手段的威脅程度，并迅速做出解決方案，使其對網(wǎng)絡(luò)信息安全所帶來的風(fēng)險和影響降到最低，是一種十分必要的網(wǎng)絡(luò)安全防護措施之一。國內(nèi)外圍繞網(wǎng)絡(luò)信息安全的研究十分活躍，其重要性不言而喻[1] [2]。

本文提了一種自建入侵檢測系統(tǒng)與防火墻聯(lián)動策略實現(xiàn)方法是一種將被動式入侵檢測系統(tǒng)變?yōu)橹鲃邮椒烙椒ǎ浔锥溯^主動式防御技術(shù)無論在風(fēng)險方面還是其技術(shù)被不法分子利用方面都是極低的，且其十分靈活，造價及部署成本極低。

2? 技術(shù)概述

防火墻可以比喻為辦公室門口的警衛(wèi)，用來檢查進出者的身份。而入侵檢測系統(tǒng)就像是網(wǎng)上的警報器，當(dāng)發(fā)現(xiàn)入侵者時，指出入侵者的來歷、他們正在做什么。入侵檢測系統(tǒng)被視為防火墻之后的第二道安全閘門。

2.1? 防火墻技術(shù)

防火墻技術(shù)，最初是針對 Internet 網(wǎng)絡(luò)不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。它是一種計算機硬件防火墻件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問政策、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。

防火墻的工作原理是按照事先規(guī)定的策略規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)信息，嚴格按照策略執(zhí)行通、斷動作，同時保存日志信息，記錄其五元組（通常是指由源IP地址，源端口，目的IP地址，目的端口，和傳輸層協(xié)議號這五個量組成的一個集合），以便方便網(wǎng)絡(luò)管理員的檢測和跟蹤[3]。

防火墻的優(yōu)點是策略性強，通過執(zhí)行人為定制的安全策略，能過濾掉管理員知識體系中已有的不安全服務(wù)，拒絕可疑的訪問，大大降低非法攻擊的風(fēng)險，提高網(wǎng)絡(luò)安全系數(shù)[4]。

2.2? 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是一個強大的網(wǎng)絡(luò)入侵檢測系統(tǒng)。它具有實時數(shù)據(jù)流量分析和記錄IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進行協(xié)議分析，對網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容進行搜索/匹配。它能夠檢測各種不同的攻擊方式，對攻擊進行實時報警。此外，很多入侵檢測系統(tǒng)都是開源的，例如snort，具有很好的擴展性和可移植性，本文這事利用開源入侵檢測系統(tǒng)進行二次設(shè)計實現(xiàn)與防火墻聯(lián)動[5] [6]。入侵檢測系統(tǒng)基本體系結(jié)構(gòu)如圖1所示：

如上圖所示，入侵檢測系統(tǒng)基本體系結(jié)構(gòu)由4大軟件模塊組成，它們分別是：

（1）數(shù)據(jù)包嗅探模塊——負責(zé)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包，對網(wǎng)絡(luò)進行分析;

（2） 預(yù)處理模塊——該模塊用相應(yīng)的插件來檢查原始數(shù)據(jù)包，從中發(fā)現(xiàn)原始數(shù)據(jù)的“行為”，如端口掃描，IP碎片等，數(shù)據(jù)包經(jīng)過預(yù)處理后才傳到檢測引擎;

（3）檢測模塊——該模塊是核心模塊。當(dāng)數(shù)據(jù)包從預(yù)處理器送過來后，檢測引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配，就通知報警模塊;

（4） 報警/日志模塊——經(jīng)檢測引擎檢查后的數(shù)據(jù)需要以某種方式輸出。如果檢測引擎中的某條規(guī)則被匹配，則會觸發(fā)一條報警，這條報警信息會通過網(wǎng)絡(luò)、UNIX socket、Windows Popup（SMB）、SNMP協(xié)議的trap命令傳送給日志文件，甚至可以將報警傳送給第三方插件（如SnortSam），另外報警信息也可以記入SQL數(shù)據(jù)庫。

3? 自建入侵檢測系統(tǒng)與防火墻聯(lián)動

本文使用Libnids（Library Network Intrusion Detection System）庫進行二次編程實現(xiàn)自建入侵檢測系統(tǒng)與防火墻聯(lián)動。Libnids是一個用于網(wǎng)絡(luò)入侵檢測開發(fā)的專業(yè)編程接口。它實現(xiàn)了基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的基本框架，并提供了一些基本的功能。使用Libnids可以快速地構(gòu)建基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)[7] [8]，并可以在此基礎(chǔ)上進一步擴展開發(fā)。

3.1? 開發(fā)實現(xiàn)TCP數(shù)據(jù)流重組

（1）TCP數(shù)據(jù)流重組

TCP報文在網(wǎng)絡(luò)傳輸過程中會有失序，重復(fù)，還會有丟包的情況發(fā)生，在進行上層協(xié)議分析之前，需要對TCP報文進行重組以進行TCP報文的重新排序，丟棄重復(fù)的數(shù)據(jù)，并指示數(shù)據(jù)的丟失。簡單的講，重組僅關(guān)心TCP序號、應(yīng)答號及數(shù)據(jù)，還有幾個特殊的TCP標(biāo)志（SYN，ACK，RST，F(xiàn)IN需特別處理） [9]。重組需要從SYN包獲取一個啟始序號，ACK標(biāo)志表示應(yīng)答序號有效，RST、FIN將設(shè)置數(shù)據(jù)流的結(jié)束標(biāo)志，待所有數(shù)據(jù)接收完成，數(shù)據(jù)流才關(guān)閉[10]。

（2）利用Libnids二次開發(fā)實現(xiàn)TCP數(shù)據(jù)流重組

Libnids提供了TCP數(shù)據(jù)流重組的功能，它可以顯示任何基于TCP協(xié)議的應(yīng)用層協(xié)議。利用Libnids可以很好地實現(xiàn)顯示TCP的連接過程，并對它們的傳輸數(shù)據(jù)進行詳細的分析。Libnids的TCP數(shù)據(jù)流重組開發(fā)流程如下：

（a） 首先用函數(shù)nids_init（）進行初始化;

（b） 調(diào)用函數(shù)nids_register_tcp（）注冊用于分析TCP連接和TCP連接狀態(tài)的回調(diào)函數(shù)，主要的工作在此回調(diào)函數(shù)中實現(xiàn);

（c） 調(diào)用函數(shù)nids_run（）進入循環(huán)捕獲數(shù)據(jù)包的狀態(tài)。

Libnids的TCP數(shù)據(jù)流重組開發(fā)流程示意圖如圖2所示：

（3）回調(diào)函數(shù)tcp_dialog

對TCP流重組的回調(diào)函數(shù)的類型定義如下：

void tcp_dialog（struct tcp_stream* tcp_connection， void** arg）;

其中參數(shù)tcp_connection描述的是一個TCP連接的所有信息。

下面提供了對其幾個基本成員信息提取的方法，這些基本信息也是tcp_dailog所要實現(xiàn)完成的。

（a） 獲取TCP連接的地址和端口對。

提取tcp_stream地址端口對成員：

struct tuple4 ip_and_port = tcp_connection->addr。

將目的ip地址轉(zhuǎn)換為點式地址：

libnet_addr2name4（ ip_and_port.saddr， 0 ）。

獲取TCP源/目的端口：

ip_and_port.source/ip_and_port.dest。

（b） 判斷l(xiāng)ibnids狀態(tài)。

switch（ tcp_connection->nids_state ）

{

case NIDS_JUST_EST：

// 表示TCP客戶端與服務(wù)器建立連接狀態(tài)

tcp_connection->client.collect++;

tcp_connection->server.collect++;

case NIDS_CLOSE：

// 表示TCP連接正常關(guān)閉

case NIDS_RESET：

// 表示TCP連接被RST關(guān)閉

case NIDS_DATA：

// 表示有新的數(shù)據(jù)到達，對新到達的數(shù)據(jù)進行解析

// 調(diào)用自定義函數(shù)

parse_newdata（struct tcp_stream* tcp_connection，char * AddBuf ）

}

3.2? 開發(fā)實現(xiàn)TCP端口掃描檢測

（1） 實現(xiàn)端口掃描檢測

在Libnids中提供了一些基本的檢測技術(shù)，如對網(wǎng)絡(luò)掃描攻擊的檢測（包括端口掃描攻擊），以及對異常IP數(shù)據(jù)包、異常TCP數(shù)據(jù)包和異常UDP數(shù)據(jù)包的檢測。Libnids針對端口掃描攻擊的開發(fā)流程如下：

（a） 首先通過Libnids的全局參數(shù)對Libnids的一些環(huán)境參數(shù)進行設(shè)置，就端口掃描檢測而言，此步驟完成的是注冊端口掃描檢測攻擊的函數(shù)，方法如下：

nids_params.syslog = portscan_ids

其中nids_params為Libnids全局變量，成員syslog是一個函數(shù)指針，默認值為nids_syslog（）函數(shù)。

在syslog函數(shù)中可以檢測入侵攻擊，如端口掃描攻擊，也可以檢測一些異常情況，如無效TCP標(biāo)記。此處注冊的是回調(diào)函數(shù)portscan_ids，其定義類型如下：

void portscan_ids（int type， int errnum， IPV4_HEADER* iph，struct host* hostinfo）

入口參數(shù)說明如下：

參數(shù)type為Libnids報警類型;

參數(shù)errnum為IP、TCP報警類型;

參數(shù)iph為IP數(shù)據(jù)包頭結(jié)構(gòu)，需要自定義，見common/pt_header.h;

參數(shù)hostinfo為掃描主機數(shù)據(jù)結(jié)構(gòu)。

設(shè)置之后的環(huán)境參數(shù)對整個Libnids都有效。

（b） 完成檢測攻擊函數(shù)的注冊后，接下來用函數(shù)nids_init（）進行Libnids初始化。

（c） 最后用函數(shù)nids_run（）進入循環(huán)捕獲數(shù)據(jù)包的狀態(tài)。

Libnids針對端口掃描攻擊的開發(fā)流程示意如圖3所示。

＼

（2）掃描主機數(shù)據(jù)結(jié)構(gòu)

struct scan

{

unsigned int addr;/* 被掃描者的IP（網(wǎng)絡(luò)字節(jié)順序）*/

unsigned short port;/* 被掃描端口號*/

unsigned char flags;/* TCP掃描類型（SYN、FIN、NULL掃描）*/

}

struct host

{

struct host* next;/* 下一個主機結(jié)點*/

struct host* prev;/* 前一個主機結(jié)點*/

unsigned addr;/* 掃描源IP地址*/

unsigned modtime;/* 時間*/

unsigned n_packets;/* 掃描次數(shù)*/

struct scan* packets;/* 掃描信息*/

}

（3） 端口掃描檢測回調(diào)函數(shù)