入侵檢測系統(tǒng)在開放式網(wǎng)絡(luò)中的設(shè)計與實現(xiàn)

郭宏剛

（河北師范大學(xué)，河北 石家莊 050016）

入侵檢測系統(tǒng)在開放式網(wǎng)絡(luò)中的設(shè)計與實現(xiàn)

郭宏剛

（河北師范大學(xué)，河北 石家莊 050016）

在說明入侵檢測技術(shù)原理的基礎(chǔ)上，在基于開放式網(wǎng)絡(luò)的入侵檢測系統(tǒng)方面作了一些嘗試，綜合利用分布式入侵檢測技術(shù)，開發(fā)出一套適用于開放式網(wǎng)絡(luò)的基于web的入侵檢測系統(tǒng)，給出了系統(tǒng)總體結(jié)構(gòu)、主要模塊的設(shè)計實現(xiàn)。該系統(tǒng)能以直觀友好的圖形化方式顯示入侵檢測事件并做出響應(yīng)。

入侵檢測；分布式；網(wǎng)絡(luò)安全；開放式

一、引言

在我國，隨著各個開放式網(wǎng)絡(luò)的建設(shè)和普及，給人們的工作、生活、學(xué)習(xí)等多方面帶來了很大促進(jìn)的同時，開放式網(wǎng)絡(luò)暴露出來的安全問題日益突出。由于網(wǎng)絡(luò)的開放、高帶寬、多主機(jī)、安全管理弱等特點，開放式網(wǎng)絡(luò)成為黑客們青睞的地方。所以在網(wǎng)絡(luò)內(nèi)部建立網(wǎng)絡(luò)安全系統(tǒng)是非常必要的。目前在開放式網(wǎng)絡(luò)中普遍采用硬件防火墻的網(wǎng)絡(luò)安全系統(tǒng)，但是由于防火墻保護(hù)的是網(wǎng)絡(luò)邊界安全，對在網(wǎng)絡(luò)內(nèi)部所發(fā)生的攻擊行為無能為力。人侵檢測系統(tǒng)（Intrusion Detect System，IDS）是一種基于主動策略的網(wǎng)絡(luò)安全系統(tǒng)，作為對被動防御型的防火墻的必要補充，可以在不影響網(wǎng)絡(luò)性能的情況下，對外部入侵行為和內(nèi)部用戶非授權(quán)行為進(jìn)行檢測，能有效地提高網(wǎng)絡(luò)的安全級別。

二、入侵檢測系統(tǒng)概述

（一）什么是入侵檢測系統(tǒng)

入侵檢測是指通過對行為、安全日志、審計數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖，其作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。它是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。

（二）入侵檢測系統(tǒng)的基本結(jié)構(gòu)

下面給出了一個入侵檢測系統(tǒng)基本結(jié)構(gòu)，如圖1。

圖1 入侵檢測系統(tǒng)基本結(jié)構(gòu)圖

圖1 中數(shù)據(jù)提取模塊的作用在于為系統(tǒng)提供數(shù)據(jù)。數(shù)據(jù)的來源可以是主機(jī)上的日志信息、變動信息，也可以是網(wǎng)絡(luò)上的數(shù)據(jù)信息，甚至是流量變化等。這些都可以作為數(shù)據(jù)源。數(shù)據(jù)提取模塊在獲得數(shù)據(jù)之后，需要對數(shù)據(jù)進(jìn)行簡單的處理，如簡單的過濾、數(shù)據(jù)格式的標(biāo)準(zhǔn)化等。然后將經(jīng)過處理的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊的作用在于對數(shù)據(jù)進(jìn)行深入的分析，發(fā)現(xiàn)攻擊并根據(jù)分析的結(jié)果產(chǎn)生事件，傳遞給結(jié)果處理模塊。數(shù)據(jù)分析的方式多種多樣，可以簡單到對某種行為的計數(shù)（如一定時間內(nèi)某個特定用戶登錄失敗的次數(shù)，或者某種特定類型報文的出現(xiàn)次數(shù)），也可以是一個復(fù)雜的專家系統(tǒng)。該模塊是一個入侵檢測系統(tǒng)的核心。結(jié)果處理模塊的作用在于報警與反應(yīng)。

（三）入侵檢測系統(tǒng)的分類

從數(shù)據(jù)來源看，入侵檢測系統(tǒng)通?？梢苑譃槿悾夯谥鳈C(jī)的入侵檢測系統(tǒng)(Host-based IDS，簡稱HIDS)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（Network-based IDS，簡稱NIDS）和分布式入侵檢測系統(tǒng)（Distributed IDS，簡稱DIDS）。

基于主機(jī)的入侵檢測系統(tǒng)，其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，一般只能檢測該主機(jī)上發(fā)生的入侵。

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，是利用網(wǎng)絡(luò)偵聽技術(shù)收集網(wǎng)絡(luò)上傳輸?shù)姆纸M數(shù)據(jù)包，并對這些數(shù)據(jù)包的源地址、目標(biāo)地址，端口以及載荷內(nèi)容等進(jìn)行入侵檢測分析，以發(fā)現(xiàn)入侵行為，能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。

分布式入侵檢測系統(tǒng)一般采用分布監(jiān)視、集中管理的結(jié)構(gòu)，在每個網(wǎng)段里放置基于網(wǎng)絡(luò)的入侵檢測引擎，同時對于重要的服務(wù)器，例如MAIL服務(wù)器、WEB服務(wù)器放置基于主機(jī)的入侵檢測引擎，再通過遠(yuǎn)程管理功能在一臺管理站點上實現(xiàn)統(tǒng)一的管理和監(jiān)控。這種分布式的入侵檢測結(jié)構(gòu)，結(jié)合了HIDS和NIDS這兩種檢測系統(tǒng)的優(yōu)點，彌補了彼此的不足，可以進(jìn)行更全面的入侵檢測。

三、基于開放式網(wǎng)絡(luò)的入侵檢測系統(tǒng)的實現(xiàn)

（一）入侵檢測系統(tǒng)總體結(jié)構(gòu)

基于開放式網(wǎng)絡(luò)的入侵檢測系統(tǒng)設(shè)計為分布檢測、集中管理的模式，通過一個管理站點監(jiān)控分布在開放式網(wǎng)絡(luò)內(nèi)的若干入侵檢測引擎，即分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)結(jié)構(gòu)，見圖2。

本系統(tǒng)主要由以下三個子系統(tǒng)組成：檢測引擎、數(shù)據(jù)存儲系統(tǒng)、響應(yīng)與控制系統(tǒng)。這些子系統(tǒng)可以分布在不同的機(jī)器上，甚至不同的網(wǎng)絡(luò)上，整個系統(tǒng)采用集中——分布式的控制結(jié)構(gòu)，部件之間既要相互獨立，又通過信息相互協(xié)作，共同完成對入侵攻擊行為的檢測和處理。

圖2 基于開放式網(wǎng)絡(luò)的入侵檢測系統(tǒng)體系結(jié)構(gòu)

（二）入侵檢測系統(tǒng)的實現(xiàn)

1.檢測引擎。在本系統(tǒng)中，檢測引擎是其中的核心關(guān)鍵部分，它駐留在需保護(hù)的網(wǎng)段中的某臺主機(jī)或服務(wù)器上，收集目標(biāo)網(wǎng)段上傳輸?shù)臄?shù)據(jù)，根據(jù)預(yù)先設(shè)定的檢測規(guī)則對來自內(nèi)外網(wǎng)絡(luò)的入侵行為進(jìn)行實時跟蹤檢測，當(dāng)發(fā)現(xiàn)入侵行為時，向響應(yīng)和控制系統(tǒng)傳送實時的報警信息，同時將入侵?jǐn)?shù)據(jù)發(fā)送到數(shù)據(jù)存儲系統(tǒng)中進(jìn)行保存。由于檢測引擎的重要性和開放式網(wǎng)絡(luò)的特點，在本系統(tǒng)中的檢測引擎是以Sonrt系統(tǒng)為基礎(chǔ)開發(fā)而成的。

2.數(shù)據(jù)存儲系統(tǒng)。數(shù)據(jù)存儲系統(tǒng)的功能在于將檢測引擎檢測到的網(wǎng)絡(luò)數(shù)據(jù)以及入侵報警數(shù)據(jù)保存起來，用于事后進(jìn)行入侵分析、制定安全策略的參考，同時也是對入侵者進(jìn)行法律制裁的證據(jù)。在數(shù)據(jù)庫的選擇上本系統(tǒng)選用MySQL數(shù)據(jù)庫。MySQL具有功能強、使用簡單、管理方便、運行速度快、可靠性高、安全保密性強等優(yōu)點。另外，MySQL在linux上是免費的，這對于經(jīng)費不多的單位來說是非常適合的。

3.響應(yīng)與控制系統(tǒng)。本模塊采用net技術(shù)設(shè)計為B/S模式，這樣的優(yōu)點是無需安裝客戶端，管理員可以從開放式網(wǎng)絡(luò)中任何聯(lián)網(wǎng)的計算機(jī)通過其WEB界面察看報警信息并且對入侵檢測系統(tǒng)進(jìn)行管理，如圖3。

圖3 基于web的入侵檢測系統(tǒng)控制模塊

響應(yīng)與控制系統(tǒng)按照功能分為用戶管理模塊、檢測引擎配置模塊、入侵信息報警模塊、服務(wù)器報警模塊、報警數(shù)據(jù)分析管理模塊和圖形分析模塊六個子模塊。

（1）用戶管理模塊

對用戶的管理系統(tǒng)根據(jù)管理目的分為超級用戶、一般管理者和普通用戶三類。超級用戶具有一切權(quán)限，一般管理者具有對系統(tǒng)進(jìn)行管理的權(quán)限，擁有除了超級用戶的其他權(quán)限。另外，管理員在控制模塊中所進(jìn)行的操作都將被一一記錄下來，這樣在事故發(fā)生以后，既可以方便取證，也讓管理員加強了自身的責(zé)任感。第三類則是普通用戶，他們只能進(jìn)行查詢、查看報警數(shù)據(jù)的操作，但沒有管理檢測引擎的權(quán)限。通過嚴(yán)格的分級限制，可以有效地加強對系統(tǒng)的管理，盡量避免人為的破壞活動。

（2）檢測引擎配置模塊

檢測引擎配置模塊的功能是在WEB界面上直接控制檢測引擎的運行。并對檢測引擎的規(guī)則進(jìn)行增加、刪除和修改的操作。另外，還可以從外部導(dǎo)入一個規(guī)則文件到規(guī)則庫中，以便及時將最新的規(guī)則特征加入其中。

（3）入侵信息報警模塊

其功能是將檢測到的入侵事件發(fā)布出來，管理員可以通過報警信息決定下一步的行動。在報警信息中顯示入侵的IP地址、端口號、協(xié)議等信息，并大致判斷是何種類型的入侵。

（4）服務(wù)器報警模塊

對于學(xué)校內(nèi)主要服務(wù)器進(jìn)行重點保護(hù)，如www服務(wù)器、mail服務(wù)器、ftp服務(wù)器、oas服務(wù)器、vod服務(wù)器等每個服務(wù)器都有專門的報警窗口，有利于網(wǎng)管及時發(fā)現(xiàn)對服務(wù)器的攻擊情況。

（5）報警數(shù)據(jù)分析管理模塊

報警數(shù)據(jù)整理器的作用是方便管理員對存儲在數(shù)據(jù)庫中的報警數(shù)據(jù)進(jìn)行分門別類的查詢、整理備份以及刪除操作。如按時間來查詢，可以讓管理員了解在哪個時間段網(wǎng)絡(luò)入侵事件最多，以此判斷攻擊者的活動時間。按攻擊者的源地址進(jìn)行查詢可以獲取攻擊者的一些信息。根據(jù)這些不同的查詢條件進(jìn)行查詢的結(jié)果，可以根據(jù)不同的需要生成日志分析報表。另外，由于日志流量比較大，需要定期備份清除陳舊的日志信息。同時根據(jù)需要可以刪除無用或陳舊的報警數(shù)據(jù)，以保證系統(tǒng)的效能。

（6）圖形分析模塊

其功能是將保存在數(shù)據(jù)庫中的入侵事件按照日期、遠(yuǎn)端口、目的端口和IP地址聲稱報警的圖形化匯總，這樣管理員可以通過分析總結(jié)入侵事件的規(guī)律和特點來制定下一步的安全策略。

3.入侵檢測系統(tǒng)的測試

將入侵檢測系統(tǒng)部署在校園網(wǎng)后，為了驗證掃描攻擊的效果，使用網(wǎng)絡(luò)攻擊軟件對目標(biāo)服務(wù)器進(jìn)行攻擊和掃描測試。通過分析檢測結(jié)果發(fā)現(xiàn)入侵檢測系統(tǒng)能夠比較準(zhǔn)確地檢測到攻擊和掃描，檢測系統(tǒng)較好地實現(xiàn)了項目的設(shè)計思想，效果比較理想，如圖4。

圖4 入侵檢測系統(tǒng)發(fā)現(xiàn)掃描攻擊

四、結(jié)論

本系統(tǒng)實時從網(wǎng)絡(luò)上提取數(shù)據(jù)，根據(jù)設(shè)定的入侵規(guī)則對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析，從網(wǎng)絡(luò)數(shù)據(jù)中分析出入侵事件，并通過WEB進(jìn)行報警，同時根據(jù)策略通知防火墻進(jìn)行攔截以阻止入侵的進(jìn)一步進(jìn)行，本系統(tǒng)具有下列優(yōu)點：

首先，本系統(tǒng)在提供基本的入侵檢測的基礎(chǔ)上，可以對入侵事件通過WEB進(jìn)行報警并與防火墻聯(lián)動，對入侵事件及時進(jìn)行處理。

其次，采用分布式體系結(jié)構(gòu)。數(shù)據(jù)的分布處理，提高了數(shù)據(jù)處理效率，同時降低了在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，減輕了網(wǎng)絡(luò)的負(fù)擔(dān)。

第三，操作簡單、實用。雖然只提供了入侵檢測最基本的功能，但是所提供的功能都是入侵檢測系統(tǒng)中最實用和需要的功能，使網(wǎng)絡(luò)管理人員可以方便地監(jiān)測網(wǎng)絡(luò)。

第四，易于擴(kuò)展。由于系統(tǒng)在設(shè)計時就考慮了擴(kuò)展性，所以本系統(tǒng)的通訊接口、入侵規(guī)則、模塊接口等都具有很好的擴(kuò)展性，便于擴(kuò)展以監(jiān)測最新的攻擊。

當(dāng)然，由于本系統(tǒng)只是一個相對簡單的分布式入侵檢測系統(tǒng)，和成熟的商業(yè)入侵檢測系統(tǒng)相比，在很多功能上還有所欠缺，有待于進(jìn)一步的細(xì)化、增強。

[1]沈昌祥.關(guān)于加強信息安全保障體系的思考：信息安全縱論[M].武漢：湖北科學(xué)技術(shù)出版社，2002.

[2]林闖，彭雪海.可信網(wǎng)絡(luò)研究[J].計算機(jī)學(xué)報，2005,（5）.

[3]馮登國.網(wǎng)絡(luò)安全原理與技術(shù)[M].北京：科學(xué)出版社，2003.

[責(zé)任編輯：張欽]

D035

A

1672-6405（2009）03-0053-03

郭宏剛，男，河北師范大學(xué)網(wǎng)絡(luò)信息中心教師。

2010-05-10