關(guān)鍵網(wǎng)絡(luò)入侵檢測規(guī)則集管理系統(tǒng)設(shè)計與實現(xiàn)

熊雪暉 夏慶堂 羅金華 陳先進 61660部隊 北京 100089

引言

當(dāng)前，為確保網(wǎng)絡(luò)安全，各類關(guān)鍵網(wǎng)絡(luò)主干、骨干節(jié)點上通常部署有網(wǎng)絡(luò)入侵檢測系統(tǒng)，利用規(guī)則匹配技術(shù)，通過對流量進行模式匹配發(fā)現(xiàn)蠕蟲病毒傳播、網(wǎng)絡(luò)探測掃描、網(wǎng)絡(luò)攻擊等非法行為。網(wǎng)絡(luò)入侵檢測系統(tǒng)作為關(guān)鍵網(wǎng)絡(luò)安全防護不可或缺的一環(huán)，其規(guī)則集的管理和實時維護重要性凸顯。本文提出一套規(guī)則集管理系統(tǒng)的設(shè)計和實現(xiàn)，并給出了具體實驗結(jié)果。

1 系統(tǒng)設(shè)計

網(wǎng)絡(luò)入侵檢測規(guī)則集管理系統(tǒng)由管理控制臺、入侵檢測引擎代理端和規(guī)則集數(shù)據(jù)中心組成，架構(gòu)如圖1所示。管理控制臺和入侵檢測引擎代理端之間通過UDP Socket進行通信，控制臺向代理端發(fā)送控制指令，代理端向控制臺報告引擎運行狀態(tài)，入侵檢測規(guī)則集以數(shù)據(jù)庫表的形式存儲在數(shù)據(jù)中心。

圖1 關(guān)鍵網(wǎng)絡(luò)入侵檢測規(guī)則集管理系統(tǒng)架構(gòu)

2 功能模塊

2.1 管理控制臺

（1）規(guī)則集轉(zhuǎn)換模塊

模塊分別實現(xiàn)從規(guī)則文件到數(shù)據(jù)記錄和從數(shù)據(jù)記錄到規(guī)則文件兩個方向的格式轉(zhuǎn)換，即正向解析和反向解析。正向解析是指把以文本文件格式存儲的規(guī)則集從磁盤上讀取出來，經(jīng)過劃詞分析后，存儲到數(shù)據(jù)中心。反向解析是指把存儲到數(shù)據(jù)中心的規(guī)則集轉(zhuǎn)換成入侵檢測引擎能夠識別的規(guī)則文件，規(guī)則文件的組織須保持轉(zhuǎn)換之前的狀態(tài)，并發(fā)送到指定入侵檢測引擎的默認(rèn)安裝位置。

（2）規(guī)則集管理模塊

該模塊實現(xiàn)規(guī)則集衍生、刪除以及規(guī)則增加、修改、查詢和刪除的功能。其中規(guī)則集衍生目的是為不同的引擎定制不同的入侵檢測規(guī)則集，衍生的規(guī)則集是在源規(guī)則集基礎(chǔ)上派生出來的新規(guī)則集，可以在源規(guī)則集基礎(chǔ)上增加、修改、刪除部分規(guī)則，從而形成一個與源規(guī)則集不同的規(guī)則集。

（3）引擎管理模塊

該模塊實現(xiàn)將規(guī)則集下發(fā)到入侵檢測引擎、查詢和展示引擎運行狀態(tài)等功能。入侵檢測引擎從規(guī)則文件中解析規(guī)則，并形成規(guī)則鏈，對獲取的網(wǎng)絡(luò)流進行規(guī)則匹配，從而判斷是否發(fā)生網(wǎng)絡(luò)安全事件。該功能需要將數(shù)據(jù)中心存儲的某個規(guī)則集轉(zhuǎn)換成規(guī)則文件集合，將規(guī)則文件集發(fā)送到指定的入侵檢測引擎，存儲到規(guī)則安裝目錄下

2.2 入侵檢測引擎代理端

入侵檢測引擎代理端主要功能包括接收來自控制臺的規(guī)則集、啟動停止入侵檢測引擎以及入侵檢測引擎運行管理。具體包括實現(xiàn)接收來自管理控制臺的規(guī)則集變更指令，依據(jù)指令從數(shù)據(jù)中心查詢到指定的規(guī)則集，將規(guī)則集數(shù)據(jù)記錄轉(zhuǎn)換成規(guī)則文件集合，將規(guī)則文件集合寫入到規(guī)則安裝目錄。引擎運行管理主要實現(xiàn)向管理控制臺報告自身運行狀態(tài)、監(jiān)視入侵檢測引擎進程運行。

2.3 規(guī)則集數(shù)據(jù)中心

數(shù)據(jù)中心用于存儲規(guī)則集、操作日志和系統(tǒng)配置參數(shù)，采用Mysql數(shù)據(jù)庫。數(shù)據(jù)庫中的表有：（1）規(guī)則表，以規(guī)則集名稱和規(guī)則序號為關(guān)鍵字段，以規(guī)則頭和規(guī)則體為字段，存儲每條文本規(guī)則。（2）日志表，按照時間順序，存儲詳細(xì)操作記錄和系統(tǒng)狀態(tài)記錄。（3）引擎規(guī)則集對應(yīng)表，按照時間順序，存儲入侵檢測引擎IP地址和規(guī)則集對。

3 系統(tǒng)測試

入侵檢測規(guī)則集管理系統(tǒng)測試環(huán)境主要由代理端服務(wù)器、數(shù)據(jù)中心服務(wù)器、交換機和管理端組成，設(shè)備連接關(guān)系如圖2所示。

圖2 測試設(shè)備連接關(guān)系圖

測試包括功能性測試、性能測試、安全性測試和可靠性測試。其中性能測試內(nèi)容主要包括：在10分鐘內(nèi)解析完120個規(guī)則文件、30秒內(nèi)完成10000條規(guī)則下發(fā)至引擎并生效；安全性測試包括：控制端屏蔽非法輸入字符；可靠性測試包括：系統(tǒng)異常自主恢復(fù)、資源占用率合理。所有測試結(jié)果均符合設(shè)計目標(biāo)。

4 結(jié)語

本文對網(wǎng)絡(luò)入侵檢測規(guī)則集管理系統(tǒng)的設(shè)計與實現(xiàn)，借助數(shù)據(jù)庫管理系統(tǒng)簡化了操作規(guī)則，通過數(shù)據(jù)中心結(jié)構(gòu)將規(guī)則更新時效性從小時級提升至秒級，徹底改變了過去手工管理規(guī)則集和入侵檢測引擎的傳統(tǒng)方式，為關(guān)鍵網(wǎng)絡(luò)網(wǎng)絡(luò)安全管理員管理成百上千臺入侵檢測引擎提供了技術(shù)手段。該系統(tǒng)不僅適用于關(guān)鍵網(wǎng)絡(luò)的防護管理，也可用于各類安全從業(yè)人員的技能培訓(xùn)。