网络入侵防御技术
2020-10-30
来源:好走旅游网
维普资讯 http://www.cqvip.com 第28卷 第14期 计算机工程与设计 2007年7月 Vo1.28 NO.14 Computer Engineering and Design July 2007 网络入侵防御技术 潘仰峰, 刘 渊 (江南大学信息工程学院,江苏无锡214122) 摘 要:入侵防御系统是网络安全技术领域一个重要研究内容。介绍和分析了防火墙和入侵检测系统各自的特点和缺陷,并 重点分析了相关网络入侵防御技术 最后提出了一种基于简单网络管理协议的网络入侵防御结构模型,在该模型中集合了 路由器、防火墙等网络设备,利用它们本身具有的在网络关键路径上的隔离和保护功能,为系统提供深层防御能力。 关键词:入侵防御;网络安全;网络入侵防御;简单网络管理协议;防火墙 中图法分类号:TP393,08 文献标识码:A 文章编号:1000.7024(2007)14.3351.03 Intrusion prevention research based on network PANYang—feng,LIUYuan (School of Information Engineering,Southem Young ̄e University,Wuxi 2 1 4 1 22,China) Abstract:Nowadays intrusion prevention system(IPS)is an important research ifeld in network security technology.Firstly,the principles nad defects of ifrewall nad intrusion detection system rae introduced.Then,the network intrusion prevention system(NIPS) is mainly analyzed. Finall ̄ a newtork security model based on simple network management protocol(SNMP)is proposed.The model Can integrate some kind ofnetwork devices with NIPS-such as router, firewall etc-which have already contained certain isolation and pre- vention ability nad placed at key sites usually and can effectively provides intensive defense of the system. Key words: intrusion prevention; network security; network intrusion prevention; simple network management; firewall 0引 言 1.3入侵检测系统的概念 入侵检测系统(intrusion detection system,IDS)是对入侵行 随着计算机和网络技术的日益普及,各种网络安全问题 为的检测。它通过对计算机网络或计算机系统中的若干关键 也日益突出,为此人们开发出了许多针对具体安全问题的安 点收集信息并对其进行分析,从中发现网络或系统中是否有 全技术和系统。防火墙和入侵检测是其中两种主要的网络安 违反安全策略的行为和被攻击的迹象。 全技术。但是这两者都存在着各自的缺陷,不能很好地解决 1.4入侵检测技术的缺陷 日趋严重的网络安全问题。在此背景下,人们提出入侵防御 目前,国内外众多厂商和研究机构都致力于入侵检测系 系统(intrusionprevention system,IPS)的解决方案…。 统的研究和开发。然而入侵检测系统在不断提高检测能力, 1防火墙技术和入侵检测技术 扩大检测范围的同时,在实际环境的运行中也暴露出了一些 问题:①它不能在入侵行为发生之前,预先报警;也不能在入 1.1防火墙的概念 侵行为对系统造成危害之前,对其阻止;②入侵检测的规则和 防火墙技术是设置在不同网络或网络安全区域之间的一 模型不易创建和维护。现有的系统给予的专家规则以及入侵 系列部件的组合。它是不同网络或网络安全区域之间信息的 行为模型,需要有相关经验的人来制定,这类人员必须同时具 惟一出入口,能根据管理员设定的安全策略监控出入网络的 备系统管理,信息安全,专家规则语言编程方面的知识,现实 信息数据流,并且本身具体较强的抗攻击能力。 中这样的人存在瓶颈限制。 1.2防火墙技术的缺陷 防火墙作为一个网络的隔离设备,对于很多的安全问题 2网络入侵防御系统 束手无策:①它不能防止来自网络内部的袭击,通过调查发现 由上面我们可以知道,目前的防火墙和入侵检测系统形 将近一半以上的攻击来自网络内部;②由于性能上的限制通 成的安全架构并不理想。随着针对漏洞的网络攻击不断增加, 常它不具备实时监控的能力;③入侵者可以伪造数据绕过防 造成的损失不断上升,社会对于实时动态防护的需求日益迫 火墙或者找到防火墙中可能敞开的后门。 切,网络入侵防御系统成了网络安全领域的重要组成部分。 收稿日期:2006-08.22 E-mail:panyf198l@163.tom 作者简介:潘仰峰(1981一),男,江苏盐城人,硕士研究生,研究方向为网络安全: 刘渊(1967一),男,江苏无锡人,副教授,硕士生导师 研究方向为网络安全及网络信息系统。 一3351— 维普资讯 http://www.cqvip.com 2.1 NIPS的概念 NIDS在网络中实时检测入侵攻击行为,发现就报警通知 网络管理员;或与防火墙联动来实施对网络的保护,而自身不 能对攻击行为采取主动响应。 。NIPS系统由NIDS系统发展 而来,目前有些NIDS系统已经具备通过发送TCPRST报文来 断开攻击连接的功能,但是仍然和NIPS系统有较大差别。这 是由它们在网络中的部署特点决定的。NIPS系统在网络中以 在线形式安装在被保护网络的入口上,它能够控制所有流经的 网络数据:而NIDS系统以旁路形式安装在网络入口处,甚至 安装在某些共享式网络内。它们在网络中的位置如图1所示。 图1 NIPS和NIDS网络的位置 2.2 NIPS的技术特征 NIPS技术具有一下特征:①嵌入式运行:只有以嵌入模 式运行的IPS设备才能够实现实时的安全防护,实时阻拦所 有可疑的数据包,并对该数据流的剩余部分进行拦截;②深入 分析和控制:IPS必须具有深入分析能力,以确定哪些恶意流 量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被 拦截;③入侵特征库:高质量的入侵特征库是IPS高效运行的 必要条件,IPS还应该定期升级入侵特征库,并快速应用到所 有传感器;④高效处理能力:IPS必须具有高效处理数据包的 能力,对整个网络性能的影响保持在最低水平。 2.3 NIPS的结构和原理 如图2所示,NIPS实现实时检查和阻止入侵的原理在于 簖 NIPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻 击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据 包处理引擎是专业化定制的集成电路,可以深层检查数据包 的内容。如果有攻击者利用Layer2(介质访问控制)至Layer7 (应用)的漏洞发起攻击,NIPS能够从数据流中检查出这些攻 击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行 检查,不能检测应用层的内容。防火墙的包过滤技术不会针 对每一字节进行检查,因而也就无法发现攻击活动,而NIPS 可以做到逐一字节地检查数据包。所有流经NIPS的数据包 都被分类,分类的依据是数据包中的报头信息,如源IP地址 和目的IP地址、端口号和应用域。每种过滤器负责分析相对 应的数据包。通过检查的数据包可以继续前进,包含恶意内 容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的 检查。过滤器引擎集合了大规模并行处理硬件,能够同时执 行数千次的数据包过滤检查。并行过滤处理可以确保数据包 能够不问断地快速通过系统,不会对速度造成影响。这种硬 件加速技术对于NIPS具有重要意义,因为传统的软件解决方 案必须串行进行过滤检查,会导致系统性能大打折扣。 ・——3352・—— 入侵防御引擎 并行深层检测ASIC 丢弃 流 流 区 匝 出 入 过滤器2 命中=? 的 的 分 类 数 数 据 据 流 流 流状态信息 图2 NIPS的实现 3基于简单网络管理协议的网络入侵防御系统 NIPS同时存在一些缺陷。 :它的隔离和保护功能不够足 够强大,导致它不能够有效地处理来自内网的攻击,而网络上 很大一部分的网络攻击是来自内网的。但是NIPS可以通过 结合其它一些技术来弥补这些缺陷。 因为一个完整的网络是由许多网络设备组成的,比如交 换机、路由器、防火墙等。而这些设备本身就已经具有了某些 在网络关键路径上的隔离和保护功能。所以设计一个集合其 它网络设备的DIPS能有效地弥补本身的不足,就变得有现实 意义和可行性。下面提出了一种基于简单网络管理协议的网 络入侵防御系统,即NM-DIPS。 3.1 NM.DIPS的体系结构 国际标准化组织已经提出过一种ISO7498-4的网络管理 模型,这个模型是一个结构化网络框架,它定义了5个网络管理 模块:缺省管理,结构管理,计算管理,性能管理和安全管理 。 为了实现上面所提出的5个管理模块,制定了一个简单 网络管理协议。如今,简单网络管理协议已被广泛的使用,并 逐步发展成为网络管理框架。大多数的网络设备都支持简单 网络管理协议。简单网络管理协议已经发展完善到了第3个 版本,新版使用了编码,鉴别和加强入口安全控制等技术。该 新版本的安全性能包括简单网络管理协议数据包的保护,简 单网络管理协议代理,管理实体以及它们之间的协同工作。但 是它也存在着一些不足,比如,它不能够有效地预防被病毒攻 击的网络和主机,也不能采取行为来阻止它们。因此,除了网 络管理系统外,用户还必须买一些额外的安全产品来进行有 效地保护,比如,入侵检测产品,入侵防御产品。而入侵检测 产品不能够和网络管理系统有效地结合,它们的结合将导致 大量的网络资源的浪费。本文所提供的网络入侵防御系统能 够有效地结合网络管理,多种网络安全设备和入侵检测技术, 即NM.DIPS。它的体系结构如图3所示。 如图3所示,它主要有两个部分组成:IDS终端和安全管 理器。大量的IDS终端放在需要保护的关键网络的路径上, 例如内网和外网之间、子网和子网之间。通过使用交换机的 交换功能,数据经过防火墙和路由器时能够被检测到。如果 在网络连接时,存在明显的攻击行为和可疑的数据包,该数据 包就将被发往数据库中。同时,IDS终端将给管理器发送警 报。管理器将检查数据库,并全面的分析数据库中的相关数 据,接着给出相关性的结论。最后通过发送简单网络管理协 议信息来采取有效地行为。因此,可以看出一个入侵防御系 维普资讯 http://www.cqvip.com 。 终端 安全管理器 检测引擎I E1志 耋 结性计构能算 流 缺省管理 量 统 计 网络管理 数据采集 简单网络I昔理协议信息 霪 图3 NM.DIPS的系统结构 统能够有效地结合入侵检测技术和隔离功能 。 除了改进了安全管理外,NM-DIPS同时还提供了结构管 理、性能管理、计算管理、缺省管理等功能。 3.2 IDS终端 IDS终端实际上是一个完整的入侵检测系统,它可以通 过主机和使用异常和误用检测技术的网络安全设备来发生作 用。IDS终端包含了数据采集模块、规则库、流量统计模块、检 测引擎模块、预处理模块、规则分辨模块和数据检测模块 。 ①数据采集模块的重要功能是以防火墙过滤后的数据包为数 据源,仅对符合安全策略的流量进行入侵检测,减少了需检测 的数据包数量,并把过滤后的数据源送到检测引擎模块;②对 比规则库,检测引擎模块将检测是否存在异常的数据包,如果 存在,检测引擎将以日志的形式把它写入到数据库中,并把警 报发送给安全管理器;③流量统计模块是统计所有的流量的 信息,并且也把它们输入到数据库中;④检测引擎模块是IDS 终端中的一个主要的模块,它又包括4个子模块:协议解码, 预处理,数据检测,规则分辨。协议解码主要处理数据采集模 块发送过来的数据包,并把它们存储到相关的数据结构中供 下面的模块使用,它同时也检查这些数据包,并丢弃错误的数 据包;⑤预处理模块主要是处理数据包,使它们的分析变得容 易。通过预处理,我们能够找出一些有特别特征并且不能通 过规则匹配模式检测出的攻击行为;⑥规则分辨模块主要是 对规则库中的规则进行解码,并把它们存储到相关的数据结 构中;⑦数据检测模块主要是接收预处理后的数据包,并和检 测规则中的规则进行比较。如果匹配成功,就意味着发现了 一个入侵行为,系统将把入侵行为告知管理器,并且把这些信 息写入到管理器中供后面的安全管理器进行进一步的研究。 3.3安全管理器 安全管理器包括了被国际标准化组织所定义的5大功能 和一个系统数据库。系统数据库不仅接收包括来自IDS终端 的数据,而且接收从简单网络管理协议中得到的管理系统库 信息。这两部分信息的数据源都有它们各自的特征。首先, 基于简单网络管理协议的系统库信息很容易得到,它统计的 数据是精确的,在网络设备上的操作也是很方便的。但是,它 缺少协议类型信息,同时不能够为管理员提供足够的线索来 分析网络上运行的状态。换句话说,基于信息包捕获的IDS 终端能够获得足够的在每一个协议上的流量信息和通过交换 机端口的流量信息,这些信息对网络管理员分析网络的安全, 找出攻击行为和攻击源是十分有帮助的,然后管理员可以采 取行动来阻止这些入侵行为。 另外,系统数据库还存储了捕获的信息和管理员的操作 记录。系统数据库中的数据表格包括入侵信息表格、协议信 息表格、协议流量统计表格、捕获记录表格、用户操作记录表 格等。伴随着网络管理器的分析和推断能力的改进,一些其 它数据表格也加入了进来。通过综合分析大量的信息,安全 管理器的处理能力得到了很大程度地提高,特别是其中安全 管理能力得到了足够地加强。当检测到入侵行为的时候,网 络安全设备就将改变参数来阻止,丢弃它们。对于异常的入 侵行为,管理器能够根据系统数据库中的相关有用信息来完 善它的分析能力,进而采取进一步的防御行为。 4结束语 首先介绍和分析了防火墙和入侵检测系统各自的特点和 缺陷“ 。然后提出了一种网络入侵防御安全模型,它能够有 效地弥补目前的防火墙和入侵检测技术的缺陷。但是,入侵 防御技术现在还不够成熟,需要不断的改进,随着攻击自动化 程度的不断加强,攻击工具的不断更新和复杂化,网络世界的 攻防之战是长期的,百分之百的网络安全是不存在的 。希望 本文系统化的分析讨论能够对我国入侵防御系统的进一步研 究提供一些参考。 参考文献: [1]Dr Eugene Schul ̄.Intrusion prevention[J].Elsevier Computers and Security,2004,23:265-266. [2] Chien-Chung Su,Ko-Ming Chang,Yau-Hwang Kuo,et a1.The new intrusion prevention and detection approaches for clustering- based sensor networks[wireless sensor networks][J].IEEE Wire- less Communications and Networking Conference,2005(4): l927.1932. 【3】 Andreas Fuchsberger.Intrusion detection systems nad intrusion prevention systems[J].Elsevier Information Securiyt Technical Report,2005,l O:l 34-l 39. [4] Kaizo.Next-generation intursion prevention:Accounting ofr the attack timeline[J].Elsevier Information Securiyt Tecnhical Re- port,2005,10:162-168. [5]Hofmeyr S.Host intrusion prevention:Part ofthe operating sys- tem or on top ofthe operating system[J].Elsevier Computers and Security,2005,24:440-442. [6] Zhang Xinyou,Li Chengzhong,Zheng Wenbin.Intursion preven- tion system design[J].IEEE Computer nad Information Techno- 1ogy,2004(4):386-390. [7]Dai Jiazhu,Miao Huaikou DDIPS:An intrusion prevention sys- tem ofr database securiyt[C].ICICS LNCS 3783,2005:481-490. [8] 徐峰.一种深度入侵防御模型研究[D].江苏:南京师范大学, 2004.