@微光
3年前 提问
1个回答

如何构建一个基于入侵检测技术和防火墙技术的联动安全系统

一颗小胡椒
3年前

入侵检测系统与防火墙的联动是将防火墙置于外网与内网的通道上,入侵检测系统再防火墙之后,对通过防火墙的数据包做深度检测。由如下功能模块组成:

  • IDS子系统:IDS子系统采用开放源代码的Snort软件。Snort由数据包解码器、检测引警和输出插件组成。数据包解码器主要是对各种协议栈上的数据包进行解析、预处理,以便提交给检测引警进行规则匹配。检测引警采用二维链表的形式进行检测,其中一维称为规则头,另一维称为规则选项。通常把最常用的源/目的IP地址和端口信息放在规则头链表中,而把一些独特的检测标志放在规则选项链表中。输出插件可以把数据包以解码后的文本形式或者tpdump的二进制形式进行记录。当Snort检测到入侵时,则输出信息到IDS接口组件。

  • IDS接口组件:IDS接口组件主要用于统一IDS报警格式。它负责将不同的报警格式翻译为联动系统所能理解的统一格式,使系统具有良好的扩展性。本系统采用XML语言描述安全事件。

  • 联动控制模块:该模块是联动系统的核心,由分析组件、策略日志、策略响应组件和策略响应信息库组成。当IDS接口组件把转换为统一格式的入侵信息传递到分析组件后,该组件调用策略日志的IDS可信性数据,包括IDS的误报/漏报率等信息,根据这些信息生成IDS的可信性矩阵,判断是否需要联动。若需要,则提交给策略响应组件,此组件从策略响应信息库中选择具体响应策略并将其传给防火墙接口组件。在此过程中,首先制定一个初步的响应策略并执行实现联动。但是开始时的响应策略未必是最优响应,通过评估响应策略,并把响应策略的不同响应效果存储于响应策略信息库中,当系统遇到相同类型入侵时就可以调用具有最佳响应效果的策略并执行,使系统能够随着运行时间的增长而逐渐提高抗入侵能力,实现系统的自适应性。

  • 防火墙接口组件:防火墙接口组件主要负贵接收策略响应组件发来的信息,生成新的防火墙规则,引起防火墙动作。其设计重点是正确修改防火墙规则集,防止防火墙规则集自身产生异常或隐患。防火墙技术的基础是包过滤技术,其依据就是一条条的防火墙规则,将通过防火墙的数据包与防火墙规则集中的规则逐条比较,遇到匹配规则就按规则中定义的动作处理,若没有匹配规则则按防火墙缺省策略处理。

  • 防火墙子系统:防火墙子系统采用Linux环境下的Nfierplabls框架,井对其进行适当修改以适应联动系统的需要。Linux环境下防火墙系统的实现包括两个方面,Netfilter提供可扩展的结构化底层框架,在此框架之上实现的数据包选择工具Iptables负责对输入、输出的数据包进行过滤和管理等工作

入侵检测系统与防火墙联动系统由入侵检测、联动控制和防火墙三个模块组成。当外来数据流经防火墙过滤后,进入内网,入侵检测系统将其捕获,然后经过解码、预处理,再交由检测引擎进行检测。检测引擎将当前数据与已初始化的规则链进行匹配,当检测到有匹配数据时,即检测到攻击行为,交给联动控制模块。联动控制模块判断是否需要联动,若需要,则启动防火墙接口组件改变防火墙过滤规则,进行实时阻断。