校園網(wǎng)入侵防御系統(tǒng)的研究與設(shè)計_周豐杰

1、508 計算機技術(shù)與應(yīng)用進(jìn)展2010 校園網(wǎng)入侵防御系統(tǒng)的研究與設(shè)計周豐杰1,21 合肥工業(yè)大學(xué)計算機與信息學(xué)院，合肥 233099 2 安徽電子信息職業(yè)技術(shù)學(xué)院，安徽蚌埠 233000 摘要:本文從加強校園網(wǎng)安全的重要性出發(fā)，提出在校園網(wǎng)中引入了入侵防御技術(shù)（ips） ，最后設(shè)計了一個基于蜜罐技術(shù)的校園網(wǎng)入侵防御系統(tǒng)，并采用開源免費的snort_inline 、netfilter 和 honeyd 加以實現(xiàn)，對高校及中小企業(yè)建立主動防御網(wǎng)絡(luò)安全體系有一定的參考價值。關(guān)鍵詞 :網(wǎng)絡(luò)安全入侵防御蜜罐技術(shù)1 引言校園網(wǎng)已經(jīng)成為高校的重要基礎(chǔ)設(shè)施之一，是高校教學(xué)、科研、管理的重要手段和平臺，校園網(wǎng)的

2、網(wǎng)絡(luò)安全問題日益突出。近年來，校園網(wǎng)安全事件屢屢發(fā)生，導(dǎo)致高校的重要信息的泄密、破壞，正常網(wǎng)絡(luò)服務(wù)無法進(jìn)行，更有甚者導(dǎo)致校園網(wǎng)癱瘓，造成無法估量的損失。校園網(wǎng)的安全隱患，給校園網(wǎng)的維護(hù)和管理帶來嚴(yán)重挑戰(zhàn)，成為校園網(wǎng)管理和維護(hù)中主要課題1。ips(入侵防御系統(tǒng) )被認(rèn)為是防火墻之后的第二道安全閘門，它作為一種主動的網(wǎng)絡(luò)安全防御技術(shù)，從網(wǎng)絡(luò)安全立體、多層次防御的角度出發(fā)，對防范網(wǎng)絡(luò)攻擊提供了主動的實時保護(hù)，能夠在網(wǎng)絡(luò)系統(tǒng)遭到破壞之前攔截和響應(yīng)2-4。本文通過校園網(wǎng)入侵防御系統(tǒng)的研究與設(shè)計，有助于校園網(wǎng)主動防御安全體系的構(gòu)建，加強校園網(wǎng)安全保障。2 校園網(wǎng)入侵防御系統(tǒng)模型設(shè)計圖 1 校園網(wǎng)入侵防御系

3、統(tǒng)的總體框架校園網(wǎng)入侵防御系統(tǒng)由防火墻、nips 和蜜罐系統(tǒng)三級防御體系組成。防火墻部署在內(nèi)網(wǎng)和外網(wǎng)之間，監(jiān)控內(nèi)、外網(wǎng)之間的訪問流量，保障內(nèi)網(wǎng)安全。nips 部署在防火墻之后，檢測網(wǎng)絡(luò)流量，并對攻擊進(jìn)行主動防御。蜜罐作為獨立系統(tǒng)部署，一方面蜜罐是防火墻很好的補充，它能夠偽裝成被攻擊的主機和攻擊者交互，捕獲黑客的入侵活動并記錄日志，利用這些日志信息可以制定出新的安全策略，更新檢測規(guī)則和防火墻的策略，從而起到彌補誤報、漏報缺陷和完善防火墻安全策略的作用。另一方面，蜜罐吸引攻擊者對校園網(wǎng)入侵防御系統(tǒng)的研究與設(shè)計 509 真實網(wǎng)絡(luò)的注意力，讓攻擊者把時間都花費在對蜜罐的攻擊上，保護(hù)了真實網(wǎng)絡(luò)的安全，減

4、小了防火墻和未能檢測到的攻擊對網(wǎng)絡(luò)造成的損失，提高了加強網(wǎng)絡(luò)防范的效率?？梢娪煞阑饓?、 nips 和蜜罐系統(tǒng)三級防御體系構(gòu)成的校園網(wǎng)安全防御系統(tǒng)大大降低了網(wǎng)絡(luò)攻擊所造成的損失。校園網(wǎng)入侵防御系統(tǒng)的總體框架如圖1 所示。整個框架由防火墻系統(tǒng)、nips、蜜罐系統(tǒng)、日志管理系統(tǒng)和系統(tǒng)控制中心組成。從圖1 中可以看到，防火墻、nips 和蜜罐系統(tǒng)將各自的日志/報警信息交給日志管理系統(tǒng)； 日志管理系統(tǒng)負(fù)責(zé)收集日志/報警信息并將信息交給系統(tǒng)控制中心處理。系統(tǒng)控制中心負(fù)責(zé)分析日志 /報警信息，根據(jù)分析結(jié)果制定出新的安全策略并及時更新防火墻策略和nips 的檢測規(guī)則。另外，系統(tǒng)控制中心還負(fù)責(zé)集中控制防火墻、n

5、ips、蜜罐系統(tǒng)和日志管理系統(tǒng)的運行。3 校園網(wǎng)入侵防御系統(tǒng)實現(xiàn)網(wǎng)絡(luò)安全是個復(fù)雜的問題，必須綜合采用多種安全技術(shù)，并將其有機整合到一起構(gòu)成統(tǒng)一的網(wǎng)絡(luò)安全防御體系。當(dāng)前在互聯(lián)網(wǎng)上以開放源代碼為代表的免費資源非常多，應(yīng)加以采用。通過努力設(shè)計校園網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)，不但充實了知識，還為學(xué)校節(jié)約了大量資金，并且更能適應(yīng)校園網(wǎng)的具體要求，便于在今后的應(yīng)用中維護(hù)與更新。3.1 校園網(wǎng) nips 的設(shè)計校園網(wǎng)安全主要是針對校園中的學(xué)生黑客，學(xué)生黑客大多采用現(xiàn)成的技術(shù)和工具，相應(yīng)的特征庫很容易提取，所以本文采用了基于特征的人侵檢測技術(shù)。采用基于特征的檢測技術(shù)應(yīng)用在校園網(wǎng)的主動防御體系中有以下兩個明顯的好處:一是

6、可以準(zhǔn)確快速根據(jù)特征檢測出攻擊；二是在校園網(wǎng)主動防御體系中加入了蜜罐系統(tǒng)，對于一些新的攻擊技術(shù)和特征也可以通過蜜罐系統(tǒng)提取，添加到人侵檢測系統(tǒng)的特征庫中。校園網(wǎng) nips 中的檢測模塊采用snort-inline 來實現(xiàn)。nips 中的防火墻模塊負(fù)責(zé)實現(xiàn)主動防御，該模塊首先獲取數(shù)據(jù)包， 并根據(jù)入侵檢測模塊的檢測結(jié)果采取相應(yīng)防御措施，該模塊由linux 的 netfilter 防火墻實現(xiàn)。圖 2 是 snort_inline 與 netfilter 的聯(lián)動實現(xiàn)ips 的示意圖。圖 2 snort_inline與 netfilter 的聯(lián)動實現(xiàn)ips 的示意圖3.2 蜜罐系統(tǒng)的設(shè)計本文采用低交互的

7、產(chǎn)品型蜜罐來實現(xiàn)蜜罐系統(tǒng)。honeyd 是 linux 下的開源蜜罐，容易部署、風(fēng)險較小并且不容易被入侵。蜜罐系統(tǒng)通過模擬操作系統(tǒng)、服務(wù)進(jìn)程、協(xié)議、應(yīng)用軟件的漏洞、脆弱性來誘騙入侵者。它能在網(wǎng)絡(luò)上創(chuàng)建并運行虛擬主機的后臺程序。通過配置，虛擬主機可以運行任意連接和服務(wù)，并且能夠提供真實的服務(wù)以致看起來就像是運行在真實的操作系統(tǒng)上。使入侵的受害者在實際系統(tǒng)的內(nèi)容沒有510 計算機技術(shù)與應(yīng)用進(jìn)展2010 毀壞或暴露風(fēng)險的情況下可以確定入侵者的意圖、記錄下入侵者的信息。蜜罐主機以旁路的方式部署在防火墻和nips 的后面。如圖3 所示為蜜罐系統(tǒng)與其他系統(tǒng)的交互圖。網(wǎng)絡(luò)遭受攻擊時，蜜罐系統(tǒng)與其交互，收集并

8、記錄攻擊日志，通過發(fā)送日志消息上報日志管理模塊。日志管理模塊收集蜜罐日志并將其上報系統(tǒng)控制中心。系統(tǒng)控制中心分析日志并制定新的安全策略，及時更新檢測規(guī)則庫和防火墻的安全策略，彌補誤報、漏報的缺陷和防火墻的不足。圖 3 蜜罐系統(tǒng)與其他系統(tǒng)的交互圖3.3 日志管理模塊的設(shè)計日志管理模塊主要功能是通過日志/報警收集進(jìn)程及時收集snort_inline 、netfilter 、honeyd 所產(chǎn)生的日志/報警信息， 并通過日志發(fā)送進(jìn)程將這些信息發(fā)送給日志服務(wù)器, 如圖 4 所示，日志 /報警信息采用mysql數(shù)據(jù)庫方式存儲,日志服務(wù)器和其他各個模塊交互采用客戶機-服務(wù)器（ c/s）模式。圖 4 日志管

9、理系統(tǒng)設(shè)計圖圖 5 系統(tǒng)控制中心的設(shè)計圖3.4 系統(tǒng)控制中心模塊的設(shè)計系統(tǒng)控制中心是整個系統(tǒng)的核心，一方面負(fù)責(zé)分析日志/報警信息并制定相應(yīng)的安全策略，及時更新防火墻和 nips 的策略；另一方面對防火墻、nips、蜜罐系統(tǒng)和日志管理系統(tǒng)進(jìn)行統(tǒng)一調(diào)配和集中管理。系統(tǒng)控制中心的設(shè)計如圖5 所示?？梢钥闯?，系統(tǒng)控制中心由系統(tǒng)控制進(jìn)程和日志分析及策略制定進(jìn)程組成。日志分析和策略制定進(jìn)程負(fù)責(zé)向日志服務(wù)器發(fā)出請求并獲得日志信息，分析日志信息并制定出新的安全策略，然后將新的安全策略交由系統(tǒng)控制進(jìn)程響應(yīng)。一方面系統(tǒng)控制進(jìn)程向防火墻、nips 和蜜罐系統(tǒng)發(fā)送控制消息進(jìn)行集中控制；另一方面對防火墻和ips 的日志

10、進(jìn)行更新。 系統(tǒng)控制中心的實現(xiàn)基于web 服務(wù)器的訪問， web 服務(wù)器采用linux上的 apache 服務(wù)器實現(xiàn)，編程基于phh 編程和 mysql 數(shù)據(jù)庫的訪問技術(shù)。4 結(jié)束語本文設(shè)計了基于蜜罐技術(shù)的校園網(wǎng)入侵防御系統(tǒng)，并采用開源免費的snort_inline、 netfilter 和 honeyd校園網(wǎng)入侵防御系統(tǒng)的研究與設(shè)計511 加以實現(xiàn)，對高校及中小企業(yè)建立主動防御網(wǎng)絡(luò)安全體系有一定的參考價值。參 考 文 獻(xiàn)1劉剛 . 高校校園網(wǎng)安全問題解析j. 銅陵學(xué)院學(xué)報 , 2006.1: 90-91. 2尹傳勇 , 劉壽強 , 蔣建勛 . 從 ids 到 ips的主動防御體系研究j, 計

11、算機安全 , 2003.9: 22-24. 3聶林 , 等. 入侵防御系統(tǒng)的研究與分析j. 計算機應(yīng)用研究, 2005, 22(9): 131-136. 4張興東 , 胡華平 , 況曉輝 , 等. 防火墻與入侵撿測系統(tǒng)聯(lián)動的研究與實現(xiàn)j. 計算機工程與科學(xué), 2004, 26(4): 22-26. research and design for campus network intrusion prevention system zhou fengjie1,21 school of computer and information, hefei university of technology

12、, hefei, 233099, china 2 anhui vocational college of electronics and information technology, bengbu, 233000, china abstract: in this paper, the importance of security campus network starting, and proposed the introduction of the campus network intrusion prevention technology (ips), the final design a honeypot technology-based campus network intrusion prevention system, using open source