论文部分内容阅读
随着网络应用范围的不断扩大,它在带给人们极大便利的同时,也带来了一个日益严峻的问题一网络安全问题。为确保网络安全,很多单位和个人都采用了入侵检测、防火墙、防病毒软件和流量监控等一系列网络安全组件。但仅仅依靠单一的网络安全组件已经难以满足现有网络安全的需要,必须把它们结合起来实现立体式深度防御的安全体系。在此次研究中,将入侵检测与防火墙协作工作以实现安全防御。入侵检测基于开源的Snort2.0,防火墙基于开源代码的Netfilter/Iptables。在系统中两者协作工作来完成局域网的安全防护。此种方法能为受保护网络提供更有效的入侵检测及相应的防护手段。本文分析了目前流行的入侵手段和攻击方式,介绍了通用入侵检测模型以及入侵检测系统的分类。详细阐述了入侵检测软件Snort的工作原理及工作流程,重点分析了Snort的数据采集过程和Snort的告警日志格式。接着讨论了linux 2.6内核防火墙套件Netfilter的机制,分析了Iptables的实现过程和iptables的基本命令,研究了Iptables的扩展性。在此基础上构建了Snort与Netfilter/Iptables协作式工作的框架。该框架系统通过分析IDS产生的告警日志文件,统计各种入侵行为,动态地修改防火墙策略。防火墙根据新的策略及时阻断攻击,这样可以实现在没有人工干预的情况下选择适当的对策对付攻击,大大减少了漏洞被发现后系统暴露的时间。该框架分为协作初始化模块、提取分析日志模块、建立Snort_to_IPT结构模块、生成防火墙规则模块、应用防火墙规则模块、定时更新失效规则模块六个模块。通过测试实验证明了该框架的检测和主动防御入侵的可行性。