论文部分内容阅读
【摘 要】随着互联网的发展,黑客攻击、病毒、木马、服务滥用等安全问题日益突出,因此网络安全成为网络技术中的重要一环。针对以往网络安全设备的不足,本文提出了一种基于Linux 的入侵防御系统,通过对网络数据报文的过滤及检测,实现网络的安全防护。并针对入侵防御系统的处理流程进行优化,提出了“快速转发通道”的方法,极大的提高了入侵防御系统的性能。测试结果表明,该系统工作稳定、检测精准、阻断及时,能够很好的对网络进行防护。
【关键词】入侵防御 网络安全 报文过滤 Linux
1. 引言
随着互联网应用的广泛普及,所承载的业务和信息逐步多样化,互联网在国家政治、经济、文化领域以及社会生活的各个方面发挥着愈加重要的作用,已经成为国家、社会、民众交互的重要平台。与此同时,互联网面临的安全威胁也随着互联网及互联网应用的发展而不断演化,呈现日益复杂的局面,根据CNCERT 的报告,仅2008 年上半年就接收到3291起非扫描类网络安全事件报告,其中垃圾邮件事件、拒绝服务攻击事件以及病毒、蠕虫和木马事件尤为突出,网络与信息安全问题已成为互联网不可避免的问题。
网络安全防范中,传统的方法是使用防火墙部署在网络入口处,抵御来自外网的威胁。防火墙是粒度比较粗的访问控制产品,在基于TCP/IP 协议及端口的过滤方面表现出色。但是,对于一些可以通过常规端口(譬如:21 端口、80 端口)的攻击,“DDOS 攻击”及“SQL注入攻击”防火墙是很难防范的。
因此,入侵防御系统(Intrusion Prevention System,IPS)应运而生。IPS 是一种主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。
2. IPS 系统简介
作为串接部署的设备,IPS 必须要确保用户业务不受影响,错误的阻断必定意味着影响正常业务,在错误阻断的情况下,各种所谓扩展功能、高性能都是一句空话。这就引出了IPS 设备所设计的重点——精确阻断,即精确判断各种深层的攻击行为,并实现实时的阻断。同时,作为一款防御入侵攻击的设备,毫无疑问,防御各种深层入侵行为同样是IPS 的重点,这也是IPS 系统区别于其他安全产品的本质特点。这也给精确阻断加上了一个修饰语:保障深层防御情况下的精确阻断,即在确保精确阻断的基础上,尽量多地发现攻击行为(如SQL注入攻击、缓冲区溢出攻击、恶意代码攻击、后门、木马、间谍软件),这是IPS 发展的主线功能。IPS 在网络中的部署如图1 所示:
3. 基于Linux 的IPS 系统设计与实现
IPS 通常串接在网络的进出口处,当检测到攻击企图后,会自动将攻击源阻断,从而达到保护网络内部计算机的目的。IPS 系统的设计和实现主要有以下几个重点同时也是难点:
1)误报率低:由于IPS 系统会根据检测结果实时对网络进行阻断,误报率一定要控制在一个可接受的范围内,大量的误报会严重影响网络的可用性。所以,IPS 设计中的一个原则就是“宁可放过,不可拦错”。
2)处理能力强:IPS 系统是串接在网络当中,它的自身的性能和网络的性能有着直接的关系,IPS 处理性能一定要满足网络带宽要求,不能对网络性能造成影响。入侵检查大多是基于特征检查的,需要耗费大量的CPU 资源进行计算,加上现在的入侵手段与日俱增,特征库也越来越大,这些都对IPS 的处理性能的设计提出了很高的要求。
3)具有可靠的稳定性与冗灾机制:上面已经谈到,IPS 是串接在网络当中的,如果IPS自身出现故障,将会对网络造成灾难性的影响,甚至网络中断。因此,IPS 的稳定性及冗灾机制显得异常重要,在IPS 的设计中这是最重要的一环,关系着IPS 能否使用。
3.1 IPS 系统结构
由于Linux 操作系统具有对硬件平台支持、良好的网络性能、广泛的软件支持和开放的源代码,修改系统内核和编写应用软件比较便捷,也包括修改网卡设备的驱动以及IP 报文的处理方式。在Linux 平台的基础上,为IPS 的实现开发了一系列的基础功能模块,包括:文件系统、看门狗、操作系统接口等等一些必须的基础模块。在此基础上运行着一些服务程序,包括配置模块、日志记录模块、报警模块等等,这些是IPS 运行必备可少的支持。在IPS架构设计中本着简洁、清晰的原则,采用分层与模块化的设计思路进行设计,这样在实现的过程中工作清晰明确,并可以进行并行开发,IPS 系统结构如图2 所示。
整个IPS 系统中最核心部分是安全层的各个功能模块,这些是实现IPS 功能所必须的模块,在这些模块中,工作量最大有两个模块,分别为FW 模块和PF 模块。其中,FW 模块是防火墙功能模块,担负着连接检查的工作;PF 模块是报文过滤模块,担负着数据报文拆包检查,发现并阻止攻击报文的工作。这两个模块的性能直接影响着IPS 的整体性能,也直接影响了IPS 所串接的网络的性能。因此,在对IPS 性能进行改进的时候,本文提出了一个“快速转发通道”思想,可以随着网络流量的增加,大幅提供IPS 的报文处理能力,这些在接下来的一节里面会详细描述。
3.2 IPS 系统报文处理流程
在IPS 设备的网络接口收到数据报文之后,各个模块会依次对报文进行检测,只要任何一个模块通过匹配相应的规则表检测出报文有异常情况,就会立刻丢弃该报文,并生成相应的日志、告警等信息。IPS 报文的处理流程如图3 所示,接下来是对各个步骤的简单分析。
3.3 IPS 冗灾机制
由于IPS 是一种串接设备,IPS 需要具有一定的稳定性及冗灾机制,所以,该IPS 系统设计了主备切换机制和bypass 机制,以保证在IPS 出现故障的情况下,不对所处网络造成影响。为了使IPS 设备具有一定的冗灾性,在基于Linux 的IPS 实现的时候,使用了bypass 机制,在bypass 机制中,既有软件bypass 也有硬件bypass。软件bypass 与一个类似看门狗机制的模块联动,如果IPS 负载过高没有足够的可用CPU 资源,或者因为软件死机时,软件bypass 会自动将报文从入口送至出口,避免由于IPS 处理不及时引起的丢包。当系统断电时,硬件bypass 功能就会立刻起作用把IPS 设备旁路,使数据报文的传输不通过IPS,以保证网络的畅通。IPS 通过bypass 机制,保证了无论在什么情况下,设备故障都不会对网络传输造成影响。
3.4 IPS 实验系统测试
IPS 实验系统使用常见的x86 平台,CPU 为Intel 酷睿Q8200,内存2G,双1000M 网卡,网络流量为100M。在正常的流量当中,人为加入一些攻击流量,进行测试。进行测试的流量网络出口是100M 线路,峰值流量最高接近80M,在进行一个星期的测试当中,IPS 试验系统运行状态良好,没有出现死机、丢包等现象。说明了IPS 具有良好的稳定性与可用性。
在攻击报文检测方面,IPS 表现出优异的性能,能够识别众多的攻击、病毒、木马等异常行为,并进行实时阻断。这充分体现了基于Linux 的IPS 在网络防护中的,可以起到重要作用,并完全能够实现有效防护。
4. 结论
随着网络安全的重要性与日俱增,IPS 作为一个新兴的防护系统正在迅速发展。本文针对目前网络上的攻击、病毒、木马等异常行为设计了基于Linux 的入侵防御系统,由于采用了“快速转发通道”技术,经过测试,该IPS 具有很好的可用性与防御效果。由于采用了通用的x86 平台,整个系统的部署成本非常低,对于企业及学校的网络防护具有相当的实用价值。
需要指出的是,该系统还存在一些问题。由于采用软件处理方式,IPS 的处理性能还不高,只能满足中小型用户,对于网络流量较大的地方,还无法部署。对异常情况的检查还存在于已知的情况下,对于新的攻击手段还无法防护。因此,如何提高IPS 的性能及異常情况检测能力仍然有大量的工作要做。
参考文献
[1] 2008年上半年中国互联网网络安全报告.[R].北京:国家互联网应急中心(CNCERT),2008
[2] 郭浩,汪学明:入侵检测系统误报率和漏报率的改善方法研究.[J].科技经济市场.2009 年第六期
[3] 谢希仁:计算机网络(第五版).[M].电子工业出版社.2008.01
[作者简介] 彭兆军(1980—)男,河南信阳,从事网络管理及计算机网络及综合布线教学工作。
郭岗磊(1984- )男,河南郑州,主要从事于从事计算机网络及软件教学研究工作。
【关键词】入侵防御 网络安全 报文过滤 Linux
1. 引言
随着互联网应用的广泛普及,所承载的业务和信息逐步多样化,互联网在国家政治、经济、文化领域以及社会生活的各个方面发挥着愈加重要的作用,已经成为国家、社会、民众交互的重要平台。与此同时,互联网面临的安全威胁也随着互联网及互联网应用的发展而不断演化,呈现日益复杂的局面,根据CNCERT 的报告,仅2008 年上半年就接收到3291起非扫描类网络安全事件报告,其中垃圾邮件事件、拒绝服务攻击事件以及病毒、蠕虫和木马事件尤为突出,网络与信息安全问题已成为互联网不可避免的问题。
网络安全防范中,传统的方法是使用防火墙部署在网络入口处,抵御来自外网的威胁。防火墙是粒度比较粗的访问控制产品,在基于TCP/IP 协议及端口的过滤方面表现出色。但是,对于一些可以通过常规端口(譬如:21 端口、80 端口)的攻击,“DDOS 攻击”及“SQL注入攻击”防火墙是很难防范的。
因此,入侵防御系统(Intrusion Prevention System,IPS)应运而生。IPS 是一种主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。
2. IPS 系统简介
作为串接部署的设备,IPS 必须要确保用户业务不受影响,错误的阻断必定意味着影响正常业务,在错误阻断的情况下,各种所谓扩展功能、高性能都是一句空话。这就引出了IPS 设备所设计的重点——精确阻断,即精确判断各种深层的攻击行为,并实现实时的阻断。同时,作为一款防御入侵攻击的设备,毫无疑问,防御各种深层入侵行为同样是IPS 的重点,这也是IPS 系统区别于其他安全产品的本质特点。这也给精确阻断加上了一个修饰语:保障深层防御情况下的精确阻断,即在确保精确阻断的基础上,尽量多地发现攻击行为(如SQL注入攻击、缓冲区溢出攻击、恶意代码攻击、后门、木马、间谍软件),这是IPS 发展的主线功能。IPS 在网络中的部署如图1 所示:
3. 基于Linux 的IPS 系统设计与实现
IPS 通常串接在网络的进出口处,当检测到攻击企图后,会自动将攻击源阻断,从而达到保护网络内部计算机的目的。IPS 系统的设计和实现主要有以下几个重点同时也是难点:
1)误报率低:由于IPS 系统会根据检测结果实时对网络进行阻断,误报率一定要控制在一个可接受的范围内,大量的误报会严重影响网络的可用性。所以,IPS 设计中的一个原则就是“宁可放过,不可拦错”。
2)处理能力强:IPS 系统是串接在网络当中,它的自身的性能和网络的性能有着直接的关系,IPS 处理性能一定要满足网络带宽要求,不能对网络性能造成影响。入侵检查大多是基于特征检查的,需要耗费大量的CPU 资源进行计算,加上现在的入侵手段与日俱增,特征库也越来越大,这些都对IPS 的处理性能的设计提出了很高的要求。
3)具有可靠的稳定性与冗灾机制:上面已经谈到,IPS 是串接在网络当中的,如果IPS自身出现故障,将会对网络造成灾难性的影响,甚至网络中断。因此,IPS 的稳定性及冗灾机制显得异常重要,在IPS 的设计中这是最重要的一环,关系着IPS 能否使用。
3.1 IPS 系统结构
由于Linux 操作系统具有对硬件平台支持、良好的网络性能、广泛的软件支持和开放的源代码,修改系统内核和编写应用软件比较便捷,也包括修改网卡设备的驱动以及IP 报文的处理方式。在Linux 平台的基础上,为IPS 的实现开发了一系列的基础功能模块,包括:文件系统、看门狗、操作系统接口等等一些必须的基础模块。在此基础上运行着一些服务程序,包括配置模块、日志记录模块、报警模块等等,这些是IPS 运行必备可少的支持。在IPS架构设计中本着简洁、清晰的原则,采用分层与模块化的设计思路进行设计,这样在实现的过程中工作清晰明确,并可以进行并行开发,IPS 系统结构如图2 所示。
整个IPS 系统中最核心部分是安全层的各个功能模块,这些是实现IPS 功能所必须的模块,在这些模块中,工作量最大有两个模块,分别为FW 模块和PF 模块。其中,FW 模块是防火墙功能模块,担负着连接检查的工作;PF 模块是报文过滤模块,担负着数据报文拆包检查,发现并阻止攻击报文的工作。这两个模块的性能直接影响着IPS 的整体性能,也直接影响了IPS 所串接的网络的性能。因此,在对IPS 性能进行改进的时候,本文提出了一个“快速转发通道”思想,可以随着网络流量的增加,大幅提供IPS 的报文处理能力,这些在接下来的一节里面会详细描述。
3.2 IPS 系统报文处理流程
在IPS 设备的网络接口收到数据报文之后,各个模块会依次对报文进行检测,只要任何一个模块通过匹配相应的规则表检测出报文有异常情况,就会立刻丢弃该报文,并生成相应的日志、告警等信息。IPS 报文的处理流程如图3 所示,接下来是对各个步骤的简单分析。
3.3 IPS 冗灾机制
由于IPS 是一种串接设备,IPS 需要具有一定的稳定性及冗灾机制,所以,该IPS 系统设计了主备切换机制和bypass 机制,以保证在IPS 出现故障的情况下,不对所处网络造成影响。为了使IPS 设备具有一定的冗灾性,在基于Linux 的IPS 实现的时候,使用了bypass 机制,在bypass 机制中,既有软件bypass 也有硬件bypass。软件bypass 与一个类似看门狗机制的模块联动,如果IPS 负载过高没有足够的可用CPU 资源,或者因为软件死机时,软件bypass 会自动将报文从入口送至出口,避免由于IPS 处理不及时引起的丢包。当系统断电时,硬件bypass 功能就会立刻起作用把IPS 设备旁路,使数据报文的传输不通过IPS,以保证网络的畅通。IPS 通过bypass 机制,保证了无论在什么情况下,设备故障都不会对网络传输造成影响。
3.4 IPS 实验系统测试
IPS 实验系统使用常见的x86 平台,CPU 为Intel 酷睿Q8200,内存2G,双1000M 网卡,网络流量为100M。在正常的流量当中,人为加入一些攻击流量,进行测试。进行测试的流量网络出口是100M 线路,峰值流量最高接近80M,在进行一个星期的测试当中,IPS 试验系统运行状态良好,没有出现死机、丢包等现象。说明了IPS 具有良好的稳定性与可用性。
在攻击报文检测方面,IPS 表现出优异的性能,能够识别众多的攻击、病毒、木马等异常行为,并进行实时阻断。这充分体现了基于Linux 的IPS 在网络防护中的,可以起到重要作用,并完全能够实现有效防护。
4. 结论
随着网络安全的重要性与日俱增,IPS 作为一个新兴的防护系统正在迅速发展。本文针对目前网络上的攻击、病毒、木马等异常行为设计了基于Linux 的入侵防御系统,由于采用了“快速转发通道”技术,经过测试,该IPS 具有很好的可用性与防御效果。由于采用了通用的x86 平台,整个系统的部署成本非常低,对于企业及学校的网络防护具有相当的实用价值。
需要指出的是,该系统还存在一些问题。由于采用软件处理方式,IPS 的处理性能还不高,只能满足中小型用户,对于网络流量较大的地方,还无法部署。对异常情况的检查还存在于已知的情况下,对于新的攻击手段还无法防护。因此,如何提高IPS 的性能及異常情况检测能力仍然有大量的工作要做。
参考文献
[1] 2008年上半年中国互联网网络安全报告.[R].北京:国家互联网应急中心(CNCERT),2008
[2] 郭浩,汪学明:入侵检测系统误报率和漏报率的改善方法研究.[J].科技经济市场.2009 年第六期
[3] 谢希仁:计算机网络(第五版).[M].电子工业出版社.2008.01
[作者简介] 彭兆军(1980—)男,河南信阳,从事网络管理及计算机网络及综合布线教学工作。
郭岗磊(1984- )男,河南郑州,主要从事于从事计算机网络及软件教学研究工作。