2023年7月8日发(作者：)

与网络网络入侵防御系统体系和框架结构分析◎张艳丽（青海大学成人教育学院，青海西宁810000）中图分类号：TP393.08文献标识码：A文章编号：1673-0992（2009）12-066-02摘要：大规模的应用程序很少采用单机模式，大多采用分层的体系结构。本文所设计的网络入侵防御系统的结构采用分层的体系结构。入侵防御模块为了部署在网络的关键位置上，需要有路由功能，能够将具备正确路由信息的数据包由一个网卡转发到另一个网卡，实现内外网之间的正常数据通信。本文主要介绍了网络入侵防御系统体系，以及对他的框架结构进行了分析关键词：网络安全；入侵检测；入侵防御；系统框架设计一、网络入侵防御系统体系结构大规模的应用程序很少采用单机模式，大多采用分层的体系结构。本文所设计的网络入侵防御系统的结构采用分层的体系结构。网络入侵防御系统的体系结构共分三层：第一层，入侵防御层：对经过的流量监控，检测入侵并进行入侵防御。第二层，服务器层：收集日志数据并转化为可读形式。第三层，控制层：是分析控制台，数据显示在这一层。网络入侵防御系统由四个部分组成，分别是入侵防御模块、日志记录模块、中央控制模块和模块间的通信。这四个部分彼此协作，共同实现入侵防御的功能。入侵防御模块工作在入侵防御层，负责数据包接收、检测和入侵响应。入侵防御模块部署在网络的关键位置上，如连接外网与内网的链路上，或者一个子网与另一个子网的链路上。这样，所有经过数据均可被截取到。入侵防御模块由Snort_inline和IPtables配置的Netfilter防火墙联动组成的IPS构成，包括数据包接收、数据包分析和检测、响应三个部分。日志记录模块工作在服务器层，负责日志的收集，格式化。收集的日志包括Snort_inline的入侵检测日志和IPtables配置的防火墙日志。中央控制模块是整个系统的核心，工作在控制层。它负责协调系统各个模块，进行所有的集中化操作。例如：对结点上的入侵防御系统的配置，日志服务器的管理，数据分析，负载均衡等。模块间的通信负责系统各个组件之间安全、可靠的通信，包括中心和结点间的通信，结点和结点间的通信。*事件分析器：libipq库、Snort_inline和规则集。用规则集对数据进行入侵检测。*响应单元：Netfilter钩子程序、libipq、libnet、IPtables。对数据包的处理。*事件数据库：MySQL数据库。收集和存放数据。三、入侵防御模块设计入侵防御模块为了部署在网络的关键位置上，需要有路由功能，能够将具备正确路由信息的数据包由一个网卡转发到另一个网卡，实现内外网之间的正常数据通信。路由部分功能的实现，利用了Linux系统自带的路由模块，在使用时打开了对用的配置文件，具体方法如下：echo1>/proc/sys/net/ipv4/ip_forward当数据包进入入侵防御模块时，IP转发功能己经打开，内核会根据数据包的地址信息和自身的路由表将其转发。入侵防御模块是网络入侵防御系统实现的关键，由数据包接收、数据包检测、入侵响应三个部分组成。每个入侵防御模块由Snort_inline和IPtables配置的Netfilter防火墙联动组成的IPS构成。1.数据包接收数据包接收过程是事件产生器，由Netfilter钩子程序、IPtables、ip_queue内核模块和netlink接口组成。负责收集数据包，把数据包从内核空间送到用户空间。在数据包接收的过程中，入侵防御模块应该以IPtables配置的Netfilter防火墙过滤后的数据包为数据源，对符合安全策略的流量进行入侵检测，减少了入侵检测的数据包数量。IPtables配置的Netfilter防火墙：结合链路层、网络层的防火墙技术实现的包过滤防火墙可以根据安全策略先对数据包进行过滤，然后把需要检测的数据包送进Snort_inline入侵检测系统进行检测。这样可以降低系统资源的消耗，减轻系统的负担。2.数据包检测数据包检测是事件分析器，由libipq库、Snort_inline和规则集组成。负责入侵检测，用规则集对数据进行入侵检测入侵防御模块接收到符合安全策略的数据包分层解析数据包的网络层、传输层和应用层，并进行数据格式化，然后将数据包与入侵检测规则库相匹配。使用协议分析、状态协议分析和模式匹配相结合的技术进行数据包入侵检测。协议分析技术解析网络层、传输层和应用层的数据，利用协议构建的规则性排除异常协议结构的攻击；状态协议分析将应用层数据传送的过程看作连续的过程，跟踪连接状态信息，以便快速而准确的定位攻击特征；不能准确定位的字符串则使用模式匹配技术来实现入侵检测，入侵检测系统snort_inline在入侵检测过程中使用快速多模式匹配算法。3.入侵响应二、通用入侵检测框架入侵防御模块中，基于Snort_inline和IPtables配置的Netfilter防火墙的IPS采用通用入侵检测框架（CIDF）结构。CIDF提出了一个入侵检测系统的通用模型，它将入侵检测系统分为以下几个单元：事件产生器(EventGenerators)、事件分析器(EventAnalyzers)、响应单元(ResponseUnits)和事件数据库(EventDatabases)。CIDF模型将需要分析的数据统称为事件(Event)。事件产生器即检测器，它从整个计算环境中获得事件，并向系统的其它部分提供此事件；事件分析器分析得到的数据，并产生分析结果；响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接等反应，也可以只简单的报警；事件数据库是存放各种中间和最终数据的地方的总称，它可以是复杂的数据库，也可以是简单的文本文件。Snort_inline和IPtables配置的Netfilter防火墙联动构成的IPS，其组件组成如下：*事件产生器：Netfilter钩子程序、IPtables、ip_queue内核模块和netlink接口。收集数据包，把数据包从内核空间送到用户空间。