维普资讯 http://www.cqvip.com 第37卷第3期 航空计算技术 Vol_37 No.3 2007年5月 Aeronautical Computing Technique Mav.2007 一种入侵防御系统模型的研究 (1.江南大学信息工程学院,江苏无锡214122;Q。 刘 渊 一,潘仰峰 2.南京理工大学计算机科学与技术学院,江苏南京210000) 摘要:介绍了目前比较流行网络入侵防御技术,针对现有系统隔离和保护能力不足的弱点,提出 了一种基于简单网络管理协议的网络入侵防御结构模型,它能有效地弥补目前网络入侵防御技术 的不足。 关键词:网络入侵防御;简单网络管理协议;保护能力;入侵防御 中图分类号:TP393.08 文献标识码:A 文章编号:1671-654X(2007)03-0128-03 引言 络安全设备,只能对第3层和第4层网络协议进行检 随着计算机和网络技术的迅猛发展,网络攻击事 查;而NIPS是一种细粒度的网络安全设备,可以对第 件越来越频繁,攻击者所采用的攻击手段也越来越成 2层到第7层网络协议进行深度分析,即对数据包中 熟和先进。许多新的攻击方法不仅仅利用基本网络协 的每一个字节进行检查 J。NIDS像是一个监视器, 议,还会在上层应用协议中嵌入攻击数据,从而逃避防 监视网络中的入侵行为;而NIPS像是一个过滤器,拦 火墙的拦截 。此外,分布式拒绝服务攻击(DDoS) 截所有入侵行为。它们在网络中的位置如图1所示。 等新的攻击手段的出现使得当前入侵检测系统(IDS) 在攻击响应特别是主动攻击响应方面遇到了极大的挑 战。在这样的情况下,仅仅依靠传统的防火墙或入侵 检测技术,已经无法对网络及网络内部的各种资源进 行很好的防护,网络受到攻击后作出响应的时间越来 越滞后。为解决这一问题,需要引入一种全新的安全 技术——网络入侵防御(NIPS) 。 内网计算机 内网计算机 l 网络入侵防御系统 图1 NIPS和NIDS网络的位置 1.1 NISP的概念 NIDS在网络中实时检测入侵攻击行为,发现就报 1.2 NISP的结构和原理 警通知网络管理员;或与防火墙联动来实施对网络的 如图2所示,NIPS实现实时检查和阻止入侵的原 保护,而自身不能对攻击行为采取主动响应 。NISP 理在于NISP拥有数目众多的过滤器,能够防止各种攻 不但具有NIDS的功能,而且在NIDS检测的基础上增 击。当新的攻击手段被发现之后,ISP就会创建一个 加了主动防御功能,一旦检测到攻击行为,立即加以拦 新的过滤器。IPS数据包处理引擎是专业化定制的集 截,能够更加及时、有效地保护网络。NIDS一般是并 成电路,可以深层检查数据包的内容。如果有攻击者 联在网络中,以旁路监听的方式实时检测网络流量,在 利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞 性能上对网络没有多大的影响,也不必改变原有网络 发起攻击,NIPS能够从数据流中检查出这些攻击并加 的拓扑结构;而NIPS主要是作为一种透明设备串联在 以阻止。传统的防火墙只能对Layer 3或Layer4进行 网络中,所有进出的网络流量都要经过NISP。从这一 检查,不能检测应用层的内容。防火墙的包过滤技术 点看NIPS有些像防火墙,但防火墙是一种粗粒度的网 不会针对每一字节进行检查,因而也就无法发现攻击 活动,而NIPS可以做到逐一字节地检查数据包。所有 收稿日期:2007-01-29 修订日期:2007-05—15 作者简介:刘渊(1967一),男,江苏无锡人,副教授,研究方向为网络安全。 维普资讯 http://www.cqvip.com 2007年5月 刘渊等:一种入侵防御系统模型的研究 流经NIPS的数据包都被分类,分类的依据是数据包中 的报头信息,如源IP地址和目的IP地址、端口号和应 用域。每种过滤器负责分析相对应的数据包。通过检 查的数据包可以继续前进,包含恶意内容的数据包就 会被丢弃,被怀疑的数据包需要接受进一步的检查。 过滤器引擎集合了大规模并行处理硬件,能够同时执 行数千次的数据包过滤检查。并行过滤处理可以确保 数据包能够不问断地快速通过系统,不会对速度造成 影响。这种硬件加速技术对于NIPS具有重要意义,因 为传统的软件解决方案必须串行进行过滤检查,会导 致系统性能大打折扣。 图2 NIPS的实现 2基于简单网络管理协议的网络入侵防御系 统(NM—DIPS)的设计 NISP同时存在一些缺陷 J:它的隔离和保护功能 不够足够强大,导致它不能够有效地处理来自内网的 攻击,而网络上很大一部分的网络攻击是来自内网的。 但是NIPS可以通过结合其它一些技术来弥补这些缺 陷。 因为一个完整的网络是由许多网络设备组成的。 比如交换机,路由器,防火墙等等。而这些设备本身就 已经具有了某些在网络关键路径上的隔离和保护功 能。所以设计一个集合其它网络设备的DISP能有效 地弥补本身的不足,就变得有现实意义和可行性。下 面提出了一种基于简单网络管理协议的网络入侵防御 系统,即NM—DISP。 2.1 NM—DISP的体系结构 国际标准化组织已经提出过一种IS07498—4的 网络管理模型,这个模型是一个结构化网络框架,它定 义了5个网络管理模块:缺省管理,结构管理,计算管 理,性能管理和安全管理 .3 J。 为了实现上面所提出的5个管理模块,制定了一 个简单网络管理协议。如今,简单网络管理协议已被 广泛的使用,并逐步发展成为网络管理框架。大多数 的网络设备都支持简单网络管理协议。简单网络管理 协议已经发展完善到了第三个版本,新版使用了编码, 鉴别和加强入口安全控制等技术。该新版本的安全性 能包括简单网络管理协议数据包的保护,简单网络管 理协议代理,管理实体以及它们之间的协同工作。但 是它也存在着一些不足,比如,它不能够有效地预防被 病毒攻击的网络和主机,也不能采取行为来阻止它们。 因此,除了网络管理系统外,用户还必须买一些额外的 安全产品来进行有效地保护,比如,入侵检测产品,入 侵防御产品。而入侵检测产品不能够和网络管理系统 有效地结合,它们的结合将导致大量的网络资源的浪 费。 这篇论文所提供的网络入侵防御系统能够有效地 结合网络管理,多种网络安全设备和入侵检测技术,即 NM—DIPS。它的体系结构如图3所示。 图3 NM—DISP的系统结构 如图3所示,它主要有两个部分组成:IDS终端和 安全管理器。大量的IDS终端放在需要保护的关键网 络的路径上,例如,内网和外网之间,子网和子网之间。 通过使用交换机的交换功能,数据经过防火墙和路由 器时能够被检测到。如果在网络连接时,存在明显的 攻击行为和可疑的数据包,该数据包就将被发往数据 库中。同时,IDS终端将给管理器发送警报。管理器 将检查数据库,并全面的分析数据库中的相关数据,接 着给出相关性的结论。最后通过发送简单网络管理协 议信息来采取有效地行为。因此,可以看出一个入侵 防御系统能够有效地结合入侵检测技术和隔离功 维普资讯 http://www.cqvip.com ・130・ 航空计算技术 第37卷 第3期 能 』。 除了改进了安全管理外,NM—DIPS同时还提供 了结构管理,性能管理,计算管理,缺省管理等功能。 2.2 IDS终端 IDS终端实际上是一个完整的入侵检测系统,它 可以通过主机和使用异常和误用检测技术的网络安全 设备来发生作用。IDS终端包含了数据采集模块,规 则库,流量统计模块,检测引擎模块,预处理模块,规则 分辨模块和数据检测模块 ’ 。 1)数据采集模块的重要功能是以防火墙过滤后的 数据包为数据源,仅对符合安全策略的流量进行入侵 检测,减少了需检测的数据包数量,并把过滤后的数据 源送到检测引擎模块。 2)对比规则库,检测引擎模块将检测是否存在异 常的数据包,如果存在,检测引擎将以日志的形式把它 写入到数据库中,并把警报发送给安全管理器。 3)流量统计模块是统计所有的流量的信息,并且 也把它们输入到数据库中。 4)检测引擎模块是IDS终端中的一个主要的模 块,它又包括4个子模块:协议解码,预处理,数据检 测,规则分辨。协议解码主要处理数据采集模块发送 过来的数据包,并把它们存储到相关的数据结构中供 下面的模块使用,它同时也检查这些数据包,并丢弃错 误的数据包。 5)预处理模块主要是处理数据包,使它们的分析 变得容易。通过预处理,我们能够找出一些有特别特 征并且不能通过规则匹配模式检测出的攻击行为。 6)规则分辨模块主要是对规则库中的规则进行解 码,并把它们存储到相关的数据结构中。 7)数据检测模块主要是接收预处理后的数据包, 并和检测规则中的规则进行比较。如果匹配成功。就 意味着发现了一个入侵行为,系统将把入侵行为告知 管理器,并且把这些信息写入到管理器中供后面的安 全管理器进行进一步的研究。 2.3安全管理器 安全管理器包括了被国际标准化组织所定义的五 大功能和一个系统数据库。 系统数据库不仅接收包括来自IDS终端的数据, 而且接收从简单网络管理协议中得到的管理系统库信 息。这两部分信息的数据源都有它们各自的特征。首 先,基于简单网络管理协议的系统库信息很容易得到, 它统计的数据是精确的,在网络设备上的操作也是很 方便的。但是,它缺少协议类型信息,同时不能够为管 理员提供足够的线索来分析网络上运行的状态。换句 话说,基于信息包捕获的IDS终端能够获得足够的在 每一个协议上的流量信息和通过交换机端口的流量信 息,这些信息对网络管理员分析网络的安全,找出攻击 行为和攻击源是十分有帮助的,然后管理员可以采取 行动来阻止这些入侵行为。 另外,系统数据库还存储了捕获的信息和管理员 的操作记录 。 系统数据库中的数据表格包括入侵信息表格,协 议信息表格,协议流量统计表格,捕获记录表格,用户 操作记录表格等等。伴随着网络管理器的分析和推断 能力的改进,一些其它数据表格也加入了进来。 通过综合分析大量的信息,安全管理器的处理能 力得到了很大程度地提高,特别是其中安全管理能力 得到了足够地加强。当检测到入侵行为的时候,网络 安全设备就将改变参数来阻止,丢弃它们。对于异常 的入侵行为,管理器能够根据系统数据库中的相关有 用信息来完善它的分析能力,进而采取进一步的防御 行为。 3结论与展望 随着计算机网络的普及使用,各类网络攻击事件 频繁发生,网络安全问题正受到广泛关注…。本文提 出了一种基于网络入侵防御安全模型,它能够有效地 弥补目前的网络入侵防御技术的部分缺陷。但是,入 侵防御技术现在还不够成熟,需要不断的改进,随着攻 击自动化程度的不断加强,攻击工具的不断更新和复 杂化,网络世界的攻防之战是长期的,100%的网络安 全是不存在的 。希望本文系统化的分析讨论能够对 我国入侵防御系统的进一步研究提供一些参考。 参考文献: [1]Dr Eugene Sehultz.Intrusion prevention[J].ELSEVIER Computers&Security,2004,23:265—266. [2] Kaizo.Next—generation intrusion prevention:Accounting for the attack timeline[J].ELSEVIER Information Security Technical Report,2005,10:162—168. [3] S.Hofmeyr.Host intrusion prevention:Part of the operating system or on top of the operating system?[J].ELSEVIER Computers&Security.2005,24:440—442. [4]Xinyou Zhang,Chengzhong Li,Wenbin Zheng.Intursion Prevention System design[J].IEEE Computer and Ifnorma— tion Technology,2004,4:386—390. [5] Jiazhu Dai,Huaikou Miao.D—DIPS:An Intursion Preven. tion System for Database Security[J].ICICS LNCS 3783, 2005,5:481—490. (下转第134页) 维普资讯 http://www.cqvip.com ・134・ 航空计算技术 第37卷 第3期 http://www.Samsung.corn. P协议 [7] 伍洲凯.王波.基于8位微处理器的嵌入式TCP/I[4] 唐继英,张振东,常银霞.基于ARM网络终端的硬件设 栈剖析[J].微型机与应用,2004(5):35—37. P协议在嵌入式异构网 [8] 董天戌,王汝宁,袁学文.TCP/I计[J].中国仪器仪表.2005,(5):93—95. P协 [5] 李怀俊,张学习,章云.工业以太网中嵌入式TCP/I络互连中的应用[J].微型机与应用,2004,(9):31— 33. 议应用技术分析[J].广东工业大学学报.2002,19(4): 25—29. [9] 王田苗.嵌入式系统设计与开发实例[M].北京:清华 大学出版社,20o2. nternet技术的远程监控系统的研究 [6] 董军.基于嵌入式I[D].武汉:武汉理工大学,2004. Design of Embedded Ethernet Network Terminal Based on TCP/IP Protocol Stack DU Guang-wei,ZHANG Jun-guo,HAN Ning (School of Techolnogy,Be ̄iing Forestry University,Beijing 100083,China) Abstract:The Embedded technology applications in the field of Ethernet are becoming one very important subject. This paper presents one scheme of embedded Ethernet network terminals based on TCP/IP protocol stacks.The hard— ware institution for the interface circuit between the microprocessor S3C44BOX with ARM kernel and the Ethernet con— trolled chip RTI_8019AS is designed.About the software,the designing idea and detailed developing process of embed— ded TCP/IP Protocol stacks and the core transplanting of the real—time operating system LLC/OS—lI are introduced. his kind of embedded EtherTnet network terminals has high performance price ratio.It is expected to use for home auto— matic devices or industrial control devices with low needs of communication speed. Key words:embedded system;TCP/IP protocol stack; C/OS.1I;ethernet network terminal (上接第130页) Research of an Intrusion Prevention System Model LIU Yuan ,PAN Yang-feng (1.School ofInformation Engineering,Southern Yang ̄e ,Wuxi 214122,China; 2.School fScioence&Technology,Nanjing University ofSciece&Technnology,Nanjing 210000,Chia)n Abstract:Firstly,the network intrusion prevention system(NIPS)is mainly introduced.Then this paper proposes a network security model based on Simple Network Management Protocol(SNMP).The model has already contained cer. tain isolation and prevention ability and can effectively compensate for the disadvantages of NIPS. Key words:network intrusion prevention;Simple Network Management Protocol;prevention ability;intrusion pre— vention