楊玉新

摘要：網(wǎng)絡的受攻擊事件層出不窮，使網(wǎng)絡安全問題尤為突出。該文在一些先進的網(wǎng)絡安全解決方案的基礎上，提出了一種入侵防御體系結構程序設計模型。在這一入侵檢測防御系統(tǒng)中，設計了一種在Linux環(huán)境下基于網(wǎng)絡的入侵防御系統(tǒng)sensor的檢測和防御的實現(xiàn)方法，從而實現(xiàn)一定程度下的保護局域網(wǎng)的安全。

關鍵詞：網(wǎng)絡安全；Linux環(huán)境；入侵檢測；防御系統(tǒng)

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）02-0038-03

1 概述

網(wǎng)絡安全形勢日趨嚴峻和復雜化，網(wǎng)絡入侵者的攻擊手段在不斷變化，入侵檢測系統(tǒng)Snort將數(shù)據(jù)流和規(guī)則進行匹配以檢測入侵，對拒絕服務等攻擊無法抵御，抗攻擊能力弱；而Linux的Netfilter/iptables結構能按照預設的規(guī)則對數(shù)據(jù)流進行過濾，但過濾粒度大，規(guī)則缺乏靈活性，也不能檢測基于過程的攻擊。在安全模塊間設計實現(xiàn)交互聯(lián)動能夠彌補各自的缺陷，為了實現(xiàn)更高的安全性。在對Snort和Netfilter/iptables做了深度分析的基礎上，在對Netlink和Libipq這兩個安全組件做了模塊聯(lián)動規(guī)劃設計，提出了聯(lián)動設計的一部份架構和設計思想，對這種聯(lián)動的軟模塊的設計流程及實現(xiàn)進行了詳解。這對構建Linux條件下入侵檢測防護系統(tǒng)有現(xiàn)實的意義。

2 入侵檢測

2.1 入侵檢測防護模塊的布置流程

入侵檢測及防護系統(tǒng)sensor放在網(wǎng)絡的進出的點上，即內網(wǎng)與外網(wǎng)進行通信的必經(jīng)要口，全部通過sensor系統(tǒng)的網(wǎng)絡流量都能夠被捕促到。這里采用的是Netlink套接字的實現(xiàn)方法來實現(xiàn)內核空間與用戶空間的相互通信，通過Libipq庫實現(xiàn)由內核讀取或是寫入。

2）在鏈路層基礎上的構建方法

在IP層的數(shù)據(jù)包基礎上來構建與發(fā)送，就有一個有IP地址的接口（interface），因此會讓入侵攻擊者發(fā)現(xiàn)IPS的位置，就有可能遭到惡意入侵者的攻擊，因此這樣做會存在嚴重的不安全因素。為此，采用一種特別的響應方法，即在第二層就做出阻斷（reset）。做出反應的數(shù)據(jù)包的構建就是鏈路層協(xié)議頭部， Ethernet協(xié)議頭的構建，IP和TCP協(xié)議頭同上述保持一致。使用攻擊數(shù)據(jù)包進入系統(tǒng)的接口設備來做發(fā)送reset包的出口，它的MAC地址作為目的MAC地址。此種方法已經(jīng)不需要帶IP地址的接口，而且可以用構造的MAC地址偽裝成reset包的源MAC地址。這樣因此可以隱蔽sensor的身份，達到保護IPS主機的安全。

4 結束語

通過安全策略的分析和端口的設計，分析了linux環(huán)境下防火墻內部各功能模塊靈活實現(xiàn)的方法，結合一些入侵檢測的Snort軟模塊并在其框架上有征對性的不斷對防御模塊sensor進行功能擴充、變更安全策略或加入新的服務。也只有與時具進、不斷探索和在實踐中改進防御設計方案，這樣才有效防范可能的攻擊。

參考文獻：

[1] 彭新光.吳興興.計算機網(wǎng)絡安全技術與應用[M].北京：科學出版社，2005.

[2] 肖軍模.劉軍.網(wǎng)絡信息安全[M].北京：機械工業(yè)出版社，2006.

[3] Mike Barkett. Intrusion Prevention Systems[EB/OL]. www.nfr.com，2004.4.

[4] （美）Brian Caswel等.Snort2.0入侵檢測[M].宋勁松，譯.北京：國防工業(yè)出版社，2004.

[5] 劉文濤.網(wǎng)絡安全開發(fā)包詳解[M].北京：電子工業(yè)出版社，2005.