PPDR模型中,策略是PPDR模型的核心組成部分��,是網(wǎng)絡(luò)安全需達(dá)到的目標(biāo),同時(shí)也是各種措施的集合����。
防護(hù)是網(wǎng)絡(luò)安全的首步�。它包括安全規(guī)范的制定、安全配置和安傘措施��。檢測(cè)是主動(dòng)防御行為��。響應(yīng)指在檢測(cè)到攻擊之后�����,及時(shí)地做出反應(yīng)����,使系統(tǒng)恢復(fù)正常運(yùn)行狀態(tài)。
目前較科學(xué)的防御體系是在遵循PPDR模型的信息網(wǎng)絡(luò)安全體系的前提下��,采用主動(dòng)防御與被動(dòng)防御相結(jié)合的方式�����。
2 基于IPv6的入侵檢測(cè)系統(tǒng)NIDS框架設(shè)計(jì)
2.1 系統(tǒng)功能設(shè)計(jì)
基于IPv6協(xié)議的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)要對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)跟蹤和分析,實(shí)時(shí)地檢測(cè)并分析用戶在系統(tǒng)中的活動(dòng)狀態(tài)�,統(tǒng)計(jì)網(wǎng)絡(luò)流量,拒絕服務(wù)攻擊等異常用戶行為���,同時(shí)還要能對(duì)已知攻擊特征進(jìn)行正確識(shí)別�,減少誤報(bào)和漏報(bào)�����,影響整體性能��,并及時(shí)向控制臺(tái)報(bào)警��,為有效防御提供依據(jù)���,并根據(jù)定制的條件過濾掉相同的報(bào)警事件�,減輕傳輸與響應(yīng)的壓力����。此外還要能提供入侵檢測(cè)規(guī)則的升級(jí)處理,實(shí)時(shí)更新入侵檢測(cè)特征庫�,提高入侵檢測(cè)系統(tǒng)的入侵檢測(cè)能力�,同時(shí)要制定實(shí)時(shí)響應(yīng)策略�,根據(jù)用戶的規(guī)則定義,經(jīng)過系統(tǒng)自動(dòng)過濾��,對(duì)警報(bào)事件及時(shí)響應(yīng)�����。檢測(cè)系統(tǒng)還要能對(duì)未發(fā)現(xiàn)的系統(tǒng)漏洞特征進(jìn)行預(yù)報(bào)警處理��。一個(gè)高性能的入侵檢測(cè)系統(tǒng)除了具備以上功能外��,具備較高的可管理性和自身安全性也非常重要���。
2.2 入侵檢測(cè)系統(tǒng)框架設(shè)計(jì)
入侵檢測(cè)系統(tǒng)一般會(huì)放在重要的網(wǎng)段內(nèi),實(shí)時(shí)地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包�����,對(duì)每個(gè)數(shù)據(jù)包都會(huì)進(jìn)行特征分析����。若數(shù)據(jù)包與入侵檢測(cè)系統(tǒng)的規(guī)則一致,入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)��,通知管理員做相應(yīng)的處理。入侵檢測(cè)系統(tǒng)NIDS整體框架流程圖如圖2所示���。
在圖2中我們可以看到���,首先是網(wǎng)絡(luò)設(shè)備數(shù)據(jù)包捕獲模塊通過一定的規(guī)則從網(wǎng)絡(luò)上獲取相關(guān)的數(shù)據(jù)包,這些數(shù)據(jù)包會(huì)按照順序存放在數(shù)據(jù)包隊(duì)列中��。在傳輸?shù)倪^程中會(huì)對(duì)原始數(shù)據(jù)包進(jìn)行重新分組���。數(shù)據(jù)包經(jīng)過以上的一些預(yù)處理后再結(jié)合入侵檢測(cè)系統(tǒng)已設(shè)置的規(guī)則庫進(jìn)行內(nèi)容分析處理�����。最終把分析的結(jié)果傳遞給控制臺(tái)事件分析模塊��,同時(shí)還會(huì)激發(fā)自動(dòng)響應(yīng)模塊做出對(duì)應(yīng)的相關(guān)響應(yīng)處理��。
2.3 入侵檢測(cè)系統(tǒng)流程圖
入侵檢測(cè)系統(tǒng)由數(shù)據(jù)采集��、數(shù)據(jù)分析和結(jié)果輸出三部分組成��。其總體運(yùn)行流程圖如圖3所示�。
2.4 部署分布式NIDS
在整個(gè)網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)���,要在需要檢測(cè)的主機(jī)上配置入侵檢測(cè)系統(tǒng)檢測(cè)器�。檢測(cè)器可以放于防火墻之外,也可以放在防火墻之內(nèi)��。
怎么放置檢測(cè)卡���,要看我們的側(cè)重點(diǎn)在哪里。如果放在防火墻之外����,可以清楚掌握站點(diǎn)和防火墻的非法攻擊;放在防火墻之內(nèi),可以通過設(shè)置良好的防火墻���,使得檢測(cè)器不用將大部分的注意力分散在這類攻擊上�����。當(dāng)放在防火墻內(nèi)部會(huì)比外部脆弱一些�����。
如果有需要�,我們可以將檢測(cè)器同時(shí)放置在防火墻的內(nèi)部和外部�����。
3 基于IPv6的NIDS模塊設(shè)計(jì)與實(shí)現(xiàn)
基于IPv6的入侵檢測(cè)系統(tǒng)從邏輯上可分為數(shù)據(jù)采集、數(shù)據(jù)分析和結(jié)果輸出三部分���,符合CIDF的規(guī)范�����。系統(tǒng)由數(shù)據(jù)包捕獲模塊���、協(xié)議解析模塊、規(guī)則處理模塊����、分析檢測(cè)模塊、存儲(chǔ)模塊和響應(yīng)模塊六個(gè)模塊組成����,體系結(jié)構(gòu)框架如圖4所示。
(1)數(shù)據(jù)包捕獲模塊�����。數(shù)據(jù)包捕獲是入侵檢測(cè)的基礎(chǔ),數(shù)據(jù)捕獲的準(zhǔn)確性�����、可靠性和效率決定了整個(gè)入侵檢測(cè)系統(tǒng)的性能�。它的主要功能就是從以太網(wǎng)上捕獲數(shù)據(jù)包。我們的設(shè)計(jì)是采用在Linux操作系統(tǒng)中使用系統(tǒng)底層調(diào)用來實(shí)現(xiàn)數(shù)據(jù)包的捕獲����。我們?yōu)榱颂岣邤?shù)據(jù)包的捕獲性能,系統(tǒng)中采用的是在Linux下非常流行的BPF捕獲機(jī)制��。它的優(yōu)點(diǎn)是不需要再用底層的調(diào)用來編寫代碼�����, 裝了底層調(diào)用并作了優(yōu)化處理���。
(2)協(xié)議解析模塊。協(xié)議解析模塊是入侵檢測(cè)系統(tǒng)的基礎(chǔ)�,它對(duì)捕獲到的數(shù)據(jù)包進(jìn)行詳細(xì)的協(xié)議分析,檢測(cè)出每個(gè)數(shù)據(jù)包的類型和特征�����。此模塊的設(shè)計(jì)功能是否齊全和合理�����,會(huì)直接影響到入侵檢測(cè)系統(tǒng)的性能。
(3)規(guī)則處理模塊���。規(guī)則庫是一個(gè)入侵檢測(cè)系統(tǒng)的知識(shí)庫��,它的成功與否會(huì)直接決定入侵檢測(cè)系統(tǒng)的綜合性能��,當(dāng)入侵檢測(cè)庫越豐富的時(shí)候���,系統(tǒng)能檢測(cè)到的入侵行為就會(huì)越多,系統(tǒng)才會(huì)更安全���。
(4)分析檢測(cè)模塊�。分析檢測(cè)模塊完成的是一個(gè)匹配性工作����。協(xié)議解析模塊對(duì)捕獲的數(shù)據(jù)包進(jìn)行分析,規(guī)則處理模塊建立了入侵規(guī)則庫����,而入侵檢測(cè)模塊需要做的就是完成對(duì)這兩部分的匹配工作。當(dāng)匹配成功,就說明有入侵行為發(fā)生��。此外����,該模塊除了使用入侵規(guī)則庫來檢測(cè)入侵之外,還有異常檢測(cè)功能�,比方說對(duì)掃描入侵行為的檢測(cè)就使用了異常檢測(cè)技術(shù)。我們采用的是基于協(xié)議分析匹配技術(shù)����。
(5)存儲(chǔ)模塊。存儲(chǔ)模塊的主要功能是存儲(chǔ)網(wǎng)絡(luò)相關(guān)信息�����,健全日志����,以方便事后分析和處理���。例如分析IP協(xié)議的分布情況����,分析某個(gè)IP的活動(dòng)情況,等等����。我們采用的是使用MySQL數(shù)據(jù)庫存儲(chǔ)的。
(6)響應(yīng)模塊����。當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到入侵時(shí),會(huì)通過響應(yīng)模塊來處理相關(guān)的事務(wù)�。響應(yīng)模塊可以采取各種措施對(duì)檢測(cè)引擎檢測(cè)到的入侵行為進(jìn)行相應(yīng)的響應(yīng),常見的有傳送消息給防火墻�、截?cái)嗤獠咳肭中袨榈龋部梢灾幌蚓W(wǎng)絡(luò)管理員進(jìn)行報(bào)警�,由網(wǎng)絡(luò)管理員根據(jù)入侵情況再?zèng)Q定采取相應(yīng)的防御措施。
4 結(jié)論
目前采用的網(wǎng)絡(luò)安全防御體系由于自身存在著缺陷和不足�����,使得網(wǎng)絡(luò)安全問題一直困擾著我們的工作����。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)通過改變以往的被動(dòng)防御方式,能夠主動(dòng)地跟蹤入侵行為�����,并及時(shí)做出相應(yīng)的響應(yīng)。使得網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)成為了防火墻之后最有力的安全防線����。正是這些優(yōu)點(diǎn)使得網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)成為了當(dāng)前網(wǎng)絡(luò)安全方面研究的熱點(diǎn)。同時(shí)隨著IPv6的應(yīng)用和普及��,原有的網(wǎng)絡(luò)將面臨全新的挑戰(zhàn)��,當(dāng)然也包括對(duì)網(wǎng)絡(luò)安全體系的挑戰(zhàn)��。
